【51CTO.com 獨家特稿】作為一名企業網絡管理員，很多時候，都會接到底下用戶的抱怨，說帶寬不夠用，發個郵件都要很久。這個時候，如果你頭腦一熱，向老板提出增加帶寬的建議，那多半會受到批評和白眼。為何？因為這牽扯到了一個費用的問題，多數老板在面對這種增加費用的提案時，都會要求提案人舉出列舉提案的原因和提案實施后的效果。如果之前沒有做好準備，即使僥幸通過了帶寬增大的方案，而實際運行起來網絡狀況并沒有改善的話，老板會對你喪失信任，間接的，以后再想提出一些方案，所遇到的阻撓就會變大，公司地位的下降，即意味著尊嚴的喪失。所以我們要時刻保持自己的"專業性"，盡可能在控制費用的情況下為公司網絡優化、提速。

接手爛攤子

話說我來這家公司時間不長，年初的時候過來，老板安排的第一件事就是要我弄個方案，優化一下網速。

大概說下公司背景，這是一家帶著點科技含量的公司，因為老板本身是懂技術的（精通單片機），只是他覺得自己沒時間做，所以才專門招個人來管理公司網絡，不過在信息化這塊根本就沒什么預算，所以提速完全是想當然的認為"優化"一下就能解決，完全不需要增加帶寬。（這種情況相信很多人都遇到過，上司對網絡優化有個大概了解，但又不全面。做的好了，是他領導的好，做的不好，就是你功夫不到家。）

我先去機房看了一下，這里先給大家看下圖。

公司電腦不太多，實際使用的大概60臺，不過說實話，這線架打的是一塌糊涂，網線接的也相當不靠譜，很可能稍微碰一碰，哪根線就不通了。而且清一色的2層交換機讓人很受傷，所以端口綁定、vlan劃分這種高級玩意是一個都用不上了。

這種情況下，又不想投資買設備，增加帶寬，要怎么優化？

限速，不要迷信大而全

既然是限速，當然要在外網入口上做文章，先登上路由器檢驗一番。這路由器還不錯，可以雙WAN口接入，可因為費用的原因，第二個WAN口在有生之年怕是無法啟用了。

接手限速，首先第一件事就是對局域網內的計算機進行MAC綁定。這樣做一是防止ARP病毒攻擊，二是在采集MAC的過程中，將MAC地址、IP地址和機器的使用人做一個一一對應。這樣在出現問題的時候，可以快速的定位到個人。以公司的居易2950來舉例，MAC綁定位于"LAN→綁定IP到MAC下"。只要簡單的填寫IP地址和MAC地址即可，同時勾選"強制綁定"，以達到未綁定的MAC地址無法上網的要求。各位手頭如果是其他路由器，可以相應選擇對應的選項。#p#

網絡之所以這么慢，其實歸根結底是上班的時候有人用公司網絡下電影、聽歌、玩游戲。你懂的，這種事情不抓現行是不會有人承認的。而我初步的想法即是通過各種限制，阻止此類流量通過路由器。

比如在"對象和組→IM對象"中，禁用QQ/MSN/KC/UC以及webMSN/webYahoo等信息。

在P2P中限制迅雷、vagaa、BT。

再禁用一切流媒體和網頁游戲，比如PPStream、Pplive等等。包括Tor洋蔥頭這種代理翻墻的東西也禁用掉。

能設置禁用的全禁用掉，這下該功德圓滿了把？趕緊去把這些策略生效。在"內容安全管理→應用程序強化管理"中，將相應策略啟用。#p#

自己實驗了下，發現QQ上不去了、MSN也上不去了，各類娛樂網站也上不去了。設置起來相當簡單，實施起來也相當簡單。

費用阻撓，更換解決方案

其實優化的事情有老板罩著，所以上不去QQ，上不去MSN讓大家都很不滿意，不過在這方面并沒有遇到更多人遇到的那種因為限制了QQ，引起員工反彈繼而策略執行不下去的窘態。不過即使是這樣，最終這個限制方案還是夭折了。

原因其實很簡單，因為優化之后，打開網頁的速度更慢了。可能很多人會納悶，既然都做了完善的限制優化，為什么反而打開網頁速度變慢了？

我們都知道，現在的硬件路由器上基本都是類單片機的。都包含CPU和內存。當然這顆CPU可不是大家經常使用的奔騰、速龍，而是精簡指令集型的，低功耗、低發熱、處理任務較為單一和簡單。而每一個策略，相當于在這個操作系統上多運行了一個程序。策略的增多，無形中影響了網絡信號的延時和處理速度。對于居易2950這臺區區64M內存的機器來說，盡管在路由器中，這內存還算比較大的，但在策略全開的情況下，這點配置還遠遠不夠。

想要在全開策略的前提下保持流暢的網速，只能更換硬件更為強大的路由器。然而這是和老板的意志背道而馳的。俗話說"文治武功"，要是不限制預算，那么堆硬件怎么也把這任務給堆成了。既然限制預算，那么換個方向思考解決問題，不啻為一劑良藥。

限速目的要明確，合理監控是關鍵

大禹治水都知道宜疏不宜堵，做了那么多限制，難免不會有漏掉的策略，可能今天限制了無法登陸qq農場，但難保今后不會有個aa農場bb農場，或者農場都無法玩，改玩其他的。實施策略和反病毒都是一樣的，永遠都是在出現狀況之后才能發現。

在路由器上看了看，發現有個LANMonitor端口（網絡監控），頓時茅塞頓開，想到了一個更好的方法。

#p#

很隨意的找了一臺公司不用的低配電腦，將網絡口接到了路由器的LANMonitor口（這個端口其實就是固化了的一個端口鏡像，類似于三層交換機上的端口鏡像，同三層交換不同的是，這個端口無法轉移，無法修改綁定的監控口）上，同時在電腦上裝了一個路由器附送的一個監控軟件，接好后，路由器面板的Monitor燈亮了。

安裝的過程簡單，這里就不贅述了。軟件是基于winpcap的，大名鼎鼎的嗅探軟件sniffer pro也是基于這個環境的。安裝的時候會自動安裝php、apache以及winpacp。如果之前安裝過這些，可能會產生沖突。所以這臺機器只能在沒有安裝過php和apache的環境上安裝。

登錄之后，可以清晰的看到當日的流量情況，由于之前做過了MAC綁定的策略，所以這里也不擔心有人私自篡改IP。

看到IP流量什么都決定不了，只能說明有些人白天的流量太多了，但現在誰也不知道他都干了什么，如果某人一口咬定就是在工作相關上網，你怎么處理？

看看每日的通信流量，從圖表的右側流量曲線圖中可以發現，電腦晚上沒有關機，夜間一直在下載，到了白天，流量才減少，開始認真工作。

#p#

好吧好吧，就當你是晚上在下載學習資料，果真如此么？讓我來看看你的網頁訪問記錄吧。什么，竟然有一條bbs.yingkong.net的訪問記錄，這是著名的娛樂站，就當我真的不知道么？

好吧好吧，yingkong現在開始提供一些技術信息，技術版面有資料下載。雖然你這么說，但是我不信，來看看到底都看了些什么。

看到這些了，所以疑問全部迎刃而解。原來技術信息是火影忍者和海賊王更新了。看來我也是個很專業的技術流了。

再來看看你這段時間的P2P信息。流量不小。

很簡單的，找到了網速慢的根本原因，而實現這些的成本也幾乎沒有（只是添加了一臺退役的電腦作為監控器）系統配置很低，從圖中我們就可以看出來。

和Sniffer Pro相比，一套成熟的監控軟件/硬件可以極大的提高可閱讀性和降低管理難度。（關于Sniffer Pro，可以參閱自己動手打造公司內網監管利器 ）#p#

配合制度，完美限速

通過這個路由器附帶的監控軟件，老板這種技術流也能很清晰的發現一天到晚誰是認真工作的，誰是上班打游戲的。同時軟件本身也支持匿名訪問，即只能看到流量信息，而看不到實際訪問網站的記錄。老板發話，每天流量前十名將會對訪問記錄重點抽查，發現有上班時間干工作不相干事情的，一律通報。

之后，這個平臺上每天查看自己流量排名的人也就多了起來。

以前，大家可能覺得限制了，是限制了自由，影響了正常辦公。而現在，既然有人知道到底做了什么，自然也就謹慎了許多。

從制度改革到現在，也有半年多了，公司的2M小水管正常穩定的運行至今，老板沒有再說過什么。而那臺監控用的破電腦，負載也很低，更多的時候只是作為一種威懾。

案例中所涉及的監控軟件屬于路由器附贈產品，其實市面上同類產品不少，有個很好聽的名字，叫"上網行為管理"，在國內，網康這一塊做的很不錯。

信息化的每一項改革都會損傷到其他部門的利益、包括額外的學習負擔、培訓負擔、以及被管理的束縛感，但作為從業者的我們，如果沒有膽量去提出，去改變，那就只能把自己劃分到一個很低的層次。

【51CTO獨家特稿，轉載請注明出處及作者。】