網(wǎng)絡優(yōu)化常用技法

申請免費試用、咨詢電話：400-8352-114

大中型企業(yè)的網(wǎng)絡為成百上千的企業(yè)用戶服務。本文從多個角度探討實踐中一些常用的網(wǎng)絡優(yōu)化技巧。

設計好網(wǎng)絡

做好網(wǎng)絡設計是網(wǎng)絡優(yōu)化的第一步。一個好的網(wǎng)絡整體規(guī)劃設計不但能夠滿足性能的要求，而且投入少，同時還應該便于日后的擴容，需滿足以下幾個要求:

功能性: 網(wǎng)絡能夠滿足工作上的需要，必須以理想的速度和可靠性為用戶提供連接。

可擴展性: 網(wǎng)絡能夠擴容，應該可以在不對全局做較大改動的情況下擴容網(wǎng)絡。

適應性: 網(wǎng)絡在設計時應該具有長遠的目光，考慮到未來技術的發(fā)展。

易管理性: 應該支持網(wǎng)絡監(jiān)控和管理，以保證運行中的持續(xù)穩(wěn)定。

在實際網(wǎng)絡中，需要用到交換機和路由器這兩種設備，對它們進行正確的設置，可以優(yōu)化網(wǎng)絡。要了解MAC地址、IP地址與硬件之間的相互關系，并且根據(jù)實際情況優(yōu)化配置，對以后管理網(wǎng)絡起到事半功倍的作用。

在優(yōu)化和管理網(wǎng)絡之前，首先需要確認網(wǎng)線以及網(wǎng)絡設備是否正常工作。在很多情況下，會出現(xiàn)一些故障影響到網(wǎng)絡的性能，這包括網(wǎng)絡線內部斷裂，雙絞線、RJ-45水晶頭接觸不良，或者是網(wǎng)絡連接設備本身質量有問題等。這時，可以使用測線儀來檢測線路是否斷裂，然后用替代的方法測試網(wǎng)絡設備的質量。

有的網(wǎng)卡雖然支持PnP功能，但安裝好后并不能好好地工作，甚至不能工作。為此，可采用屏蔽網(wǎng)卡的PnP功能的方法來解決。要想禁用網(wǎng)卡的PnP功能，就必須運行網(wǎng)卡的設置程序(一般在驅動程序包中)。在啟動設置程序后，進入設置菜單。禁用網(wǎng)卡的PnP功能，并將可以設置的IRQ一項修改為一個固定的值。保存該設置并退出設置程序，這樣如果沒有其他的設備占用該IRQ，可以保證不會出現(xiàn)IRQ沖突。

雙絞線的連接距離不能超過100米，如果需要超過這個距離時，必須使用轉換設備。在連接轉換設備和交換機時，還必須進行跳線。這是因為在以太網(wǎng)中，一般是使用兩對雙絞線，排列在1、2、3、6的位置; 如果使用的不是兩對線，而是將原配對使用的線分開使用，就會對網(wǎng)絡產(chǎn)生較大的串擾。這種情況在10M網(wǎng)絡環(huán)境下不明顯; 但如果在100M的網(wǎng)絡環(huán)境中，網(wǎng)絡流量大或者網(wǎng)線距離過長，網(wǎng)絡就會被串擾而無法連通。

監(jiān)控流量

網(wǎng)管必須經(jīng)常嗅探網(wǎng)上包的情況，了解究竟什么東西在網(wǎng)上傳輸。如果企業(yè)中有員工在使用例如網(wǎng)上視頻點播或者BitTorrent等P2P軟件的時候，這種應用對于網(wǎng)絡帶寬，尤其是局域網(wǎng)出口帶寬會帶來巨大的影響。如果企業(yè)業(yè)務非常在乎與互聯(lián)網(wǎng)的信息交換，那么網(wǎng)管就必須提醒用戶或者直接在防火墻上屏蔽掉P2P之類的軟件來確保信息通道暢通。因此，在日常的網(wǎng)絡流量管理中，需要采取這四個步驟預防: 網(wǎng)絡流量捕捉和分類、網(wǎng)絡流量監(jiān)視（統(tǒng)計和分析）和控制策略。

網(wǎng)絡流量捕捉和分類: 這是進行網(wǎng)絡流量管理的第一步。只有通過設置捕捉點，對網(wǎng)絡流量進行捕捉和分類，才能進行后續(xù)的分析和控制工作。這里特別需要強調的是，網(wǎng)絡流量分類可以非常宏觀化，也可以細化。比如TCP、UDP、ICMP等的分類就比較宏觀，而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類和識別就比較細化。

網(wǎng)絡流量監(jiān)視（分析）: 監(jiān)視步驟用來顯示流量的運行狀況，幫助找出問題所在和執(zhí)行相應的管理策略。應用程序和網(wǎng)絡管理能夠收集分類、展示和收集信息，包括帶寬利用率、活躍的主機和網(wǎng)絡效率以及相對活躍的應用程序。流量設備能夠跟蹤平均和高信息流量，分析網(wǎng)絡帶寬明確關鍵問題所在，最后用統(tǒng)計報表來進行表現(xiàn)。

控制策略: 優(yōu)先級別分配帶寬資源的依據(jù)可以根據(jù)主機、應用等情況，特別需要考慮的是P2P程序或者音頻視頻等應用。用戶可以根據(jù)TC工具來進行和實現(xiàn)一個完整的分類監(jiān)視和控制網(wǎng)絡流量。

做好網(wǎng)絡安全

來自外界的端口掃描對企業(yè)網(wǎng)絡的影響非常大。所以，安裝一個防火墻可以采用如下兩種防火墻技術。

多級過濾技術: 這是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡層）一級，過濾掉所有的源路由分組和假冒的IP源地址; 在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出入的協(xié)議和有害數(shù)據(jù)包如Nuke包、圣誕樹包等; 在應用網(wǎng)關（應用層）一級，能利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測互聯(lián)網(wǎng)中提供的所用通用服務。這是針對防火墻技術的缺點而產(chǎn)生的一種綜合型過濾技術，可以彌補以上各種單獨過濾技術的不足。這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網(wǎng)絡層，從這個概念出發(fā)，又有很多內容可以擴展，為將來的防火墻技術發(fā)展打下基礎。

病毒防火墻: 現(xiàn)在通常被稱之為病毒防火墻，這種防火墻技術可以有效地防止病毒在網(wǎng)絡中的傳播，比等待攻擊的防護手段更加積極。擁有病毒防護功能的防火墻可以大大減少損失。

另外，還可以采用成熟的入侵檢測系統(tǒng)來保護網(wǎng)絡，從而達到網(wǎng)絡優(yōu)化的目的。入侵檢測是依照一定的安全策略，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。網(wǎng)管需要在系統(tǒng)中部署以Snort等為代表的在網(wǎng)絡層、應用層進行入侵檢測和阻斷的軟件或者組件。

另外，在這些網(wǎng)絡威脅當中，DDoS（分布式拒絕服務，Distributed Denial of Service），是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，像商業(yè)公司、搜索引擎和政府部門的站點。DDoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這種來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。

可以使用的拒絕服務攻擊防護技術如下。

1. 入侵預防: 對所有攻擊最好的緩解策略就是完全攔截這些攻擊。這個階段首先是要阻斷已經(jīng)發(fā)動的DoS攻擊，有許多DoS防御機制試圖使系統(tǒng)免遭DoS攻擊。入口過濾: 設置一個路由器來禁止帶有非法源地址的包進入網(wǎng)絡; 出口過濾: 確定了離開網(wǎng)絡的分配的地址空間; 基于歷史的IP地址過濾: 可以利用邊路由器根據(jù)之前建立的地址數(shù)據(jù)庫以及連接歷史來允許包進入。

2. 關閉不使用的服務: 通常如果網(wǎng)絡服務不需要或沒有使用，則可以關閉這些服務來阻止攻擊發(fā)生的可能。

3. 應用安全補丁。

4. 負載平衡: 使網(wǎng)絡提供方在重要的連接上增加帶寬，并防止萬一攻擊發(fā)生時帶寬性能下降。

5. 使用蜜罐: 是具有一定安全性的系統(tǒng)，用來欺騙攻擊者來攻擊蜜罐而不是真正的系統(tǒng)。

鏈  接

企業(yè)網(wǎng)絡配置服務器須知

對網(wǎng)絡速度影響較大的還有服務器硬盤的速度。因此正確地配置好局域網(wǎng)中服務器的硬盤，將會改善網(wǎng)絡性能。通常，在設置硬盤時需要考慮以下幾個因素:

硬盤應盡量選擇轉速快、容量大的產(chǎn)品，這樣，通過網(wǎng)絡訪問服務器的速度也會快。

硬盤接口最好是SCSI型號的，因為該接口比IDE或EIDE接口傳輸數(shù)據(jù)時速度要快，它采用并行傳輸數(shù)據(jù)的模式來發(fā)送和接收數(shù)據(jù)的。

給網(wǎng)絡服務器安裝硬盤陣列卡，可較大幅度地提升硬盤的讀寫性能和安全性。