【51CTO.com独家特稿】在大中型企业中,目前都有自己的网络管理和维护人员。这些网络一般都需要为成百上千的企业用户服务,如何从多个层面对网络进行优化,最大程度地掌握和驾驭它来为工作服务,是网络管理人员的头等大事。本文将从多个角度给出一些实践中常用的网络优化技巧,以希望大家更好地去优化和管理网络,从而更好的利用网络去开展的工作。
1、作好网络设计
一个好的网络整体规划设计不但能够满足性能的要求,而且使用了最少的投入,同时还应该便于支持日后对于网络的扩大处理。因此,作好网络设计是网络优化的非常官的第一步。通常来说,一个好的网络设计需要满足以下几个要求:
功能性:这个网络必须能够工作。它要使得用户能够满足工作上的需要,必须以合理的速度和可靠性为用户提供用户到用户和用户到应用的连接。
可扩展性:这个网络应该能够增长。最初的设计应能在不对全局做较大改动的情况下使网络增长。
适应性:这个网络在设计时应该具有长远的目光,考虑到未来技术的发展。并且,不应该包含限制新技术在网络中开展的因素。
易管理性:应该支持网络监控和管理,以保证运行中的持续稳定。
2、选择合适的网络互联设备
在进行网络优化过程中需要考虑:实际网络中,我们经常需要用到交换机和路由器这两种设备,对他们进行正确的设置和选用,可以从一定程度上优化网络。交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号(即IP地址)来确定数据转发的地址。IP地址是在软件中实现的,描述的是设备所在的网络,有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的,由网卡生产商来分配的,而且已经固化到了网卡中去,一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。 由交换机连接的网段仍属于同一个广播域,广播数据包会在交换机连接的所有网段上传播,在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域,广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能,也可以分割广播域,但是各子广播域之间是不能通信交流的,它们之间的交流仍然需要路由器。
3、确认网线和网络设备工作正常
在网络优化和管理网络的时候,我们需要首先确认网线以及网络设备是否工作正常。在很多情况下,都会出现一些故障影响到网络的性能。网络连线故障通常包括网络线内部断裂,双绞线、RJ-45水晶头接触不良,或者是网络连接设备本身质量有问题,或是连接有问题。这时,我们可以使用测线仪来检测一下线路是否断裂,然后用替代的方法来测试一下网络设备的质量是否有问题。由于连接局域网中的每台计算机都是用双绞线来实现的,但是并不是用双绞线把两台计算机简单地相互连接起来,就能实现通信目的的,我们必须按照一定的连线规则来进行连线。双绞线的连接距离不能超过100米,如果需要连接超过100米的两台计算机时,必须使用转换设备。在连接转换设备和交换机时,我们还必须进行跳线。这是因为以太网中,一般是使用两对双绞线,排列在1、2、3、6的位置,如果使用的不是两对线,而是将原配对使用的线分开使用,就会产生较大的串扰,对网络性能造成较大影响。10M网络环境这种情况不明显,100M的网络环境下如果流量大或者距离长,网络就会无法联通。
4、优化网卡
有的网卡虽然支持PnP功能,但安装好后发现并不能好好地工作,甚至不能工作。为此,我们可以采用屏蔽网卡的PnP功能的方法来解决这一故障。要想禁用网卡的PnP功能,就必须运行网卡的设置程序(一般在驱动程序包中)。在启动设置程序后,进入设置菜单。禁用网卡的PnP功能,并将可以设置的IRQ一项修改为一个固定的值。保存该设置并退出设置程序,这样如果没有其他的设备占用该IRQ,可以保证不会出现IRQ冲突。
5、配备高性能的服务器
对网络速度影响较大的还有服务器硬盘的速度,因此正确地配置好局域网中服务器的硬盘,将对整个企业网中的网络性能有很大的改善。通常,我们在设置硬盘时需要考虑以下几个因素:
服务器中的硬盘应尽量选择转速快,容量大的产品,因为硬盘转速快,通过网络访问服务器上的数据的速度也越快;
服务器中的硬盘接口最好是SCSI型号的,因为该接口比IDE或EIDE接口传输数据时速度要快,它采用并行传输数据的模式来发送和接受数据的;
如果条件允许的话,我们可以给网络服务器安装硬盘阵列卡,因为硬盘阵列卡能较大幅度地提升硬盘的读写性能和安全性。
6、做好流量监控与管理
网管必须经常嗅探网上包的情况,了解究竟什么东西在网上传输。如果企业中有员工在使用例如网上视频点播或者BitTorrent等P2P软件的时候,对于网络带宽,尤其是局域网出口带宽,会带来巨大的影响。如果企业业务非常在乎与Internet的信息交换,那么网管就必须提醒用户或者直接在防火墙上屏蔽掉BitTorrent之类的软件保证正常的企业信息通道畅通。因此,在日常的网络流量管理中,为了有效实现网络管理4个目标,我们需要采取相应的步骤。这个步骤分别是:网络流量捕捉和分类、网络流量监视(统计和分析)和控制策略。
网络流量捕捉和分类:他是进行网络流量管理的第一步。只有通过设置捕捉点,对网络流量进行捕捉和分类,才能进行后续的分析和控制工作。这里特别需要强调的是,网络流量分类可以非常宏观化,也可以细化。比如TCP、UDP、ICMP等等的分类就比较宏观,而HTTP、FTP甚至是诸如Kazza、Skype等P2P流量的分类和识别就比较细化了。本专题介绍的Wireshark和tcpdump软件目前着重的是宏观流量的捕捉和分类,具体细化的内容管理员可以参看相关的资料获得。
网络流量监视(分析):监视步骤用来显示流量的运行状况,帮助找出问题所在和执行相应的管理策略。应用程序和网络管理能够收集分类、展示和收集信息,包括带宽利用率、活跃的主机和网络效率以及对活跃的应用程序。我们的设备能够跟踪平均和高信息的流量,识别最大的用户和应用程序,将网络流量定位到不同的领域,从应用的角度监视网络流量,分析网络带宽明确的关键问题所在。用统计报表来进行表现。该目标可以采用本专题所介绍的NTOP可视化分析管理工具来协助网络管理员在实际工作中实现。
控制策略:通过网络流量分析后,接下来根据优先级别分配带宽资源。分配的依据可以根据主机、应用等等,特别需要考虑的是注意将消耗资源的P2P程序或者音频视频下载等进行滞后考虑。用户们可以根据本专题所介绍的TC工具来进行和实现一个完整的分类监视和控制网络流量,这样,我们就可以将网络流量有效管理起来,将原来无序的网络流量变得有序起来。
7、作好网络安全
外界的网络对于内部的攻击,端口扫描对于企业网络的影响非常大。所以,安装一个防火墙或者购买一个硬件防火墙,可以采用如下两种防火墙技术:(1)多级过滤技术:所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。(2)病毒防火墙:使防火墙具有病毒防护功能。现在通常被称之为病毒防火墙,这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少损失。
另外,还可以采用成熟的入侵检测系统来保护网络,从而达到网络优化的目的。入侵检测是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。我们需要在系统中部署以Snort等为代表的在网络层、应用层进行入侵检测和阻断的软件或者组件。另外,在这些网络威胁当中,DDoS(分布式拒绝服务),其英文全称为Distributed Denial of Service,是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,像商业公司、搜索引擎和政府部门的站点。通常,DoS攻击只要一台单机和一个MODEM就可实现,与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。拒绝服务攻击攻击很难解决。首先,被用来探测DDoS和DoS击的网络流没有统一的特征;其次,DDoS布式特性使得它们极难被抵抗或追踪;再次,配置拒绝服务攻击的自动化的工具可以非常容易的下载得到,攻击者也可以使用IP伪装技术来隐藏他们的真实身份,这就导致拒绝服务攻击的追踪更加困难。我们可以使用的拒绝服务攻击防护技术包括:
(1)入侵预防:对所有攻击最好的缓解策略就是完全拦截这些攻击。这个阶段首先是要阻断已经发动的DoS攻击,有许多DoS防御机制试图使系统免遭DoS攻击:
①入口过滤:设置一个路由器来禁止带有非法源地址的包进入网络;
②出口过滤:确定了离开网络的分配的地址空间;
③基于历史的IP地址过滤:可以利用边路由器根据之前建立的地址数据库根据路由器之前的连接历史来允许包进入。
(2)关闭不使用的服务:通常如果网络服务不需要或没有使用,则可以关闭这些服务来阻止攻击发生的可能。
(3)应用安全补丁。
(4)负载平衡:使网络提供方在重要的连接上增加带宽,并防止万一攻击发生时带宽下降。
(5)使用蜜罐:是具有一定安全性的系统,用来欺骗攻击者来攻击蜜罐而不是真正的系统。
【51CTO.com独家特稿,非经授权谢绝转载!合作媒体转载请注明原文出处及作者!】
