小水管也要有尊严 网络限速优化实际案例

原创
网络 网络优化 网络运维
作为一名企业网络管理员,很多时候,都会接到底下用户的抱怨,说带宽不够用,发个邮件都要很久。这个时候,如果你头脑一热,向老板提出增加带宽的建议,那多半会受到批评和白眼。为何?因为这牵扯到了一个费用的问题,多数老板在面对这种增加费用的提案时,都会要求提案人举出列举提案的原因和提案实施后的效果。

【51CTO.com 独家特稿】作为一名企业网络管理员,很多时候,都会接到底下用户的抱怨,说带宽不够用,发个邮件都要很久。这个时候,如果你头脑一热,向老板提出增加带宽的建议,那多半会受到批评和白眼。为何?因为这牵扯到了一个费用的问题,多数老板在面对这种增加费用的提案时,都会要求提案人举出列举提案的原因和提案实施后的效果。如果之前没有做好准备,即使侥幸通过了带宽增大的方案,而实际运行起来网络状况并没有改善的话,老板会对你丧失信任,间接的,以后再想提出一些方案,所遇到的阻挠就会变大,公司地位的下降,即意味着尊严的丧失。所以我们要时刻保持自己的"专业性",尽可能在控制费用的情况下为公司网络优化、提速

接手烂摊子

话说我来这家公司时间不长,年初的时候过来,老板安排的第一件事就是要我弄个方案,优化一下网速。

大概说下公司背景,这是一家带着点科技含量的公司,因为老板本身是懂技术的(精通单片机),只是他觉得自己没时间做,所以才专门招个人来管理公司网络,不过在信息化这块根本就没什么预算,所以提速完全是想当然的认为"优化"一下就能解决,完全不需要增加带宽。(这种情况相信很多人都遇到过,上司对网络优化有个大概了解,但又不全面。做的好了,是他领导的好,做的不好,就是你功夫不到家。)

我先去机房看了一下,这里先给大家看下图。

 

公司电脑不太多,实际使用的大概60台,不过说实话,这线架打的是一塌糊涂,网线接的也相当不靠谱,很可能稍微碰一碰,哪根线就不通了。而且清一色的2层交换机让人很受伤,所以端口绑定、vlan划分这种高级玩意是一个都用不上了。

这种情况下,又不想投资买设备,增加带宽,要怎么优化?

限速,不要迷信大而全

既然是限速,当然要在外网入口上做文章,先登上路由器检验一番。这路由器还不错,可以双WAN口接入,可因为费用的原因,第二个WAN口在有生之年怕是无法启用了。

接手限速,首先第一件事就是对局域网内的计算机进行MAC绑定。这样做一是防止ARP病毒攻击,二是在采集MAC的过程中,将MAC地址、IP地址和机器的使用人做一个一一对应。这样在出现问题的时候,可以快速的定位到个人。以公司的居易2950来举例,MAC绑定位于"LAN→绑定IP到MAC下"。只要简单的填写IP地址和MAC地址即可,同时勾选"强制绑定",以达到未绑定的MAC地址无法上网的要求。各位手头如果是其他路由器,可以相应选择对应的选项。#p#

网络之所以这么慢,其实归根结底是上班的时候有人用公司网络下电影、听歌、玩游戏。你懂的,这种事情不抓现行是不会有人承认的。而我初步的想法即是通过各种限制,阻止此类流量通过路由器。

比如在"对象和组→IM对象"中,禁用QQ/MSN/KC/UC以及webMSN/webYahoo等信息。

在P2P中限制迅雷、vagaa、BT。

再禁用一切流媒体和网页游戏,比如PPStream、Pplive等等。包括Tor洋葱头这种代理翻墙的东西也禁用掉。

能设置禁用的全禁用掉,这下该功德圆满了把?赶紧去把这些策略生效。在"内容安全管理→应用程序强化管理"中,将相应策略启用。#p#

自己实验了下,发现QQ上不去了、MSN也上不去了,各类娱乐网站也上不去了。设置起来相当简单,实施起来也相当简单。

费用阻挠,更换解决方案

其实优化的事情有老板罩着,所以上不去QQ,上不去MSN让大家都很不满意,不过在这方面并没有遇到更多人遇到的那种因为限制了QQ,引起员工反弹继而策略执行不下去的窘态。不过即使是这样,最终这个限制方案还是夭折了。

原因其实很简单,因为优化之后,打开网页的速度更慢了。可能很多人会纳闷,既然都做了完善的限制优化,为什么反而打开网页速度变慢了?

我们都知道,现在的硬件路由器上基本都是类单片机的。都包含CPU和内存。当然这颗CPU可不是大家经常使用的奔腾、速龙,而是精简指令集型的,低功耗、低发热、处理任务较为单一和简单。而每一个策略,相当于在这个操作系统上多运行了一个程序。策略的增多,无形中影响了网络信号的延时和处理速度。对于居易2950这台区区64M内存的机器来说,尽管在路由器中,这内存还算比较大的,但在策略全开的情况下,这点配置还远远不够。

想要在全开策略的前提下保持流畅的网速,只能更换硬件更为强大的路由器。然而这是和老板的意志背道而驰的。俗话说"文治武功",要是不限制预算,那么堆硬件怎么也把这任务给堆成了。既然限制预算,那么换个方向思考解决问题,不啻为一剂良药。

限速目的要明确,合理监控是关键

大禹治水都知道宜疏不宜堵,做了那么多限制,难免不会有漏掉的策略,可能今天限制了无法登陆qq农场,但难保今后不会有个aa农场bb农场,或者农场都无法玩,改玩其他的。实施策略和反病毒都是一样的,永远都是在出现状况之后才能发现。

在路由器上看了看,发现有个LANMonitor端口(网络监控),顿时茅塞顿开,想到了一个更好的方法。

#p#

很随意的找了一台公司不用的低配电脑,将网络口接到了路由器的LANMonitor口(这个端口其实就是固化了的一个端口镜像,类似于三层交换机上的端口镜像,同三层交换不同的是,这个端口无法转移,无法修改绑定的监控口)上,同时在电脑上装了一个路由器附送的一个监控软件,接好后,路由器面板的Monitor灯亮了。

安装的过程简单,这里就不赘述了。软件是基于winpcap的,大名鼎鼎的嗅探软件sniffer pro也是基于这个环境的。安装的时候会自动安装php、apache以及winpacp。如果之前安装过这些,可能会产生冲突。所以这台机器只能在没有安装过php和apache的环境上安装。

登录之后,可以清晰的看到当日的流量情况,由于之前做过了MAC绑定的策略,所以这里也不担心有人私自篡改IP。

看到IP流量什么都决定不了,只能说明有些人白天的流量太多了,但现在谁也不知道他都干了什么,如果某人一口咬定就是在工作相关上网,你怎么处理?

看看每日的通信流量,从图表的右侧流量曲线图中可以发现,电脑晚上没有关机,夜间一直在下载,到了白天,流量才减少,开始认真工作。

#p#

好吧好吧,就当你是晚上在下载学习资料,果真如此么?让我来看看你的网页访问记录吧。什么,竟然有一条bbs.yingkong.net的访问记录,这是著名的娱乐站,就当我真的不知道么?

好吧好吧,yingkong现在开始提供一些技术信息,技术版面有资料下载。虽然你这么说,但是我不信,来看看到底都看了些什么。

看到这些了,所以疑问全部迎刃而解。原来技术信息是火影忍者和海贼王更新了。看来我也是个很专业的技术流了。

再来看看你这段时间的P2P信息。流量不小。

很简单的,找到了网速慢的根本原因,而实现这些的成本也几乎没有(只是添加了一台退役的电脑作为监控器)系统配置很低,从图中我们就可以看出来。

和Sniffer Pro相比,一套成熟的监控软件/硬件可以极大的提高可阅读性和降低管理难度。(关于Sniffer Pro,可以参阅自己动手打造公司内网监管利器 )#p#

配合制度,完美限速

通过这个路由器附带的监控软件,老板这种技术流也能很清晰的发现一天到晚谁是认真工作的,谁是上班打游戏的。同时软件本身也支持匿名访问,即只能看到流量信息,而看不到实际访问网站的记录。老板发话,每天流量前十名将会对访问记录重点抽查,发现有上班时间干工作不相干事情的,一律通报。

之后,这个平台上每天查看自己流量排名的人也就多了起来。

 

以前,大家可能觉得限制了,是限制了自由,影响了正常办公。而现在,既然有人知道到底做了什么,自然也就谨慎了许多。

从制度改革到现在,也有半年多了,公司的2M小水管正常稳定的运行至今,老板没有再说过什么。而那台监控用的破电脑,负载也很低,更多的时候只是作为一种威慑。

案例中所涉及的监控软件属于路由器附赠产品,其实市面上同类产品不少,有个很好听的名字,叫"上网行为管理",在国内,网康这一块做的很不错。

信息化的每一项改革都会损伤到其他部门的利益、包括额外的学习负担、培训负担、以及被管理的束缚感,但作为从业者的我们,如果没有胆量去提出,去改变,那就只能把自己划分到一个很低的层次。

【51CTO独家特稿,转载请注明出处及作者。】

 

责任编辑:佟健 来源: 51CTO.com
相关推荐

2015-10-13 10:33:25

游戏品质细节

2018-07-18 06:17:17

2019-09-19 17:07:05

戴尔

2009-06-15 09:09:01

Opera浏览器市场份额

2021-08-20 11:29:45

5G移动通信新基建

2019-09-29 10:05:26

Linux命令行工具代码

2010-08-26 15:54:06

2017-03-18 13:53:56

华为生态伙伴大会2017

2010-12-15 12:43:35

网络管理

2010-08-31 16:20:10

DHCP OPTION

2015-07-17 16:23:14

MySQL优化

2021-04-22 10:45:28

高并发架构BAT

2010-05-14 18:22:56

MySQLSQL优化索

2010-03-05 15:07:35

Python优化图片

2018-03-13 07:17:39

网络限速运营商网络

2012-06-05 09:34:47

2010-11-30 09:40:15

流量控制设备AllotQOS策略

2012-11-14 10:17:13

移动技术BYOD

2009-11-17 18:21:42

路由器配置

2009-05-22 09:24:00

Blue Coat网络优化安全
点赞
收藏

51CTO技术栈公众号