網(wǎng)絡(luò)優(yōu)化常用技法

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

大中型企業(yè)的網(wǎng)絡(luò)為成百上千的企業(yè)用戶服務(wù)。本文從多個(gè)角度探討實(shí)踐中一些常用的網(wǎng)絡(luò)優(yōu)化技巧。

設(shè)計(jì)好網(wǎng)絡(luò)

做好網(wǎng)絡(luò)設(shè)計(jì)是網(wǎng)絡(luò)優(yōu)化的第一步。一個(gè)好的網(wǎng)絡(luò)整體規(guī)劃設(shè)計(jì)不但能夠滿足性能的要求，而且投入少，同時(shí)還應(yīng)該便于日后的擴(kuò)容，需滿足以下幾個(gè)要求:

功能性: 網(wǎng)絡(luò)能夠滿足工作上的需要，必須以理想的速度和可靠性為用戶提供連接。

可擴(kuò)展性: 網(wǎng)絡(luò)能夠擴(kuò)容，應(yīng)該可以在不對(duì)全局做較大改動(dòng)的情況下擴(kuò)容網(wǎng)絡(luò)。

適應(yīng)性: 網(wǎng)絡(luò)在設(shè)計(jì)時(shí)應(yīng)該具有長(zhǎng)遠(yuǎn)的目光，考慮到未來技術(shù)的發(fā)展。

易管理性: 應(yīng)該支持網(wǎng)絡(luò)監(jiān)控和管理，以保證運(yùn)行中的持續(xù)穩(wěn)定。

在實(shí)際網(wǎng)絡(luò)中，需要用到交換機(jī)和路由器這兩種設(shè)備，對(duì)它們進(jìn)行正確的設(shè)置，可以優(yōu)化網(wǎng)絡(luò)。要了解MAC地址、IP地址與硬件之間的相互關(guān)系，并且根據(jù)實(shí)際情況優(yōu)化配置，對(duì)以后管理網(wǎng)絡(luò)起到事半功倍的作用。

在優(yōu)化和管理網(wǎng)絡(luò)之前，首先需要確認(rèn)網(wǎng)線以及網(wǎng)絡(luò)設(shè)備是否正常工作。在很多情況下，會(huì)出現(xiàn)一些故障影響到網(wǎng)絡(luò)的性能，這包括網(wǎng)絡(luò)線內(nèi)部斷裂，雙絞線、RJ-45水晶頭接觸不良，或者是網(wǎng)絡(luò)連接設(shè)備本身質(zhì)量有問題等。這時(shí)，可以使用測(cè)線儀來檢測(cè)線路是否斷裂，然后用替代的方法測(cè)試網(wǎng)絡(luò)設(shè)備的質(zhì)量。

有的網(wǎng)卡雖然支持PnP功能，但安裝好后并不能好好地工作，甚至不能工作。為此，可采用屏蔽網(wǎng)卡的PnP功能的方法來解決。要想禁用網(wǎng)卡的PnP功能，就必須運(yùn)行網(wǎng)卡的設(shè)置程序(一般在驅(qū)動(dòng)程序包中)。在啟動(dòng)設(shè)置程序后，進(jìn)入設(shè)置菜單。禁用網(wǎng)卡的PnP功能，并將可以設(shè)置的IRQ一項(xiàng)修改為一個(gè)固定的值。保存該設(shè)置并退出設(shè)置程序，這樣如果沒有其他的設(shè)備占用該IRQ，可以保證不會(huì)出現(xiàn)IRQ沖突。

雙絞線的連接距離不能超過100米，如果需要超過這個(gè)距離時(shí)，必須使用轉(zhuǎn)換設(shè)備。在連接轉(zhuǎn)換設(shè)備和交換機(jī)時(shí)，還必須進(jìn)行跳線。這是因?yàn)樵谝蕴W(wǎng)中，一般是使用兩對(duì)雙絞線，排列在1、2、3、6的位置; 如果使用的不是兩對(duì)線，而是將原配對(duì)使用的線分開使用，就會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生較大的串?dāng)_。這種情況在10M網(wǎng)絡(luò)環(huán)境下不明顯; 但如果在100M的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)流量大或者網(wǎng)線距離過長(zhǎng)，網(wǎng)絡(luò)就會(huì)被串?dāng)_而無(wú)法連通。

監(jiān)控流量

網(wǎng)管必須經(jīng)常嗅探網(wǎng)上包的情況，了解究竟什么東西在網(wǎng)上傳輸。如果企業(yè)中有員工在使用例如網(wǎng)上視頻點(diǎn)播或者BitTorrent等P2P軟件的時(shí)候，這種應(yīng)用對(duì)于網(wǎng)絡(luò)帶寬，尤其是局域網(wǎng)出口帶寬會(huì)帶來巨大的影響。如果企業(yè)業(yè)務(wù)非常在乎與互聯(lián)網(wǎng)的信息交換，那么網(wǎng)管就必須提醒用戶或者直接在防火墻上屏蔽掉P2P之類的軟件來確保信息通道暢通。因此，在日常的網(wǎng)絡(luò)流量管理中，需要采取這四個(gè)步驟預(yù)防: 網(wǎng)絡(luò)流量捕捉和分類、網(wǎng)絡(luò)流量監(jiān)視（統(tǒng)計(jì)和分析）和控制策略。

網(wǎng)絡(luò)流量捕捉和分類: 這是進(jìn)行網(wǎng)絡(luò)流量管理的第一步。只有通過設(shè)置捕捉點(diǎn)，對(duì)網(wǎng)絡(luò)流量進(jìn)行捕捉和分類，才能進(jìn)行后續(xù)的分析和控制工作。這里特別需要強(qiáng)調(diào)的是，網(wǎng)絡(luò)流量分類可以非常宏觀化，也可以細(xì)化。比如TCP、UDP、ICMP等的分類就比較宏觀，而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類和識(shí)別就比較細(xì)化。

網(wǎng)絡(luò)流量監(jiān)視（分析）: 監(jiān)視步驟用來顯示流量的運(yùn)行狀況，幫助找出問題所在和執(zhí)行相應(yīng)的管理策略。應(yīng)用程序和網(wǎng)絡(luò)管理能夠收集分類、展示和收集信息，包括帶寬利用率、活躍的主機(jī)和網(wǎng)絡(luò)效率以及相對(duì)活躍的應(yīng)用程序。流量設(shè)備能夠跟蹤平均和高信息流量，分析網(wǎng)絡(luò)帶寬明確關(guān)鍵問題所在，最后用統(tǒng)計(jì)報(bào)表來進(jìn)行表現(xiàn)。

控制策略: 優(yōu)先級(jí)別分配帶寬資源的依據(jù)可以根據(jù)主機(jī)、應(yīng)用等情況，特別需要考慮的是P2P程序或者音頻視頻等應(yīng)用。用戶可以根據(jù)TC工具來進(jìn)行和實(shí)現(xiàn)一個(gè)完整的分類監(jiān)視和控制網(wǎng)絡(luò)流量。

做好網(wǎng)絡(luò)安全

來自外界的端口掃描對(duì)企業(yè)網(wǎng)絡(luò)的影響非常大。所以，安裝一個(gè)防火墻可以采用如下兩種防火墻技術(shù)。

多級(jí)過濾技術(shù): 這是指防火墻采用多級(jí)過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡(luò)層）一級(jí)，過濾掉所有的源路由分組和假冒的IP源地址; 在傳輸層一級(jí)，遵循過濾規(guī)則，過濾掉所有禁止出入的協(xié)議和有害數(shù)據(jù)包如Nuke包、圣誕樹包等; 在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)互聯(lián)網(wǎng)中提供的所用通用服務(wù)。這是針對(duì)防火墻技術(shù)的缺點(diǎn)而產(chǎn)生的一種綜合型過濾技術(shù)，可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

病毒防火墻: 現(xiàn)在通常被稱之為病毒防火墻，這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的防護(hù)手段更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少損失。

另外，還可以采用成熟的入侵檢測(cè)系統(tǒng)來保護(hù)網(wǎng)絡(luò)，從而達(dá)到網(wǎng)絡(luò)優(yōu)化的目的。入侵檢測(cè)是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。網(wǎng)管需要在系統(tǒng)中部署以Snort等為代表的在網(wǎng)絡(luò)層、應(yīng)用層進(jìn)行入侵檢測(cè)和阻斷的軟件或者組件。

另外，在這些網(wǎng)絡(luò)威脅當(dāng)中，DDoS（分布式拒絕服務(wù)，Distributed Denial of Service），是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎和政府部門的站點(diǎn)。DDoS攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，這種來勢(shì)迅猛的攻擊令人難以防備，因此具有較大的破壞性。

可以使用的拒絕服務(wù)攻擊防護(hù)技術(shù)如下。

1. 入侵預(yù)防: 對(duì)所有攻擊最好的緩解策略就是完全攔截這些攻擊。這個(gè)階段首先是要阻斷已經(jīng)發(fā)動(dòng)的DoS攻擊，有許多DoS防御機(jī)制試圖使系統(tǒng)免遭DoS攻擊。入口過濾: 設(shè)置一個(gè)路由器來禁止帶有非法源地址的包進(jìn)入網(wǎng)絡(luò); 出口過濾: 確定了離開網(wǎng)絡(luò)的分配的地址空間; 基于歷史的IP地址過濾: 可以利用邊路由器根據(jù)之前建立的地址數(shù)據(jù)庫(kù)以及連接歷史來允許包進(jìn)入。

2. 關(guān)閉不使用的服務(wù): 通常如果網(wǎng)絡(luò)服務(wù)不需要或沒有使用，則可以關(guān)閉這些服務(wù)來阻止攻擊發(fā)生的可能。

3. 應(yīng)用安全補(bǔ)丁。

4. 負(fù)載平衡: 使網(wǎng)絡(luò)提供方在重要的連接上增加帶寬，并防止萬(wàn)一攻擊發(fā)生時(shí)帶寬性能下降。

5. 使用蜜罐: 是具有一定安全性的系統(tǒng)，用來欺騙攻擊者來攻擊蜜罐而不是真正的系統(tǒng)。

鏈  接

企業(yè)網(wǎng)絡(luò)配置服務(wù)器須知

對(duì)網(wǎng)絡(luò)速度影響較大的還有服務(wù)器硬盤的速度。因此正確地配置好局域網(wǎng)中服務(wù)器的硬盤，將會(huì)改善網(wǎng)絡(luò)性能。通常，在設(shè)置硬盤時(shí)需要考慮以下幾個(gè)因素:

硬盤應(yīng)盡量選擇轉(zhuǎn)速快、容量大的產(chǎn)品，這樣，通過網(wǎng)絡(luò)訪問服務(wù)器的速度也會(huì)快。

硬盤接口最好是SCSI型號(hào)的，因?yàn)樵摻涌诒菼DE或EIDE接口傳輸數(shù)據(jù)時(shí)速度要快，它采用并行傳輸數(shù)據(jù)的模式來發(fā)送和接收數(shù)據(jù)的。

給網(wǎng)絡(luò)服務(wù)器安裝硬盤陣列卡，可較大幅度地提升硬盤的讀寫性能和安全性。