【51CTO.com獨家特稿】在大中型企業(yè)中，目前都有自己的網(wǎng)絡管理和維護人員。這些網(wǎng)絡一般都需要為成百上千的企業(yè)用戶服務，如何從多個層面對網(wǎng)絡進行優(yōu)化，最大程度地掌握和駕馭它來為工作服務，是網(wǎng)絡管理人員的頭等大事。本文將從多個角度給出一些實踐中常用的網(wǎng)絡優(yōu)化技巧，以希望大家更好地去優(yōu)化和管理網(wǎng)絡，從而更好的利用網(wǎng)絡去開展的工作。

1、作好網(wǎng)絡設計

一個好的網(wǎng)絡整體規(guī)劃設計不但能夠滿足性能的要求，而且使用了最少的投入，同時還應該便于支持日后對于網(wǎng)絡的擴大處理。因此，作好網(wǎng)絡設計是網(wǎng)絡優(yōu)化的非常官的第一步。通常來說，一個好的網(wǎng)絡設計需要滿足以下幾個要求：

功能性：這個網(wǎng)絡必須能夠工作。它要使得用戶能夠滿足工作上的需要，必須以合理的速度和可靠性為用戶提供用戶到用戶和用戶到應用的連接。

可擴展性：這個網(wǎng)絡應該能夠增長。最初的設計應能在不對全局做較大改動的情況下使網(wǎng)絡增長。

適應性：這個網(wǎng)絡在設計時應該具有長遠的目光，考慮到未來技術的發(fā)展。并且，不應該包含限制新技術在網(wǎng)絡中開展的因素。

易管理性：應該支持網(wǎng)絡監(jiān)控和管理，以保證運行中的持續(xù)穩(wěn)定。

2、選擇合適的網(wǎng)絡互聯(lián)設備

在進行網(wǎng)絡優(yōu)化過程中需要考慮：實際網(wǎng)絡中，我們經(jīng)常需要用到交換機和路由器這兩種設備，對他們進行正確的設置和選用，可以從一定程度上優(yōu)化網(wǎng)絡。交換機是利用物理地址或者說MAC地址來確定轉發(fā)數(shù)據(jù)的目的地址。而路由器則是利用不同網(wǎng)絡的ID號（即IP地址）來確定數(shù)據(jù)轉發(fā)的地址。IP地址是在軟件中實現(xiàn)的，描述的是設備所在的網(wǎng)絡，有時這些第三層的地址也稱為協(xié)議地址或者網(wǎng)絡地址。MAC地址通常是硬件自帶的，由網(wǎng)卡生產(chǎn)商來分配的，而且已經(jīng)固化到了網(wǎng)卡中去，一般來說是不可更改的。而IP地址則通常由網(wǎng)絡管理員或系統(tǒng)自動分配。 由交換機連接的網(wǎng)段仍屬于同一個廣播域，廣播數(shù)據(jù)包會在交換機連接的所有網(wǎng)段上傳播，在某些情況下會導致通信擁擠和安全漏洞。連接到路由器上的網(wǎng)段會被分配成不同的廣播域，廣播數(shù)據(jù)不會穿過路由器。雖然第三層以上交換機具有VLAN功能，也可以分割廣播域，但是各子廣播域之間是不能通信交流的，它們之間的交流仍然需要路由器。

3、確認網(wǎng)線和網(wǎng)絡設備工作正常

在網(wǎng)絡優(yōu)化和管理網(wǎng)絡的時候，我們需要首先確認網(wǎng)線以及網(wǎng)絡設備是否工作正常。在很多情況下，都會出現(xiàn)一些故障影響到網(wǎng)絡的性能。網(wǎng)絡連線故障通常包括網(wǎng)絡線內(nèi)部斷裂，雙絞線、RJ-45水晶頭接觸不良，或者是網(wǎng)絡連接設備本身質(zhì)量有問題，或是連接有問題。這時，我們可以使用測線儀來檢測一下線路是否斷裂，然后用替代的方法來測試一下網(wǎng)絡設備的質(zhì)量是否有問題。由于連接局域網(wǎng)中的每臺計算機都是用雙絞線來實現(xiàn)的，但是并不是用雙絞線把兩臺計算機簡單地相互連接起來，就能實現(xiàn)通信目的的，我們必須按照一定的連線規(guī)則來進行連線。雙絞線的連接距離不能超過100米，如果需要連接超過100米的兩臺計算機時，必須使用轉換設備。在連接轉換設備和交換機時，我們還必須進行跳線。這是因為以太網(wǎng)中，一般是使用兩對雙絞線，排列在1、2、3、6的位置，如果使用的不是兩對線，而是將原配對使用的線分開使用，就會產(chǎn)生較大的串擾，對網(wǎng)絡性能造成較大影響。10M網(wǎng)絡環(huán)境這種情況不明顯，100M的網(wǎng)絡環(huán)境下如果流量大或者距離長，網(wǎng)絡就會無法聯(lián)通。

4、優(yōu)化網(wǎng)卡

有的網(wǎng)卡雖然支持PnP功能，但安裝好后發(fā)現(xiàn)并不能好好地工作，甚至不能工作。為此，我們可以采用屏蔽網(wǎng)卡的PnP功能的方法來解決這一故障。要想禁用網(wǎng)卡的PnP功能，就必須運行網(wǎng)卡的設置程序(一般在驅動程序包中)。在啟動設置程序后，進入設置菜單。禁用網(wǎng)卡的PnP功能，并將可以設置的IRQ一項修改為一個固定的值。保存該設置并退出設置程序，這樣如果沒有其他的設備占用該IRQ，可以保證不會出現(xiàn)IRQ沖突。

5、配備高性能的服務器

對網(wǎng)絡速度影響較大的還有服務器硬盤的速度，因此正確地配置好局域網(wǎng)中服務器的硬盤，將對整個企業(yè)網(wǎng)中的網(wǎng)絡性能有很大的改善。通常，我們在設置硬盤時需要考慮以下幾個因素：

服務器中的硬盤應盡量選擇轉速快，容量大的產(chǎn)品，因為硬盤轉速快，通過網(wǎng)絡訪問服務器上的數(shù)據(jù)的速度也越快；

服務器中的硬盤接口最好是SCSI型號的，因為該接口比IDE或EIDE接口傳輸數(shù)據(jù)時速度要快，它采用并行傳輸數(shù)據(jù)的模式來發(fā)送和接受數(shù)據(jù)的；

如果條件允許的話，我們可以給網(wǎng)絡服務器安裝硬盤陣列卡，因為硬盤陣列卡能較大幅度地提升硬盤的讀寫性能和安全性。

6、做好流量監(jiān)控與管理

網(wǎng)管必須經(jīng)常嗅探網(wǎng)上包的情況，了解究竟什么東西在網(wǎng)上傳輸。如果企業(yè)中有員工在使用例如網(wǎng)上視頻點播或者BitTorrent等P2P軟件的時候，對于網(wǎng)絡帶寬，尤其是局域網(wǎng)出口帶寬，會帶來巨大的影響。如果企業(yè)業(yè)務非常在乎與Internet的信息交換，那么網(wǎng)管就必須提醒用戶或者直接在防火墻上屏蔽掉BitTorrent之類的軟件保證正常的企業(yè)信息通道暢通。因此，在日常的網(wǎng)絡流量管理中，為了有效實現(xiàn)網(wǎng)絡管理4個目標，我們需要采取相應的步驟。這個步驟分別是：網(wǎng)絡流量捕捉和分類、網(wǎng)絡流量監(jiān)視（統(tǒng)計和分析）和控制策略。

網(wǎng)絡流量捕捉和分類：他是進行網(wǎng)絡流量管理的第一步。只有通過設置捕捉點，對網(wǎng)絡流量進行捕捉和分類，才能進行后續(xù)的分析和控制工作。這里特別需要強調(diào)的是，網(wǎng)絡流量分類可以非常宏觀化，也可以細化。比如TCP、UDP、ICMP等等的分類就比較宏觀，而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類和識別就比較細化了。本專題介紹的Wireshark和tcpdump軟件目前著重的是宏觀流量的捕捉和分類，具體細化的內(nèi)容管理員可以參看相關的資料獲得。

網(wǎng)絡流量監(jiān)視（分析）：監(jiān)視步驟用來顯示流量的運行狀況，幫助找出問題所在和執(zhí)行相應的管理策略。應用程序和網(wǎng)絡管理能夠收集分類、展示和收集信息，包括帶寬利用率、活躍的主機和網(wǎng)絡效率以及對活躍的應用程序。我們的設備能夠跟蹤平均和高信息的流量，識別最大的用戶和應用程序，將網(wǎng)絡流量定位到不同的領域，從應用的角度監(jiān)視網(wǎng)絡流量，分析網(wǎng)絡帶寬明確的關鍵問題所在。用統(tǒng)計報表來進行表現(xiàn)。該目標可以采用本專題所介紹的NTOP可視化分析管理工具來協(xié)助網(wǎng)絡管理員在實際工作中實現(xiàn)。

控制策略：通過網(wǎng)絡流量分析后，接下來根據(jù)優(yōu)先級別分配帶寬資源。分配的依據(jù)可以根據(jù)主機、應用等等，特別需要考慮的是注意將消耗資源的P2P程序或者音頻視頻下載等進行滯后考慮。用戶們可以根據(jù)本專題所介紹的TC工具來進行和實現(xiàn)一個完整的分類監(jiān)視和控制網(wǎng)絡流量，這樣，我們就可以將網(wǎng)絡流量有效管理起來，將原來無序的網(wǎng)絡流量變得有序起來。

7、作好網(wǎng)絡安全

外界的網(wǎng)絡對于內(nèi)部的攻擊，端口掃描對于企業(yè)網(wǎng)絡的影響非常大。所以，安裝一個防火墻或者購買一個硬件防火墻，可以采用如下兩種防火墻技術：（1）多級過濾技術：所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應用網(wǎng)關（應用層）一級，能利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產(chǎn)生的一種綜合型過濾技術，可以彌補以上各種單獨過濾技術的不足。這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網(wǎng)絡層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術發(fā)展打下基礎。（2）病毒防火墻：使防火墻具有病毒防護功能。現(xiàn)在通常被稱之為病毒防火墻，這種防火墻技術可以有效地防止病毒在網(wǎng)絡中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護功能的防火墻可以大大減少損失。

另外，還可以采用成熟的入侵檢測系統(tǒng)來保護網(wǎng)絡，從而達到網(wǎng)絡優(yōu)化的目的。入侵檢測是依照一定的安全策略，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。我們需要在系統(tǒng)中部署以Snort等為代表的在網(wǎng)絡層、應用層進行入侵檢測和阻斷的軟件或者組件。另外，在這些網(wǎng)絡威脅當中，DDoS（分布式拒絕服務），其英文全稱為Distributed Denial of Service，是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，像商業(yè)公司、搜索引擎和政府部門的站點。通常，DoS攻擊只要一臺單機和一個MODEM就可實現(xiàn)，與之不同的是DDoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。拒絕服務攻擊攻擊很難解決。首先，被用來探測DDoS和DoS擊的網(wǎng)絡流沒有統(tǒng)一的特征；其次，DDoS布式特性使得它們極難被抵抗或追蹤；再次，配置拒絕服務攻擊的自動化的工具可以非常容易的下載得到，攻擊者也可以使用IP偽裝技術來隱藏他們的真實身份，這就導致拒絕服務攻擊的追蹤更加困難。我們可以使用的拒絕服務攻擊防護技術包括：

（1）入侵預防：對所有攻擊最好的緩解策略就是完全攔截這些攻擊。這個階段首先是要阻斷已經(jīng)發(fā)動的DoS攻擊，有許多DoS防御機制試圖使系統(tǒng)免遭DoS攻擊：

①入口過濾：設置一個路由器來禁止帶有非法源地址的包進入網(wǎng)絡；

②出口過濾：確定了離開網(wǎng)絡的分配的地址空間；

③基于歷史的IP地址過濾：可以利用邊路由器根據(jù)之前建立的地址數(shù)據(jù)庫根據(jù)路由器之前的連接歷史來允許包進入。

（2）關閉不使用的服務：通常如果網(wǎng)絡服務不需要或沒有使用，則可以關閉這些服務來阻止攻擊發(fā)生的可能。

（3）應用安全補丁。

（4）負載平衡：使網(wǎng)絡提供方在重要的連接上增加帶寬，并防止萬一攻擊發(fā)生時帶寬下降。

（5）使用蜜罐：是具有一定安全性的系統(tǒng)，用來欺騙攻擊者來攻擊蜜罐而不是真正的系統(tǒng)。

【51CTO.com獨家特稿，非經(jīng)授權謝絕轉載！合作媒體轉載請注明原文出處及作者！】