【51CTO.com獨(dú)家特稿】在大中型企業(yè)中，目前都有自己的網(wǎng)絡(luò)管理和維護(hù)人員。這些網(wǎng)絡(luò)一般都需要為成百上千的企業(yè)用戶服務(wù)，如何從多個(gè)層面對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化，最大程度地掌握和駕馭它來為工作服務(wù)，是網(wǎng)絡(luò)管理人員的頭等大事。本文將從多個(gè)角度給出一些實(shí)踐中常用的網(wǎng)絡(luò)優(yōu)化技巧，以希望大家更好地去優(yōu)化和管理網(wǎng)絡(luò)，從而更好的利用網(wǎng)絡(luò)去開展的工作。

1、作好網(wǎng)絡(luò)設(shè)計(jì)

一個(gè)好的網(wǎng)絡(luò)整體規(guī)劃設(shè)計(jì)不但能夠滿足性能的要求，而且使用了最少的投入，同時(shí)還應(yīng)該便于支持日后對(duì)于網(wǎng)絡(luò)的擴(kuò)大處理。因此，作好網(wǎng)絡(luò)設(shè)計(jì)是網(wǎng)絡(luò)優(yōu)化的非常官的第一步。通常來說，一個(gè)好的網(wǎng)絡(luò)設(shè)計(jì)需要滿足以下幾個(gè)要求：

功能性：這個(gè)網(wǎng)絡(luò)必須能夠工作。它要使得用戶能夠滿足工作上的需要，必須以合理的速度和可靠性為用戶提供用戶到用戶和用戶到應(yīng)用的連接。

可擴(kuò)展性：這個(gè)網(wǎng)絡(luò)應(yīng)該能夠增長(zhǎng)。最初的設(shè)計(jì)應(yīng)能在不對(duì)全局做較大改動(dòng)的情況下使網(wǎng)絡(luò)增長(zhǎng)。

適應(yīng)性：這個(gè)網(wǎng)絡(luò)在設(shè)計(jì)時(shí)應(yīng)該具有長(zhǎng)遠(yuǎn)的目光，考慮到未來技術(shù)的發(fā)展。并且，不應(yīng)該包含限制新技術(shù)在網(wǎng)絡(luò)中開展的因素。

易管理性：應(yīng)該支持網(wǎng)絡(luò)監(jiān)控和管理，以保證運(yùn)行中的持續(xù)穩(wěn)定。

2、選擇合適的網(wǎng)絡(luò)互聯(lián)設(shè)備

在進(jìn)行網(wǎng)絡(luò)優(yōu)化過程中需要考慮：實(shí)際網(wǎng)絡(luò)中，我們經(jīng)常需要用到交換機(jī)和路由器這兩種設(shè)備，對(duì)他們進(jìn)行正確的設(shè)置和選用，可以從一定程度上優(yōu)化網(wǎng)絡(luò)。交換機(jī)是利用物理地址或者說MAC地址來確定轉(zhuǎn)發(fā)數(shù)據(jù)的目的地址。而路由器則是利用不同網(wǎng)絡(luò)的ID號(hào)（即IP地址）來確定數(shù)據(jù)轉(zhuǎn)發(fā)的地址。IP地址是在軟件中實(shí)現(xiàn)的，描述的是設(shè)備所在的網(wǎng)絡(luò)，有時(shí)這些第三層的地址也稱為協(xié)議地址或者網(wǎng)絡(luò)地址。MAC地址通常是硬件自帶的，由網(wǎng)卡生產(chǎn)商來分配的，而且已經(jīng)固化到了網(wǎng)卡中去，一般來說是不可更改的。而IP地址則通常由網(wǎng)絡(luò)管理員或系統(tǒng)自動(dòng)分配。 由交換機(jī)連接的網(wǎng)段仍屬于同一個(gè)廣播域，廣播數(shù)據(jù)包會(huì)在交換機(jī)連接的所有網(wǎng)段上傳播，在某些情況下會(huì)導(dǎo)致通信擁擠和安全漏洞。連接到路由器上的網(wǎng)段會(huì)被分配成不同的廣播域，廣播數(shù)據(jù)不會(huì)穿過路由器。雖然第三層以上交換機(jī)具有VLAN功能，也可以分割廣播域，但是各子廣播域之間是不能通信交流的，它們之間的交流仍然需要路由器。

3、確認(rèn)網(wǎng)線和網(wǎng)絡(luò)設(shè)備工作正常

在網(wǎng)絡(luò)優(yōu)化和管理網(wǎng)絡(luò)的時(shí)候，我們需要首先確認(rèn)網(wǎng)線以及網(wǎng)絡(luò)設(shè)備是否工作正常。在很多情況下，都會(huì)出現(xiàn)一些故障影響到網(wǎng)絡(luò)的性能。網(wǎng)絡(luò)連線故障通常包括網(wǎng)絡(luò)線內(nèi)部斷裂，雙絞線、RJ-45水晶頭接觸不良，或者是網(wǎng)絡(luò)連接設(shè)備本身質(zhì)量有問題，或是連接有問題。這時(shí)，我們可以使用測(cè)線儀來檢測(cè)一下線路是否斷裂，然后用替代的方法來測(cè)試一下網(wǎng)絡(luò)設(shè)備的質(zhì)量是否有問題。由于連接局域網(wǎng)中的每臺(tái)計(jì)算機(jī)都是用雙絞線來實(shí)現(xiàn)的，但是并不是用雙絞線把兩臺(tái)計(jì)算機(jī)簡(jiǎn)單地相互連接起來，就能實(shí)現(xiàn)通信目的的，我們必須按照一定的連線規(guī)則來進(jìn)行連線。雙絞線的連接距離不能超過100米，如果需要連接超過100米的兩臺(tái)計(jì)算機(jī)時(shí)，必須使用轉(zhuǎn)換設(shè)備。在連接轉(zhuǎn)換設(shè)備和交換機(jī)時(shí)，我們還必須進(jìn)行跳線。這是因?yàn)橐蕴W(wǎng)中，一般是使用兩對(duì)雙絞線，排列在1、2、3、6的位置，如果使用的不是兩對(duì)線，而是將原配對(duì)使用的線分開使用，就會(huì)產(chǎn)生較大的串?dāng)_，對(duì)網(wǎng)絡(luò)性能造成較大影響。10M網(wǎng)絡(luò)環(huán)境這種情況不明顯，100M的網(wǎng)絡(luò)環(huán)境下如果流量大或者距離長(zhǎng)，網(wǎng)絡(luò)就會(huì)無法聯(lián)通。

4、優(yōu)化網(wǎng)卡

有的網(wǎng)卡雖然支持PnP功能，但安裝好后發(fā)現(xiàn)并不能好好地工作，甚至不能工作。為此，我們可以采用屏蔽網(wǎng)卡的PnP功能的方法來解決這一故障。要想禁用網(wǎng)卡的PnP功能，就必須運(yùn)行網(wǎng)卡的設(shè)置程序(一般在驅(qū)動(dòng)程序包中)。在啟動(dòng)設(shè)置程序后，進(jìn)入設(shè)置菜單。禁用網(wǎng)卡的PnP功能，并將可以設(shè)置的IRQ一項(xiàng)修改為一個(gè)固定的值。保存該設(shè)置并退出設(shè)置程序，這樣如果沒有其他的設(shè)備占用該IRQ，可以保證不會(huì)出現(xiàn)IRQ沖突。

5、配備高性能的服務(wù)器

對(duì)網(wǎng)絡(luò)速度影響較大的還有服務(wù)器硬盤的速度，因此正確地配置好局域網(wǎng)中服務(wù)器的硬盤，將對(duì)整個(gè)企業(yè)網(wǎng)中的網(wǎng)絡(luò)性能有很大的改善。通常，我們?cè)谠O(shè)置硬盤時(shí)需要考慮以下幾個(gè)因素：

服務(wù)器中的硬盤應(yīng)盡量選擇轉(zhuǎn)速快，容量大的產(chǎn)品，因?yàn)橛脖P轉(zhuǎn)速快，通過網(wǎng)絡(luò)訪問服務(wù)器上的數(shù)據(jù)的速度也越快；

服務(wù)器中的硬盤接口最好是SCSI型號(hào)的，因?yàn)樵摻涌诒菼DE或EIDE接口傳輸數(shù)據(jù)時(shí)速度要快，它采用并行傳輸數(shù)據(jù)的模式來發(fā)送和接受數(shù)據(jù)的；

如果條件允許的話，我們可以給網(wǎng)絡(luò)服務(wù)器安裝硬盤陣列卡，因?yàn)橛脖P陣列卡能較大幅度地提升硬盤的讀寫性能和安全性。

6、做好流量監(jiān)控與管理

網(wǎng)管必須經(jīng)常嗅探網(wǎng)上包的情況，了解究竟什么東西在網(wǎng)上傳輸。如果企業(yè)中有員工在使用例如網(wǎng)上視頻點(diǎn)播或者BitTorrent等P2P軟件的時(shí)候，對(duì)于網(wǎng)絡(luò)帶寬，尤其是局域網(wǎng)出口帶寬，會(huì)帶來巨大的影響。如果企業(yè)業(yè)務(wù)非常在乎與Internet的信息交換，那么網(wǎng)管就必須提醒用戶或者直接在防火墻上屏蔽掉BitTorrent之類的軟件保證正常的企業(yè)信息通道暢通。因此，在日常的網(wǎng)絡(luò)流量管理中，為了有效實(shí)現(xiàn)網(wǎng)絡(luò)管理4個(gè)目標(biāo)，我們需要采取相應(yīng)的步驟。這個(gè)步驟分別是：網(wǎng)絡(luò)流量捕捉和分類、網(wǎng)絡(luò)流量監(jiān)視（統(tǒng)計(jì)和分析）和控制策略。

網(wǎng)絡(luò)流量捕捉和分類：他是進(jìn)行網(wǎng)絡(luò)流量管理的第一步。只有通過設(shè)置捕捉點(diǎn)，對(duì)網(wǎng)絡(luò)流量進(jìn)行捕捉和分類，才能進(jìn)行后續(xù)的分析和控制工作。這里特別需要強(qiáng)調(diào)的是，網(wǎng)絡(luò)流量分類可以非常宏觀化，也可以細(xì)化。比如TCP、UDP、ICMP等等的分類就比較宏觀，而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類和識(shí)別就比較細(xì)化了。本專題介紹的Wireshark和tcpdump軟件目前著重的是宏觀流量的捕捉和分類，具體細(xì)化的內(nèi)容管理員可以參看相關(guān)的資料獲得。

網(wǎng)絡(luò)流量監(jiān)視（分析）：監(jiān)視步驟用來顯示流量的運(yùn)行狀況，幫助找出問題所在和執(zhí)行相應(yīng)的管理策略。應(yīng)用程序和網(wǎng)絡(luò)管理能夠收集分類、展示和收集信息，包括帶寬利用率、活躍的主機(jī)和網(wǎng)絡(luò)效率以及對(duì)活躍的應(yīng)用程序。我們的設(shè)備能夠跟蹤平均和高信息的流量，識(shí)別最大的用戶和應(yīng)用程序，將網(wǎng)絡(luò)流量定位到不同的領(lǐng)域，從應(yīng)用的角度監(jiān)視網(wǎng)絡(luò)流量，分析網(wǎng)絡(luò)帶寬明確的關(guān)鍵問題所在。用統(tǒng)計(jì)報(bào)表來進(jìn)行表現(xiàn)。該目標(biāo)可以采用本專題所介紹的NTOP可視化分析管理工具來協(xié)助網(wǎng)絡(luò)管理員在實(shí)際工作中實(shí)現(xiàn)。

控制策略：通過網(wǎng)絡(luò)流量分析后，接下來根據(jù)優(yōu)先級(jí)別分配帶寬資源。分配的依據(jù)可以根據(jù)主機(jī)、應(yīng)用等等，特別需要考慮的是注意將消耗資源的P2P程序或者音頻視頻下載等進(jìn)行滯后考慮。用戶們可以根據(jù)本專題所介紹的TC工具來進(jìn)行和實(shí)現(xiàn)一個(gè)完整的分類監(jiān)視和控制網(wǎng)絡(luò)流量，這樣，我們就可以將網(wǎng)絡(luò)流量有效管理起來，將原來無序的網(wǎng)絡(luò)流量變得有序起來。

7、作好網(wǎng)絡(luò)安全

外界的網(wǎng)絡(luò)對(duì)于內(nèi)部的攻擊，端口掃描對(duì)于企業(yè)網(wǎng)絡(luò)的影響非常大。所以，安裝一個(gè)防火墻或者購買一個(gè)硬件防火墻，可以采用如下兩種防火墻技術(shù)：（1）多級(jí)過濾技術(shù)：所謂多級(jí)過濾技術(shù)，是指防火墻采用多級(jí)過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡(luò)層）一級(jí)，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。（2）病毒防火墻：使防火墻具有病毒防護(hù)功能?，F(xiàn)在通常被稱之為病毒防火墻，這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少損失。

另外，還可以采用成熟的入侵檢測(cè)系統(tǒng)來保護(hù)網(wǎng)絡(luò)，從而達(dá)到網(wǎng)絡(luò)優(yōu)化的目的。入侵檢測(cè)是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。我們需要在系統(tǒng)中部署以Snort等為代表的在網(wǎng)絡(luò)層、應(yīng)用層進(jìn)行入侵檢測(cè)和阻斷的軟件或者組件。另外，在這些網(wǎng)絡(luò)威脅當(dāng)中，DDoS（分布式拒絕服務(wù)），其英文全稱為Distributed Denial of Service，是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎和政府部門的站點(diǎn)。通常，DoS攻擊只要一臺(tái)單機(jī)和一個(gè)MODEM就可實(shí)現(xiàn)，與之不同的是DDoS攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，這樣來勢(shì)迅猛的攻擊令人難以防備，因此具有較大的破壞性。拒絕服務(wù)攻擊攻擊很難解決。首先，被用來探測(cè)DDoS和DoS擊的網(wǎng)絡(luò)流沒有統(tǒng)一的特征；其次，DDoS布式特性使得它們極難被抵抗或追蹤；再次，配置拒絕服務(wù)攻擊的自動(dòng)化的工具可以非常容易的下載得到，攻擊者也可以使用IP偽裝技術(shù)來隱藏他們的真實(shí)身份，這就導(dǎo)致拒絕服務(wù)攻擊的追蹤更加困難。我們可以使用的拒絕服務(wù)攻擊防護(hù)技術(shù)包括：

（1）入侵預(yù)防：對(duì)所有攻擊最好的緩解策略就是完全攔截這些攻擊。這個(gè)階段首先是要阻斷已經(jīng)發(fā)動(dòng)的DoS攻擊，有許多DoS防御機(jī)制試圖使系統(tǒng)免遭DoS攻擊：

①入口過濾：設(shè)置一個(gè)路由器來禁止帶有非法源地址的包進(jìn)入網(wǎng)絡(luò)；

②出口過濾：確定了離開網(wǎng)絡(luò)的分配的地址空間；

③基于歷史的IP地址過濾：可以利用邊路由器根據(jù)之前建立的地址數(shù)據(jù)庫根據(jù)路由器之前的連接歷史來允許包進(jìn)入。

（2）關(guān)閉不使用的服務(wù)：通常如果網(wǎng)絡(luò)服務(wù)不需要或沒有使用，則可以關(guān)閉這些服務(wù)來阻止攻擊發(fā)生的可能。

（3）應(yīng)用安全補(bǔ)丁。

（4）負(fù)載平衡：使網(wǎng)絡(luò)提供方在重要的連接上增加帶寬，并防止萬一攻擊發(fā)生時(shí)帶寬下降。

（5）使用蜜罐：是具有一定安全性的系統(tǒng)，用來欺騙攻擊者來攻擊蜜罐而不是真正的系統(tǒng)。

【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及作者！】