【51CTO.com 獨家特稿】作為一名企業(yè)網(wǎng)絡(luò)管理員，很多時候，都會接到底下用戶的抱怨，說帶寬不夠用，發(fā)個郵件都要很久。這個時候，如果你頭腦一熱，向老板提出增加帶寬的建議，那多半會受到批評和白眼。為何？因為這牽扯到了一個費用的問題，多數(shù)老板在面對這種增加費用的提案時，都會要求提案人舉出列舉提案的原因和提案實施后的效果。如果之前沒有做好準備，即使僥幸通過了帶寬增大的方案，而實際運行起來網(wǎng)絡(luò)狀況并沒有改善的話，老板會對你喪失信任，間接的，以后再想提出一些方案，所遇到的阻撓就會變大，公司地位的下降，即意味著尊嚴的喪失。所以我們要時刻保持自己的"專業(yè)性"，盡可能在控制費用的情況下為公司網(wǎng)絡(luò)優(yōu)化、提速。

接手爛攤子

話說我來這家公司時間不長，年初的時候過來，老板安排的第一件事就是要我弄個方案，優(yōu)化一下網(wǎng)速。

大概說下公司背景，這是一家?guī)еc科技含量的公司，因為老板本身是懂技術(shù)的（精通單片機），只是他覺得自己沒時間做，所以才專門招個人來管理公司網(wǎng)絡(luò)，不過在信息化這塊根本就沒什么預(yù)算，所以提速完全是想當然的認為"優(yōu)化"一下就能解決，完全不需要增加帶寬。（這種情況相信很多人都遇到過，上司對網(wǎng)絡(luò)優(yōu)化有個大概了解，但又不全面。做的好了，是他領(lǐng)導(dǎo)的好，做的不好，就是你功夫不到家。）

我先去機房看了一下，這里先給大家看下圖。

公司電腦不太多，實際使用的大概60臺，不過說實話，這線架打的是一塌糊涂，網(wǎng)線接的也相當不靠譜，很可能稍微碰一碰，哪根線就不通了。而且清一色的2層交換機讓人很受傷，所以端口綁定、vlan劃分這種高級玩意是一個都用不上了。

這種情況下，又不想投資買設(shè)備，增加帶寬，要怎么優(yōu)化？

限速，不要迷信大而全

既然是限速，當然要在外網(wǎng)入口上做文章，先登上路由器檢驗一番。這路由器還不錯，可以雙WAN口接入，可因為費用的原因，第二個WAN口在有生之年怕是無法啟用了。

接手限速，首先第一件事就是對局域網(wǎng)內(nèi)的計算機進行MAC綁定。這樣做一是防止ARP病毒攻擊，二是在采集MAC的過程中，將MAC地址、IP地址和機器的使用人做一個一一對應(yīng)。這樣在出現(xiàn)問題的時候，可以快速的定位到個人。以公司的居易2950來舉例，MAC綁定位于"LAN→綁定IP到MAC下"。只要簡單的填寫IP地址和MAC地址即可，同時勾選"強制綁定"，以達到未綁定的MAC地址無法上網(wǎng)的要求。各位手頭如果是其他路由器，可以相應(yīng)選擇對應(yīng)的選項。#p#

網(wǎng)絡(luò)之所以這么慢，其實歸根結(jié)底是上班的時候有人用公司網(wǎng)絡(luò)下電影、聽歌、玩游戲。你懂的，這種事情不抓現(xiàn)行是不會有人承認的。而我初步的想法即是通過各種限制，阻止此類流量通過路由器。

比如在"對象和組→IM對象"中，禁用QQ/MSN/KC/UC以及webMSN/webYahoo等信息。

在P2P中限制迅雷、vagaa、BT。

再禁用一切流媒體和網(wǎng)頁游戲，比如PPStream、Pplive等等。包括Tor洋蔥頭這種代理翻墻的東西也禁用掉。

能設(shè)置禁用的全禁用掉，這下該功德圓滿了把？趕緊去把這些策略生效。在"內(nèi)容安全管理→應(yīng)用程序強化管理"中，將相應(yīng)策略啟用。#p#

自己實驗了下，發(fā)現(xiàn)QQ上不去了、MSN也上不去了，各類娛樂網(wǎng)站也上不去了。設(shè)置起來相當簡單，實施起來也相當簡單。

費用阻撓，更換解決方案

其實優(yōu)化的事情有老板罩著，所以上不去QQ，上不去MSN讓大家都很不滿意，不過在這方面并沒有遇到更多人遇到的那種因為限制了QQ，引起員工反彈繼而策略執(zhí)行不下去的窘態(tài)。不過即使是這樣，最終這個限制方案還是夭折了。

原因其實很簡單，因為優(yōu)化之后，打開網(wǎng)頁的速度更慢了?？赡芎芏嗳藭{悶，既然都做了完善的限制優(yōu)化，為什么反而打開網(wǎng)頁速度變慢了？

我們都知道，現(xiàn)在的硬件路由器上基本都是類單片機的。都包含CPU和內(nèi)存。當然這顆CPU可不是大家經(jīng)常使用的奔騰、速龍，而是精簡指令集型的，低功耗、低發(fā)熱、處理任務(wù)較為單一和簡單。而每一個策略，相當于在這個操作系統(tǒng)上多運行了一個程序。策略的增多，無形中影響了網(wǎng)絡(luò)信號的延時和處理速度。對于居易2950這臺區(qū)區(qū)64M內(nèi)存的機器來說，盡管在路由器中，這內(nèi)存還算比較大的，但在策略全開的情況下，這點配置還遠遠不夠。

想要在全開策略的前提下保持流暢的網(wǎng)速，只能更換硬件更為強大的路由器。然而這是和老板的意志背道而馳的。俗話說"文治武功"，要是不限制預(yù)算，那么堆硬件怎么也把這任務(wù)給堆成了。既然限制預(yù)算，那么換個方向思考解決問題，不啻為一劑良藥。

限速目的要明確，合理監(jiān)控是關(guān)鍵

大禹治水都知道宜疏不宜堵，做了那么多限制，難免不會有漏掉的策略，可能今天限制了無法登陸qq農(nóng)場，但難保今后不會有個aa農(nóng)場bb農(nóng)場，或者農(nóng)場都無法玩，改玩其他的。實施策略和反病毒都是一樣的，永遠都是在出現(xiàn)狀況之后才能發(fā)現(xiàn)。

在路由器上看了看，發(fā)現(xiàn)有個LANMonitor端口（網(wǎng)絡(luò)監(jiān)控），頓時茅塞頓開，想到了一個更好的方法。

#p#

很隨意的找了一臺公司不用的低配電腦，將網(wǎng)絡(luò)口接到了路由器的LANMonitor口（這個端口其實就是固化了的一個端口鏡像，類似于三層交換機上的端口鏡像，同三層交換不同的是，這個端口無法轉(zhuǎn)移，無法修改綁定的監(jiān)控口）上，同時在電腦上裝了一個路由器附送的一個監(jiān)控軟件，接好后，路由器面板的Monitor燈亮了。

安裝的過程簡單，這里就不贅述了。軟件是基于winpcap的，大名鼎鼎的嗅探軟件sniffer pro也是基于這個環(huán)境的。安裝的時候會自動安裝php、apache以及winpacp。如果之前安裝過這些，可能會產(chǎn)生沖突。所以這臺機器只能在沒有安裝過php和apache的環(huán)境上安裝。

登錄之后，可以清晰的看到當日的流量情況，由于之前做過了MAC綁定的策略，所以這里也不擔(dān)心有人私自篡改IP。

看到IP流量什么都決定不了，只能說明有些人白天的流量太多了，但現(xiàn)在誰也不知道他都干了什么，如果某人一口咬定就是在工作相關(guān)上網(wǎng)，你怎么處理？

看看每日的通信流量，從圖表的右側(cè)流量曲線圖中可以發(fā)現(xiàn)，電腦晚上沒有關(guān)機，夜間一直在下載，到了白天，流量才減少，開始認真工作。

#p#

好吧好吧，就當你是晚上在下載學(xué)習(xí)資料，果真如此么？讓我來看看你的網(wǎng)頁訪問記錄吧。什么，竟然有一條bbs.yingkong.net的訪問記錄，這是著名的娛樂站，就當我真的不知道么？

好吧好吧，yingkong現(xiàn)在開始提供一些技術(shù)信息，技術(shù)版面有資料下載。雖然你這么說，但是我不信，來看看到底都看了些什么。

看到這些了，所以疑問全部迎刃而解。原來技術(shù)信息是火影忍者和海賊王更新了?？磥砦乙彩莻€很專業(yè)的技術(shù)流了。

再來看看你這段時間的P2P信息。流量不小。

很簡單的，找到了網(wǎng)速慢的根本原因，而實現(xiàn)這些的成本也幾乎沒有（只是添加了一臺退役的電腦作為監(jiān)控器）系統(tǒng)配置很低，從圖中我們就可以看出來。

和Sniffer Pro相比，一套成熟的監(jiān)控軟件/硬件可以極大的提高可閱讀性和降低管理難度。（關(guān)于Sniffer Pro，可以參閱自己動手打造公司內(nèi)網(wǎng)監(jiān)管利器 ）#p#

配合制度，完美限速

通過這個路由器附帶的監(jiān)控軟件，老板這種技術(shù)流也能很清晰的發(fā)現(xiàn)一天到晚誰是認真工作的，誰是上班打游戲的。同時軟件本身也支持匿名訪問，即只能看到流量信息，而看不到實際訪問網(wǎng)站的記錄。老板發(fā)話，每天流量前十名將會對訪問記錄重點抽查，發(fā)現(xiàn)有上班時間干工作不相干事情的，一律通報。

之后，這個平臺上每天查看自己流量排名的人也就多了起來。

以前，大家可能覺得限制了，是限制了自由，影響了正常辦公。而現(xiàn)在，既然有人知道到底做了什么，自然也就謹慎了許多。

從制度改革到現(xiàn)在，也有半年多了，公司的2M小水管正常穩(wěn)定的運行至今，老板沒有再說過什么。而那臺監(jiān)控用的破電腦，負載也很低，更多的時候只是作為一種威懾。

案例中所涉及的監(jiān)控軟件屬于路由器附贈產(chǎn)品，其實市面上同類產(chǎn)品不少，有個很好聽的名字，叫"上網(wǎng)行為管理"，在國內(nèi)，網(wǎng)康這一塊做的很不錯。

信息化的每一項改革都會損傷到其他部門的利益、包括額外的學(xué)習(xí)負擔(dān)、培訓(xùn)負擔(dān)、以及被管理的束縛感，但作為從業(yè)者的我們，如果沒有膽量去提出，去改變，那就只能把自己劃分到一個很低的層次。

【51CTO獨家特稿，轉(zhuǎn)載請注明出處及作者?！?/p>