网络优化较常用的技法

■ 本报特约撰稿 宋瑾 李洋

　　大中型企业的网络为成百上千的企业用户服务。本文从多个角度探讨实践中一些常用的网络优化技巧。

　　设计好网络

　　做好网络设计是网络优化的较早步。一个好的网络整体规划设计不但能够满足性能的要求，而且投入少，同时还应该便于日后的扩容，需满足以下几个要求：

　　功能性： 网络能够满足工作上的需要，必须以理想的速度和可靠性为用户提供连接。

　　可扩展性： 网络能够扩容，应该可以在不对全局做较大改动的情况下扩容网络。

　　适应性： 网络在设计时应该具有长远的目光，考虑到未来技术的发展。

　　易管理性： 应该支持网络监控和管理，以保证运行中的持续稳定。

　　在实际网络中，需要用到交换机和路由器这两种设备，对它们进行正确的设置，可以优化网络。要了解MAC地址、IP地址与硬件之间的相互关系，并且根据实际情况优化配置，对以后管理网络起到事半功倍的作用。

　　在优化和管理网络之前，首先需要确认网线以及网络设备是否正常工作。在很多情况下，会出现一些故障影响到网络的性能，这包括网络线内部断裂，双绞线、RJ-45水晶头接触不良，或者是网络连接设备本身质量有问题等。这时，可以使用测线仪来检测线路是否断裂，然后用替代的方法测试网络设备的质量。

　　有的网卡虽然支持PnP功能，但安装好后并不能好好地工作，甚至不能工作。为此，可采用屏蔽网卡的PnP功能的方法来解决。要想禁用网卡的PnP功能，就必须运行网卡的设置程序(一般在驱动程序包中)。在启动设置程序后，进入设置菜单。禁用网卡的PnP功能，并将可以设置的IRQ一项修改为一个固定的值。保存该设置并退出设置程序，这样如果没有其他的设备占用该IRQ，可以保证不会出现IRQ冲突。

　　双绞线的连接距离不能超过100米，如果需要超过这个距离时，必须使用转换设备。在连接转换设备和交换机时，还必须进行跳线。这是因为在以太网中，一般是使用两对双绞线，排列在1、2、3、6的位置； 如果使用的不是两对线，而是将原配对使用的线分开使用，就会对网络产生较大的串扰。这种情况在10M网络环境下不明显； 但如果在100M的网络环境中，网络流量大或者网线距离过长，网络就会被串扰而无法连通。

　　监控流量

　　网管必须经常嗅探网上包的情况，了解究竟什么东西在网上传输。如果企业中有员工在使用例如网上视频点播或者BitTorrent等P2P软件的时候，这种应用对于网络带宽，尤其是局域网出口带宽会带来巨大的影响。如果企业业务非常在乎与互联网的信息交换，那么网管就必须提醒用户或者直接在防火墙上屏蔽掉P2P之类的软件来确保信息通道畅通。因此，在日常的网络流量管理中，需要采取这四个步骤预防： 网络流量捕捉和分类、网络流量监视(统计和分析)和控制策略。

　　网络流量捕捉和分类： 这是进行网络流量管理的较早步。只有通过设置捕捉点，对网络流量进行捕捉和分类，才能进行后续的分析和控制工作。这里特别需要强调的是，网络流量分类可以非常宏观化，也可以细化。比如TCP、UDP、ICMP等的分类就比较宏观，而HTTP、FTP甚至是诸如Kazza、Skype等P2P流量的分类和识别就比较细化。

　　网络流量监视(分析)： 监视步骤用来显示流量的运行状况，帮助找出问题所在和执行相应的管理策略。应用程序和网络管理能够收集分类、展示和收集信息，包括带宽利用率、活跃的主机和网络效率以及相对活跃的应用程序。流量设备能够跟踪平均和高信息流量，分析网络带宽明确关键问题所在，较后用统计报表来进行表现。

　　控制策略： 优先级别分配带宽资源的依据可以根据主机、应用等情况，特别需要考虑的是P2P程序或者音频视频等应用。用户可以根据TC工具来进行和实现一个完整的分类监视和控制网络流量。

　　做好网络安全

　　来自外界的端口扫描对企业网络的影响非常大。所以，安装一个防火墙可以采用如下两种防火墙技术。

　　多级过滤技术： 这是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤(网络层)一级，过滤掉所有的源路由分组和假冒的IP源地址； 在传输层一级，遵循过滤规则，过滤掉所有禁止出入的协议和有害数据包如Nuke包、圣诞树包等； 在应用网关(应用层)一级，能利用FTP、SMTP等各种网关，控制和监测互联网中提供的所用通用服务。这是针对防火墙技术的缺点而产生的一种综合型过滤技术，可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚，每种过滤技术对应于不同的网络层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术发展打下基础。

　　病毒防火墙： 现在通常被称之为病毒防火墙，这种防火墙技术可以有效地防止病毒在网络中的传播，比等待攻击的防护手段更加积极。拥有病毒防护功能的防火墙可以大大减少损失。

　　另外，还可以采用成熟的入侵检测系统来保护网络，从而达到网络优化的目的。入侵检测是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。网管需要在系统中部署以Snort等为代表的在网络层、应用层进行入侵检测和阻断的软件或者组件。

　　另外，在这些网络威胁当中，DDoS(分布式拒绝服务，Distributed Denial of Service)，是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎和政府部门的站点。DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这种来势迅猛的攻击令人难以防备，因此具有较大的破坏性。

　　可以使用的拒绝服务攻击防护技术如下。

　　1. 入侵预防： 对所有攻击较好的缓解策略就是完全拦截这些攻击。这个阶段首先是要阻断已经发动的DoS攻击，有许多DoS防御机制试图使系统免遭DoS攻击。入口过滤： 设置一个路由器来禁止带有非法源地址的包进入网络； 出口过滤： 确定了离开网络的分配的地址空间； 基于历史的IP地址过滤： 可以利用边路由器根据之前建立的地址数据库以及连接历史来允许包进入。

　　2. 关闭不使用的服务： 通常如果网络服务不需要或没有使用，则可以关闭这些服务来阻止攻击发生的可能。

　　3. 应用安全补丁。

　　4. 负载平衡： 使网络提供方在重要的连接上增加带宽，并防止万一攻击发生时带宽性能下降。

　　5. 使用蜜罐： 是具有一定安全性的系统，用来欺骗攻击者来攻击蜜罐而不是真正的系统。

　　链接

　　企业网络配置服务器须知

　　对网络速度影响较大的还有服务器硬盘的速度。因此正确地配置好局域网中服务器的硬盘，将会改善网络性能。通常，在设置硬盘时需要考虑以下几个因素：

　　硬盘应尽量选择转速快、容量大的产品，这样，通过网络访问服务器的速度也会快。

　　硬盘接口较好是SCSI型号的，因为该接口比IDE或EIDE接口传输数据时速度要快，它采用并行传输数据的模式来发送和接收数据的。

　　给网络服务器安装硬盘阵列卡，可较大幅度地提升硬盘的读写性能和安全性。