丁永富

摘要：現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模急劇擴(kuò)大，復(fù)雜程度不斷提高，計(jì)算機(jī)網(wǎng)絡(luò)優(yōu)化在計(jì)算機(jī)網(wǎng)絡(luò)中處于日趨重要的地位。如何科學(xué)的優(yōu)化計(jì)算機(jī)網(wǎng)絡(luò)，直接關(guān)系到計(jì)算機(jī)網(wǎng)絡(luò)的效能與安全。該文將從計(jì)算機(jī)網(wǎng)絡(luò)的改造、優(yōu)化和配置等三個(gè)方面，來闡述如何加強(qiáng)對網(wǎng)絡(luò)的管理。關(guān)鍵詞：網(wǎng)絡(luò)優(yōu)化；路由器；交換機(jī)；VLAN配置

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）34-0025-03

1 學(xué)校背景

澄海職業(yè)技術(shù)學(xué)校教學(xué)樓已經(jīng)構(gòu)建起較為成熟的網(wǎng)絡(luò)體系，在一定程度上滿足了日常教育教學(xué)活動的需求。但是隨著學(xué)校規(guī)模的擴(kuò)大，原有的局域網(wǎng)絡(luò)設(shè)備由于自身服務(wù)能力的限制，無法實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)資源的快速提供，對教學(xué)活動帶來了一定的限制。

學(xué)校網(wǎng)絡(luò)化信息平臺作為教育現(xiàn)代化的重要趨勢，其在實(shí)踐過程中取得了一系列成就，但也暴露出諸多問題：

1）網(wǎng)絡(luò)信息平臺處于同一個(gè)廣播域內(nèi)，容易造成安全漏洞，增加網(wǎng)絡(luò)安全運(yùn)行的風(fēng)險(xiǎn)。

2）CISCO3550交換機(jī)作為平臺的核心，運(yùn)行壓力較大，設(shè)備更新不及時(shí)，導(dǎo)致信息數(shù)據(jù)交互效率低下。

3）信息網(wǎng)絡(luò)平臺構(gòu)建過程中，缺乏有效規(guī)劃，造成核心層、匯聚層缺失，增加了故障排查檢修的困難程度。

4）信息網(wǎng)絡(luò)平臺沒有成熟安全機(jī)制的構(gòu)建，包括防ARP等病毒的基本設(shè)置也無法進(jìn)行有效防范。

5）接入層交換機(jī)無法進(jìn)行VLAN的設(shè)置，對于用于也無法進(jìn)行識別，增加了管理難度。

針對學(xué)校現(xiàn)狀對網(wǎng)絡(luò)配置進(jìn)行優(yōu)化，網(wǎng)絡(luò)配置優(yōu)化主要是面向交換機(jī)、路由器和服務(wù)器。

2 具體網(wǎng)絡(luò)調(diào)整

出于對現(xiàn)階段學(xué)校教育網(wǎng)絡(luò)的使用需求，在進(jìn)行網(wǎng)絡(luò)平臺設(shè)計(jì)與規(guī)劃的過程中，需要對網(wǎng)絡(luò)二層結(jié)構(gòu)中核心層、接入層進(jìn)行合理化安排，并對核心交換機(jī)進(jìn)行更新與優(yōu)化，對重要信息進(jìn)行備份處理，減少交換機(jī)中存在的冗余信息，增強(qiáng)交換機(jī)的工作效率。同時(shí)需要對網(wǎng)絡(luò)地址進(jìn)行規(guī)劃，進(jìn)行相關(guān)設(shè)備的合理化管理，提升用戶使用的流暢度與安全性。

對于核心網(wǎng)絡(luò)的優(yōu)化與調(diào)整，可以從H3C入手，進(jìn)行智能彈性架構(gòu)的組建，為了保證核心網(wǎng)絡(luò)升級的有效性，需要以核心層、接入層以及匯聚層三個(gè)層面的實(shí)際運(yùn)行情況與工作需求為立足點(diǎn)，對網(wǎng)絡(luò)交換機(jī)的冗余部分進(jìn)行合理化運(yùn)作，進(jìn)行網(wǎng)絡(luò)服務(wù)器功能的優(yōu)化。

1）網(wǎng)絡(luò)核心層

核心層的構(gòu)建是一個(gè)復(fù)雜的過程，需要相關(guān)技術(shù)人員與管理者立足于學(xué)校教育網(wǎng)絡(luò)的實(shí)際使用情況，進(jìn)行合理設(shè)置。作為核心層的重要構(gòu)成，高性能交換機(jī)可以對協(xié)議中的冗余進(jìn)行合理化處理，為了保證交換機(jī)作用的實(shí)現(xiàn)，需要進(jìn)行交換機(jī)種類的有效選擇，例如現(xiàn)階段杭州華三通信有限公司所推出的高端交換機(jī)，能夠針對不同的應(yīng)用環(huán)境，對交換機(jī)自身的工作性能進(jìn)行調(diào)節(jié)，并且杭州華三通信技術(shù)有限公司開發(fā)的操作系統(tǒng)，能夠?qū)崿F(xiàn)多種網(wǎng)絡(luò)服務(wù)業(yè)務(wù)的有機(jī)融合，實(shí)現(xiàn)了信息數(shù)據(jù)的高速交互、提升網(wǎng)絡(luò)的安全性與穩(wěn)定性。并且能夠在很大程度上降低了投入成本，符合了現(xiàn)階段網(wǎng)絡(luò)核心層構(gòu)建的客觀需求。

以杭州華三通信有限公司的網(wǎng)絡(luò)安全發(fā)展思路為主要框架，在為網(wǎng)絡(luò)提供更為安全、更為穩(wěn)定以及更為高效的L2/L3層信息交互的基礎(chǔ)上，實(shí)現(xiàn)了數(shù)據(jù)信息的有效分析與整理。通過對交互流程的全面分析，以QOS為主要交互策略，將可控組件進(jìn)行智能化升級等方式，將傳統(tǒng)的信息數(shù)據(jù)體系向信息數(shù)據(jù)交互平臺進(jìn)行轉(zhuǎn)變，進(jìn)而為實(shí)現(xiàn)后續(xù)通信系統(tǒng)的整合與數(shù)據(jù)處理創(chuàng)造了良好的條件。

杭州華三通信有限公司S5800系列交換機(jī)憑借自身的技術(shù)優(yōu)勢，實(shí)現(xiàn)了對雙路電源、引擎、電源以及散熱裝置等設(shè)備支持冗余架接，實(shí)現(xiàn)了設(shè)備自身的延伸性，滿足了多樣化的使用需求。并且S5800系列交換機(jī)能夠?qū)W(wǎng)絡(luò)交互協(xié)議進(jìn)行多樣化支持，實(shí)現(xiàn)了網(wǎng)絡(luò)鏈接的冗余服務(wù)，增強(qiáng)了網(wǎng)絡(luò)核心層的服務(wù)功能。S5800系列交換機(jī)在核心層中的安置，能夠?qū)崿F(xiàn)新舊教學(xué)樓之間信息交互的便捷性，降低主干線路故障發(fā)生幾率，促進(jìn)了網(wǎng)絡(luò)核心層的安全平穩(wěn)運(yùn)行。

2）網(wǎng)絡(luò)接入層設(shè)計(jì)

對于接入層的設(shè)計(jì)，需要根據(jù)實(shí)際的使用需求，進(jìn)行合理有效地交換機(jī)設(shè)置，進(jìn)行接入層的有效監(jiān)控。因此就需要用戶在使用之前進(jìn)行必要的接入認(rèn)證操作。一旦客戶認(rèn)證失敗，將無法進(jìn)行網(wǎng)路資源的訪問與下載，也無法進(jìn)行相關(guān)網(wǎng)絡(luò)數(shù)據(jù)信息資源的有效傳輸與共享。

3 具體的交換機(jī)優(yōu)化配置

1）VLAN Trunk配置---滿足在同一臺交換機(jī)上劃分的不同VLAN，都能與網(wǎng)絡(luò)上其他VLAN通信的需求，可以解決VLAN通信中的特殊要求所產(chǎn)生的網(wǎng)絡(luò)瓶頸。

2）流量控制配置---當(dāng)本地端口擁塞數(shù)據(jù)流時(shí)，暫停其他端口的數(shù)據(jù)發(fā)送，直至恢復(fù)常態(tài)。解決服務(wù)器或路由器端的流量過載問題，控制網(wǎng)絡(luò)的實(shí)時(shí)運(yùn)行速度。

3）廣播風(fēng)暴控制配置---有效抑制大量的廣播、單播或組播的數(shù)據(jù)包，避免網(wǎng)絡(luò)癱瘓。

4）端口保護(hù)配置---使同一交換機(jī)上的端口之間不進(jìn)行通信。受保護(hù)端口之間的傳輸由第三層設(shè)備轉(zhuǎn)發(fā)，保護(hù)端口與非保護(hù)端口之間的傳輸仍然在第二層（數(shù)據(jù)鏈路層）完成，既保護(hù)了網(wǎng)絡(luò)節(jié)點(diǎn)的安全，又不影響用戶之間的數(shù)據(jù)傳輸速度。

5）端口安全配置---限制訪問交換機(jī)上某個(gè)端口的MAC地址以及IP的個(gè)數(shù)，實(shí)現(xiàn)嚴(yán)格控制對該端口的輸入量，當(dāng)訪問安全端口的MAC地址超出所允許的最大限制值，其數(shù)據(jù)包將被丟棄，使其不占用網(wǎng)絡(luò)帶寬。

6）端口匯聚配置---將多個(gè)端口組合為一條邏輯鏈路增加網(wǎng)絡(luò)節(jié)點(diǎn)之間的帶寬，允許網(wǎng)絡(luò)連接設(shè)備之間并行聯(lián)接，提高了整個(gè)網(wǎng)絡(luò)的傳輸性能。

4 具體的路由器優(yōu)化配置

對路由器進(jìn)行以下幾個(gè)方面的配置：

1）配置訪問控制列表---訪問控制列表進(jìn)行過濾技術(shù)的合理化使用，在路由器第三層與第四層包頭中的信息地址等進(jìn)行預(yù)先設(shè)置，保證了目的地址、源地址等進(jìn)行有效篩選，進(jìn)而實(shí)現(xiàn)了訪問行為的有效控制。以此來保證路由器的安全性與穩(wěn)定性，進(jìn)行網(wǎng)絡(luò)環(huán)境的優(yōu)化，減少了網(wǎng)絡(luò)安全事故與惡意入侵行為的發(fā)生幾率。在對相關(guān)信息進(jìn)行訪問的過程中，需要按照設(shè)置的流程進(jìn)行權(quán)限查詢，權(quán)限允許則可以進(jìn)行訪問，否則就過濾掉。

2）限制每IP的NAT進(jìn)程數(shù)與流量---當(dāng)前BT或P2P軟件大量耗費(fèi)路由器NAT資源與帶寬，是造成網(wǎng)速慢、掉線的罪魁禍?zhǔn)?，默認(rèn)NBR對每IP的NAT進(jìn)程限制數(shù)為350，流量則沒有限制。根據(jù)實(shí)際應(yīng)用的情況，推薦將每IP的NAT進(jìn)程限制數(shù)為200，每IP的上行流量設(shè)置為500kbit/s（約合50kbyte/s），下行流量設(shè)置為1000kbit/s（約合100kbyte/s）。

3）限制NAT網(wǎng)段---某些病毒偽造原地址向外發(fā)起NAT連接對路由器進(jìn)行DDOS攻擊，造成路由器內(nèi)存耗盡，可以通過修改access-list 99避免這種攻擊。

5 具體的服務(wù)器優(yōu)化

優(yōu)化服務(wù)器能在很大程度上提升網(wǎng)絡(luò)性能，減少在服務(wù)器端的故障。

1）在服務(wù)器主板的CMOS中，將內(nèi)存訪問緩沖時(shí)間的選項(xiàng)設(shè)置為最小的緩沖時(shí)間，使內(nèi)存響應(yīng)速度更快；減少桌面顯示顏色的數(shù)量及降低顯示分辨率；盡可能不使用或使用位寬度較小的墻紙；關(guān)閉不需要的服務(wù)程序或驅(qū)動程序，盡量不要在服務(wù)器上使用其他不必要應(yīng)用程序。

2）將服務(wù)器文件系統(tǒng)改為NTFS格式，提高服務(wù)器的響應(yīng)速度、容錯(cuò)性和安全性。硬盤最好分3個(gè)區(qū)，C盤的空間一般占硬盤總?cè)萘康?0%左右，只放置網(wǎng)絡(luò)操作系統(tǒng)和有關(guān)應(yīng)用程序； 數(shù)據(jù)庫SQL或其他應(yīng)用軟件則安裝在另外一個(gè)分區(qū)，如D盤（不要安裝在C盤，以免影響系統(tǒng)運(yùn)行速度），其空間一般占硬盤總?cè)萘康?0%左右，余下的E盤可以放置其他一些工具軟件和系統(tǒng)備份。要經(jīng)常整理硬盤的碎片。

3）虛擬內(nèi)存不要放在C盤，以免影響操作系統(tǒng)和應(yīng)用程序的運(yùn)行速度；虛擬內(nèi)存空間的最大值和最小值應(yīng)手動設(shè)置為相等，其實(shí)際大小應(yīng)為物理主存的2倍，避免浪費(fèi)硬盤的實(shí)用空間。

4）為了在多個(gè)服務(wù)器之間實(shí)現(xiàn)合理的業(yè)務(wù)量分配，不至于出現(xiàn)一臺服務(wù)器過忙、而別的服務(wù)器卻休閑的現(xiàn)象，可以對服務(wù)器群進(jìn)行合理化調(diào)整，滿足服務(wù)器業(yè)務(wù)量的合理分配。而被選擇的服務(wù)器都獨(dú)立回應(yīng)客戶機(jī)的請求。

附錄：部分網(wǎng)絡(luò)設(shè)置

1）接入層交換機(jī)配置，主要將交換機(jī)所屬端口劃分到vlan20，并設(shè)置24端口為trunk。

①進(jìn)入以太網(wǎng)端口E1/0/1的配置視圖

interface Ethernet 1/0/1

②配置端口E1/0/2的PVID為20

port access vlan 20

③設(shè)置24端口為trunk。

interface Ethernet1/0/24

duplex full speed 100

port link-type trunk

port trunk permit vlan all

2）核心層三層交換機(jī)H3C S5800系列部分配置

匯聚層三層交換機(jī)部分配置，主要配置端口為trunk，設(shè)置vlan虛擬接口，指定默認(rèn)路由。

① 設(shè)置VLAN虛擬接口

vlan batch 20

inter vlanif 20

ip add 192.168.2.1 255.255.255.0

② 指定默認(rèn)路由

ip route 0.0.0.0 0.0.0.0 172.16.1.1

3）路由器部分配置

①禁止從外網(wǎng)ping路由器

access-list 3199 deny icmp any any echo

access-list 3199 deny tcp any any eq 135

access-list 3199 deny tcp any any eq 139

access-list 3199 deny tcp any any eq 445

② 禁止外網(wǎng)訪問路由器管理頁面，如果有多條接入線路，請依次配置，如果配置了WEB端口映射，請去掉。

access-list 3199 deny tcp any host x.x.x.x eq 80

access-list 3198 deny udp any any eq 137

access-list 3198 deny udp any any eq 138

access-list 3198 deny udp any any eq 139

access-list 3199 permit ip any any

6 總結(jié)

對于網(wǎng)絡(luò)綜合性能的差異及不足，若從源頭上分析，主要是當(dāng)初在網(wǎng)絡(luò)規(guī)劃和組建時(shí)遺留下不少缺陷，或者是網(wǎng)絡(luò)配置及調(diào)試尚未完善，但如果現(xiàn)在重新規(guī)劃和搭建網(wǎng)絡(luò)，學(xué)校難以承受重復(fù)投資的浪費(fèi)和高昂的建設(shè)成本，唯有通過一些合理的措施和手段改善網(wǎng)絡(luò)的綜合性能。

參考文獻(xiàn)：

[1] 陳進(jìn)，周斌.網(wǎng)絡(luò)工程建設(shè)先進(jìn)技術(shù)與網(wǎng)絡(luò)系統(tǒng)優(yōu)化設(shè)計(jì)實(shí)用手冊[M].北京：電子通信技術(shù)出版社，2005.

[2] 徐津.電腦性能優(yōu)化設(shè)置[M]. 北京：電子工業(yè)出版社，2005.

[3] 黎連業(yè).計(jì)算機(jī)網(wǎng)絡(luò)故障診斷與排除[M]. 北京：清華大學(xué)出版社，2007.

[4] 劉曉輝，楊興明.中小學(xué)校網(wǎng)絡(luò)管理員實(shí)用教程[M]. 北京：科學(xué)出版社，2004.