局域網網絡設備服務器優(yōu)化與實踐

丁永富

摘要：現在計算機網絡規(guī)模急劇擴大，復雜程度不斷提高，計算機網絡優(yōu)化在計算機網絡中處于日趨重要的地位。如何科學的優(yōu)化計算機網絡，直接關系到計算機網絡的效能與安全。該文將從計算機網絡的改造、優(yōu)化和配置等三個方面，來闡述如何加強對網絡的管理。關鍵詞：網絡優(yōu)化；路由器；交換機；VLAN配置

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）34-0025-03

1 學校背景

澄海職業(yè)技術學校教學樓已經構建起較為成熟的網絡體系，在一定程度上滿足了日常教育教學活動的需求。但是隨著學校規(guī)模的擴大，原有的局域網絡設備由于自身服務能力的限制，無法實現計算機網絡資源的快速提供，對教學活動帶來了一定的限制。

學校網絡化信息平臺作為教育現代化的重要趨勢，其在實踐過程中取得了一系列成就，但也暴露出諸多問題：

1）網絡信息平臺處于同一個廣播域內，容易造成安全漏洞，增加網絡安全運行的風險。

2）CISCO3550交換機作為平臺的核心，運行壓力較大，設備更新不及時，導致信息數據交互效率低下。

3）信息網絡平臺構建過程中，缺乏有效規(guī)劃，造成核心層、匯聚層缺失，增加了故障排查檢修的困難程度。

4）信息網絡平臺沒有成熟安全機制的構建，包括防ARP等病毒的基本設置也無法進行有效防范。

5）接入層交換機無法進行VLAN的設置，對于用于也無法進行識別，增加了管理難度。

針對學?，F狀對網絡配置進行優(yōu)化，網絡配置優(yōu)化主要是面向交換機、路由器和服務器。

2 具體網絡調整

出于對現階段學校教育網絡的使用需求，在進行網絡平臺設計與規(guī)劃的過程中，需要對網絡二層結構中核心層、接入層進行合理化安排，并對核心交換機進行更新與優(yōu)化，對重要信息進行備份處理，減少交換機中存在的冗余信息，增強交換機的工作效率。同時需要對網絡地址進行規(guī)劃，進行相關設備的合理化管理，提升用戶使用的流暢度與安全性。

對于核心網絡的優(yōu)化與調整，可以從H3C入手，進行智能彈性架構的組建，為了保證核心網絡升級的有效性，需要以核心層、接入層以及匯聚層三個層面的實際運行情況與工作需求為立足點，對網絡交換機的冗余部分進行合理化運作，進行網絡服務器功能的優(yōu)化。

1）網絡核心層

核心層的構建是一個復雜的過程，需要相關技術人員與管理者立足于學校教育網絡的實際使用情況，進行合理設置。作為核心層的重要構成，高性能交換機可以對協(xié)議中的冗余進行合理化處理，為了保證交換機作用的實現，需要進行交換機種類的有效選擇，例如現階段杭州華三通信有限公司所推出的高端交換機，能夠針對不同的應用環(huán)境，對交換機自身的工作性能進行調節(jié)，并且杭州華三通信技術有限公司開發(fā)的操作系統(tǒng)，能夠實現多種網絡服務業(yè)務的有機融合，實現了信息數據的高速交互、提升網絡的安全性與穩(wěn)定性。并且能夠在很大程度上降低了投入成本，符合了現階段網絡核心層構建的客觀需求。

以杭州華三通信有限公司的網絡安全發(fā)展思路為主要框架，在為網絡提供更為安全、更為穩(wěn)定以及更為高效的L2/L3層信息交互的基礎上，實現了數據信息的有效分析與整理。通過對交互流程的全面分析，以QOS為主要交互策略，將可控組件進行智能化升級等方式，將傳統(tǒng)的信息數據體系向信息數據交互平臺進行轉變，進而為實現后續(xù)通信系統(tǒng)的整合與數據處理創(chuàng)造了良好的條件。

杭州華三通信有限公司S5800系列交換機憑借自身的技術優(yōu)勢，實現了對雙路電源、引擎、電源以及散熱裝置等設備支持冗余架接，實現了設備自身的延伸性，滿足了多樣化的使用需求。并且S5800系列交換機能夠對網絡交互協(xié)議進行多樣化支持，實現了網絡鏈接的冗余服務，增強了網絡核心層的服務功能。S5800系列交換機在核心層中的安置，能夠實現新舊教學樓之間信息交互的便捷性，降低主干線路故障發(fā)生幾率，促進了網絡核心層的安全平穩(wěn)運行。

2）網絡接入層設計

對于接入層的設計，需要根據實際的使用需求，進行合理有效地交換機設置，進行接入層的有效監(jiān)控。因此就需要用戶在使用之前進行必要的接入認證操作。一旦客戶認證失敗，將無法進行網路資源的訪問與下載，也無法進行相關網絡數據信息資源的有效傳輸與共享。

3 具體的交換機優(yōu)化配置

1）VLAN Trunk配置---滿足在同一臺交換機上劃分的不同VLAN，都能與網絡上其他VLAN通信的需求，可以解決VLAN通信中的特殊要求所產生的網絡瓶頸。

2）流量控制配置---當本地端口擁塞數據流時，暫停其他端口的數據發(fā)送，直至恢復常態(tài)。解決服務器或路由器端的流量過載問題，控制網絡的實時運行速度。

3）廣播風暴控制配置---有效抑制大量的廣播、單播或組播的數據包，避免網絡癱瘓。

4）端口保護配置---使同一交換機上的端口之間不進行通信。受保護端口之間的傳輸由第三層設備轉發(fā)，保護端口與非保護端口之間的傳輸仍然在第二層（數據鏈路層）完成，既保護了網絡節(jié)點的安全，又不影響用戶之間的數據傳輸速度。

5）端口安全配置---限制訪問交換機上某個端口的MAC地址以及IP的個數，實現嚴格控制對該端口的輸入量，當訪問安全端口的MAC地址超出所允許的最大限制值，其數據包將被丟棄，使其不占用網絡帶寬。

6）端口匯聚配置---將多個端口組合為一條邏輯鏈路增加網絡節(jié)點之間的帶寬，允許網絡連接設備之間并行聯接，提高了整個網絡的傳輸性能。

4 具體的路由器優(yōu)化配置

對路由器進行以下幾個方面的配置：

1）配置訪問控制列表---訪問控制列表進行過濾技術的合理化使用，在路由器第三層與第四層包頭中的信息地址等進行預先設置，保證了目的地址、源地址等進行有效篩選，進而實現了訪問行為的有效控制。以此來保證路由器的安全性與穩(wěn)定性，進行網絡環(huán)境的優(yōu)化，減少了網絡安全事故與惡意入侵行為的發(fā)生幾率。在對相關信息進行訪問的過程中，需要按照設置的流程進行權限查詢，權限允許則可以進行訪問，否則就過濾掉。

2）限制每IP的NAT進程數與流量---當前BT或P2P軟件大量耗費路由器NAT資源與帶寬，是造成網速慢、掉線的罪魁禍首，默認NBR對每IP的NAT進程限制數為350，流量則沒有限制。根據實際應用的情況，推薦將每IP的NAT進程限制數為200，每IP的上行流量設置為500kbit/s（約合50kbyte/s），下行流量設置為1000kbit/s（約合100kbyte/s）。

3）限制NAT網段---某些病毒偽造原地址向外發(fā)起NAT連接對路由器進行DDOS攻擊，造成路由器內存耗盡，可以通過修改access-list 99避免這種攻擊。

5 具體的服務器優(yōu)化

優(yōu)化服務器能在很大程度上提升網絡性能，減少在服務器端的故障。

1）在服務器主板的CMOS中，將內存訪問緩沖時間的選項設置為最小的緩沖時間，使內存響應速度更快；減少桌面顯示顏色的數量及降低顯示分辨率；盡可能不使用或使用位寬度較小的墻紙；關閉不需要的服務程序或驅動程序，盡量不要在服務器上使用其他不必要應用程序。

2）將服務器文件系統(tǒng)改為NTFS格式，提高服務器的響應速度、容錯性和安全性。硬盤最好分3個區(qū)，C盤的空間一般占硬盤總容量的20%左右，只放置網絡操作系統(tǒng)和有關應用程序； 數據庫SQL或其他應用軟件則安裝在另外一個分區(qū)，如D盤（不要安裝在C盤，以免影響系統(tǒng)運行速度），其空間一般占硬盤總容量的40%左右，余下的E盤可以放置其他一些工具軟件和系統(tǒng)備份。要經常整理硬盤的碎片。

3）虛擬內存不要放在C盤，以免影響操作系統(tǒng)和應用程序的運行速度；虛擬內存空間的最大值和最小值應手動設置為相等，其實際大小應為物理主存的2倍，避免浪費硬盤的實用空間。

4）為了在多個服務器之間實現合理的業(yè)務量分配，不至于出現一臺服務器過忙、而別的服務器卻休閑的現象，可以對服務器群進行合理化調整，滿足服務器業(yè)務量的合理分配。而被選擇的服務器都獨立回應客戶機的請求。

附錄：部分網絡設置

1）接入層交換機配置，主要將交換機所屬端口劃分到vlan20，并設置24端口為trunk。

①進入以太網端口E1/0/1的配置視圖

interface Ethernet 1/0/1

②配置端口E1/0/2的PVID為20

port access vlan 20

③設置24端口為trunk。

interface Ethernet1/0/24

duplex full speed 100

port link-type trunk

port trunk permit vlan all

2）核心層三層交換機H3C S5800系列部分配置

匯聚層三層交換機部分配置，主要配置端口為trunk，設置vlan虛擬接口，指定默認路由。

① 設置VLAN虛擬接口

vlan batch 20

inter vlanif 20

ip add 192.168.2.1 255.255.255.0

② 指定默認路由

ip route 0.0.0.0 0.0.0.0 172.16.1.1

3）路由器部分配置

①禁止從外網ping路由器

access-list 3199 deny icmp any any echo

access-list 3199 deny tcp any any eq 135

access-list 3199 deny tcp any any eq 139

access-list 3199 deny tcp any any eq 445

② 禁止外網訪問路由器管理頁面，如果有多條接入線路，請依次配置，如果配置了WEB端口映射，請去掉。

access-list 3199 deny tcp any host x.x.x.x eq 80

access-list 3198 deny udp any any eq 137

access-list 3198 deny udp any any eq 138

access-list 3198 deny udp any any eq 139

access-list 3199 permit ip any any

6 總結

對于網絡綜合性能的差異及不足，若從源頭上分析，主要是當初在網絡規(guī)劃和組建時遺留下不少缺陷，或者是網絡配置及調試尚未完善，但如果現在重新規(guī)劃和搭建網絡，學校難以承受重復投資的浪費和高昂的建設成本，唯有通過一些合理的措施和手段改善網絡的綜合性能。

參考文獻：

[1] 陳進，周斌.網絡工程建設先進技術與網絡系統(tǒng)優(yōu)化設計實用手冊[M].北京：電子通信技術出版社，2005.

[2] 徐津.電腦性能優(yōu)化設置[M]. 北京：電子工業(yè)出版社，2005.

[3] 黎連業(yè).計算機網絡故障診斷與排除[M]. 北京：清華大學出版社，2007.

[4] 劉曉輝，楊興明.中小學校網絡管理員實用教程[M]. 北京：科學出版社，2004.