【51CTO.com 独家特稿】作为一名企业网络管理员,很多时候,都会接到底下用户的抱怨,说带宽不够用,发个邮件都要很久。这个时候,如果你头脑一热,向老板提出增加带宽的建议,那多半会受到批评和白眼。为何?因为这牵扯到了一个费用的问题,多数老板在面对这种增加费用的提案时,都会要求提案人举出列举提案的原因和提案实施后的效果。如果之前没有做好准备,即使侥幸通过了带宽增大的方案,而实际运行起来网络状况并没有改善的话,老板会对你丧失信任,间接的,以后再想提出一些方案,所遇到的阻挠就会变大,公司地位的下降,即意味着尊严的丧失。所以我们要时刻保持自己的"专业性",尽可能在控制费用的情况下为公司网络优化、提速。
接手烂摊子
话说我来这家公司时间不长,年初的时候过来,老板安排的第一件事就是要我弄个方案,优化一下网速。
大概说下公司背景,这是一家带着点科技含量的公司,因为老板本身是懂技术的(精通单片机),只是他觉得自己没时间做,所以才专门招个人来管理公司网络,不过在信息化这块根本就没什么预算,所以提速完全是想当然的认为"优化"一下就能解决,完全不需要增加带宽。(这种情况相信很多人都遇到过,上司对网络优化有个大概了解,但又不全面。做的好了,是他领导的好,做的不好,就是你功夫不到家。)
我先去机房看了一下,这里先给大家看下图。
公司电脑不太多,实际使用的大概60台,不过说实话,这线架打的是一塌糊涂,网线接的也相当不靠谱,很可能稍微碰一碰,哪根线就不通了。而且清一色的2层交换机让人很受伤,所以端口绑定、vlan划分这种高级玩意是一个都用不上了。
这种情况下,又不想投资买设备,增加带宽,要怎么优化?
限速,不要迷信大而全
既然是限速,当然要在外网入口上做文章,先登上路由器检验一番。这路由器还不错,可以双WAN口接入,可因为费用的原因,第二个WAN口在有生之年怕是无法启用了。
接手限速,首先第一件事就是对局域网内的计算机进行MAC绑定。这样做一是防止ARP病毒攻击,二是在采集MAC的过程中,将MAC地址、IP地址和机器的使用人做一个一一对应。这样在出现问题的时候,可以快速的定位到个人。以公司的居易2950来举例,MAC绑定位于"LAN→绑定IP到MAC下"。只要简单的填写IP地址和MAC地址即可,同时勾选"强制绑定",以达到未绑定的MAC地址无法上网的要求。各位手头如果是其他路由器,可以相应选择对应的选项。#p#
网络之所以这么慢,其实归根结底是上班的时候有人用公司网络下电影、听歌、玩游戏。你懂的,这种事情不抓现行是不会有人承认的。而我初步的想法即是通过各种限制,阻止此类流量通过路由器。
比如在"对象和组→IM对象"中,禁用QQ/MSN/KC/UC以及webMSN/webYahoo等信息。
在P2P中限制迅雷、vagaa、BT。
再禁用一切流媒体和网页游戏,比如PPStream、Pplive等等。包括Tor洋葱头这种代理翻墙的东西也禁用掉。
能设置禁用的全禁用掉,这下该功德圆满了把?赶紧去把这些策略生效。在"内容安全管理→应用程序强化管理"中,将相应策略启用。#p#
自己实验了下,发现QQ上不去了、MSN也上不去了,各类娱乐网站也上不去了。设置起来相当简单,实施起来也相当简单。
费用阻挠,更换解决方案
其实优化的事情有老板罩着,所以上不去QQ,上不去MSN让大家都很不满意,不过在这方面并没有遇到更多人遇到的那种因为限制了QQ,引起员工反弹继而策略执行不下去的窘态。不过即使是这样,最终这个限制方案还是夭折了。
原因其实很简单,因为优化之后,打开网页的速度更慢了。可能很多人会纳闷,既然都做了完善的限制优化,为什么反而打开网页速度变慢了?
我们都知道,现在的硬件路由器上基本都是类单片机的。都包含CPU和内存。当然这颗CPU可不是大家经常使用的奔腾、速龙,而是精简指令集型的,低功耗、低发热、处理任务较为单一和简单。而每一个策略,相当于在这个操作系统上多运行了一个程序。策略的增多,无形中影响了网络信号的延时和处理速度。对于居易2950这台区区64M内存的机器来说,尽管在路由器中,这内存还算比较大的,但在策略全开的情况下,这点配置还远远不够。
想要在全开策略的前提下保持流畅的网速,只能更换硬件更为强大的路由器。然而这是和老板的意志背道而驰的。俗话说"文治武功",要是不限制预算,那么堆硬件怎么也把这任务给堆成了。既然限制预算,那么换个方向思考解决问题,不啻为一剂良药。
限速目的要明确,合理监控是关键
大禹治水都知道宜疏不宜堵,做了那么多限制,难免不会有漏掉的策略,可能今天限制了无法登陆qq农场,但难保今后不会有个aa农场bb农场,或者农场都无法玩,改玩其他的。实施策略和反病毒都是一样的,永远都是在出现状况之后才能发现。
在路由器上看了看,发现有个LANMonitor端口(网络监控),顿时茅塞顿开,想到了一个更好的方法。
很随意的找了一台公司不用的低配电脑,将网络口接到了路由器的LANMonitor口(这个端口其实就是固化了的一个端口镜像,类似于三层交换机上的端口镜像,同三层交换不同的是,这个端口无法转移,无法修改绑定的监控口)上,同时在电脑上装了一个路由器附送的一个监控软件,接好后,路由器面板的Monitor灯亮了。
安装的过程简单,这里就不赘述了。软件是基于winpcap的,大名鼎鼎的嗅探软件sniffer pro也是基于这个环境的。安装的时候会自动安装php、apache以及winpacp。如果之前安装过这些,可能会产生冲突。所以这台机器只能在没有安装过php和apache的环境上安装。
登录之后,可以清晰的看到当日的流量情况,由于之前做过了MAC绑定的策略,所以这里也不担心有人私自篡改IP。
看到IP流量什么都决定不了,只能说明有些人白天的流量太多了,但现在谁也不知道他都干了什么,如果某人一口咬定就是在工作相关上网,你怎么处理?
看看每日的通信流量,从图表的右侧流量曲线图中可以发现,电脑晚上没有关机,夜间一直在下载,到了白天,流量才减少,开始认真工作。
好吧好吧,就当你是晚上在下载学习资料,果真如此么?让我来看看你的网页访问记录吧。什么,竟然有一条bbs.yingkong.net的访问记录,这是著名的娱乐站,就当我真的不知道么?
好吧好吧,yingkong现在开始提供一些技术信息,技术版面有资料下载。虽然你这么说,但是我不信,来看看到底都看了些什么。
看到这些了,所以疑问全部迎刃而解。原来技术信息是火影忍者和海贼王更新了。看来我也是个很专业的技术流了。
再来看看你这段时间的P2P信息。流量不小。
很简单的,找到了网速慢的根本原因,而实现这些的成本也几乎没有(只是添加了一台退役的电脑作为监控器)系统配置很低,从图中我们就可以看出来。
和Sniffer Pro相比,一套成熟的监控软件/硬件可以极大的提高可阅读性和降低管理难度。(关于Sniffer Pro,可以参阅自己动手打造公司内网监管利器 )#p#
配合制度,完美限速
通过这个路由器附带的监控软件,老板这种技术流也能很清晰的发现一天到晚谁是认真工作的,谁是上班打游戏的。同时软件本身也支持匿名访问,即只能看到流量信息,而看不到实际访问网站的记录。老板发话,每天流量前十名将会对访问记录重点抽查,发现有上班时间干工作不相干事情的,一律通报。
之后,这个平台上每天查看自己流量排名的人也就多了起来。
以前,大家可能觉得限制了,是限制了自由,影响了正常办公。而现在,既然有人知道到底做了什么,自然也就谨慎了许多。
从制度改革到现在,也有半年多了,公司的2M小水管正常稳定的运行至今,老板没有再说过什么。而那台监控用的破电脑,负载也很低,更多的时候只是作为一种威慑。
案例中所涉及的监控软件属于路由器附赠产品,其实市面上同类产品不少,有个很好听的名字,叫"上网行为管理",在国内,网康这一块做的很不错。
信息化的每一项改革都会损伤到其他部门的利益、包括额外的学习负担、培训负担、以及被管理的束缚感,但作为从业者的我们,如果没有胆量去提出,去改变,那就只能把自己划分到一个很低的层次。
【51CTO独家特稿,转载请注明出处及作者。】