局域网网络设备服务器优化与实践
2017-04-15丁永富
丁永富
摘要:现在计算机网络规模急剧扩大,复杂程度不断提高,计算机网络优化在计算机网络中处于日趋重要的地位。如何科学的优化计算机网络,直接关系到计算机网络的效能与安全。该文将从计算机网络的改造、优化和配置等三个方面,来阐述如何加强对网络的管理。关键词:网络优化;路由器;交换机;VLAN配置
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)34-0025-03
1 学校背景
澄海职业技术学校教学楼已经构建起较为成熟的网络体系,在一定程度上满足了日常教育教学活动的需求。但是随着学校规模的扩大,原有的局域网络设备由于自身服务能力的限制,无法实现计算机网络资源的快速提供,对教学活动带来了一定的限制。
学校网络化信息平台作为教育现代化的重要趋势,其在实践过程中取得了一系列成就,但也暴露出诸多问题:
1)网络信息平台处于同一个广播域内,容易造成安全漏洞,增加网络安全运行的风险。
2)CISCO3550交换机作为平台的核心,运行压力较大,设备更新不及时,导致信息数据交互效率低下。
3)信息网络平台构建过程中,缺乏有效规划,造成核心层、汇聚层缺失,增加了故障排查检修的困难程度。
4)信息网络平台没有成熟安全机制的构建,包括防ARP等病毒的基本设置也无法进行有效防范。
5)接入层交换机无法进行VLAN的设置,对于用于也无法进行识别,增加了管理难度。
针对学校现状对网络配置进行优化,网络配置优化主要是面向交换机、路由器和服务器。
2 具体网络调整
出于对现阶段学校教育网络的使用需求,在进行网络平台设计与规划的过程中,需要对网络二层结构中核心层、接入层进行合理化安排,并对核心交换机进行更新与优化,对重要信息进行备份处理,减少交换机中存在的冗余信息,增强交换机的工作效率。同时需要对网络地址进行规划,进行相关设备的合理化管理,提升用户使用的流畅度与安全性。
对于核心网络的优化与调整,可以从H3C入手,进行智能弹性架构的组建,为了保证核心网络升级的有效性,需要以核心层、接入层以及汇聚层三个层面的实际运行情况与工作需求为立足点,对网络交换机的冗余部分进行合理化运作,进行网络服务器功能的优化。
1)网络核心层
核心层的构建是一个复杂的过程,需要相关技术人员与管理者立足于学校教育网络的实际使用情况,进行合理设置。作为核心层的重要构成,高性能交换机可以对协议中的冗余进行合理化处理,为了保证交换机作用的实现,需要进行交换机种类的有效选择,例如现阶段杭州华三通信有限公司所推出的高端交换机,能够针对不同的应用环境,对交换机自身的工作性能进行调节,并且杭州华三通信技术有限公司开发的操作系统,能够实现多种网络服务业务的有机融合,实现了信息数据的高速交互、提升网络的安全性与稳定性。并且能够在很大程度上降低了投入成本,符合了现阶段网络核心层构建的客观需求。
以杭州华三通信有限公司的网络安全发展思路为主要框架,在为网络提供更为安全、更为稳定以及更为高效的L2/L3层信息交互的基础上,实现了数据信息的有效分析与整理。通过对交互流程的全面分析,以QOS为主要交互策略,将可控组件进行智能化升级等方式,将传统的信息数据体系向信息数据交互平台进行转变,进而为实现后续通信系统的整合与数据处理创造了良好的条件。
杭州华三通信有限公司S5800系列交换机凭借自身的技术优势,实现了对双路电源、引擎、电源以及散热装置等设备支持冗余架接,实现了设备自身的延伸性,满足了多样化的使用需求。并且S5800系列交换机能够对网络交互协议进行多样化支持,实现了网络链接的冗余服务,增强了网络核心层的服务功能。S5800系列交换机在核心层中的安置,能够实现新旧教学楼之间信息交互的便捷性,降低主干线路故障发生几率,促进了网络核心层的安全平稳运行。
2)网络接入层设计
对于接入层的设计,需要根据实际的使用需求,进行合理有效地交换机设置,进行接入层的有效监控。因此就需要用户在使用之前进行必要的接入认证操作。一旦客户认证失败,将无法进行网路资源的访问与下载,也无法进行相关网络数据信息资源的有效传输与共享。
3 具体的交换机优化配置
1)VLAN Trunk配置---满足在同一台交换机上划分的不同VLAN,都能与网络上其他VLAN通信的需求,可以解决VLAN通信中的特殊要求所产生的网络瓶颈。
2)流量控制配置---当本地端口拥塞数据流时,暂停其他端口的数据发送,直至恢复常态。解决服务器或路由器端的流量过载问题,控制网络的实时运行速度。
3)广播风暴控制配置---有效抑制大量的广播、单播或组播的数据包,避免网络瘫痪。
4)端口保护配置---使同一交换机上的端口之间不进行通信。受保护端口之间的传输由第三层设备转发,保护端口与非保护端口之间的传输仍然在第二层(数据链路层)完成,既保护了网络节点的安全,又不影响用户之间的数据传输速度。
5)端口安全配置---限制访问交换机上某个端口的MAC地址以及IP的个数,实现严格控制对该端口的输入量,当访问安全端口的MAC地址超出所允许的最大限制值,其数据包将被丢弃,使其不占用网络带宽。
6)端口汇聚配置---将多个端口组合为一条逻辑链路增加网络节点之间的带宽,允许网络连接设备之间并行联接,提高了整个网络的传输性能。
4 具体的路由器优化配置
对路由器进行以下几个方面的配置:
1)配置访问控制列表---访问控制列表进行过滤技术的合理化使用,在路由器第三层与第四层包头中的信息地址等进行预先设置,保证了目的地址、源地址等进行有效筛选,进而实现了访问行为的有效控制。以此来保证路由器的安全性与稳定性,进行网络环境的优化,减少了网络安全事故与恶意入侵行为的发生几率。在对相關信息进行访问的过程中,需要按照设置的流程进行权限查询,权限允许则可以进行访问,否则就过滤掉。
2)限制每IP的NAT进程数与流量---当前BT或P2P软件大量耗费路由器NAT资源与带宽,是造成网速慢、掉线的罪魁祸首,默认NBR对每IP的NAT进程限制数为350,流量则没有限制。根据实际应用的情况,推荐将每IP的NAT进程限制数为200,每IP的上行流量设置为500kbit/s(约合50kbyte/s),下行流量设置为1000kbit/s(约合100kbyte/s)。
3)限制NAT网段---某些病毒伪造原地址向外发起NAT连接对路由器进行DDOS攻击,造成路由器内存耗尽,可以通过修改access-list 99避免这种攻击。
5 具体的服务器优化
优化服务器能在很大程度上提升网络性能,减少在服务器端的故障。
1)在服务器主板的CMOS中,将内存访问缓冲时间的选项设置为最小的缓冲时间,使内存响应速度更快;减少桌面显示颜色的数量及降低显示分辨率;尽可能不使用或使用位宽度较小的墙纸;关闭不需要的服务程序或驱动程序,尽量不要在服务器上使用其他不必要应用程序。
2)将服务器文件系统改为NTFS格式,提高服务器的响应速度、容错性和安全性。硬盘最好分3个区,C盘的空间一般占硬盘总容量的20%左右,只放置网络操作系统和有关应用程序; 数据库SQL或其他应用软件则安装在另外一个分区,如D盘(不要安装在C盘,以免影响系统运行速度),其空间一般占硬盘总容量的40%左右,余下的E盘可以放置其他一些工具软件和系统备份。要经常整理硬盘的碎片。
3)虚拟内存不要放在C盘,以免影响操作系统和应用程序的运行速度;虚拟内存空间的最大值和最小值应手动设置为相等,其实际大小应为物理主存的2倍,避免浪费硬盘的实用空间。
4)为了在多个服务器之间实现合理的业务量分配,不至于出现一台服务器过忙、而别的服务器却休闲的现象,可以对服务器群进行合理化调整,满足服务器业务量的合理分配。而被选择的服务器都独立回应客户机的请求。
附录:部分网络设置
1)接入层交换机配置,主要将交换机所属端口划分到vlan20,并设置24端口为trunk。
①进入以太网端口E1/0/1的配置视图
interface Ethernet 1/0/1
②配置端口E1/0/2的PVID为20
port access vlan 20
③设置24端口为trunk。
interface Ethernet1/0/24
duplex full speed 100
port link-type trunk
port trunk permit vlan all
2)核心层三层交换机H3C S5800系列部分配置
汇聚层三层交换机部分配置,主要配置端口为trunk,设置vlan虚拟接口,指定默认路由。
① 设置VLAN虚拟接口
vlan batch 20
inter vlanif 20
ip add 192.168.2.1 255.255.255.0
② 指定默认路由
ip route 0.0.0.0 0.0.0.0 172.16.1.1
3)路由器部分配置
①禁止从外网ping路由器
access-list 3199 deny icmp any any echo
access-list 3199 deny tcp any any eq 135
access-list 3199 deny tcp any any eq 139
access-list 3199 deny tcp any any eq 445
② 禁止外网访问路由器管理页面,如果有多条接入线路,请依次配置,如果配置了WEB端口映射,请去掉。
access-list 3199 deny tcp any host x.x.x.x eq 80
access-list 3198 deny udp any any eq 137
access-list 3198 deny udp any any eq 138
access-list 3198 deny udp any any eq 139
access-list 3199 permit ip any any
6 总结
对于网络综合性能的差异及不足,若从源头上分析,主要是当初在网络规划和组建时遗留下不少缺陷,或者是网络配置及调试尚未完善,但如果现在重新规划和搭建网络,学校难以承受重复投资的浪费和高昂的建设成本,唯有通过一些合理的措施和手段改善网络的综合性能。
参考文献:
[1] 陈进,周斌.网络工程建设先进技术与网络系统优化设计实用手册[M].北京:电子通信技术出版社,2005.
[2] 徐津.电脑性能优化设置[M]. 北京:电子工业出版社,2005.
[3] 黎连业.计算机网络故障诊断与排除[M]. 北京:清华大学出版社,2007.
[4] 劉晓辉,杨兴明.中小学校网络管理员实用教程[M]. 北京:科学出版社,2004.