小水管也要有尊严 网络限速优化实际案例

欢迎您访问我爱IT技术网，今天小编为你分享的电脑教程是网络协议方面的经验知识教程：小水管也要有尊严 网络限速优化实际案例，下面是详细的分享！

小水管也要有尊严 网络限速优化实际案例

作为一名企业网络管理员，很多时候，都会接到底下用户的抱怨，说带宽不够用，发个邮件都要很久。这个时候，如果你头脑一热，向老板提出增加带宽的建议，那多半会受到批评和白眼。为何？因为这牵扯到了一个费用的问题，多数老板在面对这种增加费用的提案时，都会要求提案人举出列举提案的原因和提案实施后的效果。如果之前没有做好准备，即使侥幸通过了带宽增大的方案，而实际运行起来网络状况并没有改善的话，老板会对你丧失信任，间接的，以后再想提出一些方案，所遇到的阻挠就会变大，公司地位的下降，即意味着尊严的丧失。所以我们要时刻保持自己的"专业性"，尽可能在控制费用的情况下为公司网络优化、提速。

接手烂摊子

话说我来这家公司时间不长，年初的时候过来，老板安排的第一件事就是要我弄个方案，优化一下网速。

大概说下公司背景，这是一家带着点科技含量的公司，因为老板本身是懂技术的（精通单片机），只是他觉得自己没时间做，所以才专门招个人来管理公司网络，不过在信息化这块根本就没什么预算，所以提速完全是想当然的认为"优化"一下就能解决，完全不需要增加带宽。（这种情况相信很多人都遇到过，上司对网络优化有个大概了解，但又不全面。做的好了，是他领导的好，做的不好，就是你功夫不到家。）

我先去机房看了一下，这里先给大家看下图。

公司电脑不太多，实际使用的大概60台，不过说实话，这线架打的是一塌糊涂，网线接的也相当不靠谱，很可能稍微碰一碰，哪根线就不通了。而且清一色的2层交换机让人很受伤，所以端口绑定、vlan划分这种高级玩意是一个都用不上了。

这种情况下，又不想投资买设备，增加带宽，要怎么优化？

限速，不要迷信大而全

既然是限速，当然要在外网入口上做文章，先登上路由器检验一番。这路由器还不错，可以双WAN口接入，可因为费用的原因，第二个WAN口在有生之年怕是无法启用了。

接手限速，首先第一件事就是对局域网内的计算机进行MAC绑定。这样做一是防止ARP病毒攻击，二是在采集MAC的过程中，将MAC地址、IP地址和机器的使用人做一个一一对应。这样在出现问题的时候，可以快速的定位到个人。以公司的居易2950来举例，MAC绑定位于"LAN→绑定IP到MAC下"。只要简单的填写IP地址和MAC地址即可，同时勾选"强制绑定"，以达到未绑定的MAC地址无法上网的要求。各位手头如果是其他路由器，可以相应选择对应的选项

网络之所以这么慢，其实归根结底是上班的时候有人用公司网络下电影、听歌、玩游戏。你懂的，这种事情不抓现行是不会有人承认的。而我初步的想法即是通过各种限制，阻止此类流量通过路由器。

比如在"对象和组→IM对象"中，禁用QQ/MSN/KC/UC以及webMSN/webYahoo等信息。

在P2P中限制迅雷、vagaa、BT。

再禁用一切流媒体和网页游戏，比如PPStream、Pplive等等。

能设置禁用的全禁用掉，这下该功德圆满了把？赶紧去把这些策略生效。在"内容安全管理→应用程序强化管理"中，将相应策略启用

自己实验了下，发现QQ上不去了、MSN也上不去了，各类娱乐网站也上不去了。设置起来相当简单，实施起来也相当简单。

费用阻挠，更换解决方案

其实优化的事情有老板罩着，所以上不去QQ，上不去MSN让大家都很不满意，不过在这方面并没有遇到更多人遇到的那种因为限制了QQ，引起员工反弹继而策略执行不下去的窘态。不过即使是这样，最终这个限制方案还是夭折了。

原因其实很简单，因为优化之后，打开网页的速度更慢了。可能很多人会纳闷，既然都做了完善的限制优化，为什么反而打开网页速度变慢了？

我们都知道，现在的硬件路由器上基本都是类单片机的。都包含CPU和内存。当然这颗CPU可不是大家经常使用的奔腾、速龙，而是精简指令集型的，低功耗、低发热、处理任务较为单一和简单。而每一个策略，相当于在这个操作系统上多运行了一个程序。策略的增多，无形中影响了网络信号的延时和处理速度。对于居易2950这台区区64M内存的机器来说，尽管在路由器中，这内存还算比较大的，但在策略全开的情况下，这点配置还远远不够。

想要在全开策略的前提下保持流畅的网速，只能更换硬件更为强大的路由器。然而这是和老板的意志背道而驰的。俗话说"文治武功"，要是不限制预算，那么堆硬件怎么也把这任务给堆成了。既然限制预算，那么换个方向思考解决问题，不啻为一剂良药。

限速目的要明确，合理监控是关键

大禹治水都知道宜疏不宜堵，做了那么多限制，难免不会有漏掉的策略，可能今天限制了无法登陆qq农场，但难保今后不会有个aa农场bb农场，或者农场都无法玩，改玩其他的。实施策略和反病毒都是一样的，永远都是在出现状况之后才能发现。

在路由器上看了看，发现有个LANMonitor端口（网络监控），顿时茅塞顿开，想到了一个更好的方法。

很随意的找了一台公司不用的低配电脑，将网络口接到了路由器的LANMonitor口（这个端口其实就是固化了的一个端口镜像，类似于三层交换机上的端口镜像，同三层交换不同的是，这个端口无法转移，无法修改绑定的监控口）上，同时在电脑上装了一个路由器附送的一个监控软件，接好后，路由器面板的Monitor灯亮了。

安装的过程简单，这里就不赘述了。软件是基于winpcap的，大名鼎鼎的嗅探软件sniffer pro也是基于这个环境的。安装的时候会自动安装php、apache以及winpacp。如果之前安装过这些，可能会产生冲突。所以这台机器只能在没有安装过php和apache的环境上安装。

登录之后，可以清晰的看到当日的流量情况，由于之前做过了MAC绑定的策略，所以这里也不担心有人私自篡改IP。