政府機關及企事業單位網絡管理探討

網絡管理是監測、控制和記錄網絡資源的性能和使用情況，以使網絡有效運行，為用戶提供一定質量水平的業務。網絡管理技術是伴隨著計算機、網絡和通信技術的發展而發展的。國際標準化組織定義網絡管理有五大功能：故障管理、配置管理、性能管理、安全管理、計費管理。在日常工作中，我們要做到統計網絡運行狀態信息，對網絡的使用發展作出評測、估計，保證網絡的正常穩定的運行，為網絡進一步規劃與調整提供依據。那么，我們必須使用一些手段來采集、分析網絡對象的性能數據，監測網絡對象的性能，對網絡線路質量進行分析。本文就主要從本單位的實際網絡情況對性能管理來進行一些探討。

一、設備基本情況

防火墻：大唐電信一款比較舊的產品，經過咨詢工程師，無法進行應用程序流量控制等等。

交換機：很低端的產品，無法實現訪問控制列表（ACL）。

二、網絡設置情況

防火墻上對客戶端機器的固定IP與MAC綁定，并且通過防火墻自帶的NAT功能實現連接互聯網。

三、現象狀況

有客戶端打開迅雷之類的P2P軟件下載，或者迅雷看看、風行、快播、皮皮、暴風影音等播放器觀看，沒及時及退出而是最小化在右下角，導致長時間產生大的流量，造成網絡擁堵，其他客戶端就出現打不開網頁的現象。

四、解決辦法

(一)硬件方面

條件允許的情況下，可以購買功能更強的防火墻或者交換機。防火墻可以直接對指定的應用程序的訪問進行流量限制；交換機可以在端口上使用ACL命令來實現端口流量控制，從而達到限制客戶端的流量使用。

(二)軟件方面

對于客戶端只有幾十、上百臺的機關或者企事業單位，為了減少投入，方便管理，達到同樣的功能效果，就可以盡量選擇以下幾種方式。

1、ISA 2006+Bandwidth Splitter

需要在前面（單位網絡拓撲圖）的防火墻與交換機之間增加一臺主機，然后安裝上ISA 2006和Bandwidth Splitter。

安裝好后，Bandwidth Splitter作為一個插件（或功能）集成于ISA 2006的控制面版中找到并使用。

（1）通過建立策略，合理的分配訪問INTERNET的頻寬（帶寬）

（2）可以定制（分配或限制）內部網絡中的單個用戶和主機，或是用戶組、主機組（AD環境中）對INTERNET連接和帶寬

（3）可以啟用通往INTERNET的流量（總量）限制

（4）實時監控連接狀態以及流量使用情況

（5）可以節省INTERNET的連接成本，有效降低P2P應用、大量下載所占有的帶寬

（6）提高使用者的工作效率，優先供應重要用戶帶寬，就是所謂的重要業務優先的原則

2、RouterOS

需要在前面（單位網絡拓撲圖）的防火墻與交換機之間增加一臺主機。

RouterOS 的 PCQ + HTB 的動態流控與游戲優先，通過 Mangle 標記數據和 queue tree 的 HTB控制，完全拋棄simple queue限速。

（1）定額控制（連接超時時間， 下載/上傳傳輸限制）

（2）實時用戶狀態信息顯示

（3）自定義認證HTML頁(可以由你自己設計認證頁)

（4）DHCP服務器分配IP地址

（5）簡單的RAIUS客戶端配置

（6）RouterOS 能與PPTP隧道、IPsec以及其它的一些功能配合使用

（7）可以通過Access Point與以太網接入用戶

（8）定時廣播指定的URL鏈接

（9）腳本控制

3、p2pover

（1）安裝部署簡單，在局域網內任意一臺主機安裝即可管理整個網絡

（2）可管理多達十余種P2P下載應用

（3）可管理常見聊天工具，如QQ、MSN

（4）支持自定義管理規則設置，可以針對不同主機設置不同規則

（5）支持自定義管理時間段設置，工作時間、休息時間靈活管理

（6）支持主機流量統計以及查詢

（7）支持主機自定義備注功能

前面提到的3種方式，相對來說p2pover為更好的選擇，另外2種都需要另外主機，設置相對也復雜些，當然大家也可以尋找其他更加方便的軟件。

(二)人為方面

制定嚴格的制度，客戶端的程序安裝等統一由單位內部的信息中心之類的機構實施，按照標準化管理，防止一些占用流量軟件的使用，來達到網絡的高效穩定的運行。

通過前面的介紹，希望大家都能找到適合自己網絡環境的工具，方便自己的工作。

（作者單位：重慶市永川區國土資源和房屋管理局）