公司的网络为何如此缓慢

公司的网络为何如此缓慢 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

恶意用户与病毒***的袭击让内网用户惊魂不定，公司早期网络留下的漏洞故障让网管员疲于应付，该如何改变这种网络结构滞后的状况呢?

随着企业网络规模的扩大与计算机数量的增多，和普通计算机需要不断更新换代一样，企业内部网在实际运行过程中也会慢慢出现效率低下、不满足当前运行环境的情况。如何改变这种网络结构滞后的状况呢？

局域网中众多计算机出现问题而不能使用，整个网络速度在上班高峰时间非常缓慢。究其原因，不外乎以下几点：

1.由于大多数客户机安装的是Windows操作系统，而员工没有及时更新Windows操作系统的补丁，导致计算机系统存在多个漏洞。员工在浏览一些网站时，感染了针对某个漏洞的***或病毒，这些***或病毒会尝试扫描并***网络中其他计算机。另外，***或病毒还会尝试在后台浏览广告网站或者下载一些病毒程序，这都占用了大量的网络带宽。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

ISA服务器检测界面

2.现在大多数单位都安装了杀毒软件，但许多员工没有及时更新病毒库，或者虽然更新了病毒库，但当感染病毒时也不会清除。

3.某些员工习惯于浏览一些网站，或者经常下载一些软件或电影，而现在提供软件或电影下载的网站，为了自身的利益，都会捆绑一些流氓软件或者***程序，有的软件还带有病毒。

4.现在许多机器感染了ARP病毒，这也是网络缓慢的一个原因。

5.一些单位没有划分VLAN，这样，当单位中一台计算机感染病毒并扫描整个网络或者对整个网络的计算机进行***时，也会导致整个网络瘫痪。

找到问题的根源后，就需要针对以上问题逐步进行解决。

划分VLAN 必不可少

虽然很多企业也有三层交换机，但是并没有划分VLAN。没有划分VLAN的原因很多，一个最主要的原因就是遗留问题。刚开始的时候，企业中计算机数量比较少，没有划分的必要，而随着计算机数量的增多，也没有人考虑这个问题。当单位的计算机数量在80台以上的时候，就要考虑划分VLAN。划分VLAN后，可以屏蔽VLAN之间的广播，当网络中的计算机出现问题导致对外广播大量数据包的时候，只会影响自己的VLAN（当然，如果每个VLAN中都有大量广播数据包的计算机，也会影响整个网络）。划分VLAN最少需要一个三层交换机。在划分的时候，可以按照楼层或者按照部门的原则划分。如果网络中没有三层交换机，而单位中计算机数量又不是非常多的时候，可以在Windows 2000 Server或者Windows Server 2003的计算机上，安装多块网卡。每个网卡连接一台交换机，使用Windows Server 2003的软路由划分VLAN，可以完成三层交换机的功能。

划分VLAN后，还要将单位中每台计算机（尤其是服务器）的MAC地址与IP地址绑定。在这方面，政府部门做的最好，几乎所有的政府部门，计算机的MAC地址与IP地址进行了绑定。但许多机关、事业单位、学校的网络没有绑定，这就导致现在ARP病毒爆发时，单位的网络速度奇慢。

自动升级 安全可靠

单位工作站操作系统大多是Windows XP、Windows 2000、Vista，办公软件用Office，上网用IE，如果这些系统或软件没有及时更新Microsoft发布的最新补丁，在上网的时候就可能遭受***或者感染***、病毒程序。即使机器不上网，如果单位中其他计算机感染了病毒或***，也会被感染。

在企业网络中采用 Microsoft 的 WSUS 服务器，可以很好地解决这个问题。 WSUS 当前版本是 3.0 ，可以为 Windows 2000 、 Windows XP 、 Windows Server 2003 、 Windows Vista 、 IE6 、 IE7 、 Office 2003 、 Office XP 、 Office 2007 、 SQL Server 等产品提供补丁程序。 WSUS 的安装与配置本文不做过多介绍，只是要注意以下几个问题：

1. 在 WSUS 第一次安装好之后，首先要从 Microsoft 网站进行更新，更新之后，要手动审批补丁之后，补丁文件才会下载。

2. 在补丁下载完成后，修改 WSUS 的选项，并创建自动审批、自动下载选项，以后 WSUS 可以不经管理员手动审批即可以自动从 Microsoft 网站下载补丁到 WSUS 服务器。

3. 工作站配置好后，可以进入命令提示符，使用 wuauclt/detectnow 或 wuauclt1/detectnow 命令，立刻与局域网内的 WSUS 进行同步，并且可以使用 netstat an 命令检查到 WSUS 服务器的连接，如果与 WSUS 服务器连接正常，应该有到服务器 IP 地址与端口的连接信息。

大多数杀毒软件，例如卡巴斯基、 NOD32 、金山毒霸等，都提供了局域网升级功能，只要在网络中找一台计算机做服务器，这台服务器从厂商的网站升级，并把病毒库作为共享文件夹，网络中其他工作站都可以从共享文件夹或该 Web 服务器升级。只要及时升级病毒库并开始文件实时防毒功能，一般情况下，都能对计算机进行很好的防护。

精选工具 全面监控

大多数单位上网，都是用的路由器的 NAT 功能，也有的单位购买硬件防火墙。硬件防火墙配置复杂、更改配置不易，不易增加垃圾网站或者有问题网站的禁止访问列表，而路由器中的 NAT 就没有这项功能。此时，可以用好的软件防火墙，例如 Microsoft 的 ISA Server 代替原来的路由器或硬件防火墙，改进网络出口的管理。

使用 ISA Server 的时候，如果启用 “ ***检测 ” 后，外网对 ISA Server 的扫描、***都会被 ISA Server 拒绝并刻录下对方的 IP 地址（如图），在启用 “ 定义连接限制 ” 后，可以限制内网中每个 IP 地址每分钟最大的并发连接数。当达到或超过限制后，在 ISA Server 上会刻录该 IP 地址并限制该 IP 进行新的连接。这样，当单位中的计算机感染***或病毒，试图在网络上广播时，会在第一时间被 ISA Server 记录。同时，如果内网中的计算机使用 BT 、 Flashget 等多线程或 P2P 工具下载软件时，达到限制的并发连接数也会被 ISA Server 记录。管理员可以通过 ISA Server 的监视记录查看***或超过限制的计算机的 IP 地址。

在本文介绍的方案指导下，近两年来给多个政府、企业、学校进行了网络升级改造，从这些单位最近两年的使用情况来看，效果非常好。但在使用过程中，也需要注意某些问题。如保存 WSUS 升级补丁的硬盘一定要有足够的空间。另外，服务器硬盘相对来说都比较小。在这种情况下，我们给服务器增加新的硬盘，要使用 Windows Server 2003 的动态卷功能，把 WSUS 补丁所在分区转换成动态卷，并且把新安装的硬盘转换成动态卷，扩展保存 WSUS 补丁所在的硬盘分区，增加硬盘的可用空间，然后重新从 Microsoft 网站同步并下载补丁。