对于用户在200人以上的企业,网络带宽使用往往面临着很大的压力,由于个别用户的不自觉,会导致大家的网络资源受到占用,出现访问速度很慢,甚至超时的情况。大多数企业应用的五类的综合布线,理论上可以达到100兆,但实际使用的多为100D-LINK交换机,因此拷贝数据的速度也仅能达到7MB/S,千兆的交换机仅用于汇聚层,真正能够实现的千兆企业网络应用还有待时日,我们要考虑的正是网络带宽使用的现状,如何能够更有效地发挥企业的网络资源,让应用能够合理有效呢?<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

让我们先谈一下企业网络应用当中的INTERNET外网和INTRANET内网的区别,接入到企业的通常是两根光纤,一根是访问INTERNET外网的,另一根是访问INTRANET内网,大多是2兆的带宽,各自都分配的有公网IP地址,使用帧中继或是专线技术连接,达到能够同时使用,又不会相互影响。在路由器上设置路由策略来过滤应用的数据包,防火墙可以阻止网络***,在这种实际应用中,我们还会使用到VIP技术来保证企业的安全应用,基于这种情况下,很难保证企业的带宽资源充裕,所以我们要能够有效地去管理好网络带宽资源。

 

机房内的服务器和配线架使用的CISCO3560交换机是分开的,服务器之间通过3560交换机连接,配线架的节点D-LINK交换机连到3560,然后两台3560再到3750路由交换上,企业接入的光纤先到防火墙,然后也接到3750路由交换,所有的核心网络设备连接都是双路冗余设计,从而确保企业的网络能够畅通无阻。对于×××应用到的隧道技术,通过访问互联网的企业网络接入口,经过路由器和身份验证无误后可以访问企业内部网络资源,实际应用当中会感觉慢,这是由于从企业的互联网入口,到企业的SITES是要从经过很多路由器,我们不能理解到下午的时候,VIP网络访问要等很长时间,那时使用的用户会很多,占用的是企业INTRANET资源。我们可以使用PING命名可以看出企业的INTRANET访问的速度是多少。

 

企业的各SITES之间的复制数据量比较大的,域控的复制会占用很多的INTRANET资源,我们设置复制的周期,2-3个小时复制一次,会出现新用户到点之后才可以登录。我们的邮件服务器使用的数据量要占很大一部分,内部之间的邮件会直接发送出去,但到别的SITES或是外部的邮件会先传递到邮件服务器上,然后各SITES的邮件服务器之间做邮件传递,外部的发送和接受的邮件由指定的邮件服务器出口跟互联网上DNS服务器查询,最后发送到指定的邮箱,我们遇到的外部邮件发送或是接受失败,很有可能是DNS解析出现问题,我们可以使用TRACERT来查看到路由器的跳数。至于DHCP服务器也会定期发送数据包,来确认IP地址租约是否到期,还有就是共享打印机发送数据量也是比较大的,我们在企业内部的应用会使用到路由协议和VLAN来管理,相对而言,企业内部的INTRANET资源还是能够满足实际工作需要,但是企业各SITES的直接访问比较慢,比如FTP下载只能放在早上或是晚上加班进行,在路由上是邮件应用优先保证的,其它的应用靠后了。我们监控企业内部的INTRANET资源,主要是从邮件收发的快慢来测试,设置每隔一分钟收发邮件,这样可以大致估算实际当中有没有过高的网络资源的占用。

 

最不好管理的要数INTERNET访问,企业本来提供的INTERNET访问是为了工作上需要,但实际上有好多无关的使用,开心网上的偷菜,MSN\QQ聊天工具的使用,迅雷、电驴的疯狂下载,这些都会直接影响到带宽资源,常常是到了下午上网的速度变得很慢,大家下午的工作不那么忙,有闲暇时间可以上网。我们能在路由器上禁止多线程下载,禁止特定IP地址的访问,即时聊天的端口,但是对于能够直接通过防火墙的80443端口应用是不能直接禁止,还有很多基于这方面的应用。于是,我们使用ISA来对是否有上网权限的用户做审核,RIVERBED来过滤多余的数据包,缓存数据来加速网络访问,当然这些措施的应用会让带宽使用得到缓解,并没有完全解决带宽资源的问题,我们还面临新技术的调整,播放FLASH对带宽的占用,HTTP下载的不限制等等,比较常用的是从DNS服务器上不提供DNS域名解析,通过组策略修改用户的HOSTS文件,从DNS上禁止某些站点的访问,我们可以在监控上多生成日志文件,对异常情况比对分析,进而找到根本原因去根除。企业网络带宽使用管理任重而道远的。