博文
提高网络速度(2006-11-09 01:37:00)
摘要:如何最大限度地提升网络的速度与性能,一直是企业网络管理者们所关注的问题。本文将围绕如何进一步提升网络的速度与性能这一问题,给出业内资深人士和网络专家的七条建议。
使用巨型数据包
使用巨型数据包技术可使网络获得性能上的提升,支持巨型数据包的交换机和网络接口卡可以处理最大长度超过IEEE标准(1.5k bits)的数据包,一些设备支持长度超过9k bits的数据包,但在巨型数据包长度方面还没有统一的标准。业内人士指出,对于吉比特网和10G网这样的高速以太网来说,使用巨型数据包技术更为有效,包括3Com、Cisco,Extreme Networks等等的很多厂商已经提供支持这一技术的产品。使用这一技术的网络要将交换机设置为巨型数据包模式,并且必须使用同一厂商的产品,否则就有可能出现数据包丢失或被分解等问题。同时,专家建议,巨型数据包技术的使用范围应该受到限制,比如只在服务器对服务器的文件传输或备份工作这样的网络连接上使用该技术。
检查网络连线
网络性能的下降也许因为简单的物理连接问题,但是网络管理员不能忽视这些问题,因为电缆或连接器的损坏也许只会导致数据包的丢失而不会使网络彻底瘫痪,所以这样的问题更加隐蔽。可以使用网络嗅探器来发现不正常的数据包重传,而这往往是电缆发生问题的征兆。环境因素也可能造成网络性能的下降,比如在电梯或供热系统附近的电缆,在传输数据的时候会受到电磁场的影响。专家建议,给处于这样环境中的电缆加装防护外壳,同时最好将网络中的所有电缆都升级到5类线或6类线。
使用全双工模式
网络连接两端的网卡都处于全双工模式时性能最高,而PC上的网卡很容易通过软件被用户无意或有意的设置为半双工模式。监视连接速度对于查出两个端口的双工设置是否匹配是很重要的。专家建议,采用一种名为Multi-router Traffic Grapher的软件来监视网络连接的性能,以确定两端都打开了全双工设置。
使用Layer 3交换
提升网络性能的一种途径是在与桌面机器相连的交换机上实现Layer 3交换。很多交换机都提供LAN边缘交换机具有的IP路由能力和基于Layer 3交换的QoS。拥有Layer 3交换能力,交换机就不会将每个数据包都发送到路由器,比如两个位于不同虚拟局域网的节点连接在同一交换机上,Layer 3边缘交换机可对这两个节点间的通信业务进行......
如何正确认识IT系统的可靠性(2006-11-09 01:35:00)
摘要:如何正确认识IT系统的可靠性
我们在服务器可靠性方面经历得太多了。我们总是在努力保障服务器、路由器和switch的正常运转,而用户却总在抱怨系统的可靠性太差。一旦系统出现故障,用户们就会把帮助席位的电话打爆了。而且每一次系统出现故障,他们都会责备系统维护人员。等到高级管理人员最终来到的时候,由于他们也同样经受了系统故障带来的痛苦,他们会站在用户一边。当这些问题如潮水一样涌来,问题出现了:究竟什么是可靠性?谁来测量它?当我为一个客户提供支持流程改进服务的时候,我学到了很多东西。
我的客户是一家中型(大约有3000或者左右的节点)公司,它在20个州和4个国家有办事机构。它邀请我作在的公司帮助他们解决反复出现、困扰着他们的“可靠性”问题。他们期望我们能到他们的环境中去,并为他们的问题提供特别的技术和服务方案。我们公司派了一个比较小的团队进行这一个项目,我是其中的一个低级别成员。
经过两个星期的评估,我们发现了一些非常显见的问题。服务器维护人员把MS Exchange和MS SQL Server安装在卫星办公室的同一个磁盘阵列。网络小组在对路由器做规划的时候非常奇怪地忽略了国外的办公室。有三个用户总是飞来飞去,他们总是处在安全域之外;他们帐户故障的频率比其他用户高出两个量级。我们建议采用磁盘阵列来解决由双任务服务器所引起的磁盘连接问题,避免在欧洲办公室的工作时间安排关机,培训那些问题多的用户。客户非常感激我们,并安排了六个月的试用来验证这样做的效果。
我们满怀期望,希望可靠性的问题解决了。从技术角度说,确实如此。可是用户的IT部门的人员却不太情愿采用我们的建议方案。设备正常运行的时间显示我们的方法还是达到了预期的效果。服务器不再按照一定的周期出故障。通往欧洲的连接始终状态良好。帐号故障率下降了80%
不幸的是,用户仍然周期性地抱怨网络稳定性。从技术角度稳定性的提高并没有转换成用户满意度的提高,为什么?
测量可靠性:我们在测量什么?IT人员还在自鸣得意的时候,我们就开始尝试去找出这个问题的答案。一位工程师被指派负责这一工作,他是我最初几年工作的导师,他发现了一些不同寻常的事。我们打了很多电话,有时候还装扮成潜在用户来观察系统是如何跟踪数据流的。
经过两个星期的工作,我们有如下发现:
用户觉得只有他们不能......
xp局域网设置和xp无法访问局域网的解决方案(2006-11-09 01:35:00)
摘要:相信很多人都有和笔者一样的经历,由WIN XP构成的网络所有设置和由WIN 2000构成的完全一样,但还是出现了根本不能访问的情况,笔者认为这主要是因为XP的安全设置和2000不一样所导致。针对这个问题笔者在网上查了一些资料,并将各种网上提供的常见解决方法做了相应测试,现在整理介绍给大家,希望能对遇到此问题的网友有所帮助,并请高手继续指点。部分内容摘自网络,请原谅不一一注明出处。
首先,这里不考虑物理联接和其它问题,只谈及策略问题。此外,请安装相应的协议并正确的设置IP地址,同时尽量把计算机设置在一个工作组内且具有相同网段的IP地址。
其次,网上对于出现的问题描述较多,这里不再累述。当共享和访问出现问题时请考虑以下的步骤: 1.检查guest账户是否开启
XP默认情况下不开启guest账户,因此些为了其他人能浏览你的计算机,请启用guest账户。同时,为了安全请为guest设置密码或相应的权限。当然,也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。
2.检查是否拒绝Guest用户从网络访问本机
当你开启了guest账户却还是根本不能访问时,请检查设置是否为拒绝guest从网络访问计算机,因为XP默认是不允许guest从网络登录的,所以即使开了guest也一样不能访问。在开启了系统Guest用户的情况下解除对Guest账号的限制,点击“开始→运行”,在“运行”对话框中输入“GPEDIT.MSC”,打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,双击“拒绝从网络访问这台计算机”策略,删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用Windows XP系统的计算机了。
3.改网络访问模式
XP默认是把从网络登录的所有用户都按来宾账户处理的,因此即使管理员从网络登录也只具有来宾的权限,若遇到不能访问的情况,请尝试更改网络的访问模式。打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击“网络访问:本地账号的共享和安全模式”策略,将默认设置“......
同一IP地址实现多域名对应多个Web站点(2006-11-09 01:34:00)
摘要:Win2000 Server和NT Server的IIS使用三个参数来决定将哪个网站的数据传送给浏览器:IP地址,主机名和TCP端口。
当我们在浏览器的URL栏输入xxx.vicp.net(举例而已,不是色情网站),浏览器就会查询xxx.vicp.net的IP地址,于是我们的服务器会概述它,你的IP地址,然后浏览器将URL的数据打包,传递到查询到的IP地址的80端口(默认的Web服务端口),如果你的Web服务不使用80端口的话,你需要告诉你的朋友在域名后面加上一个冒号和端口的数值,就像这样:xxx.vicp.net:8080。你的Web服务器将收到这个URL请求,然后根据数据包中标示的目的地地址(你的Internet IP)、TCP端口号和URL中的主机名判断需要读取哪个主目录下的文件。
下面我们一步一步说明实际的配置:
我假设你申请了两个域名:
1.vicp.net和2.vicp.net,以下步骤将让用户访问1.vicp.net的时候读取c:\www1下的网站,访问2.vicp.net的时候读取C:\www2的网站,而使用1.vicp.net:8080、2.vicp.net:8080或直接使用ip地址访问(不带端口号的情况)则读取C:\www8080的网站。以上的路径和主机名称、端口号可以根据需要自行改变。
1、首先我们建立三个测试目录,在C盘建立:www1,www2,www8080三个目录,然后在三个目录下分别拷贝三个不同的htm文件,把他们改为Default.htm
2、打开Intenet服务管理器,你会看到一个名字为默认站点得网站,处于安全原因我简易你先把它关掉(不要删除,否则重新建立会非常麻烦),点击“默认Web站点”按鼠标右键,或在工具栏点击停止键。这时别人访问你的域名或IP地址则会出错,不用担心,继续下一步。
3、点击你的计算机名,按鼠标右键,选择“新建”-〉“Web站点”,Win2000会弹出一个网站向导,NT则弹出一个对话框,NT的内容比2000小一些,所以以下全部以2000为例。按下一步,填写网站的说明,这仅仅是说明,将会出现在Internt服务管理器的界面中标示你得网站,随便填点什么就行,我喜欢使用域名来标示网站,所以填上1.vicp.net,按“下一步”。
4、在“输入Web站点使用的ip地址”栏选择“全部未分......
试论证券网络的广播风暴与VLAN划分 (2006-11-09 01:33:00)
摘要:1、广播风暴的成因与危害 处于同一个网络的所有设备,位于同一个广播域。也就是说,所有的广播信息会播发到网络的每一个端口,即使交换机、网桥也不能阻止广播信息的传播。因此同一时间只能有一个广播信息在网络中传送。 对于证券网络,使用的是NOVELL操作系统,所有设备都将在网络中定时播发广播包,以告知其它设备自己的存在。还有许多其他功能需要使用广播,如设备开机、消息播送、视频广播等。 当网络上的设备越来越多,广播所占用的时间也会越来越多,多到一定程度时,就会对网络上的正常信息传递产生影响,轻则造成传送信息延时,重则造成网络设备从网络上断开,甚至造成整个网络的堵塞、瘫痪,这就是广播风暴。 因此网络上的设备数量与广播风暴的产生密切相关。据一些统计资料表明,网络上的设备数量在150~200台时,网络运行正常,且可以达到很高的利用率;当设备数量大于400台后,网络效率将急速下降,容易形成广播风暴。 我们可以通过观察交换机的端口上广播包数及与其他信息包的比率来确定广播信息是否已对网络的通讯构成危害。 2、VLAN的划分方法及标准 为使同一个交换机上的所有端口能够属于不同的网络,以达到节约资金,同时又阻止网络之间互相通讯,产生很好的安全性的效果,产生了在网络设备上设置虚拟网(Virtual LAN)的思想(如图1所示)。 虚拟网划分的方法有很多种,有基于端口划分(Port Based VLAN)的,有基于协议划分(Protocal Based VLAN)的,有基于MAC地址划分(MAC Based VLAN)的。 基于端口划分(Port Based VLAN)后,可以在固定的连接后,无论使用哪台设备接入,都属于同一个VLAN。 基于协议划分(Protocal Based VLAN)后,使用相同网络协议的设备,将处于同一个VLAN,例如办公用的电脑用TCP/IP,看行情的电脑使用IPX,他们将处于不同的网络。 基于MAC地址划分(MAC Based VLAN)后,则无论某一台电脑从哪个交换机端口接入网络,均不会改变它所处的VLAN。 IEEE802.1Q标准规定了基于端口的VLAN的划分和网络标签(Tag)的使用方法。通过对交换机间帧的传输加标签,可以使网络帧在不同的交换机之间传输,或者在同一条线路中传输属于多个VLAN的信号,而不......
VLAN是Wi-Fi的保护神吗?(2006-11-09 01:32:00)
摘要:VLAN为保护无线网络开了个好头,但是还不够,还需要验证机制。
市场数据可以从一个侧面反映WLAN急剧增长的势头:据In-Stat/MDR声称,全球Wi-Fi客户机(移动PC、PDA和手机)的销售额在2004年增长了66%;Wi-Fi硬件(接入点和交换机)今年的销售额有望超过60亿美元;如今交付的便携式电脑有90%配备WLAN卡。而到2004年年底,VoIP用户的数量激增了8倍,超过了100万。
IDC无线分析师Abner Germanow认为,对于管理WLAN上的VoIP流量而言,共用的安全和管理架构仍是一项进行中的工作,有待完善。他说:“许多WLAN厂商把虚拟局域网(VLAN)作为管理VoIP流量的首选的解决方案。”VLAN让网络工程师能够对流量进行划分,这样某个VLAN上的用户只能看到该VLAN上的流量。
权宜之计
VLAN的确为防范WLAN的两大安全威胁—破坏性接入点和会话欺骗(session spoofing)提供了行之有效的对策,因为它可以集中控制802.1X验证,防止破坏性接入点伪装成授权的WLAN入口通道。VLAN还能利用客户机和服务器加以保护的加密隧道,粉碎会话欺骗的阴谋。客户机和服务器都使用散列值对自己进行验证。
但是,VLAN只是一个不错的权宜之计,它可以创建子网,从而划分不同类型的LAN流量,如VoIP。Germanow说,“因为网络上没有大量的设备,但这仅仅是开始阶段。到了某个阶段,VLAN权宜之计不再管用,这时企业就需要寻求其他方案。”
企业在融合无线和有线网络的安全和管理之前,应当先做好准备工作。研究公司伯顿集团的无线安全主管Michael Disabato认为,第一步应当是对融合的无线和有线网络存在的安全和管理问题进行风险分析。他说,一个重要目的就是“确定所有用户的一系列共同的验证、访问和授权策略。”
无线和有线网络能够融合成共用的安全和管理基础设施,其动因是由于当初许多企业竭力保护WLAN,以免遭到访问灵活、敞开的无线热点地区移动用户面临的独特威胁。Disabato说:“无线LAN长期以来就需要强验证,因为无线会话面临种种威胁。如今,这种强验证及管理的应用范围扩大到了有线LAN。”
融合两个LAN架构,为用户保护及管理两种大不相同的基础设施提供了具有成本效益的手段。而可以预测的投资回报将对推动无线网络......
3Com千兆以太网在三峡大学校园网中的应用(2006-11-09 01:32:00)
摘要:背景与需求 三峡大学是一所经国家教委批准,省、市共建的省属普通全日制本科高等院校。下设医学院、师范学院和工学院3个二级学院,分设15个系、部,设置45个本、专科专业。 随着各单位计算机及局域网络应用的不断深入,特别是各种计算机应用系统被相继应用在实际工作中,各单位之间、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。需要使各单位相互间真正做到高效的信息交换、资源共享,为此,三峡大学提出建设一个高效的计算机网络系统。 建设原则 本网络在计算机网络的规划、设计和实施中遵循以下原则:1.充分考虑业务需求和业务发展趋势,具有实用性、灵活性、安全性、先进性。整个网络的建设应具备连续性,要保护现有的投资,充分利用现有的计算机资源和通讯资源;2.网络的可靠性要高。在考虑现有的通讯网络基础上,计算机网络的拓扑结构应尽量采用稳定可靠的结构形式、冗余备份,以保证整个网络的高可靠性;3.网络应具有高度的开放性,即对设备的技术开放和对其他网络的接入开放(如 internet);4.经济实用性:设备的选型应有最优的性能价格比,以最省的投资实现尽可能多的功能。 结构说明 三峡大学园区网中的核心和各个节点以光纤连接,采用千兆以太网技术,充分满足应用发展对主干带宽的需求,并能顺利过渡到万兆以太网。各个分支节点以 100m交换到桌面,为oa、文件传输、视频应用等服务提供了充足的桌面带宽。三峡大学园区网选用了3com公司提供的网络产品。 三峡大学园区网核心采用两台3com switch 4007高性能千兆交换机,两者之间通过两条千兆光纤链路相连,不但可以互为备份,提高可靠性,还能通过trunk技术增加两台核心交换机之间的带宽。两台3com switch 4007中除插有千兆以太网模块外,还分别插有快速以太网的fx和tx模快,其中fx模块提供和一些节点交换机的连接,tx模快提供100m交换到桌面的连接,充分发挥了3com switch 4007模快化交换机的优势。 三峡大学校园网拓扑结构图 三峡大学园区网的分支节点主要采用superstack ii 3900及superstack ii 3300交换机将中区图书馆、西区图书馆、东区图书馆、中区电教中心、中区人文学院通过光纤链路以千兆的速率接入到中心。 网络规划 在交换式网络体系结构中,虚拟局域网vlan是一个重要的组成部分......
一个端口划到多个VLAN总结(2006-11-09 01:31:00)
摘要:由于工作需要,本人在不想启路由的情况下,希望将一个端口划到多个VLAN中去,其目的有如下几点:1、隔离不想让相互访问的端口。(如两个部门)2、让都需要访问的端口划到所有VLAN。(如共享服务器)3、不启路由协议。(启路由会将降处理速度)根据收集到的资料和自己的实际环境实验,列出以下*作步骤:(华为6506为例)sysvlan 100quitvlan 200quitvlan 300(假设只有三个VLAN,都可以访问端口1,VLAN100、200和300之间不能访问)quitvlan 100port e 1/1 to e 1/8quitvlan 200port e 1/9 to e 1/16quitvlan 300 port e 1/17 to e 1/24quitint e 1/1(接服务器的端口)port link-type trunkport trunk permit vlan 100 200 300quitdisp vlan 100发现1-8号端口属于VLAN 100disp vlan 200发现1,9-16号端口属于VLAN 100disp vlan 300发现1,17-24号端口属于VLAN 100这样,交换机上所有的端口都能访问端口1,而VLAN之间不能相互访问。注意事项:要接TRUNK端口的服务器网卡支持802.1Q。否则,既使该端口属于多个VLAN,也不会PING通。这是我在实际中碰到过的。总结:在实际中,可以有多种方式实现此功能:1、trunk2、hybrid3、multi4、PVLAN这几个方式我都试过了,都是可行的。但是这几种方式只能用其中一种。前一段时间我一直在网上请教各位大虾的这个问题,如今通过实际*作,已经找到了答案,现在写出来与大家一起分享。大家如果有什么疑问,欢迎一起来讨论。......
Cisco公司网络工程实施案例(2006-11-09 01:31:00)
摘要:项目背景根据国家"十五"期间信息化规划思路,要求把党政机关信息化提高到一个新的水平,以适应21世纪初国民经济宏观调控和党政机关管理的需要,满足国际竞争环境的要求,提高党政机关工作效率和决策质量,实现党政机关部门间信息共享。主要任务:一是建立健全党政机关信息管理体制;二是加快建设党政机关专用信息网络,支持党政机关部门内部信息共享,促进党政机关间的信息交换;三是加快党政机关信息资源开发利用等。为此,福建省拟建设以整合利用全省信息技术和资源,实现网络化、智能化、信息共享为内容的"数字福建"。福建省政务信息网络工程是"数字福建"的重要组成部分,是福建省各级党政机关实现信息交换与共享的宽带、高速、安全、便捷的多媒体信息交换平台。福建省政务信息网络工程的业主单位是福建省经济信息中心。福建省经济信息网主要功能包括:文件传输(FTP)、远程登录(TELNET)、电子邮件(E-MAIL)、万维网(WWW)、在线信息发布、在线信息咨询与反馈、数据库查询、分布式数据存储、信息共享、视频会议、视频点播、虚拟子网、安全防护等功能,满足多媒体网络通信和省委、省政府、省委机要局的机要通信的要求,支持办公业务的自动化、电子化、网络化。在福建省政务信息网络工程这一项目中,使用了思科如下产品:Cisco 12008, 7507, 3661, 3640, Catalyst 6509, 3548, 3524。
福建省政务信息网络拓扑图(图一)项目建设内容和规模主要建设内容包括省直机关宽带网、纵向网、"三网一库"、数据库资源整合及其共享信息平台。1、 省直机关宽带网:A、 光纤线路:连接180个省直单位,总长400芯公里;B、 网络设备购置与组网:使用千兆以太网技术组网,主干带宽1000兆,接入带宽100兆,满足多媒体网络通信要求;设备包括各单位的接入交换机;但不包括机关内部局域网建设;C、 计算机软硬件设备、视频会议系统、防火墙、公安安全监测系统、保密机等。
省直机关宽带网拓扑图(图二)2、 纵向网A、 线路建设:建立省与9个设区市及84个县(区)的主线路和8兆备份线路;B、 网络设备购置与组网:利用福建电信公司的ATM网,省到地市带宽155M,地市到县市区带宽N*2M(N最大为17),满足多媒体网络通信要求;C、 网络建设不包括市县横向网络和机关内部局域网;D、 桌面......
小型企业VLAN组建方案(2006-11-09 01:30:00)
摘要:一个硬盘不进行分区管理,那么这个硬盘内的数据将变得凌乱不堪;同样,一个网络如果不进行分区管理,数据在网络中的流通也将变得十分混乱,从而影响整个网络的性能。在网络规模不断扩大的今天,由几台计算机组成的网络不进行分区管理,影响还不是太大;如果是一个企业的网络不进行分区管理,后果可想而知。对于硬盘分区,我们可以采用一些软件来实现;对于网络分区,就需要VLAN来实现。
认识VLAN
VLAN的中文意思就是虚拟局域网,它是一种将局域网内的设备逻辑分割成一个一个网段的技术。通过VLAN划分的局域网具有数据传输速度快,安全性高等特点。下面我们就来了解用VLAN划分局域网的优势,说到VLAN划分局域网具有的优势那么就要先看看不采用VLAN来划分的局域网特点。
上图是一个没有采用VLAN划分的网络结构,我们的目的就是计算机A发出数据请求,需要计算机B接收到。而没有采用VLAN划分的网络就显出了劣势,当计算机A发出ARP请求之后,这个请求将发到交换机B上,交换机B又将这个请求发送到交换机A上,最后又通过交换机A散发到各台计算机上。而我们的目的就是为了将计算机A上的数据发送到计算机B上去,可想而知,当所有的计算机都在接收这个请求时,将严重影响网络速度。
采用VLAN划分网络的局域网就是另外一种情况。当ARP请求发出之后,这个数据信息通过交换机B发送到交换机A上,如果交换机A是三层交换机就直接通过三层交换机里面的路由功能查找到目标地址计算机B,然后将信号返回到交换机A中,交换机又将信号返回到交换机B,然后再通过交换机B发送到计算机B,而不会将信号散发到整个网络中去,从而有效利用了带宽资源。如果交换机A不是三层交换机,那就需要连接到路由器上,通过路由器实现它们之间的通信。
VLAN的划分方式主要有两种,一种是静态VLAN,也就是基于端口的VLAN,这种VLAN方式由于需要对交换机中每个端口进行设定,显得相当麻烦。另外一种就是动态VLAN,动态VLAN中又分为基于MAC地址的VLAN、基于子网的VLAN和基于用户的VLAN,这三种动态VLAN就具有灵活性强的特点。
路由器划分VLAN网络原理
首先,我们要明白一点,就是不通过路由是无法实现不同VLAN之间的数据通信。而目前市场上有路由器带有路由功能,还有就是三层交换机带有路由功能。其中,三......