科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道磨刀不误砍柴工:网络服务优化扩展案例实解

磨刀不误砍柴工:网络服务优化扩展案例实解

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

充分挖掘现有网络资源的潜能,实现服务最大化是网络管理人员不懈的追求,愿笔者上面的三个扩展实例对大家有所帮助。

作者:IT专家网 来源:IT专家网 2009年1月4日

关键字: 优化 企业网 网络管理

  • 评论
  • 分享微博
  • 分享邮件

数量众多、功能各异的服务器承载了企业局域网的各种服务需求,这些服务是企业网络的命脉。面对新的服务需求,某些管理人员往往以搭建新的相关服务器为首选方案,从而造成了服务器的数量越来越庞大,增加了投入和管理的成本。其实,在现有的网络服务基础上通过优化和扩展就可以满足企业的需求。所谓“磨刀不误砍柴工”,下面笔者列举三个在企业局域网中非常实用的服务优化扩展实例。

一、域扩展RIS,实现软件自由分发

在局域网中,工作站无休止地进行软件安装、升级、维护、删除操作所带来的庞大工作量,以及由此可能产生的安全问题一直都是令所有网管头疼的事。很多网络管理员都采用搭建文件服务器共享的方法,但共享所引起的安全隐患往往会成为网管心中永远的痛。在域环境下只需进行RIS扩展即可实现软件分发,域内主机的软件安装将会变得轻松自如且安全无忧。

为了便于说明,我们假设现在某位网管要将lw.com域中的“Windows Server 2003管理工具包”程序“Adminpak.msi”分发到所有的工作站上,那么则应进行以下设置。

1.设置共享目录

为了最大程度地进行访问权限的管理,首先应在使用NTFS分区格式的盘中新建一个目录,并命名为“Tools$”,然后将Adminpak.msi程序从Windows Server 2003安装光盘的“I386目录”中复制到“Tools$”目录中。接着设置该目录的共享权限,“Authenticated Users”组为可读(如图1所示),“Administrator”组为完全控制(如图2所示)。

图1

图1

图2

图2

提示:分发的软件必须是MSI封装文件,如果想将非MSI格式的文件封装成MSI文件,可以使用InstallShield等工具来完成这个转换操作。

2.设置组策略

第一步:以域管理员身份登录DC(域控制器),然后依次点击“开始→程序→管理工具→Active Directory用户和计算机”菜单项,在弹出的窗口中右键单击lw.com,并在弹出的菜单中选择“属性”。在“属性”窗口中点击“新建”按钮,并将新建的组策略对象命名为“Software”。

第二步:选中Software并单击下方的“编辑”按钮,在打开的“组策略编辑器”窗口中依次点击“用户配置→软件设置→软件安装”。接着右键单击“软件安装”,并在弹出的菜单中选择“属性”。在“软件安装 属性”对话框中手工输入“\\计算机名\共享文件名”,然后选中“显示部署软件对话框”和“基本”两项(如图3所示)。

图3

图3

第三步:点击“确定”按钮返回“组策略编辑器”后,右键点击“软件安装”项,在弹出的快捷菜单中依次选择“新建→程序包”。在随后出现的“打开”对话框中,选中Tools$目录下的“Adminpak.msi”文件后单击“打开”按钮即可。在随后弹出的“部署软件”对话框中选中“已发布”选项后,点击“确定”按钮。现在就可关闭组策略对话框了。接着打开命令提示符窗口,输入“Gpupdate”命令并回车,这样可以刷新组策略以便使上述设置立即生效(如图4所示)。

图4

图4

3.在工作站中安装软件

经过上述在DC(域控制器)中的设置后,软件就会被分发到lw.com域中的所有工作站上了。在工作站中,当用户登录域后,只要点击“添加/删除程序”窗口中的“添加新程序”按钮,就会立即在“从网络添加程序”列表中列出从DC(域控制器)中分发出来的“Adminpak.msi”程序了。点击“添加”按钮则可以立即进行程序的安装(如图5所示)。

图5

图5

二、ISA扩展,流量控制轻松搞定

异常流量是造成网络故障的大敌,为此在局域网中进行流量监控是网管必须要做的工作。现在的企业中一般用ISA Server 2006部署了ISA服务器。大家知道其对网络访问流量控制功能不是很强大,我们只需依靠第三方软件Bandwidth Splitter与ISA Server 2006结合即可完美进行流量控制。

安装完BS后,打开ISA Server 2006,可以看到BS的管理控制台已经集成到ISA Server 2006中。点击Bandwidth Splitter,它有4个功能项,分别是:Shaping Rules、Quota Rules、Quota Counters和Monitoring。下面结合实例来讲解它们的作用,并配置它们。

1.流量及其连接数限制

比如将IP地址为192.168.1.10的计算机的流量设置为50Kbits/s,它的连接数最多为20。首先选择左侧窗格中的“防火墙策略”,并在右侧窗格中选择“工具箱”→“新建”→“计算机”,在弹出对话框中将名称设为lw,IP地址为192.168.1.10,描述为受限用户,然后点击确定(如图6所示)。

图6

图6

再用右键单击Bandwidth Splitter下的Shaping Rules项,选择“新建”→“Rule”,在弹出的“新建带宽控制规则向导中”填入规则名称“lw 小于 50K”,在“Applies To”项中选择“IP address sets specified below”,点“Add”并从列表里找到刚才建好的名称为“lw”的计算机。然后点击下一步,在“Destinations”项中从列表里添加“外部”,点下一步,在“Schedule”项中选择“Always”,然后,在“Shaping”中选“Shape total traffic(incoming+outgoing)”,Total值设为“50”,勾选“Don't shape cached web content”。点下一步,在“Connection setting”项中勾选“Limit number of concurrent connections”,将“Connection limit”值设为20;在“shaping type”项中选择“Assign bandwidth individually to each applicable user/address”。点下一步,在“Extra parameters”项中选择默认,然后点击下一步(如图7所示)。

图7

图7

此时在左侧窗格中就出现了刚才配置的“lw 小于 50K”的流量控制策略,单击ISA Server 2006控制台工具栏上的绿色按钮“Apply changes”,提示应用完成之后,这个流量控制策略就生效了。打开“Monitoring”项,可以看到IP地址为192.168.1.10的计算机的实时流量一直被控制在50Kbits/s以下,连接数也在20个以下。在“Monitoring”项上点右键,勾选“Connections Details”我们可以查看到,每一台计算机当前的连接情况的附加信息,包括协议、目标主机IP、端口等详细内容(如图8所示)。

图8

图8

2.设定总流量上限

例如将IP地址为192.168.1.10的计算机每周的流量总额限定为300MB。首先,用右键单击Bandwidth Splitter下的Quota Rules项,选择“新建”→“Rule”,操作同前述例子基本一致,按向导提示一步步填写相关内容即可。只是在“Traffic Quota”选项中有所不同,选择“Limit total traffic(incoming+outgoing)”,Total的值设为300MB,勾选“Don't account cached web content”,将“Reset period”值设为“Weekly”,并勾选“Transfer remainder to the next period”,其余相同,完成后应用即可。打开“Quota Counters”项,我们在右侧窗格中可以看到IP地址为192.168.1.10的计算机的策略应用情况,及本周还有多少流量可以使用(如图9所示)。

图9

图9

三、DHC扩展,简化网络管理

1.捆绑IP地址和MAC地址

为防止非法盗用IP地址造成网络的混乱,减轻网络管理员的的维护困难,必须采取多种手段,实现IP地址和MAC地址的捆绑。

第一步:查找客户MAC地址。一个有经验的网络管理员应该有个客户端的MAC地址表,如果没有这个表就需要在客户端命令行中敲入ipconfig /all命令就可以得到。当然在路由器中也有客户端IP和其对应的MAC地址。

第二步:快速绑定。知道客户机的MAC地址后,就可以在DHCP服务器端进行IP地址和MAC地址的绑定了。打开DHCP管理器,展开客户机所使用的作用域,右键点击“保留”选项,选择“新建保留”,弹出配置对话框。

第三步:在“保留名称”栏中为该项目起个名,然后在“IP地址”栏中输入客户机要使用的IP地址,“MAC地址”栏中输入该客户机的MAC地址,然后在“支持类型”框中选择“两者”选项,最后点击“添加”按钮,完成了客户机的IP地址和MAC地址绑定(如图10所示)。

图10

图10

2.跨子网使用DHCP服务器

为了提高网络的安全性,规模稍大的局域网通常要划分为多个子网。但DHCP服务器只能为本子网的机器提供服务,每个子网都配置DHCP服务器又会造成浪费,提高维护成本。如何让一台DHCP服务器能同时为多个子网提供TCP/IP配置服务呢?

为了便于说明,假设某企业有A、B两个子网,A中配置了一台DHCP服务器,子网B中没有DHCP服务器,只要在子网B进行如下配置操作就可以使用A的DHCP服务器:


在子网B中选择一台Windows 2003机器,将其配置成路由器,用来连接A、B两个子网。进入“控制面板→管理工具”,运行“路由和远程访问”工具,右键点击本地服务器,选择“配置并启用路由及远程访问”,弹出安装向导对话框,选择“自定义配置”,点击“下一步”后,选择“LAN路由”,最后点击“完成”(如图11所示)。

图11

图11

第二步: 配置中继代理

在路由和远程访问窗口中,展开“本地服务器→IP路由选择→常规”,右键点击“常规”,选择“新增路由协议”,接着在新路由协议窗口中选择“DHCP中继代理程序”,点击“确定”按钮(如图12所示)。

图12

图12

右键点击DHCP中继代理程序,选择“属性”,弹出“DHCP中继代理程序属性”对话框,在“常规”标签页的“服务器地址”栏中输入子网A的DHCP服务器的IP地址,然后点击“添加”按钮,最后点击“确定”即可(如图13所示)。

图13

图13

右键再次点击DHCP中继代理程序,选择“新增接口”,弹出DHCP中继代理程序的新接口对话框,在“接口”框中选中可以访问子网A的那个接口,也就是连接子网A的网卡,点击“确定”按钮。接着在弹出的“DHCP中继站属性”对话框中,确保选中“中继DHCP数据包”后,就启用了它的中继功能,最后点击“确定”按钮。完成以上配置,子网B的客户机就可以使用子网A的DHCP服务器了(如图14所示)。

图14

图14

总结:充分挖掘现有网络资源的潜能,实现服务最大化是网络管理人员不懈的追求,愿笔者上面的三个扩展实例对大家有所帮助。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章