平衡性能

如何保证应用系统的性能平衡，保证企业投资是具有前瞻性和长期有效性的？
在复杂的网络环境尤其是具有SAN环境的系统架构中，存储管理是用户所面临的最大问题。如何保证存储性能的可靠、资源分配合理？
许多服务器的各部分组件都应该进行整体的性能平衡，以避免系统瓶颈。那就必须从CPU的处理能力、网络的I/O能力、电源供给能力、风扇冷却能力等等多方面进行需求优化。如果没有具体的衡量指标，如何界定整体性能的合理与否？

……

网络管理员的职责涵盖资源管理、配置管理、性能管理、安全管理，也涉及管理策略、管理组织、管理方法等等。从某种意义上来说企业的管理策略目标实施能否有效完成，对网络管理员也提出了较高要求。网络设施作为现代化企业的基础，无论是管理电子企业，向客户提供Internet服务，还是管理公司内部的IT基础设施，网络都象“血脉”一样重要。更不要说在业务关键的公司，一旦网络瘫痪，每分钟的损失将高达数十万元。企业必须主动管理网络，以便使网络能全天候全球运作，如果只是被动管理网络是不能满足可用性要求的。同时，企业的网络管理人员还必须管理不断变化的技术，不断适应网络的动态发展，并将各种网络环境集成在一起。

何为平衡 

从广义上讲，在目标和实施、选型、管理之间达到一种和谐的状态就是平衡。从管理的角度看，要使整个系统达到和谐的平衡，对象与资源在日常工作中必须达到非常好的或较好的状态，达到需求与供给之间的平衡。根据目前国内的Internet发展情况，对于网络管理而言，绝不是仅仅设置好网络就可以安然高卧，还需要前仆后继地进行网络的设置优化，使用过程中要注意网络故障的检测和排除；另外还要排除某些别有用心的人导致的这样那样的干扰。如此,才能对得起那些如流水般流走的白花花银子。
因此，必须寻找功能与性能的平衡点！
必须走出追求性能的误区！
提高整个IT系统的可管理性和整体效率，降低管理成本！
……

平衡的误区 

首先要澄清的一点是，平均不是平衡，平均主义地分配网络资源、带宽资源、访问权限等，不会带来平衡，反而是失衡的隐患。目前的绝大多数网络的管理状态是扁平化的，从管理员往下，配给每个节点用户的资源是类同的。很多公司中，每个用户的终端配置、共享磁盘空间、访问权限、打印权限等采取平均配给策略。又比如升级到Windows 2000时候，优先享受到这些新软件功能的往往是系统管理员或领导，而不是最需要这些新功能的部门。此外，带宽、安全、资源配给、VLAN的划分不能做到在业务群组之上有所侧重，还没有打破网络资源配置的扁平化。

企业中网络元素、网络业务、网络客户往往被作为网络管理对象，并将网络业务管理、网络客户管理、网络设备管理、网络应用管理有机结合起来。它将庞大复杂的一个大网按照业务重新进行划分，使得网络管理脉络清晰、主次分明。网管的目标应该是将网络管理从单纯的面向设备管理提升到面向业务、面向客户管理，突出了网络管理的重点。

美国网络联盟的Sniffer产品总经理Bakul Mehta透露，他们将推出面向中小型企业的Sniffer产品。众所周知，Sniffer产品历来是针对大中型行业用户的，这个消息对于一直渴望规范科学高效率管理网络的中小企业网络管理人员无疑是一个令人振奋的好消息。

Mehta先生也谈到，Sniffer是不会面向个人市场的，他们的真正用户是以银行、电信为代表的行业用户。网络对这些企业用户的运营状况至关重要，一旦出现网络故障，其损失不可估量。而此次推出中小企业产品是与企业网络发展趋势密切相关。在企业全球化、专业化过程中，网络已经成为非常重要的工具。当企业网络建设工作完成之后，如何管理网络则成为重点。“多网合一”又将成为大势所趋，越来越多的技术、信息以及越来越多的公司被集成在同一网络之中。这些公司包括金融、电信等大型的行业用户，也包括制造业内的中小型企业。网络故障造成的网速变慢或是停机，都可轻而易举的使其遭受巨额损失。若让网络安全、稳定的运行，网络管理是重中之重。

但如何管理涉及到多技术、多层次甚至多公司的复杂网络，对任何企业都是一个头疼的问题。Sniffer产品立足于网络管理，是一技术含量很高的网管工具。它为用户提供了一整套便携式及分布式的软件工具，可对网络性能进行监控、故障解决、报告和主动管理，充分满足电子商务站点、互联网应用程序、集成语音、视频和数据网络以及高速交换光纤网等环境下所必需的24×7高可用性需求。

许多中小企业网络的复杂性和技术多样性已经与以前的大型企业网络相近。Sniffer产品在管理大型网络方面积累了大量经验，再结合现阶段中小型企业网络特点，推出了针对他们的新产品，帮助他们了解自己的网络并告知哪里可能有问题，会出现什么样的安全漏洞。用户网络完善了，SI的售后服务的工作量也会相应降低。

用户安装网络安全设备以及管理工具后，有的认为可以高枕无忧了。无论是安装后的网络安全产品还是网管工具，其品质时时遭受用户的置疑。其原因并非是产品本身造成的，往往是因为网管人员操作不当造成的网络故障。这些人员是很难快速精通高技术含量的网管工具。此问题不仅发生在用户身上，SI也可能遇到相同的问题。因此对于系统管理员来说培训就更加重要了，Sniffer为避免自己的合作伙伴发生这样的问题，要求只有两名以上经过其认证的工程师的公司才有资格建立伙伴关系。

关注安全平衡 

网络安全是网络管理员最关注的工作内容之一。安全必须是与实际需求相结合的合理的整体布局的平衡。而防火墙的针对性强，它实质上成为实现网络安全的重要保障之一。
防火墙最重要的作用是在网络边界实现保护作用，保护能力与防火墙体系结构和运行机制有直接的关系，历史上每一次体系结构上的演变都会带来防火墙功能的质的飞跃。防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护，而应用代理则更关心应用层的保护。
防火墙的技术更新基本以年为单位，厂家纷纷推出了架构在新技术上的新型产品，象复合型防火墙的概念，就声称找到了用户可接受的平衡点；东软提出了架构在状态检测基础上的信息流过滤的技术，它的优势是在安全性达到应用代理型防火墙标准的情况下，还能够实现在透明方式下的对应用层协议的控制能力。

以上谈到的是产品技术本身的性能平衡问题。涉及到安全管理的平衡，管理网络性能平衡的问题，还要进一步探讨。

很多人错误的把防火墙性能和速度划上等号，其实防火墙的作用就是保证网络的安全，但如果防火墙本身都不安全，又何谈网络安全呢？所以可靠性对于防火墙来说是极其重要也是最基本的。比如很多防火墙虽然支持双机热备份功能，但如果从主防火墙切换到备份防火墙需要30秒钟，甚至更长的时间，就失去了双机热备份的作用。

随着防火墙的大规模应用，很多重点行业的核心应用都依赖于防火墙的性能指标，特别是在电信、金融等数据传输量较大的领域。人们对性能的追求也是应用代理型防火墙陷入困境的主要原因，虽然它的功能强大，但当用户对内外网络网关的吞吐量要求比较高时，代理防火墙就会成为内外网络之间的瓶颈。
但实际上防火墙的性能和功能是不可兼得的，某项功能的增加势必会造成性能的下降，有统计表明当防火墙加入VPN功能时性能一般要下降50%左右。性能与功能熟重熟轻？如何找到一个非常好的的平衡点？所有防火墙厂商都在摸索前进。

东软网络安全咨询顾问王虎认为寻找平衡点首先要从客户需求出发。另外王虎还指出保证技术先进性也是功能与性能兼顾的必要条件，因为只有采用先进的技术才能使防火墙的性能最大化。
此外，系统本身的漏洞给安全造成的隐患更不可小觊。关于提高网络的安全性与可靠性、网络安全保障系统脆弱性以及备份和灾难恢复是另一个话题了。

实施过程的平衡

在网络实施过程中，对重要部门和关键部门，投入成本与关注程度要更高。
譬如邮件服务器的管理，开始可以按照单位和网络位置对 Exchange 用户进行分组，以确保相互发送电子邮件最多的用户位于相同的服务器上，即尽可能在相同的网络段上。一旦确认了单位和网络分组，就应当分析每个组以查看他们生成和交换哪些类型的信息。例如，他们如何安排会议或共享信息？他们是否使用公用文件夹？如果使用，有多少？他们对邮件存储和邮件传递的性能要求是什么？是否有规律性的（可预计的）高峰性能时间？例如，是否大多数用户每天几乎都在相同时间到达办公室并先下载邮件，从而导致密集的下载？还应当评估他们对 Exchange 的了解程度如何，如有可能，还应评估其接受再培训的能力如何。他们是否允许邮件文件夹自行增长？您能否让他们改变这个或其它习惯？

了解基本用户的情况可以让您知道如何增强性能、平衡服务器和网络上的负载、创建更稳定的系统。
设置工作组的第一步是查看所在单位的图表，并审查每个 LAN 段。当您将每个组添加到布局中并为其命名时，应当估计每个组的用户数量。您应当尽量以容易更改的方式对用户进行分组，这样，当您规划服务器时，及以后如果决定修补或扩展布局时，就能够灵活处理。诀窍是使组大得足以减轻管理和负载压力，但又小得能够成为用户群的可管理段。如果您能得到一致的大小，当然很好，但这也许是不可能的。通常，组织总在不断地增长和变化，有一天，您可能不得不重新评估和重新设计您的工作组结构，以便维持非常好的的 Exchange 基础结构。

管理平衡

管理平衡的原则是关键性的人和业务、部门必须有所侧重。在网管员的眼中，所有的资源和人员是一样的，而从业务的角度看则绝非如此。
将业务性能和业务量的监测与网络业务故障管理有机的结合起来，设备层、应用层、服务层、业务层，全方位监测网络运行状况，使得通过监测网络设备和应用无法监测到的隐性故障也能轻而易举的发现。
此外网络管理和网络分析有机结合起来，可以为网络扩容、规划提供必要的技术参数。
更为重要的是，与网络服务息息相关的网管信息开放给用户，引导用户选择非常好的的时机使用非常好的的网络资源。同时又要适合于传统的IP网络管理，又适合于新兴的IDC业务的管理。
科学分析网络业务及网络容量，为客户进行网络规划、扩容提供数据依据，避免盲目投资
因此，如何科学有效的评估网络的容量是否饱和，如何调整网络的结构使其更加合理是网络管理人员必须要面对的问题。

如果能从客户端模拟真实用户请求服务（这些服务包括WWW服务、Email服务、VOIP服务、拨号服务等）的方法测试网络服务的性能，如服务响应时间、服务接入时间、服务可靠性等，从而监测网络性能的好坏及变化规律，提醒网络管理员不断优化网络及起服务性能，进而不断提高服务质量，增强用户满意度。
 网管整合包含两个层面，其一是系统整合，即将网管系统尽可能地整合在一起，实现统一的数据采集、一体化的数据处理、统一的管理员界面。其二是业务整合，即将与IT运营相关的各个业务系统，如业务开通、业务保证、计费以及安全管理等整合在一起。

网络管理的综合化和智能化是网络管理系统的发展趋势。所谓综合化管理包含三重意思：一是对于同一子网，必须包含组成网络的各种网元设备。如电信网管理必须包含交换设备、传输设备和用户的管理，此外还应包括支撑体系（信令系统、同步系统等）到各种业务管理。二是由单一网络到互连网络的管理，如电信网、计算机网、广播电视网以及它们的互连网，对于一个行业、部门建立能覆盖所涉及的全部网络。三是与网络直接相关的系统也应是综合管理的一部分，如网络所处环境、供电系统等。
除此之外，综合网络管理还应该操作简便，能减少差错，增加网络管理的适应性和实时性。对网络进行综合管理是互连网络发展的必然趋势。
 
信任度与网络安全

计算机和网络的安全性习惯上把人分成两类：一类人是你信任的，在你的网络上有帐号；另一类是你不信任的，在你的网络上没有帐号，实际上他们可能会闯入网络。对于后一种计算机用户，你只对其有点信任，他们需要访问你的网络，但不应该问所有的资源。可能希望限制的用户帐号包括：
。临时工作人员的计算机和帐号
。咨询人员和顾问的帐号
。学生用网络帐号
。客人帐号和用于匿名访问的帐号
另一种情况是在一般应用时限制用户更改计算机，不将计算机分配给某些个人。你可能乐意让这些计算机处于相同背景之下，具有相同的应用程序和相同的资源配置（工作组成员关系、打印机连接等）。下列应用环境使人们有充分的理由来限制用户的能力：
。用于特定目的或程序的计算机
。学校网络中的学生计算机实验室所用计算机
。一般应用的计算机
。在网吧中公用的计算机
对于这几类用户，需要一种机制限制这些用户帐号利用资源，还要有一种方法限制使用计算进行修改操作。系统策略编辑器（System Policy Editor）是用于限制此类帐户的工具。本章介绍这种工具，并说明在你的网络可能进行的修改，以增强网络的安全性。利用系统策略编辑器可以修改的系统选项是以树状结构安排的，树的每个分支用于维护Windows NT或Windows 95的某一特定行为或性能。其中的某些选项对Windows 95 或Windows NT计算机的安全性影响更大一些。 

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=875&categ_code=10151002