徐 維，李興軍

(湖北工程學(xué)院現(xiàn)代教育技術(shù)中心, 湖北 孝感 432000)

0 引 言

隨著信息化和計算機(jī)技術(shù)的不斷發(fā)展，用戶對網(wǎng)絡(luò)的要求越來越高，而網(wǎng)絡(luò)帶寬資源日益緊張.若干不可預(yù)知的、突發(fā)的性能瓶頸會影響關(guān)鍵應(yīng)用的運作效率，會出現(xiàn)網(wǎng)絡(luò)擁塞或者短暫性的網(wǎng)絡(luò)斷開.校園網(wǎng)具有用戶比較集中，訪問峰值高以及網(wǎng)絡(luò)中承載的內(nèi)容較為復(fù)雜多樣的特點，因此，如何高效地管理校園網(wǎng)，保證網(wǎng)絡(luò)帶寬資源的有效使用是校園網(wǎng)絡(luò)管理面臨的一個嚴(yán)峻問題.在高等院校的網(wǎng)絡(luò)管理中，用戶數(shù)量龐大，網(wǎng)絡(luò)應(yīng)用環(huán)境復(fù)雜，特別是點對點技術(shù)的出現(xiàn)與發(fā)展，不同種類的點對點應(yīng)用占用了大量網(wǎng)絡(luò)帶寬(例如比特流、迅雷等)，消耗了網(wǎng)絡(luò)中的大量帶寬，高峰期可以耗盡整個網(wǎng)絡(luò)帶寬.由網(wǎng)絡(luò)鏈路擁塞引發(fā)的應(yīng)用性能下降問題也日益嚴(yán)重，極大地影響了校內(nèi)正常業(yè)務(wù)的使用以及師生員工正常網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量.

網(wǎng)絡(luò)的正常運行，不僅僅需要設(shè)備先進(jìn)，運行穩(wěn)定，更加需要管理精細(xì).如果網(wǎng)絡(luò)運行缺乏管理，核心業(yè)務(wù)應(yīng)用、時延敏感的應(yīng)用、即時通訊、點對點、網(wǎng)絡(luò)游戲等應(yīng)用將同時搶用相對固定的帶寬資源，隨之，網(wǎng)絡(luò)帶寬的使用沒有保障業(yè)務(wù)應(yīng)用的優(yōu)先級以及重要程度，最終導(dǎo)致網(wǎng)絡(luò)帶寬被搶占資源比較厲害的諸如點對點應(yīng)用耗盡.

由于點對點的使用占用了至少50%的網(wǎng)絡(luò)帶寬資源，并且毫無節(jié)制地吞噬著寶貴的帶寬資源，將嚴(yán)重影響網(wǎng)絡(luò)中關(guān)鍵應(yīng)用的正常運行和使用.

帶寬的容量是有限的，帶寬的價值是不菲的.當(dāng)沒有對應(yīng)用進(jìn)行優(yōu)先級劃分的時候，非關(guān)鍵性應(yīng)用總是占據(jù)上風(fēng).巨大的電子郵件附件或大容量文件傳輸所消耗的帶寬遠(yuǎn)遠(yuǎn)超過它們所應(yīng)享有的，而校園網(wǎng)絡(luò)中的關(guān)鍵性應(yīng)用之間又在相互競爭僅有的少量的帶寬，特別是域名系統(tǒng)服務(wù)、網(wǎng)站服務(wù)、辦公自動化等關(guān)鍵性應(yīng)用.

網(wǎng)絡(luò)安全方面的隱憂很多，病毒是大部分高等院校網(wǎng)絡(luò)管理面臨的一大挑戰(zhàn).網(wǎng)絡(luò)病毒的入侵無處不在，可以通過用戶電子郵件、網(wǎng)頁瀏覽等途徑進(jìn)入到網(wǎng)絡(luò)中，然后發(fā)起破壞性攻擊.當(dāng)攻擊發(fā)生的時候，可能的情況是網(wǎng)絡(luò)內(nèi)的若干臺中毒計算機(jī)同時往服務(wù)器發(fā)送大量攻擊包，嚴(yán)重阻塞網(wǎng)絡(luò)骨干和校園網(wǎng)出口通道.

1 流量控制的技術(shù)及設(shè)備選型

為了減少上述問題帶來的負(fù)面影響，管理員可以在校園網(wǎng)的核心交換機(jī)和防火墻之間部署流量控制硬件設(shè)備來解決.

流量控制，首先需要一定的檢測手段，主要的檢測技術(shù)包括深度包檢測(Deep Packet Inspection，下文簡稱為DPI)、深度流檢測(Deep/Dynamic Flow Inspection，下文簡稱為DFI)等.

DPI技術(shù)是一種基于應(yīng)用層的流量檢測和控制技術(shù)，當(dāng)數(shù)據(jù)包、數(shù)據(jù)流通過帶寬管理系統(tǒng)時，該系統(tǒng)通過深入讀取數(shù)據(jù)包載荷的內(nèi)容來對開放式系統(tǒng)互聯(lián)七層協(xié)議中的應(yīng)用層信息進(jìn)行分析與重組，從而得到原始內(nèi)容，然后按照系統(tǒng)定義的管理策略對流量進(jìn)行整形操作[1].

DFI是相對于DPI技術(shù)提出的一種業(yè)務(wù)識別技術(shù)，即不同的應(yīng)用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)各有不同，能夠保證正確識別加密傳輸?shù)膽?yīng)用流量.DFI 關(guān)注于網(wǎng)絡(luò)流量特征的通用性，它不對不需進(jìn)行深度報文檢測和使用協(xié)議還原技術(shù)，僅僅通過獲取點對點流量的各項統(tǒng)計參數(shù)，分析點對點流量的空間特性和時間特性，構(gòu)建相應(yīng)的點對點流量模型，探尋有效的點對點流量控制策略[2].

基于應(yīng)用層的網(wǎng)絡(luò)流量控制采用的設(shè)備需要兼具有DPI 技術(shù)(深度報文檢測技術(shù))與DFI(深度流檢測)技術(shù)；經(jīng)過查閱各種資料及試用設(shè)備，選用了TTNET1000(the traffic control facility).

2 流量控制的策略

通過特有的帶寬管理和分配算法，流量控制設(shè)備可以將網(wǎng)絡(luò)帶寬的管理從被動的、消極的、無效的傳統(tǒng)模式提升到主動的、有效的、智能化的帶寬管理服務(wù)，保證關(guān)鍵應(yīng)用正常運行，提高網(wǎng)絡(luò)管理水平.

2.1 應(yīng)用優(yōu)先級的劃分

流量控制設(shè)備可基于業(yè)務(wù)應(yīng)用的重要程度，將校園內(nèi)部的應(yīng)用劃分為若干個優(yōu)先級，并在后續(xù)的帶寬管理過程中將核心業(yè)務(wù)應(yīng)用的應(yīng)用配置為高優(yōu)先級，同時將占用帶寬資源較高的應(yīng)用配置為低等級，從而可以實現(xiàn)優(yōu)先保證高等級的應(yīng)用.將所有需要保障和抑制的應(yīng)用進(jìn)行合理分組，校園網(wǎng)絡(luò)基本上應(yīng)以保證網(wǎng)站訪問應(yīng)用為前提，在工作時間內(nèi)抑制點對點等應(yīng)用.

2.2 強(qiáng)大的帶寬控制與管理功能

流量控制設(shè)備結(jié)合應(yīng)用優(yōu)先級、共享通道、權(quán)重、自定義虛擬帶寬通道等，提供了多層多級帶寬通道、最大帶寬限制、帶寬保障、帶寬預(yù)留、帶寬租借、微帶寬控制、虛擬局域網(wǎng)帶寬控制等一系列強(qiáng)大的流量整形和帶寬管理功能.可對特定的用戶組進(jìn)行帶寬總通道劃分，例如500 MB帶寬，點對點下載限速最多100 MB，網(wǎng)絡(luò)視頻最多200 MB，網(wǎng)頁瀏覽及傳統(tǒng)應(yīng)用保障100 MB等.

2.3 基于應(yīng)用層防火墻的應(yīng)用優(yōu)化策略

流量控制設(shè)備可以內(nèi)置靈活、高效的應(yīng)用層防火墻[3]，通過參考傳統(tǒng)防火墻的訪問控制策略，將其深化至應(yīng)用層面，管理員可以基于應(yīng)用優(yōu)先級、源IP(Internet Protocol，下文簡稱IP)地址、目標(biāo)IP地址、用戶、虛擬局域網(wǎng)、時間段、協(xié)議和應(yīng)用組、動作(允許或阻斷)、會話數(shù)以及帶寬通道等進(jìn)行自由的帶寬控制和應(yīng)用優(yōu)化，確保方案有效，功能合理.

2.4 安全保護(hù)措施

采用主動預(yù)防和設(shè)備攔截等技術(shù).安裝監(jiān)視、日志或者其他流量分析系統(tǒng)，啟用客戶接入控制及安全性檢測[4]，攻擊發(fā)生時，就可很快地診斷出攻擊的類型以及攻擊源，要盡可能地修正已發(fā)現(xiàn)的問題和系統(tǒng)漏洞，識別、跟蹤或禁止這些機(jī)器或網(wǎng)絡(luò)對校園網(wǎng)的訪問，如對異常流量的端口流量進(jìn)行限制；把網(wǎng)絡(luò)分為多個子網(wǎng)，并改變IP地址和主機(jī)名，在拒絕服務(wù)攻擊中，這種方法是一種較為有效的方法；應(yīng)用包過濾的技術(shù)，配置正確的路由器和防火墻，采用防火墻或網(wǎng)關(guān)等設(shè)備進(jìn)行攔截；從保障主要業(yè)務(wù)不受影響方面考慮可采用異常流量的清洗與回注技術(shù).

3 流量控制的應(yīng)用

流量控制設(shè)備正常運行后，系統(tǒng)管理員可以通過日志分析校園網(wǎng)絡(luò)的流量，一般高峰期在上午的10點30分和下午的4點30分，晚上10點左右又是一個小高峰，晚上10點半之后，流量逐漸下降，直到次日的上午8點.

鑒于這個結(jié)果，管理員可以按照時間制定策略，白天可以控制點對點的流量，限制小一點，夜間放大點對點的流量，按照規(guī)律合理地使用帶寬資源.

通過日志，管理員觀測到部分終端計算機(jī)在完成下載功能后，繼續(xù)供其他用戶下載.管理員可以相應(yīng)的限制其上傳的速度和通道帶寬，可以有效保護(hù)網(wǎng)絡(luò)帶寬的資源.

根據(jù)網(wǎng)絡(luò)帶寬管理和用戶的不同需求，管理員合理安排不同規(guī)則的控制策略，使得有限的帶寬資源得到合理的利用，滿足高等院校師生員工的需要.保障了包括網(wǎng)頁瀏覽、電子郵件、SQL(Structured Query Language) 數(shù)據(jù)庫等核心業(yè)務(wù)， 而對于點對點類下載、視頻流量進(jìn)行了有效的限速處理，對網(wǎng)絡(luò)中各用戶的上網(wǎng)行為進(jìn)行有效管理，提高內(nèi)部教職工的工作效率，為學(xué)校網(wǎng)絡(luò)規(guī)劃和帶寬擴(kuò)容提供科學(xué)的依據(jù).

當(dāng)然，流量控制設(shè)備也有不足之處.流量控制設(shè)備的關(guān)鍵技術(shù)指標(biāo)是特征碼，對新的網(wǎng)絡(luò)協(xié)議、應(yīng)用類型應(yīng)該在流量控制設(shè)備上及時更新特征碼庫，用以滿足用戶新的需要.而一般特征碼庫的更新都在新的網(wǎng)絡(luò)協(xié)議、應(yīng)用類型出現(xiàn)之后，所以存在暫時網(wǎng)絡(luò)流量不受管控的現(xiàn)象.管理員還可以自定義特征碼，為不同的環(huán)境定制相應(yīng)的特征碼庫，使師生員工有一個良好的網(wǎng)絡(luò)環(huán)境.

4 結(jié) 語

通過上述所采取的控制策略，解決了校園網(wǎng)網(wǎng)絡(luò)擁塞等問題，對校園網(wǎng)的流量進(jìn)行控制后，基本上能保證學(xué)校的正常教學(xué)、辦公及科研等網(wǎng)絡(luò)的應(yīng)用.

參考文獻(xiàn)：

[1] 王超,趙文杰.IP網(wǎng)絡(luò)帶寬管理技術(shù)及應(yīng)用分析[J].電信技術(shù),2007(5)：101-103.

[2] 崔燕,汪斌強(qiáng),陳庶樵,等.基于行為特征加權(quán)的P2P流識別方法的研究[J].計算機(jī)工程與設(shè)計,2009,30(20): 4805-4807.

[3] 劉瞳紅,紀(jì)越嶂.下一代應(yīng)用層防火墻性能及其測試[J].計算機(jī)工程,2006,32(11)：169-171.

[4] 林維鏘.中小型校園網(wǎng)流量的控制方法[J].武漢工程大學(xué)學(xué)報，2011，33(4)：97-99.