文/徐竟祎 應奕彬 狄珂 陶燁楠 孫毅

(作者單位為復旦大學校園信息化辦公室）

高校校園網(wǎng)網(wǎng)絡(luò)生態(tài)是具有三層路由的網(wǎng)絡(luò)架構(gòu)，通過互動、鏈接、網(wǎng)絡(luò)的方式，以用戶體驗為導向，實現(xiàn)用戶網(wǎng)絡(luò)體驗價值的生態(tài)模式，且需要滿足校園內(nèi)各項教學、科研、辦公等需求，運行機制和行為錯綜復雜。目前部署在出口的流量監(jiān)控系統(tǒng)可對流量進行管控和優(yōu)化。各大網(wǎng)絡(luò)設(shè)備廠商也推出了各自的流量識別與控制產(chǎn)品，但此類產(chǎn)品是基于網(wǎng)絡(luò)核心和出口的監(jiān)控和管理，不能準確地描述分析出網(wǎng)絡(luò)環(huán)境下的現(xiàn)狀和問題。 距離用戶端的“最后500米”恰恰能反映用戶的實際使用體驗。 但針對直接連接用戶端的數(shù)據(jù)流量分析尚屬空白。本文將從接入層出發(fā)，分析隱藏在大量接入交換機中的流量情況和異常問題，切實從用戶的實際感知出發(fā)，對后續(xù)提升用戶體驗有顯著的幫助，展現(xiàn)高校樓宇中二級網(wǎng)絡(luò)的生態(tài)狀況。

校園樓宇二級網(wǎng)絡(luò)研究難點

1. 校園網(wǎng)絡(luò)復雜性：學校是以教學活動為中心的場所，擁有眾多行政、教學或科研機構(gòu)，涵蓋多類多媒體應用。且校園網(wǎng)校區(qū)跨度大，人員結(jié)構(gòu)繁雜，網(wǎng)絡(luò)拓撲復雜，設(shè)備型號不一致等諸多因素都會對網(wǎng)絡(luò)性能造成不同程度的影響。

2.監(jiān)控難度大：校園二級網(wǎng)絡(luò)內(nèi)每天的網(wǎng)絡(luò)流通率高，通過鏡像的方式會大幅增加網(wǎng)絡(luò)設(shè)備的負載。即使采用編寫腳本自動對流量進行分時分段采集，也會不可避免的將登陸密碼存入腳本中，存在安全隱患。

3.信息維度大：校園網(wǎng)的異常流量會堵塞網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的正常流量。相比于出口流量，二級網(wǎng)絡(luò)的信息數(shù)據(jù)包中使用的協(xié)議更多（包括計算機中不必要的網(wǎng)絡(luò)通信協(xié)議），情況也更為復雜，難以實現(xiàn)對龐大數(shù)據(jù)中的異常情況進行檢測。

數(shù)據(jù)采集與分析

為了檢測某高校的二級網(wǎng)絡(luò)生態(tài)，本文首先選取了30處具有典型性的樓宇交換機。所選取的觀察點覆蓋了師生進行教學、科研、生活的主要場所，均是各種網(wǎng)絡(luò)事件發(fā)生的重災區(qū)，分別為教學、科研及辦公、學生宿舍、院系和公共區(qū)域等。利用Wireshark軟件進行抓包，每棟樓的采集時間為1分鐘。

圖1 數(shù)據(jù)包過濾機制

相比于在出口抓取的信息，在二級網(wǎng)絡(luò)中抓取的信息維度更多。因此，首先要對采集的信息進行篩選。為了減少數(shù)據(jù)的傳送量，本文采用BPF過濾機制，提早對傳輸流量包進行有效性篩選。每個BPF都有一個緩沖區(qū)，先將數(shù)據(jù)存儲在緩沖區(qū)中，等數(shù)據(jù)達到一定份額后再統(tǒng)一提交給用戶，減少了系統(tǒng)調(diào)用，提高了效率。將抓取的協(xié)議包進行篩選分類，對特定的子網(wǎng)和協(xié)議端口進行過濾，最后篩選出運維人員需要的網(wǎng)絡(luò)數(shù)據(jù)提交給上層接口，提高系統(tǒng)工作效率，減少丟包數(shù)。過濾流程如圖1所示。

具體統(tǒng)計結(jié)果如表1所示，選取了幾個主要特征參數(shù)：ARP占比、TCP占比、TCP中回傳率占比、DHCPv6占比、ping大包的丟包率，將對這些統(tǒng)計數(shù)據(jù)進行進一步分析。為了檢驗網(wǎng)絡(luò)質(zhì)量，分別對網(wǎng)關(guān)進行ping大包的測試，看是否存在丟包現(xiàn)象。圖2為幾個典型二級樓宇協(xié)議占比圖。

校園樓宇二級網(wǎng)絡(luò)異常點分析

ARP協(xié)議占比異常

根據(jù)表1中的ARP占比統(tǒng)計，發(fā)現(xiàn)在4號樓、6號樓、15號樓等二級樓宇中出現(xiàn)大量ARP廣播包，在1分鐘的總流量包中占比均超過了70%。ARP廣播包基本都源于這些二級樓宇網(wǎng)絡(luò)架構(gòu)中的核心層交換機Juniper設(shè)備，而與之通信的各個二級樓宇內(nèi)的接入交換機由不同品牌構(gòu)成。通過分析發(fā)現(xiàn)，出現(xiàn)異常情況的樓宇采用的是老舊型號的Cisco設(shè)備，且設(shè)備較為陳舊；而對比接入層采用使用時間較短的H3C接入交換機，則未出現(xiàn)大量ARP廣播包。由此推斷，不同品牌型號的交換機之間的兼容問題和設(shè)備陳舊問題導致了不停請求目的地址的行為，無用的ARP廣播包將占據(jù)網(wǎng)絡(luò)通道，導致網(wǎng)絡(luò)通道的擁塞。

表1 抓包結(jié)果匯總

丟包率異常

對30個二級網(wǎng)絡(luò)進行Ping包實驗，發(fā)現(xiàn)在正常ping包過程中，所有樓宇均未出現(xiàn)明顯的丟包率。但對樓宇進行Ping大包實驗時，發(fā)現(xiàn)11號樓1F有6%的丟包率，并且TCP的重傳率較高。經(jīng)過現(xiàn)場排查，發(fā)現(xiàn)該樓宇接入交換機均為服役十年之久的Cisco2900系列設(shè)備，由于當年技術(shù)限制導致端口帶寬不足、鏈路帶寬不足等問題，所以在進行Ping大包實驗中出現(xiàn)丟包的重傳現(xiàn)象。

圖 2 典型二級樓宇協(xié)議占比

DHCPv6占比異常

根據(jù)表1統(tǒng)計情況，發(fā)現(xiàn)另一個異常點即是在1號樓中出現(xiàn)大量的DHCPv6請求包。經(jīng)過分析發(fā)現(xiàn)導致這種現(xiàn)象的原因是采用了無狀態(tài)地址分配IPv6的方式。具體分配交互過程如下：

客戶端向DHCPv6服務(wù)器發(fā)送組播請求報文，請求從服務(wù)器獲取配置參數(shù)。

當服務(wù)器接收到請求報文后，將以單播形式將分配給客戶端的地址發(fā)送回客戶端。

客戶端檢查回應報文和請求報文參數(shù)是否相符。若相符則按照服務(wù)器提供的地址進行網(wǎng)絡(luò)配置；否則，丟棄該報文。若接到多個回應報文，客戶端將選擇最早收到的回應報文，對客戶端進行無狀態(tài)配置。

在抓包過程中，發(fā)現(xiàn)一號樓有線設(shè)備在一直請求為其分配IPv6地址和相應地址參數(shù)，但并未收到服務(wù)器回應。通過與其他樓宇的設(shè)備數(shù)據(jù)進行對比，并在核心交換機進行測試，發(fā)現(xiàn)這一異常情況發(fā)生的原因是交換機未啟用IPv6功能，導致用戶一直在請求地址。

擬改進及優(yōu)化策略

對上述抓包實驗分析可知，從用戶的網(wǎng)絡(luò)體驗感來說，二級網(wǎng)絡(luò)整體使用良好。但部分區(qū)域依舊會出現(xiàn)網(wǎng)絡(luò)異常問題。針對上述問題，提出以下改進策略：

1.更換老舊及過保設(shè)備。網(wǎng)絡(luò)中產(chǎn)生的絕大多數(shù)數(shù)據(jù)都要在用戶終端和接入層網(wǎng)絡(luò)設(shè)備之間進行交互，因此處于“最后500米”的設(shè)備的數(shù)據(jù)處理能力對網(wǎng)絡(luò)性能有決定性影響。更換老舊過保設(shè)備可以提高服務(wù)器處理速率，降低核心層節(jié)點的負載，提高網(wǎng)絡(luò)可靠性。

2.優(yōu)化網(wǎng)絡(luò)配置。傳統(tǒng)TCP/IP花費大量時間保障數(shù)據(jù)可靠性傳輸，在實時性方面有所欠缺。為了改善這種情況，可以擴大協(xié)議棧的緩沖區(qū)，增加吞吐量，減少緩沖區(qū)的拷貝次數(shù)，從而有效阻止因發(fā)送無用包而引發(fā)的延遲，縮短網(wǎng)絡(luò)時延，提升用戶體驗。

3.改進鏈路介質(zhì)。為校園內(nèi)重點院系單位設(shè)置更多的直達鏈路，確保在最高接入點時盡可能少配置多鏈路分享機制，可有效提高網(wǎng)絡(luò)速率。

網(wǎng)絡(luò)流量分析的目的是發(fā)現(xiàn)不合理的因素，確認網(wǎng)絡(luò)性能的瓶頸，從而盡可能優(yōu)化網(wǎng)絡(luò)配置，最終達到不斷提升用戶體驗的目的。通過對高校校園網(wǎng)二級網(wǎng)絡(luò)生態(tài)的探索，后續(xù)可對網(wǎng)絡(luò)做適當優(yōu)化，例如對網(wǎng)絡(luò)中的老舊通信協(xié)議（如IPX/SPX等）進行卸載，以減少由此產(chǎn)生的不必要的流量；更換老舊設(shè)備，保證有效流量傳輸?shù)姆€(wěn)定性；增加網(wǎng)絡(luò)探針，實現(xiàn)對網(wǎng)絡(luò)的遠程監(jiān)控分析。