李杰秦 云南工藝美術(shù)學(xué)校

引言

信息化技術(shù)的迅速發(fā)展和寬帶的普及影響著人們的工作和學(xué)習(xí)，特別是是在學(xué)校，學(xué)校的教師通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)教學(xué)和管理，現(xiàn)在很多學(xué)校的入網(wǎng)方式為多入口，這樣的入網(wǎng)方式使用戶的訪問(wèn)量急劇增加，但是隨著網(wǎng)絡(luò)用戶的增加和上網(wǎng)環(huán)境的復(fù)雜性，應(yīng)用的網(wǎng)絡(luò)寬帶和學(xué)校的有限網(wǎng)絡(luò)資源的不平衡矛盾問(wèn)題急劇突出，特別是下載和上傳大量的數(shù)據(jù)，觀看高清視頻，玩大型的網(wǎng)絡(luò)游戲，加之網(wǎng)絡(luò)黑客病毒的侵襲，使得正常的教學(xué)和科研受到巨大沖擊。因此，對(duì)學(xué)校的網(wǎng)絡(luò)資源合理配置和限流是保障正常工作的必要措施。

1 校園網(wǎng)目前現(xiàn)狀分析

1.1 校園網(wǎng)各種應(yīng)用流量分析現(xiàn)狀

目前，國(guó)內(nèi)的大多數(shù)學(xué)校校園網(wǎng)網(wǎng)絡(luò)的出口多為教育網(wǎng)、中國(guó)電信、中國(guó)聯(lián)通，覆蓋的信息點(diǎn)較多，為學(xué)校的辦公行政樓，教學(xué)樓，宿舍區(qū)提供較為方便的網(wǎng)絡(luò)入口，對(duì)學(xué)生，老師的生活、學(xué)習(xí)、工作提供了極大地便利。但隨著用戶對(duì)網(wǎng)絡(luò)的需求變大和使用人數(shù)的增多，學(xué)校的網(wǎng)絡(luò)資源經(jīng)常會(huì)在高峰時(shí)期產(chǎn)生崩潰和堵塞，速度過(guò)慢的情況，關(guān)鍵的應(yīng)用得不到保障，學(xué)校網(wǎng)絡(luò)部門(mén)在短時(shí)間內(nèi)通過(guò)對(duì)學(xué)校網(wǎng)絡(luò)流量采集、分析和處理，得到下載軟件占寬帶總資源的絕大部分，下載軟件的特點(diǎn)是沒(méi)有固定的端口，監(jiān)測(cè)的結(jié)果無(wú)規(guī)律這使得正常的教學(xué)科研工作學(xué)習(xí)受到影響，無(wú)上限的擴(kuò)大學(xué)校網(wǎng)絡(luò)資源不是解決問(wèn)題的根本辦法，因此優(yōu)化網(wǎng)絡(luò)資源配置是保障在校師生使用網(wǎng)絡(luò)的根本，進(jìn)而提高校園網(wǎng)的用戶體驗(yàn)感。

1.2 校園網(wǎng)VLAN 的規(guī)劃

目前，大多數(shù)的校園網(wǎng)使用單獨(dú)的 VLAN 劃分IP 地址，實(shí)現(xiàn)單頻道的流量不會(huì)轉(zhuǎn)移到其他虛擬本地網(wǎng)絡(luò)，高效地降低校園內(nèi)網(wǎng)的網(wǎng)絡(luò)擁擠，從而更加有效地控制流量，減少設(shè)備消耗，簡(jiǎn)化網(wǎng)絡(luò)管理，從而提高了網(wǎng)絡(luò)的安全性，確保了整個(gè)網(wǎng)絡(luò)的可靠性和穩(wěn)定性。

表1 .校園網(wǎng)VLAN 的規(guī)劃

1.3 病毒感染對(duì)校園網(wǎng)流量的影響

此外，由于校內(nèi)網(wǎng)絡(luò)使用者安全意識(shí)不強(qiáng)，蠕蟲(chóng)病毒影響校園流量正常的合理分配，造成校園網(wǎng)網(wǎng)絡(luò)的堵塞是重要原因，蠕蟲(chóng)病毒在正常使用的情況下很難察覺(jué)到，它是一個(gè)獨(dú)立的病毒程序，它會(huì)主動(dòng)掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī), 通過(guò)校園網(wǎng)或者國(guó)際互聯(lián)網(wǎng)從一個(gè)節(jié)點(diǎn)傳播到另外一個(gè)節(jié)點(diǎn)。蠕蟲(chóng)病毒具有獨(dú)立性強(qiáng)，傳播途徑廣泛，危害性大等特點(diǎn)，被病毒感染后的校園網(wǎng)主機(jī)會(huì)占據(jù)大量的寬帶資源，使網(wǎng)絡(luò)堵塞，時(shí)間延續(xù)性增強(qiáng)，占據(jù)網(wǎng)絡(luò)交換機(jī)CPU資源，使校園網(wǎng)不能正常工作。病毒感染后的流量示意圖，藍(lán)色折線表示出流量, 綠色陰影表示入流量。如圖1 所示。

圖1 病毒感染后的流量示意圖

2 控制校園流量的方式

第一種是通過(guò)控制原地址源端口，改變路由轉(zhuǎn)發(fā)表的方式對(duì)源端口進(jìn)行分析，此種方式僅可以實(shí)現(xiàn)寬帶資源的均勻分配，卻不能實(shí)現(xiàn)寬帶資源的優(yōu)化。外一種方式為智能控流，基于統(tǒng)計(jì)學(xué)和大數(shù)據(jù)分析，對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控，能夠?qū)崿F(xiàn)時(shí)間-用戶-流量行為的智能管理。

3 數(shù)字化校園網(wǎng)絡(luò)流量控制策略

3.1 基于用戶IP 地址的流量控制策略

根據(jù)在校師生的IP 地址，將400M 的校園網(wǎng)出口分配到行政樓、教學(xué)樓,另一部分在教樓使用200M 的移動(dòng)網(wǎng)絡(luò)。分別制定兩種帶寬分配策略如表2 所示。

表2 用戶寬帶分配情況

3.2 基于時(shí)間段的帶寬限制

根據(jù)校園網(wǎng)絡(luò)部門(mén)的流量時(shí)間統(tǒng)計(jì)監(jiān)測(cè)，流量使用的高峰期多為周一至周五的早8 點(diǎn)到12 點(diǎn)，下午2 點(diǎn)到5 點(diǎn)，校園網(wǎng)絡(luò)部門(mén)可以將校內(nèi)網(wǎng)的寬帶進(jìn)行限制，寬帶設(shè)置分為工作時(shí)段，高峰時(shí)段，低谷時(shí)段，可以應(yīng)用P2P 應(yīng)用流量進(jìn)行時(shí)間段控量，在周一至周五的早8點(diǎn)到12 點(diǎn)，下午2 點(diǎn)到5 點(diǎn)，設(shè)置P2P 應(yīng)用所占校園網(wǎng)絡(luò)帶寬小于等于總帶寬的40%, 在休息日、凌晨則放開(kāi)對(duì)P2P 應(yīng)用的限制，是最簡(jiǎn)單有效的方法。

3.3 基于使用群體的帶寬限制

一般來(lái)說(shuō), 校園網(wǎng)的使用群體大多可分為辦公，教學(xué)，宿舍區(qū)用戶等.依據(jù)網(wǎng)絡(luò)用戶使用的特點(diǎn)和應(yīng)用的場(chǎng)合對(duì)用戶進(jìn)行IP 分組, 根據(jù)各用戶群不同的功能定位來(lái)分配帶寬, 設(shè)置不同的帶寬上限.例如，對(duì)于最優(yōu)先考慮的教學(xué)區(qū)域、行政辦公區(qū)域，寬帶上限的等級(jí)最高， 其次對(duì)學(xué)生用戶群和其他用戶群設(shè)置較低的帶寬上限.基于使用群體的帶寬限制有助于展開(kāi)良好的教學(xué)辦公環(huán)境，防止學(xué)生因使用大量的下載軟件而占據(jù)網(wǎng)絡(luò)資源，在夜晚、周末可以適當(dāng)提高學(xué)生區(qū)域和其他區(qū)域的寬帶流量上限，使學(xué)生在休息時(shí)間也可以享受到高質(zhì)量的網(wǎng)絡(luò)服務(wù)。對(duì)校園網(wǎng)內(nèi)的流量進(jìn)行數(shù)據(jù)流分類(lèi)、流量監(jiān)管、流量整形、優(yōu)先級(jí)控制、擁塞避免、擁塞管理等方面進(jìn)行處理就顯得很有必要。

3.4 流量異常處理

病毒感染計(jì)算機(jī)后，會(huì)在網(wǎng)絡(luò)中蔓延，網(wǎng)絡(luò)管理員可以通過(guò)切斷相應(yīng)的端口，從而確保網(wǎng)絡(luò)正常工作，當(dāng)知道流量異常源地址，切斷物理連接是處理流量異常最直接有效的辦法。此外還可通過(guò)網(wǎng)絡(luò)版防病毒軟件，這是一種優(yōu)化抗病毒防御機(jī)制，部署網(wǎng)絡(luò)版防病毒軟件, 網(wǎng)絡(luò)管理員可以通過(guò)控制臺(tái)直接從整個(gè)學(xué)校網(wǎng)絡(luò)組織、部署、設(shè)置和監(jiān)控抗病毒策略，而不涉及終端用戶。這種方式可以有效監(jiān)管整個(gè)網(wǎng)絡(luò)內(nèi)終端機(jī)器, 并且可以極大地限制和保護(hù)錯(cuò)誤的操作對(duì)無(wú)意識(shí)的用戶和非專業(yè)的操作， 因此，它使病毒免受進(jìn)入內(nèi)部網(wǎng)絡(luò)的威脅。校園網(wǎng)監(jiān)部門(mén)可以建立入侵檢測(cè)系統(tǒng)，通過(guò)收集和分析網(wǎng)絡(luò)行為，檢查網(wǎng)絡(luò)或系統(tǒng)是否有安全漏洞和攻擊跡象， 是一種積極主動(dòng)安全防護(hù)技術(shù)。