■ 湖南工業(yè)大學(xué)現(xiàn)代教育技術(shù)中心 郭兆宏

編者按：學(xué)校網(wǎng)絡(luò)因各種設(shè)備及人數(shù)的龐大而容易出現(xiàn)各類問題，本文講解了筆者遇到出口設(shè)備上內(nèi)網(wǎng)IP 數(shù)量出現(xiàn)異常并進(jìn)行了清查。

2019 年底筆者發(fā)現(xiàn)學(xué)校辦公出口上的IP 數(shù)量一直非常多，每天的峰值在7500 個左右，總有用戶打電話反映網(wǎng)速慢。筆者每天一上班檢查出口設(shè)備時都有4000～6000 個IP 在線，有幾次晚上24 點(diǎn)后查看還有2500～4000 個IP 在線。

這非常不正常，且辦公出口天天滿載。辦公出口網(wǎng)絡(luò)是電信600 Mbps+聯(lián)通300 Mbps+教育網(wǎng)10 Mbps，限速是每IP 為6 Mbps+6 Mbps。學(xué)校只有2 500 位用戶，且很多用戶只有上班時才來單位，且有些學(xué)院使用的是運(yùn)營商網(wǎng)絡(luò)。雖然很多學(xué)院都有機(jī)房，但只能大致估計有4 000～8 000 臺機(jī)房電腦。還有些學(xué)生帶電腦在教室、實(shí)驗(yàn)室、圖書館使用網(wǎng)絡(luò)。學(xué)校教學(xué)辦公區(qū)整體電腦可能有1 萬臺左右，但同時在線IP 估計在5 000 個左右。

因?qū)W生帳號可以在教學(xué)辦公區(qū)用，因此按IP 段查到的數(shù)據(jù)并不準(zhǔn)確。學(xué)校認(rèn)證是統(tǒng)一的，每天同時認(rèn)證人數(shù)峰值穩(wěn)定在22 000 個左右，按老師分組認(rèn)證的只有2 000 個IP，老師一個帳號可以在線三臺設(shè)備，到底7 500個IP 都是哪里的？

因在辦公出口EG3000 只會統(tǒng)計在線總數(shù)sh online statistics globa，不會在辦公出口進(jìn)行分組統(tǒng)計。筆者只好通過用戶轉(zhuǎn)移的方式進(jìn)行查看。

辦公區(qū)認(rèn)證用戶的轉(zhuǎn)移

因?qū)W校網(wǎng)絡(luò)是通過認(rèn)證分組，再選擇不同出口出去的，老師們的分組通過默認(rèn)的辦公出口，學(xué)生可以選電信、聯(lián)通或移動運(yùn)營商，然后根據(jù)所選不同分組的不同規(guī)則從三家運(yùn)營商出口出去。因?qū)W生帳號可以在學(xué)校所有區(qū)域使用，老師帳號只能在教學(xué)辦公區(qū)使用，所以只按IP地址段查詢數(shù)量在教學(xué)辦公區(qū)有些IP 是學(xué)生用的，并不準(zhǔn)確。

通過使用認(rèn)證統(tǒng)計，老師有20 多個分組是歷史原因造成，一直只增加而未合并減少過分組。且有部分學(xué)生使用老師的帳號，也不好統(tǒng)計。正好辦公出口網(wǎng)絡(luò)滿載，筆者想通過認(rèn)證用戶轉(zhuǎn)移的方式進(jìn)行大致統(tǒng)計，將老師認(rèn)證分組移置到一家運(yùn)營商出口看看。筆者開始只將幾個老師分組的出口轉(zhuǎn)移到某一個運(yùn)營商上面，并使用原有的一個帶寬策略。當(dāng)時做完之后發(fā)現(xiàn)只轉(zhuǎn)移了部分用戶，還有部分用戶還是在辦公出口上，用戶需要重新認(rèn)證后才可以轉(zhuǎn)移新出口B上。因是臨時統(tǒng)計用的轉(zhuǎn)移出口，不好發(fā)通知，等到一兩天后才發(fā)現(xiàn)認(rèn)證用戶基本都轉(zhuǎn)移到新出口上了。但新的問題來了，即網(wǎng)管認(rèn)證的帳號無法管理辦公出口設(shè)備，只能再建一個老師分組走辦公出口給網(wǎng)管使用，網(wǎng)管使用多個不同出口的帳號。

同時統(tǒng)計發(fā)現(xiàn)，在B 出口上轉(zhuǎn)移過來的老師用戶較多，但還是有學(xué)生帳號不便于統(tǒng)計數(shù)量。于是筆者再建一個B 出口上的Y 帶寬策略，將老師帳號都從該Y 策略出去，并把所有老師及機(jī)房分組全走Y 策略。運(yùn)行幾天后統(tǒng) 計sh user-group，Y 帶寬策略的用戶一般在2 000個帳號左右，通過sh usergroup Y 來查看詳情，都是教學(xué)辦公區(qū)的帳號，包括有線網(wǎng)的IP 和無線網(wǎng)的IP，且有線網(wǎng)IP 都是教學(xué)辦公區(qū)的IP 段的地址。

這樣，筆者基本搞清了教學(xué)辦公區(qū)認(rèn)證的帳號基本穩(wěn)定在2 000 個左右，范圍在1 500～2 500 之間，當(dāng)然不同時間段用戶數(shù)量有所差別，基本符合情況。平常老師一般在500～1 000 人左右在線，一些老師同時使用有線和無線在線，認(rèn)證機(jī)房帳號有1 000 個左右，這與認(rèn)證信息里是一致的。

再看辦公出口設(shè)備上，還有4 000～5 500 個IP 在線，為什么還有么多IP 在線？同時筆者發(fā)現(xiàn)大量IP 都是無線網(wǎng)的。

無線用戶強(qiáng)制轉(zhuǎn)移

因?yàn)闊o線網(wǎng)絕大部分都是認(rèn)證的，雖然有的無線網(wǎng)SSID 是使用密碼的，但這部分用戶數(shù)量極少，不超過200個IP。而在辦公出口認(rèn)證帳號轉(zhuǎn)移到B 出口后，還有大量無線IP 在線，至少還有幾千個無線網(wǎng)的IP 地址在線，原因不明。

筆者找到幾個辦公出口的無線網(wǎng)IP 地址，在認(rèn)證中查詢此IP 的帳號，都不是在線用戶。筆者只好在認(rèn)證的歷史記錄中查詢，經(jīng)查基本是學(xué)生帳號使用的，且都是C運(yùn)營商的，在辦公出口設(shè)備上能查到這些IP 的流表，從而確定了從辦公出口經(jīng)過了大量的學(xué)生帳號的無線網(wǎng)數(shù)據(jù)，這非常不正常。

通過試用幾個帳號在無線網(wǎng)登錄，有一個成功了，經(jīng)查出口為C 運(yùn)營商的，而在辦公出口查不到此IP 地址。這可能與網(wǎng)絡(luò)結(jié)構(gòu)有關(guān)，從核心交換機(jī)到分6 條線路接入三家運(yùn)營商路由器，C 路由器接入辦公出口EG3000。辦公出口是默認(rèn)的最后出口，也可能是策略做得還有些問題，C 運(yùn)營商部分用戶的默認(rèn)不認(rèn)證無線網(wǎng)IP 從辦公出口出去了，占用了本來就緊張的辦公出口帶寬。

于是筆者就在C 出口上強(qiáng)制轉(zhuǎn)移無線網(wǎng)段172.M.X.X 和172.N.X.X 的地址經(jīng)過C 出口。然后筆者回到辦公出口查看，基本沒有無線網(wǎng)IP 地址在線了，辦公出口IP數(shù)量只有2 000～2 500 個左右，轉(zhuǎn)移走了2 000～3 000個IP 地址。再查辦公出口在線的一些IP 地址，在認(rèn)證中都查不到認(rèn)證記錄，歷史記錄也沒有。

這些都是不認(rèn)證的IP，沒想到有這么多！有服務(wù)器段的不需認(rèn)證，有一些用戶及機(jī)房是不認(rèn)證的。另外是老校區(qū)，因網(wǎng)絡(luò)中心無人在老校區(qū)上班，網(wǎng)絡(luò)基本是維持了10 年前的情況，絕大部分一直無認(rèn)證。還有老校區(qū)一些樓棟房間出租出去了，老校區(qū)到底有多少網(wǎng)絡(luò)用戶一直不清楚。

因運(yùn)營商的設(shè)備不歸學(xué)校管，雖然有設(shè)備密碼，平時基本不再登錄查看。筆者想改進(jìn)策略，剛準(zhǔn)備修改C 出口設(shè)備的策略，不巧C 運(yùn)營商二次認(rèn)證不通了。因無法直接聯(lián)系相關(guān)人員，等傳遞出C 運(yùn)營商二次認(rèn)證不通的信息三天后才恢復(fù)正常。后來辦公出口擴(kuò)容以及大環(huán)境有變，辦公帶寬一時夠用，未再改動學(xué)生出口策略。

老校區(qū)IP 地址的轉(zhuǎn)盤轉(zhuǎn)移

筆者想了解老校區(qū)用戶有究竟多少，通過“sh usergroup Y | in 172.H.X.X”命令查詢只有幾十個IP。筆者按IP 地址轉(zhuǎn)移，將172.P.X.X 和172.O.X.X 轉(zhuǎn)移到C 出口上，再回到辦公出口上查看，只減少幾百IP 地址。因到學(xué)期期末，有些機(jī)房已經(jīng)關(guān)閉，還有一些電腦開得少了。筆者感覺轉(zhuǎn)移后減少的數(shù)量太小，可能要等開學(xué)后再統(tǒng)計才準(zhǔn)確些。

之后因疫情原因很多機(jī)房、實(shí)驗(yàn)室未開門，筆者未能再做IP 出口轉(zhuǎn)移試驗(yàn)。

部分有線用戶的強(qiáng)制轉(zhuǎn)移

但筆者沒想到，教學(xué)辦公區(qū)不認(rèn)證的IP 數(shù)量比認(rèn)證的還多。為了更好地查看辦公出口IP 的數(shù)量及用戶段，筆者將T 機(jī)房約250 個IP地址轉(zhuǎn)移到C 出口上，再到辦公出口查看，基本維持在2 000 個IP 左右，早晨上班時查看在1 500 左右，峰值在2 200 個。

但筆者也發(fā)現(xiàn)一個問題，有些機(jī)房平時并未開放，工作時間統(tǒng)計的IP 數(shù)量不并準(zhǔn)確。期末的某天有人反映網(wǎng)絡(luò)特別慢，筆者到辦公室發(fā)現(xiàn)因之前停電，造成一臺老的上網(wǎng)行為管理設(shè)備不能正常工作，造成這個學(xué)院的機(jī)房網(wǎng)絡(luò)慢。當(dāng)設(shè)置跳過該設(shè)備后，學(xué)院機(jī)房網(wǎng)絡(luò)恢復(fù)正常。這時發(fā)現(xiàn)辦公出口上在周日10 點(diǎn)左右還有2 300個IP 在線，比平時上班時間的在線IP 還多些。

結(jié)語

去年底，因辦公區(qū)出口在線IP 數(shù)量有7 500 個左右，筆者感覺不正常。于是筆者通過出口轉(zhuǎn)移的方式，先將辦公教學(xué)區(qū)認(rèn)證用戶的出口轉(zhuǎn)移到C 出口，發(fā)現(xiàn)轉(zhuǎn)移了約2 000～2 500 個IP。再次將辦公出口上的無線IP地址轉(zhuǎn)移到C 出口上，發(fā)現(xiàn)轉(zhuǎn)移了約2 000～3 000 個IP。同時筆者發(fā)現(xiàn)這些IP里基本是學(xué)生的帳號使用用的IP，但不是在線用戶。這些IP 地址不應(yīng)走辦公出口，可能是網(wǎng)絡(luò)結(jié)構(gòu)及出口策略有問題，等以后有機(jī)會還得想辦法解決。辦公出口上不認(rèn)證的有線網(wǎng)在線IP 地址約2 500 個，但有些機(jī)房平時不開放，數(shù)據(jù)還有些變化，辦公區(qū)不認(rèn)證的IP 比認(rèn)證的IP 數(shù)量還多些，這也是多種原因及歷史造成的，以后還要強(qiáng)化認(rèn)證。這樣基本了解7 500 個在辦公出口的在線IP 的分類情況：2 000 個認(rèn)證IP+3 000 個學(xué)生無線IP+2 500 個不認(rèn)證IP。

之前寒假時辦公出口電信擴(kuò)容到1 Gbps，教育網(wǎng)由虛擬變成實(shí)體線路V6 線路1 Gbps。因上網(wǎng)人數(shù)較少，網(wǎng)絡(luò)恢復(fù)原狀不再轉(zhuǎn)移用戶。之后因疫情原因，教室、機(jī)房和實(shí)驗(yàn)室都未開放，平常認(rèn)證人數(shù)為100～1 500 人，辦公出口IP 為400～2 300 個，每個IP 限速為20 Mbps+20 Mbps+15 Mbps 后，辦公出口帶寬只用到20 Mbps～450 Mbps，估計要等學(xué)校能正常運(yùn)行后才能更好地統(tǒng)計辦公出口IP 分類情況。