徐 維，李興軍

(湖北工程學(xué)院現(xiàn)代教育技術(shù)中心, 湖北 孝感 432000)

0 引 言

隨著信息化和計(jì)算機(jī)技術(shù)的不斷發(fā)展，用戶對(duì)網(wǎng)絡(luò)的要求越來(lái)越高，而網(wǎng)絡(luò)帶寬資源日益緊張.若干不可預(yù)知的、突發(fā)的性能瓶頸會(huì)影響關(guān)鍵應(yīng)用的運(yùn)作效率，會(huì)出現(xiàn)網(wǎng)絡(luò)擁塞或者短暫性的網(wǎng)絡(luò)斷開.校園網(wǎng)具有用戶比較集中，訪問(wèn)峰值高以及網(wǎng)絡(luò)中承載的內(nèi)容較為復(fù)雜多樣的特點(diǎn)，因此，如何高效地管理校園網(wǎng)，保證網(wǎng)絡(luò)帶寬資源的有效使用是校園網(wǎng)絡(luò)管理面臨的一個(gè)嚴(yán)峻問(wèn)題.在高等院校的網(wǎng)絡(luò)管理中，用戶數(shù)量龐大，網(wǎng)絡(luò)應(yīng)用環(huán)境復(fù)雜，特別是點(diǎn)對(duì)點(diǎn)技術(shù)的出現(xiàn)與發(fā)展，不同種類的點(diǎn)對(duì)點(diǎn)應(yīng)用占用了大量網(wǎng)絡(luò)帶寬(例如比特流、迅雷等)，消耗了網(wǎng)絡(luò)中的大量帶寬，高峰期可以耗盡整個(gè)網(wǎng)絡(luò)帶寬.由網(wǎng)絡(luò)鏈路擁塞引發(fā)的應(yīng)用性能下降問(wèn)題也日益嚴(yán)重，極大地影響了校內(nèi)正常業(yè)務(wù)的使用以及師生員工正常網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量.

網(wǎng)絡(luò)的正常運(yùn)行，不僅僅需要設(shè)備先進(jìn)，運(yùn)行穩(wěn)定，更加需要管理精細(xì).如果網(wǎng)絡(luò)運(yùn)行缺乏管理，核心業(yè)務(wù)應(yīng)用、時(shí)延敏感的應(yīng)用、即時(shí)通訊、點(diǎn)對(duì)點(diǎn)、網(wǎng)絡(luò)游戲等應(yīng)用將同時(shí)搶用相對(duì)固定的帶寬資源，隨之，網(wǎng)絡(luò)帶寬的使用沒有保障業(yè)務(wù)應(yīng)用的優(yōu)先級(jí)以及重要程度，最終導(dǎo)致網(wǎng)絡(luò)帶寬被搶占資源比較厲害的諸如點(diǎn)對(duì)點(diǎn)應(yīng)用耗盡.

由于點(diǎn)對(duì)點(diǎn)的使用占用了至少50%的網(wǎng)絡(luò)帶寬資源，并且毫無(wú)節(jié)制地吞噬著寶貴的帶寬資源，將嚴(yán)重影響網(wǎng)絡(luò)中關(guān)鍵應(yīng)用的正常運(yùn)行和使用.

帶寬的容量是有限的，帶寬的價(jià)值是不菲的.當(dāng)沒有對(duì)應(yīng)用進(jìn)行優(yōu)先級(jí)劃分的時(shí)候，非關(guān)鍵性應(yīng)用總是占據(jù)上風(fēng).巨大的電子郵件附件或大容量文件傳輸所消耗的帶寬遠(yuǎn)遠(yuǎn)超過(guò)它們所應(yīng)享有的，而校園網(wǎng)絡(luò)中的關(guān)鍵性應(yīng)用之間又在相互競(jìng)爭(zhēng)僅有的少量的帶寬，特別是域名系統(tǒng)服務(wù)、網(wǎng)站服務(wù)、辦公自動(dòng)化等關(guān)鍵性應(yīng)用.

網(wǎng)絡(luò)安全方面的隱憂很多，病毒是大部分高等院校網(wǎng)絡(luò)管理面臨的一大挑戰(zhàn).網(wǎng)絡(luò)病毒的入侵無(wú)處不在，可以通過(guò)用戶電子郵件、網(wǎng)頁(yè)瀏覽等途徑進(jìn)入到網(wǎng)絡(luò)中，然后發(fā)起破壞性攻擊.當(dāng)攻擊發(fā)生的時(shí)候，可能的情況是網(wǎng)絡(luò)內(nèi)的若干臺(tái)中毒計(jì)算機(jī)同時(shí)往服務(wù)器發(fā)送大量攻擊包，嚴(yán)重阻塞網(wǎng)絡(luò)骨干和校園網(wǎng)出口通道.

1 流量控制的技術(shù)及設(shè)備選型

為了減少上述問(wèn)題帶來(lái)的負(fù)面影響，管理員可以在校園網(wǎng)的核心交換機(jī)和防火墻之間部署流量控制硬件設(shè)備來(lái)解決.

流量控制，首先需要一定的檢測(cè)手段，主要的檢測(cè)技術(shù)包括深度包檢測(cè)(Deep Packet Inspection，下文簡(jiǎn)稱為DPI)、深度流檢測(cè)(Deep/Dynamic Flow Inspection，下文簡(jiǎn)稱為DFI)等.

DPI技術(shù)是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)，當(dāng)數(shù)據(jù)包、數(shù)據(jù)流通過(guò)帶寬管理系統(tǒng)時(shí)，該系統(tǒng)通過(guò)深入讀取數(shù)據(jù)包載荷的內(nèi)容來(lái)對(duì)開放式系統(tǒng)互聯(lián)七層協(xié)議中的應(yīng)用層信息進(jìn)行分析與重組，從而得到原始內(nèi)容，然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行整形操作[1].

DFI是相對(duì)于DPI技術(shù)提出的一種業(yè)務(wù)識(shí)別技術(shù)，即不同的應(yīng)用類型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)各有不同，能夠保證正確識(shí)別加密傳輸?shù)膽?yīng)用流量.DFI 關(guān)注于網(wǎng)絡(luò)流量特征的通用性，它不對(duì)不需進(jìn)行深度報(bào)文檢測(cè)和使用協(xié)議還原技術(shù)，僅僅通過(guò)獲取點(diǎn)對(duì)點(diǎn)流量的各項(xiàng)統(tǒng)計(jì)參數(shù)，分析點(diǎn)對(duì)點(diǎn)流量的空間特性和時(shí)間特性，構(gòu)建相應(yīng)的點(diǎn)對(duì)點(diǎn)流量模型，探尋有效的點(diǎn)對(duì)點(diǎn)流量控制策略[2].

基于應(yīng)用層的網(wǎng)絡(luò)流量控制采用的設(shè)備需要兼具有DPI 技術(shù)(深度報(bào)文檢測(cè)技術(shù))與DFI(深度流檢測(cè))技術(shù)；經(jīng)過(guò)查閱各種資料及試用設(shè)備，選用了TTNET1000(the traffic control facility).

2 流量控制的策略

通過(guò)特有的帶寬管理和分配算法，流量控制設(shè)備可以將網(wǎng)絡(luò)帶寬的管理從被動(dòng)的、消極的、無(wú)效的傳統(tǒng)模式提升到主動(dòng)的、有效的、智能化的帶寬管理服務(wù)，保證關(guān)鍵應(yīng)用正常運(yùn)行，提高網(wǎng)絡(luò)管理水平.

2.1 應(yīng)用優(yōu)先級(jí)的劃分

流量控制設(shè)備可基于業(yè)務(wù)應(yīng)用的重要程度，將校園內(nèi)部的應(yīng)用劃分為若干個(gè)優(yōu)先級(jí)，并在后續(xù)的帶寬管理過(guò)程中將核心業(yè)務(wù)應(yīng)用的應(yīng)用配置為高優(yōu)先級(jí)，同時(shí)將占用帶寬資源較高的應(yīng)用配置為低等級(jí)，從而可以實(shí)現(xiàn)優(yōu)先保證高等級(jí)的應(yīng)用.將所有需要保障和抑制的應(yīng)用進(jìn)行合理分組，校園網(wǎng)絡(luò)基本上應(yīng)以保證網(wǎng)站訪問(wèn)應(yīng)用為前提，在工作時(shí)間內(nèi)抑制點(diǎn)對(duì)點(diǎn)等應(yīng)用.

2.2 強(qiáng)大的帶寬控制與管理功能

流量控制設(shè)備結(jié)合應(yīng)用優(yōu)先級(jí)、共享通道、權(quán)重、自定義虛擬帶寬通道等，提供了多層多級(jí)帶寬通道、最大帶寬限制、帶寬保障、帶寬預(yù)留、帶寬租借、微帶寬控制、虛擬局域網(wǎng)帶寬控制等一系列強(qiáng)大的流量整形和帶寬管理功能.可對(duì)特定的用戶組進(jìn)行帶寬總通道劃分，例如500 MB帶寬，點(diǎn)對(duì)點(diǎn)下載限速最多100 MB，網(wǎng)絡(luò)視頻最多200 MB，網(wǎng)頁(yè)瀏覽及傳統(tǒng)應(yīng)用保障100 MB等.

2.3 基于應(yīng)用層防火墻的應(yīng)用優(yōu)化策略

流量控制設(shè)備可以內(nèi)置靈活、高效的應(yīng)用層防火墻[3]，通過(guò)參考傳統(tǒng)防火墻的訪問(wèn)控制策略，將其深化至應(yīng)用層面，管理員可以基于應(yīng)用優(yōu)先級(jí)、源IP(Internet Protocol，下文簡(jiǎn)稱IP)地址、目標(biāo)IP地址、用戶、虛擬局域網(wǎng)、時(shí)間段、協(xié)議和應(yīng)用組、動(dòng)作(允許或阻斷)、會(huì)話數(shù)以及帶寬通道等進(jìn)行自由的帶寬控制和應(yīng)用優(yōu)化，確保方案有效，功能合理.

2.4 安全保護(hù)措施

采用主動(dòng)預(yù)防和設(shè)備攔截等技術(shù).安裝監(jiān)視、日志或者其他流量分析系統(tǒng)，啟用客戶接入控制及安全性檢測(cè)[4]，攻擊發(fā)生時(shí)，就可很快地診斷出攻擊的類型以及攻擊源，要盡可能地修正已發(fā)現(xiàn)的問(wèn)題和系統(tǒng)漏洞，識(shí)別、跟蹤或禁止這些機(jī)器或網(wǎng)絡(luò)對(duì)校園網(wǎng)的訪問(wèn)，如對(duì)異常流量的端口流量進(jìn)行限制；把網(wǎng)絡(luò)分為多個(gè)子網(wǎng)，并改變IP地址和主機(jī)名，在拒絕服務(wù)攻擊中，這種方法是一種較為有效的方法；應(yīng)用包過(guò)濾的技術(shù)，配置正確的路由器和防火墻，采用防火墻或網(wǎng)關(guān)等設(shè)備進(jìn)行攔截；從保障主要業(yè)務(wù)不受影響方面考慮可采用異常流量的清洗與回注技術(shù).

3 流量控制的應(yīng)用

流量控制設(shè)備正常運(yùn)行后，系統(tǒng)管理員可以通過(guò)日志分析校園網(wǎng)絡(luò)的流量，一般高峰期在上午的10點(diǎn)30分和下午的4點(diǎn)30分，晚上10點(diǎn)左右又是一個(gè)小高峰，晚上10點(diǎn)半之后，流量逐漸下降，直到次日的上午8點(diǎn).

鑒于這個(gè)結(jié)果，管理員可以按照時(shí)間制定策略，白天可以控制點(diǎn)對(duì)點(diǎn)的流量，限制小一點(diǎn)，夜間放大點(diǎn)對(duì)點(diǎn)的流量，按照規(guī)律合理地使用帶寬資源.

通過(guò)日志，管理員觀測(cè)到部分終端計(jì)算機(jī)在完成下載功能后，繼續(xù)供其他用戶下載.管理員可以相應(yīng)的限制其上傳的速度和通道帶寬，可以有效保護(hù)網(wǎng)絡(luò)帶寬的資源.

根據(jù)網(wǎng)絡(luò)帶寬管理和用戶的不同需求，管理員合理安排不同規(guī)則的控制策略，使得有限的帶寬資源得到合理的利用，滿足高等院校師生員工的需要.保障了包括網(wǎng)頁(yè)瀏覽、電子郵件、SQL(Structured Query Language) 數(shù)據(jù)庫(kù)等核心業(yè)務(wù)， 而對(duì)于點(diǎn)對(duì)點(diǎn)類下載、視頻流量進(jìn)行了有效的限速處理，對(duì)網(wǎng)絡(luò)中各用戶的上網(wǎng)行為進(jìn)行有效管理，提高內(nèi)部教職工的工作效率，為學(xué)校網(wǎng)絡(luò)規(guī)劃和帶寬擴(kuò)容提供科學(xué)的依據(jù).

當(dāng)然，流量控制設(shè)備也有不足之處.流量控制設(shè)備的關(guān)鍵技術(shù)指標(biāo)是特征碼，對(duì)新的網(wǎng)絡(luò)協(xié)議、應(yīng)用類型應(yīng)該在流量控制設(shè)備上及時(shí)更新特征碼庫(kù)，用以滿足用戶新的需要.而一般特征碼庫(kù)的更新都在新的網(wǎng)絡(luò)協(xié)議、應(yīng)用類型出現(xiàn)之后，所以存在暫時(shí)網(wǎng)絡(luò)流量不受管控的現(xiàn)象.管理員還可以自定義特征碼，為不同的環(huán)境定制相應(yīng)的特征碼庫(kù)，使師生員工有一個(gè)良好的網(wǎng)絡(luò)環(huán)境.

4 結(jié) 語(yǔ)

通過(guò)上述所采取的控制策略，解決了校園網(wǎng)網(wǎng)絡(luò)擁塞等問(wèn)題，對(duì)校園網(wǎng)的流量進(jìn)行控制后，基本上能保證學(xué)校的正常教學(xué)、辦公及科研等網(wǎng)絡(luò)的應(yīng)用.

參考文獻(xiàn)：

[1] 王超,趙文杰.IP網(wǎng)絡(luò)帶寬管理技術(shù)及應(yīng)用分析[J].電信技術(shù),2007(5)：101-103.

[2] 崔燕,汪斌強(qiáng),陳庶樵,等.基于行為特征加權(quán)的P2P流識(shí)別方法的研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2009,30(20): 4805-4807.

[3] 劉瞳紅,紀(jì)越嶂.下一代應(yīng)用層防火墻性能及其測(cè)試[J].計(jì)算機(jī)工程,2006,32(11)：169-171.

[4] 林維鏘.中小型校園網(wǎng)流量的控制方法[J].武漢工程大學(xué)學(xué)報(bào)，2011，33(4)：97-99.