高校校園網(wǎng)絡(luò)流量分流控制與優(yōu)化

高校校園網(wǎng)絡(luò)流量分流控制與優(yōu)化于海峰【摘要】本文以甘肅省隴東學(xué)院校園網(wǎng)為研究對(duì)象，針對(duì)目前高校校園網(wǎng)絡(luò)普遍存在的網(wǎng)絡(luò)帶寬使用不合理，鏈路擁塞等問題,提出部署專業(yè)流量控制設(shè)備，實(shí)現(xiàn)流量分流，優(yōu)化應(yīng)用策略，提高網(wǎng)絡(luò)安全防護(hù)等措施.實(shí)踐證明，該方案的使用使校園網(wǎng)絡(luò)帶寬得到了明顯提升，教學(xué)、科研和管理等關(guān)鍵網(wǎng)絡(luò)應(yīng)用得到了有力保障.【期刊名稱】《農(nóng)業(yè)網(wǎng)絡(luò)信息》【年(卷)，期】2014(000)002【總頁數(shù)】3頁(P109-111)【關(guān)鍵詞】校園網(wǎng)絡(luò);流量分流;控制;優(yōu)化【作者】于海峰【作者單位】甘肅省隴東學(xué)院信息工程學(xué)院，甘肅慶陽745000【正文語種】中文【中圖分類】TP315隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)信息化的不斷發(fā)展，高等學(xué)校的校園網(wǎng)絡(luò)規(guī)模和業(yè)務(wù)流量快速增長(zhǎng)，其復(fù)雜化、多樣化、集中化的網(wǎng)絡(luò)應(yīng)用特征使得校園網(wǎng)絡(luò)帶寬資源日益緊張［1］。校園用戶對(duì)網(wǎng)絡(luò)帶寬的肆意搶占，突發(fā)性的性能瓶頸，網(wǎng)絡(luò)鏈路的擁擠堵塞，特別是P2P技術(shù)下的數(shù)據(jù)上傳與下載，高清視頻點(diǎn)播等應(yīng)用手段，極大地消耗了校園網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)性能降低，甚至在集中高峰期造成網(wǎng)絡(luò)癱瘓［2］，從而嚴(yán)重影響了學(xué)校的正常教學(xué)、科研和管理。因此，合理利用校園網(wǎng)絡(luò)帶寬資源對(duì)網(wǎng)絡(luò)流量進(jìn)行分流控制、合理優(yōu)化，是目前高校校園網(wǎng)絡(luò)亟需解決的問題之一。對(duì)網(wǎng)絡(luò)流量的識(shí)別與分析是實(shí)現(xiàn)網(wǎng)絡(luò)流量分流控制的第一步，依據(jù)首重實(shí)現(xiàn)，由面及點(diǎn)的原則，進(jìn)行逐步深入地分析，了解網(wǎng)絡(luò)流量的變化趨勢(shì)，逐級(jí)細(xì)化，從而掌握主機(jī)的流量狀態(tài)。目前，關(guān)于網(wǎng)絡(luò)流量識(shí)別的分類還沒有統(tǒng)一的標(biāo)準(zhǔn)和數(shù)據(jù)采集方法，因此，由于所采用的分類方法的不同，其數(shù)據(jù)集在捕獲時(shí)間及流量類型上也會(huì)有所不同，本文所采用的數(shù)據(jù)集捕獲于甘肅省隴東學(xué)院校園網(wǎng)，運(yùn)用基于網(wǎng)絡(luò)探針的流量數(shù)據(jù)采集方法，使用Wireshark工具進(jìn)行捕獲采集，捕獲時(shí)間為20:30-22:30，定義蹤跡文件為壓縮后流量為38.2GB的pacp格式文件，對(duì)其進(jìn)行數(shù)據(jù)分析，Wireshark無法識(shí)別蹤跡文件格式，故對(duì)其進(jìn)行格式轉(zhuǎn)換，轉(zhuǎn)換處理后總文件達(dá)到215GB，對(duì)測(cè)試主機(jī)而言，硬盤容量無法負(fù)荷?？紤]到本次測(cè)試硬件環(huán)境的限制，對(duì)該蹤跡文件應(yīng)進(jìn)行隨機(jī)取樣提取，提取的測(cè)試數(shù)據(jù)集暫定為多個(gè)連續(xù)的domin流量蹤跡文件，以構(gòu)建、形成測(cè)試數(shù)據(jù)集，并通過對(duì)測(cè)試數(shù)據(jù)集的流量協(xié)議類型進(jìn)行分析對(duì)比，從而進(jìn)一步統(tǒng)計(jì)出該蹤跡文件的流量組成部分，分析結(jié)果見表1。從表1中可以看出，測(cè)試環(huán)境基于隴東學(xué)院內(nèi)部校園網(wǎng)的網(wǎng)絡(luò)流量類型，其協(xié)議類型復(fù)雜多樣，UDP的流量已經(jīng)明顯超過TCP流量，利用捕獲工具Wirtshark對(duì)數(shù)據(jù)包進(jìn)行解析，得出帶寬中占有比例最多的是以P2P以及P2SP為類型的流量，采用基于特征字串的深層包檢測(cè)技術(shù)對(duì)其識(shí)別，可發(fā)現(xiàn)多為迅雷、BT下載、電驢等基于P2P或P2SP的客戶端應(yīng)用程序。除此之外，HTTP的流量也占據(jù)了整個(gè)流量的一定比例，該部分流量中，以TCP協(xié)議為基礎(chǔ)的在線視頻以及在線音頻又占據(jù)了HTTP的大部分流量。同時(shí)，一部分基于P2P的終端應(yīng)用為防有效過濾，采用了以HTTP的80端口來進(jìn)行數(shù)據(jù)傳輸?shù)膫窝b手段，對(duì)于該部分的流量識(shí)別目前仍沒有一個(gè)行之有效的區(qū)分辦法，因此，用于測(cè)試的整個(gè)校園網(wǎng)絡(luò)流量呈現(xiàn)出復(fù)雜、多樣的構(gòu)成。對(duì)校園網(wǎng)絡(luò)流量進(jìn)行控制和優(yōu)化，應(yīng)按照分用戶、分應(yīng)用、分時(shí)段的原則進(jìn)行，通過部署同網(wǎng)絡(luò)流量控制設(shè)備，抑制突發(fā)性的、不合理的網(wǎng)絡(luò)流量，在校園網(wǎng)內(nèi)架設(shè)加速流媒體直播Server和WebCacheServer來進(jìn)行控制，減少校園網(wǎng)絡(luò)的出口流量，同時(shí)在防火墻、路由器和交換機(jī)等設(shè)備上進(jìn)行相關(guān)的輔助設(shè)置。通過這種特有的帶寬管理和分配算法，可以將網(wǎng)絡(luò)帶寬的管理從消極、被動(dòng)、無效的傳統(tǒng)流量管理模式提升到智能、主動(dòng)、有效的網(wǎng)絡(luò)流量管理服務(wù)上來，從而有力地保障了教學(xué)、科研和辦公等網(wǎng)絡(luò)應(yīng)用的正常進(jìn)行［3~4］。2.1部署流量控制設(shè)備管理流量流量控制設(shè)備的部署應(yīng)首先分析、考慮到各類網(wǎng)絡(luò)應(yīng)用的重要程度，然后將校園網(wǎng)絡(luò)內(nèi)部的各類網(wǎng)絡(luò)應(yīng)用劃分成不同的優(yōu)先級(jí)，并在實(shí)際的帶寬管理中將重要的、核心的網(wǎng)絡(luò)應(yīng)用設(shè)置為高優(yōu)先級(jí)，將占用帶寬資源較高的非重要應(yīng)用設(shè)置為低優(yōu)先級(jí)，從而保證高優(yōu)先級(jí)的網(wǎng)絡(luò)應(yīng)用優(yōu)先于其他等級(jí)而實(shí)現(xiàn)。我校部署了專業(yè)的網(wǎng)絡(luò)流量硬件控制設(shè)備，其在校園網(wǎng)絡(luò)的部署位置見附圖。2.2優(yōu)化應(yīng)用策略控制流量?jī)?yōu)化流量控制設(shè)備內(nèi)置的應(yīng)用層控制策略，通過參考防火墻的訪問控制策略，將其深化至應(yīng)用層面，管理員可以基于應(yīng)用優(yōu)先級(jí)、源IP地址、目標(biāo)IP地址、用戶、虛擬局域網(wǎng)、時(shí)間段、協(xié)議和應(yīng)用組、動(dòng)作（允許或阻斷）、會(huì)話數(shù)以及帶寬通道等進(jìn)行自由的帶寬控制和應(yīng)用優(yōu)化。據(jù)此，根據(jù)隴東學(xué)院網(wǎng)絡(luò)流量的實(shí)際情況，設(shè)計(jì)和實(shí)施了如表2的流量控制優(yōu)化策略。2.3利用網(wǎng)絡(luò)輔助設(shè)備管理流量網(wǎng)絡(luò)流量的控制結(jié)合應(yīng)用優(yōu)先級(jí)、共享通道、自定義帶寬通道、權(quán)重等，給我們提供了多層次、多等級(jí)的流量通道，帶寬保障、帶寬預(yù)留、帶寬租借、最大帶寬限制、微帶寬控制、局域網(wǎng)帶寬控制等一系列豐富、強(qiáng)大的帶寬輔助管理［5］。通過對(duì)各類P2P網(wǎng)絡(luò)應(yīng)用的流量分析發(fā)現(xiàn)，其中大部分流量是基于校園網(wǎng)外部的計(jì)算機(jī)用戶主動(dòng)連接校園網(wǎng)內(nèi)部計(jì)算機(jī)而產(chǎn)生的，通過觀察、分析這些P2P網(wǎng)絡(luò)應(yīng)用，發(fā)現(xiàn)這些應(yīng)用的下載流量絕大部分是基于TCP協(xié)議的。對(duì)此，采取的措施是，以反向訪問控制列表對(duì)校園網(wǎng)外部的計(jì)算機(jī)進(jìn)行禁止或限制，通過調(diào)控TCP最大連接數(shù)來達(dá)到控制P2P網(wǎng)絡(luò)應(yīng)用占用大量網(wǎng)絡(luò)帶寬的目的，使校園網(wǎng)外部用戶對(duì)校園網(wǎng)內(nèi)部用戶發(fā)起的連接得到限制，同時(shí)，還可以在校園網(wǎng)絡(luò)的路由器上使用QOS(QualityOfService)，并結(jié)合使用NBAR(NetworkBasedApplicationRecognition)來達(dá)到同時(shí)限制校園網(wǎng)絡(luò)中的P2P應(yīng)用。2.4提高校園網(wǎng)絡(luò)安全防護(hù)措施為了提高校園網(wǎng)絡(luò)的安全防護(hù)，應(yīng)采用主動(dòng)預(yù)防和設(shè)備攔截等防護(hù)技術(shù)，同時(shí)安裝監(jiān)控設(shè)備、記錄監(jiān)控日志或使用其他流量分析軟件，開啟遠(yuǎn)程用戶接入控制及遠(yuǎn)程用戶安全性檢測(cè)控制［6］，通過以上防護(hù)措施的運(yùn)用，網(wǎng)絡(luò)攻擊發(fā)生時(shí)，就可及時(shí)地判斷出攻擊源以及攻擊的類型。同時(shí)，在日常的網(wǎng)絡(luò)維護(hù)中，要盡可能地修補(bǔ)已發(fā)現(xiàn)的系統(tǒng)漏洞及相關(guān)問題，跟蹤、識(shí)別或禁止這些網(wǎng)絡(luò)用戶對(duì)校園網(wǎng)的訪問和破壞［7］。通過在隴東學(xué)院校園網(wǎng)上部署實(shí)施網(wǎng)絡(luò)流量分流控制策略，實(shí)行科學(xué)合理的網(wǎng)絡(luò)流量?jī)?yōu)化，網(wǎng)絡(luò)帶寬得到了合理的分配與運(yùn)用，網(wǎng)絡(luò)攻擊事件明顯減少，網(wǎng)絡(luò)堵塞問題明顯降低，垃圾郵件被及時(shí)過濾、刪除，校園網(wǎng)絡(luò)用戶上網(wǎng)速度得到了顯著提升，從而有效保障了該校教學(xué)、科研和管理等網(wǎng)絡(luò)應(yīng)用的帶寬資源?！鞠嚓P(guān)文獻(xiàn)】［1］王宗善,冷飛,季晶晶.高校數(shù)字化校園建設(shè)的探索與實(shí)踐［J］.實(shí)驗(yàn)室研究與探索,2010,29(5):162-164.［2］李銳,朱洪亮，辛陽，等.基于分形理論P(yáng)2P流量行為的自相似性［J］.北京郵電大學(xué)學(xué)報(bào),2010,33(4):35-38.［3］張鴻軍漲新剛.數(shù)字化校園中典型安全問題及防御對(duì)策［J］.中國(guó)電化教育,2009,(6):113-116.程新黨漲新剛.分布式IDS動(dòng)態(tài)可信度反饋調(diào)整算法[J].河南科研大學(xué)學(xué)報(bào),20