校園網(wǎng)流量控制解決方案

上海某高校流量〔行為〕管理解決方案提交單位：Tiderway科技200任恩玉

QQ:310240852一、校園網(wǎng)絡(luò)及流量技術(shù)現(xiàn)狀隨著網(wǎng)絡(luò)技術(shù)的高速開展，校園網(wǎng)絡(luò)建設(shè)也一直走在網(wǎng)絡(luò)開展的前端，校園網(wǎng)已從之前教育、科研的試驗網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和效勞并重的網(wǎng)絡(luò)。校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客\病毒的侵害就成為各個學(xué)校不可回避的一個緊迫問題；另外，學(xué)校是思想政治和意識形態(tài)的重要陣地，確保學(xué)生的身心健康，使他們具備一個積極向上的意識形態(tài)，必須使學(xué)生盡可能少地接觸網(wǎng)絡(luò)上的不良信息，就需要通過必要的技術(shù)手段獲到底有些什么應(yīng)用在悉校園網(wǎng)絡(luò)中網(wǎng)絡(luò)上運行。此外，新型的網(wǎng)絡(luò)應(yīng)用及效勞，對校園網(wǎng)絡(luò)也產(chǎn)生不少的麻煩，特別是P2P、IM及網(wǎng)絡(luò)流媒體技術(shù)，能夠迅速占用大量帶寬，同時在占用防火墻中大量緩存，嚴(yán)重的甚至?xí)?dǎo)致防火墻死機。問題的關(guān)鍵在于即使增加網(wǎng)絡(luò)出口帶寬，P2P等應(yīng)用還會繼續(xù)占用新增的帶寬。在目前大局部學(xué)校的網(wǎng)絡(luò)中，存在以下幾個主要的問題：帶寬使用效率底下，無法了解網(wǎng)絡(luò)帶寬真正使用情況重要應(yīng)用程序沒有保障，關(guān)鍵時候出現(xiàn)網(wǎng)絡(luò)阻塞情況內(nèi)網(wǎng)平安上的隱患，經(jīng)常病毒爆發(fā)影響內(nèi)網(wǎng)運行、用戶使用網(wǎng)絡(luò)管理政策難于落實，掌握不到具體用戶對網(wǎng)絡(luò)的使用狀況應(yīng)用軟件難于控管，特別是P2P等點對點傳輸軟件〔如BT〕網(wǎng)絡(luò)帶寬資源無法合理分配，缺少根底控管數(shù)據(jù)對于流量技術(shù)，傳統(tǒng)的網(wǎng)絡(luò)管理系統(tǒng)雖然可以提供業(yè)務(wù)流量監(jiān)測手段，但根本上只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，對網(wǎng)絡(luò)的重點鏈路和互聯(lián)點進(jìn)行簡單的端口級流量監(jiān)視和統(tǒng)計，或采用在網(wǎng)絡(luò)中局部重點業(yè)務(wù)接入點加裝遠(yuǎn)程監(jiān)控探測的方式，對網(wǎng)絡(luò)中局部端口進(jìn)行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集，但無法完全滿足互聯(lián)網(wǎng)業(yè)務(wù)流量的管理需求。目前大學(xué)校園網(wǎng)絡(luò)在監(jiān)測上還無法到達(dá)業(yè)務(wù)的管理需求，即很多情況下，只知道網(wǎng)絡(luò)利用率，無法掌握網(wǎng)絡(luò)的具體應(yīng)用及流量使用情況，也無法對應(yīng)用行為做合理的管理控制。TiderWay針對教育行業(yè)特點，整合應(yīng)用層〔第七層〕控制技術(shù)、IM/P2P智能管理等平安機制使學(xué)校能夠通過先進(jìn)的平安技術(shù)，為學(xué)校的教職員工和學(xué)生提供效勞。通過我們的解決方案，學(xué)?？梢詫W(wǎng)絡(luò)資源劃分優(yōu)先級并進(jìn)行保護(hù)，這樣，緊急通信就不會被平安攻擊或偶發(fā)的應(yīng)用〔如學(xué)生下載視頻〕所打斷。該大學(xué)作為一所綜合性大學(xué)，是國家“211工程”重點建設(shè)高校之一，學(xué)校網(wǎng)絡(luò)流量在上海的高校當(dāng)中也是排在前幾位。學(xué)校目前通過教科網(wǎng)、移動網(wǎng)、電信網(wǎng)接入Internet，學(xué)?？偨尤朦c分別與學(xué)生中心、教工核心、數(shù)據(jù)中心、新閘路等支點相連，不管是對內(nèi)、對外時的總流量都超過1G，這對于內(nèi)部流量的管理顯的尤為重要，同時難度、要求也非常之高。二、規(guī)劃目標(biāo)及技術(shù)應(yīng)用通過對應(yīng)用程序的控制管理，實現(xiàn)對內(nèi)部網(wǎng)絡(luò)流量控制，如控制P2P，實現(xiàn)高智能的網(wǎng)絡(luò)可控性，提供管理根底數(shù)據(jù)，消除平安隱患等；通過對用戶的控制管理，便于部署新的基于應(yīng)用的效勞工程、跟蹤網(wǎng)絡(luò)行為與開展趨勢、提供多樣化的管理實現(xiàn)管理智能化。不以應(yīng)用軟件的端口聯(lián)網(wǎng)作為控制技術(shù)，而是通過第七層分類技術(shù)區(qū)別應(yīng)用類型，并根據(jù)策略加以控制管理，可依不同的應(yīng)用類型制定流量分配政策、時間管理等辨識與統(tǒng)計出口網(wǎng)絡(luò)上各種P2P等應(yīng)用聯(lián)機數(shù)量與通道，可以完全限制隱藏于合法端口通訊的IM/P2P等應(yīng)用程序的聯(lián)機。三、規(guī)劃方案根據(jù)流量控制設(shè)備所應(yīng)用的特點，決定了這類方案對于網(wǎng)絡(luò)的影響重大，所以必須考慮到網(wǎng)絡(luò)的持續(xù)性及穩(wěn)定性。TiderWayExtraMonitor(XM)系列產(chǎn)品采用Inline方式接入網(wǎng)絡(luò)，通過這種方式，XM可以檢測所有的進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，逐一比擬特征碼，按照相應(yīng)的策略做處理。為了保證平安性及穩(wěn)定性，XM系列產(chǎn)品采用透明模式，即不設(shè)置IP地址，只保存一個管理IP，也不對數(shù)據(jù)包做任何更改；同時支持硬件的Bypass機制，當(dāng)設(shè)備出現(xiàn)流量負(fù)載過大或設(shè)備硬件故障導(dǎo)致XM設(shè)備出現(xiàn)異常的時候觸動Bypass機制，確保網(wǎng)絡(luò)的持續(xù)性。針對該高校的校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖及流量情況，對于整個網(wǎng)絡(luò)流量的規(guī)劃，我們初步建議通過在總出口與核心交換機之間或者分別在學(xué)生核心、教工核心與交換機處架設(shè)TiderWayXM流量控制設(shè)備。架構(gòu)一：總出口處與邊界〔核心交換機〕之間架設(shè)XM流量控制設(shè)備，其網(wǎng)絡(luò)拓?fù)鋱D如下：在主干網(wǎng)上架構(gòu)XM，對設(shè)備性能及網(wǎng)絡(luò)效勞的不中斷性要求非常高，但可以對校園網(wǎng)內(nèi)整體的流量可以做全面的監(jiān)測及管理。架構(gòu)二：分別在邊界與學(xué)生核心或教工核心之間架設(shè)XM流量控制設(shè)備，也可在需要控制管理的校區(qū)交換機與核心交換機之間架設(shè)XM設(shè)備，其網(wǎng)絡(luò)架構(gòu)如下：在區(qū)域網(wǎng)絡(luò)上架設(shè)XM設(shè)備進(jìn)行監(jiān)測及管理，可減少網(wǎng)絡(luò)流量設(shè)備的運行壓力。四、產(chǎn)品規(guī)格應(yīng)用層管理技術(shù)以Layer7的應(yīng)用分類技術(shù)，對應(yīng)用軟件進(jìn)行實時管理與帶寬分配。個性化行為管理可阻擋非標(biāo)準(zhǔn)偽裝聯(lián)機：動態(tài)隨機端口號／／代理效勞器／后門程序／WebIM等可阻擋IM／P2P加密軟件可阻擋登入、聊天、傳文件、語音、視訊、白板、游戲個性化帶寬管理雙向帶寬管理保證帶寬最大帶寬帶寬共享隨機公平序列管理優(yōu)先級層級化帶寬管理隨插即用In-lineMode，隨插即用，不需改變網(wǎng)絡(luò)結(jié)構(gòu)實時流量分析／監(jiān)控可支持雙機備援(HA)架構(gòu)防火墻功能第四～七層封包檢測掃描檢查／DoS檢查管理與設(shè)定管理者手動導(dǎo)入：TXT自動定期更新數(shù)據(jù)庫：IM控管引擎/P2P特征碼分層式管理分層權(quán)限部門管理／審核部門符合國際標(biāo)準(zhǔn)：SEC17a-3&17a4,FDIC,NASD3010/3110/2711,NYSERule440,FERC/NERC,Sarbanes-Oxley,FreedomofInformationAct,21CFRPart11,5015.2STD,RegulationFD,BS7799報表分析支持各協(xié)議使用帶寬MRTG支持各TopNIM違規(guī)／使用量報表報表與數(shù)據(jù)管理可定期郵寄報表：日／周／月／季報表格式：PDF／HTML可備份系統(tǒng)設(shè)定文件匯出使用者自訂報表IM及P2P管理可支持管理IM：MSN/Yahoo/AOL/ICQ/Miranda/Trillian/Jabber/GAIM時間排程管理點對點傳輸軟件管理阻擋應(yīng)用軟件登入：超過30種P2P/Tunnel/Chat/VoIP/Streaming應(yīng)用,包括SoftEther,Vnn,SSH等后門程序P2P上下載帶寬管理產(chǎn)品性能：XM-125XM-500XM-1000內(nèi)存512MB512MB1GB網(wǎng)絡(luò)接口10/100Base-TEthernet10/100Base-TEthernet10/100Base-TEthernet同時上線人數(shù)150人500人1000人最高同時承載聯(lián)機數(shù)6,00040,000200,000流量負(fù)載能力(雙向)25Mbps*275Mbps*2100Mbps*2XM-2000XM-5000客制化型號內(nèi)存1GB2GB網(wǎng)絡(luò)接口10/100/1000Ethernet10/100/1000Ethernet+MiniGBIC/SPF同時上線人數(shù)無上限無上限最高同時承載聯(lián)機數(shù)400,0001,000,000流量負(fù)載能力(雙向)600Mbps*21Gbps*2五、產(chǎn)品具體功能介紹〔一〕、實時分析網(wǎng)絡(luò)使用狀況：通過XM對網(wǎng)絡(luò)應(yīng)用的監(jiān)測，實時了解內(nèi)部網(wǎng)絡(luò)的帶寬使用情況，如以下列圖示：1、實時顯示進(jìn)、出端口的流量：2、實時顯示網(wǎng)絡(luò)內(nèi)各IP段及具體IP、協(xié)議的流量走向：大局部網(wǎng)絡(luò)之前通過置了防火墻、進(jìn)行L3/L4層的過濾，但對于應(yīng)用層的如BT這種瘋狂搶占帶寬的應(yīng)用無法起作用。此外還有其它很多的通過應(yīng)用出去的隱藏流量通過傳統(tǒng)的流量控制手?jǐn)嘁矡o法掌控。為此通過架設(shè)XM第四層、第七層流量控制設(shè)備，對應(yīng)用協(xié)議、用戶、時間排程、全網(wǎng)監(jiān)測等多方面功能進(jìn)行測試，有效管理信息中心的網(wǎng)絡(luò)流量及網(wǎng)絡(luò)行為。〔二〕、豐富的策略管理1、行為管理策略：提供了時間表、來源/目標(biāo)地址、應(yīng)用協(xié)議、進(jìn)出帶寬策略管理，可個性化定義測量進(jìn)行控制管理。其中XM提供了目前大局部的應(yīng)用協(xié)議〔TiderWay應(yīng)用程序庫目前定義了近600種常用的程序庫特征〕，方便我們控制一些難于控制管理應(yīng)用程序，可選擇性的控管，并提供在線實時更新應(yīng)用程序特征庫，防止如BT、QQ等特征更新快的應(yīng)用程序出現(xiàn)管不了的情況。2、流量管理策略TraffcManager：XM流量管理相單于把一個總的進(jìn)、出帶寬進(jìn)行分割寬，制定帶寬使用的權(quán)重、優(yōu)先、多少及保證\最高帶寬，如下列圖：XM帶寬分配的原理如下：從原理圖中我們清晰知道對于各項應(yīng)用的帶寬指定策略的實現(xiàn)方式。3、工程管理策略O(shè)bjectManager：XM的工程管理局部可分別定義管理地址及群組、應(yīng)用協(xié)議及群組、時間管理及群組，這樣可以實現(xiàn)針對不同單位/部門、在不同的時間管理不同的應(yīng)用的細(xì)致化管理。定義用戶及地址,也可把這兩個用戶分組?？勺远x應(yīng)用協(xié)議及協(xié)議組：定義上班時間段，為做時間管理做準(zhǔn)備，如：time1為早上8：30-11：30，time2為下午13:00-17:00,可以通過策略這個時間段內(nèi)禁止P2P下載，其它應(yīng)用不做管制。4、Log記錄管理：可以開啟動我們需要那些LOG記錄，這次測試中我們選擇全部開啟動。通過開啟的LOG管理，我們可以在報表中就能詳細(xì)看到應(yīng)用層防火墻過濾的信息、流量使用情況及網(wǎng)絡(luò)連接情況。〔三〕、報表系統(tǒng)XM具備強大的報表系統(tǒng)，通過報表系統(tǒng)不僅僅可以獲得整個網(wǎng)絡(luò)流量情況，更能隨時隨地了解到實時、每天、每周、每月，甚至往年的流量，也可知道任何一個應(yīng)用及用戶的帶寬占用情況。在管理策略中，我們定義了上班時間禁止P2P應(yīng)用協(xié)議的使用，另外XM本身提供的一些平安機制，如防止一些大流量的工具對內(nèi)網(wǎng)的攻擊，在報表中列出了被禁止的P2P工具及掃描工具的排行及連線數(shù)。看根據(jù)不同用戶被阻擋的連接數(shù)排行，洞察內(nèi)、外網(wǎng)的可疑IP地址，及時排除平安隱患。網(wǎng)絡(luò)流量的每天統(tǒng)計，可提高9中各種類型的報表〔1〕本圖中顯示一天當(dāng)中的進(jìn)、出的流量最高、最低值?！?〕各種不同協(xié)議的帶寬顯示，顯示各種不同協(xié)議的流量大小峰值，如在本圖一天當(dāng)中，最高的流量到達(dá)了20M〔3〕在策略管理中，我們分別定義了高、中、低，new1、new2等帶寬管理策略，這份報表可以充分顯示每個帶寬策略的實際執(zhí)行情況。〔4〕通過本報表，可以清晰的知道每天中各個時段各種應(yīng)用程序的流量走向，如11月23日這天，上午的聊天帶寬使用最高。注：以上各曲線圖可任意截取一段放大了解流量大小情況！〔5〕顯示一天中所有進(jìn)、出流量的總和及比率。〔6〕顯示所有應(yīng)用協(xié)議的一天的流量總和及占總進(jìn)、出流量的比率。流量管理日志流量管理日志里面包括，天日志，周日志，月日志和年日志。其中每種日志中包括協(xié)議、用戶、封包等流進(jìn)的流量，流出的流量和總流量。應(yīng)用協(xié)議進(jìn)出總流量統(tǒng)計排行ProtocolTotal_Flow(MBytes)bittorrent46441.9669780119664755.68561500004poco843.494429000002kugoo167.23458600000038msn134.64868300000012qqedonkeyftp0.571378〔2〕用戶進(jìn)出總流量統(tǒng)計排行UserIPTotal_Flow(MBytes)2723776.966074999895716643.47458700008731019.849107999968451356.65420723241.556234999999924173.779449999999971148.08779400000017〔3〕封包進(jìn)出統(tǒng)計排行〔協(xié)議及用戶〕：ProtocolTotal_Packetsbittorrent653097257098533poco1578844msn857204kugoo257622qq76755edonkey42707ftp9026UserIPTotal_Packets273647566372120922276154212313542682493109513930613286911125346122521464238483注：以上流量統(tǒng)計報告同時提供進(jìn)、出詳細(xì)流量表及周統(tǒng)計、月統(tǒng)計、年統(tǒng)計在整個報表系統(tǒng)中，XM提供了多種報表的使用工具，可直接輸出網(wǎng)頁、PDF、WORD等文件格式的報表方便管理人員使用及保存。XM管理配置進(jìn)入配置管理XM管理系統(tǒng)與報表系統(tǒng)使用Java設(shè)計的WEB管理，通過IE直接輸入地址便可以進(jìn)入訪問管理系統(tǒng)，并提供用戶名、密碼的平安管理。備份與復(fù)原XM提供配置信息的備份與復(fù)原功能，保證系統(tǒng)資源的可靠性。六、關(guān)于TiderWayTiderWay作為SammasSystemInc.在中國的公司，是一家專業(yè)從事網(wǎng)絡(luò)平安系統(tǒng)整合的公司，2006年首次在全球提出五層內(nèi)網(wǎng)平安概念，代表未來內(nèi)網(wǎng)規(guī)劃的方向，其中流量控制是內(nèi)部網(wǎng)絡(luò)應(yīng)用的重