高流量校園網(wǎng)絡(luò)管理策略的研究與實(shí)現(xiàn)

【摘要】隨著因特網(wǎng)的發(fā)展，各種網(wǎng)絡(luò)應(yīng)用不斷增加，校園網(wǎng)絡(luò)中流量也不斷增大，因此校園網(wǎng)絡(luò)不能再跟以前一樣任由使用，我們需要建立一套新型的網(wǎng)絡(luò)管理策略，才能使現(xiàn)有網(wǎng)絡(luò)更快更好地為使用者和教學(xué)服務(wù)。

一、引言

在現(xiàn)今的網(wǎng)絡(luò)時(shí)代中，由于多種P2P軟件的使用，校園網(wǎng)絡(luò)出現(xiàn)了大量的流量，往往是很少的機(jī)器就能夠?qū)⒊隹趲捦耆紳M，以前的管理模式已經(jīng)很難適應(yīng)現(xiàn)在的狀況，需要進(jìn)行改革才能夠讓大型的高流量的校園網(wǎng)絡(luò)在有限的網(wǎng)絡(luò)資源下發(fā)揮應(yīng)有的作用，不至于讓大量的對(duì)時(shí)延不敏感的流量擁塞了校園網(wǎng)絡(luò)，使網(wǎng)絡(luò)瀏覽、QQ聊天等普通上網(wǎng)流量受到影響，使教學(xué)、辦公自動(dòng)化等活動(dòng)無(wú)法正常進(jìn)行。

二、原有的網(wǎng)絡(luò)管理策略與存在的問(wèn)題

本校園新建于2001年，當(dāng)年校園網(wǎng)絡(luò)分為學(xué)生上網(wǎng)區(qū)域與教師上網(wǎng)區(qū)域兩大區(qū)域，對(duì)網(wǎng)絡(luò)的管理使用不同的上網(wǎng)管理方法。學(xué)生區(qū)域上網(wǎng)需要進(jìn)行身份驗(yàn)證，教師區(qū)域無(wú)需認(rèn)證就可以上網(wǎng)，兩個(gè)區(qū)域都使用DHCP服務(wù)器自動(dòng)獲取IP，兩個(gè)區(qū)域使用不同的網(wǎng)絡(luò)IP段。內(nèi)網(wǎng)IP管理中，除了講IP分為兩大區(qū)域IP段外，在每個(gè)IP段中又按各棟樓的樓層劃分為多個(gè)小的IP段，每個(gè)IP段用VLAN隔開(kāi)，每個(gè)VLAN無(wú)法互相通訊，以減少網(wǎng)絡(luò)中各網(wǎng)段病毒互相感染和網(wǎng)絡(luò)安全事件的發(fā)生。學(xué)生上網(wǎng)實(shí)行包月上網(wǎng)機(jī)制，月費(fèi)是25元，上網(wǎng)時(shí)間是早上8點(diǎn)鐘到晚上12點(diǎn)鐘，節(jié)假日不斷網(wǎng)。

以上網(wǎng)絡(luò)管理策略始于建網(wǎng)初期，在之后的網(wǎng)絡(luò)使用漸漸出現(xiàn)了問(wèn)題。當(dāng)用戶增加了之后，在中午和晚上的上網(wǎng)高峰期，由于用戶使用下載工具下載影片等大流量應(yīng)用，網(wǎng)絡(luò)環(huán)境開(kāi)始變差，出現(xiàn)了線路擁堵情況，但是QQ基本上還可以保持在線狀態(tài)。接著，隨著P2P軟件的出現(xiàn)，初期的迅雷、電驢軟件導(dǎo)致網(wǎng)絡(luò)晚上出現(xiàn)了完全的流量擁塞[1]。由于晚上網(wǎng)絡(luò)運(yùn)行情況的劇烈變差，很多學(xué)生在白天上課時(shí)間開(kāi)著電腦下載影片。網(wǎng)絡(luò)出現(xiàn)了前所未有的問(wèn)題，早上8點(diǎn)鐘一開(kāi)網(wǎng)，流量立即占滿帶寬，網(wǎng)絡(luò)速度急劇變慢，而到了晚上，所有的QQ都間歇斷開(kāi)，發(fā)QQ信息要重復(fù)發(fā)送多次才能成功。最嚴(yán)重的是，除了上互聯(lián)網(wǎng)出現(xiàn)問(wèn)題外，內(nèi)網(wǎng)的通訊也出現(xiàn)了問(wèn)題，就是ARP病毒的出現(xiàn)，這個(gè)內(nèi)網(wǎng)網(wǎng)絡(luò)的殺手，將內(nèi)網(wǎng)的通訊徹底拖垮。以上問(wèn)題的出現(xiàn)，嚴(yán)重影響了學(xué)校的聲譽(yù)和網(wǎng)絡(luò)教學(xué)、網(wǎng)絡(luò)辦公的質(zhì)量。

三、對(duì)原有網(wǎng)絡(luò)的改造策略

1. 首先要對(duì)內(nèi)網(wǎng)通訊進(jìn)行修復(fù)，內(nèi)網(wǎng)通訊不通就無(wú)法進(jìn)行外網(wǎng)通訊

在內(nèi)網(wǎng)通訊中，最大的殺手就是ARP類(lèi)型的病毒。這種病毒欺騙路由器，將攻擊的IP地址與自己Mac地址連接起來(lái)，讓路由器將數(shù)據(jù)發(fā)送過(guò)來(lái)。

本校園從一開(kāi)始就是分網(wǎng)段管理，所以可以很好地抑制這病毒的傳播速度。在病毒出現(xiàn)的初期，并沒(méi)有什么實(shí)用的工具，我們只能通過(guò)手工指定服務(wù)器中網(wǎng)關(guān)的ARP地址來(lái)防治服務(wù)器受到其他病毒感染的機(jī)器攻擊，接著我們也在網(wǎng)絡(luò)路由器中綁定了該服務(wù)器的ARP信息，但是這樣只能防止少數(shù)重要機(jī)器的病毒感染。在病毒出現(xiàn)的時(shí)候，某個(gè)受影響的網(wǎng)段就會(huì)出現(xiàn)內(nèi)網(wǎng)訪問(wèn)故障現(xiàn)象，我們接到報(bào)障之后，在網(wǎng)絡(luò)路由器中迅速查找到網(wǎng)絡(luò)故障網(wǎng)段中某臺(tái)病毒機(jī)器的MAC地址，然后將該機(jī)器通過(guò)網(wǎng)絡(luò)封鎖該上網(wǎng)端口，直至該機(jī)器完全殺毒再重新開(kāi)通其上網(wǎng)權(quán)限[2]。

過(guò)了一段時(shí)間后，開(kāi)始出現(xiàn)了對(duì)付這種病毒的軟件，原本我們用手工在服務(wù)器上指定的這個(gè)工作通過(guò)軟件就可以自動(dòng)實(shí)現(xiàn)，于是我們就在做了大量測(cè)試后向用戶推薦使用該軟件。這樣做也收到了效果，但是交換機(jī)中的地址綁定依然無(wú)法很好解決。又過(guò)了一段時(shí)間，終于出現(xiàn)了防治ARP攻擊的交換機(jī)，直到這個(gè)時(shí)候，才算是逐漸解決了內(nèi)網(wǎng)通訊的問(wèn)題。

2. 增加一條網(wǎng)絡(luò)出口帶寬，不同區(qū)域使用不同的網(wǎng)絡(luò)出口

幾年來(lái)，上網(wǎng)用戶不斷增多，原先的單線路100M出口無(wú)法承受現(xiàn)有用戶的使用。學(xué)生的上網(wǎng)流量大大地影響了教學(xué)區(qū)域的上網(wǎng)速度，增加一條網(wǎng)絡(luò)出口帶寬可以將兩個(gè)區(qū)域的流量分開(kāi)，互不影響。但是這也帶來(lái)了新的問(wèn)題，由于教學(xué)區(qū)域的網(wǎng)絡(luò)只是在白天教學(xué)時(shí)使用，而晚上就完全沒(méi)有使用上。而且即使白天，教學(xué)的流量也只是占用帶寬的30-50%。為了減少資源的浪費(fèi)，我們?cè)诜阑饓ι献隽嗽O(shè)置，在下班時(shí)間將網(wǎng)絡(luò)中學(xué)生流量分一部分到新增的這條網(wǎng)絡(luò)線路。

3. 采用流量計(jì)費(fèi)的策略

由于計(jì)費(fèi)策略是包月制度，加上學(xué)生人數(shù)的不斷擴(kuò)大，很快兩條線路也無(wú)法滿足這種使用方式。于是，我們經(jīng)過(guò)一段時(shí)間的調(diào)研，查看了數(shù)據(jù)庫(kù)中學(xué)生的網(wǎng)絡(luò)流量，并且研究了其他學(xué)校的計(jì)費(fèi)模式，推出了流量計(jì)費(fèi)的策略[3]。新計(jì)費(fèi)策略的推出受到很多的質(zhì)疑，但是效果很明顯，只有部分網(wǎng)絡(luò)下載狂人才會(huì)受到該策略的約束，其他正常使用的學(xué)生并沒(méi)有多大的影響。新的策略實(shí)現(xiàn)了上網(wǎng)交費(fèi)者網(wǎng)絡(luò)使用的公平，實(shí)行多使用者多交費(fèi)的策略。在沒(méi)有辦法從技術(shù)手段上控制P2P流量的情況下，利用管理上策略控制了網(wǎng)絡(luò)中P2P的泛濫，讓使用者自己控制其流量，收到了很好的效果，網(wǎng)絡(luò)流量一下子減少了很多。因?yàn)镻2P軟件是在文件下載之后會(huì)自動(dòng)上傳的，而流量計(jì)費(fèi)不只是計(jì)算下行流量也計(jì)算上行流量，所以也限制了學(xué)生將軟件掛機(jī)的情況，改善了網(wǎng)絡(luò)中由于上傳流量過(guò)大影響交換機(jī)工作的問(wèn)題。

4. 引進(jìn)網(wǎng)絡(luò)流量控制的機(jī)器

在流量計(jì)費(fèi)策略推出后，網(wǎng)絡(luò)運(yùn)行基本正常，但是在網(wǎng)絡(luò)高峰期，由于上網(wǎng)用戶過(guò)于集中，而且某些用戶并不在乎費(fèi)用問(wèn)題，所以出現(xiàn)了不同程度的網(wǎng)絡(luò)速度變慢的情況。在這個(gè)時(shí)候，我們引進(jìn)了網(wǎng)絡(luò)流量控制的機(jī)器。一開(kāi)始將該流量控制機(jī)器放置在網(wǎng)絡(luò)中，讓其分析網(wǎng)絡(luò)中流量的狀況，之后再進(jìn)行策略的設(shè)置。首先將學(xué)生區(qū)域網(wǎng)絡(luò)高峰時(shí)段的P2P流量進(jìn)行限制，然后禁止教學(xué)區(qū)域中學(xué)生上網(wǎng)機(jī)房的P2P流量。這樣做之后，網(wǎng)絡(luò)的情況得到了進(jìn)一步的改善。

5. 對(duì)網(wǎng)絡(luò)出口進(jìn)行改善

由于原先的網(wǎng)絡(luò)出口已經(jīng)由原來(lái)的單條100M線路轉(zhuǎn)變成兩條100M鏈路，只能通過(guò)手工設(shè)置才能將部分學(xué)生流量在特定時(shí)間轉(zhuǎn)移過(guò)來(lái)，這樣的非智能方式并不能很好處理這種問(wèn)題，于是我們通過(guò)測(cè)試調(diào)研引入了網(wǎng)絡(luò)出口智能引擎。網(wǎng)絡(luò)出口智能引擎能夠根據(jù)目的IP地址、當(dāng)前線路使用狀況等智能選擇流量的出口，很好地利用了兩條線路。由于有了網(wǎng)絡(luò)出口智能引擎，在網(wǎng)絡(luò)運(yùn)營(yíng)商上的選擇也可以有所不同。在購(gòu)入了智能引擎之后，我們對(duì)中國(guó)聯(lián)通的線路做了多方面測(cè)試，發(fā)現(xiàn)該線路雖然使用速度上比不上中國(guó)電信，但是可以對(duì)P2P流量起到很好的分流作用，而且引入中國(guó)聯(lián)通運(yùn)營(yíng)商可以解決單運(yùn)營(yíng)商獨(dú)大的局面，等于引入了競(jìng)爭(zhēng)機(jī)制，可以大大減少學(xué)校的采購(gòu)費(fèi)用。最后，現(xiàn)有的學(xué)校網(wǎng)絡(luò)出口通過(guò)該引擎實(shí)現(xiàn)了雙100M電信加單200M聯(lián)通光纖的上網(wǎng)出口帶寬，既經(jīng)濟(jì)又實(shí)惠。

至此，校園流量網(wǎng)絡(luò)管理形成了一套結(jié)合流量計(jì)費(fèi)、流量控制與出口智能的控制體制，解決了之前高流量出現(xiàn)的網(wǎng)絡(luò)擁塞問(wèn)題。

四、結(jié)論與展望

在這套策略基本形成之后，網(wǎng)絡(luò)中還存在另一個(gè)隱患，就是對(duì)高流量中網(wǎng)絡(luò)安全事件的反應(yīng)與處理。以前都是被動(dòng)的處理模式，用戶中不少是不進(jìn)行補(bǔ)丁安裝和殺毒軟件安裝的，這也給網(wǎng)絡(luò)管理提出了新的問(wèn)題。所以在以后的日子，我們將測(cè)試使用主動(dòng)安全體系，也就是全局安全控制體系。這套體系首先解決了教學(xué)區(qū)域中隨意安裝網(wǎng)線就可以上網(wǎng)的問(wèn)題，并且很好地控制了內(nèi)網(wǎng)上網(wǎng)的安全。在上網(wǎng)撥號(hào)之前，軟件會(huì)對(duì)客戶端進(jìn)行安全掃描，檢測(cè)非法的軟件與病毒，如果我們發(fā)現(xiàn)什么新型病毒的特征可以先輸入到掃描策略中，這樣可以限制感染病毒的機(jī)器上網(wǎng)。接著在上網(wǎng)期間如果感染病毒，對(duì)網(wǎng)絡(luò)做出破壞，軟件會(huì)及時(shí)斷開(kāi)網(wǎng)絡(luò)，實(shí)現(xiàn)智能的管理可以將安全事件控制在很小的范圍內(nèi)。

【參考文獻(xiàn)】

［1］韋安明，王洪坡，程時(shí)端，林宇. 高速網(wǎng)絡(luò)中P2P流量檢測(cè)及控制方法［J］. 北京郵電大學(xué)學(xué)報(bào)，2007（5）.

［2］柳斌，李之棠，李佳. 一種基于流特征的P2P流量實(shí)時(shí)識(shí)別方法［J］. 廈門(mén)大學(xué)學(xué)報(bào)（自然科學(xué)版），2007（S2）.

［3］梁欣榮. 淺析大學(xué)校園網(wǎng)絡(luò)管理與維護(hù)［J］. 中國(guó)科技博覽，2010（14）.

【作者簡(jiǎn)介】

蔡志鵬（1982.12—），男，漢族，廣東汕頭人，網(wǎng)絡(luò)工程師，本科，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全管理。

周偉光（1976.10—），男，漢族，廣東順德人，實(shí)驗(yàn)師，本科，研究方向：計(jì)算機(jī)管理、計(jì)算機(jī)網(wǎng)絡(luò)。