高校校園網(wǎng)網(wǎng)絡流量分析與控制

摘 要：當前高等教育發(fā)展迅速，高校對于網(wǎng)絡需求與日俱增。受到建設成本和技術發(fā)展等因素的限制，網(wǎng)絡需求與網(wǎng)絡帶寬的矛盾日益凸顯。在高校出口實施網(wǎng)絡流量分析控制能夠很好的解決這一問題。

關鍵詞：網(wǎng)絡帶寬 網(wǎng)絡流量分析及控制 DPI、Panabit

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1672-3791（2013）05（b）-0249-02

隨著高等教育信息化的發(fā)展，高等教育對于網(wǎng)絡的依賴日漸增加，同時高校校園網(wǎng)的出口帶寬要求也越來越高。但是受到資金、出口建設成本和網(wǎng)絡技術等方面的限制，高校校園網(wǎng)出口帶寬不可能無限提高，由此導致了高校校內(nèi)用戶日益增長的網(wǎng)絡需求與出口帶寬限制網(wǎng)絡流量之間的矛盾。而通過對出口網(wǎng)絡數(shù)據(jù)進行深層次應用分析制定相關策略能夠在一定程度上緩解這一矛盾。

1 網(wǎng)絡流量分析及控制的關鍵技術

網(wǎng)絡流量分析及控制是指對數(shù)據(jù)包進行檢測，并通過制定的策略對網(wǎng)絡應用實現(xiàn)放行、限制或阻塞的技術。現(xiàn)今P2P類下載應用占用了大量的帶寬資源，導致網(wǎng)絡的擁堵和服務質(zhì)量的下降。為了保證用戶能夠平等的使用網(wǎng)絡帶寬，需要采取必要的技術對P2P等應用進行一定程度的檢測與調(diào)控。目前主要的分析控制技術如下。

1.1 傳統(tǒng)防火墻對網(wǎng)絡流量的分析及控制

傳統(tǒng)防火墻都工作在OSI參考模型的第2、3、4層，通過對TCP/UDP端口、數(shù)據(jù)包的源/目的IP地址、MAC地址等進行過濾，實現(xiàn)對網(wǎng)絡流量的監(jiān)視。一般都是對數(shù)據(jù)包的包頭來做策略，并不關心整個數(shù)據(jù)包的信息。傳統(tǒng)防火墻對網(wǎng)絡流量的處理方法一般都是阻塞某種協(xié)議常用端口，或者阻斷客戶端與服務器的連接等。由于不能有效的分析數(shù)據(jù)包內(nèi)部信息，不能有效的了解用戶應用層的信息，也就不能有效的限制用戶的應用。采用傳統(tǒng)防火墻阻斷服務器與客戶端連接的方法也已經(jīng)不能準確的識別與控制。

1.2 DPI技術

深度報文檢測技術DPI（Deep Packet Inspectio）是在分析數(shù)據(jù)包包頭的基礎上，增加了對OSI參考模型第七層即應用層的分析。當IP數(shù)據(jù)包、TCP、UDP數(shù)據(jù)流經(jīng)過基于DPI技術的流量控制系統(tǒng)時，通過深入讀取數(shù)據(jù)包的內(nèi)容來對應用層信息進行重組，從而得到整個應用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對流量進行整形操作。DPI技術可以分為兩大類：（1）使用特征字與掩碼相結合進行協(xié)議識別的DPI技術；（2）使用正則表達式庫進行協(xié)議識別的DPI技術。

2 高校校園網(wǎng)絡的現(xiàn)狀

目前大部分高校都已建成完善的園區(qū)網(wǎng)，普遍采用傳統(tǒng)的三層結構（核心層、匯聚層和接入層），并租用運營商電路實現(xiàn)與互聯(lián)網(wǎng)的高速對接。

校園網(wǎng)的主要特點是學生是網(wǎng)絡的主要用戶。隨著網(wǎng)絡技術的發(fā)展，學生作為社會最活躍的團體，對于網(wǎng)絡新興服務需求迫切，尤其是視頻服務。造成的結果是對網(wǎng)絡帶寬的占用比例極高，造成傳統(tǒng)服務的服務質(zhì)量下降。

以我院為例，我院校園網(wǎng)絡始建于2008年，網(wǎng)絡已覆蓋教學、辦公、生活等區(qū)域，其中學生宿舍網(wǎng)絡出口帶寬所占比例達到80%以上，其中多以視頻、P2P應用為主。

3 采用流量控制技術調(diào)整出口應用

在具體實現(xiàn)方面，采用了Panabit軟件。Panabit是北京派網(wǎng)軟件公司開發(fā)的免費的應用層流量控制系統(tǒng)，是基于穩(wěn)定性極高的FreeBSD開發(fā)的。可在瀏覽器中對系統(tǒng)進行圖形化管理，界面友好，操作簡便。

3.1 Panabit流量控制系統(tǒng)的部署

（1）安裝。

Panabit需要獨立安裝在一臺計算機中，硬件配置要求如表1。

由表1可見，對于目前PC的硬件水平完全可以滿足安裝需要，只需要在計算機中多加裝兩塊網(wǎng)卡即可。

Panabit的硬件部署在網(wǎng)絡出口上。配置的3塊網(wǎng)卡，1塊用于管理Panabit管理系統(tǒng)，另外2塊分別用于采集上傳和下載流量的數(shù)據(jù)。

（2）Panabit系統(tǒng)的初始化配置。

①首先配置系統(tǒng)的IP地址等基礎信息（在此全部都采用校園網(wǎng)內(nèi)部私有地址），以便遠程管理（采用HTTPS協(xié)議）。

②選擇網(wǎng)絡配置下的“數(shù)據(jù)接口”選項，兩塊網(wǎng)卡的“應用模式”均選擇為“透明網(wǎng)橋”。

3.2 Panabit系統(tǒng)的流量控制策略的配置

（1）分配帶寬。

Panabit對帶寬的分配有三種模式：即帶寬限制，帶寬保證，帶寬預留。根據(jù)我院對網(wǎng)絡需求的實際情況，采用了帶寬保證模式。下面對帶寬保證模式進行詳細的說明：首先，帶寬保證模式也具有帶寬預留模式的功能，即對特定IP組、特定協(xié)議預留出足夠的帶寬。例如教學、辦公IP組，教務系統(tǒng)的ITSP協(xié)議等。在此基礎上，帶寬保證在其預留的帶寬不能滿足應用要求的時候，會從剩余的總帶寬里借用所需帶寬。例如每學期開學和學期末，學生大量選課，可以對選課系統(tǒng)的SSL等協(xié)議進行帶寬保證設置。

（2）建立策略組。

可以根據(jù)數(shù)據(jù)包的源地址、目的地址、應用協(xié)議等建立策略組。

3.3 系統(tǒng)測試與分析

4 結語

為了提高網(wǎng)絡帶寬的利用率，使高校校園網(wǎng)絡的使用更趨合理，網(wǎng)絡流量分析及控制勢在必行，同時也是非常有效的手段。互聯(lián)網(wǎng)飛速發(fā)展，網(wǎng)絡流量分析及控制也隨之快速發(fā)展，為高校的教學等工作提供了穩(wěn)定的網(wǎng)絡基礎，使教學信息管理系統(tǒng)和教學資源共享平臺的搭建更為安全、高效。為高校的信息化教學做出了貢獻。

參考文獻

[1]劉劍鋒.部署運維管理平臺提高校園網(wǎng)運維水平[J].中國教育技術裝備，2011（10）.

[2]韓寧.淺議高校校園網(wǎng)建設與管理[J].科技創(chuàng)業(yè)月刊，2011（8）.

[3]周向軍.校園網(wǎng)流量識別與控制系統(tǒng)的建設[J].電腦知識與技術，2009（5）.

[4]牛軍，余萍萍，李思恩.校園網(wǎng)流量控制初探[J].中國教育信息化，2009（2）.