校園網絡的綜合管理

狄明遠

摘要:目前各個學校都在大力發展校園網絡,如何有效的進行管理校園網絡,在網絡出了問題,網絡流量出現異常的時候如何排查,怎樣才能夠找到責任人,本文對此進行了一些研究。

關鍵詞:校園 網絡 管理

中圖分類號:TP393.07文獻標識碼:A文章編號:1006-8937(2009)03-0041-01

當發生網絡安全事件時,怎樣追蹤責任人?當發生網絡擁塞時,如何定位網絡中的瓶頸?如何確定網絡資源不足還是異常流量造成的?如何定位造成異常流量的主機?對于大量的網絡接入終端,怎樣防止IP 地址的濫用、盜用和地址沖突?對于有償網絡資源的訪問,如何計費?如何做到欠費自動停機?對于大量的網絡設備,怎樣做到實時監控和自動故障報警?

對于任何學校,這都是不容忽視的問題,我們學校也不例外,我們在幾年時間內,建設完善了集網絡管理、運行監控、流量計費、流量分析、用戶管理、地址管理、訪問控制、服務質量控制等諸多功能于一體的綜合網絡管理系統。

1 網絡管理

網絡中心對于網元的管理最開始主要依靠設備廠家提供的網絡管理系統,包括華為的Quidview 和Cisco 的Works 2000。但是這些系統只能發揮非常有限的功能而我們自主開發的基于地址轉發表的鏈路層拓撲發現滿足了對拓撲管理的需求,不僅可以發現網絡上的路由器、交換機等. 可網管設備,而且具有發現主機、集線器和非網管交換機等啞設備的特點。

2 網絡設備運行監控

通過拓撲圖可以查看網絡的鏈路狀態,通過通用的設備面板生成技術可以直觀設備運行狀態。對于發生的網絡故障可以實時報警,通過手機短信、電子郵件等形式快速通知網管員。網絡故障包括:電源故障、設備溫度、端口狀態變化、鏈路通斷、流量跳變等。

3 在線流量監控和協議分析

實時監控所有在線用戶,了解其免費流量/ 收費流量構成和訪問目標,可以根據情況強制其下網。采集出口的全部入/出流量或單臺主機的流量,通過協議分析了解流量的構成。對于異常流量進行監測,自動隔離產生異常流量的主機,特別是C E R N E T 規定的國際流入量超標的主機,可以自動關閉,次日凌晨自動放開。記錄各個用戶的上網時間、上網地點、產生的流量和訪問目標,為以后的安全事件責任追蹤提供依據. 通過交換機的流量鏡像端口(或者分光器),將出口流量鏡像到服務器,通過流量分析,根據設置的訪問控制策略、計費策略完成訪問控制和計費。通過對TCP 三次握手的控制,實現TCP 流的阻斷或重定向。這種方式不改變網絡的拓撲結構、不改變用戶的上網模式,控制和計費策略對用戶是透明的,不會造成單點故障,也不影響網絡的出口性能。目前系統能夠線速處理1G 的網絡流量。

4 用戶管理與網絡計費

網絡計費采取預交費模式,提供包月、計時、計流量等多種計費策略,國際流量可以單獨計費。對于欠費的用戶可以自動關閉對收費資源的訪問。用戶管理模塊提供開戶、修改密碼、維護用戶信息等功能,用戶可以通過自助Web 界面實現修改密碼、費用狀況查詢、訪問記錄查詢,以及反饋上網過程中遇到的問題。

5 地址管理

通過控制路由器或三層交換機網關設備上的ARP 表,實現IP 地址和硬件M A C 地址的綁定,地址管理模塊提供IP 地址、MAC 地址和用戶主機信息的錄入和維護,可以提供禁用或開通用戶主機的網絡的訪問。目前可以支持Cisco 和華為的設備。

6 訪問控制

源訪問控制可以控制內部主機對外部網絡的訪問,控制策略包括認證訪問、收費認證訪問、不受控、拒絕、國際、國內訪問。目標訪問控制可以允許或拒絕對目標的訪問。可以自動利用CERNET 的國內路由表來區分國內/ 國際流量。對于受控網絡資源的訪問可以自動重定向到認證界面,通過身份認證后才允許訪問。這種重定向是通過劫持TCP 的三次握手過程實現的。

7 服務質量控制

隨著網絡應用的豐富,對帶寬的需求是沒有止境的。特別是P2P 應用基本上是有多少帶寬就占用多少,因此無論出口帶寬有多大,都會被耗盡.。我們學校只有到C E R N E T 的一個千兆出口,2 4 小時都是100% 的利用率,實際上早已成為瓶頸。通過系統的流量采集和流量分析功能可以很容易地確定流量的構成,從而發現90% 以上的流量都是未知流量,通過進一步分析發現大多數都是P2P 流量。

我們學校學生數量為8000左右,目前能上網的計算機大概總數在7000左右,這些計算機由于使用互聯網全局IP 地址,是直接暴露在互聯網上的對等連接。根據P2P 應用文件交換的“人人為我,我為人人”原則,在文件下載的同時,也為別人提供下載服務,這種情況對于直接使用互聯網全局IP 地址的教育網尤為嚴重。從系統在出口上的流量檢測可以看出,出的流量比入的流量還要大,這對于不具備大量信息資源的區域網絡是不正常的。這些占用寶貴出口帶寬資源的文件交換流量主要是什么內容呢?從調查分析來看,主要是電影、音樂和少部分軟件等。這些流量已經嚴重影響了傳統的Internet訪問,有必要采取措施保證正常應用的服務質量。

而保證QOS,實現區分服務的關鍵,是對流量的識別和分類。在新的網絡應用層出不窮、P2P 應用可以隨意設置服務端口的情況下,對于流量的識別是非常困難的,因此我們采取比較簡單也非常有效的原則,就是“保證已知,限制未知”原則。對未知流量進行帶寬限制,而不是封掉,并且是在充分利用帶寬的前提下使用該原則,因此不會造成某些應用的中斷。

帶寬控制是通過流量監管實現的,流量監管是基于流量的速率限制,系統可以監督某一流量的速率,如果流量超出指定的規格,就采用相應的措施,如丟棄那些超出規格的報文或重新設置它們的優先級。流量監管的一個實例是承諾訪問速率C A R 。C A R 廣泛地用于監管進入網絡設備的網絡流量,它依據對流量不同的評估結果,實施預先設定好的監管動作。

從幾年的網絡管理維護經驗來看,只有適合自己需要的系統才是最好的系統,只有結合需求自己動手,才能得心應手。