高流量校園網絡管理策略的研究與實現

【摘要】隨著因特網的發展，各種網絡應用不斷增加，校園網絡中流量也不斷增大，因此校園網絡不能再跟以前一樣任由使用，我們需要建立一套新型的網絡管理策略，才能使現有網絡更快更好地為使用者和教學服務。

一、引言

在現今的網絡時代中，由于多種P2P軟件的使用，校園網絡出現了大量的流量，往往是很少的機器就能夠將出口帶寬完全占滿，以前的管理模式已經很難適應現在的狀況，需要進行改革才能夠讓大型的高流量的校園網絡在有限的網絡資源下發揮應有的作用，不至于讓大量的對時延不敏感的流量擁塞了校園網絡，使網絡瀏覽、QQ聊天等普通上網流量受到影響，使教學、辦公自動化等活動無法正常進行。

二、原有的網絡管理策略與存在的問題

本校園新建于2001年，當年校園網絡分為學生上網區域與教師上網區域兩大區域，對網絡的管理使用不同的上網管理方法。學生區域上網需要進行身份驗證，教師區域無需認證就可以上網，兩個區域都使用DHCP服務器自動獲取IP，兩個區域使用不同的網絡IP段。內網IP管理中，除了講IP分為兩大區域IP段外，在每個IP段中又按各棟樓的樓層劃分為多個小的IP段，每個IP段用VLAN隔開，每個VLAN無法互相通訊，以減少網絡中各網段病毒互相感染和網絡安全事件的發生。學生上網實行包月上網機制，月費是25元，上網時間是早上8點鐘到晚上12點鐘，節假日不斷網。

以上網絡管理策略始于建網初期，在之后的網絡使用漸漸出現了問題。當用戶增加了之后，在中午和晚上的上網高峰期，由于用戶使用下載工具下載影片等大流量應用，網絡環境開始變差，出現了線路擁堵情況，但是QQ基本上還可以保持在線狀態。接著，隨著P2P軟件的出現，初期的迅雷、電驢軟件導致網絡晚上出現了完全的流量擁塞[1]。由于晚上網絡運行情況的劇烈變差，很多學生在白天上課時間開著電腦下載影片。網絡出現了前所未有的問題，早上8點鐘一開網，流量立即占滿帶寬，網絡速度急劇變慢，而到了晚上，所有的QQ都間歇斷開，發QQ信息要重復發送多次才能成功。最嚴重的是，除了上互聯網出現問題外，內網的通訊也出現了問題，就是ARP病毒的出現，這個內網網絡的殺手，將內網的通訊徹底拖垮。以上問題的出現，嚴重影響了學校的聲譽和網絡教學、網絡辦公的質量。

三、對原有網絡的改造策略

1. 首先要對內網通訊進行修復，內網通訊不通就無法進行外網通訊

在內網通訊中，最大的殺手就是ARP類型的病毒。這種病毒欺騙路由器，將攻擊的IP地址與自己Mac地址連接起來，讓路由器將數據發送過來。

本校園從一開始就是分網段管理，所以可以很好地抑制這病毒的傳播速度。在病毒出現的初期，并沒有什么實用的工具，我們只能通過手工指定服務器中網關的ARP地址來防治服務器受到其他病毒感染的機器攻擊，接著我們也在網絡路由器中綁定了該服務器的ARP信息，但是這樣只能防止少數重要機器的病毒感染。在病毒出現的時候，某個受影響的網段就會出現內網訪問故障現象，我們接到報障之后，在網絡路由器中迅速查找到網絡故障網段中某臺病毒機器的MAC地址，然后將該機器通過網絡封鎖該上網端口，直至該機器完全殺毒再重新開通其上網權限[2]。

過了一段時間后，開始出現了對付這種病毒的軟件，原本我們用手工在服務器上指定的這個工作通過軟件就可以自動實現，于是我們就在做了大量測試后向用戶推薦使用該軟件。這樣做也收到了效果，但是交換機中的地址綁定依然無法很好解決。又過了一段時間，終于出現了防治ARP攻擊的交換機，直到這個時候，才算是逐漸解決了內網通訊的問題。

2. 增加一條網絡出口帶寬，不同區域使用不同的網絡出口

幾年來，上網用戶不斷增多，原先的單線路100M出口無法承受現有用戶的使用。學生的上網流量大大地影響了教學區域的上網速度，增加一條網絡出口帶寬可以將兩個區域的流量分開，互不影響。但是這也帶來了新的問題，由于教學區域的網絡只是在白天教學時使用，而晚上就完全沒有使用上。而且即使白天，教學的流量也只是占用帶寬的30-50%。為了減少資源的浪費，我們在防火墻上做了設置，在下班時間將網絡中學生流量分一部分到新增的這條網絡線路。

3. 采用流量計費的策略

由于計費策略是包月制度，加上學生人數的不斷擴大，很快兩條線路也無法滿足這種使用方式。于是，我們經過一段時間的調研，查看了數據庫中學生的網絡流量，并且研究了其他學校的計費模式，推出了流量計費的策略[3]。新計費策略的推出受到很多的質疑，但是效果很明顯，只有部分網絡下載狂人才會受到該策略的約束，其他正常使用的學生并沒有多大的影響。新的策略實現了上網交費者網絡使用的公平，實行多使用者多交費的策略。在沒有辦法從技術手段上控制P2P流量的情況下，利用管理上策略控制了網絡中P2P的泛濫，讓使用者自己控制其流量，收到了很好的效果，網絡流量一下子減少了很多。因為P2P軟件是在文件下載之后會自動上傳的，而流量計費不只是計算下行流量也計算上行流量，所以也限制了學生將軟件掛機的情況，改善了網絡中由于上傳流量過大影響交換機工作的問題。

4. 引進網絡流量控制的機器

在流量計費策略推出后，網絡運行基本正常，但是在網絡高峰期，由于上網用戶過于集中，而且某些用戶并不在乎費用問題，所以出現了不同程度的網絡速度變慢的情況。在這個時候，我們引進了網絡流量控制的機器。一開始將該流量控制機器放置在網絡中，讓其分析網絡中流量的狀況，之后再進行策略的設置。首先將學生區域網絡高峰時段的P2P流量進行限制，然后禁止教學區域中學生上網機房的P2P流量。這樣做之后，網絡的情況得到了進一步的改善。

5. 對網絡出口進行改善

由于原先的網絡出口已經由原來的單條100M線路轉變成兩條100M鏈路，只能通過手工設置才能將部分學生流量在特定時間轉移過來，這樣的非智能方式并不能很好處理這種問題，于是我們通過測試調研引入了網絡出口智能引擎。網絡出口智能引擎能夠根據目的IP地址、當前線路使用狀況等智能選擇流量的出口，很好地利用了兩條線路。由于有了網絡出口智能引擎，在網絡運營商上的選擇也可以有所不同。在購入了智能引擎之后，我們對中國聯通的線路做了多方面測試，發現該線路雖然使用速度上比不上中國電信，但是可以對P2P流量起到很好的分流作用，而且引入中國聯通運營商可以解決單運營商獨大的局面，等于引入了競爭機制，可以大大減少學校的采購費用。最后，現有的學校網絡出口通過該引擎實現了雙100M電信加單200M聯通光纖的上網出口帶寬，既經濟又實惠。

至此，校園流量網絡管理形成了一套結合流量計費、流量控制與出口智能的控制體制，解決了之前高流量出現的網絡擁塞問題。

四、結論與展望

在這套策略基本形成之后，網絡中還存在另一個隱患，就是對高流量中網絡安全事件的反應與處理。以前都是被動的處理模式，用戶中不少是不進行補丁安裝和殺毒軟件安裝的，這也給網絡管理提出了新的問題。所以在以后的日子，我們將測試使用主動安全體系，也就是全局安全控制體系。這套體系首先解決了教學區域中隨意安裝網線就可以上網的問題，并且很好地控制了內網上網的安全。在上網撥號之前，軟件會對客戶端進行安全掃描，檢測非法的軟件與病毒，如果我們發現什么新型病毒的特征可以先輸入到掃描策略中，這樣可以限制感染病毒的機器上網。接著在上網期間如果感染病毒，對網絡做出破壞，軟件會及時斷開網絡，實現智能的管理可以將安全事件控制在很小的范圍內。

【參考文獻】

［1］韋安明，王洪坡，程時端，林宇. 高速網絡中P2P流量檢測及控制方法［J］. 北京郵電大學學報，2007（5）.

［2］柳斌，李之棠，李佳. 一種基于流特征的P2P流量實時識別方法［J］. 廈門大學學報（自然科學版），2007（S2）.

［3］梁欣榮. 淺析大學校園網絡管理與維護［J］. 中國科技博覽，2010（14）.

【作者簡介】

蔡志鵬（1982.12—），男，漢族，廣東汕頭人，網絡工程師，本科，研究方向：計算機網絡管理、網絡安全管理。

周偉光（1976.10—），男，漢族，廣東順德人，實驗師，本科，研究方向：計算機管理、計算機網絡。