以系統工程的視角管理校園網流量

文/陸以勤

校園網出口帶寬的管理涉及多方面因素，是個綜合工程，一般可從資源規劃、收費引導、技術控制等幾個方面考慮。

當前，互聯網骨干帶寬的增長速度比用戶規模的速度更快。高校校園網經過多次升級換代，其主干帶寬一般都達到10G。因此，校園網用戶的帶寬體驗壓力很大程度集中在出口帶寬上。為此，各個高校都提高了互聯網的接入速度，包括接入CERNET和各個運營商的帶寬，但遠遠未能滿足校園網對帶寬的需求。很多學校都發現，如果沒有對校園網帶寬進行有效管理，剛擴展的帶寬，很快就會被各種成分的流量占滿。因此，對出口帶寬的管理就顯得十分重要。就如同公路的建設速度滿足不了數目激增的車輛需求，如果不采取科學的交通管理措施，城市的交通會變得十分擁塞。

資源規劃

校園網的流量與應用有關，因此在各個層次對應用的有效部署可以將流量本地化，降低出口帶寬的壓力。從大的方面，CERNET本身應加大資源建設力度，借助建設云計算的契機，鼓勵ICP在CERNET內部托管資源，并采取有效的資源分布和調度策略，包括常見資源CERNET網內緩存、CDN、網內P2P部署等。將流向運營商的流量引回CERNET，減輕CERNET和運營商網絡互聯的壓力，從而提高接入CERNET帶寬訪問社會網絡的速率，這樣可以降低校園網接入運營商網絡的帶寬比例。從小的方面，學校本身如果能加強資源的建設，在校園網內網上提供師生喜聞樂見的音視頻點播、開放課程、教學視頻，提供常見文件、工具下載、資源共享等平臺，也可以將大量訪問外網的流量引回校園網內，從而緩解校園網出口帶寬的壓力。

目前，教科網為了鼓勵IPv6的應用，對校園網接入CNGI-CERNET2的流量采取免費策略。為了推動IPv6應用，CNGICERNET2本身應加大IPv6應用系統的建設。對于校園網而言，能把流量引到IPv6的出口，對于減輕出口帶寬壓力是很實際的。為了能使校園網的終端使用網外的IPv6應用，校園網必須完成IPv6的升級，支持終端用戶IPv6的接入。同時，為了把校園網外訪問校內資源的流量引到CNGICERNET2上，校園網內的應用也應進行IPv6升級。資源的IPv6升級應該有個過渡期，過渡時期可以將IPv4/v6兩個版本并存，然后通過DNS、鏈接、訪問指向等，實現IPv6優先。在資源建設方面，應逐步向IPv6版傾斜，在保證IPv4版基本應用質量的前提下，提高使用IPv6版的用戶體驗質量，逐步把訪問流量引導到IPv6版。時機成熟時，實現IPv6版為主、IPv4版為輔。這樣，可以把IPv4本身的流量逐步引導到IPv6上。

收費引導

目前，很多學校對使用校園網采取非贏利性收費。在很多時候，經濟杠桿的引導作用是比較有效的。為了達到出口流量的精細化管理，在使用校園網收費方面，應擯棄以前按時或包月收費等粗放型的收費策略，采取面向出口流量管理的收費策略，即根據流量對用戶進行收費。條件允許的情況下，還可以根據時段、區域（辦公區、生活區）、應用類型（教育、文化、娛樂）、預約帶寬等因素采取不同的收費策略。

要實現收費的精細化，需要開發面向流量收費策略的實時流量監測、控制和計量系統，并且保證系統實施不影響網絡性能。同時需要有完善的日志管理系統，能解釋用戶對收費問題的質疑。

技術控制

技術控制是目前出口流量管理問題中討論最多的，大概包括以下幾種方式。

1. 面向應用類型的出口流量精細化管理

眾所周知，目前校園網的流量中，大部分不是面向教學和科研應用的。據某運營商統計，目前校園網出口中， P2P 下載比例最大，達到36.32%；其次是網絡流媒體，為27.16%；網絡游戲排第五，為6.68%。這三個加起來就達到70.16%。可見，校園網寶貴的出口帶寬資源中，真正用于教學、科研的不到30%（這30%含即時通信11.54%，網絡交易4.21%）。

對出口流量的精細化管理，就是在出口帶寬資源緊張的情況下，優先保證重要的應用，如教學、科研、行政等。對非重要資源進行適當的限制。要做到這點，首先要能區分不同應用的流量，其次要確定不同應用的優先權，最后要制定具有不同優先權的應用流量的控制策略。實現的方式可分為網絡層、傳輸層、應用層，即根據這些應用在網絡層、傳輸層和應用層的特征去控制。

常見的網絡層和傳輸層的出口流量控制包括訪問控制、帶寬分配、流量監管、流量整形等。訪問控制的主要依據是被控流量的IP地址、端口號等。帶寬分配指根據不同的區域（按教學大樓、辦公大樓、教工宿舍樓、學生宿舍樓等）的子網分配不同的帶寬，這樣可以避免個別用戶的過量下載導致整個網段出現重大問題。流量監管是監督進入網絡某一流量的規格，把它限制在一個合理的范圍之內，對超出的部分報文做丟棄處理。流量整形則是把流量監管中可以丟棄的報文放入緩沖區緩存，在網絡流量出現寬裕時再進行傳輸。

網絡層和傳輸層的流量管理容易實現，可在現有設備上進行，但效果不夠理想，并且靈活性不強。目前能對出口流量進行有效控制的技術手段都是在應用層實現的。

應用層的出口流量控制一般分為基于DPI（Deep Packet Inspection，深度包檢測）和DFI（Deep/Dynamic Flow Inspection，深度/動態流檢測）兩大技術體系。DFI是一種基于流量行為的應用識別技術，即根據不同的應用類型體現在會話連接或數據流上的特征（會話連接流的包長、連接速率、傳輸字節量、包與包之間的間隔等）識別不同類型的應用流量，如VoIP流量、RTP流、P2P下載應用的流量等。DPI是通過深入讀取IP包載荷的內容對應用層信息進行分析，從而識別不同的應用。采取的方法包括特征字的識別、應用層網關識別、行為模式識別等。DPI需要逐包進行拆包操作，并與后臺數據庫進行匹配對比。因此運算量大，實現和維護成本高，但準確度高。而DFI僅需將流量特征與后臺流量模型比較即可。因此運算量小，實現和維護成本低，但不如DPI準確。目前用的比較多的是基于DPI的流量控制。

一般來說，實現應用層的出口流量控制需要采購專門的流量控制設備。

2. 多出口管理策略

目前校園網一般都至少有運營商和教科網兩個出口，有些學校還有多個運營商出口。多出口管理策略就是根據不同的流量特征在多個出口動態分配流量，從而達到優化總體出口流量的效果。多出口管理需要建立出口流量的動態分配策略模型，通過路由策略、DNS等分配流量。

要對多出口進行精細化管理，同樣要能識別不同的應用類型。這與前面“面向應用類型的出口流量精細化管理”類似。因此也應結合在一起統一考慮。

3. 防止流量型網絡攻擊

流量型網絡攻擊指網絡受到攻擊后，產生大量的異常流量，占用了出口帶寬。這些異常流量通常包括： DoS /DDoS、蠕蟲/病毒、垃圾郵件、非法VoIP 等。

流量型網絡攻擊一般屬于應用層的網絡攻擊，由于代價小、隱蔽性好、防御難度大，已經演變為網絡攻擊的一個主要形式。識別流量型網絡攻擊，也可采用DPI和DFI兩種方法，與識別應用類型的方法類似。控制方法包括控制會話數、源地址端口、目標地址端口、應用協議等。