摘 要:當前高等教育發展迅速,高校對于網絡需求與日俱增。受到建設成本和技術發展等因素的限制,網絡需求與網絡帶寬的矛盾日益凸顯。在高校出口實施網絡流量分析控制能夠很好的解決這一問題。
關鍵詞:網絡帶寬 網絡流量分析及控制 DPI、Panabit
中圖分類號:TP393.1 文獻標識碼:A 文章編號:1672-3791(2013)05(b)-0249-02
隨著高等教育信息化的發展,高等教育對于網絡的依賴日漸增加,同時高校校園網的出口帶寬要求也越來越高。但是受到資金、出口建設成本和網絡技術等方面的限制,高校校園網出口帶寬不可能無限提高,由此導致了高校校內用戶日益增長的網絡需求與出口帶寬限制網絡流量之間的矛盾。而通過對出口網絡數據進行深層次應用分析制定相關策略能夠在一定程度上緩解這一矛盾。
1 網絡流量分析及控制的關鍵技術
網絡流量分析及控制是指對數據包進行檢測,并通過制定的策略對網絡應用實現放行、限制或阻塞的技術。現今P2P類下載應用占用了大量的帶寬資源,導致網絡的擁堵和服務質量的下降。為了保證用戶能夠平等的使用網絡帶寬,需要采取必要的技術對P2P等應用進行一定程度的檢測與調控。目前主要的分析控制技術如下。
1.1 傳統防火墻對網絡流量的分析及控制
傳統防火墻都工作在OSI參考模型的第2、3、4層,通過對TCP/UDP端口、數據包的源/目的IP地址、MAC地址等進行過濾,實現對網絡流量的監視。一般都是對數據包的包頭來做策略,并不關心整個數據包的信息。傳統防火墻對網絡流量的處理方法一般都是阻塞某種協議常用端口,或者阻斷客戶端與服務器的連接等。由于不能有效的分析數據包內部信息,不能有效的了解用戶應用層的信息,也就不能有效的限制用戶的應用。采用傳統防火墻阻斷服務器與客戶端連接的方法也已經不能準確的識別與控制。
1.2 DPI技術
深度報文檢測技術DPI(Deep Packet Inspectio)是在分析數據包包頭的基礎上,增加了對OSI參考模型第七層即應用層的分析。當IP數據包、TCP、UDP數據流經過基于DPI技術的流量控制系統時,通過深入讀取數據包的內容來對應用層信息進行重組,從而得到整個應用程序的內容,然后按照系統定義的管理策略對流量進行整形操作。DPI技術可以分為兩大類:(1)使用特征字與掩碼相結合進行協議識別的DPI技術;(2)使用正則表達式庫進行協議識別的DPI技術。
2 高校校園網絡的現狀
目前大部分高校都已建成完善的園區網,普遍采用傳統的三層結構(核心層、匯聚層和接入層),并租用運營商電路實現與互聯網的高速對接。
校園網的主要特點是學生是網絡的主要用戶。隨著網絡技術的發展,學生作為社會最活躍的團體,對于網絡新興服務需求迫切,尤其是視頻服務。造成的結果是對網絡帶寬的占用比例極高,造成傳統服務的服務質量下降。
以我院為例,我院校園網絡始建于2008年,網絡已覆蓋教學、辦公、生活等區域,其中學生宿舍網絡出口帶寬所占比例達到80%以上,其中多以視頻、P2P應用為主。
3 采用流量控制技術調整出口應用
在具體實現方面,采用了Panabit軟件。Panabit是北京派網軟件公司開發的免費的應用層流量控制系統,是基于穩定性極高的FreeBSD開發的。可在瀏覽器中對系統進行圖形化管理,界面友好,操作簡便。
3.1 Panabit流量控制系統的部署
(1)安裝。
Panabit需要獨立安裝在一臺計算機中,硬件配置要求如表1。
由表1可見,對于目前PC的硬件水平完全可以滿足安裝需要,只需要在計算機中多加裝兩塊網卡即可。
Panabit的硬件部署在網絡出口上。配置的3塊網卡,1塊用于管理Panabit管理系統,另外2塊分別用于采集上傳和下載流量的數據。
(2)Panabit系統的初始化配置。
①首先配置系統的IP地址等基礎信息(在此全部都采用校園網內部私有地址),以便遠程管理(采用HTTPS協議)。
②選擇網絡配置下的“數據接口”選項,兩塊網卡的“應用模式”均選擇為“透明網橋”。
3.2 Panabit系統的流量控制策略的配置
(1)分配帶寬。
Panabit對帶寬的分配有三種模式:即帶寬限制,帶寬保證,帶寬預留。根據我院對網絡需求的實際情況,采用了帶寬保證模式。下面對帶寬保證模式進行詳細的說明:首先,帶寬保證模式也具有帶寬預留模式的功能,即對特定IP組、特定協議預留出足夠的帶寬。例如教學、辦公IP組,教務系統的ITSP協議等。在此基礎上,帶寬保證在其預留的帶寬不能滿足應用要求的時候,會從剩余的總帶寬里借用所需帶寬。例如每學期開學和學期末,學生大量選課,可以對選課系統的SSL等協議進行帶寬保證設置。
(2)建立策略組。
可以根據數據包的源地址、目的地址、應用協議等建立策略組。
3.3 系統測試與分析
4 結語
為了提高網絡帶寬的利用率,使高校校園網絡的使用更趨合理,網絡流量分析及控制勢在必行,同時也是非常有效的手段。互聯網飛速發展,網絡流量分析及控制也隨之快速發展,為高校的教學等工作提供了穩定的網絡基礎,使教學信息管理系統和教學資源共享平臺的搭建更為安全、高效。為高校的信息化教學做出了貢獻。
參考文獻
[1]劉劍鋒.部署運維管理平臺提高校園網運維水平[J].中國教育技術裝備,2011(10).
[2]韓寧.淺議高校校園網建設與管理[J].科技創業月刊,2011(8).
[3]周向軍.校園網流量識別與控制系統的建設[J].電腦知識與技術,2009(5).
[4]牛軍,余萍萍,李思恩.校園網流量控制初探[J].中國教育信息化,2009(2).