數字化校園網絡流量分析與控制策略研究

李杰秦 云南工藝美術學校

引言

信息化技術的迅速發展和寬帶的普及影響著人們的工作和學習，特別是是在學校，學校的教師通過網絡實現教學和管理，現在很多學校的入網方式為多入口，這樣的入網方式使用戶的訪問量急劇增加，但是隨著網絡用戶的增加和上網環境的復雜性，應用的網絡寬帶和學校的有限網絡資源的不平衡矛盾問題急劇突出，特別是下載和上傳大量的數據，觀看高清視頻，玩大型的網絡游戲，加之網絡黑客病毒的侵襲，使得正常的教學和科研受到巨大沖擊。因此，對學校的網絡資源合理配置和限流是保障正常工作的必要措施。

1 校園網目前現狀分析

1.1 校園網各種應用流量分析現狀

目前，國內的大多數學校校園網網絡的出口多為教育網、中國電信、中國聯通，覆蓋的信息點較多，為學校的辦公行政樓，教學樓，宿舍區提供較為方便的網絡入口，對學生，老師的生活、學習、工作提供了極大地便利。但隨著用戶對網絡的需求變大和使用人數的增多，學校的網絡資源經常會在高峰時期產生崩潰和堵塞，速度過慢的情況，關鍵的應用得不到保障，學校網絡部門在短時間內通過對學校網絡流量采集、分析和處理，得到下載軟件占寬帶總資源的絕大部分，下載軟件的特點是沒有固定的端口，監測的結果無規律這使得正常的教學科研工作學習受到影響，無上限的擴大學校網絡資源不是解決問題的根本辦法，因此優化網絡資源配置是保障在校師生使用網絡的根本，進而提高校園網的用戶體驗感。

1.2 校園網VLAN 的規劃

目前，大多數的校園網使用單獨的 VLAN 劃分IP 地址，實現單頻道的流量不會轉移到其他虛擬本地網絡，高效地降低校園內網的網絡擁擠，從而更加有效地控制流量，減少設備消耗，簡化網絡管理，從而提高了網絡的安全性，確保了整個網絡的可靠性和穩定性。

表1 .校園網VLAN 的規劃

1.3 病毒感染對校園網流量的影響

此外，由于校內網絡使用者安全意識不強，蠕蟲病毒影響校園流量正常的合理分配，造成校園網網絡的堵塞是重要原因，蠕蟲病毒在正常使用的情況下很難察覺到，它是一個獨立的病毒程序，它會主動掃描和攻擊網絡上存在系統漏洞的節點主機, 通過校園網或者國際互聯網從一個節點傳播到另外一個節點。蠕蟲病毒具有獨立性強，傳播途徑廣泛，危害性大等特點，被病毒感染后的校園網主機會占據大量的寬帶資源，使網絡堵塞，時間延續性增強，占據網絡交換機CPU資源，使校園網不能正常工作。病毒感染后的流量示意圖，藍色折線表示出流量, 綠色陰影表示入流量。如圖1 所示。

圖1 病毒感染后的流量示意圖

2 控制校園流量的方式

第一種是通過控制原地址源端口，改變路由轉發表的方式對源端口進行分析，此種方式僅可以實現寬帶資源的均勻分配，卻不能實現寬帶資源的優化。外一種方式為智能控流，基于統計學和大數據分析，對網絡進行監控，能夠實現時間-用戶-流量行為的智能管理。

3 數字化校園網絡流量控制策略

3.1 基于用戶IP 地址的流量控制策略

根據在校師生的IP 地址，將400M 的校園網出口分配到行政樓、教學樓,另一部分在教樓使用200M 的移動網絡。分別制定兩種帶寬分配策略如表2 所示。

表2 用戶寬帶分配情況

3.2 基于時間段的帶寬限制

根據校園網絡部門的流量時間統計監測，流量使用的高峰期多為周一至周五的早8 點到12 點，下午2 點到5 點，校園網絡部門可以將校內網的寬帶進行限制，寬帶設置分為工作時段，高峰時段，低谷時段，可以應用P2P 應用流量進行時間段控量，在周一至周五的早8點到12 點，下午2 點到5 點，設置P2P 應用所占校園網絡帶寬小于等于總帶寬的40%, 在休息日、凌晨則放開對P2P 應用的限制，是最簡單有效的方法。

3.3 基于使用群體的帶寬限制

一般來說, 校園網的使用群體大多可分為辦公，教學，宿舍區用戶等.依據網絡用戶使用的特點和應用的場合對用戶進行IP 分組, 根據各用戶群不同的功能定位來分配帶寬, 設置不同的帶寬上限.例如，對于最優先考慮的教學區域、行政辦公區域，寬帶上限的等級最高， 其次對學生用戶群和其他用戶群設置較低的帶寬上限.基于使用群體的帶寬限制有助于展開良好的教學辦公環境，防止學生因使用大量的下載軟件而占據網絡資源，在夜晚、周末可以適當提高學生區域和其他區域的寬帶流量上限，使學生在休息時間也可以享受到高質量的網絡服務。對校園網內的流量進行數據流分類、流量監管、流量整形、優先級控制、擁塞避免、擁塞管理等方面進行處理就顯得很有必要。

3.4 流量異常處理

病毒感染計算機后，會在網絡中蔓延，網絡管理員可以通過切斷相應的端口，從而確保網絡正常工作，當知道流量異常源地址，切斷物理連接是處理流量異常最直接有效的辦法。此外還可通過網絡版防病毒軟件，這是一種優化抗病毒防御機制，部署網絡版防病毒軟件, 網絡管理員可以通過控制臺直接從整個學校網絡組織、部署、設置和監控抗病毒策略，而不涉及終端用戶。這種方式可以有效監管整個網絡內終端機器, 并且可以極大地限制和保護錯誤的操作對無意識的用戶和非專業的操作， 因此，它使病毒免受進入內部網絡的威脅。校園網監部門可以建立入侵檢測系統，通過收集和分析網絡行為，檢查網絡或系統是否有安全漏洞和攻擊跡象， 是一種積極主動安全防護技術。