摘 要：當(dāng)前高等教育發(fā)展迅速，高校對(duì)于網(wǎng)絡(luò)需求與日俱增。受到建設(shè)成本和技術(shù)發(fā)展等因素的限制，網(wǎng)絡(luò)需求與網(wǎng)絡(luò)帶寬的矛盾日益凸顯。在高校出口實(shí)施網(wǎng)絡(luò)流量分析控制能夠很好的解決這一問(wèn)題。

關(guān)鍵詞：網(wǎng)絡(luò)帶寬 網(wǎng)絡(luò)流量分析及控制 DPI、Panabit

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2013）05（b）-0249-02

隨著高等教育信息化的發(fā)展，高等教育對(duì)于網(wǎng)絡(luò)的依賴日漸增加，同時(shí)高校校園網(wǎng)的出口帶寬要求也越來(lái)越高。但是受到資金、出口建設(shè)成本和網(wǎng)絡(luò)技術(shù)等方面的限制，高校校園網(wǎng)出口帶寬不可能無(wú)限提高，由此導(dǎo)致了高校校內(nèi)用戶日益增長(zhǎng)的網(wǎng)絡(luò)需求與出口帶寬限制網(wǎng)絡(luò)流量之間的矛盾。而通過(guò)對(duì)出口網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行深層次應(yīng)用分析制定相關(guān)策略能夠在一定程度上緩解這一矛盾。

1 網(wǎng)絡(luò)流量分析及控制的關(guān)鍵技術(shù)

網(wǎng)絡(luò)流量分析及控制是指對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)，并通過(guò)制定的策略對(duì)網(wǎng)絡(luò)應(yīng)用實(shí)現(xiàn)放行、限制或阻塞的技術(shù)?，F(xiàn)今P2P類下載應(yīng)用占用了大量的帶寬資源，導(dǎo)致網(wǎng)絡(luò)的擁堵和服務(wù)質(zhì)量的下降。為了保證用戶能夠平等的使用網(wǎng)絡(luò)帶寬，需要采取必要的技術(shù)對(duì)P2P等應(yīng)用進(jìn)行一定程度的檢測(cè)與調(diào)控。目前主要的分析控制技術(shù)如下。

1.1 傳統(tǒng)防火墻對(duì)網(wǎng)絡(luò)流量的分析及控制

傳統(tǒng)防火墻都工作在OSI參考模型的第2、3、4層，通過(guò)對(duì)TCP/UDP端口、數(shù)據(jù)包的源/目的IP地址、MAC地址等進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的監(jiān)視。一般都是對(duì)數(shù)據(jù)包的包頭來(lái)做策略，并不關(guān)心整個(gè)數(shù)據(jù)包的信息。傳統(tǒng)防火墻對(duì)網(wǎng)絡(luò)流量的處理方法一般都是阻塞某種協(xié)議常用端口，或者阻斷客戶端與服務(wù)器的連接等。由于不能有效的分析數(shù)據(jù)包內(nèi)部信息，不能有效的了解用戶應(yīng)用層的信息，也就不能有效的限制用戶的應(yīng)用。采用傳統(tǒng)防火墻阻斷服務(wù)器與客戶端連接的方法也已經(jīng)不能準(zhǔn)確的識(shí)別與控制。

1.2 DPI技術(shù)

深度報(bào)文檢測(cè)技術(shù)DPI（Deep Packet Inspectio）是在分析數(shù)據(jù)包包頭的基礎(chǔ)上，增加了對(duì)OSI參考模型第七層即應(yīng)用層的分析。當(dāng)IP數(shù)據(jù)包、TCP、UDP數(shù)據(jù)流經(jīng)過(guò)基于DPI技術(shù)的流量控制系統(tǒng)時(shí)，通過(guò)深入讀取數(shù)據(jù)包的內(nèi)容來(lái)對(duì)應(yīng)用層信息進(jìn)行重組，從而得到整個(gè)應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行整形操作。DPI技術(shù)可以分為兩大類：（1）使用特征字與掩碼相結(jié)合進(jìn)行協(xié)議識(shí)別的DPI技術(shù)；（2）使用正則表達(dá)式庫(kù)進(jìn)行協(xié)議識(shí)別的DPI技術(shù)。

2 高校校園網(wǎng)絡(luò)的現(xiàn)狀

目前大部分高校都已建成完善的園區(qū)網(wǎng)，普遍采用傳統(tǒng)的三層結(jié)構(gòu)（核心層、匯聚層和接入層），并租用運(yùn)營(yíng)商電路實(shí)現(xiàn)與互聯(lián)網(wǎng)的高速對(duì)接。

校園網(wǎng)的主要特點(diǎn)是學(xué)生是網(wǎng)絡(luò)的主要用戶。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，學(xué)生作為社會(huì)最活躍的團(tuán)體，對(duì)于網(wǎng)絡(luò)新興服務(wù)需求迫切，尤其是視頻服務(wù)。造成的結(jié)果是對(duì)網(wǎng)絡(luò)帶寬的占用比例極高，造成傳統(tǒng)服務(wù)的服務(wù)質(zhì)量下降。

以我院為例，我院校園網(wǎng)絡(luò)始建于2008年，網(wǎng)絡(luò)已覆蓋教學(xué)、辦公、生活等區(qū)域，其中學(xué)生宿舍網(wǎng)絡(luò)出口帶寬所占比例達(dá)到80%以上，其中多以視頻、P2P應(yīng)用為主。

3 采用流量控制技術(shù)調(diào)整出口應(yīng)用

在具體實(shí)現(xiàn)方面，采用了Panabit軟件。Panabit是北京派網(wǎng)軟件公司開(kāi)發(fā)的免費(fèi)的應(yīng)用層流量控制系統(tǒng)，是基于穩(wěn)定性極高的FreeBSD開(kāi)發(fā)的?？稍跒g覽器中對(duì)系統(tǒng)進(jìn)行圖形化管理，界面友好，操作簡(jiǎn)便。

3.1 Panabit流量控制系統(tǒng)的部署

（1）安裝。

Panabit需要獨(dú)立安裝在一臺(tái)計(jì)算機(jī)中，硬件配置要求如表1。

由表1可見(jiàn)，對(duì)于目前PC的硬件水平完全可以滿足安裝需要，只需要在計(jì)算機(jī)中多加裝兩塊網(wǎng)卡即可。

Panabit的硬件部署在網(wǎng)絡(luò)出口上。配置的3塊網(wǎng)卡，1塊用于管理Panabit管理系統(tǒng)，另外2塊分別用于采集上傳和下載流量的數(shù)據(jù)。

（2）Panabit系統(tǒng)的初始化配置。

①首先配置系統(tǒng)的IP地址等基礎(chǔ)信息（在此全部都采用校園網(wǎng)內(nèi)部私有地址），以便遠(yuǎn)程管理（采用HTTPS協(xié)議）。

②選擇網(wǎng)絡(luò)配置下的“數(shù)據(jù)接口”選項(xiàng)，兩塊網(wǎng)卡的“應(yīng)用模式”均選擇為“透明網(wǎng)橋”。

3.2 Panabit系統(tǒng)的流量控制策略的配置

（1）分配帶寬。

Panabit對(duì)帶寬的分配有三種模式：即帶寬限制，帶寬保證，帶寬預(yù)留。根據(jù)我院對(duì)網(wǎng)絡(luò)需求的實(shí)際情況，采用了帶寬保證模式。下面對(duì)帶寬保證模式進(jìn)行詳細(xì)的說(shuō)明：首先，帶寬保證模式也具有帶寬預(yù)留模式的功能，即對(duì)特定IP組、特定協(xié)議預(yù)留出足夠的帶寬。例如教學(xué)、辦公I(xiàn)P組，教務(wù)系統(tǒng)的ITSP協(xié)議等。在此基礎(chǔ)上，帶寬保證在其預(yù)留的帶寬不能滿足應(yīng)用要求的時(shí)候，會(huì)從剩余的總帶寬里借用所需帶寬。例如每學(xué)期開(kāi)學(xué)和學(xué)期末，學(xué)生大量選課，可以對(duì)選課系統(tǒng)的SSL等協(xié)議進(jìn)行帶寬保證設(shè)置。

（2）建立策略組。

可以根據(jù)數(shù)據(jù)包的源地址、目的地址、應(yīng)用協(xié)議等建立策略組。

3.3 系統(tǒng)測(cè)試與分析

4 結(jié)語(yǔ)

為了提高網(wǎng)絡(luò)帶寬的利用率，使高校校園網(wǎng)絡(luò)的使用更趨合理，網(wǎng)絡(luò)流量分析及控制勢(shì)在必行，同時(shí)也是非常有效的手段?；ヂ?lián)網(wǎng)飛速發(fā)展，網(wǎng)絡(luò)流量分析及控制也隨之快速發(fā)展，為高校的教學(xué)等工作提供了穩(wěn)定的網(wǎng)絡(luò)基礎(chǔ)，使教學(xué)信息管理系統(tǒng)和教學(xué)資源共享平臺(tái)的搭建更為安全、高效。為高校的信息化教學(xué)做出了貢獻(xiàn)。

參考文獻(xiàn)

[1]劉劍鋒.部署運(yùn)維管理平臺(tái)提高校園網(wǎng)運(yùn)維水平[J].中國(guó)教育技術(shù)裝備，2011（10）.

[2]韓寧.淺議高校校園網(wǎng)建設(shè)與管理[J].科技創(chuàng)業(yè)月刊，2011（8）.

[3]周向軍.校園網(wǎng)流量識(shí)別與控制系統(tǒng)的建設(shè)[J].電腦知識(shí)與技術(shù)，2009（5）.

[4]牛軍，余萍萍，李思恩.校園網(wǎng)流量控制初探[J].中國(guó)教育信息化，2009（2）.