崔曉軍

摘 要：針對校園網(wǎng)絡(luò)出口流量帶寬擁塞現(xiàn)象，筆者進(jìn)行原因分析，結(jié)合網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)流量和消費群體梳理歸類，按照“疏堵”結(jié)合的理念，通過認(rèn)證流量計費系統(tǒng)、內(nèi)容加速系統(tǒng)、流控設(shè)備等相關(guān)設(shè)備，對可視化出口帶寬流量進(jìn)行優(yōu)化管理控制，確保關(guān)鍵性網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)順暢，提高整體網(wǎng)絡(luò)運行質(zhì)量效果。

關(guān)鍵詞：校園網(wǎng)絡(luò)；應(yīng)用流量；內(nèi)容加速系統(tǒng)；流控設(shè)備

中圖分類號：G250.73 文獻(xiàn)標(biāo)志碼：B 文章編號：1673-8454（2014）19-0065-03

引言

隨著信息化校園網(wǎng)絡(luò)的建設(shè)與發(fā)展，目前大部分大中院校專線接入CERNET和INTERNET，校園網(wǎng)絡(luò)覆蓋教學(xué)、科研、辦公及學(xué)生公寓和家屬區(qū)，校園區(qū)域光纖互聯(lián)，網(wǎng)絡(luò)主干速率達(dá)到千兆以上，樓宇間匯聚，百兆、千兆交換到桌面，信息點不斷迅速增長。提供WWW、Email、FTP、VOD、BBS等多種網(wǎng)絡(luò)應(yīng)用服務(wù)，為學(xué)校的教學(xué)創(chuàng)新、資源共享、信息化管理提供了一個良好的網(wǎng)絡(luò)基礎(chǔ)平臺，有效提高了學(xué)校的教學(xué)服務(wù)保障水平。

一、校園網(wǎng)絡(luò)出口帶寬流量存在瓶頸問題

由于網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用日益多樣化、復(fù)雜化，互聯(lián)網(wǎng)作為最大的資源寶庫，與人們的工作生活緊密聯(lián)系在一起。校園網(wǎng)絡(luò)應(yīng)用更是集工作、學(xué)習(xí)、娛樂于一體，終端用戶對學(xué)校有限的帶寬資源進(jìn)行無節(jié)制的搶占，整個網(wǎng)絡(luò)流量充斥大量P2P下載及視頻流媒體應(yīng)用，導(dǎo)致校園網(wǎng)絡(luò)出口鏈路擁塞，甚至癱瘓，用戶端網(wǎng)速越來越慢，學(xué)校關(guān)鍵網(wǎng)絡(luò)應(yīng)用門戶Web站點、OA、Email等基本服務(wù)受到嚴(yán)重影響，不能正常訪問。

二、原因分析

1.帶寬趕不上數(shù)字化建設(shè)的速度

最近幾年學(xué)校數(shù)字化建設(shè)規(guī)模不斷地擴(kuò)展，從最初的有線網(wǎng)絡(luò)到桌面，到現(xiàn)在的無線網(wǎng)絡(luò)覆蓋整個校園，網(wǎng)絡(luò)終端接入更加方便快捷，信息點數(shù)量成幾何數(shù)增長，并發(fā)數(shù)一般都保持在成千上萬IP同時在線，而相對增長緩慢的校園出口帶寬來說，平分下來的流量帶寬在減少，導(dǎo)致?lián)寧挰F(xiàn)象愈演愈烈，嚴(yán)重威脅基本網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。學(xué)校的網(wǎng)絡(luò)運行經(jīng)費畢竟有限，依靠不斷地擴(kuò)容網(wǎng)絡(luò)出口帶寬來滿足用戶端的需求變得不太可能。

2.P2P網(wǎng)絡(luò)應(yīng)用占據(jù)校園網(wǎng)絡(luò)大部分出口流量帶寬

伴隨P2P技術(shù)及應(yīng)用的迅猛發(fā)展，徹底顛覆了傳統(tǒng)的網(wǎng)絡(luò)傳輸訪問的C/S模式，用戶端應(yīng)用流量從原來樹狀的層次化結(jié)構(gòu)向扁平的網(wǎng)狀結(jié)構(gòu)轉(zhuǎn)變，在這種轉(zhuǎn)變下，每臺接入網(wǎng)絡(luò)的計算機(jī)既是客戶端也是服務(wù)端。對用戶來說，通過大量的點對點的直接連接，實現(xiàn)了資源的充分共享，數(shù)據(jù)的高速傳遞，P2P網(wǎng)絡(luò)應(yīng)用充斥整個網(wǎng)絡(luò)，吞噬掉了大部分帶寬資源。加之當(dāng)前網(wǎng)絡(luò)視頻流媒體的盛行，數(shù)字化高清視頻對網(wǎng)絡(luò)用戶帶寬提出了更高的要求，網(wǎng)絡(luò)在線視頻消耗的帶寬資源已占據(jù)所有網(wǎng)絡(luò)應(yīng)用流量相當(dāng)大的比例。P2P應(yīng)用以下載類軟件迅雷、bit、電驢和視頻播放軟件PPSTREAM、PPLIVE等最為突出，如圖所示是通過流控設(shè)備對本校網(wǎng)絡(luò)日應(yīng)用流量分析報表，我們可窺之一斑。

從上圖總帶寬流量我們可以看出迅雷、BIT下載和PPSTREAM流媒體占據(jù)了帶寬流量百分之八十左右，而正常HTTP應(yīng)用只有百分之十左右。

3.傳統(tǒng)對帶寬的有效管理和控制已經(jīng)逐漸失去效果

傳統(tǒng)的網(wǎng)絡(luò)設(shè)備不能在應(yīng)用層分析數(shù)據(jù)，也就不能有效地識別出大量的處在應(yīng)用層的P2P應(yīng)用，理不清哪些是關(guān)鍵業(yè)務(wù)應(yīng)用流量，哪些是非關(guān)鍵，不能做到有的放矢，無法對數(shù)據(jù)流量做到有效控制。伴隨著學(xué)校網(wǎng)絡(luò)規(guī)模不斷地擴(kuò)展，網(wǎng)絡(luò)信息化應(yīng)用不斷深入和普及，接入交換機(jī)設(shè)備成百上千，通過二層、三層網(wǎng)絡(luò)設(shè)備對終端IP進(jìn)行QoS限制，已經(jīng)變得不太可能，且P2P應(yīng)用與傳統(tǒng)的應(yīng)用有了很大不同，大都采用動態(tài)的端口號，甚至偽裝成Web 80端口進(jìn)行傳輸，已經(jīng)不能靠簡單的四層端口來識別，通過防火墻對流量的限制，無法實現(xiàn)有效地的、靈活的服務(wù)質(zhì)量管理，尤其是對基于UDP應(yīng)用的控制，像P2P、流媒體等應(yīng)用，顯得無能為力。

三、采取“疏堵”結(jié)合策略對校園網(wǎng)出口帶寬進(jìn)行優(yōu)化管理和技術(shù)性預(yù)防，提高網(wǎng)絡(luò)運行質(zhì)量效果。

1.對校園出口帶寬流量應(yīng)用和消費群體進(jìn)行分析歸類梳理，確保哪些流量應(yīng)用該“疏”，哪些該“堵”。

在學(xué)校出口帶寬一定的情況下，該如何利用有限帶寬資源發(fā)揮出最佳網(wǎng)絡(luò)運行質(zhì)量效果，帶寬對各個網(wǎng)絡(luò)消費群體如何合理分配？是首先應(yīng)該考慮的問題。要明確哪些網(wǎng)絡(luò)應(yīng)用最重要，哪些次要，對重要的要列為最高優(yōu)先級，像各學(xué)校的Web信息查閱、BBS、辦公系統(tǒng)、Email郵件服務(wù)、視頻會議等基本功能要保證應(yīng)用的順暢，而對那些次要的非關(guān)鍵性應(yīng)用，如果影響到學(xué)校正常網(wǎng)絡(luò)業(yè)務(wù)的開展，就要適當(dāng)限制，像那些P2P類的大文件下載、流媒體的網(wǎng)上播放、網(wǎng)游等。其次對網(wǎng)絡(luò)的消費群體也要有區(qū)分，所有院校中對網(wǎng)絡(luò)資源消費最大的當(dāng)屬學(xué)生這個群體，對學(xué)生如何正確合理使用網(wǎng)絡(luò)的管理，對整個網(wǎng)絡(luò)的有效運行起著一個關(guān)鍵性作用，教學(xué)、科研、辦公業(yè)務(wù)用網(wǎng)必不可少，就要保證足夠的帶寬，確保運行暢通，部分用戶過度網(wǎng)絡(luò)娛樂化，長時間下載，進(jìn)而影響到整個校園網(wǎng)絡(luò)運行質(zhì)量，就要適當(dāng)做出封堵限制。

2.通過認(rèn)證流量計費系統(tǒng)對網(wǎng)絡(luò)出口流量進(jìn)行有效控制

針對學(xué)生這個網(wǎng)絡(luò)消費主力，部分學(xué)校利用多出口將教學(xué)辦公區(qū)和學(xué)生區(qū)用網(wǎng)的物理隔離，互不影響，取得了一定的效果，起碼對教學(xué)科研辦公用網(wǎng)有了保障。目前大部分的學(xué)校都有網(wǎng)絡(luò)接入認(rèn)證流量計費系統(tǒng)，認(rèn)證系統(tǒng)大都具有三層IP流量控制功能，不妨通過認(rèn)證流量管理功能給每個入網(wǎng)學(xué)生一定的學(xué)習(xí)應(yīng)用流量，而超過這個流量，就按超額流量進(jìn)行收費使用，這樣一方面可以限制個別用戶對網(wǎng)絡(luò)流量的無限度消費，另一方面也體現(xiàn)出用戶個體網(wǎng)絡(luò)消費更加公平，通過超量收費的“懲罰”，對那些濫用帶寬資源的部分用戶也起到了一個“警示”作用，相對能減少對帶寬資源的濫用，同時也起到了緩解出口鏈路數(shù)據(jù)擁塞的問題。endprint

3.通過大力提升校園內(nèi)網(wǎng)資源服務(wù)器共享平臺的有效利用率，相對減少對外網(wǎng)出口資源的依賴，緩解出口帶寬的壓力

學(xué)校信息化網(wǎng)絡(luò)平臺經(jīng)過多年的發(fā)展壯大，硬件設(shè)備的升級換代，存儲容量的增大，內(nèi)網(wǎng)傳輸速率基本達(dá)到了百兆、千兆到桌面，信息資源的不斷積累，網(wǎng)上輔助教學(xué)、數(shù)字圖書館、VOD、數(shù)據(jù)中心等網(wǎng)絡(luò)服務(wù)平臺的建立，為內(nèi)網(wǎng)資源共享及高速傳輸打下了基礎(chǔ)。目前，銳捷網(wǎng)絡(luò)出產(chǎn)的一款RG-PowerCache內(nèi)容加速設(shè)備，就是基于這一原理，體現(xiàn)對出口帶寬進(jìn)行“疏”的理念，自身配置大容量高速存取存儲硬盤，該系統(tǒng)能夠?qū)⑼饩W(wǎng)熱點資源自動緩存在本地，通過地址重定向供用戶直接從內(nèi)網(wǎng)下載，內(nèi)網(wǎng)用戶訪問已緩存資源，速度可以高達(dá)100Mbps，讓用戶體驗到網(wǎng)速的飛躍。該設(shè)備旁路于核心交換機(jī)，通過端口鏡像，內(nèi)網(wǎng)用戶IP訪問設(shè)定次數(shù)觸發(fā)，或者管理員手動備份下載，對外網(wǎng)HTTP下載、音視頻流媒體、P2P資源、手機(jī)移動文件等外網(wǎng)熱點資源下載存儲備份，后面用戶再訪問就可以直接從該設(shè)備存儲直接下載，大大提升了網(wǎng)絡(luò)運行效率，減少了對外網(wǎng)同質(zhì)資源的反復(fù)連接。通過本校500Mbps出口帶寬測試應(yīng)用，每天大約能提供800G左右流量服務(wù)，對終端用戶來說，網(wǎng)速得到了很大的提高，同時節(jié)約了出口帶寬資源。當(dāng)然該設(shè)備下載也會占用一定的帶寬資源，管理員可設(shè)定在相對網(wǎng)絡(luò)空閑期下載，給與一定的帶寬限速，觸發(fā)資源通過堆棧排隊下載，并通過流量定期回源，保證存儲資源的不斷更新。

4.通過流控設(shè)備對網(wǎng)絡(luò)應(yīng)用流量出口帶寬進(jìn)行整形管理控制

針對學(xué)校及企業(yè)級的網(wǎng)絡(luò)應(yīng)用，目前市場已出現(xiàn)好幾種流控設(shè)備品牌，流控設(shè)備主要針對出口帶寬不夠用，可視化整體網(wǎng)絡(luò)應(yīng)用流量，對網(wǎng)絡(luò)應(yīng)用層流量數(shù)據(jù)及網(wǎng)絡(luò)層IP進(jìn)行流量帶寬限速，確保出口正常網(wǎng)絡(luò)訪問的順暢。流控設(shè)備一般部署在網(wǎng)絡(luò)出口、防火墻內(nèi)，它以橋接模式串接到網(wǎng)絡(luò)鏈路中，不需要改變用戶現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和拓?fù)?，一般都配有軟硬件的Bypass旁路裝置，保證了在設(shè)備出現(xiàn)故障時不影響整個網(wǎng)絡(luò)的正常運行。其工作原理大都是基于DPI（深度包檢測）和DFI（深度流行為檢測）技術(shù)為核心，配備網(wǎng)絡(luò)流量分析管理系統(tǒng)，對TCP/IP網(wǎng)絡(luò)數(shù)據(jù)鏈路層到應(yīng)用層的各種協(xié)議和應(yīng)用進(jìn)行深入分析檢測。DPI技術(shù)是通過IP包來檢測、識別和判斷各種協(xié)議及應(yīng)用，它通過源IP地址、目標(biāo)IP地址、源端口、目的端口、會話信息以及對IP包中的Payload應(yīng)用層數(shù)據(jù)深入分析，匹配應(yīng)用協(xié)議的特征庫，可以探測和跟蹤動態(tài)端口分配的應(yīng)用，能夠識別變動端口的會話流，并能夠?qū)κ褂猛欢丝诘牟煌瑓f(xié)議進(jìn)行自動識別，從而做到對7層的協(xié)議和應(yīng)用實現(xiàn)流量整形和帶寬控制，而DFI技術(shù)基于流量行為的應(yīng)用識別技術(shù)，即不同的應(yīng)用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)各有不同。DFI技術(shù)基于一系列流量的行為特征，建立流量特征模型，通過分析會話連接流的包長、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來與流量模型對比來實現(xiàn)鑒別應(yīng)用類型的目的。DPI技術(shù)和DFI技術(shù)相輔相成，能夠識別大部分網(wǎng)絡(luò)協(xié)議和應(yīng)用軟件，基本實現(xiàn)了網(wǎng)絡(luò)傳輸?shù)娜婵梢暬?/p>

通過流控設(shè)備管理界面，管理員可以實時觀察網(wǎng)絡(luò)應(yīng)用流量數(shù)據(jù)，根據(jù)周期性網(wǎng)絡(luò)各類應(yīng)用統(tǒng)計報表，做出相應(yīng)的控制策略。流控設(shè)備能夠識別大部分的主流網(wǎng)絡(luò)應(yīng)用協(xié)議，可基于各類應(yīng)用組及單個應(yīng)用協(xié)議進(jìn)行應(yīng)用流量帶寬限制，同時根據(jù)網(wǎng)絡(luò)消費群體的不同對IP子網(wǎng)、網(wǎng)段進(jìn)行上下行帶寬限制，結(jié)合網(wǎng)絡(luò)運行時間周期，管理員可以靈活地設(shè)定流量控制策略。對服務(wù)器區(qū)要給與一定的帶寬保障，確保工作時間段保障關(guān)鍵業(yè)務(wù)應(yīng)用流量，像Web瀏覽、Email、DNS等常用業(yè)務(wù)，同時限制非關(guān)鍵性的像P2P網(wǎng)絡(luò)應(yīng)用的流量，非工作時間，適度放開P2P娛樂化應(yīng)用流量，滿足各類用戶的流量需求，有效地提高網(wǎng)絡(luò)出口帶寬利用率。

從本校測試應(yīng)用來看，經(jīng)過流控設(shè)備對網(wǎng)絡(luò)流量的透明整形管理，網(wǎng)絡(luò)數(shù)據(jù)流量大幅下降，基本解決了出口帶寬的擁塞情況，保障了網(wǎng)絡(luò)基本應(yīng)用，達(dá)到了預(yù)期的效果。但是要看到，隨著網(wǎng)絡(luò)應(yīng)用的日新月異，各類新的網(wǎng)絡(luò)應(yīng)用層出不群，流控設(shè)備自身協(xié)議特征庫需要及時更新。這也要求我們網(wǎng)絡(luò)管理員時時關(guān)注網(wǎng)絡(luò)流量情況，了解網(wǎng)絡(luò)最新應(yīng)用情況，時刻不得懈怠。

四、結(jié)束語

每個學(xué)校網(wǎng)絡(luò)建設(shè)基礎(chǔ)的不同，在相應(yīng)的流量管理側(cè)重點上也就有所不同。另外網(wǎng)絡(luò)病毒攻擊對流量帶寬的沖擊作用也不容忽視，在應(yīng)對網(wǎng)絡(luò)流量的問題上，要結(jié)合自身網(wǎng)絡(luò)建設(shè)規(guī)劃，實際網(wǎng)絡(luò)應(yīng)用及設(shè)備情況，因地制宜，制定出科學(xué)、合理的網(wǎng)絡(luò)流量應(yīng)用管理方式，確保網(wǎng)絡(luò)運行質(zhì)量效果。

參考文獻(xiàn)：

[1]胡俊，陳瑾.網(wǎng)絡(luò)流量管理控制技術(shù)在校園網(wǎng)的應(yīng)用研究[J].中國教育信息化，2009.

[2]羅軍.淺談網(wǎng)絡(luò)流量控制在校園網(wǎng)中的作用[J].湖北廣播電視大學(xué)學(xué)報，2009.

（編輯：楊馥紅）endprint