文 陳強

Panabit在校園網(wǎng)絡(luò)中的應(yīng)用

文 陳強

隨著數(shù)字化校園建設(shè)的逐步推進，校園工作的各個方面都與網(wǎng)絡(luò)緊密聯(lián)系起來。網(wǎng)絡(luò)在為校園日常辦公提供便利、為日常教學提供豐富多彩的教學資源和教學形式之外，也出現(xiàn)了P2P大量占用資源、ARP惡意攻擊網(wǎng)關(guān)、病毒入侵、不健康網(wǎng)站彈出、不良信息充斥網(wǎng)絡(luò)等問題。針對上述問題，應(yīng)在網(wǎng)絡(luò)的運行過程中及時建立高效、易操作的網(wǎng)絡(luò)流量監(jiān)控，實時監(jiān)測網(wǎng)絡(luò)運行情況，從而迅速處理網(wǎng)絡(luò)中出現(xiàn)的問題，營造安全、穩(wěn)定的校園網(wǎng)絡(luò)環(huán)境。以下將結(jié)合我校實際情況，介紹筆者對Panabit的策略管理和日志管理系統(tǒng)在校園網(wǎng)絡(luò)流量管控中應(yīng)用的認識。

一、校園網(wǎng)絡(luò)的現(xiàn)狀分析與研究

隨著信息化的發(fā)展，教育教學手段多樣化的需求，學校借著市數(shù)字化校園建設(shè)的東風，對校園網(wǎng)絡(luò)設(shè)備和辦公、教學使用的計算機進行了更新，滿足新形勢下校園日常運行的要求。但也出現(xiàn)了如下兩方面問題。

1.校園網(wǎng)絡(luò)帶寬占用形式嚴

（1）隨著數(shù)字化校園的建設(shè)，教師辦公用計算機數(shù)量激增，教師若要適應(yīng)新形勢下的教育教學工作，必須通過網(wǎng)絡(luò)收集大量的教學資源，當中也包含大量的數(shù)字音視頻材料的下載。此外，教師在課余時間也會通過網(wǎng)絡(luò)訪問一些視頻網(wǎng)站，并對當中的資源進行訪問和下載。上述P2P下載和網(wǎng)絡(luò)電視兩大類別的網(wǎng)絡(luò)行為若不通過相關(guān)技術(shù)進行相應(yīng)限制，將占盡校園網(wǎng)絡(luò)帶寬，網(wǎng)絡(luò)設(shè)備也將不堪重負。

（2）網(wǎng)絡(luò)應(yīng)用已經(jīng)遍及各個行業(yè)，在學校教育教學過程中也不例外，尤其是我校這類職業(yè)學校，大量專業(yè)課的日常教學與網(wǎng)絡(luò)應(yīng)用都緊密聯(lián)系在一起，因此教室、機房中有大量需要進行網(wǎng)絡(luò)訪問的計算機。如果不對這些計算機進行相應(yīng)的流量限制，一旦這些計算機集中進行網(wǎng)絡(luò)資源的訪問與下載，將會對校園網(wǎng)絡(luò)的穩(wěn)定帶來一定的威脅。

（3）本次數(shù)字化校園的建設(shè)也實現(xiàn)了校園WI-FI全覆蓋，無形中增加了大量手機、筆記本等用戶終端，這些設(shè)備的使用過程中所占用的網(wǎng)絡(luò)帶寬也不容小覷。

此外，教師之間、學生之間以及師生之間的資源共享過程中的數(shù)據(jù)互傳也會占用部分網(wǎng)絡(luò)帶寬。

2.惡意攻擊時有發(fā)生

由于校園中的網(wǎng)絡(luò)用戶大部分對網(wǎng)絡(luò)并不是特別了解，電腦使用者缺乏網(wǎng)絡(luò)必要的安全意識以及部分使用者的不良使用習慣造成計算機感染病毒，一旦某臺染毒的電腦對校園網(wǎng)網(wǎng)關(guān)進行ARP攻擊，整個校園網(wǎng)絡(luò)將陷于癱瘓。

二、應(yīng)對措施

鑒于上述現(xiàn)狀，如何對網(wǎng)絡(luò)出現(xiàn)的問題諸如惡意ARP攻擊、網(wǎng)絡(luò)流量過多占用而影響正常的教育教學工作等問題進行實時的監(jiān)控，從而能及時發(fā)現(xiàn)問題、解決問題變得尤為重要。作為網(wǎng)管員，筆者認為應(yīng)該從經(jīng)濟性和實用性兩個方面考慮，Panabit足以解決上述問題。

首先，由于我校網(wǎng)絡(luò)規(guī)模屬于中小型網(wǎng)絡(luò)，免費的Panabit標準版足以滿足校園網(wǎng)絡(luò)流控的要求，同時功能上也毫不比其他收費流控類軟硬件遜色。同時，它對硬件要求不高，1臺普通的臺式機配上3塊網(wǎng)卡（最好是英特爾千兆網(wǎng)卡）支持Panabit運行。

其次，Panabit是派網(wǎng)公司研發(fā)的一款基于FreeBSD系統(tǒng)，在應(yīng)用層進行網(wǎng)絡(luò)流量帶寬管理的專業(yè)級流控設(shè)備。它采用深度數(shù)據(jù)包檢測技術(shù)（DPI）對應(yīng)用層協(xié)議特征進行識別判斷，并采用獨有的“節(jié)點跟蹤技術(shù)+加密協(xié)議深度識別引擎”學習探測P2P拓撲結(jié)構(gòu)、識別P2P節(jié)點。

三、Panabit的策略管理的具體使用

我校校園網(wǎng)絡(luò)是電信百兆帶寬網(wǎng)絡(luò)，在組建過程中，將局域網(wǎng)劃分為多個VLAN，教師辦公用計算機和機房的計算機屬于0段網(wǎng)段、教室用計算機屬于10段網(wǎng)段，所以，在Panabit中，主要對這2個網(wǎng)段進行相應(yīng)的策略管理設(shè)置。

1.策略對象的設(shè)置

在此項設(shè)置中，由于我們主要對0和10網(wǎng)段進行流量管控，我們主要采用了IP群組配置，數(shù)據(jù)通道、自定義協(xié)議組等其他項目未進行配置。而0段和10段IP地址中的前20個地址預留作他用，故在此配置中未將其加入IP群組，具體配置如圖1，圖2所示。

圖1

圖2

為后期策略調(diào)度能成功對以上IP地址對應(yīng)計算機的流量管控，特別將上述2段的IP地址集中在一起建立一個群組——“管控組”（如圖3所示）。

圖3

當然，在具體操作中不一定只將某一段IP添加到IP群組中，同樣可以根據(jù)實際操作需求將單個IP地址添加到某個IP群組中。

2.流量控制配置

此項中主要是“策略組”設(shè)置和“策略調(diào)度”2項，“策略組”主要是針對IP群組進行策略配置，而“策略調(diào)度”就是激活相應(yīng)策略組，使之實現(xiàn)策略配置的目的。

（1）策略組配置

對“管控組”IP群組進行策略組配置，具體配置如圖4所示。

圖4

對“0段IP組”IP群組進行策略組配置，具體配置如圖5所示。

圖5

對“10段IP組”IP群組進行策略組配置，具體配置如圖6所示。

圖6

上述配置僅是針對我校實際情況所做的策略組配置，不同情況和要求可酌情調(diào)整配置。

（2）策略調(diào)度

上述策略設(shè)置結(jié)束，并不是代表都可以正常生效，必須在策略調(diào)度中設(shè)置并激活執(zhí)行。根據(jù)我校的作息時間，教師、學生早晨到校時間為7:50，學生放學正常為15:00，教師下班時間為16:15，住校生的晚自習時間為18:00～20:00，這也就意味著教師辦公用計算機和機房用計算機的流控時間應(yīng)該為7:50～16:15，教室用計算機應(yīng)該為7:50～15:00和18:00～20:00，由于在任意時間，只能有1條策略組生效，因此，我在策略調(diào)度中設(shè)置了3個時段的策略，先后順序為管控策略優(yōu)先執(zhí)行，執(zhí)行時間段為7:50～15:00，依次為0策略及10策略，執(zhí)行時間段分別為15:00～16:15和18:00～20:00，這樣就能保證0段IP和10段IP地址電腦在使用時的網(wǎng)絡(luò)流量管控無盲區(qū)、無死角，讓校園網(wǎng)絡(luò)在日常工作時間段能正常、有序地運行。這也就是為什么在之前將0段IP和10段IP集中在一起設(shè)置一個IP群組的原因，需考慮在后期的策略調(diào)度中只能有1條策略生效的硬性規(guī)則，具體的策略調(diào)度設(shè)置如圖7～圖9所示。

圖7

圖8

圖9

為了讓Panabit的流量管控更具有針對性性，我校還采用了它的一個配套日志管理系統(tǒng)——PanaLog。它實現(xiàn)了Panabit流控系統(tǒng)時間日志和流量日志的存儲、查詢、分析、統(tǒng)計和審計等功能，用更形象、直觀的數(shù)據(jù)為Panabit的管控提供依據(jù)，使得管控更具針對性，同時也能通過后期日志數(shù)據(jù)，直接反映管控效果，為后期Panabit的進一步設(shè)置提供數(shù)據(jù)支持。

［1］智能應(yīng)用網(wǎng)關(guān)產(chǎn)品用戶手冊［Z］.北京派網(wǎng)軟件有限公司，2014.

作者信息

陳強，本科，中學二級教師。南京新港中等專業(yè)學校，210046