浅谈校园网络应用流量的优化管理与控制
崔晓军
摘 要:针对校园网络出口流量带宽拥塞现象,笔者进行原因分析,结合网络应用数据流量和消费群体梳理归类,按照“疏堵”结合的理念,通过认证流量计费系统、内容加速系统、流控设备等相关设备,对可视化出口带宽流量进行优化管理控制,确保关键性网络应用业务顺畅,提高整体网络运行质量效果。
关键词:校园网络;应用流量;内容加速系统;流控设备
中图分类号:G250.73 文献标志码:B 文章编号:1673-8454(2014)19-0065-03
引言
随着信息化校园网络的建设与发展,目前大部分大中院校专线接入CERNET和INTERNET,校园网络覆盖教学、科研、办公及学生公寓和家属区,校园区域光纤互联,网络主干速率达到千兆以上,楼宇间汇聚,百兆、千兆交换到桌面,信息点不断迅速增长。提供WWW、Email、FTP、VOD、BBS等多种网络应用服务,为学校的教学创新、资源共享、信息化管理提供了一个良好的网络基础平台,有效提高了学校的教学服务保障水平。
一、校园网络出口带宽流量存在瓶颈问题
由于网络技术的不断发展,网络应用日益多样化、复杂化,互联网作为最大的资源宝库,与人们的工作生活紧密联系在一起。校园网络应用更是集工作、学习、娱乐于一体,终端用户对学校有限的带宽资源进行无节制的抢占,整个网络流量充斥大量p2p下载及视频流媒体应用,导致校园网络出口链路拥塞,甚至瘫痪,用户端网速越来越慢,学校关键网络应用门户Web站点、OA、Email等基本服务受到严重影响,不能正常访问。
二、原因分析
1.带宽赶不上数字化建设的速度
最近几年学校数字化建设规模不断地扩展,从最初的有线网络到桌面,到现在的无线网络覆盖整个校园,网络终端接入更加方便快捷,信息点数量成几何数增长,并发数一般都保持在成千上万IP同时在线,而相对增长缓慢的校园出口带宽来说,平分下来的流量带宽在减少,导致抢带宽现象愈演愈烈,严重威胁基本网络业务应用。学校的网络运行经费毕竟有限,依靠不断地扩容网络出口带宽来满足用户端的需求变得不太可能。
2.P2P网络应用占据校园网络大部分出口流量带宽
伴随P2P技术及应用的迅猛发展,彻底颠覆了传统的网络传输访问的C/S模式,用户端应用流量从原来树状的层次化结构向扁平的网状结构转变,在这种转变下,每台接入网络的计算机既是客户端也是服务端。对用户来说,通过大量的点对点的直接连接,实现了资源的充分共享,数据的高速传递,P2P网络应用充斥整个网络,吞噬掉了大部分带宽资源。加之当前网络视频流媒体的盛行,数字化高清视频对网络用户带宽提出了更高的要求,网络在线视频消耗的带宽资源已占据所有网络应用流量相当大的比例。P2P应用以下载类软件迅雷、bit、电驴和视频播放软件PPSTREAM、PPLIVE等最为突出,如图所示是通过流控设备对本校网络日应用流量分析报表,我们可窥之一斑。
从上图总带宽流量我们可以看出迅雷、BIT下载和PPSTREAM流媒体占据了带宽流量百分之八十左右,而正常HTTP应用只有百分之十左右。
3.传统对带宽的有效管理和控制已经逐渐失去效果
传统的网络设备不能在应用层分析数据,也就不能有效地识别出大量的处在应用层的P2P应用,理不清哪些是关键业务应用流量,哪些是非关键,不能做到有的放矢,无法对数据流量做到有效控制。伴随着学校网络规模不断地扩展,网络信息化应用不断深入和普及,接入交换机设备成百上千,通过二层、三层网络设备对终端IP进行QoS限制,已经变得不太可能,且P2P应用与传统的应用有了很大不同,大都采用动态的端口号,甚至伪装成Web 80端口进行传输,已经不能靠简单的四层端口来识别,通过防火墙对流量的限制,无法实现有效地的、灵活的服务质量管理,尤其是对基于UDP应用的控制,像P2P、流媒体等应用,显得无能为力。
三、采取“疏堵”结合策略对校园网出口带宽进行优化管理和技术性预防,提高网络运行质量效果。
1.对校园出口带宽流量应用和消费群体进行分析归类梳理,确保哪些流量应用该“疏”,哪些该“堵”。
在学校出口带宽一定的情况下,该如何利用有限带宽资源发挥出最佳网络运行质量效果,带宽对各个网络消费群体如何合理分配?是首先应该考虑的问题。要明确哪些网络应用最重要,哪些次要,对重要的要列为最高优先级,像各学校的Web信息查阅、BBS、办公系统、Email邮件服务、视频会议等基本功能要保证应用的顺畅,而对那些次要的非关键性应用,如果影响到学校正常网络业务的开展,就要适当限制,像那些P2P类的大文件下载、流媒体的网上播放、网游等。其次对网络的消费群体也要有区分,所有院校中对网络资源消费最大的当属学生这个群体,对学生如何正确合理使用网络的管理,对整个网络的有效运行起着一个关键性作用,教学、科研、办公业务用网必不可少,就要保证足够的带宽,确保运行畅通,部分用户过度网络娱乐化,长时间下载,进而影响到整个校园网络运行质量,就要适当做出封堵限制。
2.通过认证流量计费系统对网络出口流量进行有效控制
针对学生这个网络消费主力,部分学校利用多出口将教学办公区和学生区用网的物理隔离,互不影响,取得了一定的效果,起码对教学科研办公用网有了保障。目前大部分的学校都有网络接入认证流量计费系统,认证系统大都具有三层IP流量控制功能,不妨通过认证流量管理功能给每个入网学生一定的学习应用流量,而超过这个流量,就按超额流量进行收费使用,这样一方面可以限制个别用户对网络流量的无限度消费,另一方面也体现出用户个体网络消费更加公平,通过超量收费的“惩罚”,对那些滥用带宽资源的部分用户也起到了一个“警示”作用,相对能减少对带宽资源的滥用,同时也起到了缓解出口链路数据拥塞的问题。
3.通过大力提升校园内网资源服务器共享平台的有效利用率,相对减少对外网出口资源的依赖,缓解出口带宽的压力
学校信息化网络平台经过多年的发展壮大,硬件设备的升级换代,存储容量的增大,内网传输速率基本达到了百兆、千兆到桌面,信息资源的不断积累,网上辅助教学、数字图书馆、VOD、数据中心等网络服务平台的建立,为内网资源共享及高速传输打下了基础。目前,锐捷网络出产的一款RG-PowerCache内容加速设备,就是基于这一原理,体现对出口带宽进行“疏”的理念,自身配置大容量高速存取存储硬盘,该系统能够将外网热点资源自动缓存在本地,通过地址重定向供用户直接从内网下载,内网用户访问已缓存资源,速度可以高达100Mbps,让用户体验到网速的飞跃。该设备旁路于核心交换机,通过端口镜像,内网用户IP访问设定次数触发,或者管理员手动备份下载,对外网HTTP下载、音视频流媒体、P2P资源、手机移动文件等外网热点资源下载存储备份,后面用户再访问就可以直接从该设备存储直接下载,大大提升了网络运行效率,减少了对外网同质资源的反复连接。通过本校500Mbps出口带宽测试应用,每天大约能提供800G左右流量服务,对终端用户来说,网速得到了很大的提高,同时节约了出口带宽资源。当然该设备下载也会占用一定的带宽资源,管理员可设定在相对网络空闲期下载,给与一定的带宽限速,触发资源通过堆栈排队下载,并通过流量定期回源,保证存储资源的不断更新。
4.通过流控设备对网络应用流量出口带宽进行整形管理控制
针对学校及企业级的网络应用,目前市场已出现好几种流控设备品牌,流控设备主要针对出口带宽不够用,可视化整体网络应用流量,对网络应用层流量数据及网络层IP进行流量带宽限速,确保出口正常网络访问的顺畅。流控设备一般部署在网络出口、防火墙内,它以桥接模式串接到网络链路中,不需要改变用户现有网络结构和拓扑,一般都配有软硬件的Bypass旁路装置,保证了在设备出现故障时不影响整个网络的正常运行。其工作原理大都是基于DPI(深度包检测)和DFI(深度流行为检测)技术为核心,配备网络流量分析管理系统,对TCP/IP网络数据链路层到应用层的各种协议和应用进行深入分析检测。DPI技术是通过IP包来检测、识别和判断各种协议及应用,它通过源IP地址、目标IP地址、源端口、目的端口、会话信息以及对IP包中的Payload应用层数据深入分析,匹配应用协议的特征库,可以探测和跟踪动态端口分配的应用,能够识别变动端口的会话流,并能够对使用同一端口的不同协议进行自动识别,从而做到对7层的协议和应用实现流量整形和带宽控制,而DFI技术基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。DFI技术基于一系列流量的行为特征,建立流量特征模型,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比来实现鉴别应用类型的目的。DPI技术和DFI技术相辅相成,能够识别大部分网络协议和应用软件,基本实现了网络传输的全面可视化。
通过流控设备管理界面,管理员可以实时观察网络应用流量数据,根据周期性网络各类应用统计报表,做出相应的控制策略。流控设备能够识别大部分的主流网络应用协议,可基于各类应用组及单个应用协议进行应用流量带宽限制,同时根据网络消费群体的不同对IP子网、网段进行上下行带宽限制,结合网络运行时间周期,管理员可以灵活地设定流量控制策略。对服务器区要给与一定的带宽保障,确保工作时间段保障关键业务应用流量,像Web浏览、Email、DNS等常用业务,同时限制非关键性的像P2P网络应用的流量,非工作时间,适度放开P2P娱乐化应用流量,满足各类用户的流量需求,有效地提高网络出口带宽利用率。
从本校测试应用来看,经过流控设备对网络流量的透明整形管理,网络数据流量大幅下降,基本解决了出口带宽的拥塞情况,保障了网络基本应用,达到了预期的效果。但是要看到,随着网络应用的日新月异,各类新的网络应用层出不群,流控设备自身协议特征库需要及时更新。这也要求我们网络管理员时时关注网络流量情况,了解网络最新应用情况,时刻不得懈怠。
四、结束语
每个学校网络建设基础的不同,在相应的流量管理侧重点上也就有所不同。另外网络病毒攻击对流量带宽的冲击作用也不容忽视,在应对网络流量的问题上,要结合自身网络建设规划,实际网络应用及设备情况,因地制宜,制定出科学、合理的网络流量应用管理方式,确保网络运行质量效果。
参考文献:
[1]胡俊,陈瑾.网络流量管理控制技术在校园网的应用研究[J].中国教育信息化,2009.
[2]罗军.浅谈网络流量控制在校园网中的作用[J].湖北广播电视大学学报,2009.
(编辑:杨馥红)
摘 要:针对校园网络出口流量带宽拥塞现象,笔者进行原因分析,结合网络应用数据流量和消费群体梳理归类,按照“疏堵”结合的理念,通过认证流量计费系统、内容加速系统、流控设备等相关设备,对可视化出口带宽流量进行优化管理控制,确保关键性网络应用业务顺畅,提高整体网络运行质量效果。
关键词:校园网络;应用流量;内容加速系统;流控设备
中图分类号:G250.73 文献标志码:B 文章编号:1673-8454(2014)19-0065-03
引言
随着信息化校园网络的建设与发展,目前大部分大中院校专线接入CERNET和INTERNET,校园网络覆盖教学、科研、办公及学生公寓和家属区,校园区域光纤互联,网络主干速率达到千兆以上,楼宇间汇聚,百兆、千兆交换到桌面,信息点不断迅速增长。提供WWW、Email、FTP、VOD、BBS等多种网络应用服务,为学校的教学创新、资源共享、信息化管理提供了一个良好的网络基础平台,有效提高了学校的教学服务保障水平。
一、校园网络出口带宽流量存在瓶颈问题
由于网络技术的不断发展,网络应用日益多样化、复杂化,互联网作为最大的资源宝库,与人们的工作生活紧密联系在一起。校园网络应用更是集工作、学习、娱乐于一体,终端用户对学校有限的带宽资源进行无节制的抢占,整个网络流量充斥大量p2p下载及视频流媒体应用,导致校园网络出口链路拥塞,甚至瘫痪,用户端网速越来越慢,学校关键网络应用门户Web站点、OA、Email等基本服务受到严重影响,不能正常访问。
二、原因分析
1.带宽赶不上数字化建设的速度
最近几年学校数字化建设规模不断地扩展,从最初的有线网络到桌面,到现在的无线网络覆盖整个校园,网络终端接入更加方便快捷,信息点数量成几何数增长,并发数一般都保持在成千上万IP同时在线,而相对增长缓慢的校园出口带宽来说,平分下来的流量带宽在减少,导致抢带宽现象愈演愈烈,严重威胁基本网络业务应用。学校的网络运行经费毕竟有限,依靠不断地扩容网络出口带宽来满足用户端的需求变得不太可能。
2.P2P网络应用占据校园网络大部分出口流量带宽
伴随P2P技术及应用的迅猛发展,彻底颠覆了传统的网络传输访问的C/S模式,用户端应用流量从原来树状的层次化结构向扁平的网状结构转变,在这种转变下,每台接入网络的计算机既是客户端也是服务端。对用户来说,通过大量的点对点的直接连接,实现了资源的充分共享,数据的高速传递,P2P网络应用充斥整个网络,吞噬掉了大部分带宽资源。加之当前网络视频流媒体的盛行,数字化高清视频对网络用户带宽提出了更高的要求,网络在线视频消耗的带宽资源已占据所有网络应用流量相当大的比例。P2P应用以下载类软件迅雷、bit、电驴和视频播放软件PPSTREAM、PPLIVE等最为突出,如图所示是通过流控设备对本校网络日应用流量分析报表,我们可窥之一斑。
从上图总带宽流量我们可以看出迅雷、BIT下载和PPSTREAM流媒体占据了带宽流量百分之八十左右,而正常HTTP应用只有百分之十左右。
3.传统对带宽的有效管理和控制已经逐渐失去效果
传统的网络设备不能在应用层分析数据,也就不能有效地识别出大量的处在应用层的P2P应用,理不清哪些是关键业务应用流量,哪些是非关键,不能做到有的放矢,无法对数据流量做到有效控制。伴随着学校网络规模不断地扩展,网络信息化应用不断深入和普及,接入交换机设备成百上千,通过二层、三层网络设备对终端IP进行QoS限制,已经变得不太可能,且P2P应用与传统的应用有了很大不同,大都采用动态的端口号,甚至伪装成Web 80端口进行传输,已经不能靠简单的四层端口来识别,通过防火墙对流量的限制,无法实现有效地的、灵活的服务质量管理,尤其是对基于UDP应用的控制,像P2P、流媒体等应用,显得无能为力。
三、采取“疏堵”结合策略对校园网出口带宽进行优化管理和技术性预防,提高网络运行质量效果。
1.对校园出口带宽流量应用和消费群体进行分析归类梳理,确保哪些流量应用该“疏”,哪些该“堵”。
在学校出口带宽一定的情况下,该如何利用有限带宽资源发挥出最佳网络运行质量效果,带宽对各个网络消费群体如何合理分配?是首先应该考虑的问题。要明确哪些网络应用最重要,哪些次要,对重要的要列为最高优先级,像各学校的Web信息查阅、BBS、办公系统、Email邮件服务、视频会议等基本功能要保证应用的顺畅,而对那些次要的非关键性应用,如果影响到学校正常网络业务的开展,就要适当限制,像那些P2P类的大文件下载、流媒体的网上播放、网游等。其次对网络的消费群体也要有区分,所有院校中对网络资源消费最大的当属学生这个群体,对学生如何正确合理使用网络的管理,对整个网络的有效运行起着一个关键性作用,教学、科研、办公业务用网必不可少,就要保证足够的带宽,确保运行畅通,部分用户过度网络娱乐化,长时间下载,进而影响到整个校园网络运行质量,就要适当做出封堵限制。
2.通过认证流量计费系统对网络出口流量进行有效控制
针对学生这个网络消费主力,部分学校利用多出口将教学办公区和学生区用网的物理隔离,互不影响,取得了一定的效果,起码对教学科研办公用网有了保障。目前大部分的学校都有网络接入认证流量计费系统,认证系统大都具有三层IP流量控制功能,不妨通过认证流量管理功能给每个入网学生一定的学习应用流量,而超过这个流量,就按超额流量进行收费使用,这样一方面可以限制个别用户对网络流量的无限度消费,另一方面也体现出用户个体网络消费更加公平,通过超量收费的“惩罚”,对那些滥用带宽资源的部分用户也起到了一个“警示”作用,相对能减少对带宽资源的滥用,同时也起到了缓解出口链路数据拥塞的问题。
3.通过大力提升校园内网资源服务器共享平台的有效利用率,相对减少对外网出口资源的依赖,缓解出口带宽的压力
学校信息化网络平台经过多年的发展壮大,硬件设备的升级换代,存储容量的增大,内网传输速率基本达到了百兆、千兆到桌面,信息资源的不断积累,网上辅助教学、数字图书馆、VOD、数据中心等网络服务平台的建立,为内网资源共享及高速传输打下了基础。目前,锐捷网络出产的一款RG-PowerCache内容加速设备,就是基于这一原理,体现对出口带宽进行“疏”的理念,自身配置大容量高速存取存储硬盘,该系统能够将外网热点资源自动缓存在本地,通过地址重定向供用户直接从内网下载,内网用户访问已缓存资源,速度可以高达100Mbps,让用户体验到网速的飞跃。该设备旁路于核心交换机,通过端口镜像,内网用户IP访问设定次数触发,或者管理员手动备份下载,对外网HTTP下载、音视频流媒体、P2P资源、手机移动文件等外网热点资源下载存储备份,后面用户再访问就可以直接从该设备存储直接下载,大大提升了网络运行效率,减少了对外网同质资源的反复连接。通过本校500Mbps出口带宽测试应用,每天大约能提供800G左右流量服务,对终端用户来说,网速得到了很大的提高,同时节约了出口带宽资源。当然该设备下载也会占用一定的带宽资源,管理员可设定在相对网络空闲期下载,给与一定的带宽限速,触发资源通过堆栈排队下载,并通过流量定期回源,保证存储资源的不断更新。
4.通过流控设备对网络应用流量出口带宽进行整形管理控制
针对学校及企业级的网络应用,目前市场已出现好几种流控设备品牌,流控设备主要针对出口带宽不够用,可视化整体网络应用流量,对网络应用层流量数据及网络层IP进行流量带宽限速,确保出口正常网络访问的顺畅。流控设备一般部署在网络出口、防火墙内,它以桥接模式串接到网络链路中,不需要改变用户现有网络结构和拓扑,一般都配有软硬件的Bypass旁路装置,保证了在设备出现故障时不影响整个网络的正常运行。其工作原理大都是基于DPI(深度包检测)和DFI(深度流行为检测)技术为核心,配备网络流量分析管理系统,对TCP/IP网络数据链路层到应用层的各种协议和应用进行深入分析检测。DPI技术是通过IP包来检测、识别和判断各种协议及应用,它通过源IP地址、目标IP地址、源端口、目的端口、会话信息以及对IP包中的Payload应用层数据深入分析,匹配应用协议的特征库,可以探测和跟踪动态端口分配的应用,能够识别变动端口的会话流,并能够对使用同一端口的不同协议进行自动识别,从而做到对7层的协议和应用实现流量整形和带宽控制,而DFI技术基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。DFI技术基于一系列流量的行为特征,建立流量特征模型,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比来实现鉴别应用类型的目的。DPI技术和DFI技术相辅相成,能够识别大部分网络协议和应用软件,基本实现了网络传输的全面可视化。
通过流控设备管理界面,管理员可以实时观察网络应用流量数据,根据周期性网络各类应用统计报表,做出相应的控制策略。流控设备能够识别大部分的主流网络应用协议,可基于各类应用组及单个应用协议进行应用流量带宽限制,同时根据网络消费群体的不同对IP子网、网段进行上下行带宽限制,结合网络运行时间周期,管理员可以灵活地设定流量控制策略。对服务器区要给与一定的带宽保障,确保工作时间段保障关键业务应用流量,像Web浏览、Email、DNS等常用业务,同时限制非关键性的像P2P网络应用的流量,非工作时间,适度放开P2P娱乐化应用流量,满足各类用户的流量需求,有效地提高网络出口带宽利用率。
从本校测试应用来看,经过流控设备对网络流量的透明整形管理,网络数据流量大幅下降,基本解决了出口带宽的拥塞情况,保障了网络基本应用,达到了预期的效果。但是要看到,随着网络应用的日新月异,各类新的网络应用层出不群,流控设备自身协议特征库需要及时更新。这也要求我们网络管理员时时关注网络流量情况,了解网络最新应用情况,时刻不得懈怠。
四、结束语
每个学校网络建设基础的不同,在相应的流量管理侧重点上也就有所不同。另外网络病毒攻击对流量带宽的冲击作用也不容忽视,在应对网络流量的问题上,要结合自身网络建设规划,实际网络应用及设备情况,因地制宜,制定出科学、合理的网络流量应用管理方式,确保网络运行质量效果。
参考文献:
[1]胡俊,陈瑾.网络流量管理控制技术在校园网的应用研究[J].中国教育信息化,2009.
[2]罗军.浅谈网络流量控制在校园网中的作用[J].湖北广播电视大学学报,2009.
(编辑:杨馥红)