狄明遠(yuǎn)
摘要:目前各個學(xué)校都在大力發(fā)展校園網(wǎng)絡(luò),如何有效的進行管理校園網(wǎng)絡(luò),在網(wǎng)絡(luò)出了問題,網(wǎng)絡(luò)流量出現(xiàn)異常的時候如何排查,怎樣才能夠找到責(zé)任人,本文對此進行了一些研究。
關(guān)鍵詞:校園 網(wǎng)絡(luò) 管理
中圖分類號:TP393.07文獻標(biāo)識碼:A文章編號:1006-8937(2009)03-0041-01
當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時,怎樣追蹤責(zé)任人?當(dāng)發(fā)生網(wǎng)絡(luò)擁塞時,如何定位網(wǎng)絡(luò)中的瓶頸?如何確定網(wǎng)絡(luò)資源不足還是異常流量造成的?如何定位造成異常流量的主機?對于大量的網(wǎng)絡(luò)接入終端,怎樣防止IP 地址的濫用、盜用和地址沖突?對于有償網(wǎng)絡(luò)資源的訪問,如何計費?如何做到欠費自動停機?對于大量的網(wǎng)絡(luò)設(shè)備,怎樣做到實時監(jiān)控和自動故障報警?
對于任何學(xué)校,這都是不容忽視的問題,我們學(xué)校也不例外,我們在幾年時間內(nèi),建設(shè)完善了集網(wǎng)絡(luò)管理、運行監(jiān)控、流量計費、流量分析、用戶管理、地址管理、訪問控制、服務(wù)質(zhì)量控制等諸多功能于一體的綜合網(wǎng)絡(luò)管理系統(tǒng)。
1 網(wǎng)絡(luò)管理
網(wǎng)絡(luò)中心對于網(wǎng)元的管理最開始主要依靠設(shè)備廠家提供的網(wǎng)絡(luò)管理系統(tǒng),包括華為的Quidview 和Cisco 的Works 2000。但是這些系統(tǒng)只能發(fā)揮非常有限的功能而我們自主開發(fā)的基于地址轉(zhuǎn)發(fā)表的鏈路層拓?fù)浒l(fā)現(xiàn)滿足了對拓?fù)涔芾淼男枨?不僅可以發(fā)現(xiàn)網(wǎng)絡(luò)上的路由器、交換機等. 可網(wǎng)管設(shè)備,而且具有發(fā)現(xiàn)主機、集線器和非網(wǎng)管交換機等啞設(shè)備的特點。
2 網(wǎng)絡(luò)設(shè)備運行監(jiān)控
通過拓?fù)鋱D可以查看網(wǎng)絡(luò)的鏈路狀態(tài),通過通用的設(shè)備面板生成技術(shù)可以直觀設(shè)備運行狀態(tài)。對于發(fā)生的網(wǎng)絡(luò)故障可以實時報警,通過手機短信、電子郵件等形式快速通知網(wǎng)管員。網(wǎng)絡(luò)故障包括:電源故障、設(shè)備溫度、端口狀態(tài)變化、鏈路通斷、流量跳變等。
3 在線流量監(jiān)控和協(xié)議分析
實時監(jiān)控所有在線用戶,了解其免費流量/ 收費流量構(gòu)成和訪問目標(biāo),可以根據(jù)情況強制其下網(wǎng)。采集出口的全部入/出流量或單臺主機的流量,通過協(xié)議分析了解流量的構(gòu)成。對于異常流量進行監(jiān)測,自動隔離產(chǎn)生異常流量的主機,特別是C E R N E T 規(guī)定的國際流入量超標(biāo)的主機,可以自動關(guān)閉,次日凌晨自動放開。記錄各個用戶的上網(wǎng)時間、上網(wǎng)地點、產(chǎn)生的流量和訪問目標(biāo),為以后的安全事件責(zé)任追蹤提供依據(jù). 通過交換機的流量鏡像端口(或者分光器),將出口流量鏡像到服務(wù)器,通過流量分析,根據(jù)設(shè)置的訪問控制策略、計費策略完成訪問控制和計費。通過對TCP 三次握手的控制,實現(xiàn)TCP 流的阻斷或重定向。這種方式不改變網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、不改變用戶的上網(wǎng)模式,控制和計費策略對用戶是透明的,不會造成單點故障,也不影響網(wǎng)絡(luò)的出口性能。目前系統(tǒng)能夠線速處理1G 的網(wǎng)絡(luò)流量。
4 用戶管理與網(wǎng)絡(luò)計費
網(wǎng)絡(luò)計費采取預(yù)交費模式,提供包月、計時、計流量等多種計費策略,國際流量可以單獨計費。對于欠費的用戶可以自動關(guān)閉對收費資源的訪問。用戶管理模塊提供開戶、修改密碼、維護用戶信息等功能,用戶可以通過自助Web 界面實現(xiàn)修改密碼、費用狀況查詢、訪問記錄查詢,以及反饋上網(wǎng)過程中遇到的問題。
5 地址管理
通過控制路由器或三層交換機網(wǎng)關(guān)設(shè)備上的ARP 表,實現(xiàn)IP 地址和硬件M A C 地址的綁定,地址管理模塊提供IP 地址、MAC 地址和用戶主機信息的錄入和維護,可以提供禁用或開通用戶主機的網(wǎng)絡(luò)的訪問。目前可以支持Cisco 和華為的設(shè)備。
6 訪問控制
源訪問控制可以控制內(nèi)部主機對外部網(wǎng)絡(luò)的訪問,控制策略包括認(rèn)證訪問、收費認(rèn)證訪問、不受控、拒絕、國際、國內(nèi)訪問。目標(biāo)訪問控制可以允許或拒絕對目標(biāo)的訪問。可以自動利用CERNET 的國內(nèi)路由表來區(qū)分國內(nèi)/ 國際流量。對于受控網(wǎng)絡(luò)資源的訪問可以自動重定向到認(rèn)證界面,通過身份認(rèn)證后才允許訪問。這種重定向是通過劫持TCP 的三次握手過程實現(xiàn)的。
7 服務(wù)質(zhì)量控制
隨著網(wǎng)絡(luò)應(yīng)用的豐富,對帶寬的需求是沒有止境的。特別是P2P 應(yīng)用基本上是有多少帶寬就占用多少,因此無論出口帶寬有多大,都會被耗盡.。我們學(xué)校只有到C E R N E T 的一個千兆出口,2 4 小時都是100% 的利用率,實際上早已成為瓶頸。通過系統(tǒng)的流量采集和流量分析功能可以很容易地確定流量的構(gòu)成,從而發(fā)現(xiàn)90% 以上的流量都是未知流量,通過進一步分析發(fā)現(xiàn)大多數(shù)都是P2P 流量。
我們學(xué)校學(xué)生數(shù)量為8000左右,目前能上網(wǎng)的計算機大概總數(shù)在7000左右,這些計算機由于使用互聯(lián)網(wǎng)全局IP 地址,是直接暴露在互聯(lián)網(wǎng)上的對等連接。根據(jù)P2P 應(yīng)用文件交換的“人人為我,我為人人”原則,在文件下載的同時,也為別人提供下載服務(wù),這種情況對于直接使用互聯(lián)網(wǎng)全局IP 地址的教育網(wǎng)尤為嚴(yán)重。從系統(tǒng)在出口上的流量檢測可以看出,出的流量比入的流量還要大,這對于不具備大量信息資源的區(qū)域網(wǎng)絡(luò)是不正常的。這些占用寶貴出口帶寬資源的文件交換流量主要是什么內(nèi)容呢?從調(diào)查分析來看,主要是電影、音樂和少部分軟件等。這些流量已經(jīng)嚴(yán)重影響了傳統(tǒng)的Internet訪問,有必要采取措施保證正常應(yīng)用的服務(wù)質(zhì)量。
而保證QOS,實現(xiàn)區(qū)分服務(wù)的關(guān)鍵,是對流量的識別和分類。在新的網(wǎng)絡(luò)應(yīng)用層出不窮、P2P 應(yīng)用可以隨意設(shè)置服務(wù)端口的情況下,對于流量的識別是非常困難的,因此我們采取比較簡單也非常有效的原則,就是“保證已知,限制未知”原則。對未知流量進行帶寬限制,而不是封掉,并且是在充分利用帶寬的前提下使用該原則,因此不會造成某些應(yīng)用的中斷。
帶寬控制是通過流量監(jiān)管實現(xiàn)的,流量監(jiān)管是基于流量的速率限制,系統(tǒng)可以監(jiān)督某一流量的速率,如果流量超出指定的規(guī)格,就采用相應(yīng)的措施,如丟棄那些超出規(guī)格的報文或重新設(shè)置它們的優(yōu)先級。流量監(jiān)管的一個實例是承諾訪問速率C A R 。C A R 廣泛地用于監(jiān)管進入網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量,它依據(jù)對流量不同的評估結(jié)果,實施預(yù)先設(shè)定好的監(jiān)管動作。
從幾年的網(wǎng)絡(luò)管理維護經(jīng)驗來看,只有適合自己需要的系統(tǒng)才是最好的系統(tǒng),只有結(jié)合需求自己動手,才能得心應(yīng)手。