利用流控設備管理和優(yōu)化校園網(wǎng)流量

申繼年 邢雪梅

中國藥科大學現(xiàn)代教育技術中心 江蘇 210009

0 前言

隨著教育行業(yè)信息化的不斷深入和發(fā)展，中國藥科大學的網(wǎng)絡規(guī)模的急劇膨脹、網(wǎng)絡用戶的快速增長，加之P2P以及網(wǎng)絡視頻類應用的不斷增長，校園網(wǎng)出口流量越來越大，嚴重影響了正常的網(wǎng)上辦公和教學科研工作。特別是由于P2P下載及網(wǎng)絡流媒體技術，能夠迅速搶占大量帶寬，導致校園用戶的正常應用無法保障。

目前我校網(wǎng)絡總帶寬達210M。網(wǎng)絡總出口通過防火墻分別接入CERNET、網(wǎng)通和電信的骨干網(wǎng)。其中CERNET10Mbps，網(wǎng)通 100Mbps，電信 100Mbps，目前校園網(wǎng)出口進入流量為139.89M、外出流量96.42M、在線IP數(shù)1070、在線session數(shù) 62710。在對出口流量不加任何控制的情況下，出口流量分布情況如圖1所示。

圖1 未加控制時出口流量分布

由圖1可知，迅雷在帶寬的占有率相當高，超過80%的帶寬都被迅雷和其它P2P應用所占用，而重要的應用http-browser卻只占用了11%的帶寬。將近80%的寶貴帶寬被P2P下載和流媒體占用，這些非正常應用引起出口擁塞和延遲的增大，已經(jīng)嚴重影響到正常的網(wǎng)絡教學與辦公。

1 流量控制系統(tǒng)

為了解決以上問題，中國藥科大學在校園網(wǎng)中部署流控設備，對校園網(wǎng)出口流量進行優(yōu)化和管理，能夠有效的檢測和防止非關鍵應用對網(wǎng)絡帶寬資源的大量消耗，保證關鍵應用的帶寬使用，改善和保障了整體網(wǎng)絡應用的服務質量。

1.1 流控設備介紹

流控設備是專門的應用層級流量管理控制設備，基于連接過程和協(xié)議特征識別，通過采用專門的探測引擎，經(jīng)過一套完整的識別流程，能夠準確識別應用，精確定位具體的軟件客戶端，實現(xiàn)應用的可視化管理。流量控制系統(tǒng)能幫助管理者實時了解網(wǎng)絡應用層流量狀態(tài)及應用概況，進行流量管理，提高網(wǎng)絡運行效率。

1.2 流控設備的主要功能

（1）帶寬管理

流控設備能夠實現(xiàn)基于IP、協(xié)議和應用的帶寬控制，包括帶寬保證、帶寬限制、帶寬預留等多種控制方式。在應用層識別流量，識別動態(tài)端口、偽裝端口的應用，比如：Web 瀏覽(HTTP、HTTPS)、電子郵件(POP3、SMTP)、P2P下載(BT、電驢、迅雷)、即時通訊(MSN、QQ)、視頻(H.323、RTCP、RTP)等，幫助網(wǎng)管員清楚地了解網(wǎng)絡現(xiàn)狀。

（2）策略控制

流控設備能夠實現(xiàn)基于源/目標 IP、IP 組、協(xié)議或應用(組)、時間段、會話數(shù)、IP 限速等組合進行帶寬控制?？梢灾贫◣捇騼?yōu)先級策略來保障網(wǎng)內重要應用，同時限制不重要的應用；可以制定時間策略，按時啟用某種策略，滿足校園靈活管理需求。

（3）流量監(jiān)控

流控設備能夠準確地統(tǒng)計某個IP、某個協(xié)議、某個時段詳細的流量信息，使網(wǎng)管員根據(jù)統(tǒng)計的數(shù)據(jù)，制定合理的流量控制策略，從而使策略更適合本地網(wǎng)絡的情況。還可以列出某一時間內單個節(jié)點計算機的網(wǎng)絡帶寬利用率、顯示出特定的網(wǎng)絡應用協(xié)議中占用大量帶寬的主機、通信的源目的主機IP及端口號等詳細信息；也可以通過分析網(wǎng)絡流量來確定網(wǎng)絡上存在的各種問題，通過了解這些信息，網(wǎng)管員可以對通信故障做出及時的響應，對網(wǎng)絡進行相應的優(yōu)化調整，以保證網(wǎng)絡運行的效率和安全。

2 流控的部署和應用

2.1 流控設備的部署方式

我校流控設備的部署方式如圖2所示。流控設備以透明網(wǎng)橋的形式部署在防火墻與核心路由器之間，實現(xiàn)對全網(wǎng)流量進行分析，對異常流量進行檢測，對網(wǎng)絡應用進行監(jiān)控，根據(jù)業(yè)務應用控制不同的帶寬。

圖2 流控設備部署網(wǎng)絡結構圖

通過流控設備可以監(jiān)控上行和下行的實時流量，準確地了解某個IP、某個協(xié)議、某個時段的詳細流量信息。掌握網(wǎng)絡的運行狀況，實現(xiàn)對校園全網(wǎng)流量進行分析，對異常流量進行檢測，并根據(jù)業(yè)務應用控制不同帶寬。

2.2 流控設備的配置策略

2.2.1 帶寬管理

（1）對外服務保障：學校的對外服務，如學校以及各院部網(wǎng)站、郵件服務、數(shù)字化校園門戶平臺、精品課程網(wǎng)站等服務器應確保其在任何情況下，網(wǎng)絡訪問的暢通。因此應設置一定的保障帶寬。

（2）常用服務保障：P2P下載及網(wǎng)絡視頻占用了大量帶寬，嚴重影響了內網(wǎng)用戶對網(wǎng)頁、郵件等常用服務的訪問。因此應在保障內網(wǎng)用戶對常用服務(如http、email、DNS等)和即時通信服務(如 QQ、MSN、阿里旺旺等)正常訪問的前提下，再考慮其它應用的使用。

（3）重點部門保障：重點保障部門如，重點實驗室、學生機房等網(wǎng)絡需求高或網(wǎng)絡用戶密集的部門給予重點的網(wǎng)絡帶寬保障，以滿足其網(wǎng)絡需求。

（4）P2P下載限制：P2P流量的泛濫占用了大部分帶寬，需要對其進行限制，在保證其下載的情況下，限制其上、下行速度。

（5）網(wǎng)絡視頻限制：網(wǎng)絡視頻包括流媒體視頻、網(wǎng)絡電視、FLV視頻等，應限制在一定的范圍內。

我校帶寬控制策略配置如表1所示。

表1 帶寬控制策略配置展示

2.2.2 IP限速

為防止單個用戶搶占帶寬現(xiàn)象，需要對單 IP 的流量進行限制。但我校存在內部IP的現(xiàn)象，如機房、宿舍等，因此需要根據(jù)使用情況對IP用戶進行分組，如將其分為辦公組、學生組、機房組、宿舍組等，然后再對每個組的單 IP 流量作適當?shù)南拗啤?/p>

2.2.3 連接數(shù)限制

連接數(shù)限制是對單個IP限制其連接數(shù)，同時應考慮機房單個IP所包括的網(wǎng)點較多，應適當放寬連接數(shù)，否則可能影響學生機房網(wǎng)絡的正常運行。

2.2.4 分時段管理

為了有效的利用網(wǎng)絡帶寬，考慮到晚上22:30到第二天7:30之間，出口空閑，可在此時間段開放P2P下載以及流媒體的限制。實現(xiàn)工作時間將有限的帶寬主要分配給辦公、教研等用戶使用，保證日常教學工作的開展；非工作時間將帶寬主要分配給學生，滿足學生對帶寬的巨大需求。

3 應用優(yōu)化與帶寬管理效果

3.1 部署流控設備后的效果

流控設備部署后，我們可以清楚的發(fā)現(xiàn)，針對性的策略配置緩解了P2P占用大量帶寬的問題，并且對關鍵應用http流量進行了有效的保障，從而保證校內網(wǎng)絡的快速穩(wěn)定的運行。目前我校出口流量分布如圖3所示。

圖3 應用流控設備后，出口流量分布圖

3.2 帶寬控制策略配置效果分析

應用策略控制前后，通過對出口帶寬流量分布的比較，可以非常清晰的看到，流控設備對P2P、網(wǎng)絡視頻等非關鍵應用流量的控制非常有效，解決了我校在網(wǎng)絡高峰期出現(xiàn)網(wǎng)絡擁塞的問題，同時也保障了關鍵應用的高速穩(wěn)定運行。

通過對Web應用組的流量分析可以看出，在未應用策略控制前大部分的帶寬和流量都被迅雷、P2P等非關鍵應用所占用，應用了對 Web應用的帶寬保障之后，關鍵應用 Web得到了保障，校內的 Web訪問速度增加，減少了因為 Web訪問慢而造成的投訴性問題。

通過對迅雷采用多種元素組合的限制方式，對迅雷的限制效果非常明顯。從未應用策略配置前占用49%的帶寬，基于對迅雷增加 PerIP上傳帶寬的限制策略后迅雷占用帶寬降至14%，迅雷、網(wǎng)絡視頻、網(wǎng)頁瀏覽策略前后的對比情況如表2所示。

表2 迅雷、網(wǎng)絡視頻、網(wǎng)頁瀏覽策略前后的對比情況

策略實施后，保障了關鍵應用所需的網(wǎng)絡帶寬以及常見應用服務，而對于P2P類下載、視頻流量進行了有效的限速處理，對我校網(wǎng)絡中各單位內部用戶的上網(wǎng)行為進行有效管理，提高了校園網(wǎng)的效率，并可以獲得全網(wǎng)帶寬分配和使用的分析數(shù)據(jù)，為網(wǎng)絡規(guī)劃和帶寬擴容提供科學的依據(jù)。

4 總結

綜上所述，通過流控設備的部署，我校校園網(wǎng)出口流量得到了有效的管理和控制，滿足了正常的辦公和教學需求，網(wǎng)絡出口帶寬擁塞現(xiàn)象也得到了很好的改善。我們不僅可以從宏觀了解網(wǎng)絡的整體運行狀況，實現(xiàn)了校園網(wǎng)的流量的可視性與可控性；而且利用流控設備還可以對各種應用和用戶的流量進行分類統(tǒng)計，全面了解網(wǎng)絡運行狀況及帶寬使用情況，成為優(yōu)化網(wǎng)絡帶寬、解決帶寬惡意占用的有力工具。另外需要說明的是，利用流控設備合理優(yōu)化帶寬資源配置、不但可以降低網(wǎng)絡維護費用，而且還可以減少交換機、路由器和防火墻等網(wǎng)絡設備的負載，優(yōu)化網(wǎng)絡設備性能。

[1]Maxnet官方網(wǎng)站.http://www.maxnetsys.com.cn.

[2]陳熔.校園網(wǎng)流量控制解決方案[J].四川理工學院學報.2007.

[3]徐昌彪，鮮永菊.計算機網(wǎng)絡中的擁塞控制與流量控制［M］.北京:人民郵電出版社.2007.