以系統(tǒng)工程的視角管理校園網(wǎng)流量

文/陸以勤

校園網(wǎng)出口帶寬的管理涉及多方面因素，是個綜合工程，一般可從資源規(guī)劃、收費引導(dǎo)、技術(shù)控制等幾個方面考慮。

當(dāng)前，互聯(lián)網(wǎng)骨干帶寬的增長速度比用戶規(guī)模的速度更快。高校校園網(wǎng)經(jīng)過多次升級換代，其主干帶寬一般都達到10G。因此，校園網(wǎng)用戶的帶寬體驗壓力很大程度集中在出口帶寬上。為此，各個高校都提高了互聯(lián)網(wǎng)的接入速度，包括接入CERNET和各個運營商的帶寬，但遠遠未能滿足校園網(wǎng)對帶寬的需求。很多學(xué)校都發(fā)現(xiàn)，如果沒有對校園網(wǎng)帶寬進行有效管理，剛擴展的帶寬，很快就會被各種成分的流量占滿。因此，對出口帶寬的管理就顯得十分重要。就如同公路的建設(shè)速度滿足不了數(shù)目激增的車輛需求，如果不采取科學(xué)的交通管理措施，城市的交通會變得十分擁塞。

資源規(guī)劃

校園網(wǎng)的流量與應(yīng)用有關(guān)，因此在各個層次對應(yīng)用的有效部署可以將流量本地化，降低出口帶寬的壓力。從大的方面，CERNET本身應(yīng)加大資源建設(shè)力度，借助建設(shè)云計算的契機，鼓勵I(lǐng)CP在CERNET內(nèi)部托管資源，并采取有效的資源分布和調(diào)度策略，包括常見資源CERNET網(wǎng)內(nèi)緩存、CDN、網(wǎng)內(nèi)P2P部署等。將流向運營商的流量引回CERNET，減輕CERNET和運營商網(wǎng)絡(luò)互聯(lián)的壓力，從而提高接入CERNET帶寬訪問社會網(wǎng)絡(luò)的速率，這樣可以降低校園網(wǎng)接入運營商網(wǎng)絡(luò)的帶寬比例。從小的方面，學(xué)校本身如果能加強資源的建設(shè)，在校園網(wǎng)內(nèi)網(wǎng)上提供師生喜聞樂見的音視頻點播、開放課程、教學(xué)視頻，提供常見文件、工具下載、資源共享等平臺，也可以將大量訪問外網(wǎng)的流量引回校園網(wǎng)內(nèi)，從而緩解校園網(wǎng)出口帶寬的壓力。

目前，教科網(wǎng)為了鼓勵I(lǐng)Pv6的應(yīng)用，對校園網(wǎng)接入CNGI-CERNET2的流量采取免費策略。為了推動IPv6應(yīng)用，CNGICERNET2本身應(yīng)加大IPv6應(yīng)用系統(tǒng)的建設(shè)。對于校園網(wǎng)而言，能把流量引到IPv6的出口，對于減輕出口帶寬壓力是很實際的。為了能使校園網(wǎng)的終端使用網(wǎng)外的IPv6應(yīng)用，校園網(wǎng)必須完成IPv6的升級，支持終端用戶IPv6的接入。同時，為了把校園網(wǎng)外訪問校內(nèi)資源的流量引到CNGICERNET2上，校園網(wǎng)內(nèi)的應(yīng)用也應(yīng)進行IPv6升級。資源的IPv6升級應(yīng)該有個過渡期，過渡時期可以將IPv4/v6兩個版本并存，然后通過DNS、鏈接、訪問指向等，實現(xiàn)IPv6優(yōu)先。在資源建設(shè)方面，應(yīng)逐步向IPv6版傾斜，在保證IPv4版基本應(yīng)用質(zhì)量的前提下，提高使用IPv6版的用戶體驗質(zhì)量，逐步把訪問流量引導(dǎo)到IPv6版。時機成熟時，實現(xiàn)IPv6版為主、IPv4版為輔。這樣，可以把IPv4本身的流量逐步引導(dǎo)到IPv6上。

收費引導(dǎo)

目前，很多學(xué)校對使用校園網(wǎng)采取非贏利性收費。在很多時候，經(jīng)濟杠桿的引導(dǎo)作用是比較有效的。為了達到出口流量的精細化管理，在使用校園網(wǎng)收費方面，應(yīng)擯棄以前按時或包月收費等粗放型的收費策略，采取面向出口流量管理的收費策略，即根據(jù)流量對用戶進行收費。條件允許的情況下，還可以根據(jù)時段、區(qū)域（辦公區(qū)、生活區(qū)）、應(yīng)用類型（教育、文化、娛樂）、預(yù)約帶寬等因素采取不同的收費策略。

要實現(xiàn)收費的精細化，需要開發(fā)面向流量收費策略的實時流量監(jiān)測、控制和計量系統(tǒng)，并且保證系統(tǒng)實施不影響網(wǎng)絡(luò)性能。同時需要有完善的日志管理系統(tǒng)，能解釋用戶對收費問題的質(zhì)疑。

技術(shù)控制

技術(shù)控制是目前出口流量管理問題中討論最多的，大概包括以下幾種方式。

1. 面向應(yīng)用類型的出口流量精細化管理

眾所周知，目前校園網(wǎng)的流量中，大部分不是面向教學(xué)和科研應(yīng)用的。據(jù)某運營商統(tǒng)計，目前校園網(wǎng)出口中， P2P 下載比例最大，達到36.32%；其次是網(wǎng)絡(luò)流媒體，為27.16%；網(wǎng)絡(luò)游戲排第五，為6.68%。這三個加起來就達到70.16%?？梢?，校園網(wǎng)寶貴的出口帶寬資源中，真正用于教學(xué)、科研的不到30%（這30%含即時通信11.54%，網(wǎng)絡(luò)交易4.21%）。

對出口流量的精細化管理，就是在出口帶寬資源緊張的情況下，優(yōu)先保證重要的應(yīng)用，如教學(xué)、科研、行政等。對非重要資源進行適當(dāng)?shù)南拗?。要做到這點，首先要能區(qū)分不同應(yīng)用的流量，其次要確定不同應(yīng)用的優(yōu)先權(quán)，最后要制定具有不同優(yōu)先權(quán)的應(yīng)用流量的控制策略。實現(xiàn)的方式可分為網(wǎng)絡(luò)層、傳輸層、應(yīng)用層，即根據(jù)這些應(yīng)用在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的特征去控制。

常見的網(wǎng)絡(luò)層和傳輸層的出口流量控制包括訪問控制、帶寬分配、流量監(jiān)管、流量整形等。訪問控制的主要依據(jù)是被控流量的IP地址、端口號等。帶寬分配指根據(jù)不同的區(qū)域（按教學(xué)大樓、辦公大樓、教工宿舍樓、學(xué)生宿舍樓等）的子網(wǎng)分配不同的帶寬，這樣可以避免個別用戶的過量下載導(dǎo)致整個網(wǎng)段出現(xiàn)重大問題。流量監(jiān)管是監(jiān)督進入網(wǎng)絡(luò)某一流量的規(guī)格，把它限制在一個合理的范圍之內(nèi)，對超出的部分報文做丟棄處理。流量整形則是把流量監(jiān)管中可以丟棄的報文放入緩沖區(qū)緩存，在網(wǎng)絡(luò)流量出現(xiàn)寬裕時再進行傳輸。

網(wǎng)絡(luò)層和傳輸層的流量管理容易實現(xiàn)，可在現(xiàn)有設(shè)備上進行，但效果不夠理想，并且靈活性不強。目前能對出口流量進行有效控制的技術(shù)手段都是在應(yīng)用層實現(xiàn)的。

應(yīng)用層的出口流量控制一般分為基于DPI（Deep Packet Inspection，深度包檢測）和DFI（Deep/Dynamic Flow Inspection，深度/動態(tài)流檢測）兩大技術(shù)體系。DFI是一種基于流量行為的應(yīng)用識別技術(shù)，即根據(jù)不同的應(yīng)用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的特征（會話連接流的包長、連接速率、傳輸字節(jié)量、包與包之間的間隔等）識別不同類型的應(yīng)用流量，如VoIP流量、RTP流、P2P下載應(yīng)用的流量等。DPI是通過深入讀取IP包載荷的內(nèi)容對應(yīng)用層信息進行分析，從而識別不同的應(yīng)用。采取的方法包括特征字的識別、應(yīng)用層網(wǎng)關(guān)識別、行為模式識別等。DPI需要逐包進行拆包操作，并與后臺數(shù)據(jù)庫進行匹配對比。因此運算量大，實現(xiàn)和維護成本高，但準(zhǔn)確度高。而DFI僅需將流量特征與后臺流量模型比較即可。因此運算量小，實現(xiàn)和維護成本低，但不如DPI準(zhǔn)確。目前用的比較多的是基于DPI的流量控制。

一般來說，實現(xiàn)應(yīng)用層的出口流量控制需要采購專門的流量控制設(shè)備。

2. 多出口管理策略

目前校園網(wǎng)一般都至少有運營商和教科網(wǎng)兩個出口，有些學(xué)校還有多個運營商出口。多出口管理策略就是根據(jù)不同的流量特征在多個出口動態(tài)分配流量，從而達到優(yōu)化總體出口流量的效果。多出口管理需要建立出口流量的動態(tài)分配策略模型，通過路由策略、DNS等分配流量。

要對多出口進行精細化管理，同樣要能識別不同的應(yīng)用類型。這與前面“面向應(yīng)用類型的出口流量精細化管理”類似。因此也應(yīng)結(jié)合在一起統(tǒng)一考慮。

3. 防止流量型網(wǎng)絡(luò)攻擊

流量型網(wǎng)絡(luò)攻擊指網(wǎng)絡(luò)受到攻擊后，產(chǎn)生大量的異常流量，占用了出口帶寬。這些異常流量通常包括： DoS /DDoS、蠕蟲/病毒、垃圾郵件、非法VoIP 等。

流量型網(wǎng)絡(luò)攻擊一般屬于應(yīng)用層的網(wǎng)絡(luò)攻擊，由于代價小、隱蔽性好、防御難度大，已經(jīng)演變?yōu)榫W(wǎng)絡(luò)攻擊的一個主要形式。識別流量型網(wǎng)絡(luò)攻擊，也可采用DPI和DFI兩種方法，與識別應(yīng)用類型的方法類似?？刂品椒ò刂茣挃?shù)、源地址端口、目標(biāo)地址端口、應(yīng)用協(xié)議等。