高校校園網(wǎng)網(wǎng)絡(luò)流量分析與控制

摘 要：當(dāng)前高等教育發(fā)展迅速，高校對于網(wǎng)絡(luò)需求與日俱增。受到建設(shè)成本和技術(shù)發(fā)展等因素的限制，網(wǎng)絡(luò)需求與網(wǎng)絡(luò)帶寬的矛盾日益凸顯。在高校出口實施網(wǎng)絡(luò)流量分析控制能夠很好的解決這一問題。

關(guān)鍵詞：網(wǎng)絡(luò)帶寬 網(wǎng)絡(luò)流量分析及控制 DPI、Panabit

中圖分類號：TP393.1 文獻標(biāo)識碼：A 文章編號：1672-3791（2013）05（b）-0249-02

隨著高等教育信息化的發(fā)展，高等教育對于網(wǎng)絡(luò)的依賴日漸增加，同時高校校園網(wǎng)的出口帶寬要求也越來越高。但是受到資金、出口建設(shè)成本和網(wǎng)絡(luò)技術(shù)等方面的限制，高校校園網(wǎng)出口帶寬不可能無限提高，由此導(dǎo)致了高校校內(nèi)用戶日益增長的網(wǎng)絡(luò)需求與出口帶寬限制網(wǎng)絡(luò)流量之間的矛盾。而通過對出口網(wǎng)絡(luò)數(shù)據(jù)進行深層次應(yīng)用分析制定相關(guān)策略能夠在一定程度上緩解這一矛盾。

1 網(wǎng)絡(luò)流量分析及控制的關(guān)鍵技術(shù)

網(wǎng)絡(luò)流量分析及控制是指對數(shù)據(jù)包進行檢測，并通過制定的策略對網(wǎng)絡(luò)應(yīng)用實現(xiàn)放行、限制或阻塞的技術(shù)。現(xiàn)今P2P類下載應(yīng)用占用了大量的帶寬資源，導(dǎo)致網(wǎng)絡(luò)的擁堵和服務(wù)質(zhì)量的下降。為了保證用戶能夠平等的使用網(wǎng)絡(luò)帶寬，需要采取必要的技術(shù)對P2P等應(yīng)用進行一定程度的檢測與調(diào)控。目前主要的分析控制技術(shù)如下。

1.1 傳統(tǒng)防火墻對網(wǎng)絡(luò)流量的分析及控制

傳統(tǒng)防火墻都工作在OSI參考模型的第2、3、4層，通過對TCP/UDP端口、數(shù)據(jù)包的源/目的IP地址、MAC地址等進行過濾，實現(xiàn)對網(wǎng)絡(luò)流量的監(jiān)視。一般都是對數(shù)據(jù)包的包頭來做策略，并不關(guān)心整個數(shù)據(jù)包的信息。傳統(tǒng)防火墻對網(wǎng)絡(luò)流量的處理方法一般都是阻塞某種協(xié)議常用端口，或者阻斷客戶端與服務(wù)器的連接等。由于不能有效的分析數(shù)據(jù)包內(nèi)部信息，不能有效的了解用戶應(yīng)用層的信息，也就不能有效的限制用戶的應(yīng)用。采用傳統(tǒng)防火墻阻斷服務(wù)器與客戶端連接的方法也已經(jīng)不能準(zhǔn)確的識別與控制。

1.2 DPI技術(shù)

深度報文檢測技術(shù)DPI（Deep Packet Inspectio）是在分析數(shù)據(jù)包包頭的基礎(chǔ)上，增加了對OSI參考模型第七層即應(yīng)用層的分析。當(dāng)IP數(shù)據(jù)包、TCP、UDP數(shù)據(jù)流經(jīng)過基于DPI技術(shù)的流量控制系統(tǒng)時，通過深入讀取數(shù)據(jù)包的內(nèi)容來對應(yīng)用層信息進行重組，從而得到整個應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對流量進行整形操作。DPI技術(shù)可以分為兩大類：（1）使用特征字與掩碼相結(jié)合進行協(xié)議識別的DPI技術(shù)；（2）使用正則表達(dá)式庫進行協(xié)議識別的DPI技術(shù)。

2 高校校園網(wǎng)絡(luò)的現(xiàn)狀

目前大部分高校都已建成完善的園區(qū)網(wǎng)，普遍采用傳統(tǒng)的三層結(jié)構(gòu)（核心層、匯聚層和接入層），并租用運營商電路實現(xiàn)與互聯(lián)網(wǎng)的高速對接。

校園網(wǎng)的主要特點是學(xué)生是網(wǎng)絡(luò)的主要用戶。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，學(xué)生作為社會最活躍的團體，對于網(wǎng)絡(luò)新興服務(wù)需求迫切，尤其是視頻服務(wù)。造成的結(jié)果是對網(wǎng)絡(luò)帶寬的占用比例極高，造成傳統(tǒng)服務(wù)的服務(wù)質(zhì)量下降。

以我院為例，我院校園網(wǎng)絡(luò)始建于2008年，網(wǎng)絡(luò)已覆蓋教學(xué)、辦公、生活等區(qū)域，其中學(xué)生宿舍網(wǎng)絡(luò)出口帶寬所占比例達(dá)到80%以上，其中多以視頻、P2P應(yīng)用為主。

3 采用流量控制技術(shù)調(diào)整出口應(yīng)用

在具體實現(xiàn)方面，采用了Panabit軟件。Panabit是北京派網(wǎng)軟件公司開發(fā)的免費的應(yīng)用層流量控制系統(tǒng)，是基于穩(wěn)定性極高的FreeBSD開發(fā)的?？稍跒g覽器中對系統(tǒng)進行圖形化管理，界面友好，操作簡便。

3.1 Panabit流量控制系統(tǒng)的部署

（1）安裝。

Panabit需要獨立安裝在一臺計算機中，硬件配置要求如表1。

由表1可見，對于目前PC的硬件水平完全可以滿足安裝需要，只需要在計算機中多加裝兩塊網(wǎng)卡即可。

Panabit的硬件部署在網(wǎng)絡(luò)出口上。配置的3塊網(wǎng)卡，1塊用于管理Panabit管理系統(tǒng)，另外2塊分別用于采集上傳和下載流量的數(shù)據(jù)。

（2）Panabit系統(tǒng)的初始化配置。

①首先配置系統(tǒng)的IP地址等基礎(chǔ)信息（在此全部都采用校園網(wǎng)內(nèi)部私有地址），以便遠(yuǎn)程管理（采用HTTPS協(xié)議）。

②選擇網(wǎng)絡(luò)配置下的“數(shù)據(jù)接口”選項，兩塊網(wǎng)卡的“應(yīng)用模式”均選擇為“透明網(wǎng)橋”。

3.2 Panabit系統(tǒng)的流量控制策略的配置

（1）分配帶寬。

Panabit對帶寬的分配有三種模式：即帶寬限制，帶寬保證，帶寬預(yù)留。根據(jù)我院對網(wǎng)絡(luò)需求的實際情況，采用了帶寬保證模式。下面對帶寬保證模式進行詳細(xì)的說明：首先，帶寬保證模式也具有帶寬預(yù)留模式的功能，即對特定IP組、特定協(xié)議預(yù)留出足夠的帶寬。例如教學(xué)、辦公IP組，教務(wù)系統(tǒng)的ITSP協(xié)議等。在此基礎(chǔ)上，帶寬保證在其預(yù)留的帶寬不能滿足應(yīng)用要求的時候，會從剩余的總帶寬里借用所需帶寬。例如每學(xué)期開學(xué)和學(xué)期末，學(xué)生大量選課，可以對選課系統(tǒng)的SSL等協(xié)議進行帶寬保證設(shè)置。

（2）建立策略組。

可以根據(jù)數(shù)據(jù)包的源地址、目的地址、應(yīng)用協(xié)議等建立策略組。

3.3 系統(tǒng)測試與分析

4 結(jié)語

為了提高網(wǎng)絡(luò)帶寬的利用率，使高校校園網(wǎng)絡(luò)的使用更趨合理，網(wǎng)絡(luò)流量分析及控制勢在必行，同時也是非常有效的手段?；ヂ?lián)網(wǎng)飛速發(fā)展，網(wǎng)絡(luò)流量分析及控制也隨之快速發(fā)展，為高校的教學(xué)等工作提供了穩(wěn)定的網(wǎng)絡(luò)基礎(chǔ)，使教學(xué)信息管理系統(tǒng)和教學(xué)資源共享平臺的搭建更為安全、高效。為高校的信息化教學(xué)做出了貢獻。

參考文獻

[1]劉劍鋒.部署運維管理平臺提高校園網(wǎng)運維水平[J].中國教育技術(shù)裝備，2011（10）.

[2]韓寧.淺議高校校園網(wǎng)建設(shè)與管理[J].科技創(chuàng)業(yè)月刊，2011（8）.

[3]周向軍.校園網(wǎng)流量識別與控制系統(tǒng)的建設(shè)[J].電腦知識與技術(shù)，2009（5）.

[4]牛軍，余萍萍，李思恩.校園網(wǎng)流量控制初探[J].中國教育信息化，2009（2）.