流量控制设备在校园网的应用

1、流量控制设备在校园网的应用摘要：随着信息技术的发展，网络应用的丰富，网络 架构及流量变得异常复杂 1 。在高校校园网尤其如此，该文 对加载流控设备前后，校园网络的使用情况做了详细对比， 并针对高校特点，提出了如何在流控设备上设置相关策略， 为进一步探索网络应用层流量控制奠定了基础。关键词：流控设备；带宽；流量；策略；特征码 中图分类号： TP393 文献标识码： A 文章编号： 1009-3044(2011)16-3844-02Flow Control Equipment in Campus NetworkXIAO Cheng(Southwest Petroleum University, C

2、hengdu 610500, China)Abstract: With the development of information technology and kinds of web applications, network architecture and traffic has become exceptionally complex. Especially in the campus network, the paper before loading flow control equipment, the use of the campus network to do a det

3、ailed comparison, and for the university, we proposed how to set the flow control device related strategies, to further explore the network application layer traffic Control of the foundation.Key words: flow control equipment; bandwidth; flow;strategy; signature1 概述 随着网络应用的多样化发展，越来越多的带宽被各种应 用所占用。象高校

4、校园网这样大型的网络主要目的是方便在 校师生查阅科研资料、掌握实时信息2 。然而在有限的带宽中，这类基础应用正被其他应用逐渐侵蚀， 为了解决该问题， 就必须识别出各种网络应用。本文通过介绍流控设备的应用， 介绍了其中一种有效控制网络应用带宽的方法。2 未加载流控设备 未使用流控设备前，主要通过以下两种手段监控校园网 网络情况。1）通过防火墙监控外网出口情况 在阿姆瑞特防火墙实时监控模块中，可以查看各接口实 时流量情况、防火墙CPU占用率和用户会话连接数等信息3图 1 是未加载流控设备时，通过阿姆瑞特防火墙查看到的相 关信息。2）通过网管软件PRTG监控各区域网络情况。图2是学校某区域网络流量情

5、况（红色代表下行流量，绿色代表上行 流量）。通过上面的图例分析，可得出以下结论。1）防火墙CPU平均占用率处于较高的峰值状态一一接 近 90%，并且出现最高峰值 99%的频率非常高。由于阿姆瑞 特防火墙自身机制特点： 当 CPU 达到 99%时将不转发任何数 据，因此，当CPU处于99%时，防火墙将丢弃数据包，用户 端可以明显感觉到上网出现卡断的现象。2）外网三个出口（教育网、电信、联通）带宽被占满。 比如：我校电信接口带宽为 200M ，但是在网络使用高峰期 时，电信接口的上行和下行流量带宽都超过了 200M ，部分 用户上网就会感觉到速度很慢，甚至打开网页延时都很长。3）外网出口流量异常。

6、 由于对用户网络应用缺乏可控性， 部分用户（比如图 2 所列区域）发送大量请求至外网，造成 出口带宽上行流量很大，甚至超过下行流量，这种非正常的 流量形式严重影响了网络速度。3 加载流控设备3.1 未配置任何策略 在核心交换机和防火墙之间串联流控设备后，通过流控 设备自带流量分析功能，清晰查看整个校园网网络应用分布 情况。通过图 3，可以看出该流控设备能以两种形式对网络流 量进行分析。1）以 IP 模式分析，密切关注某个具体 IP 地址产生过大 流量，网络管理员可以通过跟踪该 IP 地址的上下行流量状况 排查网络故障，尤其定位大规模病毒爆发时的病毒源。2) 以网络应用模式分析， 方便网络管理员

7、根据自身网络 带宽调整网络应用格局，保证关键业务的顺畅。3.2 根据校园网实际需求情况设置策略 考虑校园网应满足全校师生日常办公、实验教学以及业 余时间娱乐等方面的应用，分别从以下三方面对校园网网络 应用进行控制。1) 按区域划分， 根据各区域的职能定位不同的网络应用。 办公区：经常上网查阅资料，首要保证浏览网页速 度快捷、收发邮件迅速、基于 web 的下载顺畅。 实验区：实验教学场所，也应保证上网查阅资料、 收发邮件、正常资料下载等应用，但是对于大量使用 p2p 下 载电影、在线视频以及网络游戏等应用必须严格控制，限制 在一个较小的范围内。 教工区：教师工作休息的地方，适当放宽娱乐等应 用的

8、带宽，但是前提要保证办公区、实验区的关键应用。 学生区：同教工区性质差不多，也应在保障相关应 用前提下适当放宽娱乐业务的带宽。2) 按时间段划分， 首要保证白天办公时间关键业务的开 展。比如白天办公时间对教工区和学生区要限制其 p2p 、在 线视频、网络游戏等应用的带宽，而在晚上可以适当放宽这 些应用的带宽。3) 按应用划分。 该策略取决于流控设备厂商所搜集的各种网络应用的特征码，特征码越多对网络的控制力就越强3.3 加载策略后查看网络流量1) 在流控设备上查看网络应用分布 通过流控设备可有效控制校园网网络应用分布，使其结 构布局更合理，让用户感觉到上网速度与学校外网带宽大小 相匹配。2) 查

9、看防火墙实时监控模块 通过流控设备控制校园网网络流量后，可以看到防火墙 有两处明显变化：第一，防火墙CPU利用率不像之前那样长期处于一个较高值状态，并且出现峰值为99%的频率很小第二，外网三个出口带宽有空余，并且上下行流量正常，上 行流量小于下行流量。3) 查看加载流控设备前流量异常区域的最新情况 加载流控设备后，校园网各区域上下行流量正常，同时 网速较未加流控设备时，有明显提升。4 结束语 网络发展日新月异，尤其是各种应用软件更新快速，传 统的基于TCP/IP端口的ACL策略已经无法有效控制网络应用 4，越来越多的应用，像 p2p、在线视频、网络游戏等均可 以通过一般的 http 端口(即

10、80 端口)进行数据的传递，并 且这些应用占用带宽很大，即使拥有较大的出口带宽也会由 于这类应用的大量使用，造成用户不能顺畅的打开网页、收 发邮件等基本业务操作。在这种形式下，流控设备很好帮助 网络管理员重新掌握主动权，根据校园网的定位去合理规划 网络应用的分布比例。通过调整不同网络应用的带宽比例， 保证用户上网办公服务的同时，适当利用充裕带宽满足像 p2p、在线视频等软件应用。另一方面，流控设备有助于网 络管理员分析网络异常流量， 通过查看具体 IP 收发数据情况、 未知应用所占带宽比、上下行流量异常等手段，找出异常流 量的根源，保障校园网的通畅。参考文献：1 锐捷网络 .网络应用控制引擎技术 EB/OL.2 郭静，肖诚.