论文部分内容阅读
摘 要:当前高等教育发展迅速,高校对于网络需求与日俱增。受到建设成本和技术发展等因素的限制,网络需求与网络带宽的矛盾日益凸显。在高校出口实施网络流量分析控制能够很好的解决这一问题。
关键词:网络带宽 网络流量分析及控制 DPI、Panabit
中图分类号:TP393.1 文献标识码:A 文章编号:1672-3791(2013)05(b)-0249-02
随着高等教育信息化的发展,高等教育对于网络的依赖日渐增加,同时高校校园网的出口带宽要求也越来越高。但是受到资金、出口建设成本和网络技术等方面的限制,高校校园网出口带宽不可能无限提高,由此导致了高校校内用户日益增长的网络需求与出口带宽限制网络流量之间的矛盾。而通过对出口网络数据进行深层次应用分析制定相关策略能够在一定程度上缓解这一矛盾。
1 网络流量分析及控制的关键技术
网络流量分析及控制是指对数据包进行检测,并通过制定的策略对网络应用实现放行、限制或阻塞的技术。现今P2P类下载应用占用了大量的带宽资源,导致网络的拥堵和服务质量的下降。为了保证用户能够平等的使用网络带宽,需要采取必要的技术对P2P等应用进行一定程度的检测与调控。目前主要的分析控制技术如下。
1.1 传统防火墙对网络流量的分析及控制
传统防火墙都工作在OSI参考模型的第2、3、4层,通过对TCP/UDP端口、数据包的源/目的IP地址、MAC地址等进行过滤,实现对网络流量的监视。一般都是对数据包的包头来做策略,并不关心整个数据包的信息。传统防火墙对网络流量的处理方法一般都是阻塞某种协议常用端口,或者阻断客户端与服务器的连接等。由于不能有效的分析数据包内部信息,不能有效的了解用户应用层的信息,也就不能有效的限制用户的应用。采用传统防火墙阻断服务器与客户端连接的方法也已经不能准确的识别与控制。
1.2 DPI技术
深度报文检测技术DPI(Deep Packet Inspectio)是在分析数据包包头的基础上,增加了对OSI参考模型第七层即应用层的分析。当IP数据包、TCP、UDP数据流经过基于DPI技术的流量控制系统时,通过深入读取数据包的内容来对应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。DPI技术可以分为两大类:(1)使用特征字与掩码相结合进行协议识别的DPI技术;(2)使用正则表达式库进行协议识别的DPI技术。
2 高校校园网络的现状
目前大部分高校都已建成完善的园区网,普遍采用传统的三层结构(核心层、汇聚层和接入层),并租用运营商电路实现与互联网的高速对接。
校园网的主要特点是学生是网络的主要用户。随着网络技术的发展,学生作为社会最活跃的团体,对于网络新兴服务需求迫切,尤其是视频服务。造成的结果是对网络带宽的占用比例极高,造成传统服务的服务质量下降。
以我院为例,我院校园网络始建于2008年,网络已覆盖教学、办公、生活等区域,其中学生宿舍网络出口带宽所占比例达到80%以上,其中多以视频、P2P应用为主。
3 采用流量控制技术调整出口应用
在具体实现方面,采用了Panabit软件。Panabit是北京派网软件公司开发的免费的应用层流量控制系统,是基于稳定性极高的FreeBSD开发的。可在浏览器中对系统进行图形化管理,界面友好,操作简便。
3.1 Panabit流量控制系统的部署
(1)安装。
Panabit需要独立安装在一台计算机中,硬件配置要求如表1。
由表1可见,对于目前PC的硬件水平完全可以满足安装需要,只需要在计算机中多加装两块网卡即可。
Panabit的硬件部署在网络出口上。配置的3块网卡,1块用于管理Panabit管理系统,另外2块分别用于采集上传和下载流量的数据。
(2)Panabit系统的初始化配置。
①首先配置系统的IP地址等基础信息(在此全部都采用校园网内部私有地址),以便远程管理(采用HTTPS协议)。
②选择网络配置下的“数据接口”选项,两块网卡的“应用模式”均选择为“透明网桥”。
3.2 Panabit系统的流量控制策略的配置
(1)分配带宽。
Panabit对带宽的分配有三种模式:即带宽限制,带宽保证,带宽预留。根据我院对网络需求的实际情况,采用了带宽保证模式。下面对带宽保证模式进行详细的说明:首先,带宽保证模式也具有带宽预留模式的功能,即对特定IP组、特定协议预留出足够的带宽。例如教学、办公IP组,教务系统的ITSP协议等。在此基础上,带宽保证在其预留的带宽不能满足应用要求的时候,会从剩余的总带宽里借用所需带宽。例如每学期开学和学期末,学生大量选课,可以对选课系统的SSL等协议进行带宽保证设置。
(2)建立策略组。
可以根据数据包的源地址、目的地址、应用协议等建立策略组。
3.3 系统测试与分析
4 结语
为了提高网络带宽的利用率,使高校校园网络的使用更趋合理,网络流量分析及控制势在必行,同时也是非常有效的手段。互联网飞速发展,网络流量分析及控制也随之快速发展,为高校的教学等工作提供了稳定的网络基础,使教学信息管理系统和教学资源共享平台的搭建更为安全、高效。为高校的信息化教学做出了贡献。
参考文献
[1] 刘剑锋.部署运维管理平台提高校园网运维水平[J].中国教育技术装备,2011(10).
[2] 韩宁.浅议高校校园网建设与管理[J].科技创业月刊,2011(8).
[3] 周向军.校园网流量识别与控制系统的建设[J].电脑知识与技术,2009(5).
[4] 牛军,余萍萍,李思恩.校园网流量控制初探[J].中国教育信息化,2009(2).
关键词:网络带宽 网络流量分析及控制 DPI、Panabit
中图分类号:TP393.1 文献标识码:A 文章编号:1672-3791(2013)05(b)-0249-02
随着高等教育信息化的发展,高等教育对于网络的依赖日渐增加,同时高校校园网的出口带宽要求也越来越高。但是受到资金、出口建设成本和网络技术等方面的限制,高校校园网出口带宽不可能无限提高,由此导致了高校校内用户日益增长的网络需求与出口带宽限制网络流量之间的矛盾。而通过对出口网络数据进行深层次应用分析制定相关策略能够在一定程度上缓解这一矛盾。
1 网络流量分析及控制的关键技术
网络流量分析及控制是指对数据包进行检测,并通过制定的策略对网络应用实现放行、限制或阻塞的技术。现今P2P类下载应用占用了大量的带宽资源,导致网络的拥堵和服务质量的下降。为了保证用户能够平等的使用网络带宽,需要采取必要的技术对P2P等应用进行一定程度的检测与调控。目前主要的分析控制技术如下。
1.1 传统防火墙对网络流量的分析及控制
传统防火墙都工作在OSI参考模型的第2、3、4层,通过对TCP/UDP端口、数据包的源/目的IP地址、MAC地址等进行过滤,实现对网络流量的监视。一般都是对数据包的包头来做策略,并不关心整个数据包的信息。传统防火墙对网络流量的处理方法一般都是阻塞某种协议常用端口,或者阻断客户端与服务器的连接等。由于不能有效的分析数据包内部信息,不能有效的了解用户应用层的信息,也就不能有效的限制用户的应用。采用传统防火墙阻断服务器与客户端连接的方法也已经不能准确的识别与控制。
1.2 DPI技术
深度报文检测技术DPI(Deep Packet Inspectio)是在分析数据包包头的基础上,增加了对OSI参考模型第七层即应用层的分析。当IP数据包、TCP、UDP数据流经过基于DPI技术的流量控制系统时,通过深入读取数据包的内容来对应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。DPI技术可以分为两大类:(1)使用特征字与掩码相结合进行协议识别的DPI技术;(2)使用正则表达式库进行协议识别的DPI技术。
2 高校校园网络的现状
目前大部分高校都已建成完善的园区网,普遍采用传统的三层结构(核心层、汇聚层和接入层),并租用运营商电路实现与互联网的高速对接。
校园网的主要特点是学生是网络的主要用户。随着网络技术的发展,学生作为社会最活跃的团体,对于网络新兴服务需求迫切,尤其是视频服务。造成的结果是对网络带宽的占用比例极高,造成传统服务的服务质量下降。
以我院为例,我院校园网络始建于2008年,网络已覆盖教学、办公、生活等区域,其中学生宿舍网络出口带宽所占比例达到80%以上,其中多以视频、P2P应用为主。
3 采用流量控制技术调整出口应用
在具体实现方面,采用了Panabit软件。Panabit是北京派网软件公司开发的免费的应用层流量控制系统,是基于稳定性极高的FreeBSD开发的。可在浏览器中对系统进行图形化管理,界面友好,操作简便。
3.1 Panabit流量控制系统的部署
(1)安装。
Panabit需要独立安装在一台计算机中,硬件配置要求如表1。
由表1可见,对于目前PC的硬件水平完全可以满足安装需要,只需要在计算机中多加装两块网卡即可。
Panabit的硬件部署在网络出口上。配置的3块网卡,1块用于管理Panabit管理系统,另外2块分别用于采集上传和下载流量的数据。
(2)Panabit系统的初始化配置。
①首先配置系统的IP地址等基础信息(在此全部都采用校园网内部私有地址),以便远程管理(采用HTTPS协议)。
②选择网络配置下的“数据接口”选项,两块网卡的“应用模式”均选择为“透明网桥”。
3.2 Panabit系统的流量控制策略的配置
(1)分配带宽。
Panabit对带宽的分配有三种模式:即带宽限制,带宽保证,带宽预留。根据我院对网络需求的实际情况,采用了带宽保证模式。下面对带宽保证模式进行详细的说明:首先,带宽保证模式也具有带宽预留模式的功能,即对特定IP组、特定协议预留出足够的带宽。例如教学、办公IP组,教务系统的ITSP协议等。在此基础上,带宽保证在其预留的带宽不能满足应用要求的时候,会从剩余的总带宽里借用所需带宽。例如每学期开学和学期末,学生大量选课,可以对选课系统的SSL等协议进行带宽保证设置。
(2)建立策略组。
可以根据数据包的源地址、目的地址、应用协议等建立策略组。
3.3 系统测试与分析
4 结语
为了提高网络带宽的利用率,使高校校园网络的使用更趋合理,网络流量分析及控制势在必行,同时也是非常有效的手段。互联网飞速发展,网络流量分析及控制也随之快速发展,为高校的教学等工作提供了稳定的网络基础,使教学信息管理系统和教学资源共享平台的搭建更为安全、高效。为高校的信息化教学做出了贡献。
参考文献
[1] 刘剑锋.部署运维管理平台提高校园网运维水平[J].中国教育技术装备,2011(10).
[2] 韩宁.浅议高校校园网建设与管理[J].科技创业月刊,2011(8).
[3] 周向军.校园网流量识别与控制系统的建设[J].电脑知识与技术,2009(5).
[4] 牛军,余萍萍,李思恩.校园网流量控制初探[J].中国教育信息化,2009(2).