网络流量监控与分析范文

时间:2024-03-11 17:41:51

导语:如何才能写好一篇网络流量监控与分析,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络流量监控与分析

篇1

互联网迅速发展的同时,网络安全问题日益成为人们关注的焦点,病毒、恶意攻击、非法访问等都容易影响网络的正常运行,多种网络防御技术被综合应用到网络安全管理体系中,流量监控系统便是其中一种分析网络状况的有效方法,它从数据包流量分析角度,通过实时地收集和监视网络数据包信息,来检查是否有违反安全策略的行为和网络工作异常的迹象。

在研究网络数据包捕获、 TCP/IP原理的基础上,采用面向对象的方法进行了需求分析与功能设计。该系统在VisualC++6.0环境下进行开发,综合采用了Socket-Raw、注册表编程和IP助手API等VC编程技术,在系统需求分析的基础上,对主要功能的实现方案和技术细节进行了详细分析与设计,并通过测试,最终实现了数据包捕获、流量监视与统计主要功能,达到了预定要求,为网络管理员了解网络运行状态提供了参考。

关键词:网络管理;数据采集;流量统计;Winsock2

1 引言

1.1 课题背景

随着构建网络基础技术和网络应用的迅速发展以及用户对网络性能要求的提高,使得网络管理成为迫切需要解决的问题,有效的网络管理能够保证网络的稳定运行和持续发展,更重要的是,随着网络规模的扩大和黑客技术的发展,入侵和攻击的案例日益增多,对稳定的网络服务、信息安全、互联网秩序都提出了严峻的挑战,网络安全管理在整个网络管理系统里扮演起更为重要的角色。

1.2 网络安全管理的现状与需求

目前,在网络应用不断深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。从网络安全专业管理人员的角度来说,最直接的需求就是根据分类在统一的界面中监视网络中各种运行性能状态,获取相关数据信息、日志信息和报警信息等,并进行分类汇总、分析和审计;同时完成攻击事件报警、响应等功能。因此,用户的网络管理需要不断健全整体网络安全管理解决方案,从统一安全管理平台总体调控配置到多层面、分布式的安全系统,实现对各种网络安全资源的集中监控、策略管理、审计及多种安全功能模块之间的互动,从而有效简化网络安全管理工作,提升网络的安全水平和可用性、可控制性、可管理性。

1.3 网络流量监控的引入

网络安全管理体系中,流量监控和统计分析是整个管理的基础。

流量检测主要目的是通过对网络数据进行实时连续的采集监测网络流量,对获得的流量数据进行统计计算,从而得到网络主要成分的性能指标。网络管理员根据流量数据就可以对网络主要成分进行性能分析管理,发现性能变化趋势,并分析出影响网络性能的因素及问题所在。此外,在网络流量异常的情况下,通过扩展的流量检测报警系统还可以向管理人员报警,及时发现故障加以处理。在网络流量检测的基础上,管理员还可对感兴趣的网络管理对象设置审查值范围及配置网络性能对象,监控实时轮询网络获取定义对象的当前值,若超出审查值的正常预定值则报警,协助管理员发现网络瓶颈,这样就能实现一定程度上的故障管理。而网络流量检测本身也涉及到安全管理方面的内容。

由此可见,对于一个有效的网络安全管理系统来说,功能的实现都或多或少的依赖于流量信息的获取。因此网络流量信息的采集可以说是网络安全管理系统得以实现的核心基石。它的应用可以在一定程度上检测到入侵攻击,可以有效地帮助管理人员进行网络性能管理,并利用报警机制协助网管人员采取对应的安全策略与防护措施,从而减少入侵攻击所造成的损失。

1.4 本文的目的与任务

该网络流量监控及分析工具主要用途是通过实时连续地采集网络数据并对其进行统计,得到主要成分性能指标,结合网络流量的理论,通过统计出的性能指数观察网络状态,分析出网络变化趋势,找出影响网络性能的因素。

本设计题目是教师自拟项目,前期任务主要是设计并完成系统的初步框架,实现网络数据的捕获,并解决相应问题,后期主要是通过一些API函数完成对各类数据信息的统计。

本系统实现以下功能:

(1)采用Winsock编写原始套接字Socket-Raw对数据包进行采集捕获,并可实现分类及自定义范围进行捕获;

(2)对捕获的数据包进行一定的解析;

(3)访问操作系统提供的网络性能参数接口,得到网卡总流量、输入流量和输出流量;

(4)系统提供了多种方式显示结果,如曲线图、列表等;

(5)使用IP帮助API获取网络统计信息;

(6)实现对部分常见威胁的预警,可继续开发扩展其报警功能。

篇2

关键词:网络流量;监测技术;具体应用

中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 17-0000-02

随着网络规模的日益扩大和网络结构的日益复杂,导致计算机网络管理的难度越来越大,相应的要求也变得越来越高。各种网络活动都离不开网络流量,网络流量作为网络用户活动的主要载体,发挥着较为重要的作用。通过监测分析网络流量,可以完成容量规划、链路状态监测、异常监测、网络性能分析等,对于计算机网络的维护和运行都能够发挥重要作用。如netcounter是一款简单易用的网络流量监控软件。它可以分别显示手机网络和wifi当天、本周、本月和所有时间的流量统计。本文就计算机网络管理中网络流量监测进行研究。

1 网络流量的特征

1.1 大部分TCP会话是短期的。对于TCP会话而言,超过90%的会话时间都不会超过几秒,交换数据量一般都在5-10K字节,很少有能够10K字节的。虽然远程登陆和文件传输之类的TCP会话是长期的,但是百分之八十多的WWW文档传输大小都是小于10K字节,而目前这种WWW文档传输大幅度增加,从而导致大部分TCP会话是短期的。

1.2 数据流是双向的,但通常是非对称的。对于计算机网络而言,大部分互联网应用都不采用单向交换,而是双向交换数据,所以,网络流量也自然都是双向的。但通常这两个方向的数据率存在很大的差异,主要原因就在于:网站到客户端的数据量会由于网站下载而比客户端到网站的数据量多。

1.3 网络通信量具有局域性。对于网络流量而言,一般都包括两种局域性,分别是空间局域性和时间局域性。用户通过互联网应用层来对网络进行访问,主要是在包的目的地址和时间上进行体现,从而显示出空间局域性(基于空间相关)和时间局域性(基于时间相关)。

1.4 包的到达过程不是泊松过程。按照传统的通信网络设计和排队理论都假设泊松过程就是包的到达过程,也就是说,包到达的间断时间的分布是独立的指数分布。

例如电话、交通事故、地震等事件都是独立地、按照一定的概率来发生的,这也就是泊松到达过程。但是根据近年来测量互联网络通信量的显示结果表明,泊松过程已经不再是包到达的过程。包的到达具有有突发性,在很多时候都会有多个包连续到达,包到达的间断时间不是独立分布的,同时也不服从指数分布。包的到达过程已经不能被泊松过程来精确描述。造成这样的原因部分在于数据传输所使用的协议。这种非泊松结构使得人们在研究网络的可靠性时不再采用简单的泊松模型,从而使得网络通信量模型的研究大大促进。

2 计算机网络管理中网络流量监测的方法

在深入了解互联网通信特性之后,我们在监测网络流量的时候就可以采取相应的技术措施。从目前的实践经验来看,计算机网络管理中网络流量监测的方法主要有两种,分别是被动测量和主动测量。

2.1 主动测量。主动测量的工作原理就是通过测量设备来测量端到端的网络流量和网络特征,进而了解被测网络当前提供数据传输的能力和具体的运行状态。在主动测量网络流量的过程中,网络测量系统应当由四个部分构成,分别是分析服务器、中心数据库、中心服务器、测量节点。

主动测量网络流量的最大优点就在于三个方面,分别是灵活性、可控性、主动性都较好,而且还能够直观地统计端到端的性能。但是主动测量网络流量的方法也存在着不足之处,那就是实际情况与我们所获得的结果存在着一定的偏差,主要原因在于主动测量是主动对网络注入流量。

2.2 被动监测。被动测量其监测原理是通过部署一定的网络设备和监测点来被动地获取网络流量的数据和相关信息,这是一种典型的分布式网络监测技术。被动监测恰恰弥补了主动监测的缺点和不足,它不会对原有网络流量进行改变,自然也就不会如主动监测一样造成这样大的偏差,实践也证明了这一点。但是被动监测也存在着自身的不足,主要就是它采集数据和相关信息是从单个点或设备进行的,这种实时采集的方式很有可能会泄露数据,也很难有效分析网络端对端的性能看,采集信息数据量过大,但是总的来说,被动测量的优点是占主导地位的,所以被动测量比主动测量应用更为广泛,正在被大量地应用在对网络流量分布进行分析和测量中。

3 网络流量监测技术的具体应用

3.1 为网络出口互联链路的设置提供决策支持。通过有效地分析网络出口流向和流量,能够有效地掌握网络内部用户对于网络的访问情况,从而可以有效的决策,减少互联链路中的浪费现象,有效地节约开支。同时,通过网络流量监测与分析,能够为各种网络优化措施,如路由选择、重要链路带宽设置、多出口流量负载均衡等提供正确的数据依据。

3.2 网络流量监测可以对网络运行商提供大客户统计分析和重要应用的统计分析。通过对这些流量进行统计分析,可以有效地分析网络带宽成本,有助于在网络成本和网络服务质量二者之间取得最佳平衡点,既让大客户满意,又能够让网络运行商有较好的盈利。同时,通过监控分析大客户接入电路上的流量,能够有效地统计出通信数据量、通信时间、服务等级、业务类型等多个参数,为基于服务等级协议(SLA)和IP的计费应用的校验服务提供正确的数据依据。

3.3 通过对各个分支网络出入流量的监控,分析流量的大小、方向及内容组成,了解各分支网络占用带宽的情况,从而反映其占用的网络成本,作出价值评估。

3.4 掌握网络内部用户对其他运营商的网络访问情况。通过监控网络内部用户对其他运营商的网络访问情况,可以有效地掌握用户对于那些网站有兴趣,也可以准确地分析网络内部用户访问外网主要流量方向及业务特点,根据分析结果来有的放矢,找到广大网络用户感兴趣的热点信息,然后对自己的网络内容进行相应的补充和建设,减轻用户流失。同时,长期监控一些特定网络流量,有助于网络流量模型被网络管理人员所了解、所掌握,网络管理人员可以通过所掌握的基准数据来对网络使用状况进行正确的分析,在网络安全存在隐患的时候就能够及时异常警讯,采取相应的防御措施,从而使得整个网络的整体效能和整体质量都得到大幅度的提升。

4 结语

随着网络流量监测技术的完善,必将为提高计算机网络管理的管理水平和服务质量发挥更为重要的作用。

篇3

关键词:局域网;网络流量;控制;管理

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-9063-02

现在的网络带宽不断增加,但是网络速度却经常出现问题,很多企业和运营商都面临这样的困境,因为网速变慢,增加带宽,可是投入越来越大,网速却越来越慢。其实造成宽带拥塞的原因有很多,出口带宽永远低于桌面带宽是最根本的原因。而且由于网络的快速发展,人们对网络的要求越来越高,特别是近年P2P等下载软件和网络电视的流行,更使本来就不多的网络资源捉襟见肘。要想改善网络环境,提高网速,最主要的还是要控制P2P、网络视频等软件,做好网络流量的监控和管理。

1 局域网网络流量监控方法

网络流量监控主要的目的是通过对网络数据进行实时连续的采集监测,对获得的数据进行统计分析,从而得出网络的主要性能指标,根据流量数据对网络进行分析管理。网络流量监控一般可以使用网络监控设备或网络流量监控软件。由于目前局域网中原有的网络设备大多是基于三层IP管理的设备,对新兴的以P2P模式为主流的新型应用管理无能为力,无法阻止如BT这类P2P软件的泛滥成灾,进而导致重要的网络应用带宽无法保证,要解决这一问题,就必须使用面向应用的网络流量控制软件,对整个网络进行全面管理与优化。由于目前网络应用的多样性发展,网络流量的种类也越来越多,最为常见的网络流量有以下几种:

1) P2P流量:P2P文件共享是网络带宽的消耗大户,特别是在夜间,这个时间段网络带宽竟有95%被P2P占据。

2) FTP流量:FTP是从互联网刚开始出现时就一直被用户频繁使用的服务,它的重要性仅次于HTTP和SMTP。目前因为出现了P2P应用,FTP的重要性有所降低,但它仍然是不可缺少的下载文件途径之一。

3) SMTP流量:电子邮件无疑是网络应用的重要组成部分,统计显示有3/4以上的用户上网的目的主要就是收发邮件,而因为电子邮件的免费使用,被人们当成了散发自己广告信息的有效工具,从而导致了互联网中大量的垃圾邮件泛滥。

4) VoIP流量:2006年全球IP电话用户从1030万增长到1870万,增幅达83%。2007年VoIP通话量已达到全部通话量的75%。因此,互联网上VoIP的流量也是非常值得管理员关注的。

5) HTTP流量:HTTP是互联网上使用最为广泛的协议,目前已经取代传统文件下载的主要应用层协议FTP,而现在随着视频共享网站的拉动,HTTP协议的网络流量大大增加,已经超过了P2P应用的流量。

6) Streaming流量:随着PPLive、PPStream等视频软件的出现,广大互联网用户已经习惯于通过视频直播和点播观看节目,其流量也在不断地增加。

针对以上这些流量种类,我们可以分别采取不同的措施进行控制。当然,不论是什么网络症状,我们都需要根据自身的情况对症下药,这样才会事半功倍!

2 局域网流量控制与管理策略

流量控制通常的做法是在输出端口处建立一个队列进行流量控制,控制的方式是基于路由,亦即基于目的IP地址或目的子网的网络号。

2.1 通过路由控制流量

当前,很多路由器也具有流量控制功能,最近TP-Link TL-R410+、TL-R460+等桌面型型号路由器进行了升级,新增了“流量控制”功能,可有效控制局域网内每一台电脑所占用的带宽大小,合理管控部分P2P软件的下载速度,防止少数用户过度占用带宽,解决大多数用户网速慢、上网卡等问题。

2.2 禁止P2P下载

P2P下载是抢占流量带宽的罪魁祸首,其方法主要是:

使用注册表禁止P2P下载软件编辑一个名字为KillP2P.reg的注册表文件,内容如下:

WindowsRegistryEditorVersion5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"DisallowRun"=dword:00000001[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]

"1"="BT.exe"

"2"="Thunder.exe"

"3"="bitcomet.exe"

"4"="………."

"5"="………."

想限制哪种P2P软件,只需将P2P下载软件的可执行文件填写到1、2后面即可。将KillP2P.reg文件导入注册表后,重新启动机器,KillP2P.reg中限制的P2P软件将无法运行了。

其实,在控制P2P下载这方面,效果较好的要属国内的聚生网管这款软件,它是根据P2P软件的协议特征来进行控制,最为严格最为有效。如果对注册表不是很熟悉,可以直接去使用此软件控制。

2.3 进行时间段管理

现在有些宽带(无线)路由器也具有时间限制功能,目的是针对某参数某功能采取时间调度进程的方式管理其开与关,就是符合时间段内则开启,不符合时间段内就关闭。一般来说在路由器管理界面中有专门的所谓“调度进程”的选项,这个就是时间管理与控制的最基本要素,通过调度进程实现制定时间规则的目的。

时间管理存在于各个厂商各个品牌的宽带(无线)路由器中,他也是无线路由器未来功能发展的趋势,随着技术的发展,会有越来越多的参数与功能打上“调度进程”的标签,让我们根据自己的实际需要选择开关的时间段以及不同时间段下不同的参数值。总之,控制好时间,可以让网络更好的为我们服务。

2.4 限定局域网主机速度

限制局域网主机上传和下载的速度,允许其进行P2P软件下载,但是将其下载的速度限制在合理的范围内,使其不至于影响其他人正常浏览网页或下载,但是,一定要注意上传带宽不超过下载带宽。

以上解决方案部署、操作都比较麻烦、技术性要求较高,如果想彻底解决局域网带宽流量问题,我们可以借助网络管理软件进行管理。国内这方面的软件众多,比如聚生网管,这款软件操作非常简单,可以从聚生网管的官方网站下载试用。

3 局域网流量异常发现与处理

借助网络监控软件,网管能轻松监控局域网的流量异常的电脑,既保证局域网的畅通高效,又能确保局域网安全运转。

异常流量可能导致局域网运行缓慢,甚至可能造成局域网全面瘫痪,那么到底是什么原因造成这种现象呢?对于局域网中的每台主机,网管员不可能全部监视或者逐一排查,那么有什么办法能够解决这个问题呢?

3.1 找出流量过大的电脑

要想解决局域网流量异常的问题,首先要找出局域网中流量异常的主机,它是造成整个局域网异常的元凶。通常我们可以借助网络监控软件,使用很简单,只需在局域网中任意一台主机安装,就可以监控整个局域网。包括对网页、QQ、MSN、FTP、收发邮件等进行监控,还可以进行流量统计、控制上网、冲突警告、连接探测、IP绑定等功能。

在安装网络监控软件之前,会提示网管安装WinPcap程序,如果不进行安装,则不能捕获局域网中的数据。当软件第一次运行时,会提示网管选择网卡,这一步非常重要,如果选错了网卡,那么将不能获取局域网的相关数据。不过,有些监控软件有自动检测功能,默认就能正确识别网卡。正确选择了网卡,相应的IP地址、MAC地址、子网掩码等也会自动显示。

借助软件网管可以对整个网段进行监控,我们可以更改设置,比如只监视某个IP范围的几台机器,网管还可以看到每台机器的流量记录、网页记录、QQ聊天、MSN数据流量、FTP数据流量、收发邮件数据等,根据这些流量记录,找出哪台电脑占用带宽多,抢占局域网资源,从而找到流量异常的电脑。

3.2 对异常主机发出警告

借助网络监控软件,网管可以非常轻松地找到流量异常的主机,接下来,网管有必要对之进行警告。当然,网管不是到他们的办公室逐一警告,网管只需要借助监控软件的消息发送功能即可。要注意的是,网络监控软件是调用系统的信使服务发送消息,因此只有对方电脑的信使服务开启才能收到网管的警告。

如果通过上面的警告方式没有起到成效,那么可以选中问题主机,采取“禁止上网”措施,这时对方将马上断开网络。此外,针对病毒木马导致的网络流量过大,网管还可以进行远程关机或者重启。

除了监控功能外,功能比较强大的网络监控软件还针对用户随意更改IP地址的情况提供了IP-MAC绑定功能,一旦绑定后,用户将无法更改其IP地址了。

总的来说,网络监控软件提供了非常丰富的网络管理和安全管理功能,是企业局域网中不可或缺的管理工具,网管借助这个软件可以高效地管理局域网。

值得注意的是,网管员在部署网络监控软件前,务必和主管领导沟通好监控的范围和方式,切忌用监控软件干超过自己权限的事情,以免引来不必要的麻烦。

4 结语

目前对于网络流量监控最有效的方法是使用流量监控软件,选择一款有效的流量监控工具,网管能够清楚的看到哪个用户使用网络资源最多,使整个网络使用情况变成透明。让管理者一目了然,是进行有效管理的前提。当然,光靠外来的方法永远不可能彻底解决问题,想要进行有效的网络管理,首先一定要通过管理层的决策,建立合理的上网管理制度。只有这样,才能有效的进行局域网流量的控制与管理。

参考文献:

[1] 李晟,甘勇.网络流量测量与分析研究现状及发展趋势[J].郑州轻工业学院学报(自然科学版),2005年02期.

[2] 王立梅,朱海涛.局域网流量分析及性能评价[J].中国科技信息,2008年12期.

[3 ]林川,胡波.网络性能测试与分析[M].北京:高等教育出版社,2009.

篇4

关键词:网络安全,流量监控,数据备份,远程同步

 

1.引言

在互联网飞速发展的今天, 越来越多的公司关和企事业单位拥有了自己的网站。 网站不但是信息传播的工具, 也是非常好的商业运营方式。但由于互联网在安全方面的脆弱性,以及黑客对网站的攻击,使得网站的运行安全是我们设计网站时需要解决的问题。网站的安全不应仅依赖于防火墙和入侵检测, 也需要使用对网站的监控和恢复技术,力争使损失达到最小。而一些大型网站更是会在很多不同的地点建立分站点,一方面能提高用户的访问速度,分担负载,另一方面也是为了使得各分站的数据能够实现同步传输,防止因为各种原因造成的数据丢失所产生的损失。本文正是基于此目的,以12530网站系统为基本构架 ,Linux为操作系统 ,规划配置出一套能够对网站日常的运行进行监控与保护的相对安全的网络系统的方案。

2.网页监控和保护系统基本构架

如图1 所示 ,在本次12530网站建设中,我们将网站监控和保护系统基本构架设计成主要的三部分:(1)网络服务器。系统的主控台 , 拥有良好的人机界面 ,对静态网页和动态脚本进行校验。(2)备份服务器。对静态页面、动态脚本、静态网页和动态脚本的校验值及数据库数据进行备份。(3)Rsync-server服务器。将产生的数据与其他分站进行远程双向同步。

图1 网页监控和保护系统基本组成

3.实现对网络流量实时监控与异常报警

随着网络规模的不断扩大,容量不断增加,新的应用不断出现,网络环境变得更加复杂、多变和异构,对网络流量进行监控与分析已成为对网络行为分析的主要可行途径。通过对整个网络进行流量监测,获得网络设备及骨干网每时每刻的流量数据,并对其进行分析和研究,才能发现整个网络运行的规律,不断提高网络安全性能。目前在世界各地有许多公司和学术团体 , 根据不同的计算机系统与需要开发出不同的网络流量监控工具如Cacti, Sniffer Pro, ROM II, NetDetector,Netxray等相关软件。表1 列出了五种流量采集工具的主要性能比较。

篇5

【关键词】 通信 网络优化 IP数据包 流量

通信网络在当今的工作和生活中不可或缺,越来越多的人接受并应用这种高效的方式。当然这对新时期的通讯网络优化提出了新的要求。为了发挥通信网络在各个领域的积极作用,笔者将其运行中常出现的问题进行分析,主要针对IP数据包流量的相关问题进行了具体的分析。

一、当下网络流量分析技术的应用

通讯网络应用领域的扩大使其应用要求提高,尤其是在高科技的生产环境中,网络流量的正确分析是对工作环境和工作效率的保障,要求数据传输具有准确性和可靠性特征。而网络融合所造成的与IP 流量增加也是基础的管理问题,当然也成为来自网络恶意攻击行为的目标。而在网络流量包的分析帮助下,管理工作变得更加顺畅,管理人员很容易发现来自网络的攻击,并且对攻击源进行正确的定位,通过一定的技术手段来解决网络运行中的这一问题。目前,这种方式主要应用于局域网的保护。其具体的过程为:对IP数据包陆良进行分析,优化网络链路设置,从而深入局域网内部获得更多的数据,甚至是获得边界数据的交换现状,通过调整来确保网络链路的合理性,使其与运营商之间正常的互联,控制流量使用并确保流量足够。为了了解网络的运行状态,也要通过流量分析来实现。网络运行安全十分重要,这要求使用者和检测者对其进行分析,尤其是分支网络的维护,包括维护效果、成本或价值的评估,了解网络程序宽带占用情况,从而通过正确的优化来降低网络的运营成本,提高网络通信效率,确保其可持续发展。通过IP数据包流量研究也能够防范分布式拒绝服务。通过IP流量分析,可以使使用者在第一时间了解局域网的运行环境,掌握其内部组织结构的工作特征。在节点的数据传输控制中同样具有重要的作用,通过这一过程,推进了网络数据生命周期的识别,完成网络的油锅过程,在一些特殊的工作环境中,还可以实现工作流程自身的优化。

二、通信网络优化下的IP包流量研究

网络优化背景下,IP包流量分析客户确保网络的优化进度和效率。在网络通信领域始终被视为重点。在工作中,IP包流量分析是以连续不断的网络数据采集、处理和记录等方式完成的,结合网络流量的相关信息来计算IP包的性能。结合网络流量的原理,通过统计出的性能指数分析网络运行趋势,对存在安全隐患的进行处理。分析影响网络稳定的主要因素并进行解决。网络数据传输是一个复杂的过程需要多个设备的连续不断的动作才能完成,其中主要是指获取系统的主机名、IP 地址和MAC 地址。同时,整理流入流出网卡的数据包,获取数据流量,从而正确分配源地址和目的地址、源端口和目的端口。在流量分析的具体进行中,才可以确保网络运行的优化,为其提供数据基础。通信网络优化过程中,完整的IP数据包应具有一定的功能基础。并且主要体现为基本数据信息的获得和分析处理能力,对网络流量的监控和对IP数据包的解析功能。也包含了数据包发送端的一些数据的统计和分析,用于对不同运行环境中主机身份的确定身份识别。可以有效的减少网络攻击,确保网络运行安全。

而网络流量监控职能,则是在对局域网运行环境的监控来实现。这一过程的主要作用是对于网卡中流入和流出的数据包进行统计,计算出单位时间内的网络字节数,从而使分析者掌握最基础的分析的信息,对网络环境流量需求进行正确的分析。在目前的通信网络背景下,网络IP数据包流量管理并未完全实现,需要管理人员对网络环境进行进一步的分析。尤其是对网络运行中总体流量的变化、分析与估算,并且进一步对其运行参数进行优化,以检查其是否存在异常,一旦出现异常要及时处理。在不同的使用主机面前,要实现流量包的优化,还可以对用户端的主机进行运行状态判断,从而实现网络的安全运行,总之,IP数据包流量的管理对通信网络运行产生积极影响。

最后,利用IP 数据包的解析功能对目标数据来源进行分析与统计,确定数据包的大小。随着网络嗅探器等相关技术的逐渐成熟,IP数据包的解析功能应用更加明显。使用网络嗅探器,使网卡处于混杂模式,从技术角度,网络嗅探器的作用明显,实现了对传输数据包的检测。但是其也存在一定的技术漏洞,需要进一步完善其核心技术,以确保网络的运行稳定,为移动通信网络的优化提供前提条件。

三、总结

文章对网络通信过程中的IP 数据包的流量相关问题进行了分析,通过IP数据包的流量的分析能够确保局域网环境的正常运行。一旦网络结构形成并投入使用,就会受到其工作环境的影响,只有确保通信特征的判断准确,才能确保其稳定运行,因此在IP包流量研究过程中,首先是对通信特征和现状进行判断。

参 考 文 献

篇6

【关键词】校园网;信息安全;入侵防御

1.前言

伴随着国内校园网建设不断完善,校园网已经成为校园的非常重要的办公和教学基础设施,而交换机在校园网中占有重要的地位,通常是整个校园网络的核心所在。校园网作为一个开放的网络平台,也经常会被本校学生或是外部的黑客当成是攻击目标。入侵防御系统(IPS)可以对校园网中的不安全因素实时监控以及对网络危害进行相应的处理。

入侵防御能够提供实时的入侵检测和预防入侵功能,而且入侵防御以其独有的专用设备、简单易用的管理功能以及高度准确的检测功能结合起来,帮助校园网实现了更深层次的防护目标。由于一些复杂行为很难判断它是否是恶意攻击,还是正常的网络流量,如果出现误判,会将正常的数据包丢弃,如果是复杂行为一律通过的话,一些隐藏在复杂信息里面的攻击就不能被找出,就不能保障校园网内的信息安全, IPS采用两种方法来解决以上问题,一种是基于攻击特征的阻断方法,另外一种是基于攻击躲避原理的阻断方法,采用了这两种阻断方法之后,不仅仅提升了对多种深层攻击方式的判断识别能力,加快识别速度,此外,入侵检测系统还会向安全管理员提交一份简洁易读的分析结果报表,而不是没有编排杂乱无章的信息,因此大大提升了数据分析的效率,也降低了监控网络所花的人力和物力,节约开销。并且入侵防御系统很大程度上降低了检测过程中的误报率。

如图1所示IPS入侵防御实时监控网络,通过侦测数据包每一层的详细信息,将网络流量中的攻击流量识别出来,并且进行分析,最后采取措施丢弃含有病毒、蠕虫、木马、间谍软件等网络数据包,为网络提供一个响应速度非常快的实时全面的保护。

图1 入侵防御

2.入侵防御的分类

2.1 基于主机的入侵防护(HIPS)

如图2所示HIPS 以软件的方式在服务器和客户机上安装,实时监控是否有病毒或是木马对系统进行修改或是破坏,在操作系统的进程中也进行监控,一旦察觉注册表被修改或是系统文件被改动或是大小发生了变化马上进行响应,通过以上功能实现服务器和主机的入侵防御。及时阻止病毒或是木马对系统和应用的破坏,而且对于不同平台的系统只需要安装相应的软件包就可以实现支持。

图2 基于主机的入侵防御

2.2 基于网络的入侵防护(NIPS)

如图3所示NIPS 是一个放置在防火墙之后的一台硬件网络设备,拥有自己的独立CPU和内存,检测及监控经过自己的所有网络流量,一旦发现有危害的数据包或是网络流量,马上将该会话断开,数据包则丢弃。但是这种方法如果网络的流量过大,将会导致网络瓶颈。

图3 基于网络的入侵防御

3.IPS防御系统功能分析

如图4所示,这是基于网络的入侵防御系统,它的具体功能如下:

图4 入侵防御功能

3.1 入侵抵御

通过专有引擎,实时对网络监控,实时检测,对于网络攻击有很好的预防作用,学生滥用网络也可以及时控制。

3.2 病毒查杀

可以结合和杀毒软件公司的防病毒引擎,进行病毒预防,通过专门的病毒引擎进行病毒查杀,定期自动更新病毒库,对于各种病毒,以及病毒的变形,包括未知病毒都可以进行准确的查杀。

3.3 应用保护

定期为操作系统自动打补丁,建立有特色的特征库,特征库里面包括了对操作系统进行保护的特征库,应用系统特征库,数据库漏洞特征库,并且可以实现定期更新,增强系统的抗病毒能力。

3.4 带宽滥用控制

校园网内的关键业务带宽得到预留,保障了正常的办公教学,学生如果出现滥用带宽现象,将会被及时察觉,并限制带宽或关闭端口,提升网络使用效率。

3.5 网络基础设施保护

对网络设备具有保护功能,其中就包括了交换机、路由器、防火墙等网络设备,如果发现异常流量或是数据包,自动终止异常流量会话,有害数据包也会被丢弃。这样就保护了对网络设备的危害。

3.6 灵活的组网模式

两种部署方式,第一种是在线方式,设备之间放于防火墙之后,所有网络流量都必须通过它的检测才能通过,另一种方式为旁路方式,接到核心交换机监控网络,可以根据网络规模自由选择。

3.7 便捷的管理方式

支持本地和分布式管理。可以直接通过IPS内置的Web界面进行图形化管理,方便管理配置。

3.8 高性能高可靠性

好的IPS系统可以实现多种备份功能,双机备份,电源冗余,防止单点故障。

云南工商学院入侵防御设备集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能,如图5所示,该设备可以检测七层模型的任何一层,从物理层到应用层,都可以实现实时分析,将隐藏在网络流通领域里面的病毒、木马、蠕虫等恶意攻击查找出来,还可以和入侵检测系统,防火墙联合使用,实现一个完整的安全保障。

图5 云南工商学院入侵防御实施

4.结束语

高校校园网可以通过使用入侵检测系统检测网络流量,审核数据包,根据需要制定具体的安全策略,后面所有对网络的检测都必须根据策略进行,所以策略的制定至关重要,IPS放到骨干链路上,直接对入侵或是病毒木马进行拦截,通过入侵检测系统,保障校园网的信息安全。

参考文献

[1]凌力.网络协议与网络安全[M].北京:清华大学出版社,2007.

[2]张仕斌.网络安全技术[M].清华大学出版社,2004.

[3]谢希仁.计算机网络(第四版)[M].电子工业出版社, 2003.

[4]贾铁军.网络安全管理及实用技术[M].机械工业出版社,2010.

篇7

【关键词】 流量分析 netflow/sflow 网络 视频监控

一、现状和问题

油田公司提出“百兆到作业区,十兆到井站”的网络架构,但现在很多井站都实现了百兆接入,同时计算机主干网页实现了广域网双2.5G,核心万兆互联,带宽的快速增加加快了业务数据传送的速度,从公司管理角度出发很多很多应用从井站直接到公司管理部门的核心网络,业务的可靠传输是对网络运维部门提出的新的要求。公司主干网流量组成,对于各个方向的网络流量大小,公司应用系统如视频会议、生产指挥、应急预警、财务系统、OA办公系统、A1A2系统,集团公司的应用系统的流量情况,需要对业务进行深入分析,获取相关流量。二级单位从井站到单位核心,数字化应用系统占有大量的网络链路流量,但管理者不能掌握,具体各类应用系统流量的大小、流向以及各类网络接口流量组成,需要采集网络中各个节点的网络流量,进而对应用系统进行详细的分析,将流量与应用系统进行有效结合,达到应用系统流量的深度分析。

二、流量分析技术应用

2.1流量分析技术

2.1.1基于SNMP

该方法仅能对网络设备端口的整体流量进行分析,可以获得设备端口的实时或者历史的流入/流出带宽、丢包、误包等性能指标,但无法分析具体的用户流量和协议组成。因其具有实现简单、标准统一、接口开放的特点,被业界广泛采用。

2.1.2基于网络探针

该方法的数据抓包、分析和统计等功能一般都在网络“探针”上以硬件方式实现,分析的结果存储在探针的内存或磁盘之中,具体的前端展现依赖与之对应的专门软件。因此具有效率高、可靠性高、高速运行不丢包的特点。

2.1.3基于网络流

相对于会话(Session)而言,流(Flow)具备更细致的标识特征,在传统的 TCP/IP 五元组的基础上增加了一些新的域值,至少包括以下几个字段:源IP地址、目的IP地址、源端口、目的端口、IP层协议类型、ToS服务类型、输入物理端口。以上七个字段可以唯一地确定任意一个数据包属于哪个特定的流,换言之任何一个字段出现了差异都意味着一个新的流产生。sFlow是基于端口的流量分析:按照一定的采样比从特定端口上采集报文,由Agent设备对报文进行分析(包括报文内容、报文转发规则信息等等),并将分析结果以及原始报文通告给Collector进行统一分析(Flow采样);并且支持周期性统计端口的流量计数以及设备CPU、内存等信息(Counter采样)。sFlow关注的是接口的流量情况、转况以及设备整体运行状况,因此适合于网络异常监控以及网络异常定位,通过Collector可以以报表的方式将情况反应出来,极大的方便了网络管理人员日常巡检维护,保证企业网络的正常稳定运行。

2.2部署方式

利用公司网络监控平台系统,结合交换机及路由器的FLOW流量采集功能,对油田主干网及试点二级单位的网络流量进行采集,其中计算机主干网,主要采集核心交换机8905和核心路由器t1200设备的流量情况,试点二级单位通过核心交换机软件升级,及试点作业区井站的设备替换,采集内网的流量情况。

2.3流量分析

2.3.1主干网流量分析

通过对流量采集和分析技术进行研究搭建流量分析系统,实现对主要生产办公业务流量分析,重要应用性能追踪。并开展油田计算机终端应用的自动化监控。具体研究内容主要包括一下几点:

通过s-flow、netflow等技术搭建流量分析系统,对区域中心出口、生产指挥中心、应急预警中心、公司视频会议系统及苏里格大厦数信部等重要业务和部门实现业务流量集中统计分析;

通过定制业务模型对主要生产办公流量进行全面分析,包括:视频会议,办公OA系统,生产网中的三端二系统等网络业务;

平均流入速率:450~465Mbps,平均流出速率:30~40Mbps,应用构成为:上网占77%,未知应用占13%,HTTP应用占2%。

2.3.2生产指挥流量分析

公司生产指挥系统流量很小,基本没有流入流量,只有流出流量,平均流出速率为1.08Mbps,平均流出速率波动较大,HTTP应用为主包含codasrv和raventbs等生产系统流量。

三、总结

系统采用Netflow及Sflow方式提取流量,系统旁路部署,对网络无影响,被采集系统只需要支持标准FLOW协议即可,流量采集设备只需与流量分析系统路由可达,即可实现所需网络流量数据的采集,采集颗粒度可自由选择,系统支持多台设备流量数据的同时采集,可以实现流量数据的灵活组合

篇8

关键词:P2P 校园网 流量监测 流量控制

中图分类号:TN914 文献标识码:A 文章编号:1007-9416(2012)07-0026-02

P2P技术利用客户端的处理能力,实现了点到点的通信,可最大限度的共享P2P网络中的软硬件资源,极大的提高了用户获取网络资源的效率。然而,P2P技术和应用的无序性,对网络带宽占用的无度性,又缺乏有效监管与控制,使网络关键链路常处于拥塞状态,导致Web浏览、Email等基本网络业务,以及有关工作流程的关键网络业务无法正常使用。尤其是校园网用户多、应用广、学生用户思想活跃喜欢尝试各种P2P应用,即使不断增加出口带宽,升级设备,也无法应对P2P对带宽无休止的抢占。如何实现对P2P网络流量的有效监测与控制,保障校园网有限带宽合理使用,已成为校园网管理中必须要解决的问题。

1、P2P网络流量对校园网的影响

鉴于P2P技术自身“非中心化”、高速、海量、扩展性强、穿透性强、上下行流量对称等特性,P2P技术已应用到资源共享、文件下载、对等计算、即时通讯、流媒体、搜索引擎等方方面面。如能科学合理的运用P2P技术,必将为广大师生的学习、生活和工作提供更丰富的信息化手段。如对P2P技术不能进行有效的监测与控制,也正是由于P2P技术同样的特性,必将对校园网有限的带宽造成巨大的消耗,带来一系列负面的影响。

1.1 吞噬网络带宽

如图1所示为学院校园网在实施P2P网络流量控制前,其中70%的校园网网络带宽被P2P下裁、NetTV、Stream等P2P应用所吐噬,再加上网络蠕虫、病毒泛滥,Http、Emil以及有关工作流程的业务应用能正常使用的带宽就所剩无几了,造成网络运行速度变慢或时断时续,同时,网络带宽不足反过来也会影响P2P应用。

1.2 阻碍网站访问

因为P2P应用具上下行流量对称的特性,必将占用大量校园网上行流量,从而影响校园网对外服务,造成校外用户浏览学院网站变慢,或根本打不开,校内电子邮箱收不到校外邮件,进而影响学校对外宣传和交流。

1.3 增加安全隐患

P2P网络各节点可直接访问,资源共享,并且P2P应用还可穿透防火墙。从而更容易造成蠕虫、病毒相互传染、快速传播。P2P应用给用户带来更多的安全隐患。

2、P2P网络流量监测技术

2.1 关键节点监测

基于关键节点的P2P监测是一种传统报文监测手段。P2P网络中的关键节点就是在维护P2P网络健壮性、扩展性和连通性等方面具有重要作用的节点[2]。

由于所有的P2P用户都存在与关键节点的交互,因此监测关键节点,就能对该P2P应用进行监测。早期P2P网络中的关键节点相对固定和集中,但越来越多的P2P应用“泛化”关键节点,使得基于关键节点的监测方法越来越难以实现。

2.2 端口监测

基于协议端口的P2P监测也是一种传统报文监测手段。早期的P2P应用大多采用缺省协议端口实现P2P节点之间的通信。基于缺省协议端口就可监测到P2P应用中所有用户和节点之间交互过程。这种监测方式利用现有网络条件就可实现,不需要增加什么投资成本,对早期P2P应用的监控较为有效。

但是,越来越多的P2P应用采用随机生成端口号,或手工设定端口号,或自动改变端口号的方法,基于协议端口的P2P监测就无法实现了。

2.3 DPI技术监测

深度报文检测(Deep Packet Inspection,DPI)技术是相对于传统报文检测技术而提出的一种典型应用检测技术。DPI技术目前并没有一个较明确的定义,但普遍认为, DPI除了具备对报文头部信息、源/目的IP地址、源/目的协议端口和协议类型等进行监测分析等普通报文监测分析能力外,还可结合报文净荷(payload)及报文之间的关联性等因素进行监测,实现报文的“深度”识别[2]。

2.4 DFI技术监测

深度流行为检测(Deep Flow Inspection,DFI)技术也是一种典型应用检测技术。DFI主要是通过对网络流量状态、持续时间、流量速率、字节长度等参数分析统计来监测P2P应用类型和状态的。相对DPI技术,DFI可监测到未知的P2P流量,但监测精度没DPI高,容易出现误判。所以,DFI适合快速监测,DPI适合精确监测,各有千秋,在高端流量控制设备中一般都集成DFI和DPI两种监测技术,取长补短。

3、P2P网络流量监测控制实现

3.1 实现方式

(1)充分利用校园网已有设备和资源,通过在防火墙、路由器、核心交换机、汇聚交换机等设备上划分VLAN和设置ACL,对网络流量进行分流,对P2P流量进行封堵。虽然此方法不需额外资金投入,但不便集中管理,工作量大,且效果不理想,尤其是对控制P2P流量无效,因为ACL主要是基于协议端口进行控制,对当前端口“泛化”的P2P技术无能为力。此方法主要适用于小型网络。

篇9

1主要解决方法

未经合理分配和管理的带宽使用将造成严重的带宽资源浪费,甚至会因为滥用带宽而破坏正常网络业务应用的畅通运营。随着校园网内部的信息化程度的提高,VOIP,视频会议,OA等应用系统的部署,网内业务流量不断增加。同时,不受控的网络下载,P2P使用,以及蠕虫等都对网络有效带宽利用构成很大的冲击。不采取有效的优化控制措施,单纯增加网络带宽不能起到很好的效果,反而提高运营成本。QoS服务质量及流量控制设备部署在专网出口,网段出口,或网络的关键链路,能够提高关键数据优先级,控制无价值数据占用的带宽,对现有带宽进行合理分配和管理。可以将用户和网络上各种应用进行分类管理,为每一类用户或网络应用分配不同的带宽,并可以对非正常的带宽使用进行抑制或封堵,充分保障了正常业务应用的顺畅运营,网络的正常运转,降低运行成本,真正发挥互联网的价值。

2应用案例

某全国重点高校,目前整个校园网共有信息点8400个,三个校区70栋主要的教学楼、办公楼、实验楼、学生公寓等,形成一个以千兆以太网为主干、快速以太网为辅的跨城区大规模园区网。整个校园网现有教育网1000M、电信网500M、和铁通网100M三个出口,总带宽1600M。

位于校园网信息中心的网络环境是由100M铁通网、500M电信网和1000M教育网的三条链路构成,主干设备包括:华为85系列核心交换机,Netscreen防火墙,F5系列链路负载均衡设备。出口是用F5系列链路负载均衡设备做链路的负载均衡,分别连接教育网1000M,电信500M和铁通100M出口线路,下面连接Netscreen防火墙,再下一级连接学生宿舍区的华为85系列核心交换机和教学区的华为85系列核心交换机,该校在校学生人数约为22000多人,同时在线人数可达到6000多个信息点。该校对校园网运营提出了较高的要求,利用QoS服务质量及流量控制设备为其出口带宽进行分析与优化。

连接该校内部校园网到互联网出口的带宽目前负荷较重,基本上在不作任何控制的前提下可以跑满所有的带宽。这主要是由于近一两年来,互联网络的广泛应用导致了大量的新型应用的引入和发展。除了常规的对互联网的浏览、查询、电子邮件等多种应用类型以外,多线程的FTP下载、在线游戏、蠕虫病毒、以及DDOS攻击等多种新型的网络数据在网络中大量使用和出现。尤其是P2P应用,由于其利用大量在线的客户端设备资源而优化文件传输的能力,所以会导致网络资源的极大消耗。在无法管理控制的条件下,而严重影响正常的学校网络的运作。

3应用效果分析

这次应用主要围绕QoS服务质量及流量控制设备。通过测试和实验,验证其对上述多种应用的发现、识别及管理等功能并验证其实际性能。在管理策略设定前后,通过观察会话数的变化、相关应用流量的变化、日志流量记录对网络的应用了解的变化等,来决策此类设备在校园网带宽流量管理的必要性和意义。

此次应用,我们将QoS服务质量及流量控制设备放在网络的学生区总出口和核心设备之间的位置,设备之间全部采用光纤连接,这样QoS服务质量及流量控制设备就可以监控到网络中的流量,以便更好地进行管理。

基本的配置完成和线路接好后,就要对网络上的流量进行监测以及对应用进行归类。最初一两天主要监测该校园网中有什么样的应用流量并根据应用的类型进行策略上的划分。在对该校园网的应用流量进行两天的数据收集之后,根据实际情况对应用进行策略上的控制,例如对P2P应用协议的限制等。策略配置好之后按照预先设定好的策略检查机制观察,检验策略是否可以达到人为预期的效果。

对于各种网络应用流量能够准确的按协议进行分类和人性化图形显示,对每种协议的流量作实时的统计,利于管理员有针对性的对各种网络流量进行控制,在该校园网的网络流量中通过分析BT和PPLIVE这两种流量在高峰时的总量达到总流量的85%左右,是需要控制的对象。因此针对BT和PPLIVE的应用采取了限制,从而有效降低了BT和PPLIVE的网络应用流量,同时放大了HTTP、FTP的访问流量,满足了教学办公的要求,保障了正常的业务流量。

对于BT和PPLIVE这两种协议可以单独对其进行设定的QoS控制。同时也可以对整个P2P协议给予300M的方式来控制。也可以基于这两种协议单独控制。晚上7点至11点的高峰期,观察限制后的P2P流量始终保持稳定的300M运行,目的达到。

对于该校园网中的每个网段的IP统计,监控到每个IP的源和目的会话数,有部分IP的会话数非常大,在700至1400之间,可以断定这部分IP正处于使用P2P应用或者中病毒的状态中,所以将其会话数限制到200至400之间后,非常明显整个网络的性能得到了明显改善,网络流量也随之降了下来。

篇10

关键词:流控设备;带宽;流量;策略;特征码

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)16-3844-02

Flow Control Equipment in Campus Network

XIAO Cheng

(Southwest Petroleum University, Chengdu 610500, China)

Abstract: With the development of information technology and kinds of web applications, network architecture and traffic has become exceptionally complex. Especially in the campus network, the paper before loading flow control equipment, the use of the campus network to do a detailed comparison, and for the university, we proposed how to set the flow control device related strategies, to further explore the network application layer traffic Control of the foundation.

Key words: flow control equipment; bandwidth; flow; strategy; signature

1 概述

随着网络应用的多样化发展,越来越多的带宽被各种应用所占用。象高校校园网这样大型的网络主要目的是方便在校师生查阅科研资料、掌握实时信息[2]。然而在有限的带宽中,这类基础应用正被其他应用逐渐侵蚀,为了解决该问题,就必须识别出各种网络应用。本文通过介绍流控设备的应用,介绍了其中一种有效控制网络应用带宽的方法。

2 未加载流控设备

未使用流控设备前,主要通过以下两种手段监控校园网网络情况。

1) 通过防火墙监控外网出口情况

在阿姆瑞特防火墙实时监控模块中,可以查看各接口实时流量情况、防火墙CPU占用率和用户会话连接数等信息[3]。图1是未加载流控设备时,通过阿姆瑞特防火墙查看到的相关信息。

2) 通过网管软件PRTG监控各区域网络情况。图2是学校某区域网络流量情况(红色代表下行流量,绿色代表上行流量)。

通过上面的图例分析,可得出以下结论。

1) 防火墙CPU平均占用率处于较高的峰值状态――接近90%,并且出现最高峰值99%的频率非常高。由于阿姆瑞特防火墙自身机制特点:当CPU达到99%时将不转发任何数据,因此,当CPU处于99%时,防火墙将丢弃数据包,用户端可以明显感觉到上网出现卡断的现象。

2) 外网三个出口(教育网、电信、联通)带宽被占满。比如:我校电信接口带宽为200M,但是在网络使用高峰期时,电信接口的上行和下行流量带宽都超过了200M,部分用户上网就会感觉到速度很慢,甚至打开网页延时都很长。

3) 外网出口流量异常。由于对用户网络应用缺乏可控性,部分用户(比如图2所列区域)发送大量请求至外网,造成出口带宽上行流量很大,甚至超过下行流量,这种非正常的流量形式严重影响了网络速度。

3 加载流控设备

3.1 未配置任何策略

在核心交换机和防火墙之间串联流控设备后,通过流控设备自带流量分析功能,清晰查看整个校园网网络应用分布情况。

通过图3,可以看出该流控设备能以两种形式对网络流量进行分析。

1) 以IP模式分析,密切关注某个具体IP地址产生过大流量,网络管理员可以通过跟踪该IP地址的上下行流量状况排查网络故障,尤其定位大规模病毒爆发时的病毒源。

2) 以网络应用模式分析,方便网络管理员根据自身网络带宽调整网络应用格局,保证关键业务的顺畅。

3.2 根据校园网实际需求情况设置策略

考虑校园网应满足全校师生日常办公、实验教学以及业余时间娱乐等方面的应用,分别从以下三方面对校园网网络应用进行控制。

1) 按区域划分,根据各区域的职能定位不同的网络应用。

① 办公区:经常上网查阅资料,首要保证浏览网页速度快捷、收发邮件迅速、基于web的下载顺畅。

② 实验区:实验教学场所,也应保证上网查阅资料、收发邮件、正常资料下载等应用,但是对于大量使用p2p下载电影、在线视频以及网络游戏等应用必须严格控制,限制在一个较小的范围内。

③ 教工区:教师工作休息的地方,适当放宽娱乐等应用的带宽,但是前提要保证办公区、实验区的关键应用。

④ 学生区:同教工区性质差不多,也应在保障相关应用前提下适当放宽娱乐业务的带宽。

2) 按时间段划分,首要保证白天办公时间关键业务的开展。比如白天办公时间对教工区和学生区要限制其p2p、在线视频、网络游戏等应用的带宽,而在晚上可以适当放宽这些应用的带宽。

3) 按应用划分。该策略取决于流控设备厂商所搜集的各种网络应用的特征码,特征码越多对网络的控制力就越强。

3.3 加载策略后查看网络流量

1) 在流控设备上查看网络应用分布

通过流控设备可有效控制校园网网络应用分布,使其结构布局更合理,让用户感觉到上网速度与学校外网带宽大小相匹配。

2) 查看防火墙实时监控模块

通过流控设备控制校园网网络流量后,可以看到防火墙有两处明显变化:第一,防火墙CPU利用率不像之前那样长期处于一个较高值状态,并且出现峰值为99%的频率很小。第二,外网三个出口带宽有空余,并且上下行流量正常,上行流量小于下行流量。

3) 查看加载流控设备前流量异常区域的最新情况

加载流控设备后,校园网各区域上下行流量正常,同时网速较未加流控设备时,有明显提升。

4 结束语

网络发展日新月异,尤其是各种应用软件更新快速,传统的基于TCP/IP端口的ACL策略已经无法有效控制网络应用[4],越来越多的应用,像p2p、在线视频、网络游戏等均可以通过一般的http端口(即80端口)进行数据的传递,并且这些应用占用带宽很大,即使拥有较大的出口带宽也会由于这类应用的大量使用,造成用户不能顺畅的打开网页、收发邮件等基本业务操作。在这种形式下,流控设备很好帮助网络管理员重新掌握主动权,根据校园网的定位去合理规划网络应用的分布比例。通过调整不同网络应用的带宽比例,保证用户上网办公服务的同时,适当利用充裕带宽满足像p2p、在线视频等软件应用。另一方面,流控设备有助于网络管理员分析网络异常流量,通过查看具体IP收发数据情况、未知应用所占带宽比、上下行流量异常等手段,找出异常流量的根源,保障校园网的通畅。

参考文献:

[1] 锐捷网络.网络应用控制引擎技术[EB/OL]..cn/Product/ace3000.

[2] 郭静,肖诚.校园网多出口策略路由的应用研究[J].电脑知识与技术,2011,7(1):42-46.

[3] 熊晖.阿姆瑞特防火墙的管理器详解[M].阿姆瑞特(亚洲)网络有限公司,2008.