网络型流量控制范文

时间:2024-03-11 17:42:00

导语:如何才能写好一篇网络型流量控制,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络型流量控制

篇1

关键词: 网络安全; 流量控制; 评价; 方案

中图分类号:TP393 文献标志码:A 文章编号:1006-8228(2013)02-17-02

Research of network security and flow control model

Hu Ning, Xu Bing

(Chongqing Three Gorges University, Wanzhou, Chongqing 404000, China)

Abstract: Based on the analysis of a large number of network traffic data, the mathematical model on the network safety and flow control according to the network engineer and optimizations is built. A large amount of calculation and evaluation has been done. By experiments, this model is proved to have comparatively good control effect and stable safety. Meantime, it is easier to be realized. This research method provides a good reference for solving similar optimizing problems.

Key words: network security; flow control; evaluation; scheme

0 引言

在这个信息大爆炸的时代,信息安全显得十分重要,占有突出的地位,采用合理的网络安全模型和流量控制模型,对网络进行分析和控制无疑是维护信息安全的基本保障。

由于网络设计之初,仅仅考虑到信息交流的便利性,对于保证信息安全和流量控制的规划则非常有限,所以面对循环上升的攻击技术和快速增加的网络用户量,安全和流量控制问题显得特别重要。本文根据某高校中大量网络流量的数据的分析和统计,得出有效的流量控制模型,并对其进行评价。

1 常用网络安全和流量控制模型分析

目前我国相关单位基本上建立了适合自己的网络安全和流量控制模型[4],进行如下简单概括。

以路由器为主要控制方式的流量控制模型:此模型中所有用户流量记录都是暂时存放在路由器的内存中。流量控制系统使用网络管理协议命令进行控制。尽管后来采用物理地址静态匹配技术来防止流量盗用,但仍然不能起到很好的防范作用。

基于网络探听的控制模型:在中心交换机和中心路由器中设计一个探听程序,此程序能够侦听到网卡上所有发送的数据包,并同时记录下来。这样的流量控制方式有很多不同的程序,但是在实际的控制过程中问题依然存在。另外还有很多网络流量控制模型,例如邮件流量控制模型等等,它们大多是被动的,对于大批量的用户缺乏行之有效的控制手段[3]。

以上的流量控制模型在很长一段时间起到了很好的作用,但是这些流量控制模型都存在着很多问题,还不能很好地满足现阶段我们国家信息技术高速发展的需求。

2 模型的建立

传统的安全和流量控制模型与实际网络需求有一定的相悖性,因此已不能很好地完全描述实际的流量特征。网络自相似性主要表现出结构的相似性,每一组成部分都在特征上与整体相似,并具有明显的突发性[1]。

定义:xt为相关随即变量;aj为实数;et为相关变量;B为流量带宽;t0为连接最大延迟时间;U为连接单元容量;S为连接业务最小传输速率;N0为线路可同时支持的用户最大连接数;n为时间段的数目,时段不同价格也不同;δi为第i时间段内拥塞发生的重视因子;fi(pi)为在第i时间段内用户实际业务连接数概率;gs(ps)在第i时间段内计费价格为pi时用户实际业务量;kj为第j端口可以上网的人数。

xk为一般路由器计费模式下的值:

xt=a1xt-1+a2xt-2+…+apxt-p+et

在每一个通信端口中如果有2x端口,则在同一个时刻内只能有2x用户上网。也就是在一个端口中不能再分出给多名用户使用,线路调节后,一名用户可以使用多个通信端口,用户一天最多只能上网16个小时[10]。我们可以建立如下模型:

若B的解在单位圆外,则xt是平稳过程,即是一个平衡点, n0是线路可支持的用户的连接数目,此时为了控制流量,减少拥堵,可建立如下函数模型:

其中:p=(p1,p2,…,pn)T

虽然此函数模型便于进行参数估计[6],产生回归数列,但因为其函数以指数级递减,不能很好地模拟自相关函数的流量控制。

定义bt为随机扰动,B为滑动平均项,则新的模型如下:

xt=a1xt-1+a2xt-2+…+apxt-p+et-g1bt-1-g2bt-2-…gqbt-q ⑶

其自协方差为:

自相关函数为:

sk=f1sk-1+f2sk-2+…+fpsk-p ⑸

将一个帧分成n个时间段,则第m个时间的信元到达可表示为:

我们根据实际应用中测量的非单播数据的记录值,并运用方差分析法平稳化时间序列,由此可得到约束函数:其中pt是第i时段的概率值, pt∈(0,1)

因此我们给出均衡流量控制的目标函数:

另外关于网络中的抱怨度[2]:这里我们假设第i用户上网的时间是一定的,也即上网的时间长度是一定的,设为ti想上网的时刻为mi,实际上网的时刻为ni。

当用户i想上网的时候,因为用户i-1还没有下网,所以他只能等待,等待的时间为ni-mi,则用户i产生的抱怨的程度可表示为:

对于不同的用户产生的流量不同,所以我们可以用一个总的平均流量来衡量这一个信息网受用户的依赖程度[11],如果该端口可以上网的人数为k,则一个端口的用户流量模型为:

(10)

我们通过调研的方式征求全校师生用户承受的价位pmax,调查情况如表1所示。

表1 最高价调研表

[价格\&\&\&\&\&\&数量\&m1\&m2\&m3\&m4\&m5\&]

由表1我们可以得到体现用户在各时段承受力的最高限价均值,于是我们给出如下约束条件:

f(pi)≤pm i=1,2,…,n (11)

其中:pm为经验常数,代表在第i时间内流量为pi时用户实际连接数目在n0以上的概率。

根据以上约束条件,再通过曲线拟合模拟,并有历史统计数据我们可得到在不同时段多用户的概率曲线。

图1 概率曲线

由此,我们令:x=gs(ps),这时就可将通信端口数n和用户数m做如下的关系:

n/m=1.5/(16*2x)=3/2x+5

其中x≥4为待确定的数字。实际上,当模型收敛时我们得出:

由此得出网络安全和流量控制模型,对于不同的地区当然有不同的控制方法,根据它们的不同,用分时方案同样可以得出一个较为合理的控制模型。

3 仿真测试与分析

在网络流量分析中,我们侧重宏观分析,如容量、吞吐量、利用率,抱怨度等等[5],这样能够使我们对网络的整体运行状况有很好的了解,本文通过对流量数据的分析,建立了模型,并通过Matlab仿真[7],用随即模型和我们建立的模型进行质量优化对比,得出以下图形(如图2所示),可以看出,目标模型的网络质量明显好于我们的随机模型。

图2 随机模型和目标模型的对比情况

因此我们可以得出主干网络的流量需求[9],取决于存储节点的位置、使用时间高峰、计时长、包月方式等,以及所设计的分段开通的控制模式。如果存储节点在中心节点,那么每个访问用户都要建立链路去访问中心节点的内容,带宽需求与同时访问的用户、频道的传输码率等等。如果存储节点处于边缘节点,则主干网络上的业务流量需求可以消除,但对边缘节点的处理能力有了更高的要求,进而提高了网络部署的成本[8]。

4 结束语

实验证明,我们所得到的网络安全和流量模型具有较好的控制效果和较稳定的安全性,同时易于实现,并且用最小的代价获得了最优质的网络服务。关于网络安全与流量控制问题的优化研究,目前,还没有一种万能的数学模型能够适用于所有的情况,在一定意义上所建立的模型只适合于特定的网络环境。本文只涉及到流量模式等方面的讨论,而在对模型的建立、因素的选取等优化问题的定量分析上还有待于进一步去研究。

参考文献:

[1] Dell R.McKeown N and Varaiya P.Billing Users and Pricing forTCP[M].IEEE Journal on Selected Areas in Communications,1995.7:1162

[2] Mackie-Mason J K and Varian H Resume FAQs aboutUsage-based pricing[M].Computer Networks and ISDN systems,1995.1-2:257

[3] 傅晓明.Internet网络服务定价研究现状与展望[J].计算机与现代化,1999.2.

[4] 张文钺.一种基于计费管理的网络服务质量控制法[J].计算机工程与应用,1999.6.

[5] 陈宝林.最优化理论与算法[M].清华大学出版社,2005.

[6] K.安斯伦.数学计算机用的数学方法统计方法[M].上海科技出版社,1981.

[7] 易芝,黄颖,邹永贵.基于IPv6的局域网通信系统的设计和实现[J].重庆邮电大学学报,2005.17(2):238-24

[8] 谢希仁.计算机网络[M].电子工业出版社,2003.

[9] 张裔智.基于Intranet开发方案的量化评价[J].浙江大学硕士学位论文,2002.

篇2

关键词:IP网络;网络流量控制;应用;发展

1 IP网络流量控制技术的应用

IP网络流量控制对宽带的有效利用起到了重要作用。有效的流量控制,一方面是互联网稳定运行的重要保证,一方面又是各种QoS技术实际应用的前提条件,因此,研究有效的IP网络流量控制技术具有重大意义。

首先,我们需要了解当今主流的流量控制技术。

1.1 IP网络的流量控制方法

IP网络流量的具体控制方法有很多,具体可以分文宏层和微层控制两种类型。前者主要通过控制全网的资源利用率来提升整个网络的效率;后者主要作用于数据流层,通过阻塞控制、队列管理等技术实现对流量的控制。宏层控制由于涉及面太过庞大,已超出了本文的讨论范畴,故本文将微层控制列为重点研究对象。

常见的微层流量控制对象是数据包,可分为调度、丢弃和阻止等方式。数据包调度赋予子节点控制数据包传输速度的权利,以此来进行流量控制,有代表意义的就是基于路由器的队列调度;数据包丢弃通过丢弃部分流量,来清除严重阻塞,保证网络畅通;数据包阻止,主要作用在进入网络后将被丢弃的部分数据包上,也是有效的流量控制方法。

控制流量的具体方法还有很多,值得探究的地方也数不胜数,本文将从其中的两个方面入手,具体阐述IP网络流量控制技术的应用。这两个方面分别为队列管理策略和阻塞控制策略。

1.2 IP网络流量控制技术的应用

⑴队列管理策略的应用。数据包的调度主要通过队列管理来实现,传统的IP路由器主要采用FCFS,即先来先服务的策略,按此策略,路由器在缓冲满了以后,将丢弃之后到达的IP分组,即“丢尾”。该方法实现简单,但无法顾及数据包的重要程度,也无法正常应对恶意数据流,经过改进,一种按照数据包的优先级来进行数据包调度的策略应运而生,这就是优先级排队调度策略。在该策略下,路由器优先服务于最高级别的数据包,从而可以保证重要数据的传输率,并以此应对恶意流。

以优先级排队调度为例,数据包到达IP路由器后,根据优先级别,被送入不同的队列,进而根据不同的调度算法接受处理。在此策略下,高低优先级的数据包所经受的延迟各不相同,其中,高优先级的延迟为:

其中μ为服务率,λ为到达率,ρ1为高优先级数据包的到达率与服务率的比值,ρ为所有数据包的相关比值。

通过实际对比可以看出,在此策略下,数据包的传输性能排行是高优先级>无优先级>低优先级。虽然该方法尚存在一些缺点,但以此为起点的各种改进方法已使得优先级排队策略越来越合理,越来越值得应用,其中比较有意义的就是强占优先排队模型。

⑵阻塞控制策略的应用。网络阻塞严重影响着网络QoS,是需要控制的一个重要环节。造成网络堵塞的原因多种多样,归根结底还是在于网络负载大于网络处理能力。网络中一旦发生阻塞,将严重滞后数据的传播速度,使网络服务质量大幅降低,甚至会直接导致网络大面积崩溃。其控制方法一般可分为开环和闭环两种。开环控制需要设计人员在设计之初就考虑到任何可能造成阻塞的情形,事先就解决这些问题;闭环控制则需要实时接受反馈,依据特定算法推测阻塞状况,调整数据包发送速率,以达到阻塞控制的目的。目前被广泛应用的阻塞控制策略主要还是数据包的丢弃和阻止,不过本文将着重探讨另一种策略:漏水桶模型。

漏水桶模型,是一个比较成功的阻塞控制策略,实际应用于IBM开发的PARIS网络中。该方案通过控制数据脉冲来达到阻塞控制的目的,无法保证数据包的延迟上限,也存在缓存溢出的问题,但其数据包的平均延迟可控,有利于阻塞的控制。其数据包的平均延迟为:

其中λ表示数据包以速率为λ的泊松过程到达节点,1/μ为在进入率为r时传输一条消息的平均时间,C为允许进入量能够被累计下来的时间。

2 IP网络流量控制技术的前景展望

由于笔者时间与精力有限,本文只着重对IP网络流量控制技术中的队列管理策略以及阻塞控制策略进行了一些浅显的研究,留给广大科研工作者的专业问题还有很多。

随着科学技术的进一步发展,处理队列管理和阻塞控制,研究排队模型已成为现代通信学科中的一个重要课题,一时间优秀的文献层出不穷,对旧理论、旧方法的考验越来越重,迫切需要我们深入研究、努力探讨,得出更符合实际的排队模型。

3 结束语

互联网现已逐渐发展为承载业务多、服务范围广、用户群体杂的全球性信息传输平台。然而现今的互联网依旧以IP技术为基础,受到IP协议本身缺陷的影响,无法提供有效的QoS保障,难以有效监管网络资源。在这种大背景下,流量控制技术应运而生。该技术通过对网络流量进行分类、调整等手段来保证关键服务,避免网络堵塞,实现了网络的最大化利用,是一门需要我们投入大量研究精力的重要学科,其关键技术尚不成熟,依旧需要我们为之付出积极努力。

篇3

关键词:TCP UDP P2P DPI DFI 网络流量 流量梳理

危害网络的异常流量是指能对网络的正常运行造成危害的异常流量,异常流量可能会导致网络拥塞,网络设备处理性能下降,甚至影响网络的正常访问。病毒、网络攻击、不正当的网络配置和P2P的广泛应用都会造成网络异常,给本来网络带宽资源有限的校园网络带来很大压力。

通过对流量进行检测和分析,把流量解码、分类和统计后,通过技术策略把流量进行梳理,对危害流量进行限制优先级和阻隔,更有效地保护关键应用流量,使网络带宽资源得到更加合理的配置。

一、流量检测技术

目前流量控制设备采用的技术主要分为DPI、DFI以及这两种技术的综合:

1.DPI(Deep Packet Inspection)基于深度包检测技术,DPI技术在分析包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术。当IP数据包、TCP或UDP数据流经过基于DPI技术的流量管理系统时,该系统通过深入读取IP包载荷的内容来对OSI7层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。针对不同的协议类型,DPI识别技术可划分为以下三类:

(1)基于“特征字”的识别技术:不同的应用通常依赖于不同的协议,而不同的协议都有其特殊的“指纹”,这些“指纹”可能是特定的端口、特定的字符串或者特定的Bit序列。

(2)应用层网关识别技术:某些业务的控制流和业务流是分离的,业务流没有任何特征。应用层网关需要先识别出控制流,并根据控制流的协议通过特定的应用层网关对其进行解析,从协议内容中识别出相应的业务流。

(3)行为模式识别技术:行为模式识别技术基于对终端已经实施的行为进行分析,判断出用户正在进行的动作或者即将实施的动作。

2.DFI(Deep/Dynamic Flow Inspection)深度/动态流检测,与DPI进行应用层的载荷匹配不同,采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。由于DPI技术与DFI技术实现机制不同,故它们在实现效果上各有优点,表现在如下几个方面:

(1)DFI处理速度相对快:采用DPI技术由于要逐包进行拆包操作,并与后台数据库进行匹配对比;采用DFI技术进行流量分析仅需将流量特征与后台流量模型比较即可。

(2)DFI维护成本相对较低:基于DPI技术的带宽管理系统,总是滞后新应用,需要紧跟新协议和新型应用的产生而不断升级后台应用数据库,否则就不能有效识别、管理新技术下的带宽,提高模式匹配效率;而基于DFI技术的系统在管理维护上的工作量要少于DPI系统,因为同一类型的新应用与旧应用的流量特征不会出现大的变化,因此不需要频繁升级流量行为模型。

(3)识别准确率方面各有千秋:由于DPI采用逐包分析、模式匹配技术,因此,可以对流量中的具体应用类型和协议做到比较准确的识别;而DFI仅对流量行为分析,因此只能对应用类型进行笼统分类。如果数据包是经过加密传输的,则采用DPI方式的流控技术则不能识别其具体应用,而DFI方式的流控技术则不受影响,因为应用流的状态行为特征不会因加密而根本改变。

3.其他技术。由于DPI和DFI技术各有优缺点,因此有些流控产品采用的技术则结合了DPI和DFI两者的优点。

二、星海音乐学院校园网出口流量监控和梳理

1.网络状况

目前网络出口带宽为100M,平常在线人数为1000人左右,高峰期在线人数为1600人左右,按照平均分配带宽的方式计算,就是用户平均分配到的网络流量为100kbps~63kbps之间。因此校园网的出口带宽在日常的使用情况下已经是很有限了,而用户对带宽的需求却因P2P、视频流等软件的广泛使用而在无限的增长。这个矛盾最终会导致带宽不够分,网速持续变慢,网络服务质量下降。

要解决这种矛盾,长期有效的方法就是对网络流量进行灵活的监测和梳理,利用技术手段抑制不良应用对网络带宽的占用,正确引导用户使用网络资源。

2.流量监控和梳理应用

目前我校采用PROCERA公司的PacketLogic 7720流控设备,该设备采用了厂家自行开发的DRDL流量识别和梳理技术,该技术结合了DPI和DFI的优点,能对流量进行精细识别和控制,同时对流量转发速度影响极小。

(1)流量梳理的实现

如图1所示是一个没有进行流量控制和梳理的网络边界。这种情况下,用户流量会超出网络外部连接的可用带宽。网络边界设备(如路由器)通常会维护一个缓冲队列,该队列保存了超出部分流量而未能转发出去的数据包。这个队列一般是先进先出队列,而且队列的大小有限制,当队列满了后,就会出现丢包情况。

而下面谈的流量梳理的实现,首要问题就是解决如何能采取有效的策略,使流量能畅通无阻得到转发,避免丢包的情况出现。

图2为网络在未有实现流量梳理时候的状况,所有流量消耗着大量的可用带宽和连接资源。网络中的关键应用流量(如图2黑色部分)往往只占有可用带宽的很小比例,即便如此,关键应用流量依然得不到有效的转发。即使某些关键应用被成功转发了部分流量,但某些延时敏感的关键应用(如语音业务)却由于延时的累积,使实际应用往往不能得到有效的保证。

由此可见,一种基于策略的流量梳理(能够判断出哪些流量需要立即转发,哪些流量可以延时转发),就变得很有必要了。

如图3,通过在网络边界出口前增加多个流量梳理队列,队列的数量和属性取决于流量管理策略。如图中的漏斗,就相当于一个梳理实体队列(梳理对象)。通过流量的检测和识别,把不同类型的流量分别转发到各个“漏斗”中。通过各个“漏斗”的优先级等属性设定对流量进行转发,最终保证关键应用流量的带宽,使带宽利用更加合理。

(2)流量监控和梳理的应用

在对流量监控和梳理的策略制定时,考虑到学校现有情况和流控设备的性能,设定相关的网络对象、时间对象、服务对象、属性对象、梳理对象和规则等,并通过各种对象的互相组合,制定符合实际环境的流量控制策略,以下是进行流量的控制和梳理的具体方法:

①通过控制特定网络对象中每个个体的流量、包速率、连接数、延时、队列大小等属性,达到在特定时间段内,实现对该网络对象中的个体流量控制策略。如对学生和教师的个体流量控制,使网络资源得到更公平的利用。

②通过控制特定网络对象整体的流量、包速率、连接数、延时、队列大小等属性,达到在特定时间段内,实现对该网络对象的整体流量控制策略。如在教学办公时间段内,对整个学生公寓区的流量进行整体控制,可以更有效保证教学办公区的带宽。

③通过控制特定服务对象中的某些服务的流量、包速率、连接数、延时、队列大小等属性,达到在特定时间段内,实现对某些特定服务和应用的流量控制策略。如在网络使用高峰期,限制P2P下载业务的流量或连接数,以保证其他正常网络应用的带宽。

④通过梯度流量控制策略,即对某一时间段内,用户流量累计达到设定的上限值时,采取流量控制变更的策略,从而更有效地引导用户合理利用网络资源。

⑤实现梳理队列的带宽借用技术。即在某一时间段内,当优先级高的梳理队列中有带宽富裕的时候,其他梳理队列可以向其借用带宽。使整体网络资源得到更加充分的利用。

流控设备作为透明网关的方式部署在网络出口上,经过对校园网的使用情况研究和长期的测试调试,制定了如下策略:

(1)总体策略

校园网出口带宽:上/下行:100Mbps

控制教师区个体带宽:上/下行:512kbps

控制P2P下载业务:上/下行:6Mbps;

连接数:20k

控制学生区视频流业务带宽:上/下行:18Mbps

(2)办公时间段

办公时间段为周一至五:9:00~17:00.

控制学生个体带宽:上/下行:256kbps

控制学生公寓总带宽:下行:85Mbp

(3)拥塞时间段

拥塞时间段为周一至五:21:30~23:59

控制学生个体带宽:上/下行:128kbps

(4)低峰时间段

拥塞时间段为周六、日:0:00~13:00、

周一至五:8:00~10:00

控制学生个体带宽:下行:1Mbps;

上行:512kbps

三、结束语

通过梳理和策略应用之后,校园网在不同时间段,针对不同用户对象做出不同的流量梳理策略,使带宽资源得到更充分和合理的利用;通过对个体带宽的合理限制,使带宽资源得到更加公平的分配;通过对危害流量的限制和阻隔,有效保证了关键应用和其他常用应用的带宽使用;通过流量的统计和各种技术指标的视图展示,能便捷地掌握整个校园网的网络状况,从而更好地对网络和流控梳理策略的调整和优化。最终整个校园网用户的上网行为意识将得到更正确的引导,在不增加带宽成本的情况下,带宽资源利用率将得到不断的提高。

参考文献

[1]Piero A.Bonatti,Daniel Olmedilla.Driving and Monitoring Provisional Trust Negotiation with Metapolicies[A].IEEE POLICY 2005[C].Stockholm, Sweden,2005:123~135

篇4

关键词:主动防御;统一威胁管理;流量控制;蜜罐

本文研究背景来源于校园网主动防御安全架构升级改造。通过对统一威胁管理、流量控制、蜜网联动实现安全控制资源的统一管理和响应。这样可以集中体现了整体、立体、多层次和主动防御的思想,提升安全管理效能。

一、校园网所面临的新威胁

在当前的校园网络中,随着网络技术的应用和发展,黑客攻击和病毒技术日益泛滥,方式日趋多样化、自动化,病毒的传播更快,危害更大。如各种蠕虫、间谍软件、网络钓鱼等威胁、移动代码结合,形成复合型威胁,可以在很短的时间内蔓延整个校园网,造成大面积断网,使威胁更加危险和难以抵御。此外,对校园网的滥用,在线音乐影视、P2P下载等流量非常大的网络应用占用大量的网络带宽,使校园网中正常的业务流量无法得到有效保证。而校园网是一个开放的、复杂的网络,存在很多不确定的因素,在管理上面临更大的挑战。回顾我院校院园10年来的建设过程主要完成了基础性建设,如带宽的扩容、多线路的负载均衡、网络节点的增加等。而在网络安全方面却没有引起足够的重视,一直以来,在历次网络安全问题出现时处于“头痛医头,脚痛医脚”的被动防御局面。虽然也逐步部署了安全认证服务、防病毒服务、防火墙、IDS等安全设备,但设备间各自为政,不能相互协作,使用效果并不理想。

二、主动防御安全技术研究

统一威胁管理(UTM)通过采用综合分析、分流处理的设计思想,对各种数据的分析是在一个综合分析引擎中实现,由综合分析引擎判断出数据的合法性与否,如果合法则正常流过,如果非法则交与独立的处理引擎进行处理。采用综合分析引擎进行数据分析比各个安全模块采用独立的分析引擎具有更高的效率和安全性。

流量控制可以把全网网络流量分布情况展现在我们面前。将第七层流量打回第四层,在流量检测过后,使用第七层防火墙来阻挡某些应用。并会把在第七层流量过滤,让其以第四层正常的端口号运行,帮助你原有的第四层防火墙得以用端口号作最基本的控制。另外,流量控制系统可以阻挡非标准的IM联机,可以识别应用程序的精细行为,针对每个使用者或组给予不同的权限。

蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务,所有进出蜜罐的网络流量都可能预示着一次扫描、攻击和攻陷,蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。蜜罐技术上逐步发展为诱捕网络,蜜网构成了一个诱捕网络体系架构,在这个架构中,可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。

三、主动防御安全系统部署

我们在校园网中部署能够捕获攻击者的攻击,收集攻击数据,分析和抑制攻击的基于主动策略的安全系统,结合统一威胁管理、流量控制和蜜罐技术,相互补充,进一步提高我院校园网络的防御能力。

1,外部统一威胁管理设备作为校园网络边界的第一道防线,将大部分的入侵行为进行隔离。该设备防火墙采用的策略是:对入境的通信严格控制,而对出境的通信则按安全策略放行。

2,内部流量控制设备作为内部流量管理控制设备,在应用层对校园网内部的流量进行分析检测,分析突发的大流量应用、异常流量监测,对P2P协议进行时间限制,有效的对非正常教学、办公流量进行阻挡,在现有带宽下保证网络的安全高效。

3,蜜网的设置与外部UTM恰巧相反,即对入境的通信放宽,以便收集更多的数据、证据;而对出境的通信则按安全策略严格控制,防止入侵者利用该系统作为跳板,对其它系统进行进一步的攻击。为了更进一步收集数据,在蜜网内部防火墙的内部安装嗅探器,对进入系统的每一个数据包都做记录。

4,主动防御管理收集各数据源,包括UTM阻挡日志、流量阻挡日志,蜜罐主机记录日志、嗅探器的数据,将收集到的数据按照统一的格式进行分类、归纳,以供分析利用。

5,将淘汰的网络设备、功能服务器经过虚拟和重定向处理应用到蜜网的部署中,由于这些系统和应用都是真实的,因此在蜜网中发现的漏洞和弱点就是真实存在的,需要改进的。

四、结束语

通过统一威胁管理、流量控制管理和蜜网的高效联动管理,网络管理有了新的理念,可以对数据流的分布做很准确的考察和管理,实时掌控网络的运行状况,及时将网络风险进行有效防御,这种前瞻式主动防御部署,节省了增加带宽的费用,解决了网络拥堵问题,同时实现了更好的网络安全管理。

参考文献:

篇5

关键词:局域网;网络流量;控制;管理

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-9063-02

现在的网络带宽不断增加,但是网络速度却经常出现问题,很多企业和运营商都面临这样的困境,因为网速变慢,增加带宽,可是投入越来越大,网速却越来越慢。其实造成宽带拥塞的原因有很多,出口带宽永远低于桌面带宽是最根本的原因。而且由于网络的快速发展,人们对网络的要求越来越高,特别是近年P2P等下载软件和网络电视的流行,更使本来就不多的网络资源捉襟见肘。要想改善网络环境,提高网速,最主要的还是要控制P2P、网络视频等软件,做好网络流量的监控和管理。

1 局域网网络流量监控方法

网络流量监控主要的目的是通过对网络数据进行实时连续的采集监测,对获得的数据进行统计分析,从而得出网络的主要性能指标,根据流量数据对网络进行分析管理。网络流量监控一般可以使用网络监控设备或网络流量监控软件。由于目前局域网中原有的网络设备大多是基于三层IP管理的设备,对新兴的以P2P模式为主流的新型应用管理无能为力,无法阻止如BT这类P2P软件的泛滥成灾,进而导致重要的网络应用带宽无法保证,要解决这一问题,就必须使用面向应用的网络流量控制软件,对整个网络进行全面管理与优化。由于目前网络应用的多样性发展,网络流量的种类也越来越多,最为常见的网络流量有以下几种:

1) P2P流量:P2P文件共享是网络带宽的消耗大户,特别是在夜间,这个时间段网络带宽竟有95%被P2P占据。

2) FTP流量:FTP是从互联网刚开始出现时就一直被用户频繁使用的服务,它的重要性仅次于HTTP和SMTP。目前因为出现了P2P应用,FTP的重要性有所降低,但它仍然是不可缺少的下载文件途径之一。

3) SMTP流量:电子邮件无疑是网络应用的重要组成部分,统计显示有3/4以上的用户上网的目的主要就是收发邮件,而因为电子邮件的免费使用,被人们当成了散发自己广告信息的有效工具,从而导致了互联网中大量的垃圾邮件泛滥。

4) VoIP流量:2006年全球IP电话用户从1030万增长到1870万,增幅达83%。2007年VoIP通话量已达到全部通话量的75%。因此,互联网上VoIP的流量也是非常值得管理员关注的。

5) HTTP流量:HTTP是互联网上使用最为广泛的协议,目前已经取代传统文件下载的主要应用层协议FTP,而现在随着视频共享网站的拉动,HTTP协议的网络流量大大增加,已经超过了P2P应用的流量。

6) Streaming流量:随着PPLive、PPStream等视频软件的出现,广大互联网用户已经习惯于通过视频直播和点播观看节目,其流量也在不断地增加。

针对以上这些流量种类,我们可以分别采取不同的措施进行控制。当然,不论是什么网络症状,我们都需要根据自身的情况对症下药,这样才会事半功倍!

2 局域网流量控制与管理策略

流量控制通常的做法是在输出端口处建立一个队列进行流量控制,控制的方式是基于路由,亦即基于目的IP地址或目的子网的网络号。

2.1 通过路由控制流量

当前,很多路由器也具有流量控制功能,最近TP-Link TL-R410+、TL-R460+等桌面型型号路由器进行了升级,新增了“流量控制”功能,可有效控制局域网内每一台电脑所占用的带宽大小,合理管控部分P2P软件的下载速度,防止少数用户过度占用带宽,解决大多数用户网速慢、上网卡等问题。

2.2 禁止P2P下载

P2P下载是抢占流量带宽的罪魁祸首,其方法主要是:

使用注册表禁止P2P下载软件编辑一个名字为KillP2P.reg的注册表文件,内容如下:

WindowsRegistryEditorVersion5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"DisallowRun"=dword:00000001[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]

"1"="BT.exe"

"2"="Thunder.exe"

"3"="bitcomet.exe"

"4"="………."

"5"="………."

想限制哪种P2P软件,只需将P2P下载软件的可执行文件填写到1、2后面即可。将KillP2P.reg文件导入注册表后,重新启动机器,KillP2P.reg中限制的P2P软件将无法运行了。

其实,在控制P2P下载这方面,效果较好的要属国内的聚生网管这款软件,它是根据P2P软件的协议特征来进行控制,最为严格最为有效。如果对注册表不是很熟悉,可以直接去使用此软件控制。

2.3 进行时间段管理

现在有些宽带(无线)路由器也具有时间限制功能,目的是针对某参数某功能采取时间调度进程的方式管理其开与关,就是符合时间段内则开启,不符合时间段内就关闭。一般来说在路由器管理界面中有专门的所谓“调度进程”的选项,这个就是时间管理与控制的最基本要素,通过调度进程实现制定时间规则的目的。

时间管理存在于各个厂商各个品牌的宽带(无线)路由器中,他也是无线路由器未来功能发展的趋势,随着技术的发展,会有越来越多的参数与功能打上“调度进程”的标签,让我们根据自己的实际需要选择开关的时间段以及不同时间段下不同的参数值。总之,控制好时间,可以让网络更好的为我们服务。

2.4 限定局域网主机速度

限制局域网主机上传和下载的速度,允许其进行P2P软件下载,但是将其下载的速度限制在合理的范围内,使其不至于影响其他人正常浏览网页或下载,但是,一定要注意上传带宽不超过下载带宽。

以上解决方案部署、操作都比较麻烦、技术性要求较高,如果想彻底解决局域网带宽流量问题,我们可以借助网络管理软件进行管理。国内这方面的软件众多,比如聚生网管,这款软件操作非常简单,可以从聚生网管的官方网站下载试用。

3 局域网流量异常发现与处理

借助网络监控软件,网管能轻松监控局域网的流量异常的电脑,既保证局域网的畅通高效,又能确保局域网安全运转。

异常流量可能导致局域网运行缓慢,甚至可能造成局域网全面瘫痪,那么到底是什么原因造成这种现象呢?对于局域网中的每台主机,网管员不可能全部监视或者逐一排查,那么有什么办法能够解决这个问题呢?

3.1 找出流量过大的电脑

要想解决局域网流量异常的问题,首先要找出局域网中流量异常的主机,它是造成整个局域网异常的元凶。通常我们可以借助网络监控软件,使用很简单,只需在局域网中任意一台主机安装,就可以监控整个局域网。包括对网页、QQ、MSN、FTP、收发邮件等进行监控,还可以进行流量统计、控制上网、冲突警告、连接探测、IP绑定等功能。

在安装网络监控软件之前,会提示网管安装WinPcap程序,如果不进行安装,则不能捕获局域网中的数据。当软件第一次运行时,会提示网管选择网卡,这一步非常重要,如果选错了网卡,那么将不能获取局域网的相关数据。不过,有些监控软件有自动检测功能,默认就能正确识别网卡。正确选择了网卡,相应的IP地址、MAC地址、子网掩码等也会自动显示。

借助软件网管可以对整个网段进行监控,我们可以更改设置,比如只监视某个IP范围的几台机器,网管还可以看到每台机器的流量记录、网页记录、QQ聊天、MSN数据流量、FTP数据流量、收发邮件数据等,根据这些流量记录,找出哪台电脑占用带宽多,抢占局域网资源,从而找到流量异常的电脑。

3.2 对异常主机发出警告

借助网络监控软件,网管可以非常轻松地找到流量异常的主机,接下来,网管有必要对之进行警告。当然,网管不是到他们的办公室逐一警告,网管只需要借助监控软件的消息发送功能即可。要注意的是,网络监控软件是调用系统的信使服务发送消息,因此只有对方电脑的信使服务开启才能收到网管的警告。

如果通过上面的警告方式没有起到成效,那么可以选中问题主机,采取“禁止上网”措施,这时对方将马上断开网络。此外,针对病毒木马导致的网络流量过大,网管还可以进行远程关机或者重启。

除了监控功能外,功能比较强大的网络监控软件还针对用户随意更改IP地址的情况提供了IP-MAC绑定功能,一旦绑定后,用户将无法更改其IP地址了。

总的来说,网络监控软件提供了非常丰富的网络管理和安全管理功能,是企业局域网中不可或缺的管理工具,网管借助这个软件可以高效地管理局域网。

值得注意的是,网管员在部署网络监控软件前,务必和主管领导沟通好监控的范围和方式,切忌用监控软件干超过自己权限的事情,以免引来不必要的麻烦。

4 结语

目前对于网络流量监控最有效的方法是使用流量监控软件,选择一款有效的流量监控工具,网管能够清楚的看到哪个用户使用网络资源最多,使整个网络使用情况变成透明。让管理者一目了然,是进行有效管理的前提。当然,光靠外来的方法永远不可能彻底解决问题,想要进行有效的网络管理,首先一定要通过管理层的决策,建立合理的上网管理制度。只有这样,才能有效的进行局域网流量的控制与管理。

参考文献:

[1] 李晟,甘勇.网络流量测量与分析研究现状及发展趋势[J].郑州轻工业学院学报(自然科学版),2005年02期.

[2] 王立梅,朱海涛.局域网流量分析及性能评价[J].中国科技信息,2008年12期.

[3 ]林川,胡波.网络性能测试与分析[M].北京:高等教育出版社,2009.

篇6

【关键词】 用户分级 业务分类 流量控制 综合调度 调控

一、引言

2013年12月4日,工信部已正式发放4G牌照,但受限于网络建设、终端等原因,2G及TD网络在相当长的时间内仍是移动数据业务的主力承载网。近几年来,移动数据业务快速发展,网络数据承载压力明显上升,而用户的体验要求也随着社会的发展不断提高,以QQ为代表的即时通信类业务大量占用无线资源,产出却相对很小。从网络运营的角度,在资源不足时,需优先保证高等级业务、高等级用户的使用体验。因此,对用户进行分级、对业务进行分类,并结合流量控制,形成多维综合调度优先级实现无线资源动态调控,给用户提供差异化服务,提升数据业务网络资源效率及效益,便成为运营商的一个重要运营手段。

二、无线资源调控方案

2.1 数据业务调控策略

2G及TD网络中承载的业务类型众多,除了各类自有业务,还有诸如浏览、文件传输、点到点、即时通信类等典型业务。要实现资源动态调控,首先需要根据业务类型特点制定合理的调控策略,从差异化用户服务、保障自有业务健康发展的角度,调控策略建议如下:

1、对用户进行分级,将用户分为金牌、银牌、铜牌三级。

2、对业务进行分类,对手机视频、手机阅读等自有业务设置高优先级。而即时通信类、点到点下载类业务可设置成较低级别,用SCI(Service Class Indicator)来指示业务类型。

3、基于“用户+业务”的分级,在对用户和业务分级后,综合两种分级策略,制定二维的、基于“用户+业务”的分级。

4、在高校、居民区等即时通信类业务比例较高的区域实施QQ业务管控,减少QQ对无线资源的额外空占影响。

5、基于用户、业务、时间、地点、累计流量等多维度实施流控,优先保证忙时忙区的高等级用户的自有业务体验,当包月流量超出后改变可提供的最大速率,进行流量控制。

2.2 端到端调控策略生成与下发

当用户请求数据业务及发生业务类型转变时,GGSN通过检测网络下行数据包头来确定业务类型,此时需要相应的机制将此业务类型告知BSC或RNC,以便进行无线资源调度。

2.2.1 GTP-U实现参数传递

标准的QoS参数通过PFC流程传递,但无法指示具体业务,因此需要引入新的机制,有DSCP和GTP-U等多种备选方案,通过对比分析,建议采用GTP-U的方案。以2G网络为例,首先GGSN检测出业务,将相应的SCI标识添加到携带数据包的GTP-U包头中,发给SGSN;SGSN解析GTP-U表头扩展标识,将业务类型存放到BSSGP包头的QoS Profile信元里;BSC读取BSSGP包头的内容,针对不同业务进行基于优先级的无线资源调控。GTP-U为3GPP规范的标准参数,因此,该参数传递方案可直接扩展至TD和LTE网络。

2.2.2 调控策略生成与下发

端到端调控策略生成与下发的流程图如图1所示:

1、BOSS通过SOAP接口将用户、业务分级的情况写入策略生成单元(PCRF)和HLR。

2、策略生成单元在用户激活上下文的时候将用户分级和业务分级的情况通过规则的形式通知GGSN,GGSN通过在不同业务数据包中置位的方式通知SGSN,SGSN再将相关的优先级置位转发给BSC或RNC。

3、BSC或RNC基于下行数据包中收到的不同的优先级置位来进行基于综合优先级的调度。

2.3 基于综合调度优先级的无线资源动态调控

2.3.1 基于用户分级和业务分类的优先级调度

以2G网络为例,当BSC成功解析出核心网传递的调控信息后,将根据其内置的综合优先级映射表进行无线资源的调度。

综合调度等级(ISP)分成5级,通过ARP与SCI的不同组合值确定。本次ARP用1代表金牌、2代表银牌、3代表铜牌用户,SCI用A表示自有业务、B表示浏览类业务、C表示下载类业务、D表示QQ业务,SCI可以用于区分多达255种业务,可根据实际需要进行设置,以达到精细化调控的目的。需要指出的是,表中的综合调度优先级映射并不是一成不变的,可根据经营策略和网络情况灵活进行调整。

当BSC根据核心网下发的调控参数完成基于表1的内部映射后,即实施基于权重的轮询调度算法来调控资源。对于5个综合调度等级,可以对其设定5个不同的权重值,并且可根据实际需要进行修改。

2.3.2 基于用户、业务、时间、地点、套餐情况的流量控制

在无线侧进行综合优先级调度的同时,还可以进行基于用户、业务、时间、地点、套餐情况等多维条件的流量控制,流量控制的核心思想是通过允许的最大传输速率来实现,主要由GGSN完成。

1、对于时间,可以在策略生成单元中实现忙时定义,如定义晚18点到20点为忙时,当忙时到达时,策略生成单元到时会重新下发新的策略规则供GGSN执行。

2、对于地点,在SGSN上传的PDP请求激活消息中有相关小区信息,在策略生成单元中定义的策略下发给GGSN,当用户的小区信息发生改变后,策略生成单元重新下发新的预定义规则,触发QoS更新。

3、对于套餐情况,当用户申请的套餐情况发生变化,如超过50元的套餐流量时,BOSS侧会更新策略生成单元中用户所在策略组,当新策略下发给GGSN后,GGSN根据策略指示做出修改最大流量限制的判断。

2.3.3 即时消息类业务无线资源优化

由于以QQ代表的即时消息类业务对速率和信道资源并不敏感,根据其空占比较高的特点,适当减少该类业务的资源占用并不会对用户感知造成明显影响,但可以大大节省无线资源的占用,因此,需要对此类业务进行进一步的无线资源优化。

1、单独的TBF延迟释放控制

BSC解析BSSGP消息获取SCI信息后,如果SCI指示为QQ业务,那么将启用新的延迟释放参数单独对QQ进行控制。延迟释放参数设置越小,释放TBF和信道就越快。

2、单独的TBF提早释放控制

在TBF的预留机制当中,系统通过参数控制需要预留的TFI和USF资源,当系统剩余空闲的TFI、USF资源小于新增的针对QQ单独设置的预留门限时,BSC会立即释放QQ业务所占用的已无数据传输的TBF资源,从而减少QQ对资源的无谓占用。

通过以上优化手段可以大大减少QQ业务的额外资源占用,在不明显影响用户感知的前提下节省了无线资源,缓解了QQ业务带来的大量资源空占问题,提高资源利用效率;当然,不同厂商设备的具体实现机制会有所不同,如有些还能对QQ聊天只分配一个信道,有些还能减少QQ业务的占用度。

3、测试验证

我们在现网进行了试点应用。经过几个阶段的测试,结果表明,通过该调控方案的实施,能够实现用户等级区分、业务类型区分以及基于时间、地点等多种条件下流量控制的多维综合资源动态调度;核心网能够准确的通过GTP-U方案传递业务类型,BSC能够成功识别出QQ业务并按照预设方案对其进行无线资源优化,达到了预期的目标。

试点期间网络设备总体运行良好,设备负荷未出现明显变化。指标方面,半速率占比和信道复用度有所下降,数据信道承载效率和TBF建立成功率均有所提高,其他主要关键指标无明显影响;测试表明,金牌用户在资源明显拥塞的小区业务体验得到明显提升,同时低等级的QQ业务体验未产生明显影响,试点应用区域内也未出现用户投诉的现象。

篇7

关键词网络流量 网络拥塞 控制策略

1出现网络拥塞的原因

互联网作为计算机和通信技术融合的产物,近年来得到飞速的发展,尤其是硬件产品方面的发展。但硬件的飞速发展并未带来网络服务质量的飞速发展,网络拥塞、网络速度依然困扰着人们。导致网络带宽拥塞出现的原因,根据自有用户的使用情况和需求反映,及在网络和书籍上查找相关的情况,基本总结如下:

1.1LAN/WAN的不匹配

高速LAN与低速WAN之间不匹配造成严重的带宽瓶颈,这将导致延迟与不一致的性能,我们学校从网络供应商接入校园的外网才几十M,而内网可达百M、千M。近十年来,LAN从10M、100M、千兆、到现在万兆的内部主干网络,而WAN也速率也从56k、128k、2M、10M、50M、100M、500M、千兆。虽然WAN速度增长倍数是大于LAN,但基数还是远小于LAN。

1.2网络流量种类、数量不断增多

网络用户拥有多种不同的应用交叉连贯,从很重要的应用(如视频会议和Voice overIP(VoIP))到娱乐性的应用,如在线视频、在线游戏等。当关键性的应用与不紧急及娱乐性的程序共享相同的网络资源时,不级别用户争抢带宽,网络速度变慢,甚至有的工作站就会出现无法接收数据的现象。归根结底,是由于局域网带宽过度消耗的。对带宽需求较大而又非常重要的应用,需要在限制和允许之间做出平衡;对关键型的网络应用需要保障其有不受干扰的通道。

1.3不预计的流量突发

蠕虫、病毒和与日俱增的Web流量都是当前网络的负担。以消耗网络资源为目的流量类攻击发展迅猛,却没有有效的防范控制手段,网络人员大量的恶意非法连接消耗带宽,淹没主机,造成拒绝服务(DoS)攻击;蠕虫病毒大量而快速的复制使得网络上的扫描包迅速增多,造成网络拥塞,占用大量带宽,从而使得网络瘫痪;网络内部操作失误等。

2流量控制策略

2.1 建立VLAN

建立VLAN能有效遏制机构范围内的广播和组广播,进行跨园区的带宽和性能管理。我们学校使用的交换机型号是华为3026 EI系列,通过该交换机,可以有效地限制网络带宽资源过度消耗。在完成物理连接后,通过Console端口到交换机的后台配置界面,从中找到虚拟子网划分设置选项,并通过该功能将24口的交换机所连接的端口设置成几个不同的VLAN,通过VLAN中的IP地址段和职能部门的对应管理,我们可能直接就以职能部门的名称作为分类的名称,将网络流量的来源和实际用户联系起来。划分VLAN举例:

[H3C] VLAN1

[H3C-VLAN1] quit

[H3C] VLAN 3 to 9 //创建了VLAN1

为了防止工作站随意使用BT之类的下载软件、在线影视等来过度消耗网络带宽资源,我们可以进入华为3026交换机的后台配置界面,从中找到"端口带宽控制"设置选项,通过这一功能选项将交换机所连接的带宽设置成合适的值。这样一来工作站即使使用了P2P等应用,我们也不担心整个局域网的出口带宽资源被耗尽。华为3026 EI系列交换机端口限速配置如下:

对该端口的出方向报文进行流量限速[**3026-e0/1] line-rate 50

对该端口接收方向报文进行流量限速[**3026-e0/1] traffic-linit inbound ip-agroup aaa 50

端口的出入口方向限速为50Mbps

2.2 负载均衡

随着大量数据在网络中传输,数据流量不断增大,网络核心部分的数据接口将面临瓶颈问题,这时可以考虑采用负载均衡。负载均衡建立在网络结构之上,它提供了一种廉价有效的方法扩展带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可能性。它主要完成以下任务:解决网络拥塞问题;为用户提供更好的访问质量;提高服务器响应速度及其资源的利用效率。学校校园网采用本地负载均衡,对本地的服务器群实现负载均衡。本地负载均衡能有效地解决数据流量过大,网络负荷过重的问题,充分利用现有设备,避免服务器单点故障造成数据流量的损失。均衡策略把数据流量合理地分配给服务器群内的服务器共同负担。原有的单一线路将很难满足需求,而且线路的升级又过于昂贵甚至难以实现,这时就可以考虑采用链路聚合(Trunking)技术。链路聚合技术(第二层负载均衡)将多条物理链路当作一条单一的聚合逻辑链路使用,网络数据流量由聚合逻辑链路中所有物理链路共同承担,由此在逻辑上增大了链路的容量,使其能满足带宽增加的需求。

2.3 使用监控网络流量的工具

网管员可以借助网络流量管理工具监控网络流量,从而控制网络带宽、发现网络中存在的问题,识别网络流量,辨别出这些网络流量是从哪里由什么程序,经由哪个用户产生的,通过用户身份对网络流量进行识别,网络管理员根据流量数据就可以对网络主要成分进行性能分析管理,发现性能变化趋势,并分析出影响网络性能的因素及问题所在。Mrtg(Multi Router Traffic Grapher,MRTG)是一个监控网络链路流量负载的工具软件,它是利用SNMP协议,去侦测指定的运行有SNMP协议的网络设备上抓取到信息,自动生成包含PNG格式的图形,并以HTML文档方式显示给用户。每隔几分钟采样并统计其设备流量,将统计结果绘成统计图,这样用户能很容易地从统计图上观察出实际网络的流量。

2.4进行数据通讯优先级控制,限制或禁止在特定时间段内的流量占用

解决带宽拥塞的关键问题是如何能够将带宽合理的分配到每个桌面用户,当网络资源紧张的时候限制那些使用量大的用户,保障那些使用量小的用户,反之,当网络资源有较大空闲时,则取消这些限制,让每个用户都能有效利用资源。我们根据自己的实际需要选择开关的时间段以及不同时间下不同的参数值。校园网选用了黑盾防火墙FW2000+。黑盾防火墙有强大的流量控制功能,可以通过黑盾防火墙设置优先级和流量值的方式对主机的带宽和规则的带宽进行保证,提供QoS机制,保证带宽合理分配,充分利用资源。

3 结束语

网络的流量监控在日常的网络运行维护当中是一个非常重要的内容,流量控制策略的制定对网络带宽的合理分配起决定性的作用,通过合理的策略控制,有效抑制了P2P、迅雷及在线视频等占用带宽的现象,保障了关键业务以及时实性较强的业务优先使用,保障网络基础设施的健康运转,提高了校园网络的服务质量。

参考文献

篇8

(中国民用航空华东地区空中交通管理局,中国 上海 200000)

【摘 要】随着我国空中交通网络的逐步铺设以及人们生活品质的逐渐提升,空中飞行成为当前人们主要的交通工具和出行方式之一,为人们的出行便捷与安全提供了非常有利的促进意义,但值得注意的是,我国当前的空中交通管理工作仍然有很多地方存在一定的管理漏洞,给空中交通的安全、秩序、顺畅以及快捷造成了一定的影响,空中流量策略是当前空中交通管理的过程中一直实行的一项飞行秩序管理策略,但其在当前的空管工作施行过程中也依然存在一定的问题,创新和优化空中流量的控制管理策略,依然是当前空管部门应该积极思考的一项问题。本文将对传统的空中流量控制策略进行研究,进而对基于经济效益以及航空安全平衡的空中流量控制策略进行具体的分析。

关键词 经济效益;航空安全;空中流量控制策略

空中流量控制工作是指在空管工作的进行过程中,为了保证扇区管理范围内不同航天飞行器的有序飞行以及防止航天飞行器在飞行的过程中出现意外情况,在地面管制中心的协调和指挥下对空域范围内航空飞行器的飞行路线以及飞行模式进行调整的工作,其目的是是为了达到不同航天飞行器在空中飞行过程中的最大效率和最安全质量。如果在地面管制员的指挥和协调工作过程中,空域范围内的飞机通行或者下降数量已经超过了其管理的最大范围,那么当前的空域范围内就不会再接受其他飞机的降落以及通行过程,同时有效的施行航空管制。空中流量控制策略的设计和施行对保证空域范围内空中交通的安全以及效率有着非常重要的影响,优秀的空中流量控制策略是保证空管企业能够获得良好经济效益以及空管工作能够获得良好安全的前提内容。

1 传统的空中流量控制策略的内容以及其存在的主要问题

在传统的空中交通流量控制策略中,一般都是根据不同的空中流量交通情况采取不同的控制策略,具体来讲其可以分为点流量控制策略以及区域流量控制策略两种,这两种策略又可以分为点控制策略以及区域控制策略。其中点控制策略指的是在空中交通流量管制的过程中,以空域范围点不同点与点之间的距离控制来完成对飞机在空中飞行的以及降落过程中的流量控制,其表现出来的形式则是使飞机按照一定的先后顺序拍成与对进行某一控制点,当飞机通过这一点的范围之后即可以自由离开按照先前安排好的航班继续飞行,同时不会对后进的飞机的飞行顺序造成任何影响,而仍然待在这一点控制范围中的飞机也处于正在落地的过程中,不会对飞机的正常飞行造成影响;而区域控制策略则指的是通过某一个地面管制中心活动区域以及管理范围内部的飞机进行空中交通管制的策略,其会安排多个即将进入飞行状态的飞机在入口前排队进入区域,进入区域后飞至区域的出口继续排队以等待进入到下一个管制区域的范围内再进行排队降落以及飞行的状态,同时如果区域内部的飞机数量达到一定的饱和程度时,区域内部的地面管制中心就会关闭整个区域内部的接受制度,不再接收新的飞机的排队。事实上,无论是点对点的空中流量管制策略还是区域范围内的空中流量管制策略,其当前都是存在一定的问题的。具体来讲,当前阶段空中交通管理策略的施行过程中主要存在以下内容的问题:

1.1 部分航班流量过于集中

当前阶段,虽然我国的空中交通网络一直在逐步的扩建过程中,但是目前来说不同出发地以及目的地的航班流量仍然不够均匀或者平衡,部分航班流量的吞吐量过大而部分航班流量的吞吐量过小是当前一直存在的问题。当前我国空中交通网络中前四十名以内的机场,都是集中在各个省会城市或者热点旅游城市,航班量排名前五的机场都集中在在北京、上海以及广州等地区,过于集中的航班流量必然给空中交通流量管制的工作带来极大的压力,在空中飞行的过程中又会遇见种种影响因素,由此造成的空中交通流量管制工作出现失误而导致航班延时或者误差也是无法避免的问题之一。

1.2 空中交通流量过于拥挤

航班流量的不够均匀和平衡也会在一定程度上影响到空中交通过程中某一飞行航道的拥挤程度,事实上京广航路一直都是当前我国飞行航道中空中交通流量非常拥挤的一条航道,其经常出现大面积拥挤的情况,对于各个地区的空中交通流量管制工作的顺利进行也造成了一定的影响。

1.3 空中交通范围有待扩大

具体来讲,当前我国民航飞行的空域范围仍然较小,这一现象对中国民用航天飞行事业的发展造成了一定的阻碍,虽然已经经过了一系列改革,但当前民航所能使用的空域范围仍然有待扩大和提升。

2 基于经济效益和航空安全平衡的空中流量控制策略研究

2.1 针对空中流量管理的主要范围和内容进行创新

当前名航企业中对于空中流量管理的相关人士一直都存在可以改进的地方,事实上,在出现了已经无法应用更好的策略去提升空中流量管理这一标准性问题的同时,民航企业可以改善思路,从空中流量管理这一工作的具体工作内容和工作范围以及工作目的进行创新和改善,有效的制定空中流量管理的策略,使其能够在满足民航企业经济效益的同时有效的提高航空飞行过程中的安全程度。

具体来讲,民航企业可以针对空中流量管理的主要内容施行先期流量管理、飞行前流量管理以及实时流量管理这三个方面的内容来提升空中流量管理工作的质量。首先先期流量管理是指在航班飞行的前几天时间内就完成对飞行计划的制定工作,做好对飞行过程中影响飞行速度和飞行质量的诸多因素的调查工作,做好飞机飞行前的空中流量管理准备工作,确保该航班在飞行过程中不会出现延误以及超负荷流量使用的现象,同时确保该航班的飞行不会给其他航班造成影响,或者造成的影响能够通过其他手段进行弥补和改善;其次飞行前的流量管工作是指在飞机飞行之前通过对航班实际情况的观察调整飞行航班的具体起飞时间、飞行航线等等,尽量保证飞行时间和飞行航变不会出现较大的变化,而一旦出现变化时就应该立即做好调整;实时流量管理则是指针对飞行过程中的飞行器进行有效的控制和引导,使其能够偏离较为拥挤的飞行航道,在飞机降落之前使之能够避开已经产生拥挤的飞行航道避免造成更大程度的拥挤。

2.2 采用优先级的设计来完成空中交通流量的控制

民航企业可以根据航班飞行过程中各个航班的时间优先程度、机型优先程度以及延误优先程度和突发意外的优先程度完成对整体空中交通过程中各个航班的优先级定位工作,根据其航班飞行过程中的优先程度以及重要性完成对空中交通管理过程中交通流量的控制工作。同时,在这一策略的施行过程中民航企业还应该根据当前航班的经济利益以及航班的安全性综合考虑流量控制过程中相关航班的飞行、降落、或者是远离行为的控制,保证整体空中交通流量的顺畅,保证空中交通的安全。

3 结语

综上所述,本文通过对空中流量控制的主要内容以及重要意义进行分析,对其当前存在的问题和影响因素以及具体的解决措施提出了相应的意见,航空企业应该继续加强对空中交通流量管制策略这一问题的研究,在企业经济利益与航空安全的角度上综合找到彼此的平衡点,保证空中交通的顺畅、便捷以及安全。

参考文献

[1]魏亮亮.空中交通流量简析[J].中国科技博览,2013(3):259.

[2]范凯.浅析流量控制及航班延误[J].青年科学,2013(10):238.

[3]赵嶷飞,金长江.区域空中交通流量控制研究[J].飞行力学,2002,20(2):67-70.

篇9

【关键词】短信 接通率 短信中心

1 引言

在运营商众多的增值业务当中,短信业务具有特殊地位,在对网络资源占用十分有限的情况下,为运营商带来大量业务收入。正因如此,运营商对短信业务的服务质量(主要是短信系统接通率)十分重视。正常情况下,整个短信系统的设计具有较大的冗余量,这也确保系统能够实现较高的接通率。然而传统节日如中秋、除夕,短信业务量呈现出集中爆发的态势,瞬间业务量高峰在很大程度上超出系统的处理能力极限,从而造成系统接通率的下降。

2 短信系统概述

2.1短信业务概述

短信业务属于移动数据通信业务范畴,可分为小区广播业务和点对点业务。

点对点短信业务具有以下特点:

(1)短信的传送采用存储转发方式,即短信被发送出去后,不是直接发送给接收方,而是先存储在短信中心(SMSC),然后再由SMSC转发给接收方。终端(MS)无论在归属地还是在漫游地,均可收/发短信;即使MS关机、不在无线覆盖范围内或SIM卡存储器中短信溢出时,短信中心自动存储发往该MS的短信,在MS有效时,再发送出去。通常情况下,存储的时间不超过三天,但在节假日高峰,则缩短到一天甚至12小时。

(2)在短信发送过程,短信发送方可以在发出短信后收到一条确认通知,返回发送成功或失败的消息,以及不可到达对方的原因。如无线空中接口信令信道拥塞资源不足、短信中心内存满、处理能力不够而被拒绝都会返回“发送失败”。

2.2短信传送基本流程

由于短信发送一般至少要经历SMSC、PLMN、和NO.7信令网三大部分。对用户而言,移动始发短信(MO)和移动终结短信(MT)是完全独立的两个过程。参与点对点短信发送过程的网络实体包括SMSC、SMS-GMSC、SMS-IWMSC、MSC、MS。

(1)移动始发短信(MO)的基本流程

移动始发的短信从终端接入系统开始到收到短信中心发来的发送成功为止。MO是由主叫发起短信呼叫,将短信发送给VMSC,VMSC接收并根据短信中携带的短信中心的标识号,把短信和被叫号码一起送到NO.7信令网,NO.7信令网根据全局码GT寻址被呼终端归属的SMS-IWMSC,将短信提交给IWMSC、由IWMSC提交短信中心SMSC。图1是MO流程图。

移动始发短信分为以下过程:

接入和鉴权加密;

发送短信到短信中心;

短信中心向手机报告发送结果。

其中接入和鉴权加密的过程和移动用户主叫对应的过程一致。

(2)移动终结短信(MT)的基本流程(如图2所示)

MT类型是终止于终端的业务,短信先发送到被叫终端所归属的SMSC,发送到入换机SMS-GMSC,由SMS-GMSC根据被叫号向HLR查询得到目前被呼移动台所在位置,并将短信通过NO.7信令网发送到被叫所在的MSC,MSC查询VLR得到被叫所在的BSC,并对该BSC所属的所有基站发出寻呼信号。整个过程包括路由信息、寻呼、接入和寻呼响应,鉴权加密,短信传送,最后向短信中心报告接受结果,这个结果经SMS_GMSC分别送HLR和短信中心,由短信中心回送始发短信用户。

3 影响短信接通率的主要因素分析

3.1短信接通率的定义

短信接通率的定义如下:

短信系统接通率=MO提交成功率*MT下发成功率={手机向短信中心提交成功条数/手机向短信中心提交总条数}*{短信中心成功下发条数/(短信中心含重发的下发条数-用户原因导致的失败条数)}

对短信接通率会产生影响的有三个主要因素:无线资源不足导致SDCCH拥塞、短信中心处理能力不足、信令链路拥塞等。

3.2无线资源

SDCCH是双向专用信道,传送建立连接的信令消息、位置更新消息、鉴权消息、加密消息、信道分配消息以及短信等各种附加业务。

短信发送使用的信道根据手机处于空闲和非空闲状态采用不同的方式:空闲状态通过SDCCH发送,非空闲状态则通过慢速随路控制信道(SACCH)进行传送。

根据短信发送的流程可知,终端只有在请求BTS成功进行信道分配资源才会发送成功,当无线资源紧张,SDCCH出现拥塞时,终端无法获得SDCCH信道资源,会带来两种影响:

(1)MO类型:MO终端发送失败,由于短信无法提交到短信中心,此时影响的主要是用户感知,而不会影响到MO类型的短信接通率;

(2)MT类型:此时短信中心下发的MT短信由于缺少无线信道资源,将无法成功发送到被叫用户,故直接影响到了“MT下发成功率”。

同样,处于通话状态的用户在接收短信时,如果缺少SACCH信道,其主要影响的是“MT下发成功率”。

3.3短信中心处理能力

在处理点对点短信业务中,短信中心的处理能力是一项关键指标,业务量一旦超出短信中心的处理能力,将直接导致短信接通率的下降。而这种情况在中秋、除夕等传统节日十分容易出现。

3.4信令链路拥塞

除去上述影响因素以外,各个网元之间的链路负荷如果过高也会影响短信的传送,一般通过对链路负荷报表数据的分析,可以比较容易地判断出来是否拥塞、拥塞程度如何,以及根据数据情况来决定是否需要进行增加链路。

4 某省短信接通成功率下降分析

4.1短信中心现状

该运营商共有6个点对点短信中心,分区域承担全省短信业务的存储、转发,表1是该运营商短信中心处理能力情况。

值得注意的是,短信中心在日常运行过程中,业务量远小于系统的处理能力,系统的接通率指标也很高,仅在某些节假日出现业务高峰时才会出现接通率下降的情况。

4.2数据分析及问题定位

该运营商短信中心在2011年2月3日凌晨00:00-1:00期间,短信接通率急剧下降,从平时的99.72%及日常高峰时期的97%大幅度下降到87%。

(1)短信业务量数据分析

从图3可以看出,业务量从2月2日下午16点开始稳步上升到晚上20点最高点,然后仍旧在高位运行到2月3日凌晨零点,之后系统的业务量恢复到较低水平。2月3日零点以后全天的业务量呈现稳定的“M”字形,全天最高

忙时的小时业务量为1500万条。

(2)各短信中心接通率走势

短信中心2月2日8时-2月3日8时各个短信中心接通率如图4所示。

从接通率指标来看,白天短信的接通率指标正常,一般都能够达到97%以上。结合除夕以外的日常短信接通率指标,可以发现指标有一定的变化规律:正常时 候,白天的指标好于夜晚。除夕当晚由于短信业务量激增,达到日常忙时段的3倍业务量以上,各个短信中心的接通率都有不同程度的下降,其中“SMSC1”指标下降最大,最低时接通率仅达到45.15%,直接导致了整个短信系统的接通率的大幅度下降,平均指标仅为87.36%。

对统计数据分析可知,零点时段所有短信中心的MO提交总条数为1386万,MO未被处理的总条数为232万条,其中SMSC1短信中心未被处理的条数占了全网未被处理条数的88.4%。

再来分析SMSC1短信中心,“向短信中心提交的短信总条数”为404万条,而实际短信中心接纳成功处理的条数仅为190万条,MO的接通率为47.11%,表2是从系统中提取的SMSC1短信中心在零点时段的业务量和接通率。

通过对统计数据的分析可以得出以下结论:全省短信中心接通率指标在2月18日零点均有小幅度下降,但仍属于节假日业务高峰正常下降,导致全省短信接通率降低的主要原因是SMSC1业务区在短时间业务极度集中,大大超出了系统处理能力,系统在大业务量的冲击下,MO提交成功率下降过低从而导致该短信中心全程接通率大幅下降。

5 解决方案建议

通过对可能影响短信接通率的因素进行分析,可以确定导致本次接通率大幅度降低的根本原因是短信中心SMSC1在高峰时段的业务量远远超出其处理能力而引起的。

我们将综合考虑经济性、技术可行性和对现网的影响等因素,提出相关的解决方案建议,并对所提出的解决方案优劣势进行全面的比较,以供参考。

方案一:对SMSC1进行扩容

该方案是最为直观的解决SMSC1处理能力不足的办法,其优点是对现网的结构和运维不作任何变化,同时也不存在任何技术上的风险。

然而,综合日常话务量指标较低、系统总体处理能力富余度较大、系统接通率指标好的情况,为满足每年仅有的几次业务量高峰而进行扩容,只会进一步增加系统在非节假日期间的富余处理能力,考虑到投资效益,该方案在经济性方面显然达不到最佳,因此,不建议采取该方案。

方案二:全网短信中心富余处理能力共享――MT模式

通过对2月17日和2月18日48小时的业务量进行分析,我们发现,短信中心SMSC4的处理能力仍有一定的富余度。在这种情况下,可以考虑将SMSC1无法处理的业务分流至SMSC4进行处理。

该方案最大的优点是以全局的视角来合理调度全网的短信处理资源,解决了业务高峰期间,由业务流量不均衡带来的各短信中心的忙闲不均问题。更为重要的是,该方案具有很好的经济性,可以在不增加投资的情况下,达到充分利用现有资源的目的,避免了不必要的投资浪费。

该方案在具体实施时,需要对业务高峰期的前几天各短信中心的业务量进行监测,进而预测可能会出现处理能力不够的短信中心,通过在LSTP侧重新配置端局指向数据,将可能会超负荷的短信中心的部分业务量进行分流,一旦渡过几小时的业务高峰,则将配置数据调整回来。

从运维角度看,该方案需要在春节业务高峰前一段时间对全网的业务数据进行统计分析,并进行预测,业务预测的准确性对方案的最终实施效果将会产生重要影响。此外,短期之内还会增加一定程度的配置调整等维护工作量。

方案三:短信池(SMSC Pool)模式

SMSC Pool技术是一种基于自动分流的技术,其基本思想是通过对短信中心各业务处理单元的性能、容量进行实时监控,实现对业务自动分流。

SMSC Pool的关键技术是通过在短信中心增加流量控制模块,实现对短信业务量的统一分流控制。流量控制中心模块根据部署位置和功能的不同,可分为局内流量控制中心和局间流量控制中心。局内流量控制中心主要负责单套网元不同核心单元的流量控制,而局问流量控制中心主要负责不同短信网元之间的流量控制。该方案目前已有现网应用案例。三种方案的比较如表3所示。

篇10

计算机网络管理是网络工程专业的重要课程,但是许多高校把教学重点放在网络技术和网络工程上,并未独立开设计算机网络管理这门课程,而是把这部分内容放在计算机网络技术或计算机网络工程这两门课中,相关内容授课课时少,深度也不够,有时由于课时紧张和实验条件的限制,往往忽略这部分内容,让学生自学,学习效果不是很好。现在,计算机网络的规模越来越大,应用也越来越广泛,网络管理的重要性和迫切性日益凸显,社会对网络管理的开发及应用人才的需求也日益增多,因此需要独立开设计算机网络管理这门课程,文献[1-4]对计算机网络实践教学进行了探讨,文献[5]研究了实践考核的办法,笔者根据自身教学实践从理论和实践两个方面对计算机网络管理课程教学进行探讨。

1以问题为导向组织教学

现在的教材大多采用平铺直叙的方式介绍网络管理的内容,有的基本上是直接复制RFC(请求评论)文档,这样的教材内容死板枯燥,教师讲课时如果照本宣科,学生听起来会相当枯燥没有学习兴趣。以问题为导向组织教学就是教师用一个个问题贯穿整个教学内容,在教学时提出问题,教师或学生提出若干解决问题的办法,再通过比较选择一个最佳的办法,这样的教学方式容易激发学生的好奇心,培养学生发现问题和解决问题的规律。比如,在讲授网络管理的概论时,提出问题:目前计算机网络的现状是什么?计算机网络技术多样化,既有以太网也有帧中继,网络设备厂家众多,不同厂家的设备差异较大,数据表示、数据存储采用的系统各不相同,如何进行网络管理?要进行网络管理,管理者必须从被管理的网络获取数据并进行分析,然后向被管网络发送控制数据,并进行相应的设置。但是由于网络技术以及网络设备的多样性、数据表示的差异比较大以及数据结构与变量命名的不同,必须要对数据表示进行规范,对数据结构与变量命名进行规范,采用统一的数据结构,制定规范的变量命名规则。

通过一系列问题的提出与解答,学生很容易就明白SMI(管理信息结构)、MIB(管理信息库)、SNMP(简单网络管理协议)通信协议的含义与作用。在讲ASN1(抽象语法表示1)的BER(基本编码规则)编码时,提出问题:数据的接收方接收数据后如何知道数据的作用范围?如何知道数据的类型?如何知道数据的存储长度?如何知道数据的值?用标签名指示数据的作用范围,用标签号表示数据类型,用长度值表示数据的存储长度,即采用TLV(标签长度值域)方式编码,学生可以很容易明白为什么采用TLV方式进行编码。编码后的数据是串行的,接收方如何解析数据呢?首先获得T的信息,可以容易获得标签类型信息,但是标签号比较麻烦,如果用一个字节表示T的信息,只能有5个比特表示标签号,可以表示的最大标签号为31,如何表示大于31的标签号呢?这时候需要增加若干个字节用来表示大于31的标签号,如何知道增加了几个字节呢?一种办法是在第一个字节后面添加一个字节,其值表示后面有几个字节用来表示标签号,如图1所示,表示用一个字节表示标签号,标签号是64,即所谓的长度值法。

另一种办法是采用标志位指示有几个字节表示标签号,如图2所示最高位是1时表示后面还有字节,最高位是0是表示是最后一个字节,其标签号是192,即所谓的标志位法。这两种办法都需要用五个连续的1表示T多于一个字节,所以当用一个字节表示T时,标签号最大为30。如果表示标签号需要m比特,那么采用长度值法需要ceil(m/8)+1个字节,采用标志位法需要ceil(m/7)个字节,如图3所示,当50≤m≤56时,两种办法的字节数相同,当m≤49时标志位法需要的字节数比长度值法少,一般标签号不会很大,所以采用标志位法比较好。L的编码有定长编码和非定长编码两种方式,定长编码就是采用长度值法,非定长编码就是采用标志位法,IP包的分段和重组采用标志位法,IP包的长度采用长度值法,链路层的帧采用标志位法。通过这样分析和比较,学生很容易就掌握确定在网络上传送信息的长度的办法。如果教师照着文档那样平铺直叙,学生只知其然而不知其所以然,学习效果肯定大打折扣。

2以实践为导向组织教学

纸上得来终觉浅,在讲授MIB的标量对象标识符命名和表对象标识符命名以及MIB字典循序时,学生总是弄不明白表对象标识符命名办法,以及为什么需要字典顺序。通过在实验室搭建简单的网络环境,利用MIBBrowser工具中的get操作和getNext操作,学生很快就领会这方面的内容。在讲授性能管理、安全管理以及计费管理时,由于实验室的网络规模比较小,数据也不全面,实验室实验已经不能反映问题本质,只有在真实的网络环境中对这部分内容进行实践,学生才会真正掌握。现在,校园网的规模一般都比较大,运行时间较长,所涉及的网络管理问题也较多,网络管理人员的管理经验丰富,学生在网络中心实训能取得很好的效果。笔者与校网络中心合作反复研究制定了下列实训计划。

实训一:了解徐州师范大学校园网的基本情况。实训目的:通过实训,帮助学生了解徐州师范大学校园网的基本情况,了解CERNET(中国教育和科研计算机网)与其他三大电信运营商之间的关系。实训内容:1)CERNET与其他三大电信运营商之间的关系;2)徐州师范大学校园网发展历程、现实情况和未来发展。3)徐州师范大学信息网络中心的组织架构与管理措施。

实训二:参观实际运行的网络中心机房。实训目的:通过实训,帮助学生了解中心机房的主要基础设施,了解校园核心网络的实际拓扑及其相应的主要网络设备,了解服务器与存储设备,了解网络传输的情况及网络交换机的内部结构。实训内容:1)了解中心机房的主要基础设施。(1)机房内部环境:防静电地板,中央空调。(2)电力保障系统:两路一类市电采用380V三相线路,互为主备用;双路冗余大功率智能UPS系统,保证持续供电;交流电220V50HZ(16A或25A),每台机柜采用双路UPS电源直接供电,UPS系统的建设容量为断电后可满足机房用电3~4小时,采用N+1并联冗余备份。缺乏柴油发电机组作为后备电源,当无市电时无法保证100%持续电力供应。(3)空调系统:采用大型恒温、恒湿机房专用空调2台,可保证机房通风,温度常年保持在22~26度,湿度保持在50%左右,大楼中央空调作备份。(4)消防系统:机房安装智能型温感、烟感探测器,能迅速响应提前预报警;机房防火措施采用中央二氧化碳灭火器系统;应急照明措施,采用日光灯应急照明配置。(5)防雷接地系统:防静电地板胶,接地电板极可靠连接大地。(6)机柜、配线:机柜为进口德国威图机柜,入室光缆采用上走线接入配线架,机柜与机柜之间在地板下面走线。2)了解校园核心网络的实际拓扑及其相应的主要网络设备。(1)拓扑图:全校网络拓扑、边界出口拓扑。(2)核心交换机:CISCO6509的模块化结构、各种网络接口。(3)边界设备:防火墙、链路负载均衡器、专用连接设备等。(4)其他关键设备(流量控制设备等)。3)了解服务器与存储设备。(1)塔式、机架式、刀片式服务器。(2)DAS(直连方式存储)、NAS(网络附属存储)、SAN(存储区域网络)等不同的网络存储方式及相应设备。(3)核心应用服务器,如DNS、E-mail等。(4)服务器的桌面管理技术,如KVM(多电脑切换器)、远程管理。4)网络传输的情况。(1)光纤链路(单模、多模)。(2)光纤连接方式,如SC(方形卡口)、ST(圆形卡口)、FC(圆形螺口)、LC(小型方形卡口)。5)网络交换机内部结构展示。#p#分页标题#e#

实训三:了解网络管理一般方法。实训目的:通过了解WhatsUp在校园网网络管理中的实际应用,加深对SNMP协议、MIB结构、Trap基本概念和工作原理的理解。通过了解校园网实际的流量管理策略,加深对流量控制基本原理的理解。实训内容:1)使用WhatsUp监控基于SNMP协议的网络设备。WhatsUp软件可以利用SNMP协议对网络中所有支持SNMP协议的设备进行监控,缩短网络故障发现时间,提高网络管理效率。主要内容有:(1)Windows2003中SNMP服务的安装以及SNMP服务属性配置。(2)在WhatsUp中利用Get\GetNext\Walk等命令获取服务器的MIB对象。(3)在WhatsUp中利用Get\GetNext\Walk等命令获取某台在线交换机的MIB对象。(4)简单介绍使用Snmputil工具获取MIB对象的方法,作为上机学生实践的工具。(5)在WhatsUp监控图中添加设备的方法。(6)了解WhatsUp监控的轮询机制。2)使用WhatsUp进行服务器可用性监视。除了利用SNMP协议对网络中的设备监控外,WhatsUp还可以使用常用的应用层协议如HTTP、DNS、POP3等对服务器的可用性进行监视。3)用WhatsUp监控图展示校园网(办公网络)。展示当前校园网络的实际监控图(仅办公网部分),介绍校园网拓扑的整体情况,实际监控图中不同颜色显示所代表的网络状态。4)使用SolarWindsToolset监视网络性能。SolarWindsToolset这是一款包括网络探测、错误追踪、性能监视以及性能管理工具在内的网络管理工具包,主要让学生了解以下常用性能监视工具。(1)RouterCPULoad与CPUGauge用于监视交换路由设备的CPU使用情况。(2)NetworkPerformanceMonitor用于监控多个交换路由设备的各种详细网络状态,可以监控网络的等待时间、丢包、通信量、带宽的使用情况和其他网络的统计情况。(3)SNMPReal-TimeGraph用于收集指定MIB对象的即时数据。SNMPGraph能够监视一些参数,如接口流量、CPU负载、内存利用率等。(4)SNMPTrapReceiver。Trap是指在管理站未请求状态下向管理站报告发生的重要事件,SNMPTrapReceiver可用于接收Trap消息。首先,在一台在线交换机上设置Trap;然后,使用SNMPTrapReceiver接收Trap消息;最后,简单介绍使用Snmputil工具接收Trap消息方法。5)流量管理与控制。流量设备可以对网络中的流量进行监视和控制,限制网络中非关键应用的流量,使网络中关键应用的运营得到有效保障。流量管理与控制从以下几个方面介绍。(1)使用流量控制的目的;(2)流控与传统的QoS(质量服务)比较;(3)流控在网络中的位置;(4)流控设备概述;(5)我校现有流量控制策略;(6)流量监控演示;(7)会话日志演示。6)上机任务布置。Snmputil是可运行在Windows环境下的一个命令行工具,提供基本的SNMP功能,包括发送SNMP请求,通过使用不同的参数和变量来显示设备的相关信息,并可以获取Trap信息。Snmputil可以作为学生上机实践的工具。任务一:使用Snmputil工具获取某台服务器或交换机的20组MIB对象,并解释MIB对象所对应的值的含义。任务二:使用Snmputil获取交换机的Trap消息。

实训四:故障管理。实训目的:通过网络故障现象来进行故障分析,通过熟悉常用网络诊断命令(PING,TRACERT,NETSTAT,NSLOOKUP,ARP等)来定位网络故障,通过协议分析软件(如Sniffer,科来等)来熟悉各种协议及查找网络故障。实训内容:1)掌握网络故障分类及定位。确定网络故障的层次问题:物理层上出现的问题通常涉及链路、端接、中继、网卡等;链路层上出现的问题通常与交换相关;网络层上出现的问题常与路由相关。2)熟悉常用网络诊断命令(PING,TRACERT,NETSTAT,NSLOOKUP,ARP等)。3)熟悉Sniffer的使用。以分析FTP协议为例熟悉Sniffer的使用,用Sniffer监控校园网出口来发现网络攻击和网络病毒。4)ARP病毒全网监测系统:监测ARP病毒及IP地址盗用。5)学习网络故障用户定位:通过IP、MAC查找用户。6)学习网络故障处理案例。

实训五:安全管理与网络应用。实训目的:通过实训,帮助学生了解个人计算机的安全问题与常用安全措施,了解校园网面临的安全威胁及网络安全管理方法;介绍学校的一些常用网络应用服务,让学生从应用层面更进一步了解校园网。实训内容:网络安全管理。1)了解校园网面临的安全威胁。(1)了解网络服务器操作系统的安全漏洞对网络安全构成威胁;(2)了解木马、蠕虫等资源消耗型病毒攻击耗费网络带宽,导致网络瘫痪或网络应用失效;(3)了解内外网恶意用户利用一些工具对网络及服务器发起一些DOS/DDOS攻击,导致网络及服务不可用。2)了解安全管理措施。(1)学习VLAN划分:通过划分VLAN,可以把数据交换限制在各个虚拟网的范围内,从而减少整个网络范围内广播包的传输,提高网络的传输效率;掌握各VLAN之间不能直接进行通讯,必须通过路由器转发,起到了隔离端口的作用,为高级安全控制提供了可能。(2)了解入网认证:通过入网认证可实现用户上网的6要素(用户名、密码、IP、MAC、交换机IP及交换机端口)绑定,同时在交换机上配置防扫描功能及网关绑定可一定程度上缓解终端用户扫描网络、攻击网络(如ARP攻击)现象。(3)了解防火墙:针对校园网的安全需求,学习防火墙的相关功能及应用,内容包括保护内网服务器安全、VPN等。(4)学习趋势杀毒:了解信息网络中心部署的趋势防毒墙系统如何阻止或控制病毒和非法入侵。