【IT168 信息化】
“80%的带宽被20%的P2P用户所占用,这就是校园网的现状。”多数校园网管人员如是说。
在这种情况下,一些问题由此产生,学校花大力气筹集资金,升级校园网,提高带宽。但是宝贵的带宽却被流媒体和软件的下载大量占用了,甚至影响到学校正常的网络应用。继续增加带宽呢?还是有步骤地控制或疏导流量?
如何在本校范围内采用流量策略,使流量的拥塞情况得到缓解?如何开拓应用,提供资源在校园内部消化?那么这些策略是否有效?有什么新的技术发展?
基于校园网管的这些疑问,2009年,校园网管理与安全论坛COST 2009年第二期技术沙龙在复旦大学集中探讨了“校园网流量管理问题”来自复旦大学、同济大学、华中科技大学、华东师范大学、上海交通大学、赛尔网络等的网络管理和技术人员,以及上海地区各高校网络中心技术骨干共30余人,与通过远程视频会议系统的全国各高校参与110多位技术人员,共同探讨如何用流量管理策略来提升校园网用户的体验。
在论坛中,各高校技术人员就学校如何解决流量使用问题提出了自己的策略。从机制、技术等方面对校园网流量控制的方式进行了阐述。各高校的技术人员重点关注流量管理设备的选型,集中在学校的流量应用分类,实现对用户访问的管理。
基于应用的流量管理策略是各大高校通行的一个方案。不过,同济大学、上海交通大学在疏导上共同指向了校内资源的建设上,广开资源流量,使得大量的流量产生在校园内部,从而缓解了出口的压力。复旦大学自行开发了系统,在缓解流量压力上有特殊的效果。华中科技大学对流量管理软件和设备的选型上有自己的经验和心得。华东师范大学的WebCache服务器综合其他策略,也取得了相应的效果。
无论是采用了控制机制,还是采用了新的工具和技术,无疑,校园网流量管理着眼于更优化的流量使用与控制策略,让带宽的价值发挥得更有效。
同济大学方园:控疏结合维持网络和谐
由于BT、迅雷、视频等应用的广泛使用,用户数量、用户上网时间增长迅速,CERNET和公网之间的互联互通问题影响用户体验,同时,公网和CERNET出口带宽都存在刚性增长的压力,因此当前,高校校园网流量的问题不容忽视。
同济大学校园网流量监控的原则是控疏结合、充分挖潜、维持和谐。
控指的是要保持总量控制,分应用、分用户类别进行流量控制和带宽保证。同时对用户带宽的均衡分配,每个用户流量的控制,串接Bras(8505/5200)或计费系统(城市热点)。
疏就是增强对校内资源的建设力度,FTP、视频服务。
挖潜就是采用BGP形式对两个出口流量进行灵活调度。
对于设备的选型,是一个很重要的考量。在管控设备的选择上,同济大学的选择标准是,第一,电信级设备、稳定可靠;第二,功能强大,处理能力1G;第三,配置和使用简单方便;第四,监控直观、图形丰富、有显示度。
同济大学采用了Allot的设备,分应用分用户类别地进行流量控制,保证正常教学和科研的带宽。7606与两台公网出口的8016交换机同时配置BGP协议,7606上所配置的所有静态路由均通过BGP协议发送到两台8016交换机,同时8016也将所有宿舍区和教学区的路由信息发布给7606。通过改变7606上的静态路由,对两个出口的流量进行灵活调度。
同济大学重要的做法之一是确立精细化的带宽管理策略,分析和研究校园网流量特点和分布状况,对校园网国际、国内-网际流量进行分析,并采用设备进行管理,同时,有针对性地进行带宽扩容。
复旦大学任晨:自开发系统监视实时网络流量情况
当前校园网管理面临三大挑战:第一,不能控制各种应用对网络资源的消耗;第二,不能建立用户与应用的关联模型;第三,BT及迅雷等泛滥严重影响校园网正常应用。
复旦大学网络实现千兆到楼、百兆到桌面,校园网主干升级2G,校区间万兆光纤连接,网络出口总带宽超过2G,主要使用的网络出口包括:教育网、电信网、网通网,日常流量约300~400兆之间(不包括学生公寓),校园教学、科研信息点3万,学生公寓信息点2万多,交换到桌面,无线网络覆盖校内大部分重要区域,共有70000多E-mail用户服务。
针对校园网的流量现状,复旦的看法是,用户共享文件享受高速下载的同时也剥夺了其他人上网的权利,必须对流量进行管理。因此,为了保证正常教学和科研工作的顺利进行,复旦大学使用自开发的系统监视实时网络流量情况,并做相应的管理策略。实践结果表明,校园网的流量得到了有效的管理和控制,流量拥塞问题得到了很大的改善。
华中科技大学柳斌:流控设备选型分析
华中科技大学(简称华中科大)校园网目前的情况是:校园网分成办公网、学生网,2G到CERNET,100M到电信。
根据这样的现状,华中科大对校内的流量情况进行分解分类,采用的策略有基于地址进行流量管理,以及基于应用的流量管理。
基于地址的管理策略:第一,根据目的地址进行流量分类,将地址控制分成电信地址,网通地址,CERNET地址和其余地址。同时,自动产生地址列表http://bbs.chinaunix.net/viewthread.php?tid=577601,另外,校内采用策略路由+NAT的方式,并建立VPN服务器提供给校外用户访问校内。第二,根据端口进行流量分类。
基于应用的管理策略有:第一,采用QoS:NBAR,route-map;第二,采用ACL:限制校园网以外的用户对校园网内的用户发起连接;第三,采用路由策略:对Tracker的封杀;第四,采用流控设备。
针对大规模的流量,必须用流控设备才能达到良好的效果。判断一些流控设备的特点以及优缺点,应当将主要的评判标准锁定在识别率、转发性能、功耗、开发周期、兼容性和可扩展性等方面。目前的校园网内的异常流量产生的原因可能为:第一,大量ICMP及分片数据包挤占了正常的HTTP数据包的带宽;第二,出去有效的请求包减少,所以入流量减少;第三,过滤TCP高端口(如>2000)可以打断很多外出连接,变相扩大通道,增加HTTP流量;第四,过滤ICMP扩大的通道被挤占很多。因此,流量管理和控制在目前的网络中是必须的,即使系统还原,Windows Update也是必须的。
现在华中科大针对流量管理的一些研究工作有:基于多维聚类的流分析方法;未知P2P流的发现以及特征自动提取等,在分析和管理校园网异常流量方面取得了一些有效的成果。
总结华中科大的经验,我们归纳出:在带宽一定的情况下,能够识别应用层协议的流控设备必须对异常流量监控,需要在关键点部署捕包设备,可以利用Netflow进行流量长期观测,可以采用DNS的监控等。
上海交通大学姜开达:在校网内部开拓应用
目前校园常见应用的分类有:网页浏览、Web在线视频、视频点播/直播、FTP 、电子邮件、论坛、病毒库/操作系统/应用程序在线更新、网络游戏、网银、证券、IM、P2P 下载/上传 影音文件、软件、游戏……
从互联网的发展现状来看,校园网的流量总体趋势是,高清视频流行,势不可挡。高校用户对高清的追求使网上流行的影音文件越来越大,低码率的RM、RMVB 已经不能满足用户需求。同时,存储技术的进步,如VCD(700M)-DVD(4.7G)-BD(50G),硬盘价格的持续走低(1.5T降到1000以内,2T已有售),使得用户有条件关注高清应用。此外,网上流行视频格式发展演变,也使得流量的管理复杂度越来越高。
对此,上海交通大学的流量控制策略与理念是,粗放和精细相结合。校园网是教育和科研网,不是企业网,不能管得过死;但也要适度抑制对带宽影响最大、对校内实际应用影响较大的流量。对于较小的流量,则是尽量降低对用户上网体验的影响,从而将精细的流量控制应用在国际带宽和电信等运营商线路。
上海交大的特殊经验是:在校网内部开拓应用,广开流量来源。首先,校内制造流量,满足用户需求,在校内架设廉价的流媒体直播服务器,同时,利用 IPv6 带宽,引入 PT(P2P)流量,第三,采用可控管的P4P技术,在本地交互流量,在ISP 网内的流量优先。
华东师范大学常潘:采用WebCache服务器的优点进行策略管理
华东师范大学(简称华东师大)带宽限制策略是采用WebCache服务器的优点进行策略管理。采用WebCache服务器后,内部的服务器可以使用私有的IP地址,甚至可以限制这些服务器内外所有的连接,只保留HTTP或HTTPS连接,可以有效防止这部分服务器遭受攻击;采用WebCache后,同等情况下能够提高客户端的访问速度。对网页采用gzip压缩,实际传输时占用的带宽更少。采用反向WebCache进行加速后,对外的Web服务器自身的上网不需要预留带宽,而且可以统一设置策略,避免了以前由于将院系托管服务器直接放在公网上,某些用户使用P2P软件大量下载资源,造成带宽被非法占用。
华东师大的做法是只允许这部分机器访问微软的更新站点、校内的WSUS站点、病毒服务器升级站点以及只允许外部的web cache访问。
针对校外高速访问校内资源以及电子资源,对学生公寓的一些流量采取了限制及优化措施。学生公寓的网络为电信运营与管理,电信对每个PPPoE连接会话限速为512Kbps,学生宿舍内因为一个端口多人合用,速度不尽人意。为此,华东师大采取的措施是:
第一,采用1G通道直接连接电信在学生公寓区的边界路由器以及校园网边界路由器。
第二,学生不需要VPN拨号即可高速访问校内资源。如果需要高速访问其他高校的资源或学校的电子资源,学校搭建的SSL VPN只要学生宿舍的地址拨入,就可以自动分配教育网的IP地址给客户端。
第三,将路由策略全部指向CERNET,学生就可以通过1G的教育网出口访问Internet或教育网内其他高校的资源。
赛尔网络李信满:CERNET流量管理策略
从近年来互联网上的流量可以看出,Web\Email\FTP等流量已经逐渐让位于P2P的流量,P2P的流量在2001年占到互联网总流量的80%以上。而在CERNET上的流量,也有同样的趋势,堵不是办法,疏导是非常好的方案。对CERNET上的流量分类和分析,可以进行TOPn的一些排序,了解流量情况,如基于校内IP地址的流量排序;基于校外IP地址的流量排序;基于连接的流量排序;基于IP地址的连接数排序;基于IP地址的包数量排序;应用排序等等。
因此,CERNET主干网上对P2P应用流量进行总量控制,并且是灵活控制。流量管理总体上还是需要控制设备,采用的手段是专用设备,还是路由器,不论是Linux,总体的策略是整体可控,抓大放小。
目前,在CERNET上采用的技术手段有:第一,基于Sniffer的流量数据采集(针对国际流量);第二,基于Netflow的流量数据采集(针对全部流量);第三,基于人工的黑白名单流量分类;第四,基于用户的QoS带宽保障。同时应用分级流量管理模型,对流量进行分类和管理。
其中,采用Netflow技术在CERNET上进行用户流量分析,包括国内主干接入流量、国际互联流量、国内互联流量,同时进行DOS/DDoS攻击发现,了解协议与端口分布,进行网络性能的管理。赛尔网络有一个集团用户的在线TOPn流量发布系统,这是基于Sniffer技术的,由客户端和服务器端组成,页面可以列出国际出/入流量 TOP20 排名;数据为前一个小时内的流量和;可以避免国际流量超标。