通过控制网络流量管理校园网络
摘要为了保证关键业务以及时实性较强的业务优先使用,保障网络基础设施的健康运转,就需要对校园网络进行流量控制。如何提高网络性能及重新拥有对网络的控制权,是校园网络管理中心要面对的重要问题
关键词网络流量 网络拥塞 控制策略
1出现网络拥塞的原因
互联网作为计算机和通信技术融合的产物,近年来得到飞速的发展,尤其是硬件产品方面的发展。但硬件的飞速发展并未带来网络服务质量的飞速发展,网络拥塞、网络速度依然困扰着人们。导致网络带宽拥塞出现的原因,根据自有用户的使用情况和需求反映,及在网络和书籍上查找相关的情况,基本总结如下:
1.1lan/wan的不匹配
高速lan与低速wan之间不匹配造成严重的带宽瓶颈,这将导致延迟与不一致的性能,我们学校从网络供应商接入校园的外网才几十m,而内网可达百m、千m。近十年来,lan从10m、100m、千兆、到现在万兆的内部主干网络,而wan也速率也从56k、128k、2m、10m、50m、100m、500m、千兆。虽然wan速度增长倍数是大于lan,但基数还是远小于lan。
1.2网络流量种类、数量不断增多
网络用户拥有多种不同的应用交叉连贯,从很重要的应用(如视频会议和voice overip(voip))到娱乐性的应用,如在线视频、在线游戏等。当关键性的应用与不紧急及娱乐性的程序共享相同的网络资源时,不级别用户争抢带宽,网络速度变慢,甚至有的工作站就会出现无法接收数据的现象。归根结底,是由于局域网带宽过度消耗的。对带宽需求较大而又非常重要的应用,需要在限制和允许之间做出平衡;对关键型的网络应用需要保障其有不受干扰的通道。
1.3不预计的流量突发
蠕虫、病毒和与日俱增的web流量都是当前网络的负担。以消耗网络资源为目的流量类攻击发展迅猛,却没有有效的防范控制手段,网络人员大量的恶意非法连接消耗带宽,淹没主机,造成拒绝服务(dos)攻击;蠕虫病毒大量而快速的复制使得网络上的扫描包迅速增多,造成网络拥塞,占用大量带宽,从而使得网络瘫痪;网络内部操作失误等。
2流量控制策略
2.1 建立vlan
建立vlan能有效遏制机构范围内的广播和组广播,进行跨园区的带宽和性能管理。我们学校使用的交换机型号是华为3026 ei系列,通过该交换机,可以有效地限制网络带宽资源过度消耗。在完成物理连接后,通过console端口到交换机的后台配置界面,从中找到虚拟子网划分设置选项,并通过该功能将24口的交换机所连接的端口设置成几个不同的vlan,通过vlan中的ip地址段和职能部门的对应管理,我们可能直接就以职能部门的名称作为分类的名称,将网络流量的来源和实际用户联系起来。划分vlan举例:
[h3c] vlan1
[h3c-vlan1] quit
[h3c] vlan 3 to 9 //创建了vlan1
为了防止工作站随意使用bt之类的下载软件、在线影视等来过度消耗网络带宽资源,我们可以进入华为3026交换机的后台配置界面,从中找到"端口带宽控制"设置选项,通过这一功能选项将交换机所连接的带宽设置成合适的值。这样一来工作站即使使用了p2p等应用,我们也不担心整个局域网的出口带宽资源被耗尽。华为3026 ei系列交换机端口限速配置如下:
对该端口的出方向报文进行流量限速[**3026-e0/1] line-rate 50
对该端口接收方向报文进行流量限速[**3026-e0/1] traffic-linit inbound ip-agroup aaa 50
端口的出入口方向限速为50mbps
2.2 负载均衡
随着大量数据在网络中传输,数据流量不断增大,网络核心部分的数据接口将面临瓶颈问题,这时可以考虑采用负载均衡。负载均衡建立在网络结构之上,它提供了一种廉价有效的方法扩展带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可能性。它主要完成以下任务:解决网络拥塞问题;为用户提供更好的访问质量;提高服务器响应速度及其资源的利用效率。学校校园网采用本地负载均衡,对本地的服务器群实现负载均衡。本地负载均衡能有效地解决数据流量过大,网络负荷过重的问题,充分利用现有设备,避免服务器单点故障造成数据流量的损失。均衡策略把数据流量合理地分配给服务器群内的服务器共同负担。原有的单一线路将很难满足需求,而且线路的升级又过于昂贵甚至难以实现,这时就可以考虑采用链路聚合(trunking)技术。链路聚合技术(第二层负载均衡)将多条物理链路当作一条单一的聚合逻辑链路使用,网络数据流量由聚合逻辑链路中所有物理链路共同承担,由此在逻辑上增大了链路的容量,使其能满足带宽增加的需求。
2.3 使用监控网络流量的工具
网管员可以借助网络流量管理工具监控网络流量,从而控制网络带宽、发现网络中存在的问题,识别网络流量,辨别出这些网络流量是从哪里由什么程序,经由哪个用户产生的,通过用户身份对网络流量进行识别,网络管理员根据流量数据就可以对网络主要成分进行性能分析管理,发现性能变化趋势,并分析出影响网络性能的因素及问题所在。mrtg(multi router traffic grapher,mrtg)是一个监控网络链路流量负载的工具软件,它是利用snmp协议,去侦测指定的运行有snmp协议的网络设备上抓取到信息,自动生成包含png格式的图形,并以html文档方式显示给用户。每隔几分钟采样并统计其设备流量,将统计结果绘成统计图,这样用户能很容易地从统计图上观察出实际网络的流量。
2.4进行数据通讯优先级控制,限制或禁止在特定时间段内的流量占用
解决带宽拥塞的关键问题是如何能够将带宽合理的分配到每个桌面用户,当网络资源紧张的时候限制那些使用量大的用户,保障那些使用量小的用户,反之,当网络资源有较大空闲时,则取消这些限制,让每个用户都能有效利用资源。我们根据自己的实际需要选择开关的时间段以及不同时间下不同的参数值。校园网选用了黑盾防火墙fw2000+。黑盾防火墙有强大的流量控制功能,可以通过黑盾防火墙设置优先级和流量值的方式对主机的带宽和规则的带宽进行保证,提供qos机制,保证带宽合理分配,充分利用资源。
3 结束语
网络的流量监控在日常的网络运行维护当中是一个非常重要的内容,流量控制策略的制定对网络带宽的合理分配起决定性的作用,通过合理的策略控制,有效抑制了p2p、迅雷及在线视频等占用带宽的现象,保障了关键业务以及时实性较强的业务优先使用,保障网络基础设施的健康运转,提高了校园网络的服务质量。
参考文献
[1]黑盾防火墙产品使用手册.福建海峡信息技术有限公司.
下一篇:探讨校园网络 网络通讯安全管理