高校网络流量管理

高校网络流量管理（共10篇）

高校网络流量管理 篇1

1、聊城大学网络流量管理面临的问题

聊城大学是一所省属综合性大学。聊城大学于1997年组建了自己的校园网。现在聊城大学校园网已经完成“主干光纤万兆, 千兆到楼宇, 百兆到桌面”的建设目标。目前校园网覆盖全校所有院系、研究所、行政管理与教工宿舍、学生宿舍等100余栋楼宇。聊城大学校园网注册上网人数为6000多, 同时在线人数每天最高保持在2000至3000, 现在两个出口带宽总计555M (CERNET 155M, CNC 400M) 。由于聊城大学的网络收费政策是包月收费, 这就造成老师和学生大量使用BT、电驴、迅雷等p2p软件来“充分”利用网络资源下载电影、音乐或文字材料, 或在线看电影、使用视频直播等, 造成了带宽大量被抢占, 学校网络速度受到极大影响, 也让网络中心面临了很大的压力。而当学校要确保某些电脑上网能够顺畅、确保某些网络服务 (网络语音、网络视频会议、OA办公系统) 能够正常开展时, 就需要对整个网络进行有效的带宽分配和流量控制, 以确保正常业务能够顺利进行。如果不能有效控制学校网络实时流量, 100M甚至1000M的internet出口带宽也是微不足道的, 这是因为相对于网络建设的线性增长速度而言, P2P的带宽增长是指数形式的增长, 单纯的网络扩容永远跟不上P2P的增长速度。如何有效封堵此类p2p应用或限制此类应用的流量, 成为高校网络建设的一个明确的需求点。

2、聊城大学在网络流量管理方面做的探索

针对校园网络实际面临到的问题, 我认为追根究底是要做好流量控制, 使有限带宽资源得到有效应用。P2P的应用占用了大量的带宽是事实, 但是如果不影响关键业务的正常使用, 可以让师生使用。

2.1 聊城大学应用的网络流量整形设备ACE介绍

聊城大学购买的网络流量整形设备ACE可以提供网络流量监控和控制功能。锐捷网络ACE应用控制引擎采用了业界领先的DPI和DFI等技术, 能够准确的对用户网络中的BT、电驴、迅雷、PPlive、PPStream、Vo IP等协议进行精准识别和精细管理, 从而确保用户关键应用带宽, 保障用户网络正常运行。

DPI是深度报文检测 (Deep Packet Inspection) 的简称, 是一种典型的业务识别技术。DPI技术对传统的流量检测技术进行了“深度”扩展, 在获取数据包基本信息的同时, 对多个相关数据包的应用层协议头和协议负荷进行扫描, 获取寄存在应用层中的特征信息, 对网络流量进行精细的检查、监控和分析。

DFI是深度流行为检测 (Deep Flow Inspection) 的简称, 也是一种典型的业务识别技术。DFI技术是相对于DPl技术提出的, 为了解决DPI技术的执行效率、加密流量识别和频繁升级等问题而出现的。DFI更关注于网络流量特征的通用性, 因此, DFI技术并不对网络流量进行深度的报文检测, 而仅通过对网络流量的状态、网络层和传输层信息、业务流持续时间、平均流速率、字节长度分布等参数的统计分析, 来获取业务类型、业务状态。

2.2 聊城大学在ACE上做的控制策略

作为聊城大学网络流量方面的主要管理人员, 我提议并施行了在ACE上做的网络流量控制策略如下:

1) 、首先保证聊城大学的网站被访问, 设置单独的通道, 带宽保证20M而不超过50 M;

2) 、办公楼和网络信息中心上网优先保证, 设置单独的通道, 应用默认的不限制流量带宽策略;

3) 、GOPHER、HTTP-BROWSE和HTTPS应用设置单独的通道, 带宽保证100M而不超过150M;

4) 、工作时间p2p应用设置单独的通道, 带宽保证100M而不超过200M (根据聊城大学实际, p2p应用主要选择包括BT、电驴、迅雷、PPlive、PPStream、VoIP) ;

5) 、休闲时间p2p应用设置单独的通道, 带宽保证200M而不超过300M (根据聊城大学实际, p2p应用主要选择包括BT、电驴、迅雷、PPlive、PPStream、VoIP) ;

6、每个IP流量为保证1K而不超过1M。

2.3 聊城大学通过设置网络流量带宽控制策略, 取得的效果

现在由校外访问聊城大学网站比原来快了;办公楼和网络信息中心等关键业务应用网络更顺畅了;通过保证GOPHER、HTTP-BROWSE、HTTPS应用和通过工作时间、休闲时间采取不同的p2p带宽限制策略, HTTP应用占的流量带宽明显增大, 而p2p占的流量带宽明显减弱, 既保证了正常网页浏览的服务质量, 也满足了师生对P2P应用的部分需求;通过限制每个IP流量, 既保证一般业务公平共享带宽, 又对下载流量非常大的用户起到限制作用, 网络使用的不公平现象得到一定改善, 从而提高整个网络的运行质量。

3、结束语

伴随全球网络信息化浪潮, 网络在高校生活中的地位越来越重要。聊城大学随着网络规模不断扩大、网络用户不断增多、网络应用越来越广泛, 网络流量也变得越来越复杂。通过做对工作时间和休闲时间采取不同的p2p带宽限制、对不同的上网区域和不通的应用建立不同的通道并设置不同的带宽限制策略来进行优先级不等的服务、对每个IP做限流的解决策略, 聊城大学网络流量管理面临的p2p应用抢占带宽过大引发的网络速度很慢、网络正常应用得不到保证和网络使用不公平等问题得到了一定程度的解决, 既保证了关键业务的服务质量, 限制了非关键业务的带宽, 同时保证了一般业务公平共享带宽, 也给p2p应用用户提供了部分便利, 从而提高了整个网络的运行质量。

参考文献

[1]业务识别与管理系统和网络流量的管理.http://www.searchnetworking.com.cn/ShowContent_16867.htm.2009-1-5

[2]P2P在高校--安全问题决定成败, http://sj.media.edu.cn/index1.php?IDx=54,

[3]张毅.高校校园网的服务质量保征初探.中国教育信息化.2009年第2期

高校网络流量管理 篇2

在中国网络资源是宝贵的，特别是对于中小企业来说，网络带宽是花费一定费用租来的，但是由于上网速度较慢，很多企事业单位的网络资源常常捉襟见肘。那么如何合理地利用花重金购买来的带宽呢？

当然，大家都知道一定是要为企业自身服务，可是实际情况确实如此吗？有了网络，不仅为工作提供了便利，方便资源的共享和项目的完成，但是员工们必定会利用网络来娱乐，办自己的事情，例如通过BT下载电影，通过联众和QQ玩各种网络游戏。娱乐多了员工也就不把心思放在工作上了，搞的无心工作。因此越来越多的企业看重外部网络监控，一方面从行政和管理制度上制约员工，一方面从技术上监控员工访问外部网络的信息，防止由于员工不合理的上网行为，加剧网络资源不足的情况，也有助于提高员工的工作效率，为企业创造效益。

为此就需要有效监控局域网上网带宽，确保网络资源有效利用，在这里企业就可以选择网管软件，解决企业网络带宽利用问题。

小草网管软件（小草软路由）是国内知名的企业网络管理软件，针对国内企事业单位网络带宽资源不足、申请带宽资源费用较高的情况，小草网管软件能对局域网电脑占用带宽的全方位的监控。

针对P2P软件占用企事业单位有限带宽较多的现状，小草网管软件（小草软路由）可以封堵以迅雷、网际快车、QQ旋风、vagaa、酷狗、PPlive、PPstream、qqlive、百度下吧为代表的P2P软件、在线视频等，通过对上述P2P软件的封堵，使得这些消耗网络带宽的大户得以遏制。

小草网管软件还可以有效限制各种在线视频、网络电视、在线游戏。针对当前观看在线视频、网页视频、玩在线游戏的现象日渐普遍，小草网管软件（小草软路由）对当前所有主流的大型视频网站、在线游戏站点的控制，从而可以遏制局域网用户使用公司带宽观看各种网页视频、在线视频和玩在线游戏的行为。

高校网络流量管理 篇3

关键词：网络流量识别；网络流量管理；网络流量控制；深度报文检测；深度流行为检测

1前言

随着互联网的迅猛发展，宽带网络用户急剧增加，新型网络应用大量出现，导致网络流量呈几何数增长。从网络应用的特点上来看，除了传统的网页浏览、收发电子邮件等数据应用之外，出现了网络电话、网络视频、网络游戏等对网络实时性有较高要求的应用，出现了P2P(Peer to Peer)下载等对网络带宽抢占能力极强的应用。除此之外，网络里面还充斥了大量的病毒、攻击等垃圾流量。对于校园网用户而言，网络带宽资源是有限的。如果不能很好地管理、控制好网络流量，一方面将导致P2P应用流量和网络攻击病毒等垃圾流量无限制抢占有限的网络出口带宽，从而无法保证网络用户关键业务的服务质量，另一方面，大量带宽的无谓消耗，将大大增加网络出口费用的支出。

因此通过适当的网络流量管理控制技术，针对不同业务制定和实施相应策略是解决带宽增长与业务收益、网络扩容与用户体验之间矛盾的关键所在。

2校园网络出口流量分析

图1是我校校园网络未做任何网络流量管理控制的出口带宽的状况。

根据对我校校园网出口流量的详细分析，目前网络出口流量具有如下特点：

2.1P2P应用占据大量带宽

P2P技术是计算机网络的一次重大突破，它打破了C／S的流量模型。采用“无集中服务器”的模式，消除了服务器的瓶颈问题。因此，当P2P软件的出现，在文件下载、流媒体、VOIP语音等方面备受网络技术人员和网络用户的追捧和青睐。由于P2P技术的特点，P2P应用对网络带宽具有极强的抢占能力。P2P技术在互联网上的应用超过了Web而成为在流量上占据统治地位的新型应用。根据图1的统计分析，我们可以看出，目前网络流量的60％以上都是P2P的应用。主要的P2P应用包括：Thunder(迅雷)、BitTorrent(BT)、eDonkey(电驴)等。

2.2关键业务的服务质量无法保证

Web浏览是校园网络用户的关键业务之一，Web浏览已经成为网络用户获取外部信息和进行科研工作的重要手段和内容。由于P2P应用对带宽的抢占。导致Web浏览速度大幅下降，进而引起用户强烈不满。另外网络游戏、网络电话、网络视频、流媒体等业务对网络质量要求较高。传输过程中任何一个环节出现瓶颈，都会影响应用的服务质量。例如：网络带宽不足将导致网络电话、网络视频等应用出现信号时断时续的现象，让用户无法忍受。

2.3网络安全受到威胁

网络安全的形势非常严峻，在过去的一年中。针对网络安全的攻击数量比前一年的两倍还多。黑客攻击手段越来越复杂。破坏程度越来越大。同时，加入黑客组织的门槛却越来越低，因为黑客工具越来越先进。操作越来越简单。随着黑客与病毒技术的发展加上计算机的性能大幅度提升，攻击变得越来越难以控制。网络攻击、病毒等带来的垃圾流量导致了网络带宽浪费的同时也给网络管理员带来前所未有的挑战。

3网络流量应用识别技术

为了对校园网络出口流量进行管理控制，首先必须能够识别网络流量的应用类型。一般情况下，我们可以通过IP包头中的“五元组”信息来确定当前流量的基本信息，如源地址、目标地址、协议类型、源端口号、目标端口号。在传统的网络中，IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS。但随着网上应用类型的不断丰富。仅通过第四层端口信息已经不能够真正判断流量中的应用类，型，基于开放端口、随机端口甚至采用加密方式进行传输的应用类型在目前的网络中比比皆是。在这种情况下，传统的流量识别和QoS控制技术显得捉襟见肘。通过加大对网络流量的监控纬度，可以在一定程度上比较准确地识别流量中的应用类型。目前这一领域主要有深度报文检测(Deep Papket Inspection，DPI)和深度流行为检测(Deep Flow Inspection，DFI)两大技术体系。

3.1深度报文检测(DeepPacketInspection，DPI)

DPI是深度报文检测(Deep Packet Inspection)的简称。是一种典型的应用识别技术。DPI技术之所以称为“深度”的检测技术，是相对于传统的检测技术而言的。传统的流量检测技术仅获取那些寄存在数据包网络层和传输层协议头中的基本信息，通过这些参数很难获得足够多的业务应用信息。对于当前P2P应用、VOI P应用、IPTV应用被广泛开展的情况，传统的流量检测技术已经不能满足网络流量管理的需要了。

DPI技术对传统的流量检测技术进行了“深度”扩展，在获取数据包基本信息的同时，对多个相关数据包的应用层协议头和协议负荷进行扫描，获取寄存在应用层中的特征信息，对网络流量进行精细的检查、监控和分析。

DPI技术通常采用如下的数据包分析方法：

(1)传输层端口分析。许多应用使用默认的传输层端口号，例如HTTP协议使用80端口。

(2)特征字段匹配分析。一些应用在应用层协议头，或者应用层负荷中的特定位置中包含特征字段，通过特征字段的识别实现数据包检查、监控和分析。

(3)通信交互过程分析。对多个会话的事务交互过程进行监控分析，包括包长度、发送的包数目等，实现对网络业务的检查、监控和分析。

3.2深度流行为检测(Deep Row Inspection，DFI)

DFI是深度流行为检测(Deep Flow Inspection)的简称，也是一种典型应用识别技术。DFI技术是相对于DPI技术提出的，为了解决DPI技术的执行效率、加密流量识别和频繁升级等问题而出现的。DFI更关注于网络流量特征的通用性，因此，DFI技术并不对网络流量进行深度的报文检测，而仅通过对网络流量的状态、网络层和传输层信息、业务流持续时间、平均流速率、字节长度分布等参数的统计分析，来获取应用类型、应用状态。

3.3两种识别技术的比较

两种技术的设计基本目标都是为了实现应用识别，但两者在实现原理和技术细节方面都存在较大区别，下面我们从技术原理、技术成熟度、识别准确度、识别精细程度、加密流量识别、系统处理能力等方面对两种技术进行比较。两种技术的比较见表1。

从表1中我们可以看出，两种技术互有优势，也互有缺陷，DPI技术适用于需要精细和准确识别、精细管理的环境，而DFI技术适用于

需要高效识别、粗放管理的应用环境。

4网络流量管理控制技术在校园网中的应用

通过网络流量应用识别技术区分出网络流量里面各种不同的应用类型，进而可以采用QOS控制方法。根据应用类型按策略转发。为其提供不同的服务质量。目前市场上主流的控制技术有三种：第一。以Packeteer为代表的基于TCP窗口整形的流控技术；第二，以Allot和Cisco为代表的基于队列的流控技术；第三，以华为和GreenNet为代表的基于干扰的流控技术。这些技术和产品各有优缺点，但都可以实现对应用流量的最大、最小带宽保障或阻断等控制效果。

根据前面我们对校园网络出口流量的分析，我们针对不同的应用对网络流量进行了分类，然后制定和执行相应的策略。因为策略是根据实际情况而制定的，因此也要根据不同需求进行调整。根据我们的经验。我们对策略的制定建议如下：

(1)对P2P应用流量进行分时段限制。我们知道P2P应用是网络带宽的“暴力杀手”，因此。我们必须对P2P应用流量进行限制。在网络应用高峰期间，应使P2P应用流量占用带宽不超过总带宽的30％，在网络空闲时间则放开对P2P应用的限制。

(2)保障Web浏览(HTTP)等关键应用带宽。Web浏览是校园网络用户的关键业务之一。也是网络用户网速体验最直接的应用。我们建议为其保障40％的出口带宽，以保证用户Web浏览的效果。

(3)过滤病毒和网络攻击流量。网络攻击、病毒等带来的垃圾流量不仅危害我们的网络安全，也浪费了我们宝贵的网络带宽。根据病毒和网络攻击数量的应用特征，过滤掉病毒和网络攻击造成的垃圾流量。

图2是我校校园网络在网络流量管理控制技术应用后的出口带宽的现状。

从图2中我们可以看出，通过执行以上流量管理策略，各类应用都能够得到较为合理的带宽和保证，出口带宽资源得到了高效利用。在网络不是很繁忙的时段。放开P2P应用：同时Web浏览等关键应用的网络带宽也都得到专门保证。在网络繁忙时段，则把P2P应用限制在一定范围之内，优先保证关键应用的带宽。另外。过滤了病毒和网络攻击流量，既节约了带宽又提高了网络安全性。

5小结和思考

流量管理控制技术目前的使用领域主要在于优化带宽使用，解决带宽不合理占用，网络拥塞、安全隐患等问题，以保障关键业务的服务质量和提高用户上网体验。将来，流量管理控制技术将渗透到网络的每一个环节，使未来网络成为一个可以快速、高效。准确识别网络中业务流、提供区分服务的智能网络。

在实际应用中，技术发展、用户满意度和法律法规等诸多因素都会影响流量管理控制技术在校园网中的应用。因此，对一些问题必须认真思考。

(1)技术缺陷。技术从来都不是完美的，都有自身较为适用的环境，都需要不断地发展完善。因此，在实际使用中选择何种应用识别技术，以及如何保证紧跟应用技术发展的步伐。是每个网络管理员必须面对的问题。流量管理控制技术的应用势必会对网络造成一定的冲击，那么如何更好地保证网络的稳定性和业务的连续性也是网络管理员必须考虑的问题。

(2)用户满意度。流量管理控制技术的应用必将影响到用户对网络资源的使用，高优先级的用户能够得到较好的网络应用服务质量保障，而对于普通用户，网络应用流量的管理势必影响到用户随意使用网络资源的行为，这将会造成大多数普通用户对校园网认可度、满意度下降，投诉率上升等负面影响。因此，在具体应用中，需要认真考虑实施策略、实施粒度等问题，及时把握用户网络使用感受。

高校网络流量管理 篇4

随着经济的发展和技术的创新, 网络在高校越来越盛行, 也发挥着越来越重要的作用, 但是由于各种类型的网络应用在高校的不断利用和涌现, 使得网络流量出现拥挤状况, 而且分配不合理, 干扰了教学和科学研究的正常进行。在高等院校中, 用户数量非常庞大, 特别是点对点技术的研究和使用, 不同类型的点对点应用占用了大量的网络空间和网络流量, 造成网络拥挤甚至堵塞等, 无法保证网络用户关键业务的服务质量, 极大地制约了高校网络的正常应用。

我国高校网络流量应用的现状

基于我国网络的快速发展, 网络已经成为不可忽视和替代的交流和工作工具, 在高校, 网络是为教学、科研、学生查阅信息等提供一个网络环境, 为师生提供互联网服务和资源平台。随着校园网络规模的越来越大, 校园网的用户从以教师为主过渡到以学生为主, 他们热衷于尝试各种新奇的网络应用, 占用了大量的网络空间和网络流量, 导致校园网的出口流量大、并发连接数高。这种局面对高校的信息化建设是相当不利的, 作为校园网的管理人员, 必须改变这种局面, 对高校网络流量的控制进行优化。

网络流量控制常用的方法

对高校网络流量的控制主要方法有限制、封堵、分级等。

1.限制方法

这里的限制是指对宽带或者连接数设置门限, 常用的方法有对于用户的宽带进行限制, 可以在时间上和服务上对用户加以限制, 还可以设置用户连接客户端的个数, 这是对网络流量控制最常用的方法, 也是比较有效和简便的方法。

2.封堵方法

就是利用特定的网络入口或者是IP地址等, 对特定的登陆端口或特定的应用进行封堵, 在一定程度上控制对一些网络和信息的利用, 达到对网络流量控制的目的, 实行这个方法其实并不难, 有一些专用的软件可以帮助网络控制管理者达到目的。但是如果单独使用, 并不能达到封堵效果, 只有与其他方法配合才能发挥他们的作用, 实现对网络的某些领域进行封堵。

3.分级方法

所谓分级就是将流量应用的区域进行分级, 划分等级服务, 重要的领域优先保障, 确保其有比较高的优先使用权, 对于不重要的领域则减小网络流量分配, 其他的领域根据其重要性合理进行流量分配, 达到物尽所用, 使网络流量能够合理分配和使用, 以缓解网络流量拥挤堵塞的现状, 确保教学及重要领域对网络流量的需求。

流量控制的技术和相关的控制设备

要对网络流量管理进行优化调整, 首先应对网络流量的使用作一个全面的分析, 识别网络流量的应用范围, 各种应用所占带宽的比例, 才能有针对性的对高校网络进行流量控制。这就需要长期对网络流量进行必要的监测和分析, 常用的监测手段有以下两种。

1.深度流检测

深度流检测 (Deep Flow Inspection) 简称DFI, 主要是一种对业务识别的技术, 针对不同的flow协议 (例如Netflow, Sflow, Cflow, Netstream等) 进行深度检测, 通过对报文IP头和TCP头有效检测决定其合法性。DFI技术能够动态分析每个流的特征, 进而确定当前流量的基本信息, 如源地址、目标地址、协议类型、源端口号、目标端口号, 对明显具备流异常特征的流量进行丢弃处理。

2.深度包检测

深度包检测 (Deep Packet Inspection) 简称DPI, 是一种典型的基于应用层的流量检测和控制技术, DPI技术是针对不同网络的应用层载荷 (例如HTTP、DNS等) 进行深度检测, 通过对网络流量进行精细的检查、监控和分析, 把已知的攻击报文特征作为识别攻击的标准。

两种技术比较, 各有优势, DFI技术适用于需要高效识别、粗放管理的应用环境;DPI技术适用于需要准确识别、精细管理的环境。在实际应用中, 可以把两种技术结合起来达到互补效果。

网络流量控制的策略

面对现如今高校网络流量的使用现状, 网管人员必须采取一定的应对措施, 对于网络流量的控制要从被动的、消极的、无效的传统模式摆脱出来, 要提前预测、提前准备、主动的用智能化、高效率的现代网络流量控制系统代替传统的流量控制系统。在实践中不断积累经验, 结合对流控设备的灵活运用做到对高校网络流量的合理分配、优化和调整, 适应校园网快速健康发展的需求。

应用网络的优先级的划分

上文中也提到分级, 这是很有用的一个方法, 也是比较普遍的一个方法, 对不同领域的网络应用类型进行分类, 可以优先保障重要领域, 比如:获得优先权, 共享通道, 自定义虚拟宽带通道等, 提供多层次的服务, 按照需求的重要性和需求量来划分为低级, 中级和高级等, 对高级用户适当的加以照顾和开放, 对于中级用户进行有规律的限制, 对于低级用户加以抑制, 从而能达到合理配置网络流量的目的, 尽量避免出现网络的拥挤和堵塞现象, 为师生提供一个高速、稳定、安全、可管理的校园网络环境。

2.网络应用层面的防火墙的应用优化策略

流量控制要灵活和多变, 通过设置传统的防火墙访问权限来继续加强流量控制, 将其深入到网络的应用层面, 管理者可以通过对一些领域进行防火墙设置, 允许或者限制某一时间段的有关服务、会话数目和相关的数据流等, 确保网络流量的合理有效控制。

3.安全保护措施

在流量分析时, 可以安装更多的流量分析系统, 充分的利用资源, 比如, 利用主动预防和设备拦截技术以及安装监视或其他的流量分析系统, 都可以发挥很好的作用, 当发生攻击时, 要迅速检测出攻击源头, 并以最快的时间修正漏洞, 识别、跟踪以及检测校园网络的访问, 对存在异样输出流量的端口进行快速准确的限制, 保证主要业务不受影响, 对一些必要的端口进行拦截, 从而让网络正常运行。

4.丰富校内资源

针对校内师生对常用软件, 学习, 影视, 娱乐等的各类需求, 网管中心可以在校内网上架设软件下载中心、教学资源平台、VOD视频点播系统、网络电视直播系统、校内BT网站等。这样可以在方便师生访问资源的同时有效疏导校园网出口流量, 避免一些重复的下载。学生下载他人资源的同时也共享一些自己的资源, 提从而提高对校园网的体验品质, 并减轻用网高峰时的出口带宽压力。

高校网络流量控制的应用

在高校中网络的流量监控已经有了一定的运用, 现在的网络流量监控体系也在不断的优化中。

在高校的网络使用中, 一般的高峰期都在上午的10点30分到下午的4点30分, 还有晚上八点半之后, 尤其是晚上, 因为白天高校的学生们一般都会有课, 所以大多数的网络利用时间都会在晚上, 而且数据流量相当大, 鉴于这个情况, 管理员可以按照时间, 改变策略, 白天的时候可以对点对点的流量限制小一点, 保证教师和学生流畅地打开网页、收发邮件等, 进行重要应用带宽保证和单个IP带宽保障。晚上要加大点对点的限制, 保证网页的正常浏览优先, 在不升级带宽的情况下, 为师生们提供一个相对舒适的网络环境。

结束语

高校网络流量管理 篇5

当前一些流行的、娱乐性质的应用层出不穷，如P2P下载、在线看视频、玩在线游戏等，对局域网网速消耗极大，极容易导致整个局域网网速变慢、办公室上网速度很慢的情况。因此，企业网络管理员日常工作中一项最重要的工作就是限制局域网网速、控制电脑流量，防止个别电脑过量占用带宽而影响整个局域网上网速度的情况。

局域网带宽分配、上网流量限制是一个古老的话题，同时也是网络管理的一个顽疾。本文汇聚了当前局域网网速控制、限制网络流量的一些常见的、比较有效的方法，提供给企业网管员进行参考，帮助网管员实现有效的网速控制和带宽分配。

通过路由器、防火墙或交换机等进行局域网网速控制。目前，一些中高端的企业级路由器、上网行为管理路由器、防火墙或交换机都带有上网行为管理的功能，同时这些网络设备由于是部署在局域网公网出口，因此从技术上来说，限制局域网网速、控制电脑上网流量是较为有效的办法。

路由器是专业提供网路路由的功能，是为了为局域网用户提供上网，如果过多地进行上网行为管理或网速限制方面的设置，则会加大路由器的负荷，严重情况下还可能导致路由器出现假死的情况，从而不利于单位网络的稳定、安全和畅通。因此，企业限制局域网网速，如果一定要用路由器的方式进行，则最好选择较好的中高端路由器，否则效果可能适得其反。但是，这些中高端路由器由于价格昂贵，则可能成为企业一笔不小的开支。

使用专业的上网行为管理、流量控制设备来进行局域网限速和带宽分配，防止个别电脑过量占用网络带宽的情况发生。北京万任UniERM网络流量综合管理设备是目前面向企业局域网网络管理和网速控制领域较为专业的网管设备，使用万任UniERM网络流量综合管理系统可以完全控制整个公司局域网的网络带宽，实时限制电脑网速。

企业局域网限制网速，除了直接通过计算电脑数据包、统计报文来限制电脑网速之外，还必须要结合控制P2P下载、禁止局域网看视频、屏蔽视频网站、禁止在线游戏等与企业工作毫不相干的网络应用，只有完全禁止了这些消耗网络带宽的大户，才能从根源上治理带宽网速入不敷出的情况发生。万任UniERM就能够限制P2P软件、禁止网络游戏、限制P2P网络电视，同时可以限制网络游戏、炒股等上网行为。

通过控制网络流量管理校园网络 篇6

互联网作为计算机和通信技术融合的产物,近年来得到飞速的发展,尤其是硬件产品方面的发展。但硬件的飞速发展并未带来网络服务质量的飞速发展,网络拥塞、网络速度依然困扰着人们。导致网络带宽拥塞出现的原因,根据自有用户的使用情况和需求反映,及在网络和书籍上查找相关的情况,基本总结如下:

1.1 LAN/WAN的不匹配

高速LAN与低速WAN之间不匹配造成严重的带宽瓶颈,这将导致延迟与不一致的性能,我们学校从网络供应商接入校园的外网才几十M,而内网可达百M、千M。近十年来,LAN从10M、100M、千兆、到现在万兆的内部主干网络,而WAN也速率也从56k、128k、2M、10M、50M、100M、500M、千兆。虽然WAN速度增长倍数是大于LAN,但基数还是远小于LAN。

1.2 网络流量种类、数量不断增多

网络用户拥有多种不同的应用交叉连贯,从很重要的应用(如视频会议和Voice over IP(VoIP))到娱乐性的应用,如在线视频、在线游戏等。当关键性的应用与不紧急及娱乐性的程序共享相同的网络资源时,不级别用户争抢带宽,网络速度变慢,甚至有的工作站就会出现无法接收数据的现象。归根结底,是由于局域网带宽过度消耗的。对带宽需求较大而又非常重要的应用,需要在限制和允许之间做出平衡;对关键型的网络应用需要保障其有不受干扰的通道。

1.3 不预计的流量突发

蠕虫、病毒和与日俱增的Web流量都是当前网络的负担。以消耗网络资源为目的流量类攻击发展迅猛,却没有有效的防范控制手段,网络人员大量的恶意非法连接消耗带宽,淹没主机,造成拒绝服务(DoS)攻击;蠕虫病毒大量而快速的复制使得网络上的扫描包迅速增多,造成网络拥塞,占用大量带宽,从而使得网络瘫痪;网络内部操作失误等。

2 流量控制策略

2.1 建立VLAN

建立VLAN能有效遏制机构范围内的广播和组广播,进行跨园区的带宽和性能管理。我们学校使用的交换机型号是华为3026 EI系列,通过该交换机,可以有效地限制网络带宽资源过度消耗。在完成物理连接后,通过Console端口到交换机的后台配置界面,从中找到虚拟子网划分设置选项,并通过该功能将24口的交换机所连接的端口设置成几个不同的VLAN,通过VLAN中的IP地址段和职能部门的对应管理,我们可能直接就以职能部门的名称作为分类的名称,将网络流量的来源和实际用户联系起来。划分VLAN举例:

[H3C]VLAN1

[H3C-VLAN1]quit

[H3C]VLAN 3 to 9//创建了VLAN1

为了防止工作站随意使用BT之类的下载软件、在线影视等来过度消耗网络带宽资源,我们可以进入华为3026交换机的后台配置界面,从中找到"端口带宽控制"设置选项,通过这一功能选项将交换机所连接的带宽设置成合适的值。这样一来工作站即使使用了P2P等应用,我们也不担心整个局域网的出口带宽资源被耗尽。华为3026 EI系列交换机端口限速配置如下:

对该端口的出方向报文进行流量限速[**3026-e0/1]line-rate 50

对该端口接收方向报文进行流量限速[**3026-e0/1]traf-fic-linit inbound ip-agroup aaa 50

端口的出入口方向限速为50Mbps

2.2 负载均衡

随着大量数据在网络中传输,数据流量不断增大,网络核心部分的数据接口将面临瓶颈问题,这时可以考虑采用负载均衡。负载均衡建立在网络结构之上,它提供了一种廉价有效的方法扩展带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可能性。它主要完成以下任务:解决网络拥塞问题;为用户提供更好的访问质量;提高服务器响应速度及其资源的利用效率。学校校园网采用本地负载均衡,对本地的服务器群实现负载均衡。本地负载均衡能有效地解决数据流量过大,网络负荷过重的问题,充分利用现有设备,避免服务器单点故障造成数据流量的损失。均衡策略把数据流量合理地分配给服务器群内的服务器共同负担。原有的单一线路将很难满足需求,而且线路的升级又过于昂贵甚至难以实现,这时就可以考虑采用链路聚合(Trunking)技术。链路聚合技术(第二层负载均衡)将多条物理链路当作一条单一的聚合逻辑链路使用,网络数据流量由聚合逻辑链路中所有物理链路共同承担,由此在逻辑上增大了链路的容量,使其能满足带宽增加的需求。

2.3 使用监控网络流量的工具

网管员可以借助网络流量管理工具监控网络流量,从而控制网络带宽、发现网络中存在的问题,识别网络流量,辨别出这些网络流量是从哪里由什么程序,经由哪个用户产生的,通过用户身份对网络流量进行识别,网络管理员根据流量数据就可以对网络主要成分进行性能分析管理,发现性能变化趋势,并分析出影响网络性能的因素及问题所在。Mrtg(Multi Router Traffic Grapher,MRTG)是一个监控网络链路流量负载的工具软件,它是利用SNMP协议,去侦测指定的运行有SNMP协议的网络设备上抓取到信息,自动生成包含PNG格式的图形,并以HTML文档方式显示给用户。每隔几分钟采样并统计其设备流量,将统计结果绘成统计图,这样用户能很容易地从统计图上观察出实际网络的流量。

2.4 进行数据通讯优先级控制,限制或禁止在特定时间段内的流量占用

解决带宽拥塞的关键问题是如何能够将带宽合理的分配到每个桌面用户,当网络资源紧张的时候限制那些使用量大的用户,保障那些使用量小的用户,反之,当网络资源有较大空闲时,则取消这些限制,让每个用户都能有效利用资源。我们根据自己的实际需要选择开关的时间段以及不同时间下不同的参数值。校园网选用了黑盾防火墙FW2000+。黑盾防火墙有强大的流量控制功能,可以通过黑盾防火墙设置优先级和流量值的方式对主机的带宽和规则的带宽进行保证,提供QoS机制,保证带宽合理分配,充分利用资源。

3 结束语

网络的流量监控在日常的网络运行维护当中是一个非常重要的内容,流量控制策略的制定对网络带宽的合理分配起决定性的作用,通过合理的策略控制,有效抑制了P2P、迅雷及在线视频等占用带宽的现象,保障了关键业务以及时实性较强的业务优先使用,保障网络基础设施的健康运转,提高了校园网络的服务质量。

摘要：为了保证关键业务以及时实性较强的业务优先使用,保障网络基础设施的健康运转,就需要对校园网络进行流量控制。如何提高网络性能及重新拥有对网络的控制权,是校园网络管理中心要面对的重要问题

关键词：网络流量,网络拥塞,控制策略

参考文献

高校网络流量管理 篇7

1 进行网络流量监测的现实意义

所谓网络流量监测是指通过对网络数据的连续采集, 从而对网络的流量情况进行了解与监视, 它是网络管理中最基础的工作之一。对于网络监测所获取的网络流量数据进行统计与和计算, 从而得到网络重要成分的性能指标。网络管理员就可以根据已存储网络的相关数据结合当前所获取的网络性能数据指标, 通过分析了解网络性能变化趋势。了解网络运行情况, 分析制约网络性能的瓶颈问题, 从而为科学规划网络、优化网络设置, 为解决网络故障采取及时有效的措施, 提供了重要信息, 有着重要的现实意义。

2 网络流量的特性分析

在经过对互联网通信流量的长期监测与测量, 从现有的技术水平来说, 我们把网络流量的主要特性归结为以下4个方面:

1) 数据流双向和非对称性:即, 从互联网上的应用来看, 其实质就是数据的双向交换, 因此网络流量体现出双向性的特点;但同时这种双向的数据交流并非是对等的, 上行和下载的流量并不相同, 而是表现出非对称性的特点。

2) 大部分TCP会话是短期的。在互联网通信中, 从时间的角度来看, TCP会话时间只有数秒十分之短, 这是由于会话中交换的数据量超过90%的比例都是小于10K字节的。从研究来看, 一些不是短期的TCP对话 (如文件传输) , 不过由于80%的WWW文档传输都小于10K字节, WWW的快速增长从而使得TCP会话时间也是十分短暂。

3) 包的到达过程不是泊松过程。在过去较长的时间内, 传统的排队理论以及通信网络设计都假设包的到达过程是泊松过程, 即包到达的间断时间的分布是独立的指数分布。然而随着技术的进步, 研究发现这种理论解释存在着不足, 它难以精确地描述包的到达过程, 人们开始从网络通信量模型展开研究, 进而来丰富网络流量的理论原理。

4) 网络流量体现出局域性。从现有技术应用特点来看, 网络通信量表现出在时间和空间两个维度的局域性。这主要是从互联网流量中数据包的时间和目的地址上, 从而表现显时间局域性和空间局域性的特性。

3 网络管理中网络流量监测的方法

在对互联网通信特性有了深入的了解以后, 我们就可以采取相应的技术措施来对网络流量进行监测。从当前实践用用来看, 习惯上我们把当对流量监测的方法归为主动测量和被动测量两大类, 他们各自的优势与特点主要表现如下:

3.1 主动测量

主动测量是基于端到端的测量, 通过测量设备向被测网络注入一些以探测网络特征或网络流量负载等信息为目的的探测流, 进而了解被测网络目前的运行状态和提供数据传输的能力。

从上述分析我们可以看到, 在进行网络流量的主动测量, 我们构建的网络测量系统应当由测量节点、中心服务器、中心数据库、分析服务器这四个部分构成。

从主动测量的实践应用来看, 其优势体现在主动性、可控性、灵活性三个方面。即, 在进行网络流量监测时是主动发送测量数据, 同时这个操作过程可以灵活把握, 因而可控制性也比较高。此外, 主动测量也便于对端到端的性能能够开展直观的统计。

不过从测试过程我们也可以看出, 由于是主动对网络进行注入流量, 因此, 我们所获取的结果与实际情况存在偏差是在所难免的, 这就是主动测量的不足之处。

3.2 被动监测

被动测量是一种分布式的网络监测技术的应用, 其监测原理是对被测对象部署一定的监测点与网络设备, 从而通过这些点与设备来获取网络流量的相关信息与数据。因此, 这种监测它是在不改变原有网络流量的基础上进行的。通过诸多的被动监测的实践, 也证明了这一点。

被动监测的优势不仅如此, 并且相对前文分析中的主动测量来说, 被动测量方式得到的网络数据与实际情况偏差更小一些。其缺点是被动测量是从单个设备或点实现相关信息的采集, 这种实时采集往往信息数据量大, 因此难以实现对网络端对端的性能分析, 还为数据泄露等安全问题留下了隐患。但总体来说, 被动测量的优点远大于其不足, 因此被广泛用于测量和分析网络流量分布。

4 结论

以计算机为基础的现代信息技术成为了当前事 (企) 业单位的科研生产的重要平台, 一方提高了工作效率, 另一方面也加大了人们对网络的依赖和需求, 因此加强网络流量监测工作十分重要。本文对网络管理中的流量监测问题进行了阐述, 并根据其中存在的问题进行总结与归纳, 以对其进行改善和提高。这需要我们广大从事信息技术的工作者与管理员提高业务水平, 加强对相关技术的研发与探索, 创新管理手段, 以促进网络的良好稳定运行。

参考文献

[1]李方敏, 严华宇, 金运清.基于IXP2400的流量监控技术研究[J].武汉理工大学学报 (信息与管理工程版) , 2007 (10) .

索契冬奥会上网络流量管理的双赢 篇8

在索契冬奥会期间,央视,百度,酷六……一时间各大视频和体育网站冬奥会金牌的角逐吸引了众多目光。“周洋冬奥卫冕”的话题也排名新浪微博话题榜三甲。各大视频网站和各类新闻平台让用户可以通过笔记本电脑、平板电脑和智能手机等移动设备比以前更轻松地了解奥运会战况。

随着在线内容的增加,毫无疑问越来越多不能熬夜的人将会选择在办公室内观看比赛精彩集锦,精彩回放或者参与冬奥会话题讨论。此外,预计很多虚拟观众还将使用个人设备在工作时观看男子和女子花样滑冰、高山滑雪、 短道速滑,甚至是冰壶比赛。视频流或许会给企业的带宽带来很大的压力,从而影响到重要业务应用的性能。

这是一个微妙的平衡———在工作期间观看娱乐视频而获得短暂休息的员工需求,企业需要满足;然而支持对业务目标至关重要的应用的流量需求,却是重中之重。

为了保护企业网络不会出现突然的流量堵塞,需要一个减震器。例如,缓存和网络QoS技术可以帮助企业应对流量高峰;从而消除它对业务应用性能的影响,同时仍能够让员工支持自己喜欢的运动员。不管公司对员工在工作期间观看奥运会等重要体育赛事持何种态度,了解网络和流量模式都至关重要,以便确保准确地识别和优化所有网络流量。

高校网络流量管理 篇9

关键词：局域网,流量,控制,管理

当前, 网络宽带不断升级, 可是网络速度却常常不尽人意, 给很多商家、企业带来了极大的困扰。网速不能满足工作的需要, 就需要对宽带进行升级, 也就意味着需要投入更多的资金, 可成效并不显著, 网速仍然在变缓。造成这种情况的原因是多样的, 其中最重要的一点就是桌面宽带永远高于出口带宽。另外, 随着网络时代的到来, 人们对网络的依赖程度不断提高。近几年, P2P等下载软件和网络电视走入了人们的生活, 使得本来就捉襟见肘的网络带宽上加霜。想要营造一个良好的网络环境, 将P2P、网络视频等软件进行有效控制是关键。[1]

1、局域网网络流量监控方法

网络流量监控的主要目的是对网络进行管理, 其过程一般是:一、实时、不间断地采集网络数据。二、统计、分析所得数据。三、确认网络的主要性能指标。四、对网络进行分析管理。网络流量监控的方法主要有两种, 一种是使用网络监控设备, 另一种是使用网络流量监控软件。当前的局域网网络设备对于P2P这种模式没有很好的管理效果, 导致P2P软件大行其道, 占用了极多的带宽资源。当前, 以下几种网络流量最为常见:

(1) P2P流量:P2P文件共享在网络带宽消耗方面是大户, 夜间, 有95%的网络带宽被P2P占用。

(2) FTP流量:FTP这项服务的应用比较早, 且重要程度只比HTTP和SMTP稍低。P2P的出现, FTP的重要性再次降低, 但其重要性仍然不可忽视。

(3) SMTP流量:电子邮件是企业之间交流的重要手段, 是网络应用中不可或缺的一部分。据不完全统计, 竟然有75%以上的用户将收发邮件作为上网的主要目的。再加上发送电子邮件是不另外收费的, 所以被部分人当成广告工具, 互联网中垃圾邮件的泛滥之势愈演愈烈。[2]

(4) HTTP流量:互联网上应用最广泛的协议当属HTTP协议。再加上视频共享网站的兴起, HTTP占用的网络流量已经超过了P2P。

将以上这些流量种类分析清楚之后, 我们就可以针对其特点, 对症下药, 以收获事半功倍的效果。

2、局域网流量控制与管理策略

在输出端口处建立一个队列, 是流量控制过程中常用的做法。通过控制路由, 也就是控制IP地址的方式, 来达到控制的目的。

2.1 通过路由控制流量

流量控制是相当部分路由器具有的常规功能。TP-Link TL-R410、TL-R460等型号路由器最近也新增了“流量控制”功能, 对局域网内的电脑进行带宽资源分配, 对P2P下载进行管控, 防止部分用户的过度占用, 为大多数用户提供一个良好的上网环境。

2.2 禁止P2P下载

P2P下载是占用带宽流量的主要原因, 禁止方法主要是:使用注册表禁止P2P下载软件。编辑一个名字为Kill P2P.reg的注册表文件, 内容如下:

如对某种P2P进行限制, 将P2P下载软件的可执行文件填写到1、2后面, 再将Kil l P2P.r eg文件导入注册表后, 重启机器, 受Kill P2P.reg限制的P2P软件就无法正常运行了。

2.3 进行时间段管理

目前, 部分路由器具有一定的时间限制的功能。所谓的时间限制就是对相关参数、功能进行监测, 进而采取时间调度进程的方式, 达到开与关的目的。

2.4 限定局域网主机速度

对局域网主机的上传速度和下载速度进行限制, 允许P2P下载, 但对速度有所限制, 限制的最低标准就是不影响他人对带宽的正常使用。

3、局域网流量异常发现与处理

网络监控软件的合理运用可以很容易地找出局域网中流量不正常的电脑, 是局域网畅通运转、安全运转、高效运转的有效保障。异常流量造成的结果, 轻微时会降低局域网运行速度, 严重时, 可能会使局域网瘫痪。所以有必要找出流量异常的主机。

3.1 找出流量过大的电脑

当发现流量异常时, 首先需要做的就是找出流量异常的主机。网络监控软件可以帮助我们做到这一点。网络监控软件使用起来比较简单, 在局域网中任何一台主机上安装都可以实现对整个局域网的监控。监控的内容有流量记录、网页记录、QQ聊天记录等, 根据记录确定占用较多网络带宽的某个或者某几个电脑, 从而达到找出“元凶”的目的。

3.2 对异常主机发出警告

利用网络监控软件, 可以很容易地找出流量异常的主机, 下一步就是对该主机的使用者发出警告。这种警告不是现场的面对面警告, 而是通告监控软件发出警告消息即可。为了方便警告消息的有效传达, 应将对方电脑的信使服务功能开启。如果警告没有效果, 那么就要采取进一步的措施, 比如“禁止上网”, 将其网络断开。

就目前情况而言, 网络监控软件为网络管理提供了极大的帮助, 是企业局域网管理的重要手段。[3]

4、结语

流量监控软件是监控网络流量最简单、最有效的手段。企业的网络管理者, 可以通过它将网络资源的占用情况透明化, 并有针对性的进行管理。同时, 企业的管理层还应该建立一套切合实际的上网制度, 只有内外结合才能从根本上解决局域网流量控制与管理的问题。

参考文献

[1]李晟, 甘勇.网络流量测量与分析研究现状及发展趋势[J].郑州轻工业学院学报 (自然科学版) , 2005年02期.

[2]王立梅, 朱海涛.局域网流量分析及性能评价[J].中国科技信息, 2008年12期.

高校网络流量管理 篇10

关键词：流量管理,软件定义网络,OpenFlow,Floodlight

0 引言

随着互联网的逐步发展, 网络用户和业务流量不断增长, 网络资源相对不足造成数据交互速率下降, 网络拥塞问题日益凸显[1]。网络流量管理是基于网络的实时流量和流量管理策略, 对数据流识别分类, 实现流量控制、优化和保障关键应用的关键技术[1], 可以保障网络运行效率和服务质量Qo S (Quality of Service) 。

2006年, 斯坦福大学联合美国国家自然科学基金等启动了由Nick Mc Keown教授担任负责人的Clean-Slate Design for the Internet (简称Clean Slate) 项目, 旨在创建一个摆脱当今互联网基础架构限制的全新网络[2]。2008年, Nick Mc Keown教授提出了Openflow[3]技术, 将传统网络设备中的数据转发功能和控制功能分离, 网络设备仅进行数据转发, 而控制器上集成了网络设备的配置、维护等功能。随着Openflow技术的推广和研究, 软件定义网络SDN (Software Defined Networking) 架构被进一步提出, 用软件模式的控制面代替了嵌入式节点的控制面, 进行集中控制, 为未来网络的发展提供了一个新的研究方向和思路。

本文在SDN架构上研究和实现流量管理应用, 并进行实验环境搭建以及应用场景验证。

1 流量管理应用

1.1 SDN简介

SDN结构把传统网络设备紧耦合的网络架构分拆为应用、控制、数据转发3层分离的体系架构[4], 提供了一种可编程的网络管理模式, 改变了现有的网络架构。SDN结构[5]如图1所示。

1) 数据转发层由支持Open Flow技术的交换机所组成。Open Flow交换机区别于传统以太网交换机, 主要由流表、安全通道、Openflow协议组成。其中, 安全通道是连接Open Flow交换机和控制器的接口。控制器通过接口按照Open Flow协议规定的格式来配置和管理OpenFlow交换机[6]。Openflow协议规定交换机的处理单元由流表构成, 每个流表由多个流表项组成。流表项代表数据转发的规则, 主要包括匹配域、操作、计数器等。其中匹配域包括了数据链路层、网络层以及传输层的大部分标记, 操作表明对匹配成功的数据包执行的动作, 例如转发到某个端口、丢包、修改包头信息等, 计数器用于统计数据流的基本信息。进入交换机的数据包和流表项的匹配域规则匹配成功后, 执行相应的操作并更新计数器。

2) 控制层将传统交换设备中的控制部分抽离出来, 抽象为网络操作系统, 用于集中维护和管控数据转发层的网络设备。控制层通过南向接口 (openflow协议) 管理底层网络设备以及获取设备信息, 并向上层应用提供北向编程接口。

3) 应用层通过控制层的北向接口, 能够利用动态的应用程序配置和网络设备管理, 实现满足不同网络需求的应用程序, 例如, 负载均衡、防火墙等应用, 使网络管理和优化更加灵活、可控。

1.2 技术分析

流量管理可以通过基于SNMP协议的软件测试系统或者专用硬件设备实现[7,8,9]。但是, 利用SNMP协议提供网络运行情况的信息主要集中在2~3层, 无法区分隶属于不同协议的流量。同时, 利用测量设备检测网络状态需要在数据转发设备上添加额外的硬件设备或软件Agent系统, 会增加网络部署的成本。

本文中的流量管理应用是基于SDN的架构上, SDN控制器通过openflow协议采集交换机的流量信息, 并根据网络状态实现管理策略。该应用主要通过获取交换机中流表项计数器的值来得到网络流量情况, 不需要增加专用硬件设备, 可以降低流量管理成本。同时, Open Flow流表项的匹配域不仅包括进出端口、Ethernet源/目的地址、Ethernet类型、vlan号、vlan优先级、IP源/目的地址、IP协议、IP优先级To S位等涵盖2~3层的多数标记, 而且包括TCP/UDP源/目的端口, 因此控制器可以通过计数器得到网络协议栈不同层次的流量信息。

流量管理应用运行在控制器上, 并通过Openflow协议对底层设备进行集中管理, 因此流量管理应用可获得网络全局运行状态, 并依照决策策略通过统一接口管理网络中的节点, 从而可以制定更加合理的管理策略, 更加方便实现。

1.3 模块分析

从实现机制来看, 流量管理应用的主要功能模块有状态检测、流量检测、ACL管控、流量限速和自动决策, 具体设计如图2所示。

1) 状态检测模块

该模块用于检测交换机的连接状态并获取交换机的基本信息, 如版本号、端口状态等。若交换机连接正常, 该模块存储交换机的基本信息并触发流量检测模块, 而当交换机断开连接时, 控制器获取的连接信息为空。

2) 流量检测模块

该模块通过Openflow协议定期地读取交换机中每个流表项的计数器, 得到针对每个表、流、端口、队列的传输数据包数、错误包数、丢包数等, 分析并整理得到基于端口、IP、MAC的流信息并存储到控制器, 计算流量速率。

3) ACL管控模块

根据不同的需求, 在该模块中设置应用层协议相应的优先级以及网络中的总流量上限, 如FTP、HTTP、SMTP等。当网络中的流量突然增加时, 禁止或延缓低优先级业务的实现, 保障高优先级的业务的实现。当网络中的业务数目发生变化时, 可以重新设置优先级, 保证当前网络中优先级最高的业务获得足够的带宽。

4) 流量限速模块

该模块可以添加或者删除基于不同源目的端口、源目的IP、源目的MAC的流量速率上限 (默认上限为交换机端口最大速率) , 并设置对超过上限的数据流所要执行的动作, 如丢包、转发到特定设备处理、延缓发送等。

5) 自动决策模块

该模块可以自动生成合适的流表项, 并通过Openflow协议下发添加、修改或删除流表项的命令。

1.4 工作流程

流量管理应用的基本工作流程如图3所示。

1) 程序启动后, 进行初始化处理。首先控制器检测底层设备的连接情况, 若连接正常, 读取交换机设备信息, 若连接异常, 则删除控制器中有关该交换机可能存在的信息。然后根据读取的交换机设备信息, 下发动作为NORMAL (即正常转发) 的流表项给交换机, 使网络交换设备正常转发数据包。

2) 设置不同应用层服务的优先级、总流量上限、不同流的速率上限以及执行动作。

3) 定期读取交换机中流表项的计数器, 得到数据包统计, 并分类存储到控制器中。

4) 计算网络总流量, 若大于设置的总流量上限时, 禁止优先级较低的应用服务, 即删除交换机中相关的流表项。当网络总流量小于上限时, 恢复优先级较低的应用服务, 即生成相应的流表项并添加到交换机的流表中。

5) 当交换机端口/IP/MAC流的流量速率超过速率上限时, 根据设置的动作生成相应的流表项并下发, 若交换机低于流量上限时, 删除对应的流表项并下发动作为NORMAL的流表项。

2 实验验证

2.1 验证环境

本文主要采用SDN设备部署一个网络实验环境来验证流量管理应用的有效性, 验证环境的基本构造如下所述:

1) 数据转发层

在选择交换设备方面, 采用支持Openflow协议的物理交换机盛科V330[10]。该交换机采用成熟的ToR交换产品硬件平台, 整合开源的Openvswitch (虚拟交换机) , 并在此基础上优化和开放SDK源代码, 具有灵活的架构和强大的处理能力, 支持更为开放的网络环境。连接到交换机的主机设备有四台PC机和一台机顶盒, 其中两台PC机采用Ubuntu 12.04, 两台采用Window 7操作系统;机顶盒是一个连接电视机显示器与外部信号源的设备, 可通过网络进行交互式视频观看、游戏娱乐等。

2) 控制层

控制器对底层设备进行管控, 本文选择Floodlight。Floodlight是使用apache协议的开源控制器, 不仅支持不同协议版本的交换机, 而且可以向上提供rest api接口供应用程序调用控制器中的应用模块, 方便满足不同的网络应用需求。

3) 应用层

实现了流量管理应用的基础功能, 可方便地进行后期更新升级和添加其他功能。

综上所述, 网络实验环境部署如图4所示 (环境配置如下所述) 。

数据转发层

1) 将机顶盒、两台主机 (host1、host2) 、主机host3、主机host4分别连接到交换机S1的1~3号端口, 及交换机2和交换机3, 并将交换机5的端口与传统交换机相连, 使该实验环境中的设备均可以访问互联网。将交换机S1-S5按照图4中的网络结构连接。

2) 将Ixia仪表[12]的1、2号端口与S1的5、6端口相连, 并将Ixia仪表的3号端口与S3的3端口相连, 在主机上安装Ixnetwork软件。

3) 配置host1-host4的IP为10.1.1.6-10.1.1.9, 掩码为255.255.255.0, 网关为10.1.1.1。配置S1-S5交换机IP为10.1.1.15-10.1.1.19, 掩码为255.255.255.0, 网关为10.1.1.1。

控制层

1) 安装Floodlight控制器, 并设置IP为10.1.1.3, 掩码为255.255.255.0, 网关为10.1.1.1。

2) 配置交换机指向控制器的6633端口。

应用层

通过分析Floodlight的源码, 编写流量管理应用程序FlowManger并运行。

2.2 验证结果

场景1 ACL管控

预先设置应用FTP协议的文件传输业务的优先级高于应用HTTP协议的网页浏览业务, 并规定当交换机中的流量大于512 KB时, 禁止主机访问网页, 当交换机中的流量小于512 KB时, 允许主机访问网页。

测试host1可以通过浏览器访问网页, 并且机顶盒能正常观看视频, 然后通过FTP协议从host2下载大型文件, 查看交换机中的流表, 发现添加了一条流表项, 即对协议目的端口为80的数据包做丢包处理。检测host1无法访问网页, 同时机顶盒无法正常打开视频, 而文件下载仍在进行。当下载完成后, 查看流表, 有关流表项已经被删除, 此时host1可以访问网页, 并且机顶盒可以正常打开视频。

在ACL管控场景中, 传统的流量测量主要集中在2~3层的数据包分析, 而基于SDN网络架构的流量管理可以针对应用层端口的流量进行测量、状态分析以及管理, 有效地分配网络资源, 提高网络传输效率。

场景2流量限速

在Ixnetwork上设置从Ixia仪器的1号口发送数据包, 从2号口接收数据包。设置不同源/目的端口、IP、MAC的速率上限, 其中可选择的速率上限有512 kbps、1 Mbps、10 Mbps、100 Mbps、1 Gbps, 通过Ixia表接受端的数据包速率可以验证流量限速的实现。

设置源端口为交换机5号口, 目的端口为6号口的速率上限为1 Gbps, 从Ixia发送速率为150 Mbps的数据包, 并每隔一段时间变换速率上限, 可以从图5中观察到Ixia发送的数据包保持在150 Mbps, 而接收的数据包随着速率上限的不同发生变化。

图5中横坐标表示数据包发送的时间, 纵坐标表示数据包速率, 单位为Mbps, 其中虚线代表发送端速率, 实色线代表接收端速率。

同理, 设置源IP地址为Ixia的1号口IP 10.1.1.9, 目的端口为6号的速率上限为1G, 或是设置源MAC地址为Ixia的1号口MAC, 目的端口为6号的速率上限为1 Gbps。当从Ixia发送速率为150 Mbps的数据包, 并每隔一段时间变换速率上限, 可以观察到接收的数据包随着速率上限的不同发生变化。

在该场景中, 流量管理模块读取2~3层统计信息, 并根据管理策略向交换机下发流表项, 可以同时针对特定交换机端口、IP以及MAC地址的主机进行流量管理, 而传统方法需要下发命令到交换机、集线器、路由器等多个设备, 增加了管理复杂度, 降低了管理效率。

场景3资源分配

控制器根据获得的拓扑结构, 下发流表项到交换机, 使得host1到host3的数据包通过交换机2, 而非交换机3、4。同时设置策略为当交换机2的流量过载时, 限制host1的数据包通过交换机, 并同时允许交换机3、4传输host1发送的数据包。

设置交换机2的端口速率为10M, 观察host1、host2、host3、host4之间均可正常ping通。在交换机2上的host3上传送大量文件到host4, 观察主机发现host1可以ping通host4, 但无法ping通host3。

读取S2的流表项的统计信息, 观察到源IP为10.1.1.6的数据包数目不再发生变化并且丢包率增加, 而在S3和S4上可以观察到有源IP为10.1.1.6的数据包统计信息。

在资源分配场景中, 分布式流量管理是根据局部网络状态分配资源, 可能会产生非最佳分配。而本文的流量管理是基于全局网络状态的集中式管理, 可以根据管理策略寻求到更好的资源分配方式, 提高管理效率。

通过以上三个场景, 可以验证流量管理应用的实现, 同时体现了SDN架构下对底层设备集中管控的特点。

3 结语

基于软件定义网络的流量管理应用有其独特的优势, 一方面, SDN网络的可编程模式具有高度的可扩展性, 流量管理功能的升级更新无需在每个交换设备进行逐个配置, 只需要在控制器上更新策略便可以实现;另一方面, 通过Openflow协议可以获取到多种流的流量信息, 不需要添加额外的测量系统, 降低了系统开销。