校园网流量分析与控制(共8篇)
校园网流量分析与控制 篇1
随着高等教育信息化的发展, 高等教育对于网络的依赖日渐增加, 同时高校校园网的出口带宽要求也越来越高。但是受到资金、出口建设成本和网络技术等方面的限制, 高校校园网出口带宽不可能无限提高, 由此导致了高校校内用户日益增长的网络需求与出口带宽限制网络流量之间的矛盾。而通过对出口网络数据进行深层次应用分析制定相关策略能够在一定程度上缓解这一矛盾。
1 网络流量分析及控制的关键技术
网络流量分析及控制是指对数据包进行检测, 并通过制定的策略对网络应用实现放行、限制或阻塞的技术。现今P2P类下载应用占用了大量的带宽资源, 导致网络的拥堵和服务质量的下降。为了保证用户能够平等的使用网络带宽, 需要采取必要的技术对P2P等应用进行一定程度的检测与调控。目前主要的分析控制技术如下。
1.1 传统防火墙对网络流量的分析及控制
传统防火墙都工作在OSI参考模型的第2、3、4层, 通过对TCP/UDP端口、数据包的源/目的IP地址、MAC地址等进行过滤, 实现对网络流量的监视。一般都是对数据包的包头来做策略, 并不关心整个数据包的信息。传统防火墙对网络流量的处理方法一般都是阻塞某种协议常用端口, 或者阻断客户端与服务器的连接等。由于不能有效的分析数据包内部信息, 不能有效的了解用户应用层的信息, 也就不能有效的限制用户的应用。采用传统防火墙阻断服务器与客户端连接的方法也已经不能准确的识别与控制。
1.2 DPI技术
深度报文检测技术DPI (Deep Packet Inspectio) 是在分析数据包包头的基础上, 增加了对OSI参考模型第七层即应用层的分析。当IP数据包、TCP、UDP数据流经过基于DPI技术的流量控制系统时, 通过深入读取数据包的内容来对应用层信息进行重组, 从而得到整个应用程序的内容, 然后按照系统定义的管理策略对流量进行整形操作。DPI技术可以分为两大类: (1) 使用特征字与掩码相结合进行协议识别的DPI技术; (2) 使用正则表达式库进行协议识别的DPI技术。
2 高校校园网络的现状
目前大部分高校都已建成完善的园区网, 普遍采用传统的三层结构 (核心层、汇聚层和接入层) , 并租用运营商电路实现与互联网的高速对接。
校园网的主要特点是学生是网络的主要用户。随着网络技术的发展, 学生作为社会最活跃的团体, 对于网络新兴服务需求迫切, 尤其是视频服务。造成的结果是对网络带宽的占用比例极高, 造成传统服务的服务质量下降。
以我院为例, 我院校园网络始建于2008年, 网络已覆盖教学、办公、生活等区域, 其中学生宿舍网络出口带宽所占比例达到80%以上, 其中多以视频、P2P应用为主。
3 采用流量控制技术调整出口应用
在具体实现方面, 采用了Panabit软件。Panabit是北京派网软件公司开发的免费的应用层流量控制系统, 是基于稳定性极高的FreeBSD开发的。可在浏览器中对系统进行图形化管理, 界面友好, 操作简便。
3.1 Panabit流量控制系统的部署
(1) 安装。
Panabit需要独立安装在一台计算机中, 硬件配置要求如表1。
由表1可见, 对于目前PC的硬件水平完全可以满足安装需要, 只需要在计算机中多加装两块网卡即可。
Panabit的硬件部署在网络出口上。配置的3块网卡, 1块用于管理Panabit管理系统, 另外2块分别用于采集上传和下载流量的数据。
(2) Panabit系统的初始化配置。
(1) 首先配置系统的IP地址等基础信息 (在此全部都采用校园网内部私有地址) , 以便远程管理 (采用HTTPS协议) 。
(2) 选择网络配置下的“数据接口”选项, 两块网卡的“应用模式”均选择为“透明网桥”。
3.2 Panabit系统的流量控制策略的配置
(1) 分配带宽。
Panabit对带宽的分配有三种模式:即带宽限制, 带宽保证, 带宽预留。根据我院对网络需求的实际情况, 采用了带宽保证模式。下面对带宽保证模式进行详细的说明:首先, 带宽保证模式也具有带宽预留模式的功能, 即对特定IP组、特定协议预留出足够的带宽。例如教学、办公IP组, 教务系统的ITSP协议等。在此基础上, 带宽保证在其预留的带宽不能满足应用要求的时候, 会从剩余的总带宽里借用所需带宽。例如每学期开学和学期末, 学生大量选课, 可以对选课系统的SSL等协议进行带宽保证设置。
(2) 建立策略组。
可以根据数据包的源地址、目的地址、应用协议等建立策略组。
3.3 系统测试与分析
根据校园网的实际使用情况, 并且结合城市热点 (Dr.com) 计费软件的策略组, 把我校的网络分为了教学、办公、学生宿舍三个大的部分。其中用城市热点对教学和办公的IP地址段做了硬性的限制, 在8:00~22:00屏蔽掉迅雷、BT等P2P软件, 并且限制了视频等流媒体的应用。学生宿舍部分在城市热点上是完全开放的, 并没有做限制。所以Panabit流量控制系统主要应用在此部分。根据实际的测试发现, 凌晨1点至18点网络流量很小, 故允许进行正常的上传、下载等网络活动, 对P2P、视频等没有进行限制。18点至凌晨1点为网络应用的高峰期。为了保证合理地利用带宽, 对P2P软件进行了限制。
通过加载空策略组和测试策略组, 运行系统24小时, 分别导出流量分布图。
其中图1为加载空策略组, 图2为加载测试策略组。通过图1、图2的对比可以看到, 在应用Panabit流量控制系统之前, 带宽利用分布并不合理, 2:00至18:00利用率很低, 18:00之后应用开始大量增加, 并且网络流量峰值已趋带宽最大值。在应用流量控制之后, 网络流量分布更趋合理, 提高了带宽的利用率, 并且网络流量峰值显著降低, 降低了网络拥堵的风险。浏览网页、查阅邮件、网上购物等应用得到保障, 初步完成了预设目标。
4 结语
为了提高网络带宽的利用率, 使高校校园网络的使用更趋合理, 网络流量分析及控制势在必行, 同时也是非常有效的手段。互联网飞速发展, 网络流量分析及控制也随之快速发展, 为高校的教学等工作提供了稳定的网络基础, 使教学信息管理系统和教学资源共享平台的搭建更为安全、高效。为高校的信息化教学做出了贡献。
参考文献
[1]刘剑锋.部署运维管理平台提高校园网运维水平[J].中国教育技术装备, 2011 (10) .
[2]韩宁.浅议高校校园网建设与管理[J].科技创业月刊, 2011 (8) .
[3]周向军.校园网流量识别与控制系统的建设[J].电脑知识与技术, 2009 (5) .
[4]牛军, 余萍萍, 李思恩.校园网流量控制初探[J].中国教育信息化, 2009 (2) .
校园网流量分析与控制 篇2
摘要:作者所在单位图书馆有一个容纳200台机器的电子阅览室,访问流量比较大,而且每台电脑都与网络中心一卡通服务器实时连接,如果不对电子阅览室的流量进行控制,就会影响整个办公网络的正常访问。最终通过在总出口处的核心路由器使用QoS来完成对电子阅览室的流量控制,实现了上述目的。本文通过问题的引入、QoS的概述和QoS的应用等几个方面阐述了在核心路由处设置合理的流量监管机制,分配合适的带宽,使网络资源得到了更有效的利用。
关键词:QoS 流量控制
1 概述
随着各项业务在互联网上的不断开展,人们对网络资源的利用率更高,同时要求也更高,不仅仅要求能够访问目标网络,还要求能够尽可能利用网络资源以满足不同的业务需求。
作者所在单位图书馆有一个容纳200台机器的电子阅览室,由于对外开放,每天使用的人数众多,流量比较大,而且每台电脑都与网络中心一卡通服务器实时连接。如果不对电子阅览室的网络流量进行控制,就会影响整个办公网络的正常访问,如果在汇聚层限制流量,就会影响与一卡通服务器的正常连接。本文通过在总出口处的核心路由器使用QoS来实现对电子阅览室的流量控制。
2 QoS概述
2.1 QoS简述
QoS(Quality of Service)也就是所谓的服务质量。对于网络业务来说,其服务质量通常情况下主要涉及:传输的带宽、传送的时延、数据的丢包率等。在网络中,为了提高服务质量,可以采用的措施包括:保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等。由于网络资源的有限性,在抢夺网络资源的过程中,就会对服务质量提出要求。对于网络业务来说,在确保某类业务的服务质量的前提下,可能对其它业务的服务质量造成损害。因此,根据各种业务的特点,网络管理者需要合理的规划和分配网络资源,进而高效利用网络资源。
2.2 QoS功能
①流分类
按照一定的匹配规则识别出对象。通常情况下,流分类作用在接口入方向,是有区别地实施服务的前提。
②流量监管
监管进入设备的特定流量的规格,作用在接口入方向。按照规定,当流量超出时,为了确保运营商的商业利益和网络资源不受损害,可以采取限制或惩罚性措施。
③流量整形
作为一种流控措施,可以对流的输出速率进行主动调整,是为了使流量与下游设备可供给的网络资源相适配,避免不必要的报文丢弃和拥塞,通常作用在接口出方向。
④拥塞管理
拥塞管理是必须采取的解决资源竞争的措施。
⑤拥塞避免
对于网络资源来说,过度的拥塞会造成损害,当发现拥塞有加剧的趋势时采取主动丢弃报文的策略,通过调整流量来解除网络的过载,通常作用在接口出方向。
3 应用QoS
由于电子阅览室使用的业务访问类型较单一,所以采用流量监管的方式对本地主机上行和下行流量进行双向的流量监管。
3.1 首先定义两个分别对应上行和下行流量的CAR列表
qos carl 1 destination-ip-address range 192.168.
101.1 to 192.168.101.254 per-address shared-bandwidth
qos carl 2 source-ip-address range range 192.
168.101.1 to 192.168.101.254 per-address
3.2 在接口上根据需要分配合适的上行和下行带宽
qos car inbound carl 1 cir 20000 cbs 1250000 ebs 0 green pass red discard
qos car inbound carl 2 cir 500 cbs 937500 ebs 0 green pass red discard
4 结束语
随着各种业务在互联网上的不断开展,人们对网络资源的利用率更高,同时要求也更高,不仅仅要求能够访问目标网络,还要求能够尽可能利用网络资源以满足不同的业务需求。因此,在网络设计中,需要根据各种业务的特点运用QoS来对网络资源进行合理的规划和分配,从而使网络资源得到高效利用。
参考文献:
[1]田小丽.MPLS网络的QoS技术研究及安全问题分析[D].北京邮电大学,2009(12).
[2]王浩,李知航,潘志文,尤肖虎,吴平.LTE网络中具备QoS保障的动态负载均衡算法[J].中国科学:信息科学,2012(06).
[3]刘志忠,王勇,贺毅辉,彭辉.服务组合中面向端到端用户QoS需求的QoS聚合机制研究[J].计算机科学,2013(S1).
作者简介:
宋大伟(1976-),男,山东潍坊人,研究生,副教授,主要研究方向:计算机应用与网络通信。
校园网流量识别与控制系统的建设 篇3
关键词:校园网,流量识别,流量管理
1 引言
今天的校园网,由于垃圾邮件、蠕虫病毒等原因,网络突然缓慢甚至瘫痪的事件屡有发生。以BT为代表的P2P下载软件流量占用了大量带宽,造成了网络带宽的巨大消耗,妨碍了校园网中正常网络业务的开展和教学中关键应用的普及。因此在校园网中进行流量监控和流量分析是整个网络管理的重要环节。
要将校园网中P2P、streaming、HTTP、FTP等不同业务区分出来,就必须建立IP流量识别与控制系统。IP流量识别与控制系统能够分辨具体用户、具体应用的数据流,从而可以对用户的应用部署QoS、安全及其它策略。IP流量识别与控制系统可以帮助实现对网络内部奥秘的透视性和对网络资源的控制。以决定对这些流量的控制策略。
2 流量识别
流量识别通过对业务流量从数据链路层到应用层的报文深度检查分析,依据协议类型、端口号、特征字符串和流量行为特征等参数,获取业务类型、业务状态、业务内容和用户行为等信息,并进行分类统计和存储。
2.1 流量识别工作过程
流量识别的基本目的是帮助网络管理者获得网络层之上的业务层流量信息,如业务类型、业务状态、业务分布、业务流量流向等。流量识别是一个相对复杂的过程,需要多个功能模块的协同工作,流量识别的工作过程如图1所示,简单描述如下:
识别处理模块采用多通道识别处理,通过对网络流量的源/目的IP地址和源/目的端口号的Hash算法,将网络流量均匀的分配到多个处理通道中。
多处理通道并行执行网络流量的深度报文检查,获取网络流量的特征信息,并与业务识别特征库中的特征进行比对。
将匹配结果送往识别处理模块,并标识特定网络流量。如果存在多个匹配结果,选取优先级较高的匹配结果进行标识。特定网络流量一经识别确定,该网络流量的后续连接将不再进行深度的报文检查,直接将其网络层和传输层信息与已知识别结果进行比对,提高执行效率。
识别处理模块将网络流量的业务识别结果存储到识别结果存储模块中,为网络流量的统计分析提供依据。
统计分析模块从识别结果存储模块中读取相关信息,并以曲线、饼图、柱状图或者文本的方式将识别结果信息显示,或以文件的形式输出。
在结果存储模块中保存的识别结果信息会输出到网络流量管理功能区,为实施网络流量管理提供依据。
2.2 流量认别的实现机理
DPI全称为“Deep Packet Inspection”,称为“深度包检测”。所谓“深度”是和普通的报文分析层次相比较而言的,“普通报文检测”仅分析IP包的4层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI除了对前面的层次分析外,还增加了应用层分析,识别各种应用及其内容。
普通报文检测是通过端口号来识别应用类型的。如检测到端口号为80时,则认为该应用代表着普通上网应用。而当前网络上的一些应用会采用隐藏或假冒端口号的方式躲避检测和监管,造成仿冒合法报文的数据流侵蚀着网络,例如P2P下载软件eMule大多采用动态协商端口机制。此时采用L2~L4层的传统检测方法已无能为力了。DPI技术就是通过对应用流中的数据报文内容进行探测,从而确定数据报文的真正应用。因为非法应用可以隐藏端口号,但目前较难以隐藏应用层的协议特征。DPI的识别技术可以分为以下几大类:
1)基于“特征字”的识别技术:不同的应用通常依赖于不同的协议,而不同的协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或者特定的bit序列。基于“特征字”的识别技术通过对业务流中特定数据报文中的“指纹”信息的检测以确定业务流承载的应用。根据具体检测方式的不同,基于“特征字”的识别技术又可以被分为固定位置特征字匹配、变动位置的特征匹配以及状态特征匹配三种技术。通过对“指纹”信息的升级,基于特征的识别技术可以很方便的进行功能扩展,实现对新协议的检测。
DPI的关键在于,它要不断地在格式不定的数据包中判断出各种特征字,实现这一过程的基础技术就是模式匹配(PatternMatching)。通俗地讲,就是字符串匹配,即从数据中搜索是否存在目标字符串。通常,目标字符串采用正则表达式(Regular Expression)标准语法来描述。
例如:Bittorrent协议的识别,通过反向工程的方法对其对等协议进行分析,所谓对等协议指的是peer与peer之间交换信息的协议。对等协议由一个握手开始,后面是循环的消息流,每个消息的前面,都有一个数字来表示消息的长度。在其握手过程中,首先是发送19,跟着是字符串“BitTorrent protocol”。那么“19BitTorrent Protocol”就是Bittorrent的“特征字”。
2)应用层网关识别技术:某些业务的控制流和业务流是分离的,业务流没有任何特征。这种情况下,我们就需要采用应用层网关识别技术。应用层网关需要先识别出控制流,并根据控制流的协议通过特定的应用层网关对其进行解析,从协议内容中识别出相应的业务流。对于每一个协议,需要有不同的应用层网关对其进行分析。如SIP、H323协议都属于这种类型。SIP/H323通过信令交互过程,协商得到其数据通道,一般是RTP格式封装的语音流。也就是说,纯粹检测RTP流并不能得出这条RTP流是通过哪种协议建立的。只有通过检测SIP/H323的协议交互,才能得到其完整的分析。
3)行为模式识别技术:行为模式识别技术基于对终端已经实施的行为的分析,判断出用户正在进行的动作或者即将实施的动作。行为模式识别技术通常用于无法根据协议判断的业务的识别。例如:SPAM(垃圾邮件)业务流和普通的Email业务流从Email的内容上看是完全一致的,只有通过对用户行为的统计和分析,才能够准确的识别出SPAM业务。
3 流量识别在网络流量管理中的应用
Cisco的Gadekar认为DPI的部署有三个阶段:第一阶段是“网络应用分析”,这个阶段运营商可以对网络有更深入的了解,这样DPI可以以旁路(passive)模式部署,而无需串接部署,部署在全局就可以。第二个阶段是全局流量优化和流量管理,通过提高互动性应用的优先级、降低“带宽杀手”的优先级。这个阶段,DPI部署在网络边缘,在汇聚设备后面,例如BRAS。第三个阶段,这将是每个运营商的最终目标,可以动态地订制某些业务。需要支持不同的计费模式、业务生成,DPI解决方案一般都会跟AAA服务器、策略服务器、计费系统紧密集成(见图3)。这是DPI+PS的阶段,用以实现按业务内容、按用户使用情况计费。
校园网流量管理的基本目标是了解网络、业务和用户资源的使用情况,找到性能瓶颈并进行精细化管理,对用户行为进行分析和控制,以及对信息安全防护。下面我们就从这几个方面着手,描述流量识别在网络流量管理中的应用。
3.1 流量统计分析和趋势判断
在校园网的网络设备中集成流量识别功能,或者单独部署具备流量识别功能的网络设备对网络流量进行统计分析和趋势判断。
通过流量识别,网络管理者能够知道当前网络中的业务流量的类型、带宽、时间和空间分布、流向等信息。如图4所示。
3.2 资源管理
将流量识别能力添加到网络流量管理中,能够帮助网络管理者对网络资源和业务资源进行带宽控制和资源调度。
具备流量识别能力的网络流量管理将具备P2P应用的管理能力,通过对P2P流量的抑制来提升传统数据业务的用户体验度。如图5所示。
流量识别还能够帮助网络流量管理实现业务资源的调度,流量识别能够获得业务资源使用、流量状态的实时情况。当某一业务服务器负载较大时,可以进行全局的业务资源负载均衡,平均的承担业务请求;同时也能够对用户的业务请求进行调度,决定是否继续响应用户新的业务请求,或者根据用户的优先级,优先响应高优先级用户的业务请求,提升业务运营效率。
3.3 精细化管理
在校园网接入层的网络设备中集成流量识别功能,或者单独部署具备流量识别功能的网络设备对网络流量识别并进行精细化管理。网络管理者可以将用户接入网络过程中的用户认证ID、获得的IP地址和特殊的接入属性等用户特征信息,与相关业务流量的类型、状态或者内容等业务流量特征信息的绑定,对不同用户的不同业务流量进行区分,实施精细化的管理。例如,为教师用户预留2Mbit/s的网络带宽,而为学生用户预留512Kbit/s的网络带宽;或者为同一用户的不同业务提供不同的QoS控制,为http业务提供较高的优先级,而为数据业务提供尽力而为的转发,在网络出现拥塞时,http业务优先转发。
此外,具备流量识别的网络流量管理还能够帮助校园网管理者改变业务运营模式,由用户被动地接受转变到用户主动的个性化定制。校园网管理者向用户提供业务个性化定制平台并接受用户的个性化业务定制,随后将这些个性化业务定制转换为基于用户的个性化流量管理措施,当用户进行业务使用时,校园网管理者将能够根据这些个性化措施对用户流量施以个性化的流量管理,用户也能够动态的调整和取消个性化的业务定制。
3.4 网络安全防护
在网络中的多个层面的网络设备中集成流量识别功能,或者单独部署具备流量识别功能的网络设备,和防火墙等网络安全设备协同构建一个主动的安全威胁防御体系,提升整个网络的安全防护能力。具备流量识别能力的网络流量管理具有主动的流量特征识别分析能力,能够主动的发现诸如DDoS攻击、病毒和木马等异常流量,较好的弥补其他网络安全设备[如防火墙、入侵防护系统(IPS)和统一威胁管理(UTM)等]的不足,提升其主动发现安全威胁的能力,并能够及时的向其他网络安全设备发出告警,从安全威胁源头开始就进行主动的防御。
此外,具备流量识别能力的网络流量管理还能够获取并保存网络流量的网络层信息(例如,源/目的IP地址、用户标识ID等信息),通过这些信息,网络管理者能够进行有效的安全威胁的溯源定位。
3.5 用户行为分析和控制
部署具备流量识别能力的网络设备后,网络管理者还能够获得用户级别的网络流量统计信息,通过后台分析系统的数据挖掘,能够获得包括用户业务流量类型、用户平均上网时间、用户主要在线时段、用户兴趣等在内的用户个性化特征信息。根据这些信息,校园网管理者能够及时和准确的调整校园网运营策略、校园网资源建设建设内容,或者发现新的服务内容。例如,收集多数用户感兴趣的资源,在校园网共享使用,建立校内共享发布交流平台等应用。此外,还能够根据这些信息,对随意性较强的用户行为进行必要的管理。例如,禁止在上课时间观看在线视频、参与网络游戏、利用即时通信工具进行与工作无关的聊天,以及禁止发布一些不文明的内容等。
参考文献
[1]王超,赵文杰.IP网络带宽管理技术及应用分析[J].电信技术,2007(5).
[5]汤昊,李之棠.基于DPI的P2P流量控制系统的设计与实现[J].信息安全与通信保密,2007(6).
[3]张棣兴.下一代网络业务流量识别与控制的研究[J].电信网技术,2006(11).
[4]田辉,马科,石友康.业务识别与控制技术及其测试评估[J].现代电信科技,2008(10).
[5]田辉,徐鹏.业务识别与控制技术及标准化进展[J].电信网技术,2007(3).
校园网络流量控制策略设计与研究 篇4
1、现状与需求分析
从苏州市职业大学实际出发进行研究,我校校园网分成两个部分:一是办公网,二是宿舍网。校园网络总出口为7根100M电信线路和1G教育网线路,校内联网客户端达到1W个点,同时在线量也会达到4000,上网人数较多,但教育网线路的流量较小,大部分应用都是走电信线路的,造成流量大及产生拥塞。从图1分析,在非高峰时校园网的大部分流量被P2P及视频应用所占据,而且出口流量很大,在达到高峰时刻,网络基本瘫痪。这都是一些非关键性应用流量占用了整个网络流量的大部分带宽所造成的。
根据我校校园网目前的网络环境,总结如下:
·网络应用业务无法进行有效控制和管理;
·网络带宽资源日趋紧张,带宽恶性占用现象严重;
·网络关键业务及应用的运营得不到有效保障;
·关键用户(如领导及重要部门)的上网得不到保障;
·无法对内部师生的上网行为进行有效管理;
·应用业务越来越多,流量也越来越大,在不断增加带宽资源的情况下,仍面临带宽不足的问题;
·有限的广域网资源得不到有效利用,无法最大程度地发挥其效益;
·面对越来越多的连通性投诉无法分析、解释和提供依据;
·网络安全方面存在一系列的隐患,诸如病毒爆发、资源滥用等,缺乏前瞻性防范。
2、设备部署
为了解决我校校园网络系统面临的问题和挑战,同时满足其应用优化和带宽管理建设方面的需求,我们针对性地引进了流量控制设备,其具体部署如图2所示。
在设备部署的方式上采用的是桥接模式,在不改变原有网络结构的前提下实施。保证了原有网络的稳定性,部署非常简便。
3、策略分析与设计
合理的制定策略以及合理的部署是实现最终目的的前提,因此如何根据校园网络实际应用情况进行制定自身的控制策略以及合时实施是非常重要的环节,也是最重要的环节。由于我校用户数较多,且办公网与宿舍网分开的特点,因此对2个网络制定适合自身的策略是非常必要的。
1)应用对象分组
将所有需要保障和抑制的应用进行合理分组,我校基本上以保证web应用为前提,在工作时间内抑制P2P等应用,故此分为以下几组,如图3
2)时间进度设计
保障工作时间内关键性应用的服务,在网络相对空闲时间段内,开放所有应用,分时间段来满足各类应用的需求(如双休日以及深夜与清晨时间段)。
3)策略设计与实现
学生宿舍网络的流控策略设计和实现,如图4。考虑到学习为主娱乐为辅的原则,在不影响正常学习业务需求的前提下,尽可能的将其他应用最大化。对P2P等应用实施每个IP带宽限制策略,以保证每个用户的公平原则。
办公网络的流控策略与学生宿舍网大致相同,增加对单个IP及特殊需求的应用的带宽保障。对领导以及重要业务需求的IP地址或网段增加带宽保障。
4、结论
通过流量控制设备的部署,网络管理员不仅能从宏观了解网络的整体运行状况,还能根据进行各种统计功能对用户、应用流量分类统计图表,以及详细的四层会话等信息,全面了解网络运行状况及带宽使用情况;策略实施后,保障了包括http-browse网页浏览、mail邮件、SQL数据库等核心业务,而对于p2p类下载、视频流量进行了有效的限速处理(如图5办公网实施效果),对网络中各用户的上网行为进行有效管理,提高内部教职工的工作效率、提高了网络的Internet链路的带宽使用效率、降低出口带宽的投资成本、降低网络管理部门的网络运维管理成本;并提供全网带宽分配和使用的分析报告,为学校网络规划和带宽扩容提供科学的依据。
通过流量控制策略的设计与实施,能够为我校师生带来如下益处:
核心业务系统所需的网络带宽得到保障;
对非工作网络流量可根据需要进行设限;
实时监看网络流量、掌握网络资源使用情况,丰富的历史报表,便于事后查询,全方位把握网络流量运行状况,应对突发事故优化带宽资源配置、降低网络费用,减少Swicth或Router、FireWall等网络设备的负载, 优化网络设备性能。
摘要:为了更好的解决网络拥堵问题, 本文结合校园网络实际状况, 对目前网络各种应用流量进行分析, 制定合理的流量控制策略, 抑制非关键性业务应用流量的同时保障关键性业务及特殊应用, 充分保障网络的通畅运行。
关键词:网络管理,流量控制,策略研究,P2P
参考文献
[1]郭长金.基于网络流量控制策略的研究与实现[J].微计算机信息, 2007 (30) :163-164
[2]梁根.基于角色流量管理和个性化带宽分配应用研究[J].计算机工程与设计, 2009 (4) :865-868
[3]林志兴.校园网络流量控制分析与实施[J].三明学院学报, 2009 (4) :411-415
校园网流量分析与控制 篇5
各高校对于网络建设的投入也越来越多,尤其是在接入的带宽上,许多高校从最开始的10m专线接入换成了100m光纤甚至1000m光纤接入的规模。同样的,双路接入、双网接入、多路接入、多网接入等接入方式也应运而生,校园网络的规模也在不断地扩大,高端的网络设备也开始逐步进入校园网络之中。这些改变带来的是校园网络的飞速发展。但是对于普通用户来说,他们上网的速率却没有出现质的提高,甚至有的用户还觉得网速越来越慢。导致这种情况出现的原因有很多,比如网络用户数量的激增、网络应用的增加、网络病毒的泛滥、P2P[1]的泛滥,等等。其中网络用户数量的增加和网络应用的增加对日益发展的校园网络并不会带来太大的影响;而网络病毒的泛滥通常只在某一段时间内对校园网络造成巨大的影响,在反病毒软件能够有效地查杀该种病毒之后,校园网络又将恢复正常;而真正对校园网络造成严重压力的是P2P的泛滥,P2P泛滥带来的影响是持久而深远的。
2. 流量分析
如图1所示,通过对作者工作的西安航空技术高等专科学校的网络出口处测速和进行流量分析,发现当前网络流量中主要的协议类型为TCP,占总流量的比例高达80%以上,其次是UDP为18%,其他协议类型流量约为2%。
然而图2中,我们发现在网络中使用80端口进行通信的流量是最高的,约为22%;其次比较突出的是如下几个端口16881、4662、8000、8080,等等,这几个端口都是P2P软件常用的端口;而其他的常用如TCP 443 NNSP、TCP 25 SMTP、TCP 10000等排名靠前的网络端口所占的流量是非常小的,还不到1.5%;然而剩余端口所占的网络流量却超过了TCP总流量的70%以上。这一情况正好与现今的P2P软件大多采用动态端口的特点相符,所以图1—2初步证明了大多数校园网络的流量是P2P流量。
图三则表明校园网络流量中的数据包主要是长度为1400字节以上的大包,其次是40字节、48字节的小包(主要用于TCP同步)[2],而其他长度的数据包流量分布十分分散。由于P2P下载过程中,每个参与者获取资源的来源都不是固定不变的,并且通常都是下载特别大的文件,所以在P2P下载过程中除了大包大量出现外,用于TCP同步的小包也频繁出现。由此可知,图3进一步证明了现今校园网络流量中P2P流量占了大多数。
建立校园网络的目的是为了利用网络为学校的教学工作、科研工作,以及师生的学习和生活提供便利,许多高校投入大量的资金和人力物力来建设校园网络,但是最后却发现实际使用的效果远达不到预期,其根本原因就是在于对网络流量尤其是P2P流量控制不力,使得大量宝贵的网络带宽被浪费。
3. P2P流量控制方案
针对此种情况,人们提出了多种方案来解决由于P2P应用所造成的问题。最简单的解决方法就是增加网络出口带宽。然而实际运营表明:增加带宽确实在短时间内能缓解网络的拥堵情况,但是当P2P应用“发现”网络中有更多的可用带宽,网络带宽将会再度被P2P应用占据。这样一来,用于增加带宽的费用将是个无底洞。因为这样做只是给那些P2P应用提供了更多可获取的带宽资源,并没有从本质上解决问题。
另外一种解决方法就是全面禁止P2P应用。全面禁止P2P应用会使拥塞的网络恢复正常状态,比如封禁其他所有端口,只开放常用端口。但目前P2P应用已经被广大网民所接受,并且许多常用软件,如杀毒软件、系统漏洞修复软件等都是采用P2P下载的方式自动更新,一旦全面禁止P2P应用,将会对普通校园网络用户带来各种不必要的麻烦,比如软件无法自动升级或者一些有用的网络服务被禁用。
此外,还有一种方案就是建立区域缓存服务器[3]来分流P2P下载的流量,这也是近年来研究的热点之一,有着较为广阔的发展前景。区域缓存服务器是通过分析网络中的各种P2P下载行为,将用户下载的文件下载到本地,当网络中其他用户试图下载同样文件的时候修改P2P连接,让用户从本地服务器下载而不是从其他外网P2P服务器或者用户那里获取资源,能够较好地减少网络出口带宽的压力,并且用户的P2P下载体验不会有明显的降低。而这种方法通常适合部署在用户基数非常大的网络环境中。
在校园网络中目前比较有效的一种P2P流量控制方案是采用防火墙[4]主动检测与校园网络用户认证系统相结合的方式来实现对P2P流量的识别和控制,能够达到较为理想的效果。
4. P2P流量控制策略
如图4所示,校园网络中数据流量分布的时效性很强,网络高峰阶段十分明显,时间也相当集中,绝大多数网络流量产生的时间都集中在8∶00—22∶00这一段时间,其中大部分的流量属于P2P流量,而这段时间正好属于工作时间,如果不对P2P流量作出限制的话,正常的网络流量必然会受到很大的影响甚至会使得工作无法正常开展;而到了22∶00—次日8∶00这段时间,网络流量则非常小,造成了带宽的浪费。
由此,我们可以将时间因素引入P2P流量控制策略之中,通过对不同的时间段的P2P流量采取不同的控制策略,来达到节省网络带宽,提高网络利用率的目的。
此外,我们还对校园网络用户进行过网络调查,在接受调查的150位用户中我们发现大约有70%以上的用户经常使用迅雷、QQ旋风等P2P软件下载自己感兴趣的东西,而在这些用户中大约有50%表示主要使用P2P软件来下载热门电影和最新的电视剧。当我们提到如果校内流媒体服务器能及时更新最新影视剧并提供在线观看和下载的时候,84%以上经常下载影视剧的用户表示欢迎并且声称自己不会再费时费力从网上寻找下载资源。
综上所述,我们可以根据校园网络的实际情况确定校园网络流量控制策略。
(1)工作时间段。
周一到周五,8∶00—22∶00定为P2P流量受限时段,并根据校园网络带宽状况和用户数量将P2P带宽限定在总带宽的30%,22∶00—次日8∶00不对P2P流量作限制。
(2)周末及节假日。
8∶00—22∶00定为P2P流量受限时段,将P2P带宽限定在总带宽的50%,22∶00—次日8∶00不对P2P流量作限制。
(3)建立黑名单惩罚机制。
在P2P流量受限时段,如果发现某一用户长时间产生大量的P2P流量或者在一段时间内总流量超过设定的阈值,则自动将其连接拆除并列入黑名单实施惩罚,比如在30分钟内该用户的网络速率不能超过100k/s,惩罚时间结束后恢复正常。其中黑名单临界阈值和惩罚措施可以由网络管理员根据实际情况制定。
(4)加快校内流媒体服务器的更新,保持对用户的吸引力,从而减少出口带宽的压力。
(5)在校内公共FTP服务器上提供大量常用软件和系统工具的下载,在进一步减少出口带宽压力的同时也可以有效地遏制校园网络用户因下载含有恶意代码的软件而造成的网络安全问题。
(6)流量计费措施。
配合校园网络身份认证系统,为家属区和学生区的每个用户设定每月的网络流量阈值,在阈值之内的流量完全免费,一旦用户的月总流量超过阈值则酌情收取额外费用。
(7)针对校园网络中各项服务和应用的实际情况,为各种网络流量制定相对应的服务质量(QOS)。
(8)针对校园网络不同的安全域或者子网分别制定对应的P2P流量控制策略,保证关键部门和关键业务的正常运行。
5. 结语
总的来说, P2P是解决网络中大容量文件传输问题的有效手段, 也代表了网络资源共享的一种发展趋势, 完全封杀P2P流量并非解决P2P流量控制问题的唯一手段, 应该具体情况具体分析, 在保证关键业务的前提下可以适当满足网络用户的需求。
摘要:随着高校校园网络的发展, 现在P2P流量控制已经成为各高校校园网络中亟待解决的问题。本文作者结合西安航空技术高等专科学校网络运维状况, 对P2P流量进行了分析, 并结合现有的技术手段, 提出了一套P2P流量控制策略。
关键词:校园网络,P2P,流量分析,控制策略
参考文献
[1]SenS.and Wang J.Analyzing Peer—To—Peer TIaMo Across Large Netwozks.IEEE/ACM Transactions On Networldng, 2004.
[2]David Erman, Dragos Ilie, Adrian Popecsu.Peer-to-peer traffic measurements.Technical report, Blekinge Institute of Tech-nology, 2004.
[3]郑笑飞.一种基于区域缓存的BitTorrent流量控制机制.现代电子技术, 2007, 4.
流量分析与控制系统的设计与实现 篇6
随着宽带接入技术的发展, 宽带用户的数量及带宽均呈现很快的增长。如此庞大的用户需求强烈刺激各类信息业务的发展, 对IP网络的结构和容量都提出很高要求。
宽带服务的日益普及, 使得各互联网业务种类也不断推陈出新, MPLS/VPN、宽带流媒体、IPTV、3G、4G等技术和业务的实现都需要有一个良好的网络环境作为基础。与业务持续丰富增长相反的是, 运营商的建网成本逐步降低, 新兴的运营商可以很容易加入到市场中。同时, 运营商之间的业务互相渗透, 使竞争更加剧烈。
为了传输丰富大容量数据内容, 保证业务质量和用户的体验感, 网络服务供应商需要一个更快速、更智能化的网络———这个网络有很强的应用性, 能对带宽的使用状况一目了然, 并对使用状况进行控制, 从而确保网络的服务质量。对于企业、政府部门和教育部门这些宽带接入与IP网络服务的使用者而言, 这样的网络控制也同样适用。
在这样的背景下, 如何设计部署流量分析与控制系统成为当前热门的研究课题之一。
2 系统设计与实现
2.1 问题提出
网络的不断发展和开放, 带来的不仅是带宽利用的威胁, 随着高强度加密技术、黑客技术的普及, 给最终用户、网络带来多方位的安全威胁。目前网络中存在问题主要体现在几个方面。
(1) 电信业务部署越来越灵活, 而监管不到位 , 网络建立起来后, 运营商对于网络上的应用失去了掌握能力。
(2) 无监管的Vo IP业务、无限制的P2P及不受控的宽带私接, 造成基本电信业务收入、带宽利用等威胁, 同时随着高强度加密技术、P2P技术和IM技术的结合, 给电信网络带来更多的管理技术难度和成本。
(3) 僵尸网络的逐渐规模化 , 引发越来越多的网络扫描、攻击 (DDOS) , 制造越来越多的垃圾邮件。
(4) 垃圾邮件占用网络带宽 , 造成邮件服务器阻塞 , 降低网络运行效率, 垃圾邮件传播非法内容以及病毒和蠕虫, 扰乱社会秩序和危害网络安全。
(5) 网络上恶意、不健康的有害站点不断增加 , 社会问题日益突出, 网络环境需要绿化。
2.2 功能需求
解决上述问题的基础就是对网络内的流量进行深度分析, 这也是对IP网业务流量进行检测和控制的技术前提。
目前, IP网流量分析与控制系统的功能需求主要有几个方面。
(1) 网络及用户可视化 :流量流向分析、用户行为分析。
(2) 业务控制 :虚拟运营Vo IP监控、共享接入监控和P2P监控。
(3) 安全需求 :DDo S防御、Bot Net/Worm检测、Spam检测、URL过滤。
(4) 增值需求 :P2P、广告推送、缓存、安全等业务的增值服务。
2.3 系统架构设计
系统通过分光器及光纤放大器设备对链路进行分光, 将10G POS链路的流量复制一份到SIG前台系统。2台SIG9280E实现数据的采集和处理 , 将分析后的数据上报到后台管理服务器群, 同时按照管理中心下发的策略对共享接入、Vo IP、P2P等行为控制以及执行Web页面推送等动作。具体系统架构图如图1所示。
当SIG监控中心发现DDo S攻击上报管理中心, 管理中心触发清洗指令时, 自动发布BGP路由将去往被攻击的目的主机IP的所有流量牵引到清洗设备, 通过多种检测防御技术将攻击流量过滤, 把用户的正常业务流量在回注到现网中。所有SIG共享后台服务器群, IP可达即可, 对采集的数据进行分析和统计, 并实现管理等功能。
2.4 实现功能
2.4.1 流量监控功能
(1) 分析各种应用带宽使用 :通过实时、长期监控图表 , 发现各种 应用使用 带宽的规 律和异常 应用流量 (Ping、病毒或DDos攻击) 。
(2) 分析网内、网外IP用户的带宽使用 : 监控每个网内外IP用户、IP网段的带宽使用规律、入网和出网流量情况。
(3) 关键应用的Qo S控制 :通过可靠的Qo S控制 , 对关键业务进行保障, 对非关键性应用进行限制。根据监控的规律, 基于时间动态的配置策略, 保证在不同时段的基于源地址、目的地址、应用、时间等进行控制。
(4) 网络安全监控 :发现异常流量和连接数并进行控制, 使异常流量对正常网络应用的影响降到最低, 找出网络安全威胁的具体session、源地址、目的地址、端口号等。
2.4.2 流量统计分析
针对各类管控策略分别统计实际流量、通过流量、丢弃流量, 按照多元组灵活进行策略定义, 根据灵活定义的汇聚条件进行即时的组分和流量分析;对GPRS网络中设备 (SGSN、GGSN) 、区域 (地市区县) 、位置 (LAC和小区) 的流量和业务统计分析, 发现业务热点区域和拥塞小区;分析2G/3G手机、上网卡和终端不同用户群体的上网流量、质量和业务喜好;按不同时间段, 对负载分担链路、大小类业务组分、区域流量组分进行对比和趋势分析。
采用DPI检测技术, 通过七层特征检测结合行为特征检测技术保证流量识别的准确性。主要涉及到的检测方式包括:端口检测、应用层特征分析、高速协议解析、关联识别和基于行为特征的检测。
2.4.3 流量清洗
(1) 对于去往被保护的目标系统或区域的数据流量, 采用不同的防御机制准确识别和拦截已知或未知的DDo S攻击, 同时高速转发合法的数据 , 而不影响关键业务的运转。
(2) 流量建模 :某些DDo S攻击发生时往往会造成网络流量突增, 流量曲线远远偏离正常业务流量行为趋势。通过统计学的方法建立网络流量模型, 作为分析网络监控状况的基线。在网络流量变化的过程中, 智能化的动态调整流量模型, 以适应正常业务增长造成的网络流量变化规律。
(3) 反欺骗 :对数据包源地址和端口的正确性进行验证, 同时在统计和分析的基础上对流量提供针对性的反向探测。
(4) 协议栈行为模式 :根据协议包类型判断其是否符合RFC规定, 若发现异常, 则立即启动统计分析机制;针对不同的协议, 采用专有的协议栈行为模式分析算法, 决定是否对数据包进行过滤、限制或放行。
(5) 用户行为模式 : 根据某些特殊 协议类型 , 如DNS、HTTP等启用用户行为分析模式算法机制 , 进一步对不同协议类型的DDo S攻击进行防护。用户行为分析主要对用户的行为进行不同粒度的分析, 同时针对网站访问流量进行统计排名以及进行内容分析, 通过分析统计用户不同协议的流量等技术挖掘用户潜在的兴趣爱好。SIG提供用户行为分析功能, 通过分析网络流量, 统计网络热点, 发掘业务增长空间。通过分析用户行为, 统计用户兴趣, 为个性化运营提供依据。
(6) 带宽控制 :对经过系统净化的流量进行整形输出, 减轻对下游网络系统的压力。
3 结束语
流量分析与控制系统通过深入分析网络中的业务流量, 并对业务流量统计数据进行深入挖掘, 可以为业务区分和业务质量控制提供支撑, 为网络优化改造提供重要的参考依据, 并且可以指导新型增值业务的开展, 是运营商网络向智能管道演进的重要手段之一。
摘要:随着宽带接入业务的迅速发展, 宽带用户的数量及带宽都有很快的增长, 运营商迫切需要对网络进行精细化管理。流量分析与控制系统通过对业务流的分析识别, 感知网络中的各种业务及用户行为习惯, 进而对P2P等业务流量进行管理, 使运营商保持在价值链中的主导地位, 避免被管道化。本文通过对运营商现网问题分析, 结合流控关键技术, 提出了流量分析与控制系统平台的设计与实现方案, 为流控类工程的设计部署提供了借鉴和参考。
关键词:流量分析,DDOS,DPI
参考文献
[1]杨合林.流量分析和控制技术的研究与系统建设.科技传播, 2012年第21期.
校园网流量分析与控制 篇7
随着网络技术在教育行业的迅猛发展和网络应用的广泛普及, 高校的校园网建设规模在短短几年内达到了与西方发达国家相媲美的水平, 各种新的网络应用也层出不穷, 如:网络多媒体教学、VOIP电话、电视/电话视频会议, 视频监控数据等, 也得到了快速的发展。学生使用网络的热情也空前高涨, 个人计算机的普及率在高校中逐年递增。网络规模的急剧膨胀, 网络用户的快速增长, 关键性应用的普及和深入, 使得校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络, 校园网在学校的信息化建设中已经在扮演了至关重要的角色。
同时我们也看到, 校园网络作为数字化信息的最重要传输载体, 当前存在着以下急待解决的问题:
1、大量的P2P等非关键应用, 无情的吞噬着校园网络有限的带宽资源。
大学生们的思维活跃, 敢于尝试新鲜事物, 这本是好事, 但同时也给各个学校的网络管理人员带来了巨大的不便。到目前为止, 校园网几乎可以说是P2P应用最多的场所之一, 其应用P2P种类之繁杂, P2P应用更新速度之迅猛, 使得每个网络管理人员头痛不已。这些大量的P2P严重地侵占着校园的网络资源, 如图一所示:
正如上图所示, 在没有对校园P2P流量进行策略管理的时间段内 (19:59-20:21) , P2P等非关键应用的流量达到近800M, 而整个网络的带宽是1G, 可以看出这些非关键性应用, 对网络资源的肆意占用已到了相当严重的地步。更为严重的是, 在很多时候, P2P流量几乎占用了该校园网全部的出口带宽, 造成许多学生和教师无法上网, 严重的影响了教职员工、学生的正常工作和学习。
还有一些诸如网络游戏、MP3下载、即时聊天等应用, 也同样不断的侵占着有限的网络资源。
2、关键性应用得不到保障, 投资没有得到合理的回报
由于上述大量P2P以及其它非关键性应用的存在, 导致校园内正常的网络应用:对实时性要求较高的各种语音视频应用 (多媒体教学, 电视/电话会议等) 、及学生/家属区个人上网, 校园办公OA等等得不到正常的开展。时延、抖动、马赛克甚至应用中断现象会时有发生。如果没有带宽管理设备分配给这些应用所需要的网络带宽, 对这些关键性应用的正常访问, 将得不到根本的保证。这样校园网建设所投入的资金就会得不到很好回报, 网络资源被严重的浪费掉, 也给学校的预算带来了沉重的负担。
3、存在大量的网络不安全因素, 如网络非法攻击、登陆不良网站等
校园网经常受到网络黑客的侵害, 导致网络不能够正常的运行。很多大学网络中心做过统计显示, 校园网内主要应用服务器平均一个星期会经受到数千次甚至上万次的非法访问尝试;另外, 如何避免学生登陆不良网站, 防范网络非法攻击 (如DDOS, 蠕虫) 等等, 这些都是各个高校不可回避的紧迫问题。
4、没有提供多样的增值服务, 计费方式存在严重的不足
随着校园网络的迅猛发展和不断的完善, 一方面, 越来越多的学生和教师对网络应用的需求呈现多样化趋势, 不同级别的教职员工、研究生和本科生等等, 他们对于网络的需求是不同的;而另一方面, 网络内容供应商和运营商所提供的各种服务也层出不穷。显然单一的计费模式, 如包月制, 已经难以满足现今的实际需要, 也势必将被更为的合理的计费模式所取代, 按使用量、内容、用户计费等等。比如使用BT按照一个价格计费、使用HTTP按照另外一种价格计费、使用网络电视按照其它一种价格计费等。
二、BT协议分析
BT是混合式、非结构化、多点多远传输数据的文件共享P2P网络。
BitTorrent是一种分发文件的协议。它通过URL来识别内容, 并且可以无缝的和web进行交互。它是基于HTTP协议, 其优势是:如果有多个下载者并发的下载同一个文件, 那么, 每个下载者也同时为其它下载者上传文件, 这样文件源可以支持大量的用户进行下载, 而只带来适当的负载增长。因为大量的负载被均衡到整个系统中, 所以提供源文件的机器的负载只有少量增长。
BT也是目前国内最流行的运行于P2P上的软件, 也是校园网络中流量问题的最大来源。
三、基于访问控制列表下的BT流量控制
基本思想:BT是一种P2P的应用。客户端本身就是一个服务器, 可以采取一定的措施, 限制学生网以外的用户对学生网内的BT用户发起主动连接, 从而限制出流量, 进而达到限制双向BT流量的目的。校园网内的用户可以对网外的用户发起主动连接, 感觉不到受限制, 网内的客户端不能提供网外用户的被动连接。这种限制可以在路由器上采用访问控制列表实现, 如下所示://访问控制列表
以上控制列表的含义:检查TCP包中SYN位, 只允许Net A中的主机发起到Net A中主机的TCP主动连接, 不允许Net B中的主机发起到Net A主机的主动连接。图二和图三为测试结果。图二为启用访问控制前一天的实时流量图, 可以看出端口的出流量和入流量基本相同, 接近1Bbps。图三为启用访问控制后一天的实时流量图, 这时端口的入出流量有近200左右的差距, 最高入流量下降为800左右, 限制效果明显。
四、总结与展望
P2p不是某一种可有可无的技术, 而是网络技术必然的发展方向。互联网将向什么方向发展?一方面, 网络的带宽将更宽, 网络的地址将更多, 网络上的资源将更多。就像从普通公路发展到高速公路一样, 更多的地址意味着允许更多的车上路, 更多的资源就像在路边修建更多的服务设施--这就是宽带互联网 (称作下一代因特网) 正在做的事情;另一方面, 网络上的资源多了, 跑的车多了之后, 最重要的问题就是如何管理好它们, 让它们形成一个有机的整体, 发挥出最大化的效益--这就是p2p所要做的事情。这两件事情是互相依存促进的, 缺一不可。
对于BT而言, 在技术实现上没有像人工智能技术那样的硬瓶颈, 因而最关键的问题是:它究竟是不是未来发展方向?通过前面的分析, 我们已经知道, 把互联网管理好, 形成一个有机整体是必然的趋势, 因而BT必然是我们的未来。既然方向问题解决了, 它在技术上又是可行的, 因此根本就不用担心它的成熟和普及问题。它完全可能会"忽如一夜春风来, 千树万树梨花开"。第一台个人计算机是20世纪70年代末期问世的, 而我们现在的互联网, 也不过20世纪90年代初期才问世, 看看它们现在都已经普及到了何种程度?让我们展望一下未来!
参考文献
[1].林闯, 计算机系统与网络性能评价[M].北京.清华大学出版社.20011
[2].李克东、谢幼如, 《信息技术与学科教学整合》万方数据电子出版社.2001
[3].B.Y.Zhao, L.Huang, J.Stribling, S.C.Rhea, A.D.Joseph, and J.D.Kubiatowicz, "Tapestry:A resilient global-scale overlay for service deploy-ment, "IEEE Journal on Selected Areas in Communications, vol.22, no.1, pp.41-53, January 2004.
[4].B.Karp, S.Ratnasamy, S.Rhea, and S.Shenker, "Spurring adoptionof dhts with openhash, a public dht service, "in Proceedings of the 3rd In-ternational Workshop on Peer-to-Peer Systems (IPTPS 2004) , Berkeley, California, USA, February 26-27 2004.
[5].P.Maymounkov and D.Mazi`res, "Kademlia:A peer-to-peer informa-e tion system based on the xor metric, "in Processings of the IPTPS, Cambridge, MA, USA, February 2002, pp.53-65.
[6].D.Malkhi, M.Naor, and D.Ratajczak, "Viceroy:a scalable and dynamicemulation of the butter?y, "in Processings of the ACM PODC'02, Mon-terey, CA, USA, July 2002, pp.183-192.
[7].P.Francis, "Yoid:Extending the internet multicast architecture, "unpub-lished, April 2000..
[8].罗杰文, 《P2P综述》, 中科院计算技术研究所.200511
浅析现金流量表的分析与控制 篇8
关键词:现金流量,结构分析,控制
一、现金流量表的内容分析
(一) 现金流量的结构分析
企业当期取得的现金来自哪些方面,用往哪些方面,其现金余额是如何构成的,这就是现金流量的结构分析。现金流量的结构分析,可以使报表使用者进一步了解企业的财务状况且形成过程,变动过程及其变动原因。
(二) 现金流量的趋势分析
企业的现金收入、现金支出及其余额发生了怎样的变动,其变动趋势如何,这种趋势对企业是有利还是不利的,这就是现金流量的趋势分析,现金流量的趋势分析可以帮助报表使用者了解企业财务状况的变动趋势,了解企业财务状况变动的原因,在此基础上预测企业未来的财务状况,从而为决策提供依据。
(三) 偿债能力分析
企业在生产经营过程中,为了弥补自有资金的不足,经常通过举债来筹集部分生产经营资金,但是举债务的本息,会使企业的生产经营陷入困境,以至危及企业的生存,因此,对于企业经营者来说,通过现金流量表分析,测定企业的偿债能力,有利于其做出正确的筹资决策和投资决策,而对债权人来说,偿债能力的强弱是他们做出贷款决策的基本和决定性的依据。
(四) 支付能力的分析
支付能力是指企业除了用现金偿还债务外,用现金来支付其他各项开支,如购买原材料、包装物、低值易耗品和商品等货物的支出,支付职工工资,支付税金,支付各项经营费用等的支出,支付对内投资和对外投资的支出,支付投资者股利 (利润) 的支出等等的能力。企业如果没有足够的现金来支付这些款项,那么企业就无法成长发展,投资者就无法取得投资回报,所以,无论是企业的投资者还是经营者,都非常关心企业的支付能力,都需要通过分析现金流量表了解企业的支付能力。
二、现金流量的分析方法
(一) 现金流量的结构分析法
1. 现金收入构成。
现金收入是反映企业的各项业务活动,如经营活动的现金收入,投资活动的现金收入,筹资活动的现金收入等。在全部现金收入中的比重以及各项业务活动现金收入中具体项目的构成情况,明确企业的现金究竟来自何方,要增加现金收入主要依靠什么等等。
2. 现金支出结构。
是指企业的各项现金支出占企业当期全部现金支出的百分比,它具体地反映企业的现金用在哪些方面。
3. 现金余额结构。
是指企业的各项业务,包括经营活动,投资活动,筹资活动等其现金收支净额占全部现金余额的百分比,它反映企业的现金余额是如何形成的。
如果将不同时期的现金流量放在一起进行比较,就可以了解到企业现金流量结构的变化及未来的发展趋势。
(二) 偿债能力的分析法
运用现金流量表分析企业的偿债能力,可以分析企业的现金比率,现金比率是指企业的现金与企业的流动负债总额的比例,计算公式如下:
现金比率=现金余额/流动负债总额
其中,现金余额是指会计期未企业拥有的现金数额,它可以通过现金流量表中“现金及共等价物的期未余额”项目查到。流动负债总额是指会计期未企业拥有的各项流动负债的总额,它可以通过资产负债表中“流动负债合计”项目的期未数查到。
现金比率是衡量企业偿债能力,特别是短期偿债能力的一个重要指标,计算现金比率对于分析企业的短期偿债能力具有十分重要的意义。
三、现金预算控制
企业通过现金预算的编制能全面反映和揭示企业现金流入,现金流出,现金多余或现金不足等内容,并对现金不足部分制定筹措方案和对多余部分制定利用方案,现金预算是在其他一系列预算编制的基础上,对其他预算中有关现金收支部分进行汇总,并对现金收支差额部分制定平衡计划。因此,公司应当建立现金预算编制制度,使公司每一现金收支的发生部门或单位的有关现金收支活动都能事先地被揭示出来,通过逐级的汇总上报,最后由公司财务部门编制整个公司的现金预算,该预算经公司有关部门批准后,作为对整个公司现金流量进行控制的依据。
(一) 现金流入的不相容职务的分离
现金流入的不相容职务的分离包括:授权办理结算的人员与进行结算工作的人员相分离,编制结算书的人员与办理价款收入的人员相分离,办理价款收入的人员与进行会计处理的人员相分离,进行现金审核的人员与上述各岗位的人员进行分离。
(二) 现金流入的文件记录
公司应当以文件或制度的形式明确公司的各岗位在办理现金流入的各环节的职责,权限等内容,同时对流动于各环节并最终成为会计记录的原始凭证的有关单据和资料进行事先的统一编号,办理人员在相关的文件和资料上签字盖章,最后这些资料均以会计资料的形式保存下来。有关现金流的信息经过会计的复式记账方法及有关会计账户进行分类反映,最终列示于公司的财务报告。
(三) 现金流入的独立检查
对公司现金流入的全过程必须由独立于现金流入各事项办理部门以外的单位或部门进行监督检查,保证现金流入的真实和合法,避免现金流入过程的黑洞。
四、资金的集中控制和现金资金控制
公司可以通过设立内部银行或内部资金结算中心的方式,加强资金集中管理,一方面,有利于集中公司内部的资金优势,有利于公司内部各单位之间的资金调剂。另一方面,由于公司的所有重大收入和支出均集中于公司内部的资金优势,有利于公司内部各单位之间的资金调剂。由于公司的所有重大收入和支出均集中于公司的内部银行或资金结算中心,有利于对资金实行统一的监管。公司在加强对各单位进行监管的同时,引进市场机制并借鉴银行功能对各内部单位的资金调动和调剂进行有偿服务等方式,可调动各单位节约资金的积极性。
对现金资产的控制主要有以下几点:一是接触性控制。只有经过授权的出纳员才有资格接触和管理现金资产。二是相关的分离。管理库存现金的出纳员不得同时负责有关收入、费用和往来的登记工作,负责银行存款管理的人员也不得负责登记收入,费用和往来账,负责支票和汇票保管填写的人员不得同时负责有关印章的保管和支票,汇票的签发,并不得兼管稽核,会计档案保管等工作。
五、现金流出的控制
(一) 现金流出的授权审批
公司的现金流量包括对购买物资的支出,人工费支出,公司购设备支出,日常支出等。对于每一项现金流出,公司应当履行必要的审核批准手续,在公司的层级结构中,应当明确每一层级的管理者或员工在现金支出中的权限和责任。对于重大的采购项目,对外投资等重大支出项目,应当经过公司领导层集体决策,必要时还需报请公司上级部门批准。
(二) 现金流出的不相容职务的分离
现金支出的不相容职务主要有:对现金支出事项的批准职务与现金支出的执行职务分离,执行事务的职务与审核现金支出的职务相分离,执行现金支出事务的职务与对该支出进行监督的职务与以上各事项的执行职务相分离等。
(三) 现金流出的文件记录
对现金流出的全过程进行必要的记录和反映,主要通过会计系统来进行,对现金流出过程所使用的有关单据,以付款所用支标,汇票必须进行编号,对有关付款的合同必须为公司业主已签订具已生效的合同,对付款的有关发票等从外部取得的有关原始交易,必须在审核其合法性的基础上作为付款的原始凭证,所有这些单据,支票存根,汇票回单,有关合同,发票等原始凭证都成为有关会计处理的依据,构成会计档案的一部分加以保存。
(四) 现金流出的独立检查
事实上,公司的传统审计业务的主要工作即为对各项现金支出进行审核,审查,以防止经济上的不合法行为的发生。对现金支出进行独立的监督检查是有效防止腐败和舞弊行为的方式之一。
六、现金流入的授权审批
公司的现金流入主要是生产经营结算收入。公司应当明确办理结算的不同岗位和不同部门在该业务中的职责权限,保证每一位员工的行为均得到恰当的授权。同时,对必要时需要进行的对外筹集资金应当明确规定必须由公司总部统一进行或在公司总部的授权下进行。
(一) 职工素质控制
对担任库存现金和银行存款等现金性资产管理的人员,应当由作风过硬,诚恳踏实的员工担任。同时,公司应当制定员工培训计划,以不断提高员工素质。
(二) 定期盘点
对现金资产进行控制的另一有效方式是由独立的第三人对企业的现金资产进行定期和不定期的盘点,将盘点结果与公司的账面数相比较,以确定是否相符。
七、结束语
【校园网流量分析与控制】推荐阅读:
调查与分析校园道德09-11
校园植物调查与分析07-02
校园暴力的分析与预防论文08-28
校园“中水”回用分析与工艺设计09-30
校园网数据安全分析06-19
校园网网络安全分析05-16
校园景观与校园文化07-02
校园文化与校园文明07-10
2016校园网贷的分析总结08-28
校园网设计与建设08-20