利用流控设备管理和优化校园网流量

申继年 邢雪梅

中国药科大学现代教育技术中心 江苏 210009

0 前言

随着教育行业信息化的不断深入和发展，中国药科大学的网络规模的急剧膨胀、网络用户的快速增长，加之P2P以及网络视频类应用的不断增长，校园网出口流量越来越大，严重影响了正常的网上办公和教学科研工作。特别是由于P2P下载及网络流媒体技术，能够迅速抢占大量带宽，导致校园用户的正常应用无法保障。

目前我校网络总带宽达210M。网络总出口通过防火墙分别接入CERNET、网通和电信的骨干网。其中CERNET10Mbps，网通 100Mbps，电信 100Mbps，目前校园网出口进入流量为139.89M、外出流量96.42M、在线IP数1070、在线session数 62710。在对出口流量不加任何控制的情况下，出口流量分布情况如图1所示。

图1 未加控制时出口流量分布

由图1可知，迅雷在带宽的占有率相当高，超过80%的带宽都被迅雷和其它P2P应用所占用，而重要的应用http-browser却只占用了11%的带宽。将近80%的宝贵带宽被P2P下载和流媒体占用，这些非正常应用引起出口拥塞和延迟的增大，已经严重影响到正常的网络教学与办公。

1 流量控制系统

为了解决以上问题，中国药科大学在校园网中部署流控设备，对校园网出口流量进行优化和管理，能够有效的检测和防止非关键应用对网络带宽资源的大量消耗，保证关键应用的带宽使用，改善和保障了整体网络应用的服务质量。

1.1 流控设备介绍

流控设备是专门的应用层级流量管理控制设备，基于连接过程和协议特征识别，通过采用专门的探测引擎，经过一套完整的识别流程，能够准确识别应用，精确定位具体的软件客户端，实现应用的可视化管理。流量控制系统能帮助管理者实时了解网络应用层流量状态及应用概况，进行流量管理，提高网络运行效率。

1.2 流控设备的主要功能

（1）带宽管理

流控设备能够实现基于IP、协议和应用的带宽控制，包括带宽保证、带宽限制、带宽预留等多种控制方式。在应用层识别流量，识别动态端口、伪装端口的应用，比如：Web 浏览(HTTP、HTTPS)、电子邮件(POP3、SMTP)、P2P下载(BT、电驴、迅雷)、即时通讯(MSN、QQ)、视频(H.323、RTCP、RTP)等，帮助网管员清楚地了解网络现状。

（2）策略控制

流控设备能够实现基于源/目标 IP、IP 组、协议或应用(组)、时间段、会话数、IP 限速等组合进行带宽控制。可以制定带宽或优先级策略来保障网内重要应用，同时限制不重要的应用；可以制定时间策略，按时启用某种策略，满足校园灵活管理需求。

（3）流量监控

流控设备能够准确地统计某个IP、某个协议、某个时段详细的流量信息，使网管员根据统计的数据，制定合理的流量控制策略，从而使策略更适合本地网络的情况。还可以列出某一时间内单个节点计算机的网络带宽利用率、显示出特定的网络应用协议中占用大量带宽的主机、通信的源目的主机IP及端口号等详细信息；也可以通过分析网络流量来确定网络上存在的各种问题，通过了解这些信息，网管员可以对通信故障做出及时的响应，对网络进行相应的优化调整，以保证网络运行的效率和安全。

2 流控的部署和应用

2.1 流控设备的部署方式

我校流控设备的部署方式如图2所示。流控设备以透明网桥的形式部署在防火墙与核心路由器之间，实现对全网流量进行分析，对异常流量进行检测，对网络应用进行监控，根据业务应用控制不同的带宽。

图2 流控设备部署网络结构图

通过流控设备可以监控上行和下行的实时流量，准确地了解某个IP、某个协议、某个时段的详细流量信息。掌握网络的运行状况，实现对校园全网流量进行分析，对异常流量进行检测，并根据业务应用控制不同带宽。

2.2 流控设备的配置策略

2.2.1 带宽管理

（1）对外服务保障：学校的对外服务，如学校以及各院部网站、邮件服务、数字化校园门户平台、精品课程网站等服务器应确保其在任何情况下，网络访问的畅通。因此应设置一定的保障带宽。

（2）常用服务保障：P2P下载及网络视频占用了大量带宽，严重影响了内网用户对网页、邮件等常用服务的访问。因此应在保障内网用户对常用服务(如http、email、DNS等)和即时通信服务(如 QQ、MSN、阿里旺旺等)正常访问的前提下，再考虑其它应用的使用。

（3）重点部门保障：重点保障部门如，重点实验室、学生机房等网络需求高或网络用户密集的部门给予重点的网络带宽保障，以满足其网络需求。

（4）P2P下载限制：P2P流量的泛滥占用了大部分带宽，需要对其进行限制，在保证其下载的情况下，限制其上、下行速度。

（5）网络视频限制：网络视频包括流媒体视频、网络电视、FLV视频等，应限制在一定的范围内。

我校带宽控制策略配置如表1所示。

表1 带宽控制策略配置展示

2.2.2 IP限速

为防止单个用户抢占带宽现象，需要对单 IP 的流量进行限制。但我校存在内部IP的现象，如机房、宿舍等，因此需要根据使用情况对IP用户进行分组，如将其分为办公组、学生组、机房组、宿舍组等，然后再对每个组的单 IP 流量作适当的限制。

2.2.3 连接数限制

连接数限制是对单个IP限制其连接数，同时应考虑机房单个IP所包括的网点较多，应适当放宽连接数，否则可能影响学生机房网络的正常运行。

2.2.4 分时段管理

为了有效的利用网络带宽，考虑到晚上22:30到第二天7:30之间，出口空闲，可在此时间段开放P2P下载以及流媒体的限制。实现工作时间将有限的带宽主要分配给办公、教研等用户使用，保证日常教学工作的开展；非工作时间将带宽主要分配给学生，满足学生对带宽的巨大需求。

3 应用优化与带宽管理效果

3.1 部署流控设备后的效果

流控设备部署后，我们可以清楚的发现，针对性的策略配置缓解了P2P占用大量带宽的问题，并且对关键应用http流量进行了有效的保障，从而保证校内网络的快速稳定的运行。目前我校出口流量分布如图3所示。

图3 应用流控设备后，出口流量分布图

3.2 带宽控制策略配置效果分析

应用策略控制前后，通过对出口带宽流量分布的比较，可以非常清晰的看到，流控设备对P2P、网络视频等非关键应用流量的控制非常有效，解决了我校在网络高峰期出现网络拥塞的问题，同时也保障了关键应用的高速稳定运行。

通过对Web应用组的流量分析可以看出，在未应用策略控制前大部分的带宽和流量都被迅雷、P2P等非关键应用所占用，应用了对 Web应用的带宽保障之后，关键应用 Web得到了保障，校内的 Web访问速度增加，减少了因为 Web访问慢而造成的投诉性问题。

通过对迅雷采用多种元素组合的限制方式，对迅雷的限制效果非常明显。从未应用策略配置前占用49%的带宽，基于对迅雷增加 PerIP上传带宽的限制策略后迅雷占用带宽降至14%，迅雷、网络视频、网页浏览策略前后的对比情况如表2所示。

表2 迅雷、网络视频、网页浏览策略前后的对比情况

策略实施后，保障了关键应用所需的网络带宽以及常见应用服务，而对于P2P类下载、视频流量进行了有效的限速处理，对我校网络中各单位内部用户的上网行为进行有效管理，提高了校园网的效率，并可以获得全网带宽分配和使用的分析数据，为网络规划和带宽扩容提供科学的依据。

4 总结

综上所述，通过流控设备的部署，我校校园网出口流量得到了有效的管理和控制，满足了正常的办公和教学需求，网络出口带宽拥塞现象也得到了很好的改善。我们不仅可以从宏观了解网络的整体运行状况，实现了校园网的流量的可视性与可控性；而且利用流控设备还可以对各种应用和用户的流量进行分类统计，全面了解网络运行状况及带宽使用情况，成为优化网络带宽、解决带宽恶意占用的有力工具。另外需要说明的是，利用流控设备合理优化带宽资源配置、不但可以降低网络维护费用，而且还可以减少交换机、路由器和防火墙等网络设备的负载，优化网络设备性能。

[1]Maxnet官方网站.http://www.maxnetsys.com.cn.

[2]陈熔.校园网流量控制解决方案[J].四川理工学院学报.2007.

[3]徐昌彪，鲜永菊.计算机网络中的拥塞控制与流量控制［M］.北京:人民邮电出版社.2007.