Panabit在校园网络中的应用

文 陈强

Panabit在校园网络中的应用

文 陈强

随着数字化校园建设的逐步推进，校园工作的各个方面都与网络紧密联系起来。网络在为校园日常办公提供便利、为日常教学提供丰富多彩的教学资源和教学形式之外，也出现了P2P大量占用资源、ARP恶意攻击网关、病毒入侵、不健康网站弹出、不良信息充斥网络等问题。针对上述问题，应在网络的运行过程中及时建立高效、易操作的网络流量监控，实时监测网络运行情况，从而迅速处理网络中出现的问题，营造安全、稳定的校园网络环境。以下将结合我校实际情况，介绍笔者对Panabit的策略管理和日志管理系统在校园网络流量管控中应用的认识。

一、校园网络的现状分析与研究

随着信息化的发展，教育教学手段多样化的需求，学校借着市数字化校园建设的东风，对校园网络设备和办公、教学使用的计算机进行了更新，满足新形势下校园日常运行的要求。但也出现了如下两方面问题。

1.校园网络带宽占用形式严

（1）随着数字化校园的建设，教师办公用计算机数量激增，教师若要适应新形势下的教育教学工作，必须通过网络收集大量的教学资源，当中也包含大量的数字音视频材料的下载。此外，教师在课余时间也会通过网络访问一些视频网站，并对当中的资源进行访问和下载。上述P2P下载和网络电视两大类别的网络行为若不通过相关技术进行相应限制，将占尽校园网络带宽，网络设备也将不堪重负。

（2）网络应用已经遍及各个行业，在学校教育教学过程中也不例外，尤其是我校这类职业学校，大量专业课的日常教学与网络应用都紧密联系在一起，因此教室、机房中有大量需要进行网络访问的计算机。如果不对这些计算机进行相应的流量限制，一旦这些计算机集中进行网络资源的访问与下载，将会对校园网络的稳定带来一定的威胁。

（3）本次数字化校园的建设也实现了校园WI-FI全覆盖，无形中增加了大量手机、笔记本等用户终端，这些设备的使用过程中所占用的网络带宽也不容小觑。

此外，教师之间、学生之间以及师生之间的资源共享过程中的数据互传也会占用部分网络带宽。

2.恶意攻击时有发生

由于校园中的网络用户大部分对网络并不是特别了解，电脑使用者缺乏网络必要的安全意识以及部分使用者的不良使用习惯造成计算机感染病毒，一旦某台染毒的电脑对校园网网关进行ARP攻击，整个校园网络将陷于瘫痪。

二、应对措施

鉴于上述现状，如何对网络出现的问题诸如恶意ARP攻击、网络流量过多占用而影响正常的教育教学工作等问题进行实时的监控，从而能及时发现问题、解决问题变得尤为重要。作为网管员，笔者认为应该从经济性和实用性两个方面考虑，Panabit足以解决上述问题。

首先，由于我校网络规模属于中小型网络，免费的Panabit标准版足以满足校园网络流控的要求，同时功能上也毫不比其他收费流控类软硬件逊色。同时，它对硬件要求不高，1台普通的台式机配上3块网卡（最好是英特尔千兆网卡）支持Panabit运行。

其次，Panabit是派网公司研发的一款基于FreeBSD系统，在应用层进行网络流量带宽管理的专业级流控设备。它采用深度数据包检测技术（DPI）对应用层协议特征进行识别判断，并采用独有的“节点跟踪技术+加密协议深度识别引擎”学习探测P2P拓扑结构、识别P2P节点。

三、Panabit的策略管理的具体使用

我校校园网络是电信百兆带宽网络，在组建过程中，将局域网划分为多个VLAN，教师办公用计算机和机房的计算机属于0段网段、教室用计算机属于10段网段，所以，在Panabit中，主要对这2个网段进行相应的策略管理设置。

1.策略对象的设置

在此项设置中，由于我们主要对0和10网段进行流量管控，我们主要采用了IP群组配置，数据通道、自定义协议组等其他项目未进行配置。而0段和10段IP地址中的前20个地址预留作他用，故在此配置中未将其加入IP群组，具体配置如图1，图2所示。

图1

图2

为后期策略调度能成功对以上IP地址对应计算机的流量管控，特别将上述2段的IP地址集中在一起建立一个群组——“管控组”（如图3所示）。

图3

当然，在具体操作中不一定只将某一段IP添加到IP群组中，同样可以根据实际操作需求将单个IP地址添加到某个IP群组中。

2.流量控制配置

此项中主要是“策略组”设置和“策略调度”2项，“策略组”主要是针对IP群组进行策略配置，而“策略调度”就是激活相应策略组，使之实现策略配置的目的。

（1）策略组配置

对“管控组”IP群组进行策略组配置，具体配置如图4所示。

图4

对“0段IP组”IP群组进行策略组配置，具体配置如图5所示。

图5

对“10段IP组”IP群组进行策略组配置，具体配置如图6所示。

图6

上述配置仅是针对我校实际情况所做的策略组配置，不同情况和要求可酌情调整配置。

（2）策略调度

上述策略设置结束，并不是代表都可以正常生效，必须在策略调度中设置并激活执行。根据我校的作息时间，教师、学生早晨到校时间为7:50，学生放学正常为15:00，教师下班时间为16:15，住校生的晚自习时间为18:00～20:00，这也就意味着教师办公用计算机和机房用计算机的流控时间应该为7:50～16:15，教室用计算机应该为7:50～15:00和18:00～20:00，由于在任意时间，只能有1条策略组生效，因此，我在策略调度中设置了3个时段的策略，先后顺序为管控策略优先执行，执行时间段为7:50～15:00，依次为0策略及10策略，执行时间段分别为15:00～16:15和18:00～20:00，这样就能保证0段IP和10段IP地址电脑在使用时的网络流量管控无盲区、无死角，让校园网络在日常工作时间段能正常、有序地运行。这也就是为什么在之前将0段IP和10段IP集中在一起设置一个IP群组的原因，需考虑在后期的策略调度中只能有1条策略生效的硬性规则，具体的策略调度设置如图7～图9所示。

图7

图8

图9

为了让Panabit的流量管控更具有针对性性，我校还采用了它的一个配套日志管理系统——PanaLog。它实现了Panabit流控系统时间日志和流量日志的存储、查询、分析、统计和审计等功能，用更形象、直观的数据为Panabit的管控提供依据，使得管控更具针对性，同时也能通过后期日志数据，直接反映管控效果，为后期Panabit的进一步设置提供数据支持。

［1］智能应用网关产品用户手册［Z］.北京派网软件有限公司，2014.

作者信息

陈强，本科，中学二级教师。南京新港中等专业学校，210046