数字化校园网络流量分析与控制策略研究

李杰秦 云南工艺美术学校

引言

信息化技术的迅速发展和宽带的普及影响着人们的工作和学习，特别是是在学校，学校的教师通过网络实现教学和管理，现在很多学校的入网方式为多入口，这样的入网方式使用户的访问量急剧增加，但是随着网络用户的增加和上网环境的复杂性，应用的网络宽带和学校的有限网络资源的不平衡矛盾问题急剧突出，特别是下载和上传大量的数据，观看高清视频，玩大型的网络游戏，加之网络黑客病毒的侵袭，使得正常的教学和科研受到巨大冲击。因此，对学校的网络资源合理配置和限流是保障正常工作的必要措施。

1 校园网目前现状分析

1.1 校园网各种应用流量分析现状

目前，国内的大多数学校校园网网络的出口多为教育网、中国电信、中国联通，覆盖的信息点较多，为学校的办公行政楼，教学楼，宿舍区提供较为方便的网络入口，对学生，老师的生活、学习、工作提供了极大地便利。但随着用户对网络的需求变大和使用人数的增多，学校的网络资源经常会在高峰时期产生崩溃和堵塞，速度过慢的情况，关键的应用得不到保障，学校网络部门在短时间内通过对学校网络流量采集、分析和处理，得到下载软件占宽带总资源的绝大部分，下载软件的特点是没有固定的端口，监测的结果无规律这使得正常的教学科研工作学习受到影响，无上限的扩大学校网络资源不是解决问题的根本办法，因此优化网络资源配置是保障在校师生使用网络的根本，进而提高校园网的用户体验感。

1.2 校园网VLAN 的规划

目前，大多数的校园网使用单独的 VLAN 划分IP 地址，实现单频道的流量不会转移到其他虚拟本地网络，高效地降低校园内网的网络拥挤，从而更加有效地控制流量，减少设备消耗，简化网络管理，从而提高了网络的安全性，确保了整个网络的可靠性和稳定性。

表1 .校园网VLAN 的规划

1.3 病毒感染对校园网流量的影响

此外，由于校内网络使用者安全意识不强，蠕虫病毒影响校园流量正常的合理分配，造成校园网网络的堵塞是重要原因，蠕虫病毒在正常使用的情况下很难察觉到，它是一个独立的病毒程序，它会主动扫描和攻击网络上存在系统漏洞的节点主机, 通过校园网或者国际互联网从一个节点传播到另外一个节点。蠕虫病毒具有独立性强，传播途径广泛，危害性大等特点，被病毒感染后的校园网主机会占据大量的宽带资源，使网络堵塞，时间延续性增强，占据网络交换机CPU资源，使校园网不能正常工作。病毒感染后的流量示意图，蓝色折线表示出流量, 绿色阴影表示入流量。如图1 所示。

图1 病毒感染后的流量示意图

2 控制校园流量的方式

第一种是通过控制原地址源端口，改变路由转发表的方式对源端口进行分析，此种方式仅可以实现宽带资源的均匀分配，却不能实现宽带资源的优化。外一种方式为智能控流，基于统计学和大数据分析，对网络进行监控，能够实现时间-用户-流量行为的智能管理。

3 数字化校园网络流量控制策略

3.1 基于用户IP 地址的流量控制策略

根据在校师生的IP 地址，将400M 的校园网出口分配到行政楼、教学楼,另一部分在教楼使用200M 的移动网络。分别制定两种带宽分配策略如表2 所示。

表2 用户宽带分配情况

3.2 基于时间段的带宽限制

根据校园网络部门的流量时间统计监测，流量使用的高峰期多为周一至周五的早8 点到12 点，下午2 点到5 点，校园网络部门可以将校内网的宽带进行限制，宽带设置分为工作时段，高峰时段，低谷时段，可以应用P2P 应用流量进行时间段控量，在周一至周五的早8点到12 点，下午2 点到5 点，设置P2P 应用所占校园网络带宽小于等于总带宽的40%, 在休息日、凌晨则放开对P2P 应用的限制，是最简单有效的方法。

3.3 基于使用群体的带宽限制

一般来说, 校园网的使用群体大多可分为办公，教学，宿舍区用户等.依据网络用户使用的特点和应用的场合对用户进行IP 分组, 根据各用户群不同的功能定位来分配带宽, 设置不同的带宽上限.例如，对于最优先考虑的教学区域、行政办公区域，宽带上限的等级最高， 其次对学生用户群和其他用户群设置较低的带宽上限.基于使用群体的带宽限制有助于展开良好的教学办公环境，防止学生因使用大量的下载软件而占据网络资源，在夜晚、周末可以适当提高学生区域和其他区域的宽带流量上限，使学生在休息时间也可以享受到高质量的网络服务。对校园网内的流量进行数据流分类、流量监管、流量整形、优先级控制、拥塞避免、拥塞管理等方面进行处理就显得很有必要。

3.4 流量异常处理

病毒感染计算机后，会在网络中蔓延，网络管理员可以通过切断相应的端口，从而确保网络正常工作，当知道流量异常源地址，切断物理连接是处理流量异常最直接有效的办法。此外还可通过网络版防病毒软件，这是一种优化抗病毒防御机制，部署网络版防病毒软件, 网络管理员可以通过控制台直接从整个学校网络组织、部署、设置和监控抗病毒策略，而不涉及终端用户。这种方式可以有效监管整个网络内终端机器, 并且可以极大地限制和保护错误的操作对无意识的用户和非专业的操作， 因此，它使病毒免受进入内部网络的威胁。校园网监部门可以建立入侵检测系统，通过收集和分析网络行为，检查网络或系统是否有安全漏洞和攻击迹象， 是一种积极主动安全防护技术。