浅谈如何优化高校网络运维管理

2022-09-12

近年来, 在国家教育信息化的大背景下, Cornet (中国教育和科研计算机网) 已成为全国最大规模的局域网之一。作为网络管理人员, 我们常常能听到用户抱怨, 上网速度慢, 网络不稳定, 病毒泛滥。无论怎么升级, 带宽总是瞬间就跑满。想通过流量检测来观察网络运行情况, 却发现不知道用户究竟在跑哪些应用, 也不知道如何去控制。本文从分析校园网当前面临的主要问题开始, 提出针对性可行的解决手段, 还用户一个高速健康的校园网环境。

1 校园网面临的主要问题

1.1 安全性

本院作为C a r n e t s的上海地区节点之一, 除负责全校师生的网络运维外, 还承担着保障其他兄弟院校链路畅通的重任。因此, 如何保障本网络的安全, 成为核心最根本的问题。同政府、电信等其他网络相比, 校园网有着更为尖锐的安全隐患。速度快、规模大、设备系统的复杂、用户群体高度密集及活跃、网络环境开放度高、盗版资源泛滥等问题, 使得原本就负担甚重的校园网环境雪上加霜。

1.2 网络有效利用率

带宽对于校园网来说, 从来就不是一个瓶颈。百兆到桌面、千兆甚至到万兆到核心主干的模式已经普遍在全国高校推广。笔者曾苦恼于, 无论带宽如何升级, 总是在第一时间跑满, 用户感觉依然一个“慢”字。这么多的带宽, 究竟都用到哪里去了呢?近年来P 2 P等多种新型的网络数据应用在校园网中大量使用和出现, 导致网络资源的极大消耗。很少有人真正了解过这些应用究竟占据了多少带宽资源。简单封杀并不是最根本的解决途径, 如何有效地分析网络应用协议, 合理规划带宽资源, 让用户真正感受到提速地感觉, 才是当务之急。

1.3 多出口链路的合理性

由于Cernet目前按照访问国际流量进行收费, 导致了用户访问国际流量极为不便, 一旦放开访问, 又将大大增加学校的网络国际流量费用, 在预算上不被允许。于图1是大部分高校会选择电信、网通、铁通等作为第二、第三出口。但采用何种手段, 合理分配网络资源, 达到增加网络速度的目的, 也是一个值得关注的问题。

2 解决方案

2.1 提高网络安全性

第一, 加强网络安全概念, 建立校内自动更新站。任何一种操作系统, 都存在着安全漏洞。广泛传播的网络病毒与黑客入侵, 正是因为利用了这些漏洞而发起的攻击。因此, 采用正版的操作系统, 及时更新补丁, 才能从根源提高网络安全的级别。本校通过与微软签订协议, 建立了校内的Windows软件更新站点, 提供Office应用程序、S Q L数据库等的校内快速自动更新服务, 帮助用户及时修补系统安全隐患。第二, 入侵监测与防火墙设置。采取必要的入侵检测, 通过网络中若干关键点收集信息并对其进行智能分析, 从中发现是否有违反安全策略的行为和被攻击的迹象。在核心链路出口设置防火墙, 限制外部对内部网络的攻击, 过滤不安全服务和非法用户。限定用户访问特殊站点, 对于具体运行进行规格配置, 为监视I n t e r n e t提供方便。第三, 加强病毒预防。引进权限管理机制, 采用中央控管, 统一部署网络版杀毒软件, 由管理员对网络中所有用户进行配置和管理, 保持步调一致性, 有效防止病毒攻击, 及时进行全网升级。第四, 采用D H C P (动态分配I P地址) 加出口统一身份认证上网模式。本校采用D H C P加用户出口统一身份认证的上网模式, 其好处是:用户在校园网内浏览时不需要认证, 只要接入校园网, 即可使用校内自动更新服务, 对系统进行升级和安装网络杀毒软件。一旦出现扫描攻击, 垃圾邮件等网络安全事件, 根据I P/用户账号可以在第一时间迅速定位来源, 从而为采取下一步处理措施提供准确的依据。一个完整准确的用户信息系统的存在, 为以后构想中的网络自防御体系创造了条件。

2.2 通过适当的流量控制, 提高网络有效利用率

为了了解本校目前的网络应用现状笔者曾利用七层分析管理设备对本校的流量进行了详细地分析。从结果来看, 在正常的工作时间内, 迅雷、B T、电驴等P 2 P应用的流量占到总带宽的7 0%~8 0%, 平均为180Mbps, 高峰时甚至达到450M, 上行流量大大高于下载流量。作为工作关键性W e b应用只占了2 0 M, 不足全网流量的1 0%。可以采用以下流控方案解决这些问题。 (1) Q o s策略保障关键应用带宽。根据一段时间内对学院网络应用的检测, 将Http、视频会议、VOIP等与工作业务相关的应用列为最优先。分别建立W e b管道, 定义W e b Q o s的最小保障带宽, 根据需要调整优先级, 同时配合时间段设置, 在W e b管道上执行相应的Qos策略。这种应用、优先级、时间、用户组等多种灵活的策略化组合, 能最大限度地对重要用户, 重要应用服务进行有效的带宽保证功能。 (2) 对P 2 P等恶意流量进行控制。将迅雷、B T、电驴等常用P 2 P应用归类, 设为优先级最低, 实施固定的限制策略。针对本校上行流量大于下载流量的特点, 分别实施进、出不同方向的控制。并基于时间段分类, 所有学生用户组08:00~17:00工作时间段, P2P应用带宽上限为:上行/下载2 0 M b, 单个用户上行/下载2Mb;17:00~0:00, P2P带宽上限为:上行3 0 M b, 不限下载流量, 0:0 0~08:00, 恢复上行/下载20Mb。配合之前的Q o s带宽保证设置, 既保证了白天关键性应用的正常使用, 又可以适当的允许晚上用户的P 2 P下载, 减少用户的投诉率。 (3) 针对单一I P地址/IP地址网络范围进行特殊设定。针对某些流量始终处于异常的用户, 采用独立设定上行、下载带宽的方法, 进行有效控制并产生警告, 必要时可采取惩罚措施。 (4) 控制会话数, 阻止异常网络行为。观察全天连接数的分布情况, 每秒新建连接数的峰值大约为1 5 0 0个, 单个用户的最大连接数的峰值将近5 0 0 0个。将非关键性应用, 尤其是B T应用的会话数进行限制后, 能有效地控制大量的数据包和连接请求, 抑制网络异常流量的蔓延。同时还减轻了防火墙、核心交换机、用户计费系统等主干设备的负载, 保证网络可靠性。

2.3 采用策略路由技术, 发挥多出口链路优势

本校除了千兆的C e r n e t出口外, 还有10M上海科技网、20M的中国科技网、2M的电信地面通这3条出口链路。比较其特点后能发现, C e r n e t的优势在于丰富的教育资源, 访问其他学校、科研单位等速度较快, 本身网络信息已经经过管理、净化, 用户访问比较安全。其他三条出口链路的特点正好与之相反, 访问公共资源、娱乐等信息站点时速度较快、资源相当广泛, 国际资源可无限制访问, 采用包月制付费。结合本校实际情况, 采用以下策略: (1) 所有公共服务器由于使用Cernet合法I P地址, 为避免路由报文在访问途中的丢失, 因此与外部网络的通信都通过C e r n e t出口进行。 (2) 所有校园网IP在访问Cernet及其联网单位网络时均通过Cernet出口进行。 (3) 采集用户上网行为, 归纳总结常用的外部网络资源, 通过路由策略将其分流至上海科技网、中国科技网及电信出口, 使用户在访问外部网站时能明显感到连接速度的提高。

4 结语

通过安全性推广、部署流量检测管理、多出口策略路由等相关的手段, 可以使管理员更直观了解网络真实情况, 对判断网络健康度有很好的指导意义。但随着网络技术的日益发展, 依然会出现许多问题, 譬如新型的应用协议层出不穷、链路中层叠的设备造成的单点故障、无线网络的认证管理漏洞等等。只有不断学习, 不断总结, 让网络安全意识深入人心, 才有可能创造出一个长期的良好的校园网安全环境。

摘要：随着高校网络的迅速发展和各种应用的广泛普及, 诸多问题日益突出。本文针对校园网的运行现状, 从安全、流控、策略等方面探讨有效改善网络管理运维的方法。

关键词：高校网络,安全,流量分析与控制