汕头大学校园网流量控制方法与策略

network

　　P2P应用由于其利用大量在线的客户端设备（如PC等）的资源而优化文件传输的能力，导致网络资源的极大消耗。在无法管理的控制条件下，严重影响正常的网上办公。同时，由于P2P的文件传输能力，目前附加在P2P的应用上而传播的网络病毒也在大量增长。　　

　　汕头大学网络状况

　　汕头大学4条互联网的链路，包括一条电信100M用于学生宿舍，一条电信100M用于办公区，一条网通100M用来访问国外站点和国内网通站点，一条教育网100M，日常流量约为单向400M，已经接近满负荷状态。而网络出口由于受到带宽的限制，满负荷现象更加严重。由于非正常应用引起带宽挤占和延迟的增大，已经影响到正常的网络应用。

　　目前常用的流量控制方法

　　1．通过防火墙封禁P2P的端口。

　　汕头大学开始尝试封禁流量很大的UDP端口，虽然能取得暂时效果，但是不久后流量重新飙升，和封禁之前没有什么区别，并且封禁UDP端口可能导致一些正常应用无法进行。后来我们核对所有已知P2P软件，并逐一将其使用的端口封禁，但因这些协议可以自动协商端口通讯，而且目前使用的P2P软件都允许设置为80这样正常的端口，所以封禁端口产生的效果并不理想。

　　2． NAT安装协议识别模块进行过滤。

　　从http://ipp2p.org下载协议识别模块并安装在NAT服务器上，封禁P2P后，网络占用率大幅下降，效果立竿见影，但是不久后网络仍然爆满，流量会被其他的应用取代。而且在NAT的服务器上封禁应用协议和封禁端口，会使服务器的CPU占用率飚升，使系统不堪重负。

　　3． 限制用户的上网流量。

　　在以上操作无法控制带宽的情况下，汕头大学采取了对用户进行流量限制的策略，对每个用户的流量进行严格的控制，每天的流量允许在一定的范围内，这样虽然可以使用户在使用P2P软件时有所顾及，但是在使用的过程中也经常会出现部分正常用户在对外交流时因为流量的限制而无法完成。当用户使用的计算机中了病毒之后会出现突发的流量将其一天的所有流量用完而导致其无法上网。

　　用户的带宽管理及控制

　　通过上述的讨论，以上三种方法虽然有一定的效果，但不能实现可靠、稳定的管理。所以基于应用和用户的带宽管理及控制的专业流控设备应运而生。

　　网络中的数据是由一个个数据包组成，对每个数据包的处理都要耗费一定的资源。流量控制设备作为内外网之间的惟一数据通道，如果吞吐量太小就会成为网络瓶颈。因此，为了保障整个网络的传输效率，应优先选择吞吐量大的产品。拥有5G吞吐量的Cisco SCE 2020是一个很好的选择。汕头大学最终采购了Cisco SCE 2020流控设备，并将其作为一个透明的网关放置在出口上。

　　因为Cisco SCE主要的是通过对用户IP地址的管理，所有的策略完全是基于IP地址，因此汕头大学对校内的所有IP网段进行一定优先级别区分，并制定不同的IP策略。例如：教学科研IP地址上传与下载的速度要高于学生的IP地址，关键的EMAIL，HTTP应用应高于P2P的使用。通过这些管理，将汕头大学网络流量从无序转化为智能的控制。


　　对比以前的尝试，单独针对某个协议，或者某个端口的控制，SCE给足管理者充分的底气，管理员不再是心中无底，时时刻刻担心突发流量，用户无法控制。首先通过对网络流量的监控（如图５），可以使管理员很快建立网络流量的模型。

　　对流量的分析可以让我们感知自己网络的性能，通过限定基于每个用户、每种应用的带宽，解决了以前网络流量分配不公，极少部分学生占用了大部分资源的问题，如20%的学生通过迅雷下载、使用PPLIVE占用大量的资源，而80%的学生因为带宽的饱和无法正常浏览网页。同时这样的设置也隔绝了用户因为机器中病毒引起的UDP洪水大流量冲击网关、防火墙等情况，保证网关和防火墙的安全。而且其预警机制可以让用户为无法预料的网络事件作出提前的反应。

　　当然，SCE的流控设备也同样存在一定的问题，最为突出的是Signature库升级慢，在使用的过程中特别突出的是SCE不能识别迅雷，因为迅雷使用的是HTTP多点下载。或许Cisco SCE是国外的产品，对中国市场应用环境不是十分的了解，虽然可以通过定期发布更新签名(Updating Signature)，提供协议更新包(Potocol packs)下载，使得SCE能够支持P2P应用新的版本或者新的P2P协议，但其更新的速度仍然是其致命的伤害。

　　用户的需求与网络带宽的限制就目前而言是一场长久的战争，而专业的流控设备仅仅是解决这场战争一种捷径而不是全部。汕头大学目前在控制流量的同时，也考虑通过丰富校内的资源例如搭建网络电视，收集影音视频资料，通过引导让学生在校内进行下载，减少不必要重复下载引起的资源浪费。我们在控制用户网络流量的同时也必须对用户的上网进行合理的引导，这样双方面配合才能实现双赢的结果。

zlhhig

http://www.cisco.com/web/CN/prod ... isco_sce_2000_c.pdf
cisco sce 2000系列资料。
“天不怕地不怕、就怕思科说迅雷话”

lxf0124

学习了，多看看也是好的