校园网络的综合管理
狄明远
作者简介:狄明远,浙江省水利水电专科学校现代教育中心。
摘要目前各个学校都在大力发展校园网络,如何有效的进行管理校园网络,在网络出了问题,网络流量出现异常的时候如何排查,怎样才能够找到责任人,本文对此进行了一些研究。
关键词校园网络管理
当发生网络安全事件时,怎样追踪责任人?当发生网络拥塞时,如何定位网络中的瓶颈?如何确定网络资源不足还是异常流量造成的?如何定位造成异常流量的主机?对于大量的网络接入终端,怎样防止IP地址的滥用、盗用和地址冲突?对于有偿网络资源的访问,如何计费?如何做到欠费自动停机?对于大量的网络设备,怎样做到实时监控和自动故障报警?
对于任何学校,这都是不容忽视的问题,我们学校也不例外,我们在几年时间内,建设完善了集网络管理、运行监控、流量计费、流量分析、用户管理、地址管理、访问控制、服务质量控制等诸多功能于一体的综合网络管理系统.
一、网络管理
网络中心对于网元的管理最开始主要依靠设备厂家提供的网络管理系统,包括华为的Quidview和Cisco的Works2000.。但是这些系统只能发挥非常有限的功能而我们自主开发的基于地址转发表的链路层拓扑发现满足了对拓扑管理的需求,不仅可以发现网络上的路由器、交换机等.可网管设备,而且具有发现主机、集线器和非网管交换机等哑设备的特点.
二、网络设备运行监控
通过拓扑图可以查看网络的链路状态,通过通用的设备面板生成技术可以直观设备运行状态。对于发生的网络故障可以实时报警,通过手机短信、电子邮件等形式快速通知网管员。网络故障包括:电源故障、设备温度、端口状态变化、链路通断、流量跳变等。
三、在线流量监控和协议分析
实时监控所有在线用户,了解其免费流量/收费流量构成和访问目标,可以根据情况强制其下网。采集出口的全部入/出流量或单台主机的流量,通过协议分析了解流量的构成。对于异常流量进行监测,自动隔离产生异常流量的主机,特别是CERNET规定的国际流入量超标的主机,可以自动关闭,次日凌晨自动放开。记录各个用户的上网时间、上网地点、产生的流量和访问目标,为以后的安全事件责任追踪提供依据.通过交换机的流量镜像端口(或者分光器),将出口流量镜像到服务器,通过流量分析,根据设置的访问控制策略、计费策略完成访问控制和计费。通过对TCP三次握手的控制,实现TCP流的阻断或重定向。这种方式不改变网络的拓扑结构、不改变用户的上网模式,控制和计费策略对用户是透明的,不会造成单点故障,也不影响网络的出口性能。目前系统能够线速处理1G的网络流量.
四、用户管理与网络计费
网络计费采取预交费模式,提供包月、计时、计流量等多种计费策略,国际流量可以单独计费。对于欠费的用户可以自动关闭对收费资源的访问。用户管理模块提供开户、修改密码、维护用户信息等功能,用户可以通过自助Web界面实现修改密码、费用状况查询、访问记录查询,以及反馈上网过程中遇到的问题。
五、地址管理
通过控制路由器或三层交换机网关设备上的ARP表,实现IP地址和硬件MAC地址的绑定,地址管理模块提供IP地址、MAC地址和用户主机信息的录入和维护,可以提供禁用或开通用户主机的网络的访问。目前可以支持Cisco和华为的设备。
六、访问控制
源访问控制可以控制内部主机对外部网络的访问,控制策略包括认证访问、收费认证访问、不受控、拒绝、国际、国内访问。目标访问控制可以允许或拒绝对目标的访问。可以自动利用CERNET的国内路由表来区分国内/国际流量。对于受控网络资源的访问可以自动重定向到认证界面,通过身份认证后才允许访问。这种重定向是通过劫持TCP的三次握手过程实现的。
七、服务质量控制
随着网络应用的丰富,对带宽的需求是没有止境的。特别是P2P应用基本上是有多少带宽就占用多少,因此无论出口带宽有多大,都会被耗尽.。我们学校只有到CERNET的一个千兆出口,24小时都是100%的利用率,实际上早已成为瓶颈。通过系统的流量采集和流量分析功能可以很容易地确定流量的构成,从而发现90%以上的流量都是未知流量,通过进一步分析
发现大多数都是P2P流量。
我们学校学生数量为8000左右,目前能上网的计算机大概总数在7000左右,,这些计算机由于使用互联网全局IP地址,是直接暴露在互联网上的对等连接。根据P2P应用文件交换的“人人为我,我为人人”原则,在文件下载的同时,也为别人提供下载服务,这种情况对于直接使用互联网全局IP地址的教育网尤为严重。从系统在出口上的流量检测可以看出,出的流量比入的流量还要大,这对于不具备大量信息资源的区域网络是不正常的。这些占用宝贵出口带宽资源的文件交换流量主要是什么内容呢?从调查分析来看,主要是电影、音乐和少部分软件等。这些流量已经严重影响了传统的Internet访问,有必要采取措施保证正常应用的服务质量。
而保证QoS,实现区分服务的关键,是对流量的识别和分类。在新的网络应用层出不穷、P2P应用可以随意设置服务端口的情况下,对于流量的识别是非常困难的,因此我们采取比较简单也非常有效的原则,就是“保证已知,限制未知”原则。对未知流量进行带宽限制,而不是封掉,并且是在充分利用带宽的前提下使用该原则,因此不会造成某些应用的中断。
带宽控制是通过流量监管实现的,流量监管是基于流量的速率限制,系统可以监督某一流量的速率,如果流量超出指定的规格,就采用相应的措施,如丢弃那些超出规格的报文或重新设置它们的优先级。流量监管的一个实例是承诺访问速率CAR。CAR广泛地用于监管进入网络设备的网络流量,它依据对流量不同的评估结果,实施预先设定好的监管动作。
从几年的网络管理维护经验来看,只有适合自己需要的系统才是最好的系统,只有结合需求自己动手,才能得心应手。