北京 2014-11-05(中国商业电讯)--随着近些年高校教育的大力发展,高校网络信息化平台不断完善庞大,如今的高校网络与互联网已深入融合,网络应用和用户数量急速增多,伴随便捷的无线上网方式,使的网络出口流量达到运营商的级别(以G为计量单位),面对如此高的网络出口带宽,如何在众多网络应用中保障传统教学应用质量俨然成为高校网络中心的一个难题。
高校这一特殊的网络环境,传统的企业级网络优化设备在性能上已无法满足其需求,相反甚至可能成为网络瘫痪隐患节点,高校网络平台的选择必须具备电信级的能力才足以保证网络的正常稳定运营,解决校园网络出口带宽利用率不高、带宽非法占用、学生私接路由逃避网络收费检测、区域细化网络服务,以及公安82号令对上网日志留存等诸多困扰高校运营管理网络的一系列问题。
高校网络运营管理5大内忧外患
1. 多链路部分带宽利用率不高
大型高校多以三条以上出口线路为主,包括CERNET、电信和联通,甚至还申请了多条ADSL拨号线路以及铁通、移动长宽等价格相对便宜的二级运营商链路,在网络高峰期,由于每一条链路没有进行差异化管理和配置,使带宽利用率偏低,导致每一条链路带宽得不到疏导,充斥着各种各样不同类型的流量,在高峰期当垃圾流量过多时,各条链路带宽马上被垃圾流量所占据。
2. 关键应用得不到有效保障
网络长期被大量的P2P下载或网络电视等非关键性应用流量所占据,扩充带宽或增加线路治标不治本,重要的网络应用带宽质量得不到保障、经常延迟,校园远程教育、办公OA系统等关键教学应用无法正常运行。
3. 校园网无线网络的管理
校园普遍存在私接路由的行为,对于私接路由的行为严重造成了校园网络“以网养网”。另外,无线用户的不断激增对校园无线网络的承载能力提出了更大的挑战,如何按区域划分使无线网络为用户提供不同的业务?针对以上需求,学校迫切希望有一套方案能够对校园网无线网络进行有效的管理。
4. 校园网络的运营管理
校园网络“以网养网”的放纵初衷是为用户提供网络服务,但如何压缩成本、如何降低网络的安全威胁、降低网络的复杂度是必须要考虑的,面对以上问题,在选择可运营的平台里,PPPOE Service服务平台相较802.1X服务平台以构建简单、管理便捷、上下兼容性强、成本低廉等优点入围,为此,高校网络的运营需要BRAS服务作为业务的支撑。
5. 不符合公安网监备案要求
公安部82号令明确提出的对于网络日志的审计要求,传统的日志审计系统一方面无法满足真实的运营级性能,另一方面在应用识别(DPI)方面更没有技术优势。所以在高校网络出口审计中,最为常见的情景是: 有日志审计系统,但由于以上两个原因导致的漏报误报,依然常被相关部门责罚,关键时候无法追根溯源,定位到具体责任人。
高校网络出口优化方案示意图
见招拆招 借专业流量管理系统5招破局
既然高校网络运营管理存在5大内忧外患,那就要见招拆招。记者通过老牌专业信息安全企业天融信公司的介绍也了解到了5招破局之术:
1、针对多链路部分带宽利用率不高的化解
常见的解决办法是架设负载调度器实施传统上的负载均衡(根据IP地址进行调度),但显然这不是最优的方法,因为如果按照目的地址进行均衡,由于服务分布不均的原因,一些二级运营商如移动、CERNET、铁通、长宽等线路就会相对空闲,利用率很低,如果按源地址均衡,被分配到弱势运营商出口的用户体验就会很差,所以正确的做法应该是根据应用流量的不同选择差异化对待。
记者了解到,目前在国内专业信息安全领域,一些企业的专业流量管理系统,比如天融信公司的TopFlow已经可以做到以第七层应用载荷为条件进行负载的路由选择,将不同应用的流量路由到不同的链路上,做到如视频会议、远程教学等敏感度高的应用走成本高昂的优质链路,P2P下载、网络电视等敏感度低的应用走成本低廉的劣质链路,这样从本质上起到网络应用的加速和带宽资源的利用率,减小出口带宽,降低教育经费。
2、针对关键应用得不到有效保障的对策
面对带宽被P2P等非关键应用长期占用的状况,增加带宽往往不能从根本上解决问题,必须得依靠专业的设备进行流量的管理,并且和管理企业不同的是:高校骨干网流量管理引擎在性能上需达到电信级的处理能力才能满足其需求,否则只会令网络更慢甚至瘫痪。目前,以TopFlow为代表的专业流量管理系统都能够对近千种常见的应用协议流量进行有效的调度,管理,保障,能够满足校园网网络用户对于流量使用的复杂需求。
下图为高峰时期策略后的管控效果(管控策略前后的流量差异):
流量管理效果示意图
3、针对校园网共享用户的管控
校园网络里普遍存在无线路由、随身WiFi等私接设备,私接滥用对网络造成了严重的威胁(因为当一个用户在一个区域网络里接入私接路由时,很有可能会造成DHCP服务的冲突,影响区域内其它用户的正常上网,管理此事件的发生一种是配置带有DHCP Snooping功能的交换机,对DHCP offer管理),而私接路由一直没有好的解决办法。据天融信产品经理李红冰介绍,管理员以往对私接路由一直缺少一套行之有效的系统管控办法,而如果拥有共享用户检测功能,就可以有效弥补这片空白。所以TopFlow等方案都采用应用特征、IPID轨迹等多种检测技术进行实时检测(非事后分析),这样就可以降低漏报率,可对违规行为采取阻断、限速、信息提示等多方面引导,真正解决校园私接路由设备的问题。
下图为共享用户管理效果(信息提示):
共享用户管理
4、针对有效提升校园网络运营管理的优化手段
校园网络区域式智能管理,学校更希望将流量可以在区域内得到有效的管理:比如在图书馆营造安静舒适的环境,那么无线WiFi应当禁用网络游戏、网络电视、web音乐等应用;在课堂可对手机无线等上网应用禁用,家属区的需求比较综合,能为其提供稳定的宽带服务即可。实现区域上的可运营流量管理。目前TopFlow提供的网络接入服务可有效实现这些需求,根据需求的不同为不同的区域提供不一样的宽带服务:
校园网区域管理
5、落实满足公安网监备案要求
校园日志的审计需求时刻伴随着网络的存在,一直得不到有效的解决,尤其在万兆流量的环境里,信息丢失严重,经常被告知查无此证,受到上级部门的批评。所以,随流控系统免费提供配套的专业日志审计系统就显得尤为重要。通过这套整体系统的部署能够满足公安部门上网要素审计要求,比如QQ/微 博等帐号的登录信息以及URL访问记录。
通过上述的分步介绍,可以看出借助专业的应用流量管理系统,不仅可为高校用户提供网络应用流量的可视化、管理智能化,还可从时间、地域等多维度对网络流量进行监控、疏导、优化,为终端用户的请求提供服务,解决了错综复杂的校园网络综合运营管理需求。
| 
