网络管理论文校园网络管理策略的研究与实现

　　在现今的网络时代中，由于多种P2P软件的使用，校园网络出现了大量的流量，往往是很少的机器就能够将出口带宽完全占满，以前的管理模式已经很难适应现在的状况，需要进行改革才能够让大型的高流量的校园网络在有限的网络资源下发挥应有的作用，不至于让大量的对时延不敏感的流量拥塞了校园网络，使网络浏览、QQ聊天等普通上网流量受到影响，使教学、办公自动化等活动无法正常进行。

　　二、原有的网络管理策略与存在的问题

　　本校园新建于2001年，当年校园网络分为学生上网区域与教师上网区域两大区域，对网络的管理使用不同的上网管理方法。学生区域上网需要进行身份验证，教师区域无需认证就可以上网，两个区域都使用DHCP服务器自动获取IP，两个区域使用不同的网络IP段。内网IP管理中，除了讲IP分为两大区域IP段外，在每个IP段中又按各栋楼的楼层划分为多个小的IP段，每个IP段用VLAN隔开，每个VLAN无法互相通讯，以减少网络中各网段病毒互相感染和网络安全事件的发生。学生上网实行包月上网机制，月费是25元，上网时间是早上8点钟到晚上12点钟，节假日不断网。

　　以上网络管理策略始于建网初期，在之后的网络使用渐渐出现了问题。当用户增加了之后，在中午和晚上的上网高峰期，由于用户使用下载工具下载影片等大流量应用，网络环境开始变差，出现了线路拥堵情况，但是QQ基本上还可以保持在线状态。接着，随着P2P软件的出现，初期的迅雷、电驴软件导致网络晚上出现了完全的流量拥塞[1]。由于晚上网络运行情况的剧烈变差，很多学生在白天上课时间开着电脑下载影片。网络出现了前所未有的问题，早上8点钟一开网，流量立即占满带宽，网络速度急剧变慢，而到了晚上，所有的QQ都间歇断开，发QQ信息要重复发送多次才能成功。最严重的是，除了上互联网出现问题外，内网的通讯也出现了问题，就是ARP病毒的出现，这个内网网络的杀手，将内网的通讯彻底拖垮。以上问题的出现，严重影响了学校的声誉和网络教学、网络办公的质量。

　　三、对原有网络的改造策略

　　1.首先要对内网通讯进行修复，内网通讯不通就无法进行外网通讯

　　在内网通讯中，最大的杀手就是ARP类型的病毒。这种病毒欺骗路由器，将攻击的IP地址与自己Mac地址连接起来，让路由器将数据发送过来。

　　本校园从一开始就是分网段管理，所以可以很好地抑制这病毒的传播速度。在病毒出现的初期，并没有什么实用的工具，我们只能通过手工指定服务器中网关的ARP地址来防治服务器受到其他病毒感染的机器攻击，接着我们也在网络路由器中绑定了该服务器的ARP信息，但是这样只能防止少数重要机器的病毒感染。在病毒出现的时候，某个受影响的网段就会出现内网访问故障现象，我们接到报障之后，在网络路由器中迅速查找到网络故障网段中某台病毒机器的MAC地址，然后将该机器通过网络封锁该上网端口，直至该机器完全杀毒再重新开通其上网权限[2]。

　　过了一段时间后，开始出现了对付这种病毒的软件，原本我们用手工在服务器上指定的这个工作通过软件就可以自动实现，于是我们就在做了大量测试后向用户推荐使用该软件。这样做也收到了效果，但是交换机中的地址绑定依然无法很好解决。又过了一段时间，终于出现了防治ARP攻击的交换机，直到这个时候，才算是逐渐解决了内网通讯的问题。

　　2.增加一条网络出口带宽，不同区域使用不同的网络出口

　　几年来，上网用户不断增多，原先的单线路100M出口无法承受现有用户的使用。学生的上网流量大大地影响了教学区域的上网速度，增加一条网络出口带宽可以将两个区域的流量分开，互不影响。但是这也带来了新的问题，由于教学区域的网络只是在白天教学时使用，而晚上就完全没有使用上。而且即使白天，教学的流量也只是占用带宽的30-50%。为了减少资源的浪费，我们在防火墙上做了设置，在下班时间将网络中学生流量分一部分到新增的这条网络线路。

　　3.采用流量计费的策略

　　由于计费策略是包月制度，加上学生人数的不断扩大，很快两条线路也无法满足这种使用方式。于是，我们经过一段时间的调研，查看了数据库中学生的网络流量，并且研究了其他学校的计费模式，推出了流量计费的策略[3]。新计费策略的推出受到很多的质疑，但是效果很明显，只有部分网络下载狂人才会受到该策略的约束，其他正常使用的学生并没有多大的影响。新的策略实现了上网交费者网络使用的公平，实行多使用者多交费的策略。在没有办法从技术手段上控制P2P流量的情况下，利用管理上策略控制了网络中P2P的泛滥，让使用者自己控制其流量，收到了很好的效果，网络流量一下子减少了很多。因为P2P软件是在文件下载之后会自动上传的，而流量计费不只是计算下行流量也计算上行流量，所以也限制了学生将软件挂机的情况，改善了网络中由于上传流量过大影响交换机工作的问题。

　　4.引进网络流量控制的机器

　　在流量计费策略推出后，网络运行基本正常，但是在网络高峰期，由于上网用户过于集中，而且某些用户并不在乎费用问题，所以出现了不同程度的网络速度变慢的情况。在这个时候，我们引进了网络流量控制的机器。一开始将该流量控制机器放置在网络中，让其分析网络中流量的状况，之后再进行策略的设置。首先将学生区域网络高峰时段的P2P流量进行限制，然后禁止教学区域中学生上网机房的P2P流量。这样做之后，网络的情况得到了进一步的改善。

　　5.对网络出口进行改善

　　由于原先的网络出口已经由原来的单条100M线路转变成两条100M链路，只能通过手工设置才能将部分学生流量在特定时间转移过来，这样的非智能方式并不能很好处理这种问题，于是我们通过测试调研引入了网络出口智能引擎。网络出口智能引擎能够根据目的IP地址、当前线路使用状况等智能选择流量的出口，很好地利用了两条线路。由于有了网络出口智能引擎，在网络运营商上的选择也可以有所不同。在购入了智能引擎之后，我们对中国联通的线路做了多方面测试，发现该线路虽然使用速度上比不上中国电信，但是可以对P2P流量起到很好的分流作用，而且引入中国联通运营商可以解决单运营商独大的局面，等于引入了竞争机制，可以大大减少学校的采购费用。最后，现有的学校网络出口通过该引擎实现了双100M电信加单200M联通光纤的上网出口带宽，既经济又实惠。

　　至此，校园流量网络管理形成了一套结合流量计费、流量控制与出口智能的控制体制，解决了之前高流量出现的网络拥塞问题。

　　四、结论与展望

　　在这套策略基本形成之后，网络中还存在另一个隐患，就是对高流量中网络安全事件的反应与处理。以前都是被动的处理模式，用户中不少是不进行补丁安装和杀毒软件安装的，这也给网络管理提出了新的问题。所以在以后的日子，我们将测试使用主动安全体系，也就是全局安全控制体系。这套体系首先解决了教学区域中随意安装网线就可以上网的问题，并且很好地控制了内网上网的安全。在上网拨号之前，软件会对客户端进行安全扫描，检测非法的软件与病毒，如果我们发现什么新型病毒的特征可以先输入到扫描策略中，这样可以限制感染病毒的机器上网。接着在上网期间如果感染病毒，对网络做出破坏，软件会及时断开网络，实现智能的管理可以将安全事件控制在很小的范围内。

　　【参考文献】

　　［1］韦安明，王洪坡，程时端，林宇.高速网络中P2P流量检测及控制方法［J］.北京邮电大学学报，2007（5）.

　　［2］柳斌，李之棠，李佳.一种基于流特征的P2P流量实时识别方法［J］.厦门大学学报（自然科学版），2007（S2）.

　　［3］梁欣荣.浅析大学校园网络管理与维护［J］.中国科技博览，2010（14）.