網絡型流量控制范文

時間:2024-03-11 17:42:00

導語:如何才能寫好一篇網絡型流量控制,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

網絡型流量控制

篇1

關鍵詞: 網絡安全; 流量控制; 評價; 方案

中圖分類號:TP393 文獻標志碼:A 文章編號:1006-8228(2013)02-17-02

Research of network security and flow control model

Hu Ning, Xu Bing

(Chongqing Three Gorges University, Wanzhou, Chongqing 404000, China)

Abstract: Based on the analysis of a large number of network traffic data, the mathematical model on the network safety and flow control according to the network engineer and optimizations is built. A large amount of calculation and evaluation has been done. By experiments, this model is proved to have comparatively good control effect and stable safety. Meantime, it is easier to be realized. This research method provides a good reference for solving similar optimizing problems.

Key words: network security; flow control; evaluation; scheme

0 引言

在這個信息大爆炸的時代,信息安全顯得十分重要,占有突出的地位,采用合理的網絡安全模型和流量控制模型,對網絡進行分析和控制無疑是維護信息安全的基本保障。

由于網絡設計之初,僅僅考慮到信息交流的便利性,對于保證信息安全和流量控制的規劃則非常有限,所以面對循環上升的攻擊技術和快速增加的網絡用戶量,安全和流量控制問題顯得特別重要。本文根據某高校中大量網絡流量的數據的分析和統計,得出有效的流量控制模型,并對其進行評價。

1 常用網絡安全和流量控制模型分析

目前我國相關單位基本上建立了適合自己的網絡安全和流量控制模型[4],進行如下簡單概括。

以路由器為主要控制方式的流量控制模型:此模型中所有用戶流量記錄都是暫時存放在路由器的內存中。流量控制系統使用網絡管理協議命令進行控制。盡管后來采用物理地址靜態匹配技術來防止流量盜用,但仍然不能起到很好的防范作用。

基于網絡探聽的控制模型:在中心交換機和中心路由器中設計一個探聽程序,此程序能夠偵聽到網卡上所有發送的數據包,并同時記錄下來。這樣的流量控制方式有很多不同的程序,但是在實際的控制過程中問題依然存在。另外還有很多網絡流量控制模型,例如郵件流量控制模型等等,它們大多是被動的,對于大批量的用戶缺乏行之有效的控制手段[3]。

以上的流量控制模型在很長一段時間起到了很好的作用,但是這些流量控制模型都存在著很多問題,還不能很好地滿足現階段我們國家信息技術高速發展的需求。

2 模型的建立

傳統的安全和流量控制模型與實際網絡需求有一定的相悖性,因此已不能很好地完全描述實際的流量特征。網絡自相似性主要表現出結構的相似性,每一組成部分都在特征上與整體相似,并具有明顯的突發性[1]。

定義:xt為相關隨即變量;aj為實數;et為相關變量;B為流量帶寬;t0為連接最大延遲時間;U為連接單元容量;S為連接業務最小傳輸速率;N0為線路可同時支持的用戶最大連接數;n為時間段的數目,時段不同價格也不同;δi為第i時間段內擁塞發生的重視因子;fi(pi)為在第i時間段內用戶實際業務連接數概率;gs(ps)在第i時間段內計費價格為pi時用戶實際業務量;kj為第j端口可以上網的人數。

xk為一般路由器計費模式下的值:

xt=a1xt-1+a2xt-2+…+apxt-p+et

在每一個通信端口中如果有2x端口,則在同一個時刻內只能有2x用戶上網。也就是在一個端口中不能再分出給多名用戶使用,線路調節后,一名用戶可以使用多個通信端口,用戶一天最多只能上網16個小時[10]。我們可以建立如下模型:

若B的解在單位圓外,則xt是平穩過程,即是一個平衡點, n0是線路可支持的用戶的連接數目,此時為了控制流量,減少擁堵,可建立如下函數模型:

其中:p=(p1,p2,…,pn)T

雖然此函數模型便于進行參數估計[6],產生回歸數列,但因為其函數以指數級遞減,不能很好地模擬自相關函數的流量控制。

定義bt為隨機擾動,B為滑動平均項,則新的模型如下:

xt=a1xt-1+a2xt-2+…+apxt-p+et-g1bt-1-g2bt-2-…gqbt-q ⑶

其自協方差為:

自相關函數為:

sk=f1sk-1+f2sk-2+…+fpsk-p ⑸

將一個幀分成n個時間段,則第m個時間的信元到達可表示為:

我們根據實際應用中測量的非單播數據的記錄值,并運用方差分析法平穩化時間序列,由此可得到約束函數:其中pt是第i時段的概率值, pt∈(0,1)

因此我們給出均衡流量控制的目標函數:

另外關于網絡中的抱怨度[2]:這里我們假設第i用戶上網的時間是一定的,也即上網的時間長度是一定的,設為ti想上網的時刻為mi,實際上網的時刻為ni。

當用戶i想上網的時候,因為用戶i-1還沒有下網,所以他只能等待,等待的時間為ni-mi,則用戶i產生的抱怨的程度可表示為:

對于不同的用戶產生的流量不同,所以我們可以用一個總的平均流量來衡量這一個信息網受用戶的依賴程度[11],如果該端口可以上網的人數為k,則一個端口的用戶流量模型為:

(10)

我們通過調研的方式征求全校師生用戶承受的價位pmax,調查情況如表1所示。

表1 最高價調研表

[價格\&\&\&\&\&\&數量\&m1\&m2\&m3\&m4\&m5\&]

由表1我們可以得到體現用戶在各時段承受力的最高限價均值,于是我們給出如下約束條件:

f(pi)≤pm i=1,2,…,n (11)

其中:pm為經驗常數,代表在第i時間內流量為pi時用戶實際連接數目在n0以上的概率。

根據以上約束條件,再通過曲線擬合模擬,并有歷史統計數據我們可得到在不同時段多用戶的概率曲線。

圖1 概率曲線

由此,我們令:x=gs(ps),這時就可將通信端口數n和用戶數m做如下的關系:

n/m=1.5/(16*2x)=3/2x+5

其中x≥4為待確定的數字。實際上,當模型收斂時我們得出:

由此得出網絡安全和流量控制模型,對于不同的地區當然有不同的控制方法,根據它們的不同,用分時方案同樣可以得出一個較為合理的控制模型。

3 仿真測試與分析

在網絡流量分析中,我們側重宏觀分析,如容量、吞吐量、利用率,抱怨度等等[5],這樣能夠使我們對網絡的整體運行狀況有很好的了解,本文通過對流量數據的分析,建立了模型,并通過Matlab仿真[7],用隨即模型和我們建立的模型進行質量優化對比,得出以下圖形(如圖2所示),可以看出,目標模型的網絡質量明顯好于我們的隨機模型。

圖2 隨機模型和目標模型的對比情況

因此我們可以得出主干網絡的流量需求[9],取決于存儲節點的位置、使用時間高峰、計時長、包月方式等,以及所設計的分段開通的控制模式。如果存儲節點在中心節點,那么每個訪問用戶都要建立鏈路去訪問中心節點的內容,帶寬需求與同時訪問的用戶、頻道的傳輸碼率等等。如果存儲節點處于邊緣節點,則主干網絡上的業務流量需求可以消除,但對邊緣節點的處理能力有了更高的要求,進而提高了網絡部署的成本[8]。

4 結束語

實驗證明,我們所得到的網絡安全和流量模型具有較好的控制效果和較穩定的安全性,同時易于實現,并且用最小的代價獲得了最優質的網絡服務。關于網絡安全與流量控制問題的優化研究,目前,還沒有一種萬能的數學模型能夠適用于所有的情況,在一定意義上所建立的模型只適合于特定的網絡環境。本文只涉及到流量模式等方面的討論,而在對模型的建立、因素的選取等優化問題的定量分析上還有待于進一步去研究。

參考文獻:

[1] Dell R.McKeown N and Varaiya P.Billing Users and Pricing forTCP[M].IEEE Journal on Selected Areas in Communications,1995.7:1162

[2] Mackie-Mason J K and Varian H Resume FAQs aboutUsage-based pricing[M].Computer Networks and ISDN systems,1995.1-2:257

[3] 傅曉明.Internet網絡服務定價研究現狀與展望[J].計算機與現代化,1999.2.

[4] 張文鉞.一種基于計費管理的網絡服務質量控制法[J].計算機工程與應用,1999.6.

[5] 陳寶林.最優化理論與算法[M].清華大學出版社,2005.

[6] K.安斯倫.數學計算機用的數學方法統計方法[M].上海科技出版社,1981.

[7] 易芝,黃穎,鄒永貴.基于IPv6的局域網通信系統的設計和實現[J].重慶郵電大學學報,2005.17(2):238-24

[8] 謝希仁.計算機網絡[M].電子工業出版社,2003.

[9] 張裔智.基于Intranet開發方案的量化評價[J].浙江大學碩士學位論文,2002.

篇2

關鍵詞:IP網絡;網絡流量控制;應用;發展

1 IP網絡流量控制技術的應用

IP網絡流量控制對寬帶的有效利用起到了重要作用。有效的流量控制,一方面是互聯網穩定運行的重要保證,一方面又是各種QoS技術實際應用的前提條件,因此,研究有效的IP網絡流量控制技術具有重大意義。

首先,我們需要了解當今主流的流量控制技術。

1.1 IP網絡的流量控制方法

IP網絡流量的具體控制方法有很多,具體可以分文宏層和微層控制兩種類型。前者主要通過控制全網的資源利用率來提升整個網絡的效率;后者主要作用于數據流層,通過阻塞控制、隊列管理等技術實現對流量的控制。宏層控制由于涉及面太過龐大,已超出了本文的討論范疇,故本文將微層控制列為重點研究對象。

常見的微層流量控制對象是數據包,可分為調度、丟棄和阻止等方式。數據包調度賦予子節點控制數據包傳輸速度的權利,以此來進行流量控制,有代表意義的就是基于路由器的隊列調度;數據包丟棄通過丟棄部分流量,來清除嚴重阻塞,保證網絡暢通;數據包阻止,主要作用在進入網絡后將被丟棄的部分數據包上,也是有效的流量控制方法。

控制流量的具體方法還有很多,值得探究的地方也數不勝數,本文將從其中的兩個方面入手,具體闡述IP網絡流量控制技術的應用。這兩個方面分別為隊列管理策略和阻塞控制策略。

1.2 IP網絡流量控制技術的應用

⑴隊列管理策略的應用。數據包的調度主要通過隊列管理來實現,傳統的IP路由器主要采用FCFS,即先來先服務的策略,按此策略,路由器在緩沖滿了以后,將丟棄之后到達的IP分組,即“丟尾”。該方法實現簡單,但無法顧及數據包的重要程度,也無法正常應對惡意數據流,經過改進,一種按照數據包的優先級來進行數據包調度的策略應運而生,這就是優先級排隊調度策略。在該策略下,路由器優先服務于最高級別的數據包,從而可以保證重要數據的傳輸率,并以此應對惡意流。

以優先級排隊調度為例,數據包到達IP路由器后,根據優先級別,被送入不同的隊列,進而根據不同的調度算法接受處理。在此策略下,高低優先級的數據包所經受的延遲各不相同,其中,高優先級的延遲為:

其中μ為服務率,λ為到達率,ρ1為高優先級數據包的到達率與服務率的比值,ρ為所有數據包的相關比值。

通過實際對比可以看出,在此策略下,數據包的傳輸性能排行是高優先級>無優先級>低優先級。雖然該方法尚存在一些缺點,但以此為起點的各種改進方法已使得優先級排隊策略越來越合理,越來越值得應用,其中比較有意義的就是強占優先排隊模型。

⑵阻塞控制策略的應用。網絡阻塞嚴重影響著網絡QoS,是需要控制的一個重要環節。造成網絡堵塞的原因多種多樣,歸根結底還是在于網絡負載大于網絡處理能力。網絡中一旦發生阻塞,將嚴重滯后數據的傳播速度,使網絡服務質量大幅降低,甚至會直接導致網絡大面積崩潰。其控制方法一般可分為開環和閉環兩種。開環控制需要設計人員在設計之初就考慮到任何可能造成阻塞的情形,事先就解決這些問題;閉環控制則需要實時接受反饋,依據特定算法推測阻塞狀況,調整數據包發送速率,以達到阻塞控制的目的。目前被廣泛應用的阻塞控制策略主要還是數據包的丟棄和阻止,不過本文將著重探討另一種策略:漏水桶模型。

漏水桶模型,是一個比較成功的阻塞控制策略,實際應用于IBM開發的PARIS網絡中。該方案通過控制數據脈沖來達到阻塞控制的目的,無法保證數據包的延遲上限,也存在緩存溢出的問題,但其數據包的平均延遲可控,有利于阻塞的控制。其數據包的平均延遲為:

其中λ表示數據包以速率為λ的泊松過程到達節點,1/μ為在進入率為r時傳輸一條消息的平均時間,C為允許進入量能夠被累計下來的時間。

2 IP網絡流量控制技術的前景展望

由于筆者時間與精力有限,本文只著重對IP網絡流量控制技術中的隊列管理策略以及阻塞控制策略進行了一些淺顯的研究,留給廣大科研工作者的專業問題還有很多。

隨著科學技術的進一步發展,處理隊列管理和阻塞控制,研究排隊模型已成為現代通信學科中的一個重要課題,一時間優秀的文獻層出不窮,對舊理論、舊方法的考驗越來越重,迫切需要我們深入研究、努力探討,得出更符合實際的排隊模型。

3 結束語

互聯網現已逐漸發展為承載業務多、服務范圍廣、用戶群體雜的全球性信息傳輸平臺。然而現今的互聯網依舊以IP技術為基礎,受到IP協議本身缺陷的影響,無法提供有效的QoS保障,難以有效監管網絡資源。在這種大背景下,流量控制技術應運而生。該技術通過對網絡流量進行分類、調整等手段來保證關鍵服務,避免網絡堵塞,實現了網絡的最大化利用,是一門需要我們投入大量研究精力的重要學科,其關鍵技術尚不成熟,依舊需要我們為之付出積極努力。

篇3

關鍵詞:TCP UDP P2P DPI DFI 網絡流量 流量梳理

危害網絡的異常流量是指能對網絡的正常運行造成危害的異常流量,異常流量可能會導致網絡擁塞,網絡設備處理性能下降,甚至影響網絡的正常訪問。病毒、網絡攻擊、不正當的網絡配置和P2P的廣泛應用都會造成網絡異常,給本來網絡帶寬資源有限的校園網絡帶來很大壓力。

通過對流量進行檢測和分析,把流量解碼、分類和統計后,通過技術策略把流量進行梳理,對危害流量進行限制優先級和阻隔,更有效地保護關鍵應用流量,使網絡帶寬資源得到更加合理的配置。

一、流量檢測技術

目前流量控制設備采用的技術主要分為DPI、DFI以及這兩種技術的綜合:

1.DPI(Deep Packet Inspection)基于深度包檢測技術,DPI技術在分析包頭的基礎上,增加了對應用層的分析,是一種基于應用層的流量檢測和控制技術。當IP數據包、TCP或UDP數據流經過基于DPI技術的流量管理系統時,該系統通過深入讀取IP包載荷的內容來對OSI7層協議中的應用層信息進行重組,從而得到整個應用程序的內容,然后按照系統定義的管理策略對流量進行整形操作。針對不同的協議類型,DPI識別技術可劃分為以下三類:

(1)基于“特征字”的識別技術:不同的應用通常依賴于不同的協議,而不同的協議都有其特殊的“指紋”,這些“指紋”可能是特定的端口、特定的字符串或者特定的Bit序列。

(2)應用層網關識別技術:某些業務的控制流和業務流是分離的,業務流沒有任何特征。應用層網關需要先識別出控制流,并根據控制流的協議通過特定的應用層網關對其進行解析,從協議內容中識別出相應的業務流。

(3)行為模式識別技術:行為模式識別技術基于對終端已經實施的行為進行分析,判斷出用戶正在進行的動作或者即將實施的動作。

2.DFI(Deep/Dynamic Flow Inspection)深度/動態流檢測,與DPI進行應用層的載荷匹配不同,采用的是一種基于流量行為的應用識別技術,即不同的應用類型體現在會話連接或數據流上的狀態各有不同。由于DPI技術與DFI技術實現機制不同,故它們在實現效果上各有優點,表現在如下幾個方面:

(1)DFI處理速度相對快:采用DPI技術由于要逐包進行拆包操作,并與后臺數據庫進行匹配對比;采用DFI技術進行流量分析僅需將流量特征與后臺流量模型比較即可。

(2)DFI維護成本相對較低:基于DPI技術的帶寬管理系統,總是滯后新應用,需要緊跟新協議和新型應用的產生而不斷升級后臺應用數據庫,否則就不能有效識別、管理新技術下的帶寬,提高模式匹配效率;而基于DFI技術的系統在管理維護上的工作量要少于DPI系統,因為同一類型的新應用與舊應用的流量特征不會出現大的變化,因此不需要頻繁升級流量行為模型。

(3)識別準確率方面各有千秋:由于DPI采用逐包分析、模式匹配技術,因此,可以對流量中的具體應用類型和協議做到比較準確的識別;而DFI僅對流量行為分析,因此只能對應用類型進行籠統分類。如果數據包是經過加密傳輸的,則采用DPI方式的流控技術則不能識別其具體應用,而DFI方式的流控技術則不受影響,因為應用流的狀態行為特征不會因加密而根本改變。

3.其他技術。由于DPI和DFI技術各有優缺點,因此有些流控產品采用的技術則結合了DPI和DFI兩者的優點。

二、星海音樂學院校園網出口流量監控和梳理

1.網絡狀況

目前網絡出口帶寬為100M,平常在線人數為1000人左右,高峰期在線人數為1600人左右,按照平均分配帶寬的方式計算,就是用戶平均分配到的網絡流量為100kbps~63kbps之間。因此校園網的出口帶寬在日常的使用情況下已經是很有限了,而用戶對帶寬的需求卻因P2P、視頻流等軟件的廣泛使用而在無限的增長。這個矛盾最終會導致帶寬不夠分,網速持續變慢,網絡服務質量下降。

要解決這種矛盾,長期有效的方法就是對網絡流量進行靈活的監測和梳理,利用技術手段抑制不良應用對網絡帶寬的占用,正確引導用戶使用網絡資源。

2.流量監控和梳理應用

目前我校采用PROCERA公司的PacketLogic 7720流控設備,該設備采用了廠家自行開發的DRDL流量識別和梳理技術,該技術結合了DPI和DFI的優點,能對流量進行精細識別和控制,同時對流量轉發速度影響極小。

(1)流量梳理的實現

如圖1所示是一個沒有進行流量控制和梳理的網絡邊界。這種情況下,用戶流量會超出網絡外部連接的可用帶寬。網絡邊界設備(如路由器)通常會維護一個緩沖隊列,該隊列保存了超出部分流量而未能轉發出去的數據包。這個隊列一般是先進先出隊列,而且隊列的大小有限制,當隊列滿了后,就會出現丟包情況。

而下面談的流量梳理的實現,首要問題就是解決如何能采取有效的策略,使流量能暢通無阻得到轉發,避免丟包的情況出現。

圖2為網絡在未有實現流量梳理時候的狀況,所有流量消耗著大量的可用帶寬和連接資源。網絡中的關鍵應用流量(如圖2黑色部分)往往只占有可用帶寬的很小比例,即便如此,關鍵應用流量依然得不到有效的轉發。即使某些關鍵應用被成功轉發了部分流量,但某些延時敏感的關鍵應用(如語音業務)卻由于延時的累積,使實際應用往往不能得到有效的保證。

由此可見,一種基于策略的流量梳理(能夠判斷出哪些流量需要立即轉發,哪些流量可以延時轉發),就變得很有必要了。

如圖3,通過在網絡邊界出口前增加多個流量梳理隊列,隊列的數量和屬性取決于流量管理策略。如圖中的漏斗,就相當于一個梳理實體隊列(梳理對象)。通過流量的檢測和識別,把不同類型的流量分別轉發到各個“漏斗”中。通過各個“漏斗”的優先級等屬性設定對流量進行轉發,最終保證關鍵應用流量的帶寬,使帶寬利用更加合理。

(2)流量監控和梳理的應用

在對流量監控和梳理的策略制定時,考慮到學?,F有情況和流控設備的性能,設定相關的網絡對象、時間對象、服務對象、屬性對象、梳理對象和規則等,并通過各種對象的互相組合,制定符合實際環境的流量控制策略,以下是進行流量的控制和梳理的具體方法:

①通過控制特定網絡對象中每個個體的流量、包速率、連接數、延時、隊列大小等屬性,達到在特定時間段內,實現對該網絡對象中的個體流量控制策略。如對學生和教師的個體流量控制,使網絡資源得到更公平的利用。

②通過控制特定網絡對象整體的流量、包速率、連接數、延時、隊列大小等屬性,達到在特定時間段內,實現對該網絡對象的整體流量控制策略。如在教學辦公時間段內,對整個學生公寓區的流量進行整體控制,可以更有效保證教學辦公區的帶寬。

③通過控制特定服務對象中的某些服務的流量、包速率、連接數、延時、隊列大小等屬性,達到在特定時間段內,實現對某些特定服務和應用的流量控制策略。如在網絡使用高峰期,限制P2P下載業務的流量或連接數,以保證其他正常網絡應用的帶寬。

④通過梯度流量控制策略,即對某一時間段內,用戶流量累計達到設定的上限值時,采取流量控制變更的策略,從而更有效地引導用戶合理利用網絡資源。

⑤實現梳理隊列的帶寬借用技術。即在某一時間段內,當優先級高的梳理隊列中有帶寬富裕的時候,其他梳理隊列可以向其借用帶寬。使整體網絡資源得到更加充分的利用。

流控設備作為透明網關的方式部署在網絡出口上,經過對校園網的使用情況研究和長期的測試調試,制定了如下策略:

(1)總體策略

校園網出口帶寬:上/下行:100Mbps

控制教師區個體帶寬:上/下行:512kbps

控制P2P下載業務:上/下行:6Mbps;

連接數:20k

控制學生區視頻流業務帶寬:上/下行:18Mbps

(2)辦公時間段

辦公時間段為周一至五:9:00~17:00.

控制學生個體帶寬:上/下行:256kbps

控制學生公寓總帶寬:下行:85Mbp

(3)擁塞時間段

擁塞時間段為周一至五:21:30~23:59

控制學生個體帶寬:上/下行:128kbps

(4)低峰時間段

擁塞時間段為周六、日:0:00~13:00、

周一至五:8:00~10:00

控制學生個體帶寬:下行:1Mbps;

上行:512kbps

三、結束語

通過梳理和策略應用之后,校園網在不同時間段,針對不同用戶對象做出不同的流量梳理策略,使帶寬資源得到更充分和合理的利用;通過對個體帶寬的合理限制,使帶寬資源得到更加公平的分配;通過對危害流量的限制和阻隔,有效保證了關鍵應用和其他常用應用的帶寬使用;通過流量的統計和各種技術指標的視圖展示,能便捷地掌握整個校園網的網絡狀況,從而更好地對網絡和流控梳理策略的調整和優化。最終整個校園網用戶的上網行為意識將得到更正確的引導,在不增加帶寬成本的情況下,帶寬資源利用率將得到不斷的提高。

參考文獻

[1]Piero A.Bonatti,Daniel Olmedilla.Driving and Monitoring Provisional Trust Negotiation with Metapolicies[A].IEEE POLICY 2005[C].Stockholm, Sweden,2005:123~135

篇4

關鍵詞:主動防御;統一威脅管理;流量控制;蜜罐

本文研究背景來源于校園網主動防御安全架構升級改造。通過對統一威脅管理、流量控制、蜜網聯動實現安全控制資源的統一管理和響應。這樣可以集中體現了整體、立體、多層次和主動防御的思想,提升安全管理效能。

一、校園網所面臨的新威脅

在當前的校園網絡中,隨著網絡技術的應用和發展,黑客攻擊和病毒技術日益泛濫,方式日趨多樣化、自動化,病毒的傳播更快,危害更大。如各種蠕蟲、間諜軟件、網絡釣魚等威脅、移動代碼結合,形成復合型威脅,可以在很短的時間內蔓延整個校園網,造成大面積斷網,使威脅更加危險和難以抵御。此外,對校園網的濫用,在線音樂影視、P2P下載等流量非常大的網絡應用占用大量的網絡帶寬,使校園網中正常的業務流量無法得到有效保證。而校園網是一個開放的、復雜的網絡,存在很多不確定的因素,在管理上面臨更大的挑戰?;仡櫸以盒T簣@10年來的建設過程主要完成了基礎性建設,如帶寬的擴容、多線路的負載均衡、網絡節點的增加等。而在網絡安全方面卻沒有引起足夠的重視,一直以來,在歷次網絡安全問題出現時處于“頭痛醫頭,腳痛醫腳”的被動防御局面。雖然也逐步部署了安全認證服務、防病毒服務、防火墻、IDS等安全設備,但設備間各自為政,不能相互協作,使用效果并不理想。

二、主動防御安全技術研究

統一威脅管理(UTM)通過采用綜合分析、分流處理的設計思想,對各種數據的分析是在一個綜合分析引擎中實現,由綜合分析引擎判斷出數據的合法性與否,如果合法則正常流過,如果非法則交與獨立的處理引擎進行處理。采用綜合分析引擎進行數據分析比各個安全模塊采用獨立的分析引擎具有更高的效率和安全性。

流量控制可以把全網網絡流量分布情況展現在我們面前。將第七層流量打回第四層,在流量檢測過后,使用第七層防火墻來阻擋某些應用。并會把在第七層流量過濾,讓其以第四層正常的端口號運行,幫助你原有的第四層防火墻得以用端口號作最基本的控制。另外,流量控制系統可以阻擋非標準的IM聯機,可以識別應用程序的精細行為,針對每個使用者或組給予不同的權限。

蜜罐是一種安全資源,其價值在于被掃描、攻擊和攻陷。蜜罐并不向外界用戶提供任何服務,所有進出蜜罐的網絡流量都可能預示著一次掃描、攻擊和攻陷,蜜罐的核心價值在于對這些非法活動進行監視、檢測和分析。蜜罐技術上逐步發展為誘捕網絡,蜜網構成了一個誘捕網絡體系架構,在這個架構中,可以包含一個或多個蜜罐,同時保證了網絡的高度可控性,以及提供多種工具以方便對攻擊信息的采集和分析。

三、主動防御安全系統部署

我們在校園網中部署能夠捕獲攻擊者的攻擊,收集攻擊數據,分析和抑制攻擊的基于主動策略的安全系統,結合統一威脅管理、流量控制和蜜罐技術,相互補充,進一步提高我院校園網絡的防御能力。

1,外部統一威脅管理設備作為校園網絡邊界的第一道防線,將大部分的入侵行為進行隔離。該設備防火墻采用的策略是:對入境的通信嚴格控制,而對出境的通信則按安全策略放行。

2,內部流量控制設備作為內部流量管理控制設備,在應用層對校園網內部的流量進行分析檢測,分析突發的大流量應用、異常流量監測,對P2P協議進行時間限制,有效的對非正常教學、辦公流量進行阻擋,在現有帶寬下保證網絡的安全高效。

3,蜜網的設置與外部UTM恰巧相反,即對入境的通信放寬,以便收集更多的數據、證據;而對出境的通信則按安全策略嚴格控制,防止入侵者利用該系統作為跳板,對其它系統進行進一步的攻擊。為了更進一步收集數據,在蜜網內部防火墻的內部安裝嗅探器,對進入系統的每一個數據包都做記錄。

4,主動防御管理收集各數據源,包括UTM阻擋日志、流量阻擋日志,蜜罐主機記錄日志、嗅探器的數據,將收集到的數據按照統一的格式進行分類、歸納,以供分析利用。

5,將淘汰的網絡設備、功能服務器經過虛擬和重定向處理應用到蜜網的部署中,由于這些系統和應用都是真實的,因此在蜜網中發現的漏洞和弱點就是真實存在的,需要改進的。

四、結束語

通過統一威脅管理、流量控制管理和蜜網的高效聯動管理,網絡管理有了新的理念,可以對數據流的分布做很準確的考察和管理,實時掌控網絡的運行狀況,及時將網絡風險進行有效防御,這種前瞻式主動防御部署,節省了增加帶寬的費用,解決了網絡擁堵問題,同時實現了更好的網絡安全管理。

參考文獻:

篇5

關鍵詞:局域網;網絡流量;控制;管理

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2011)35-9063-02

現在的網絡帶寬不斷增加,但是網絡速度卻經常出現問題,很多企業和運營商都面臨這樣的困境,因為網速變慢,增加帶寬,可是投入越來越大,網速卻越來越慢。其實造成寬帶擁塞的原因有很多,出口帶寬永遠低于桌面帶寬是最根本的原因。而且由于網絡的快速發展,人們對網絡的要求越來越高,特別是近年P2P等下載軟件和網絡電視的流行,更使本來就不多的網絡資源捉襟見肘。要想改善網絡環境,提高網速,最主要的還是要控制P2P、網絡視頻等軟件,做好網絡流量的監控和管理。

1 局域網網絡流量監控方法

網絡流量監控主要的目的是通過對網絡數據進行實時連續的采集監測,對獲得的數據進行統計分析,從而得出網絡的主要性能指標,根據流量數據對網絡進行分析管理。網絡流量監控一般可以使用網絡監控設備或網絡流量監控軟件。由于目前局域網中原有的網絡設備大多是基于三層IP管理的設備,對新興的以P2P模式為主流的新型應用管理無能為力,無法阻止如BT這類P2P軟件的泛濫成災,進而導致重要的網絡應用帶寬無法保證,要解決這一問題,就必須使用面向應用的網絡流量控制軟件,對整個網絡進行全面管理與優化。由于目前網絡應用的多樣性發展,網絡流量的種類也越來越多,最為常見的網絡流量有以下幾種:

1) P2P流量:P2P文件共享是網絡帶寬的消耗大戶,特別是在夜間,這個時間段網絡帶寬竟有95%被P2P占據。

2) FTP流量:FTP是從互聯網剛開始出現時就一直被用戶頻繁使用的服務,它的重要性僅次于HTTP和SMTP。目前因為出現了P2P應用,FTP的重要性有所降低,但它仍然是不可缺少的下載文件途徑之一。

3) SMTP流量:電子郵件無疑是網絡應用的重要組成部分,統計顯示有3/4以上的用戶上網的目的主要就是收發郵件,而因為電子郵件的免費使用,被人們當成了散發自己廣告信息的有效工具,從而導致了互聯網中大量的垃圾郵件泛濫。

4) VoIP流量:2006年全球IP電話用戶從1030萬增長到1870萬,增幅達83%。2007年VoIP通話量已達到全部通話量的75%。因此,互聯網上VoIP的流量也是非常值得管理員關注的。

5) HTTP流量:HTTP是互聯網上使用最為廣泛的協議,目前已經取代傳統文件下載的主要應用層協議FTP,而現在隨著視頻共享網站的拉動,HTTP協議的網絡流量大大增加,已經超過了P2P應用的流量。

6) Streaming流量:隨著PPLive、PPStream等視頻軟件的出現,廣大互聯網用戶已經習慣于通過視頻直播和點播觀看節目,其流量也在不斷地增加。

針對以上這些流量種類,我們可以分別采取不同的措施進行控制。當然,不論是什么網絡癥狀,我們都需要根據自身的情況對癥下藥,這樣才會事半功倍!

2 局域網流量控制與管理策略

流量控制通常的做法是在輸出端口處建立一個隊列進行流量控制,控制的方式是基于路由,亦即基于目的IP地址或目的子網的網絡號。

2.1 通過路由控制流量

當前,很多路由器也具有流量控制功能,最近TP-Link TL-R410+、TL-R460+等桌面型型號路由器進行了升級,新增了“流量控制”功能,可有效控制局域網內每一臺電腦所占用的帶寬大小,合理管控部分P2P軟件的下載速度,防止少數用戶過度占用帶寬,解決大多數用戶網速慢、上網卡等問題。

2.2 禁止P2P下載

P2P下載是搶占流量帶寬的罪魁禍首,其方法主要是:

使用注冊表禁止P2P下載軟件編輯一個名字為KillP2P.reg的注冊表文件,內容如下:

WindowsRegistryEditorVersion5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"DisallowRun"=dword:00000001[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]

"1"="BT.exe"

"2"="Thunder.exe"

"3"="bitcomet.exe"

"4"="………."

"5"="………."

想限制哪種P2P軟件,只需將P2P下載軟件的可執行文件填寫到1、2后面即可。將KillP2P.reg文件導入注冊表后,重新啟動機器,KillP2P.reg中限制的P2P軟件將無法運行了。

其實,在控制P2P下載這方面,效果較好的要屬國內的聚生網管這款軟件,它是根據P2P軟件的協議特征來進行控制,最為嚴格最為有效。如果對注冊表不是很熟悉,可以直接去使用此軟件控制。

2.3 進行時間段管理

現在有些寬帶(無線)路由器也具有時間限制功能,目的是針對某參數某功能采取時間調度進程的方式管理其開與關,就是符合時間段內則開啟,不符合時間段內就關閉。一般來說在路由器管理界面中有專門的所謂“調度進程”的選項,這個就是時間管理與控制的最基本要素,通過調度進程實現制定時間規則的目的。

時間管理存在于各個廠商各個品牌的寬帶(無線)路由器中,他也是無線路由器未來功能發展的趨勢,隨著技術的發展,會有越來越多的參數與功能打上“調度進程”的標簽,讓我們根據自己的實際需要選擇開關的時間段以及不同時間段下不同的參數值??傊?,控制好時間,可以讓網絡更好的為我們服務。

2.4 限定局域網主機速度

限制局域網主機上傳和下載的速度,允許其進行P2P軟件下載,但是將其下載的速度限制在合理的范圍內,使其不至于影響其他人正常瀏覽網頁或下載,但是,一定要注意上傳帶寬不超過下載帶寬。

以上解決方案部署、操作都比較麻煩、技術性要求較高,如果想徹底解決局域網帶寬流量問題,我們可以借助網絡管理軟件進行管理。國內這方面的軟件眾多,比如聚生網管,這款軟件操作非常簡單,可以從聚生網管的官方網站下載試用。

3 局域網流量異常發現與處理

借助網絡監控軟件,網管能輕松監控局域網的流量異常的電腦,既保證局域網的暢通高效,又能確保局域網安全運轉。

異常流量可能導致局域網運行緩慢,甚至可能造成局域網全面癱瘓,那么到底是什么原因造成這種現象呢?對于局域網中的每臺主機,網管員不可能全部監視或者逐一排查,那么有什么辦法能夠解決這個問題呢?

3.1 找出流量過大的電腦

要想解決局域網流量異常的問題,首先要找出局域網中流量異常的主機,它是造成整個局域網異常的元兇。通常我們可以借助網絡監控軟件,使用很簡單,只需在局域網中任意一臺主機安裝,就可以監控整個局域網。包括對網頁、QQ、MSN、FTP、收發郵件等進行監控,還可以進行流量統計、控制上網、沖突警告、連接探測、IP綁定等功能。

在安裝網絡監控軟件之前,會提示網管安裝WinPcap程序,如果不進行安裝,則不能捕獲局域網中的數據。當軟件第一次運行時,會提示網管選擇網卡,這一步非常重要,如果選錯了網卡,那么將不能獲取局域網的相關數據。不過,有些監控軟件有自動檢測功能,默認就能正確識別網卡。正確選擇了網卡,相應的IP地址、MAC地址、子網掩碼等也會自動顯示。

借助軟件網管可以對整個網段進行監控,我們可以更改設置,比如只監視某個IP范圍的幾臺機器,網管還可以看到每臺機器的流量記錄、網頁記錄、QQ聊天、MSN數據流量、FTP數據流量、收發郵件數據等,根據這些流量記錄,找出哪臺電腦占用帶寬多,搶占局域網資源,從而找到流量異常的電腦。

3.2 對異常主機發出警告

借助網絡監控軟件,網管可以非常輕松地找到流量異常的主機,接下來,網管有必要對之進行警告。當然,網管不是到他們的辦公室逐一警告,網管只需要借助監控軟件的消息發送功能即可。要注意的是,網絡監控軟件是調用系統的信使服務發送消息,因此只有對方電腦的信使服務開啟才能收到網管的警告。

如果通過上面的警告方式沒有起到成效,那么可以選中問題主機,采取“禁止上網”措施,這時對方將馬上斷開網絡。此外,針對病毒木馬導致的網絡流量過大,網管還可以進行遠程關機或者重啟。

除了監控功能外,功能比較強大的網絡監控軟件還針對用戶隨意更改IP地址的情況提供了IP-MAC綁定功能,一旦綁定后,用戶將無法更改其IP地址了。

總的來說,網絡監控軟件提供了非常豐富的網絡管理和安全管理功能,是企業局域網中不可或缺的管理工具,網管借助這個軟件可以高效地管理局域網。

值得注意的是,網管員在部署網絡監控軟件前,務必和主管領導溝通好監控的范圍和方式,切忌用監控軟件干超過自己權限的事情,以免引來不必要的麻煩。

4 結語

目前對于網絡流量監控最有效的方法是使用流量監控軟件,選擇一款有效的流量監控工具,網管能夠清楚的看到哪個用戶使用網絡資源最多,使整個網絡使用情況變成透明。讓管理者一目了然,是進行有效管理的前提。當然,光靠外來的方法永遠不可能徹底解決問題,想要進行有效的網絡管理,首先一定要通過管理層的決策,建立合理的上網管理制度。只有這樣,才能有效的進行局域網流量的控制與管理。

參考文獻:

[1] 李晟,甘勇.網絡流量測量與分析研究現狀及發展趨勢[J].鄭州輕工業學院學報(自然科學版),2005年02期.

[2] 王立梅,朱海濤.局域網流量分析及性能評價[J].中國科技信息,2008年12期.

[3 ]林川,胡波.網絡性能測試與分析[M].北京:高等教育出版社,2009.

篇6

【關鍵詞】 用戶分級 業務分類 流量控制 綜合調度 調控

一、引言

2013年12月4日,工信部已正式發放4G牌照,但受限于網絡建設、終端等原因,2G及TD網絡在相當長的時間內仍是移動數據業務的主力承載網。近幾年來,移動數據業務快速發展,網絡數據承載壓力明顯上升,而用戶的體驗要求也隨著社會的發展不斷提高,以QQ為代表的即時通信類業務大量占用無線資源,產出卻相對很小。從網絡運營的角度,在資源不足時,需優先保證高等級業務、高等級用戶的使用體驗。因此,對用戶進行分級、對業務進行分類,并結合流量控制,形成多維綜合調度優先級實現無線資源動態調控,給用戶提供差異化服務,提升數據業務網絡資源效率及效益,便成為運營商的一個重要運營手段。

二、無線資源調控方案

2.1 數據業務調控策略

2G及TD網絡中承載的業務類型眾多,除了各類自有業務,還有諸如瀏覽、文件傳輸、點到點、即時通信類等典型業務。要實現資源動態調控,首先需要根據業務類型特點制定合理的調控策略,從差異化用戶服務、保障自有業務健康發展的角度,調控策略建議如下:

1、對用戶進行分級,將用戶分為金牌、銀牌、銅牌三級。

2、對業務進行分類,對手機視頻、手機閱讀等自有業務設置高優先級。而即時通信類、點到點下載類業務可設置成較低級別,用SCI(Service Class Indicator)來指示業務類型。

3、基于“用戶+業務”的分級,在對用戶和業務分級后,綜合兩種分級策略,制定二維的、基于“用戶+業務”的分級。

4、在高校、居民區等即時通信類業務比例較高的區域實施QQ業務管控,減少QQ對無線資源的額外空占影響。

5、基于用戶、業務、時間、地點、累計流量等多維度實施流控,優先保證忙時忙區的高等級用戶的自有業務體驗,當包月流量超出后改變可提供的最大速率,進行流量控制。

2.2 端到端調控策略生成與下發

當用戶請求數據業務及發生業務類型轉變時,GGSN通過檢測網絡下行數據包頭來確定業務類型,此時需要相應的機制將此業務類型告知BSC或RNC,以便進行無線資源調度。

2.2.1 GTP-U實現參數傳遞

標準的QoS參數通過PFC流程傳遞,但無法指示具體業務,因此需要引入新的機制,有DSCP和GTP-U等多種備選方案,通過對比分析,建議采用GTP-U的方案。以2G網絡為例,首先GGSN檢測出業務,將相應的SCI標識添加到攜帶數據包的GTP-U包頭中,發給SGSN;SGSN解析GTP-U表頭擴展標識,將業務類型存放到BSSGP包頭的QoS Profile信元里;BSC讀取BSSGP包頭的內容,針對不同業務進行基于優先級的無線資源調控。GTP-U為3GPP規范的標準參數,因此,該參數傳遞方案可直接擴展至TD和LTE網絡。

2.2.2 調控策略生成與下發

端到端調控策略生成與下發的流程圖如圖1所示:

1、BOSS通過SOAP接口將用戶、業務分級的情況寫入策略生成單元(PCRF)和HLR。

2、策略生成單元在用戶激活上下文的時候將用戶分級和業務分級的情況通過規則的形式通知GGSN,GGSN通過在不同業務數據包中置位的方式通知SGSN,SGSN再將相關的優先級置位轉發給BSC或RNC。

3、BSC或RNC基于下行數據包中收到的不同的優先級置位來進行基于綜合優先級的調度。

2.3 基于綜合調度優先級的無線資源動態調控

2.3.1 基于用戶分級和業務分類的優先級調度

以2G網絡為例,當BSC成功解析出核心網傳遞的調控信息后,將根據其內置的綜合優先級映射表進行無線資源的調度。

綜合調度等級(ISP)分成5級,通過ARP與SCI的不同組合值確定。本次ARP用1代表金牌、2代表銀牌、3代表銅牌用戶,SCI用A表示自有業務、B表示瀏覽類業務、C表示下載類業務、D表示QQ業務,SCI可以用于區分多達255種業務,可根據實際需要進行設置,以達到精細化調控的目的。需要指出的是,表中的綜合調度優先級映射并不是一成不變的,可根據經營策略和網絡情況靈活進行調整。

當BSC根據核心網下發的調控參數完成基于表1的內部映射后,即實施基于權重的輪詢調度算法來調控資源。對于5個綜合調度等級,可以對其設定5個不同的權重值,并且可根據實際需要進行修改。

2.3.2 基于用戶、業務、時間、地點、套餐情況的流量控制

在無線側進行綜合優先級調度的同時,還可以進行基于用戶、業務、時間、地點、套餐情況等多維條件的流量控制,流量控制的核心思想是通過允許的最大傳輸速率來實現,主要由GGSN完成。

1、對于時間,可以在策略生成單元中實現忙時定義,如定義晚18點到20點為忙時,當忙時到達時,策略生成單元到時會重新下發新的策略規則供GGSN執行。

2、對于地點,在SGSN上傳的PDP請求激活消息中有相關小區信息,在策略生成單元中定義的策略下發給GGSN,當用戶的小區信息發生改變后,策略生成單元重新下發新的預定義規則,觸發QoS更新。

3、對于套餐情況,當用戶申請的套餐情況發生變化,如超過50元的套餐流量時,BOSS側會更新策略生成單元中用戶所在策略組,當新策略下發給GGSN后,GGSN根據策略指示做出修改最大流量限制的判斷。

2.3.3 即時消息類業務無線資源優化

由于以QQ代表的即時消息類業務對速率和信道資源并不敏感,根據其空占比較高的特點,適當減少該類業務的資源占用并不會對用戶感知造成明顯影響,但可以大大節省無線資源的占用,因此,需要對此類業務進行進一步的無線資源優化。

1、單獨的TBF延遲釋放控制

BSC解析BSSGP消息獲取SCI信息后,如果SCI指示為QQ業務,那么將啟用新的延遲釋放參數單獨對QQ進行控制。延遲釋放參數設置越小,釋放TBF和信道就越快。

2、單獨的TBF提早釋放控制

在TBF的預留機制當中,系統通過參數控制需要預留的TFI和USF資源,當系統剩余空閑的TFI、USF資源小于新增的針對QQ單獨設置的預留門限時,BSC會立即釋放QQ業務所占用的已無數據傳輸的TBF資源,從而減少QQ對資源的無謂占用。

通過以上優化手段可以大大減少QQ業務的額外資源占用,在不明顯影響用戶感知的前提下節省了無線資源,緩解了QQ業務帶來的大量資源空占問題,提高資源利用效率;當然,不同廠商設備的具體實現機制會有所不同,如有些還能對QQ聊天只分配一個信道,有些還能減少QQ業務的占用度。

3、測試驗證

我們在現網進行了試點應用。經過幾個階段的測試,結果表明,通過該調控方案的實施,能夠實現用戶等級區分、業務類型區分以及基于時間、地點等多種條件下流量控制的多維綜合資源動態調度;核心網能夠準確的通過GTP-U方案傳遞業務類型,BSC能夠成功識別出QQ業務并按照預設方案對其進行無線資源優化,達到了預期的目標。

試點期間網絡設備總體運行良好,設備負荷未出現明顯變化。指標方面,半速率占比和信道復用度有所下降,數據信道承載效率和TBF建立成功率均有所提高,其他主要關鍵指標無明顯影響;測試表明,金牌用戶在資源明顯擁塞的小區業務體驗得到明顯提升,同時低等級的QQ業務體驗未產生明顯影響,試點應用區域內也未出現用戶投訴的現象。

篇7

關鍵詞網絡流量 網絡擁塞 控制策略

1出現網絡擁塞的原因

互聯網作為計算機和通信技術融合的產物,近年來得到飛速的發展,尤其是硬件產品方面的發展。但硬件的飛速發展并未帶來網絡服務質量的飛速發展,網絡擁塞、網絡速度依然困擾著人們。導致網絡帶寬擁塞出現的原因,根據自有用戶的使用情況和需求反映,及在網絡和書籍上查找相關的情況,基本總結如下:

1.1LAN/WAN的不匹配

高速LAN與低速WAN之間不匹配造成嚴重的帶寬瓶頸,這將導致延遲與不一致的性能,我們學校從網絡供應商接入校園的外網才幾十M,而內網可達百M、千M。近十年來,LAN從10M、100M、千兆、到現在萬兆的內部主干網絡,而WAN也速率也從56k、128k、2M、10M、50M、100M、500M、千兆。雖然WAN速度增長倍數是大于LAN,但基數還是遠小于LAN。

1.2網絡流量種類、數量不斷增多

網絡用戶擁有多種不同的應用交叉連貫,從很重要的應用(如視頻會議和Voice overIP(VoIP))到娛樂性的應用,如在線視頻、在線游戲等。當關鍵性的應用與不緊急及娛樂性的程序共享相同的網絡資源時,不級別用戶爭搶帶寬,網絡速度變慢,甚至有的工作站就會出現無法接收數據的現象。歸根結底,是由于局域網帶寬過度消耗的。對帶寬需求較大而又非常重要的應用,需要在限制和允許之間做出平衡;對關鍵型的網絡應用需要保障其有不受干擾的通道。

1.3不預計的流量突發

蠕蟲、病毒和與日俱增的Web流量都是當前網絡的負擔。以消耗網絡資源為目的流量類攻擊發展迅猛,卻沒有有效的防范控制手段,網絡人員大量的惡意非法連接消耗帶寬,淹沒主機,造成拒絕服務(DoS)攻擊;蠕蟲病毒大量而快速的復制使得網絡上的掃描包迅速增多,造成網絡擁塞,占用大量帶寬,從而使得網絡癱瘓;網絡內部操作失誤等。

2流量控制策略

2.1 建立VLAN

建立VLAN能有效遏制機構范圍內的廣播和組廣播,進行跨園區的帶寬和性能管理。我們學校使用的交換機型號是華為3026 EI系列,通過該交換機,可以有效地限制網絡帶寬資源過度消耗。在完成物理連接后,通過Console端口到交換機的后臺配置界面,從中找到虛擬子網劃分設置選項,并通過該功能將24口的交換機所連接的端口設置成幾個不同的VLAN,通過VLAN中的IP地址段和職能部門的對應管理,我們可能直接就以職能部門的名稱作為分類的名稱,將網絡流量的來源和實際用戶聯系起來。劃分VLAN舉例:

[H3C] VLAN1

[H3C-VLAN1] quit

[H3C] VLAN 3 to 9 //創建了VLAN1

為了防止工作站隨意使用BT之類的下載軟件、在線影視等來過度消耗網絡帶寬資源,我們可以進入華為3026交換機的后臺配置界面,從中找到"端口帶寬控制"設置選項,通過這一功能選項將交換機所連接的帶寬設置成合適的值。這樣一來工作站即使使用了P2P等應用,我們也不擔心整個局域網的出口帶寬資源被耗盡。華為3026 EI系列交換機端口限速配置如下:

對該端口的出方向報文進行流量限速[**3026-e0/1] line-rate 50

對該端口接收方向報文進行流量限速[**3026-e0/1] traffic-linit inbound ip-agroup aaa 50

端口的出入口方向限速為50Mbps

2.2 負載均衡

隨著大量數據在網絡中傳輸,數據流量不斷增大,網絡核心部分的數據接口將面臨瓶頸問題,這時可以考慮采用負載均衡。負載均衡建立在網絡結構之上,它提供了一種廉價有效的方法擴展帶寬和增加吞吐量,加強網絡數據處理能力,提高網絡的靈活性和可能性。它主要完成以下任務:解決網絡擁塞問題;為用戶提供更好的訪問質量;提高服務器響應速度及其資源的利用效率。學校校園網采用本地負載均衡,對本地的服務器群實現負載均衡。本地負載均衡能有效地解決數據流量過大,網絡負荷過重的問題,充分利用現有設備,避免服務器單點故障造成數據流量的損失。均衡策略把數據流量合理地分配給服務器群內的服務器共同負擔。原有的單一線路將很難滿足需求,而且線路的升級又過于昂貴甚至難以實現,這時就可以考慮采用鏈路聚合(Trunking)技術。鏈路聚合技術(第二層負載均衡)將多條物理鏈路當作一條單一的聚合邏輯鏈路使用,網絡數據流量由聚合邏輯鏈路中所有物理鏈路共同承擔,由此在邏輯上增大了鏈路的容量,使其能滿足帶寬增加的需求。

2.3 使用監控網絡流量的工具

網管員可以借助網絡流量管理工具監控網絡流量,從而控制網絡帶寬、發現網絡中存在的問題,識別網絡流量,辨別出這些網絡流量是從哪里由什么程序,經由哪個用戶產生的,通過用戶身份對網絡流量進行識別,網絡管理員根據流量數據就可以對網絡主要成分進行性能分析管理,發現性能變化趨勢,并分析出影響網絡性能的因素及問題所在。Mrtg(Multi Router Traffic Grapher,MRTG)是一個監控網絡鏈路流量負載的工具軟件,它是利用SNMP協議,去偵測指定的運行有SNMP協議的網絡設備上抓取到信息,自動生成包含PNG格式的圖形,并以HTML文檔方式顯示給用戶。每隔幾分鐘采樣并統計其設備流量,將統計結果繪成統計圖,這樣用戶能很容易地從統計圖上觀察出實際網絡的流量。

2.4進行數據通訊優先級控制,限制或禁止在特定時間段內的流量占用

解決帶寬擁塞的關鍵問題是如何能夠將帶寬合理的分配到每個桌面用戶,當網絡資源緊張的時候限制那些使用量大的用戶,保障那些使用量小的用戶,反之,當網絡資源有較大空閑時,則取消這些限制,讓每個用戶都能有效利用資源。我們根據自己的實際需要選擇開關的時間段以及不同時間下不同的參數值。校園網選用了黑盾防火墻FW2000+。黑盾防火墻有強大的流量控制功能,可以通過黑盾防火墻設置優先級和流量值的方式對主機的帶寬和規則的帶寬進行保證,提供QoS機制,保證帶寬合理分配,充分利用資源。

3 結束語

網絡的流量監控在日常的網絡運行維護當中是一個非常重要的內容,流量控制策略的制定對網絡帶寬的合理分配起決定性的作用,通過合理的策略控制,有效抑制了P2P、迅雷及在線視頻等占用帶寬的現象,保障了關鍵業務以及時實性較強的業務優先使用,保障網絡基礎設施的健康運轉,提高了校園網絡的服務質量。

參考文獻

篇8

(中國民用航空華東地區空中交通管理局,中國 上海 200000)

【摘 要】隨著我國空中交通網絡的逐步鋪設以及人們生活品質的逐漸提升,空中飛行成為當前人們主要的交通工具和出行方式之一,為人們的出行便捷與安全提供了非常有利的促進意義,但值得注意的是,我國當前的空中交通管理工作仍然有很多地方存在一定的管理漏洞,給空中交通的安全、秩序、順暢以及快捷造成了一定的影響,空中流量策略是當前空中交通管理的過程中一直實行的一項飛行秩序管理策略,但其在當前的空管工作施行過程中也依然存在一定的問題,創新和優化空中流量的控制管理策略,依然是當前空管部門應該積極思考的一項問題。本文將對傳統的空中流量控制策略進行研究,進而對基于經濟效益以及航空安全平衡的空中流量控制策略進行具體的分析。

關鍵詞 經濟效益;航空安全;空中流量控制策略

空中流量控制工作是指在空管工作的進行過程中,為了保證扇區管理范圍內不同航天飛行器的有序飛行以及防止航天飛行器在飛行的過程中出現意外情況,在地面管制中心的協調和指揮下對空域范圍內航空飛行器的飛行路線以及飛行模式進行調整的工作,其目的是是為了達到不同航天飛行器在空中飛行過程中的最大效率和最安全質量。如果在地面管制員的指揮和協調工作過程中,空域范圍內的飛機通行或者下降數量已經超過了其管理的最大范圍,那么當前的空域范圍內就不會再接受其他飛機的降落以及通行過程,同時有效的施行航空管制??罩辛髁靠刂撇呗缘脑O計和施行對保證空域范圍內空中交通的安全以及效率有著非常重要的影響,優秀的空中流量控制策略是保證空管企業能夠獲得良好經濟效益以及空管工作能夠獲得良好安全的前提內容。

1 傳統的空中流量控制策略的內容以及其存在的主要問題

在傳統的空中交通流量控制策略中,一般都是根據不同的空中流量交通情況采取不同的控制策略,具體來講其可以分為點流量控制策略以及區域流量控制策略兩種,這兩種策略又可以分為點控制策略以及區域控制策略。其中點控制策略指的是在空中交通流量管制的過程中,以空域范圍點不同點與點之間的距離控制來完成對飛機在空中飛行的以及降落過程中的流量控制,其表現出來的形式則是使飛機按照一定的先后順序拍成與對進行某一控制點,當飛機通過這一點的范圍之后即可以自由離開按照先前安排好的航班繼續飛行,同時不會對后進的飛機的飛行順序造成任何影響,而仍然待在這一點控制范圍中的飛機也處于正在落地的過程中,不會對飛機的正常飛行造成影響;而區域控制策略則指的是通過某一個地面管制中心活動區域以及管理范圍內部的飛機進行空中交通管制的策略,其會安排多個即將進入飛行狀態的飛機在入口前排隊進入區域,進入區域后飛至區域的出口繼續排隊以等待進入到下一個管制區域的范圍內再進行排隊降落以及飛行的狀態,同時如果區域內部的飛機數量達到一定的飽和程度時,區域內部的地面管制中心就會關閉整個區域內部的接受制度,不再接收新的飛機的排隊。事實上,無論是點對點的空中流量管制策略還是區域范圍內的空中流量管制策略,其當前都是存在一定的問題的。具體來講,當前階段空中交通管理策略的施行過程中主要存在以下內容的問題:

1.1 部分航班流量過于集中

當前階段,雖然我國的空中交通網絡一直在逐步的擴建過程中,但是目前來說不同出發地以及目的地的航班流量仍然不夠均勻或者平衡,部分航班流量的吞吐量過大而部分航班流量的吞吐量過小是當前一直存在的問題。當前我國空中交通網絡中前四十名以內的機場,都是集中在各個省會城市或者熱點旅游城市,航班量排名前五的機場都集中在在北京、上海以及廣州等地區,過于集中的航班流量必然給空中交通流量管制的工作帶來極大的壓力,在空中飛行的過程中又會遇見種種影響因素,由此造成的空中交通流量管制工作出現失誤而導致航班延時或者誤差也是無法避免的問題之一。

1.2 空中交通流量過于擁擠

航班流量的不夠均勻和平衡也會在一定程度上影響到空中交通過程中某一飛行航道的擁擠程度,事實上京廣航路一直都是當前我國飛行航道中空中交通流量非常擁擠的一條航道,其經常出現大面積擁擠的情況,對于各個地區的空中交通流量管制工作的順利進行也造成了一定的影響。

1.3 空中交通范圍有待擴大

具體來講,當前我國民航飛行的空域范圍仍然較小,這一現象對中國民用航天飛行事業的發展造成了一定的阻礙,雖然已經經過了一系列改革,但當前民航所能使用的空域范圍仍然有待擴大和提升。

2 基于經濟效益和航空安全平衡的空中流量控制策略研究

2.1 針對空中流量管理的主要范圍和內容進行創新

當前名航企業中對于空中流量管理的相關人士一直都存在可以改進的地方,事實上,在出現了已經無法應用更好的策略去提升空中流量管理這一標準性問題的同時,民航企業可以改善思路,從空中流量管理這一工作的具體工作內容和工作范圍以及工作目的進行創新和改善,有效的制定空中流量管理的策略,使其能夠在滿足民航企業經濟效益的同時有效的提高航空飛行過程中的安全程度。

具體來講,民航企業可以針對空中流量管理的主要內容施行先期流量管理、飛行前流量管理以及實時流量管理這三個方面的內容來提升空中流量管理工作的質量。首先先期流量管理是指在航班飛行的前幾天時間內就完成對飛行計劃的制定工作,做好對飛行過程中影響飛行速度和飛行質量的諸多因素的調查工作,做好飛機飛行前的空中流量管理準備工作,確保該航班在飛行過程中不會出現延誤以及超負荷流量使用的現象,同時確保該航班的飛行不會給其他航班造成影響,或者造成的影響能夠通過其他手段進行彌補和改善;其次飛行前的流量管工作是指在飛機飛行之前通過對航班實際情況的觀察調整飛行航班的具體起飛時間、飛行航線等等,盡量保證飛行時間和飛行航變不會出現較大的變化,而一旦出現變化時就應該立即做好調整;實時流量管理則是指針對飛行過程中的飛行器進行有效的控制和引導,使其能夠偏離較為擁擠的飛行航道,在飛機降落之前使之能夠避開已經產生擁擠的飛行航道避免造成更大程度的擁擠。

2.2 采用優先級的設計來完成空中交通流量的控制

民航企業可以根據航班飛行過程中各個航班的時間優先程度、機型優先程度以及延誤優先程度和突發意外的優先程度完成對整體空中交通過程中各個航班的優先級定位工作,根據其航班飛行過程中的優先程度以及重要性完成對空中交通管理過程中交通流量的控制工作。同時,在這一策略的施行過程中民航企業還應該根據當前航班的經濟利益以及航班的安全性綜合考慮流量控制過程中相關航班的飛行、降落、或者是遠離行為的控制,保證整體空中交通流量的順暢,保證空中交通的安全。

3 結語

綜上所述,本文通過對空中流量控制的主要內容以及重要意義進行分析,對其當前存在的問題和影響因素以及具體的解決措施提出了相應的意見,航空企業應該繼續加強對空中交通流量管制策略這一問題的研究,在企業經濟利益與航空安全的角度上綜合找到彼此的平衡點,保證空中交通的順暢、便捷以及安全。

參考文獻

[1]魏亮亮.空中交通流量簡析[J].中國科技博覽,2013(3):259.

[2]范凱.淺析流量控制及航班延誤[J].青年科學,2013(10):238.

[3]趙嶷飛,金長江.區域空中交通流量控制研究[J].飛行力學,2002,20(2):67-70.

篇9

【關鍵詞】短信 接通率 短信中心

1 引言

在運營商眾多的增值業務當中,短信業務具有特殊地位,在對網絡資源占用十分有限的情況下,為運營商帶來大量業務收入。正因如此,運營商對短信業務的服務質量(主要是短信系統接通率)十分重視。正常情況下,整個短信系統的設計具有較大的冗余量,這也確保系統能夠實現較高的接通率。然而傳統節日如中秋、除夕,短信業務量呈現出集中爆發的態勢,瞬間業務量高峰在很大程度上超出系統的處理能力極限,從而造成系統接通率的下降。

2 短信系統概述

2.1短信業務概述

短信業務屬于移動數據通信業務范疇,可分為小區廣播業務和點對點業務。

點對點短信業務具有以下特點:

(1)短信的傳送采用存儲轉發方式,即短信被發送出去后,不是直接發送給接收方,而是先存儲在短信中心(SMSC),然后再由SMSC轉發給接收方。終端(MS)無論在歸屬地還是在漫游地,均可收/發短信;即使MS關機、不在無線覆蓋范圍內或SIM卡存儲器中短信溢出時,短信中心自動存儲發往該MS的短信,在MS有效時,再發送出去。通常情況下,存儲的時間不超過三天,但在節假日高峰,則縮短到一天甚至12小時。

(2)在短信發送過程,短信發送方可以在發出短信后收到一條確認通知,返回發送成功或失敗的消息,以及不可到達對方的原因。如無線空中接口信令信道擁塞資源不足、短信中心內存滿、處理能力不夠而被拒絕都會返回“發送失敗”。

2.2短信傳送基本流程

由于短信發送一般至少要經歷SMSC、PLMN、和NO.7信令網三大部分。對用戶而言,移動始發短信(MO)和移動終結短信(MT)是完全獨立的兩個過程。參與點對點短信發送過程的網絡實體包括SMSC、SMS-GMSC、SMS-IWMSC、MSC、MS。

(1)移動始發短信(MO)的基本流程

移動始發的短信從終端接入系統開始到收到短信中心發來的發送成功為止。MO是由主叫發起短信呼叫,將短信發送給VMSC,VMSC接收并根據短信中攜帶的短信中心的標識號,把短信和被叫號碼一起送到NO.7信令網,NO.7信令網根據全局碼GT尋址被呼終端歸屬的SMS-IWMSC,將短信提交給IWMSC、由IWMSC提交短信中心SMSC。圖1是MO流程圖。

移動始發短信分為以下過程:

接入和鑒權加密;

發送短信到短信中心;

短信中心向手機報告發送結果。

其中接入和鑒權加密的過程和移動用戶主叫對應的過程一致。

(2)移動終結短信(MT)的基本流程(如圖2所示)

MT類型是終止于終端的業務,短信先發送到被叫終端所歸屬的SMSC,發送到入換機SMS-GMSC,由SMS-GMSC根據被叫號向HLR查詢得到目前被呼移動臺所在位置,并將短信通過NO.7信令網發送到被叫所在的MSC,MSC查詢VLR得到被叫所在的BSC,并對該BSC所屬的所有基站發出尋呼信號。整個過程包括路由信息、尋呼、接入和尋呼響應,鑒權加密,短信傳送,最后向短信中心報告接受結果,這個結果經SMS_GMSC分別送HLR和短信中心,由短信中心回送始發短信用戶。

3 影響短信接通率的主要因素分析

3.1短信接通率的定義

短信接通率的定義如下:

短信系統接通率=MO提交成功率*MT下發成功率={手機向短信中心提交成功條數/手機向短信中心提交總條數}*{短信中心成功下發條數/(短信中心含重發的下發條數-用戶原因導致的失敗條數)}

對短信接通率會產生影響的有三個主要因素:無線資源不足導致SDCCH擁塞、短信中心處理能力不足、信令鏈路擁塞等。

3.2無線資源

SDCCH是雙向專用信道,傳送建立連接的信令消息、位置更新消息、鑒權消息、加密消息、信道分配消息以及短信等各種附加業務。

短信發送使用的信道根據手機處于空閑和非空閑狀態采用不同的方式:空閑狀態通過SDCCH發送,非空閑狀態則通過慢速隨路控制信道(SACCH)進行傳送。

根據短信發送的流程可知,終端只有在請求BTS成功進行信道分配資源才會發送成功,當無線資源緊張,SDCCH出現擁塞時,終端無法獲得SDCCH信道資源,會帶來兩種影響:

(1)MO類型:MO終端發送失敗,由于短信無法提交到短信中心,此時影響的主要是用戶感知,而不會影響到MO類型的短信接通率;

(2)MT類型:此時短信中心下發的MT短信由于缺少無線信道資源,將無法成功發送到被叫用戶,故直接影響到了“MT下發成功率”。

同樣,處于通話狀態的用戶在接收短信時,如果缺少SACCH信道,其主要影響的是“MT下發成功率”。

3.3短信中心處理能力

在處理點對點短信業務中,短信中心的處理能力是一項關鍵指標,業務量一旦超出短信中心的處理能力,將直接導致短信接通率的下降。而這種情況在中秋、除夕等傳統節日十分容易出現。

3.4信令鏈路擁塞

除去上述影響因素以外,各個網元之間的鏈路負荷如果過高也會影響短信的傳送,一般通過對鏈路負荷報表數據的分析,可以比較容易地判斷出來是否擁塞、擁塞程度如何,以及根據數據情況來決定是否需要進行增加鏈路。

4 某省短信接通成功率下降分析

4.1短信中心現狀

該運營商共有6個點對點短信中心,分區域承擔全省短信業務的存儲、轉發,表1是該運營商短信中心處理能力情況。

值得注意的是,短信中心在日常運行過程中,業務量遠小于系統的處理能力,系統的接通率指標也很高,僅在某些節假日出現業務高峰時才會出現接通率下降的情況。

4.2數據分析及問題定位

該運營商短信中心在2011年2月3日凌晨00:00-1:00期間,短信接通率急劇下降,從平時的99.72%及日常高峰時期的97%大幅度下降到87%。

(1)短信業務量數據分析

從圖3可以看出,業務量從2月2日下午16點開始穩步上升到晚上20點最高點,然后仍舊在高位運行到2月3日凌晨零點,之后系統的業務量恢復到較低水平。2月3日零點以后全天的業務量呈現穩定的“M”字形,全天最高

忙時的小時業務量為1500萬條。

(2)各短信中心接通率走勢

短信中心2月2日8時-2月3日8時各個短信中心接通率如圖4所示。

從接通率指標來看,白天短信的接通率指標正常,一般都能夠達到97%以上。結合除夕以外的日常短信接通率指標,可以發現指標有一定的變化規律:正常時 候,白天的指標好于夜晚。除夕當晚由于短信業務量激增,達到日常忙時段的3倍業務量以上,各個短信中心的接通率都有不同程度的下降,其中“SMSC1”指標下降最大,最低時接通率僅達到45.15%,直接導致了整個短信系統的接通率的大幅度下降,平均指標僅為87.36%。

對統計數據分析可知,零點時段所有短信中心的MO提交總條數為1386萬,MO未被處理的總條數為232萬條,其中SMSC1短信中心未被處理的條數占了全網未被處理條數的88.4%。

再來分析SMSC1短信中心,“向短信中心提交的短信總條數”為404萬條,而實際短信中心接納成功處理的條數僅為190萬條,MO的接通率為47.11%,表2是從系統中提取的SMSC1短信中心在零點時段的業務量和接通率。

通過對統計數據的分析可以得出以下結論:全省短信中心接通率指標在2月18日零點均有小幅度下降,但仍屬于節假日業務高峰正常下降,導致全省短信接通率降低的主要原因是SMSC1業務區在短時間業務極度集中,大大超出了系統處理能力,系統在大業務量的沖擊下,MO提交成功率下降過低從而導致該短信中心全程接通率大幅下降。

5 解決方案建議

通過對可能影響短信接通率的因素進行分析,可以確定導致本次接通率大幅度降低的根本原因是短信中心SMSC1在高峰時段的業務量遠遠超出其處理能力而引起的。

我們將綜合考慮經濟性、技術可行性和對現網的影響等因素,提出相關的解決方案建議,并對所提出的解決方案優劣勢進行全面的比較,以供參考。

方案一:對SMSC1進行擴容

該方案是最為直觀的解決SMSC1處理能力不足的辦法,其優點是對現網的結構和運維不作任何變化,同時也不存在任何技術上的風險。

然而,綜合日常話務量指標較低、系統總體處理能力富余度較大、系統接通率指標好的情況,為滿足每年僅有的幾次業務量高峰而進行擴容,只會進一步增加系統在非節假日期間的富余處理能力,考慮到投資效益,該方案在經濟性方面顯然達不到最佳,因此,不建議采取該方案。

方案二:全網短信中心富余處理能力共享――MT模式

通過對2月17日和2月18日48小時的業務量進行分析,我們發現,短信中心SMSC4的處理能力仍有一定的富余度。在這種情況下,可以考慮將SMSC1無法處理的業務分流至SMSC4進行處理。

該方案最大的優點是以全局的視角來合理調度全網的短信處理資源,解決了業務高峰期間,由業務流量不均衡帶來的各短信中心的忙閑不均問題。更為重要的是,該方案具有很好的經濟性,可以在不增加投資的情況下,達到充分利用現有資源的目的,避免了不必要的投資浪費。

該方案在具體實施時,需要對業務高峰期的前幾天各短信中心的業務量進行監測,進而預測可能會出現處理能力不夠的短信中心,通過在LSTP側重新配置端局指向數據,將可能會超負荷的短信中心的部分業務量進行分流,一旦渡過幾小時的業務高峰,則將配置數據調整回來。

從運維角度看,該方案需要在春節業務高峰前一段時間對全網的業務數據進行統計分析,并進行預測,業務預測的準確性對方案的最終實施效果將會產生重要影響。此外,短期之內還會增加一定程度的配置調整等維護工作量。

方案三:短信池(SMSC Pool)模式

SMSC Pool技術是一種基于自動分流的技術,其基本思想是通過對短信中心各業務處理單元的性能、容量進行實時監控,實現對業務自動分流。

SMSC Pool的關鍵技術是通過在短信中心增加流量控制模塊,實現對短信業務量的統一分流控制。流量控制中心模塊根據部署位置和功能的不同,可分為局內流量控制中心和局間流量控制中心。局內流量控制中心主要負責單套網元不同核心單元的流量控制,而局問流量控制中心主要負責不同短信網元之間的流量控制。該方案目前已有現網應用案例。三種方案的比較如表3所示。

篇10

計算機網絡管理是網絡工程專業的重要課程,但是許多高校把教學重點放在網絡技術和網絡工程上,并未獨立開設計算機網絡管理這門課程,而是把這部分內容放在計算機網絡技術或計算機網絡工程這兩門課中,相關內容授課課時少,深度也不夠,有時由于課時緊張和實驗條件的限制,往往忽略這部分內容,讓學生自學,學習效果不是很好?,F在,計算機網絡的規模越來越大,應用也越來越廣泛,網絡管理的重要性和迫切性日益凸顯,社會對網絡管理的開發及應用人才的需求也日益增多,因此需要獨立開設計算機網絡管理這門課程,文獻[1-4]對計算機網絡實踐教學進行了探討,文獻[5]研究了實踐考核的辦法,筆者根據自身教學實踐從理論和實踐兩個方面對計算機網絡管理課程教學進行探討。

1以問題為導向組織教學

現在的教材大多采用平鋪直敘的方式介紹網絡管理的內容,有的基本上是直接復制RFC(請求評論)文檔,這樣的教材內容死板枯燥,教師講課時如果照本宣科,學生聽起來會相當枯燥沒有學習興趣。以問題為導向組織教學就是教師用一個個問題貫穿整個教學內容,在教學時提出問題,教師或學生提出若干解決問題的辦法,再通過比較選擇一個最佳的辦法,這樣的教學方式容易激發學生的好奇心,培養學生發現問題和解決問題的規律。比如,在講授網絡管理的概論時,提出問題:目前計算機網絡的現狀是什么?計算機網絡技術多樣化,既有以太網也有幀中繼,網絡設備廠家眾多,不同廠家的設備差異較大,數據表示、數據存儲采用的系統各不相同,如何進行網絡管理?要進行網絡管理,管理者必須從被管理的網絡獲取數據并進行分析,然后向被管網絡發送控制數據,并進行相應的設置。但是由于網絡技術以及網絡設備的多樣性、數據表示的差異比較大以及數據結構與變量命名的不同,必須要對數據表示進行規范,對數據結構與變量命名進行規范,采用統一的數據結構,制定規范的變量命名規則。

通過一系列問題的提出與解答,學生很容易就明白SMI(管理信息結構)、MIB(管理信息庫)、SNMP(簡單網絡管理協議)通信協議的含義與作用。在講ASN1(抽象語法表示1)的BER(基本編碼規則)編碼時,提出問題:數據的接收方接收數據后如何知道數據的作用范圍?如何知道數據的類型?如何知道數據的存儲長度?如何知道數據的值?用標簽名指示數據的作用范圍,用標簽號表示數據類型,用長度值表示數據的存儲長度,即采用TLV(標簽長度值域)方式編碼,學生可以很容易明白為什么采用TLV方式進行編碼。編碼后的數據是串行的,接收方如何解析數據呢?首先獲得T的信息,可以容易獲得標簽類型信息,但是標簽號比較麻煩,如果用一個字節表示T的信息,只能有5個比特表示標簽號,可以表示的最大標簽號為31,如何表示大于31的標簽號呢?這時候需要增加若干個字節用來表示大于31的標簽號,如何知道增加了幾個字節呢?一種辦法是在第一個字節后面添加一個字節,其值表示后面有幾個字節用來表示標簽號,如圖1所示,表示用一個字節表示標簽號,標簽號是64,即所謂的長度值法。

另一種辦法是采用標志位指示有幾個字節表示標簽號,如圖2所示最高位是1時表示后面還有字節,最高位是0是表示是最后一個字節,其標簽號是192,即所謂的標志位法。這兩種辦法都需要用五個連續的1表示T多于一個字節,所以當用一個字節表示T時,標簽號最大為30。如果表示標簽號需要m比特,那么采用長度值法需要ceil(m/8)+1個字節,采用標志位法需要ceil(m/7)個字節,如圖3所示,當50≤m≤56時,兩種辦法的字節數相同,當m≤49時標志位法需要的字節數比長度值法少,一般標簽號不會很大,所以采用標志位法比較好。L的編碼有定長編碼和非定長編碼兩種方式,定長編碼就是采用長度值法,非定長編碼就是采用標志位法,IP包的分段和重組采用標志位法,IP包的長度采用長度值法,鏈路層的幀采用標志位法。通過這樣分析和比較,學生很容易就掌握確定在網絡上傳送信息的長度的辦法。如果教師照著文檔那樣平鋪直敘,學生只知其然而不知其所以然,學習效果肯定大打折扣。

2以實踐為導向組織教學

紙上得來終覺淺,在講授MIB的標量對象標識符命名和表對象標識符命名以及MIB字典循序時,學生總是弄不明白表對象標識符命名辦法,以及為什么需要字典順序。通過在實驗室搭建簡單的網絡環境,利用MIBBrowser工具中的get操作和getNext操作,學生很快就領會這方面的內容。在講授性能管理、安全管理以及計費管理時,由于實驗室的網絡規模比較小,數據也不全面,實驗室實驗已經不能反映問題本質,只有在真實的網絡環境中對這部分內容進行實踐,學生才會真正掌握。現在,校園網的規模一般都比較大,運行時間較長,所涉及的網絡管理問題也較多,網絡管理人員的管理經驗豐富,學生在網絡中心實訓能取得很好的效果。筆者與校網絡中心合作反復研究制定了下列實訓計劃。

實訓一:了解徐州師范大學校園網的基本情況。實訓目的:通過實訓,幫助學生了解徐州師范大學校園網的基本情況,了解CERNET(中國教育和科研計算機網)與其他三大電信運營商之間的關系。實訓內容:1)CERNET與其他三大電信運營商之間的關系;2)徐州師范大學校園網發展歷程、現實情況和未來發展。3)徐州師范大學信息網絡中心的組織架構與管理措施。

實訓二:參觀實際運行的網絡中心機房。實訓目的:通過實訓,幫助學生了解中心機房的主要基礎設施,了解校園核心網絡的實際拓撲及其相應的主要網絡設備,了解服務器與存儲設備,了解網絡傳輸的情況及網絡交換機的內部結構。實訓內容:1)了解中心機房的主要基礎設施。(1)機房內部環境:防靜電地板,中央空調。(2)電力保障系統:兩路一類市電采用380V三相線路,互為主備用;雙路冗余大功率智能UPS系統,保證持續供電;交流電220V50HZ(16A或25A),每臺機柜采用雙路UPS電源直接供電,UPS系統的建設容量為斷電后可滿足機房用電3~4小時,采用N+1并聯冗余備份。缺乏柴油發電機組作為后備電源,當無市電時無法保證100%持續電力供應。(3)空調系統:采用大型恒溫、恒濕機房專用空調2臺,可保證機房通風,溫度常年保持在22~26度,濕度保持在50%左右,大樓中央空調作備份。(4)消防系統:機房安裝智能型溫感、煙感探測器,能迅速響應提前預報警;機房防火措施采用中央二氧化碳滅火器系統;應急照明措施,采用日光燈應急照明配置。(5)防雷接地系統:防靜電地板膠,接地電板極可靠連接大地。(6)機柜、配線:機柜為進口德國威圖機柜,入室光纜采用上走線接入配線架,機柜與機柜之間在地板下面走線。2)了解校園核心網絡的實際拓撲及其相應的主要網絡設備。(1)拓撲圖:全校網絡拓撲、邊界出口拓撲。(2)核心交換機:CISCO6509的模塊化結構、各種網絡接口。(3)邊界設備:防火墻、鏈路負載均衡器、專用連接設備等。(4)其他關鍵設備(流量控制設備等)。3)了解服務器與存儲設備。(1)塔式、機架式、刀片式服務器。(2)DAS(直連方式存儲)、NAS(網絡附屬存儲)、SAN(存儲區域網絡)等不同的網絡存儲方式及相應設備。(3)核心應用服務器,如DNS、E-mail等。(4)服務器的桌面管理技術,如KVM(多電腦切換器)、遠程管理。4)網絡傳輸的情況。(1)光纖鏈路(單模、多模)。(2)光纖連接方式,如SC(方形卡口)、ST(圓形卡口)、FC(圓形螺口)、LC(小型方形卡口)。5)網絡交換機內部結構展示。#p#分頁標題#e#

實訓三:了解網絡管理一般方法。實訓目的:通過了解WhatsUp在校園網網絡管理中的實際應用,加深對SNMP協議、MIB結構、Trap基本概念和工作原理的理解。通過了解校園網實際的流量管理策略,加深對流量控制基本原理的理解。實訓內容:1)使用WhatsUp監控基于SNMP協議的網絡設備。WhatsUp軟件可以利用SNMP協議對網絡中所有支持SNMP協議的設備進行監控,縮短網絡故障發現時間,提高網絡管理效率。主要內容有:(1)Windows2003中SNMP服務的安裝以及SNMP服務屬性配置。(2)在WhatsUp中利用Get\GetNext\Walk等命令獲取服務器的MIB對象。(3)在WhatsUp中利用Get\GetNext\Walk等命令獲取某臺在線交換機的MIB對象。(4)簡單介紹使用Snmputil工具獲取MIB對象的方法,作為上機學生實踐的工具。(5)在WhatsUp監控圖中添加設備的方法。(6)了解WhatsUp監控的輪詢機制。2)使用WhatsUp進行服務器可用性監視。除了利用SNMP協議對網絡中的設備監控外,WhatsUp還可以使用常用的應用層協議如HTTP、DNS、POP3等對服務器的可用性進行監視。3)用WhatsUp監控圖展示校園網(辦公網絡)。展示當前校園網絡的實際監控圖(僅辦公網部分),介紹校園網拓撲的整體情況,實際監控圖中不同顏色顯示所代表的網絡狀態。4)使用SolarWindsToolset監視網絡性能。SolarWindsToolset這是一款包括網絡探測、錯誤追蹤、性能監視以及性能管理工具在內的網絡管理工具包,主要讓學生了解以下常用性能監視工具。(1)RouterCPULoad與CPUGauge用于監視交換路由設備的CPU使用情況。(2)NetworkPerformanceMonitor用于監控多個交換路由設備的各種詳細網絡狀態,可以監控網絡的等待時間、丟包、通信量、帶寬的使用情況和其他網絡的統計情況。(3)SNMPReal-TimeGraph用于收集指定MIB對象的即時數據。SNMPGraph能夠監視一些參數,如接口流量、CPU負載、內存利用率等。(4)SNMPTrapReceiver。Trap是指在管理站未請求狀態下向管理站報告發生的重要事件,SNMPTrapReceiver可用于接收Trap消息。首先,在一臺在線交換機上設置Trap;然后,使用SNMPTrapReceiver接收Trap消息;最后,簡單介紹使用Snmputil工具接收Trap消息方法。5)流量管理與控制。流量設備可以對網絡中的流量進行監視和控制,限制網絡中非關鍵應用的流量,使網絡中關鍵應用的運營得到有效保障。流量管理與控制從以下幾個方面介紹。(1)使用流量控制的目的;(2)流控與傳統的QoS(質量服務)比較;(3)流控在網絡中的位置;(4)流控設備概述;(5)我?,F有流量控制策略;(6)流量監控演示;(7)會話日志演示。6)上機任務布置。Snmputil是可運行在Windows環境下的一個命令行工具,提供基本的SNMP功能,包括發送SNMP請求,通過使用不同的參數和變量來顯示設備的相關信息,并可以獲取Trap信息。Snmputil可以作為學生上機實踐的工具。任務一:使用Snmputil工具獲取某臺服務器或交換機的20組MIB對象,并解釋MIB對象所對應的值的含義。任務二:使用Snmputil獲取交換機的Trap消息。

實訓四:故障管理。實訓目的:通過網絡故障現象來進行故障分析,通過熟悉常用網絡診斷命令(PING,TRACERT,NETSTAT,NSLOOKUP,ARP等)來定位網絡故障,通過協議分析軟件(如Sniffer,科來等)來熟悉各種協議及查找網絡故障。實訓內容:1)掌握網絡故障分類及定位。確定網絡故障的層次問題:物理層上出現的問題通常涉及鏈路、端接、中繼、網卡等;鏈路層上出現的問題通常與交換相關;網絡層上出現的問題常與路由相關。2)熟悉常用網絡診斷命令(PING,TRACERT,NETSTAT,NSLOOKUP,ARP等)。3)熟悉Sniffer的使用。以分析FTP協議為例熟悉Sniffer的使用,用Sniffer監控校園網出口來發現網絡攻擊和網絡病毒。4)ARP病毒全網監測系統:監測ARP病毒及IP地址盜用。5)學習網絡故障用戶定位:通過IP、MAC查找用戶。6)學習網絡故障處理案例。

實訓五:安全管理與網絡應用。實訓目的:通過實訓,幫助學生了解個人計算機的安全問題與常用安全措施,了解校園網面臨的安全威脅及網絡安全管理方法;介紹學校的一些常用網絡應用服務,讓學生從應用層面更進一步了解校園網。實訓內容:網絡安全管理。1)了解校園網面臨的安全威脅。(1)了解網絡服務器操作系統的安全漏洞對網絡安全構成威脅;(2)了解木馬、蠕蟲等資源消耗型病毒攻擊耗費網絡帶寬,導致網絡癱瘓或網絡應用失效;(3)了解內外網惡意用戶利用一些工具對網絡及服務器發起一些DOS/DDOS攻擊,導致網絡及服務不可用。2)了解安全管理措施。(1)學習VLAN劃分:通過劃分VLAN,可以把數據交換限制在各個虛擬網的范圍內,從而減少整個網絡范圍內廣播包的傳輸,提高網絡的傳輸效率;掌握各VLAN之間不能直接進行通訊,必須通過路由器轉發,起到了隔離端口的作用,為高級安全控制提供了可能。(2)了解入網認證:通過入網認證可實現用戶上網的6要素(用戶名、密碼、IP、MAC、交換機IP及交換機端口)綁定,同時在交換機上配置防掃描功能及網關綁定可一定程度上緩解終端用戶掃描網絡、攻擊網絡(如ARP攻擊)現象。(3)了解防火墻:針對校園網的安全需求,學習防火墻的相關功能及應用,內容包括保護內網服務器安全、VPN等。(4)學習趨勢殺毒:了解信息網絡中心部署的趨勢防毒墻系統如何阻止或控制病毒和非法入侵。