校园网流量控制解决方案

上海某高校流量〔行为〕管理解决方案提交单位：Tiderway科技200任恩玉

QQ:310240852一、校园网络及流量技术现状随着网络技术的高速开展，校园网络建设也一直走在网络开展的前端，校园网已从之前教育、科研的试验网的角色已经转变成教育、科研和效劳并重的网络。校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客\病毒的侵害就成为各个学校不可回避的一个紧迫问题；另外，学校是思想政治和意识形态的重要阵地，确保学生的身心健康，使他们具备一个积极向上的意识形态，必须使学生尽可能少地接触网络上的不良信息，就需要通过必要的技术手段获到底有些什么应用在悉校园网络中网络上运行。此外，新型的网络应用及效劳，对校园网络也产生不少的麻烦，特别是P2P、IM及网络流媒体技术，能够迅速占用大量带宽，同时在占用防火墙中大量缓存，严重的甚至会导致防火墙死机。问题的关键在于即使增加网络出口带宽，P2P等应用还会继续占用新增的带宽。在目前大局部学校的网络中，存在以下几个主要的问题：带宽使用效率底下，无法了解网络带宽真正使用情况重要应用程序没有保障，关键时候出现网络阻塞情况内网平安上的隐患，经常病毒爆发影响内网运行、用户使用网络管理政策难于落实，掌握不到具体用户对网络的使用状况应用软件难于控管，特别是P2P等点对点传输软件〔如BT〕网络带宽资源无法合理分配，缺少根底控管数据对于流量技术，传统的网络管理系统虽然可以提供业务流量监测手段，但根本上只是采用一些通用型的网络链路使用率监视软件，对网络的重点链路和互联点进行简单的端口级流量监视和统计，或采用在网络中局部重点业务接入点加装远程监控探测的方式，对网络中局部端口进行网络流量和上层业务流量的监视和采集，但无法完全满足互联网业务流量的管理需求。目前大学校园网络在监测上还无法到达业务的管理需求，即很多情况下，只知道网络利用率，无法掌握网络的具体应用及流量使用情况，也无法对应用行为做合理的管理控制。TiderWay针对教育行业特点，整合应用层〔第七层〕控制技术、IM/P2P智能管理等平安机制使学校能够通过先进的平安技术，为学校的教职员工和学生提供效劳。通过我们的解决方案，学校可以对网络资源划分优先级并进行保护，这样，紧急通信就不会被平安攻击或偶发的应用〔如学生下载视频〕所打断。该大学作为一所综合性大学，是国家“211工程”重点建设高校之一，学校网络流量在上海的高校当中也是排在前几位。学校目前通过教科网、移动网、电信网接入Internet，学校总接入点分别与学生中心、教工核心、数据中心、新闸路等支点相连，不管是对内、对外时的总流量都超过1G，这对于内部流量的管理显的尤为重要，同时难度、要求也非常之高。二、规划目标及技术应用通过对应用程序的控制管理，实现对内部网络流量控制，如控制P2P，实现高智能的网络可控性，提供管理根底数据，消除平安隐患等；通过对用户的控制管理，便于部署新的基于应用的效劳工程、跟踪网络行为与开展趋势、提供多样化的管理实现管理智能化。不以应用软件的端口联网作为控制技术，而是通过第七层分类技术区别应用类型，并根据策略加以控制管理，可依不同的应用类型制定流量分配政策、时间管理等辨识与统计出口网络上各种P2P等应用联机数量与通道，可以完全限制隐藏于合法端口通讯的IM/P2P等应用程序的联机。三、规划方案根据流量控制设备所应用的特点，决定了这类方案对于网络的影响重大，所以必须考虑到网络的持续性及稳定性。TiderWayExtraMonitor(XM)系列产品采用Inline方式接入网络，通过这种方式，XM可以检测所有的进出网络的数据包，逐一比拟特征码，按照相应的策略做处理。为了保证平安性及稳定性，XM系列产品采用透明模式，即不设置IP地址，只保存一个管理IP，也不对数据包做任何更改；同时支持硬件的Bypass机制，当设备出现流量负载过大或设备硬件故障导致XM设备出现异常的时候触动Bypass机制，确保网络的持续性。针对该高校的校园网络拓扑结构图及流量情况，对于整个网络流量的规划，我们初步建议通过在总出口与核心交换机之间或者分别在学生核心、教工核心与交换机处架设TiderWayXM流量控制设备。架构一：总出口处与边界〔核心交换机〕之间架设XM流量控制设备，其网络拓扑图如下：在主干网上架构XM，对设备性能及网络效劳的不中断性要求非常高，但可以对校园网内整体的流量可以做全面的监测及管理。架构二：分别在边界与学生核心或教工核心之间架设XM流量控制设备，也可在需要控制管理的校区交换机与核心交换机之间架设XM设备，其网络架构如下：在区域网络上架设XM设备进行监测及管理，可减少网络流量设备的运行压力。四、产品规格应用层管理技术以Layer7的应用分类技术，对应用软件进行实时管理与带宽分配。个性化行为管理可阻挡非标准伪装联机：动态随机端口号／／代理效劳器／后门程序／WebIM等可阻挡IM／P2P加密软件可阻挡登入、聊天、传文件、语音、视讯、白板、游戏个性化带宽管理双向带宽管理保证带宽最大带宽带宽共享随机公平序列管理优先级层级化带宽管理随插即用In-lineMode，随插即用，不需改变网络结构实时流量分析／监控可支持双机备援(HA)架构防火墙功能第四～七层封包检测扫描检查／DoS检查管理与设定管理者手动导入：TXT自动定期更新数据库：IM控管引擎/P2P特征码分层式管理分层权限部门管理／审核部门符合国际标准：SEC17a-3&17a4,FDIC,NASD3010/3110/2711,NYSERule440,FERC/NERC,Sarbanes-Oxley,FreedomofInformationAct,21CFRPart11,5015.2STD,RegulationFD,BS7799报表分析支持各协议使用带宽MRTG支持各TopNIM违规／使用量报表报表与数据管理可定期邮寄报表：日／周／月／季报表格式：PDF／HTML可备份系统设定文件汇出使用者自订报表IM及P2P管理可支持管理IM：MSN/Yahoo/AOL/ICQ/Miranda/Trillian/Jabber/GAIM时间排程管理点对点传输软件管理阻挡应用软件登入：超过30种P2P/Tunnel/Chat/VoIP/Streaming应用,包括SoftEther,Vnn,SSH等后门程序P2P上下载带宽管理产品性能：XM-125XM-500XM-1000内存512MB512MB1GB网络接口10/100Base-TEthernet10/100Base-TEthernet10/100Base-TEthernet同时上线人数150人500人1000人最高同时承载联机数6,00040,000200,000流量负载能力(双向)25Mbps*275Mbps*2100Mbps*2XM-2000XM-5000客制化型号内存1GB2GB网络接口10/100/1000Ethernet10/100/1000Ethernet+MiniGBIC/SPF同时上线人数无上限无上限最高同时承载联机数400,0001,000,000流量负载能力(双向)600Mbps*21Gbps*2五、产品具体功能介绍〔一〕、实时分析网络使用状况：通过XM对网络应用的监测，实时了解内部网络的带宽使用情况，如以下列图示：1、实时显示进、出端口的流量：2、实时显示网络内各IP段及具体IP、协议的流量走向：大局部网络之前通过置了防火墙、进行L3/L4层的过滤，但对于应用层的如BT这种疯狂抢占带宽的应用无法起作用。此外还有其它很多的通过应用出去的隐藏流量通过传统的流量控制手断也无法掌控。为此通过架设XM第四层、第七层流量控制设备，对应用协议、用户、时间排程、全网监测等多方面功能进行测试，有效管理信息中心的网络流量及网络行为。〔二〕、丰富的策略管理1、行为管理策略：提供了时间表、来源/目标地址、应用协议、进出带宽策略管理，可个性化定义测量进行控制管理。其中XM提供了目前大局部的应用协议〔TiderWay应用程序库目前定义了近600种常用的程序库特征〕，方便我们控制一些难于控制管理应用程序，可选择性的控管，并提供在线实时更新应用程序特征库，防止如BT、QQ等特征更新快的应用程序出现管不了的情况。2、流量管理策略TraffcManager：XM流量管理相单于把一个总的进、出带宽进行分割宽，制定带宽使用的权重、优先、多少及保证\最高带宽，如下列图：XM带宽分配的原理如下：从原理图中我们清晰知道对于各项应用的带宽指定策略的实现方式。3、工程管理策略ObjectManager：XM的工程管理局部可分别定义管理地址及群组、应用协议及群组、时间管理及群组，这样可以实现针对不同单位/部门、在不同的时间管理不同的应用的细致化管理。定义用户及地址,也可把这两个用户分组。可自定义应用协议及协议组：定义上班时间段，为做时间管理做准备，如：time1为早上8：30-11：30，time2为下午13:00-17:00,可以通过策略这个时间段内禁止P2P下载，其它应用不做管制。4、Log记录管理：可以开启动我们需要那些LOG记录，这次测试中我们选择全部开启动。通过开启的LOG管理，我们可以在报表中就能详细看到应用层防火墙过滤的信息、流量使用情况及网络连接情况。〔三〕、报表系统XM具备强大的报表系统，通过报表系统不仅仅可以获得整个网络流量情况，更能随时随地了解到实时、每天、每周、每月，甚至往年的流量，也可知道任何一个应用及用户的带宽占用情况。在管理策略中，我们定义了上班时间禁止P2P应用协议的使用，另外XM本身提供的一些平安机制，如防止一些大流量的工具对内网的攻击，在报表中列出了被禁止的P2P工具及扫描工具的排行及连线数。看根据不同用户被阻挡的连接数排行，洞察内、外网的可疑IP地址，及时排除平安隐患。网络流量的每天统计，可提高9中各种类型的报表〔1〕本图中显示一天当中的进、出的流量最高、最低值。〔2〕各种不同协议的带宽显示，显示各种不同协议的流量大小峰值，如在本图一天当中，最高的流量到达了20M〔3〕在策略管理中，我们分别定义了高、中、低，new1、new2等带宽管理策略，这份报表可以充分显示每个带宽策略的实际执行情况。〔4〕通过本报表，可以清晰的知道每天中各个时段各种应用程序的流量走向，如11月23日这天，上午的聊天带宽使用最高。注：以上各曲线图可任意截取一段放大了解流量大小情况！〔5〕显示一天中所有进、出流量的总和及比率。〔6〕显示所有应用协议的一天的流量总和及占总进、出流量的比率。流量管理日志流量管理日志里面包括，天日志，周日志，月日志和年日志。其中每种日志中包括协议、用户、封包等流进的流量，流出的流量和总流量。应用协议进出总流量统计排行ProtocolTotal_Flow(MBytes)bittorrent46441.9669780119664755.68561500004poco843.494429000002kugoo167.23458600000038msn134.64868300000012qqedonkeyftp0.571378〔2〕用户进出总流量统计排行UserIPTotal_Flow(MBytes)2723776.966074999895716643.47458700008731019.849107999968451356.65420723241.556234999999924173.779449999999971148.08779400000017〔3〕封包进出统计排行〔协议及用户〕：ProtocolTotal_Packetsbittorrent653097257098533poco1578844msn857204kugoo257622qq76755edonkey42707ftp9026UserIPTotal_Packets273647566372120922276154212313542682493109513930613286911125346122521464238483注：以上流量统计报告同时提供进、出详细流量表及周统计、月统计、年统计在整个报表系统中，XM提供了多种报表的使用工具，可直接输出网页、PDF、WORD等文件格式的报表方便管理人员使用及保存。XM管理配置进入配置管理XM管理系统与报表系统使用Java设计的WEB管理，通过IE直接输入地址便可以进入访问管理系统，并提供用户名、密码的平安管理。备份与复原XM提供配置信息的备份与复原功能，保证系统资源的可靠性。六、关于TiderWayTiderWay作为SammasSystemInc.在中国的公司，是一家专业从事网络平安系统整合的公司，2006年首次在全球提出五层内网平安概念，代表未来内网规划的方向，其中流量控制是内部网络应用的重