网纵论坛 › ›方案案例› 行业成功案例 › 查看内容

xx工业大学校园网络优化与管理案例介绍

2013-7-22 12:36| 发布者: chenkai| 查看: 2213| 评论: 0

摘要: xx工业大学校园网络优化与管理案例介绍

一、XX工业大学网络现状

XX工业大学已先后启动三期校园网建设工程，现已建成的万兆校园计算机网络系统已覆盖校内全部的办公楼、教学楼、学生宿舍以及教工宿舍，入网计算机达15000余台(包括实验室).

随着网络的广泛应用．校园网已经成为全校师生学习和科研的必要工具．校园网用户与日俱增。但在用户增长的同时，XX工业大学校园网的出口线路并没有变化，这就造成对校外站点的访问出现瓶颈.

另外大量增长的网络用户也给网络的安全管理带来了一系列的问题，例如：用户网络访问行为的监控管理与带宽质量保障等问题.

二、现阶段存在的主要问题

u 问题1：无用户行为日志

对照中华人民共和国公安部令第82号文件《互联网安全保护技术措施规定》的第七条的第三款“记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施”，XX工业大学校园网现有的网络管理系统不能完全实现此项功能.

u 问题2．校园网出口线路问题

XX工业大学出口主要靠中国教育和科研计算机网(简称教育科研网)的线路，但由于XX地区教育科研网用户数量增长迅速．教育科研网西安至北京的线路已经满负荷．所以XX工业大学访问教育科研网外站点的速度呈现明显下降趋势.

同时．近几年P2P技术在网络视频与下载方面被广泛应用．迅雷、PPLive、BT等软件大量占用出El的带宽资源,但由于XX工业大学现有的设备不具有出口线路的流量控制与整形功能，所以在流量高峰期无法有效地过滤无效的应用,这也是造成校内访问教育网外站点的速度呈现明显下降趋势的另一个主要原因.

为了更好地了解网络出口具体的使用情况，借助专业的网络分析仪器对XX工业大学的出口进行了网络应用分析。从监控的情况可以很直观地看出，作为办公、学习和科研的两个主要应用“WWW浏览”、“电子邮件”、“科研教育视频”只占不到25％．而以娱乐为主的视频、P2P下载和其它娱乐方式占用了绝大部分带宽.

u 校园网络使用习惯问题

经对出口带宽分析发现校园网络通常在校园内网络流量占用的主体为学生区及家属区，而在校学生在使用校园网络普遍存在一定的特性，如下载、流媒体视频、音乐及游戏等….

且根据目前校园的教职人员数量及各教学课室无法满足全校同时开展教育工作，因此在日常授课时间段内在使用网络进行远程交互下，由于部分学员及家属区的网络的访问量是非常的庞大，以致直接影响到正常的授课.

n XX工业大学网络情况分析数据表：

应用类型	占用资源	主要应用组成	带宽消耗必要性
日常办工	23%	网页浏览、Email、教育视频	必要[主要做为教育协助]
P2P类应用	45.87%	QVOD、暴风影音、风行电视、PPLive、PPS、QQ影音、迅雷、酷狗等	不必要[多为挂机下载]
在线影音	26%	优酷、土豆、爱奇艺等	不必要 [通常视频缓冲过于超前，因此虽然有50%的视频被中途停止，但是却已经下载了全部数据]
HTTP下载类	5%	IE下载、伪IE下载、HTTP分块传输等	不必要 [其中大多数都是P2P下载软件多协议下载引发的]

n 针对XX工业大学的网络情况分析,主要存在以下问题：

1) 学校的站点从外部打开缓慢；

2) 学生因为网络质量差而产生投诉；

3) 教职员工的对外邮件发送速度缓慢；

4) 无法直观查看各区域网络访问情况;

5) 教育网和互联网的使用与管理比较混乱；

6) 日常教育工作中的网络应用受到严重干扰；

7) 学校提供的远程教学从外部访问视频停顿严重，同时分享到其他兄弟院校的视频上传缓慢；

三、XX工业大学网络出口优化与管理解决方案

针对上述XX工业大学目前的网络状况，广州网纵信息技术有限公司[以下简称:广州网纵]提出了基于网络智能优化与管理解决方案.

u 改造前的网络状况

目前的网络拓扑如下图所示：

根据网络拓扑来看，目前XX工业大学的出口主要由Internet及教育网[Cernet]组成，经过骨干网络下划分为三个区域[分别为：区域1为分院挂接、区域2为校园各教育区、区域3为学生公寓及家属区].

目前针对校园出口网络带宽优化管理所采取解决方案主要是在骨干网络的核心交换机上对每个区域及楼层进行IP段的带宽限速及使用QOS策略,但在使用过程中发现虽然进行了IP段的限速，但此方法加重了核心交换区的负载能力，导致交换区域的数据转发能力出在明显的下降而造成整个校园网络访问互联网及外面访问本校对外交互系统存在网络瓶颈，无法保障我校关键应用的交互质量.

通过在骨干网上的数据流向进行网络带宽分析，发现目前我校在日常网络使用上存在以下几个问题急需解决：

1) 如何能够让带宽资源得到相对比较公平的分配也是一个较大的难题;

2) 需要在不影响使用效果的前提下合理优化带宽资源分配完全可以释放出大量带宽资源；

3) P2P类应用、在线影音消耗了大量的带宽资源，然而实际上这些消耗并不是必须的，减少这些消耗完全不影响正常流量的传输；

4) 针对目前校园网络每个IP进行数据监控，以了解网络访问者的网络使用情况，以避免因网络访问或交互不正当，给我校带来联必要的影响.

5) 80端口已经成为耗费带宽应用的主要载体，P2P类应用端口动态变化，通过传统方式的Qos已经无法实现对目前的应用流量进行合理控制和优化；

u 改造后的网络状况

改造后的网络拓扑如下图所示：

n 本项目的实施主要考虑以下几个系统建设原则：

u 业务连续性

系统必须支持数据备份和恢复，在必要情况下可以快速进行数据恢复.

系统建设必须考虑和其他系统之间的整合，确保相互间业务通信的连续性.

系统硬件、软件、平台必须拥有完整的可用性能力，以保证在特殊情况下的系统稳定性和高可用性，满足业务连续性要求.

u 可开发性和可扩展性

系统需要为各业务系统中的安全管理提供开放的接口，遵循国际标准或工业标准，符合开放性设计原则，使其具备优良的可扩展性、可升级性和灵活性.

系统管理的对象种类和对象数量应具有可扩展性，当进行新业务系统或子系统建设时，能够适用于这些新的网络设备、主机操作系统以及新的业务系统；当进行业务扩展时，能够接纳这些新入网的网络设备、主机和业务系统，保持平台的足够扩容空间.

n 部署思路

因考虑到校园网络的访问量，采用Netzone E20000系列设备，进行透明桥接模式部署在路由器与防火墙之间，以全面接收校园内部网络Internet及Cernet的访问数据进行监管.

对校园内网络必要应用进行数据分流及优先级处理机制，以保障关键教育系统对互联网及Cernet的正常访问.

对校园内的非关键应用访问采用分时段总应用带宽限速访问机制并阻断带有色情或反政府言论的论坛、站点访问.

通过傻瓜式的各类数据报表展示，让网络中心人员更直观的了解目前的网络使用状况以进行策略优化及带宽的动态调整，以保障网络访问质量.

通过系统接口开放，将系统监控日志信息转送至校园日志管理系统以进行日志泛化处理，以备必要情况下进行数据举证，避免因各种非法访问对学校带来不必要的影响.

n 部署方案说明：

a) 全面感知网络及应用情况;

b) 强大的日志统计，丰富的流量分析报表;

c) 稳定可靠，支持软/硬件Bypass,软件系统双备份;

d) 流量管理系统以透明模式部署于网络出口，不影响现有网络结构;

e) 灵活的流量整形和控制策略，高效的应用分流，提高带宽的使用效率;

n 产品功能说明：

1) 网络评估（分析）

网络优化管理系统[流控大师]带有强大的协议识别引擎，不但可以识别各种明文的协议，如 Bittorrent，eDonkey，而且其独有的“加密协议深度识别”技术可以识别经过加密的P2P协议，如Skype和eMule。到目前为止，已经支持11大类超过900种应用协议，可识别超过95%的各种网络应用。精确识别各类网络应用，通过数小时的分析，提供全面的统计报表（饼图和实时/历史的应用/带宽/用户数等数据），为下一步制定管理策略提供决策支持.

2) 应用优先

网络优化管理系统[流控大师]率先实现基于应用协议的优先级调度机制（分为0-6七个优先级别，0优先等级最高，6优先等级最低）；同时支持网络层基于IP的优先级调度机制。可以在不禁止任何应用的情况下，为重要应用、工作应用提供优先保障.

3) 应用分流

网络优化管理系统[流控大师]拥有业界独一无二的应用分流功能，当校园网络拥有多条接入线路的时候，通过网关的源地址策略路由的配合，让指定的应用走指定的线路。如图中的拓扑，可以让教育应用走教育网，其它应用走Internet，做到专网专用，提升校园网络的有效利用率.

4) 应用管控

在网络优化管理系统[流控大师]精确识别的基础上，可以对各种网络应用实施管控，可以有效的提高各时间段的工作效率.

5) 日志记录

网络优化管理系统[流控大师]支持专有的日志系统，也支持以SYSLOG格式向第三方设备输出会话日志（支持以SYSLOG格式向第三方设备输出单独的：URL访问日志、QQ登陆日志、MSN登陆日志、POP3登陆日志、DNS查询事件等日志）。可以记录IP/应用的带宽使用、QQ登录和URL访问等应用记录，可以作为网络分析依据、举证以及工作报告，还可配合作安全审计用.