校園網路流量管控 三步到位
中國教育和科研電腦網CERNET目前連接了分佈在200多個城市的大學、教育機構、科研單位2000多個,用戶超過2000萬人,後來居上已成為世界上最大的國家學術互聯網。各校園網用戶,可通過教育網專線互聯共用教育網路內的學術資源,加快資訊傳遞速度,促進廣大教師學生,以及科研人員之間的資訊交流、資源分享、科學計算和科研合作,提高教育和科研事業的發展效率。
但由於教育網當前與國內其他運營商及國際運營商聯通的狀況尚不理想,導致想要通過教育網路作其他應用或連接國外網站查詢資料時,網速會相當慢或是甚至無法連通。所以,一般校園網路除了學術用途連接教育網專線外,還會另外申裝其他運營商ADSL或光纖線路做其他應用。如何讓教育網與公眾網得到良好的運行管理,是校園網路管理員的第一道課題。
隨著各式網路應用激增,BT、P2P、視頻下載等應用風行,儘管已經多次升級線路帶寬,卻發現上網還是卡,帶寬還是不夠用,各式病毒攻擊也伴隨而來,更是惱人的問題。面對眾多的用戶及複雜多元的網路應用,給校園網路帶來很大的威脅,對校園網路管理員更是如臨大敵,相關的管理措施不能不重視,否則一旦發生運作不順暢或甚至斷網,影響層面將非常大。
俠諾科技深圳技術中心主任文浩堅針對上述校園網路實際面臨到的問題,認為追根究底是要做好流量管控,即可讓教育公眾雙網運作順暢、有限帶寬資源得到有效應用、並通過不正常流量管控防制惡意攻擊。文主任建議用戶可採用多WAN路由器設備,做以下網路流量管控三步驟,即可輕鬆讓校園網路得到順暢運行。
第一步:多線策略路由,分流教育網及公眾網
過去因為沒有多WAN路由器設備,校園網若需要同時接多條線路,普遍採購多台單WAN路由器,不僅線路、帶寬無法集中管理、整合運用,更平白多出數倍線路、設備維護的成本,可說是相當不合算。另外,用戶訪問不同網路,還必須做閘道的切換,這在實際使用上是有難度、相當不方便的。
採用多WAN路由器設備,內建多WAN埠,可提供多條廣域網線路接入,教育網專線與公眾網線路可集中管理。具備多線策略路由功能,可分流教育網專線及公眾網線路。通過目的網段IP或針對特定埠做綁定,讓學術網路系統等相關資訊只走教育專線,而其他聯網則走另外接的運營商線路。從而實現只用一台多WAN埠路由器,即可整合多運營商線路,並清清楚楚的達到彼此分流的目的,得到物理隔離的安全性,保證聯機反應快速,網路運行穩定。
|
圖一:策略路由功能示意圖 |
|
圖二:Qno俠諾策略路由設置頁面 |
另外,多WAN埠支援帶寬彙聚,可以多條ADSL取代光纖,彙聚線路增加帶寬,降低線路成本。支援多線負載均衡功能,可依實際需要,進行聯機數或IP負載均衡,優化對外帶寬使用。並可以根據需要設置是否支援自動線路備份,當一條線路掉線,會自動改用另一個WAN埠的線路連接,確保聯機不掉線。
第二步:動態智慧帶寬管理,優化帶寬資源運用
動態智慧帶寬管理功能是以簡單的通用配置,替代以前必須時時進行修改的規則配置,可節省網管的時間,專心於其他工作。該功能結合了帶寬偵測機制、智慧化運算、網路處理技術及防火牆,主要可發揮一站解決帶寬相關問題的作用。動態智慧帶寬管理最大的特色是簡化的配置,即使非技術人員也可進行有效的配置,主要的配置參數為以下三項:
- 啟用帶寬管理門檻:以總帶寬的百分比表示,當總帶寬使用率低於這個門檻時,就不啟用帶寬管理,當高於這個門檻時,則啟用帶寬管理,限制帶寬使用。這個功能讓帶寬管理在帶寬使用率較高時,再行啟用;而在帶寬繁忙時,再進行帶寬管理。
- 單一IP使用帶寬上限:這是限制內網單一用戶最大可使用的帶寬,當用戶佔用的帶寬超過這個配置時,用戶就會被列進嚴管的表列中。一般的用戶如沒有超過帶寬上限持續(默認為五分鐘)佔用帶寬的現象,就不會被列入嚴管用戶中。若用戶還有持續佔用寬頻的情形,可進一步啟動二次懲罰,這個功能可減低該用戶可使用帶寬50%,有效懲罰持續佔用帶寬用戶。這個功能可針對特定IP管理,簡化帶寬管理的物件,有效根據帶寬實際情況進行帶寬分配,進一步提高帶寬的有效利用。
- 啟用帶寬管理時間:對網管來說,有些時間不想啟用帶寬管理功能,比如說深夜淩晨時段,即使有用戶佔用帶寬或大量下載,也是要開放的。這個小功能,卻給予用戶最大的彈性,使帶寬可物盡其用!
|
圖三:Qno俠諾動態智慧帶寬管理設置頁面 |
另外,還可輔以聯機數管控功能,限制每一內網IP最大對外的聯機數量。當用戶超過設置數值時,可以給予阻擋新聯機或所有聯機一段時間的懲罰,可有效防止P2P軟體影響上網回應速度。
|
圖四:Qno俠諾聯機數管控設置頁面 |
三、防內外網攻擊機制,解除網路安全威脅
校園網用戶眾多,不可避免的會發生駭客、蠕蟲病毒、ARP、DOS等各式攻擊,防火牆、防病毒攻擊的安全防護功能是絕對必要的,可避免校園網路帶寬不被惡意病毒攻擊所佔據,影響其他用戶使用網路。
以Qno俠諾多WAN安全路由器為例,內置高級防火牆,可進行資料包雙向過濾,有效防止衝擊波、木馬等病毒。防內外網攻擊功能,針對目前常見的DOS攻擊,具備短包、碎片包、ICMP、SynFlood、TCP/UDP埠過濾等功能。例如:一般觀看清晰度較高的線上電影,只需要每秒400-500筆封包,一旦單一來源IP封包每秒超過2000筆時,即被系統視為惡意攻擊,會給予立即阻擋。
內置“ARP攻擊防禦能力”,無須藉由其他軟體即可進行目前危害最重的ARP攻擊防制。例如:路由器默認設置每秒發送5筆ARP廣播包宣告,先發制人,避免ARP惡意欺騙。通過內網電腦及路由器IP/MAC地址綁定功能,固定閘道ARP列表,確保有效防止ARP病毒攻擊。另外,也免費提供ARP用戶端自動綁定軟體,用戶無需具備專業的電腦操作水準,即可進行IP/MAC位址綁定,大幅減少網路管理員的負擔。
|
圖五:Qno俠諾防火牆功能管理頁面 |
|
圖六:Qno俠諾防火牆功能進階管理頁面 |
|