出口流量的分析与管理

中国农业大学校园网于2002年9月升级为千兆以太网。千兆到楼、百兆到桌面，校园网覆盖了校园的教学、科研、管理、学生宿舍区、教工家属区等领域，校园网以千兆与中国教育网相连。校园网出口的进出流量峰值，2002年为200~300Mbps，现在增长到1.5Gbps左右。以2003年4月至2005年4月为例，依据校园网出口计费系统采集的用户数据，同期对比这三年来中国农业大学上网人数与出口下载量、不同下载量的用户数占总用户数的比例用户不同下载量的总量占总下载量的比例

三年来，月上网人数增加了1倍，可是人均月下载量却增长了8倍、月总下载量增长了20倍；不同下载量的用户数占总用户数的比例、不同下载量的累计量占总下载量的比例也不断增长，月下载量>20G字节的用户比例从2003年4月的0.59%增加到2005年4月的11.92%，月下载量>20G字节的累计量占总下载量的比例从22.15%增加到59.66%；由表2、表3可得出，少数用户的大量下载，消耗了校园网出口的大部分带宽。

利用cisco SE1000流量控制设备来分析校园出口的网络应用，常规网络应用(如HTTP、Email、FTP)所占的带宽并不高，而点与点应用占总应用的50%以上，其中大部分应用是BT应用。

校园网出口流量的控制措施

校园网出口带宽大部分被BT应用所消耗。针对ＢＴ应用，许多高校想出不少应对措施，归纳起来，主要有以下几种办法：

对BT应用进行封锁，大致有三种封锁方法

方法一，针对BT客户软件的应用端口6880-6890，在出口路由器或防火墙上，利用ACL访问控制方法将此范围的应用禁止使用。以cisco路由器为例，说明实现方法。

先建ACL访问控制列表：

access-list 101 deny tcp any any range 6880 6890

access-list 101 deny tcp any range 6880 6890 any

access-list 101 permit ip any any

接着在相应的接入端口上，输入ip access-group 101 out 使此访问控制生效。

但新一代的BT软件如比特精灵,BITCOMET，其应用端口会根据端口的可用性，随机更改当前的应用端口，使ACL控制失效。

方法二，对BT种子发布服务器、BT跟踪(TRACKER)服务器进行封锁。这种方法，不需要考虑BT软件的应用端口范围，只要求管理员了解当前网络中使用了哪些BT服务器，在出口封锁这些BT服务器，可大范围的控制BT应用。但要求网管员随时跟踪了解BT服务器，存在管理繁锁等问题。

方法三，对出口使用CISCO路由器的网络，可利用CISCO公司出品的PDLM模块，针对BT应用服务标识封锁BT等点对点应用。

CISCO在其官方网站提供了三个PDLM模块，分别为KAZAA2.pdlm、bittorrent.pdlm、emonkey.pdlm，可用来封锁KAZAA、BT、电驴。以封锁BT应用为例，说明实现方法。

先建立一个TFTP站点，将bittorrent.pdlm复制到该站点，在出口路由器中使用ip nbar pdlm tftp://TFTP站点的IP/bittorrent.pdlm命令加载bittorrent.pdlm模块；

接下来设置路由器策略，具体命令如下:

//创建一个CLASS_MAP名为BIT

class-map match-any bit

//要求符合模块bittorrent的标准!

match protocol bittorrent

//创建一个POLICY-MAP名为LIMIT-BIT

policy-map limit-bit

//要求符合刚才定义的名为BIT的CLASS-MAP

class bit

//如果符合则丢数据包!

drop

//进入网络出口那个接口

interface gigabitEthernet0/2

//当有数据包进入时启用LIMIT-BIT路由策略

service-policy input limit-bit

//数据包外出启用LIMIT-BIT路由策略

service-policy output limit-bit

该方法能够从应用层来识别BT应用标识，有针对性地对BT应用进行封锁，网管员操作起来简单易行。但路由器分析7层数据包，会消耗路由器的大量CPU资源，影响数据包的传输率。

对BT应用进行带宽限制

方法一，利用校园网出口三层交换机或路由器提供的QOS质量服务功能，对不同应用给予一定的带宽限制，并对不同的应用给予不同的优先级，以保障重要应用的服务质量。

方法二，利用专用流量控制设备。

面对点对点应用对网络传输造成的影响，许多网络商家推出了针对点对点应用的专用流量控制设备。这些流控设备能够从应用层来识别点到点应用，并根据管理策略有针对性地对点对点应用加以带宽限制，保障用户合理使用网络资源。

利用管理手段来控制校外下载

由于现有的网络设备，难以对端口可变的点对点应用加以有效控制，面对校园网出口日渐严重的带宽过度消耗问题，许多高校改变计费策略来控制校外下载。有的高校取消原来的包月制，完全按出口流量大小来计费；也有的高校在原有包月制基础上，增加流量下载限额，在限额内的下载流量免费使用，超过限额部分，按一定价格加收额外费用。

按流量计费，用经济手段来调节用户的下载行为，控制效果明显；但也存在计费系统复杂，流量统计不准确，用户上网的明细记录量大、难以保存明细记录供用户查询，异常流量争议等问题。

流量控制手段与效果分析

从去年下半年，中国农业大学千兆校园网出口出现了严重的拥挤现象，出口网络设备（防火墙、计费网关）的运行能力难以满足日益增长的大流量需求，相继对出口设备进行了升级，以提高出口的传输能力，增强出口设备的稳定性。但新升级的出口设备资源很快被用完，又达到了饱和状态。出口流量不加以适当控制，难以保障校园网出口的正常运转。

我们对出口流量控制的思路，首先是利用现有设备的功能来调节出口流量。出口的核心设备是extreme BD6808三层交换机。利用三层交换机的ＱＯＳ质量服务功能对出口的应用带宽进行控制。实现方法为：

先定义两条带宽限制策略：低优先级带宽为0%-10%、高优先级带宽为0%-40%。

config qp3 minbw 0 % maxbw 10 % priority low

config qp5 minbw 0 % maxbw 40 % priority high

然后，在校园网接入端口上，对TCP端口在0-1023范围内的外出常规应用使用qp5策略，对TCP端口在1024-65535范围内的外出应用使用qp3策略：

create access-list qos_t0 tcp destination any ip-port range 0 1023 source any ip-port any permit qosprofile qp5 ports 2:8 precedence 480

create access-list qos_t1 tcp destination any ip-port range 1024 65535 source any ip-port any permit qosprofile qp3 ports 2:8 precedence 490

QOS实施效果如图2所示，绿色为流入量，蓝线曲线为流出量。对流出的高端口应用带宽限制为10%时，校园网出口的流出量明显下降，经一天观察后，对TCP高端口应用的带宽提升为30%，流出量被平稳地限制在指定的范围内。

QOS质量服务的带宽限制功能，能起一定的出口流量控制作用，减轻出口设备的压力；但对应用端口可变的点对点应用而言，难以有针对性的控制，只好在一个较宽的端口范围内加以控制，影响了相关应用端口的服务质量。

鉴于这种QOS质量服务调控措施存在的问题，我们选用许多厂家的流量控制测试设备，有针对性地对出口网络应用加以控制，以cisco SE1000流量控制设备为例来介绍出口流量的控制效果。

CISCO SE1000流量控制设备是二层透明的网络设备，将其串连在校园网接入线路上，对现有网络配置不需要做任何改动。对BT应用分配100Mbps带宽，并对每个IP限制BT上、下载速率为256Kbps。如图3所示，BT应用被有效地控制在指定范围内，其它的网络应用不受影响。

高校校园网的网络规模正在不断扩大，校园网内部数据传输率越来越高，上网用户数量多，上网时间比较集中，并且网络应用越来越丰富，这些因素对校园网的出口压力越来越大。部分用户的过度下载，占用了校园网出口的大部分网络带宽，也使网络设备严重地超负荷运转。如何让用户合理使用网络，已成为高校校园网管理面临的新课题。利用技术手段禁止或限制某些不合理网络应用，利用流量计费等管理措施，限制用户过度下载，在校园网运行管理中得到使用，效果明显。在流量控制的基础上，鼓励校内用户建设校内资源库，丰富校内网络应用，减少校外资源重复下载，把有限的校园网出口带宽合理运用到教学、科研工作中。