校园网计费网络管理论文

时间:2017-02-23 10:52:03 来源:论文投稿

校园网已经成为大学的重要的基础设施,它带来知识的普及、交流的便捷和信息的获取,已经成为师生工作、学习的重要工具。为了使师生能够更好的使用校园网提供的服务,校园网带宽,尤其是出口带宽的扩容成为校园网管理者经常要做的工作。各种新的网络应用不断出现,这些新的应用对网络带宽的要求都大大增加了。实践表明,网络带宽扩容的速度总是落后于校园网用户对网络的需求。网络带宽在每次扩容后不久又会成为了一种稀缺资源,如果对网络带宽不加控制的滥用,就会造成网络的拥塞,大大影响了正常的网络应用,使校园网出现公地悲剧的现象。使用网络计费系统对网络的使用按照“多使用多付费”的原则进行计费是很多学校采用的控制手段。对网络的使用进行计费后带来一些其他的问题,我们是通过网络管理的手段进行解决的。

1我校计费系统网络管理整体情况

对网络的使用的度量方式有按照时间和流量两种方式。按照时间作为度量易于实现和检测。但由于网络访问不是一个匀速的过程,使用时间并不能准确描述用户对网络的使用量,因而使用访问产生的流量作为网络使用的度量是一个合理的选择。我校就是采用对入流量进行计费的计费策略。在我校使用根据流量进行计费的计费策略以来,网络流量成为了有价值的资源,因而出现了一些问题,主要有以下三点:①计费系统流量计量的准确性问题②IP地址抢夺方式的流量盗用问题③帐号被盗后的IP地址定位问题这些问题本身不是依靠计费系统所能解决的,需要通过网络管理的角度寻找解决方案。下面分别说明。

2网络管理计费系统流量计量的准确性

计费系统是根据每个IP包的包长进行累加的方法进行流量统计的。这个过程对用户来说是很难进行检验的,用户通常根据以前的经验值来估计每次访问所产生的流量。当用户的计算机上运行了非用户主动发起的程序(如各种系统打补丁程序或其他木马程序)而产生了非预期的网络时,计费系统所统计出的流量就会大大超过用户的经验值,用户就会产生计费系统流量统计不准的疑问,并向系统管理员提出质疑。管理员如果不能对用户的疑问进行解答,用户就会认为计费系统的流量计量有误,则使用计费系统进行流量计费的合理性就会得到校园网用户的质疑。计费系统会记录用户访问的日志,一方面这些日志不是很完备,另一方面如果仅使用计费系统自己的日志信息来验证自己流量统计的正确性,这就是通常所说的“既当运动员又当裁判员”,不具备客观性,因此需要通过独立于计费系统的方法来解决这个问题。网络上能够独立的捕获用户流量的最常见的设备就是交换机。我们通过从交换机获取的用户流信息来对计费系统流量统计的准确性进行验证。在处理此类问题的实际工作中,用户还需我们帮助分析产生流量的原因,比如是访问哪些IP地址产生的,这就需要网络层和传输层的信息。要达到这个目标,需要详细记录数据流的这些信息。

2.1流信息的获取来源

网络流天然的最小的单元就是数据包,每个数据包包含了其所属流的传输层和网络层的完整的信息,如果能将这些信息收集并存储下来,理论上就可以完成我们所需的功能。我们在计费系统的测试阶段就是按照这个方法去进行的,数据报的获取通过交换机的端口镜像功能来实现。使用这种方法在实践中帮助我们初步解决了这个问题,但是我们也发现了这种方法存在的问题:镜像口的流量需要和实际数据端口的流量一样大,当实际的数据端口超过千兆后,将很难找到合适的镜像端口。因此需要寻找其他的流量测量手段。以流为单位的流量测量正以其低测量开销的方式取代以分组为单位的流量测量[1]。我校出口网络是使用Cisco公司的网络设备,因而采用Cisco公司开发的用于采集IP数据流量的网络协议Netflow。我们在连接计费系统的网络设备上启用了netflow的相关配置,并且在三层接口下使用“ipflowingress”配置使交换机吐出的netflow数据与我校只对入流量进行计费的策略相一致。Netflow数据被发送到指定的服务器上,该服务器运行我们自己编制的程序获取netflow数据,提取所需的信息然后生成访问日志文件。该程序使用winpacp获取网络数据。

2.2日志文件组成

我们采用固定大小的文本文件来存储获取到的netflow数据。Netflow协议中包含流的定义和流的信息。流的定义使用五元组(源地址、目标地址、源端口、目标端口、协议类型),流的信息包含数据包数、流量数和时间。流的定义字段对分析流量的来源都是帮助的,要保留。流的信息中的数据包数和流量数是统计流量的重要数据,必须保留。流量测量中一个很重要的输入条件是时间,因而时间信息是需要保留的。但是过多的时间信息会占用大量的存储空间,而流量测量对时间的精确性没有很高的要求,只要能够将来自同一个IP的不同终端的网络流区分开就可以了。我校用户的IP地址采用DHCP方式获取,地址的租期是24小时。当计算机的IP的使用达到租期的一半时,计算机会自动重新进行地址的获取。这说明在IP地址停止使用后的至少12个小时内,该IP地址是不会分配给其他计算机的。也就是说来自同一个IP的不同终端的网络流从时间上至少相差12个小时。只要日志文件首尾两个网络流的时间间隔小于12小时,我们就可以使用首尾两个流的时间来满足上述区分网络流的要求。实践表明,当采用10M大小的文件时即使在访问量最小的凌晨每小时最少也要生成2个文件,完全可以满足上述要求。由于末尾网络流的时间和下一个文件的起始网络的时间几乎一样,因而我们只记录起始流的时间,并以此时间(准确到秒)作为文件名。Netflow日志文件中包含每条流的信息。流的信息中IP地址信息会大量重复的出现,是冗余度很高的信息。如果能够减少这些冗余信息将会减小日志文件的大小。流数据在文件的位置不影响流量测量和分析工作,因而我们采用将目标地址和源地址相同的流连续输出,如果和上一条流记录的目标IP地址相同,则不输出本条记录的目标IP。如果源IP地址也一样,则本条记录的源IP地址也不输出。通过这种方式日志文件的大小减少了近50%。

2.3从日志文件中查询流量详细信息

为了方便日志的查询工作,编写了流量统计的程序。输入条件是校内IP和查询的起止时间。读取当天的每个日志文件,根据文件名判断是否在查询的时间段内。如果在则查找对应的校内IP的流量记录,将来自相同校外IP的流的流量进行累加。由于netflow中的流量单位是字节,长整形的长度是32位,因而如果统计时采用1个长整形,最大的流量是4G字节。为了处理总量大于4G的流量查询,我们采用两个长整形来记录流量统计结果。一个的单位是字节,一个的单位是兆字节。

3IP地址抢夺方式的流量盗用问题

计费系统部署在校园网的出口,将相同目标IP的数据包的长度进行累计,作为该IP对应的帐号的访问流量。如果抢夺已经注册了帐号的IP地址,就等于盗取了别人的流量。目前我校校园网使用以太网。以太网是一种多路访问的广播网,同一个网段内的多个网络可终端共享同一个网络介质。这样一个IP地址可以被同网段的任何终端所共享,只要能够成功“欺骗”网络设备,抢夺他人的IP是可能的。我们需要采用其他的网络安全策略来防止IP地址的抢夺。根据IP抢夺的方式不同介绍两种安全策略。3.1修改IP的抢夺方式这种方法利用默认情况下网路设备对ARP的应答不进行检查,完全信任的问题。针对这个问题,多数网络设备已经开发出了ARP检查的功能,即用一种可信的IP和物理地址对应表来ARP的数据包进行检测,丢弃与可信对应表不一致的ARP数据包。由于DHCP是在学校得到广泛使用的IP地址分配方式,而且通过配置可以控制DHCP应答数据包仅来自可信的服务器,因而DHCP应答数据包中包含了可信的IP和物理地址对应关系,只要能够捕获并存储这些数据,就能够得到一张可信的IP和物理地址对应表,这就是DHCP嗅探功能,也已经成为主流交换机的基本功能。将DHCP嗅探功能和ARP检测功能配合起来就可以防止修改IP的抢夺方式的攻击。3.2修改MAC的抢夺方式攻击人还可以通过修改自己终端的物理地址的方式来获取他人的IP地址。网络层的参数如IP地址和网卡地址都可以仿冒,但是难以仿冒的是交换机接口。一旦用户的上网位置确定了,交换机的接口是固定的。因而只要将物理地址和交换机端口的对应关系存储下来,就可以有效的防止此类攻击。交换机的端口安全策略可以实现这种功能。交换机上的端口和MAC地址的对应表应该有老化时间。我校计费系统的账号的自行下线的条件是从发送最后一个数据包后一定时间之后。当IP地址对应的账号的已经下线了,IP地址抢夺过去也就没有意义了,MAC地址就应该可以不被绑定了。因而MAC地址的老化时间也应该按照此方式处理:(1)老化时间的起点以发出最后一个数据包开始;(2)老化时间的时长等于计费系统自行下线的时长。实际应用中,我们采用的网络设备多数已满足这个需求。添加了这些配置后用户终端的移动性受到了些影响,但是由于提高了安全性还是得到了校园网用户的认可。

4IP地址的定位问题

网络账号被盗用总是难以避免的,当盗用的案件发生时,账号注册的IP的位置信息对于破案是有极大的帮助的,这就需要网络能够进行IP定位。IP地址定位的需求是根据IP和时间可以确定IP对应的终端所在的位置,通常情况下位置能准确到房间就可以大大缩小嫌疑人排查的范围。目前我校的校园网综合布线的密度为每个自然间1-2个信息点,每个信息点对应一个接入层交换机的接口。因而使用接入层交换机的接口就足以描述IP地址的位置信息。IP地址的接入信息可以使用时间、IP、MAC和接口这个四元组进行描述。IP和MAC的关系存储在汇聚层交换机的ARP地址表中,MAC和接口的对应关系存储在接入层交换机的MAC地址表中。这两个数据表可以通过SNMP协议从网络设备中读取。通过对交换机上启用SNMP协议的相关配置,可定期从网络设备中读取所需的数据表信息,然后将互联接口的信息从MAC地址接入表中过滤掉,通过MAC地址将两个表格联合起来再加上执行读取操作时的时间戳就可以得到IP地址的接入信息。将这些信息存储起来就可以作为IP地址定位所需的日志。

5结论

通过上述的网络管理方面的工作,我们积累了大量的用户IP的访问记录和接入记录。我们利用访问记录解答了校园网用户对计费系统流量计量是否准确的疑问。我们使用IP接入记录帮助相关部门处理了多起帐号被盗的案件。以上的工作改变了计费系统管理员的困境,得到了计费系统管理员的肯定。随着新的IPv6技术的出现,对IPv6流量进行计费也日益提上我们的议事日程。我们需要继续考虑如何解决IPv6计费中的同类的问题。

作者:张杰单位:北京工业大学信息处


更多管理论文论文详细信息: 校园网计费网络管理论文 论文代写
http://m.400qikan.com/lw-187474 论文代发

相关专题:企业薪酬制度 太阳神物流系统

相关论文
相关学术期刊
《时代青年》 《涟钢科技与管理》 《探索与争鸣》 《科学技术与工程》 《画刊》 《中南财经政法大学学报》 《山西交通科技》 《护士进修杂志》 《云南电力技术》 《市场经济与价格》

< 返回首页