【IT168 专稿】中国教育和科研计算机网CERNET目前连接了分布在200多个城市的大学、教育机构、科研单位2000多个,用户超过2000万人,后来居上已成为世界上最大的国家学术互联网。各校园网用户,可通过教育网专线互联共享教育网络内的学术资源,加快信息传递速度,促进广大教师学生以及科研人员之间的信息交流、资源共享、科学计算和科研合作,提高教育和科研事业的发展效率。
但由于教育网当前与国内其它运营商及国际运营商联通的状况尚不理想,导致想要通过教育网络作其它应用或连接国外网站查询数据时,网速会相当慢或是甚至无法连通。所以,一般校园网络除了学术用途连接教育网专线外,还会另外申装其它运营商ADSL或光纤线路做其它应用。如何让教育网与公众网得到良好的运行管理,是校园网络管理员的第一道课题。
随着各式网络应用激增,BT、P2P、视频下载等应用风行,尽管已经多次升级线路带宽,却发现上网还是卡,带宽还是不够用,各式病毒攻击也伴随而来,更是恼人的问题。面对众多的用户及复杂多元的网络应用,给校园网络带来很大的威胁,对校园网络管理员更是如临大敌,相关的管理措施不能不重视,否则一旦发生运作不顺畅或甚至断网,影响层面将非常大。
针对上述校园网络实际面临到的问题,我认为追根究底是要做好流量管控,即可让教育公众双网运作顺畅、有限带宽资源得到有效应用,并通过不正常流量管控防制恶意攻击。建议用户可采用多WAN路由器设备,做以下网络流量管控三步骤,即可轻松让校园网络得到顺畅运行。
第一步:多线策略路由,分流教育网及公众网
过去因为没有多WAN路由器设备,校园网若需要同时接多条线路,普遍采购多台单WAN路由器,不仅线路、带宽无法集中管理、整合运用,更平白多出数倍线路、设备维护的成本,可说是相当不合算。另外,用户访问不同网络,还必须做网关的切换,这在实际使用上是有难度、相当不方便的。
采用多WAN路由器设备,内建多WAN端口,可提供多条广域网线路接入,教育网专线与公众网线路可集中管理。具备多线策略路由功能,可分流教育网专线及公众网线路。通过目的网段IP或针对特定端口做绑定,让学术网络系统等相关信息只走教育专线,而其它联网则走另外接的运营商线路。从而实现只用一台多WAN端口路由器,即可整合多运营商线路,并清清楚楚的达到彼此分流的目的,得到物理隔离的安全性,保证联机反应快速,网络运行稳定。
图一:Qno侠诺策略路由功能示意图
图二:Qno侠诺策略路由设置页面
另外,多WAN端口支持带宽汇聚,可以多条ADSL取代光纤,汇聚线路增加带宽,降低线路成本。支持多线负载均衡功能,可依实际需要,进行联机数或IP负载均衡,优化对外带宽使用。并可以根据需要设置是否支持自动线路备份,当一条线路掉线,会自动改用另一个WAN端口的线路连接,确保联机不掉线。
第二步:动态智能带宽管理,优化带宽资源运用
动态智能带宽管理功能是以简单的通用配置,替代以前必须时时进行修改的规则配置,可节省网管的时间,专心于其它工作。该功能结合了带宽侦测机制、智能化运算、网络处理技术及防火墙,主要可发挥一站解决带宽相关问题的作用。动态智能带宽管理最大的特色是简化的配置,即使非技术人员也可进行有效的配置,主要的配置参数为以下三项:
1、启用带宽管理门坎:以总带宽的百分比表示,当总带宽使用率低于这个门坎时,就不启用带宽管理,当高于这个门坎时,则启用带宽管理,限制带宽使用。这个功能让带宽管理在带宽使用率较高时,再行启用;而在带宽繁忙时,再进行带宽管理。
2、单一IP使用带宽上限:这是限制内网单一用户最大可使用的带宽,当用户占用的带宽超过这个配置时,用户就会被列进严管的表列中。一般的用户如没有超过带宽上限持续(默认为五分钟)占用带宽的现象,就不会被列入严管用户中。若用户还有持续占用宽带的情形,可进一步激活二次惩罚,这个功能可减低该用户可使用带宽50%,有效惩罚持续占用带宽用户。这个功能可针对特定IP管理,简化带宽管理的对象,有效根据带宽实际情况进行带宽分配,进一步提高带宽的有效利用。
3、启用带宽管理时间:对网管来说,有些时间不想启用带宽管理功能,比如说深夜凌晨时段,即使有用户占用带宽或大量下载,也是要开放的。这个小功能,却给予用户最大的弹性,使带宽可物尽其用!
图三:Qno侠诺动态智能带宽管理设置页面
另外,还可辅以联机数管控功能,限制每一内网IP最大对外的联机数量。当用户超过设置数值时,可以给予阻挡新联机或所有联机一段时间的惩罚,可有效防止P2P软件影响上网响应速度。
图四:Qno侠诺联机数管控设置页面
第三步、防内外网攻击机制,解除网络安全威胁
校园网用户众多,不可避免的会发生黑客、蠕虫病毒、ARP、DOS等各式攻击,防火墙、防病毒攻击的安全防护功能是绝对必要的,可避免校园网络带宽不被恶意病毒攻击所占据,影响其它用户使用网络。
以Qno侠诺多WAN安全路由器为例,内置高级防火墙,可进行数据包双向过滤,有效防止冲击波、木马等病毒。防内外网攻击功能,针对目前常见的DOS攻击,具备短包、碎片包、ICMP、SynFlood、TCP/UDP端口过滤等功能。例如:一般观看清晰度较高的在线电影,只需要每秒400-500笔封包,一旦单一来源IP封包每秒超过2000笔时,即被系统视为恶意攻击,会给予立即阻挡。
图五:Qno侠诺防火墙功能管理页面
图六:Qno侠诺防火墙功能进阶管理页面
内置"ARP攻击防御能力",无须借助其它软件即可进行目前危害最重的ARP攻击防制。例如:路由器默认设置每秒发送5笔ARP广播包宣告,先发制人,避免ARP恶意欺骗。通过内网计算机及路由器IP/MAC地址绑定功能,固定网关ARP列表,确保有效防止ARP病毒攻击。另外,也免费提供ARP客户端自动绑定软件,用户无需具备专业的电脑操作水平,即可进行IP/MAC地址绑定,大幅减少网路管理员的负担。