流量控制在中小机场中应用.docVIP

流量控制在中小机场中应用摘要：随着互联网技术的快速发展,全国的中小机场的信息化建设已经从起步阶段到了蓬勃发展的阶段。而网络规模的不断扩大和应用的广泛深入，给网络系统的正常运行带来了一系列问题。本文就如何有效封堵p2p应用或限制此类应用提出对网络进行智能化管理的必要性，并针对实际情况提出了解决方案，从而实现民航关键业务的“安全、高效、稳定”。 关键字：流量控制；流量整形；P2P 1、引言 随着我国民航事业的快速发展，有效推动了中小机场的网络基础建设和信息化建设，而基于网络的机场呼叫中心、售票平台、财务系统和OA等关键性应用系统的不断增多，迫切需要高效和稳定的网络运行环境。 2、中小机场的网络应用现状 烟台机场互联网总出口是一条100M带宽，承载着机场的OA系统、财务系统、设备管理系统、WEB网站和机场售票系统，另外还负责宾馆客房、候机楼售票柜台和物流公司的互联网业务。考虑到资金和机场搬迁的问题，一直没有再申请另外一条线路，随着网络技术的发展和用户的增多，带宽资源日益紧张，时常发生网络业务运行不稳定的情况。虽然机场先前颁布了多条明文规定，但仅仅依靠员工自觉遵守，而缺乏技术手段，效果不尽人意。 2.1网络规模急剧膨胀、网络用户快速增长。烟台机场的网络基础建设从2000年开始，随着机场的不断扩建和改造，陆续新增了4个办公楼和一个宾馆的综合布线，固定网络用户从最先的几十个发展到300多个，给机场的网络管理带来很大的压力。 2.2关键性应用的普及和深入。随着信息自动化程度的提高，机场的呼叫中心、售票平台都改造成自动化程度很高，依靠网络进行数据更新和传递的集成系统，如果网络一旦中断或不稳定，将严重影响售票系统。 2.3P2P软件的广泛应用，网络资源被严重的浪费掉。P2P技术的出现，使人们可以高速获取海量的网络资源，而P2P软件对带宽的占用却令网络管理员颇为头疼。大量P2P以及其它非关键性应用的存在，导致个人上网、企业办公OA系统、财务系统等等得不到正常的开展，时延甚至应用中断现象会时有发生，物流公司和航空公司常常抱怨出一张票要很长时间。 2.4存在大量的网络不安全因素，如网络非法攻击、登陆不良网站等。现今的互联网经常会受各种网络黑客的侵害，导致网络不能够正常的运行，网络中心曾做过统计，该企业主要的几个应用服务器平均一个星期会经受到数千次甚至上万次的非法访问尝试;另外，如何避免用户登陆不良网站，防范网络非法攻击(如DDOS，蠕虫)等等，这些都是不可回避的紧迫问题。 要解决上述问题，最关键的是对网络流量进行管理，查明互联网出口链路应用流量分布状况，限制非关键应用占用互联网带宽，保障关键业务的带宽，从而确保整个网络的稳定、高效运行。 3、网络流量控制的基本技术 3.1流量控制的基本原理:利用端口、报文、数据流特征等针对P2P应用的检测技术，检测出P2P应用，再利用流量控制设备，对P2P应用进行适当的管理和控制。 3.2流量控制的关键技术:一种连续干扰/信令干扰;二是P2Pcache;三是流量整形技术. 3.3流量整形技术：根据数据流的识别结果，对数据包采用阻塞、直路丢包或提供QOS保证。对符合策略控制条件的数据流进行流量管理和资源调度，达到流量控制的目的。下文采用的设备就是基于此原理的流量整形设备。 4、实施方案 4.1安装神州数码DCFS-1000流量整形设备。通常来讲企业内部之间通信流量一般不需要管理、控制，因此只要流量整形设备安装到企业网络出口处，就能有效的管理出口的带宽资源.我们安装在防火墙和三层交换之间。将EM0端口连接三层交换机，设置为内网并分配内部地址为/，EM1口连接防火墙设置为外网。 4.2流量整形设备的主要设置。 4.2.1首先在对象管理中定义一个名称为P2P的应用组，将目前所使用的P2P软件全归到此应用组下。然后在控制策略中对P2P进行带宽进行限制，限制P2P应用带宽上限为15M，下限为5M。同样，将关键应用先定义出一个应用组来，然后进行带宽限制，为保障关键应用，我们没有限制它们的带宽。 4.2.2在地址对象管理中将需要特殊对待的IP地址定义成特殊组；同样在服务对象中将关键应用中必须用到的协议和端口定义出来，在之后的控制策略中可单独设置或不受限。 4.2.3在时间管理中设置两个工作时段，一是工作时间8：30--16：30，另外一个时间是非工作时间16：30--8：30，在之后的控制策略可加以时间控制，工作时段保障关键应用。 4.2.4控制策略的设置。对于关键应用的设置采用最高优先级别，不限带宽，不限时间。对于P2P的应用组，采用带宽和时间限制。除关键应用以外的协议端口全部禁用。 5、效果评述