网络现状分析与解决方案

网络现状分析与解决方案
一、 网络现状
目前学院网络采用铁通光纤接入,20M下行,1.5-2M上行。客户端1000左右。日常在线用户400人左右。每天同时开放3个机房。每个机房90人,教师在线人数150人左右。
网络通过光猫到达学院接口,用华为USG5150防火墙做路由功能,下面连接安达通ADT-1200S做流量控制和网络认证。连接CISCO370M主交换,主交换机划分6个VLAN,211.81.182.182 、182、183、184、185、186网段。
其中181段位行政楼专用。182段为教学楼大部分教师使用。183、184、185、186网段分配给学生六个机房教学使用。每个机房容纳90台机器。日常同时开发3个机房。理论机房同时在线共270个客户端。行政楼和教学老教师,同时在线人数,基本在150人左右。日常客户端320人左右。

二、 流量原理

网络的速度分为上行流量和下行流量。二者都十分重要。一般我国的网络都是非对称网络,即上行速度远远小于下行速度,因为普通用户在上网时下行流量占用的比较少。我们使用网络的时候,在本机的操作,包括输入地址,发送聊天等都作为服务请求,被计算机封装成数据包,经过层层设备,发送到通信供应商。数据到达供应商的DNS服务器进行解析,然后发送到世界各地的服务器,经过世界各地的各种服务器响应,返回数据包到供应商链路,然后发送学院的光纤,经过防火墙,流控设备,主交换和各种网络设备,最后到达客户的计算机,计算机通过对数据包的处理,返回客户的各种需求。如聊天,浏览网页的显示。
视频流的传输,股票信息的反馈等等。
我们所说的流量速度,网络速度,只是在学院和网络供应商间发生。也就是运行在供应商到学院的这条光纤上的速度。上行流量也可称为流速,就是数据从我们电脑到供应商服务器的速度。下行流量,就是数据流从世界各地到网络供应商,供应商通过光纤提供学院的速度。
当前随着网络的日益发展,网站的的各种元素也多种多样,不再局限于文字,更多的是大量的图片,视频,FLASH视频流。和各种游戏,杀毒软件的庞大体积,和频繁的自动更新密度…………等等直接耗费着每个客户端的流量。
2000年左右512K的带宽基本能满足客户的需求,普通浏览网页,观看视频也会卡顿,但是当时网页的承载信息量小。
目前网络承载的信息量的增加也进一步对当前的网络速度和质量提出了更高的要求。精美的网站,都需要加载大量的图片,视频,FLASH动画。动态网站也增加了,客户端到服务器的请求次数。举个例子:目前视频流的质量和分辨率有关,比如普清(720p),高清(1080p),和流畅(360以下)等几个等级。最差是普通,视频质量也就差。普通的视频流都需要60K/S以上的带宽。这个速度是服务器到客户端的速度,中途要经过数据转发,经过防火墙等层层设备才能到达用户的机器通过浏览器加载视频插件,用户才能看到视频。也就是说如果流畅的观看普通视频流不卡顿,服务器段流速优良的情况下,我们需要大于60K的速度才能流畅的观看一个视频。
操作系统的升级,游戏、软件体积的日益庞大臃肿,对硬件也提出了新的要求一样。网络的发展、增加了客户的体验,同时也推动着计算机硬件的更新,和网络质量的提升。
当前的个人用户如果需要获得良好的体验,至少需要2M的带宽,才不会有明显感觉的卡顿。

三、流控设备应用

目前学院的网络带宽明显不足:

按照一般粗略计算:
人均下行流量 = 20/320=0.0625M*1000=62.5K.
上行流量就更小。
理想带宽:62.5*5=1505K/s 20M*5=100M/s

无法满足日常办公需求,用户打开网页,和浏览视频,聊天,发送邮件都会明显卡顿。如果一个客户端占用大量的流量,那么其他客户端就无法获得62.5K的基本速度。然而这只是一个程序的需要的速度,还有诸如杀毒软件自动更新,系统自动更新,之类的后台服务在运行。如多客户端的占用大流量。势必会影响整个网络的质量。
因此采用了QOS网络流控设备ADT -1200S。首先要明确一点,流控设备不能起到加速网络的作用,只能使网络更缓慢。
那么为什么要使用流控设备呢,就是为了要更加科学合理的分配网络,在流量不足的情况下,让所有用户都能有尽可能平均的网络速度和体验。
我学院采用的是安达通ADT-1200安全行为网关做QOS控制。所有的数据流,无论上行,下行都要通过这个设备。设备对数据有两种处理方式。1、bypss(直通),就是不经过处理直接转发出去。一般用户特殊权限用户。设备会不处理数包,通过设备的默认策略做转发给上层设备,也就是防火墙;2、处理数据:在这个过程中,要经过关键词过滤,流控策略,等等一系列复杂的处理后,交给上层设备。设备处理数据的能力和速度也直接影响到了客户的网络体验。
通过对网络的流量控制,合理的分配了带宽,同时也一定程度上影响了网络的质量。设备对网络的影响程度和用户的数据包的频繁程度是成正比上升的。
Q 表示网络质量
M 表示总带宽
N表示数据包数量/每秒
a 为设备常数,用于评估设备能力的一个常量。
S为安达通设备的处理运行能力。为变量,数据包越大,处理能力越低。S的值也就越低。S一般为负值。1为不处理。
Q = ( S * a / N ) * M
当S的值到达设备的处理极限时候,设备就会停止运行,死机。从而导致网络瘫痪,但是bypass(直通)的用户还是可以访问外界网络的,但是普通用户的网络已经无法访问。
由于bypass(直通)用户的存在,流控设备无法监控该IP群组的用户,导致内网的QOS管理存在严重漏洞甚至致命。解释如下:

1、网络一直处于亚健康状态,存在潜在危险。
2、直通用户无法通过流控设备管理,导致无法检测整体实际流量。
3、导致恶意用户更改为直通用户IP后,网络莫名质量严重下降,无法通过流控设备确定,恶意用户的位置与信息。无法准确快速的查找原因,确定故障节点。如:确定恶意更该IP后,只能确定为那个楼,无法进一步确认,该IP不再监管范围,导致原来的用户无法登陆。只能挨门排查,时效性差,同时恶意用户早有察觉,可以采用各种手段规避。导致无法确认,故障频发。
4、恶意用户通过更改为直通用户的IP后,便可以躲过QOS的控制,进行大流量下载,致使整个网络质量严重下降,甚至瘫痪。

流控策略与管关键词过滤,内容检查:这个是安全网关的主要功能,所有发送的数据包,直通用户除外。都要经过安全网关的再次处理,二次封装。再向上层设备。直接影响了普通用户的网络体验。
登陆验证一般只有在客户第一次访问登陆外网的时候,安全网关对数据包含的用户信息进行拦截,然后验证用户身份,比对响应策略。然后按照比对的策略处理本次客户下线前所有的数据包。

当前流控策略:
1、直通用户:不限制,无法监控和检测;
2、普通用户:整体流速控制80K,其他不做限制;
3、学生用户:整体限速60k,限制P2P下载,视频浏览,股票,QQ,和QQ游戏等常规娱乐功能。仅用于学习和浏览普通网页。
4、服务器用户:一般运行学校的服务器,如网站,数据库,图书系统,教务管理系统。不做任何限制。

流控设备的优化了网络质量,在一定程度上改善了网络的整体体验,解决了用户争抢流量,靠机器性能决定网速的现象。保证了网络的整体运行。但是前提是网络总带宽足够使用。目前学校还没达到,所以才有用户更改IP,以求获得更好的网络质量的现象。同时也对数据包有整体的延迟,导致网络质量在一定程度上下降。用户体验,决定于流控设备的性能和网络的带宽。

四、防火墙的应用

数据流从流控设备出来,就到达了上层的防火墙,防火墙兼顾路由功能,学院的防火墙主要使用的是路由功能,和数据转发。
数据包从流控设备到达防火墙,防火墙检查数据包,与路由表比对,然后确定数据时来发往内网,还是外网,然后是内网的,返回流控设备,流控设备处理后,返回给主交换机,然后发给内网目的地。是外网的,发送到光纤设备,然后经过光纤传输给供应商,发布到世界各地,在返回数据包,给光纤,到达学院,经过防火墙,流控设备,主交换,发给客户。
当内网的请求数量到防火墙的处理能力时候,就需要客户等待,如果时间过长,防火墙就会丢弃数据包,导致用户访问网络失败。如果长时间大量拥挤数据,防火墙长时间在高负荷运转,就会性能低下,甚至死机。
防火墙是内网外网连接的第一层设备,直接影响着整体网络的速度与质量。

五、网络设备
包括主交换机、二级交换机、小型路由器、集线器和网线等。
数据包从防火墙出来,就通过网线到达各种交换机,然后通过网线到达用户的计算机。随着时间的推移,电子设备都会存在不同程度的电器性能下降,这个是硬件的自然规律。包括灰尘,生锈,电子转移能力下降,接口老化等现象。由于停电、雷击、或电压不稳定,导致设备原件性能损伤,交换机等设备损坏,或部分损坏等。用户的直接体验就是,网络不稳定,时好时坏。
在经济条件允许的情况下应当,每年定期投入网络维护费用。用来改善和更换网络设备。如老化的网线,生锈的水晶头。必要的情况下可以更换交换机、重新铺设网络线路等。解决潜在的网络质量问题。这些问题是普通网络测试器无法检测到的。也是普遍存在的。

六、影响网络质量的主要因素
由此可见,决定网络质量的关键有几个方面:
1、 上行速度(上行速度过慢,导致数据发送出去缓慢,得到的响应时间自然就缓慢)。
2、 下行速度(下行速度是用户最直观的感受,一般是下载速度,视频播放速度等)。
3、 DNS解析 (供应商的DNS解析能力,决定访问质量,有时候DNS问题导致无法上网,能上QQ,或者部分网站无法打开等)。
4、 网络稳定性(供应商提供的带宽是否稳定,一般都是共享带宽,很少有独享带宽,意思好多人用100M速度,你得到的不一定是2M,但是最大是2M)。
5、 对方服务器的响应能力,不常见,一般为打开一个网站慢,但是其他的很快。一般是对方服务器带宽不足,或者压力过大。
6、 内网网络设备和线路质量:防火墙的处理能力,流控设备的数据转发和处理能力,交换机端口的转发能力和老化程度,网线的质量。用户机器的网卡质量,硬件配置,操作系统的健康程度等。

七、解决方案

1、 调整流控方案,将bypass用户纳入流控管理系统,进行MAC与IP地址绑定。做特殊策略实现不同网速差异。对教师组适当放宽带宽限制。或不限速。对网络改善不大。
2、 跳过QOS流控设备,网络用户速度会提升,但是老的机器和网络质量差的链路用户,仍旧不能获得好的体验。比如部分256内存的机器,或者连接在亚健康交换接接口上的用户。
3、 增加接入带宽,以满足用户不断增长的网络流量质量需求。需要每年给网络运营商缴纳相应的费用。最为有效的方式。
4、 更换老化网络设备,行政楼和网络中心交换机以实用多年,部分接口已经损坏无法使用。行政楼挽交换机损坏严重,如果继续使用在损坏接口将无法维持正常办公需求。只能通过在在串接二级小型交换机,会导致二级交换机上用户网络质量再次下降。
5、 加强网络管理,由领导发布硬性文件或规定。并能贯彻执行,禁止用户随意更改IP地址,同时减少不必要的视频浏览,游戏、股票等与工作无关的上网行为。减轻网络的整体流量压力。可以在一定程度上改善网络质量。会减少用户对网络的体验。一般会导致用户的厌烦、抵触情绪。

2013年4月4日
任 浩

发表评论

电子邮件地址不会被公开。 必填项已用*标注