給校園網路進行流量監控和流量分析

在我們精心打造的校園網中，如果網路突然緩慢，在重要資料往來的教學時間段，留給系統管理員的回應時間只有寶貴的十幾分鐘、甚至幾分鐘。而且，蠕蟲對網路速度的影響越來越嚴重，例如“網路天空”等郵件蠕蟲，它們導致被感染的使用者只要一連上網就不停地往外發郵件，病毒選擇使用者個人電腦中的隨機文檔附加在使用者的通訊錄上，通過隨機地址進行郵件發送。成百上千的這種垃圾郵件有的排著隊往外發送，有的又成批地被退回來堆在伺服器上。這都造成個教 育網骨幹線路出現明顯擁塞，甚至在蠕蟲泛濫的區域網路中，癱瘓的事件屢有發生。

進行流量監控和流量分析是整個網路合理化的重要環節，它能在最短的時間內發現安全威脅，在第一時間進行分析，通過流量分析來確定攻擊，然後發出預警，快速採取措施。如何在核心的網路裝置上監控流量、限制異常流量就成了大家關注的技術問題。

監控對象的制定

串連性

串連性也稱可用性、連通性或者可達性，學校需要高效率的頻寬服務，更嚴格的說應該是網路服務的基本能力或屬性。比如遠程教學中需要寬頻連線和ApsaraVideo for VOD等服務，這些都必須以網路的串連效能為基礎和保障。

丟包率

丟包率是指丟失的IP 包與所有的IP 包的比值。許多因素會導致資料包在網路上傳輸時被丟棄，例如資料包的大小以及資料發送時鏈路的擁塞狀況等。不同業務對丟包的敏感性不同，在多媒體教學中，丟包是導致映像品質降低和斷幀的根本原因。

時延

時延定義了一個IP 包穿越一個或多個網段所經曆的時間。時延由固定時延和可變時延兩部分組成。固定時延基本不變，由傳播時延和傳輸時延構成；可變時延由中間路由器處理時延和排隊等待時延兩部分構成。

頻寬分析

頻寬一般分為瓶頸頻寬和可用頻寬。瓶頸頻寬是指當一條路徑（通路）中沒有其它背景流量時，網路能夠提供的最大的輸送量。可用頻寬是指在網路路徑（通路）存在背景流量的情況下，能夠提供給某個業務的最大輸送量。

協議分析

對網路流量進行協議劃分，如：Web瀏覽（HTTP）、電子郵件（POP3、SMTP、WEB MAIL、檔案下載(FTP)、即時聊天（MSN、QQ等）、流媒體（MMS、RTSP）等。針對不同的網路應用協議進行流量監控和分析，如果某一個協議在一個時間段內出現超常佔用可用頻寬的情況，就有可能是攻擊流量或蠕蟲出現。

應用網段流量分析

大多數學校都是將不同的業務應用通過VLAN來進行邏輯隔離的，所以可以通過流量分析系統針對不同VLAN來進行網路流量監控。