前言:中文期刊网精心挑选了计算机网络流量控制范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
计算机网络流量控制范文1
Abstract: This paper describes the application of expert system of artificial intelligence network management in network management. It can simulate human intelligence to automatically collect data diagnose, analyze performance, trend and failure, control flow on the networks, and to a certain extent, implementing automated management can improve the quality and efficiency of network management in functions domain of various management.
关键词: 网络管理;专家系统;人工智能
Key words: network management;expert systems;artificial intelligence
中图分类号:TP393文献标识码:A文章编号:1006-4311(2011)17-0154-02
0引言
随着网络社会的到来,人类的生活、工作都已经离不开网络,网络应用的深化与普及使得网络规模逐步扩大,产生了管理难、控制难、维护难以及日益严峻的信息安全等问题,使得如何保障网络的畅通无误、保障网络的可靠运行成为IT管理人员甚至企事业领导层必须面对的重要问题。如何改善管理网络机制,确保网络的安全运行,提高网络管理系统工作效率的要求被提了出来,计算机网络系统具有实时性、动态性、高速性与瞬变性的特点,都要求我们不断地发展更多、更新、更具有灵活性的控制和管理技术,以保证网络安全可靠、高效、稳定的运行。人工智能技术所具有的许多特殊能力将使其成现代计算机网络最强有力的支持工具,专家系统作为人工智能中最引人注目的发展方向必将成为未来计算机网络管理的中流砥柱。
1基于专家系统的网络管理设备的必要性和可行性
在现在的网络管理系统应该具有同时支持网络监视和控制两方面的能力。网络监视功能是为了掌握网络的当前的运行状态;而网络的控制功能是采取策略来影响网络的运行状态,从来实现对网络的控制。但是在实际的应用中,网络状态的监视需要同时处理大量的数据,而且这些数据很多是不连续的或无规则的,分析和处理此类信息需要花费大量的精力,而且工作效率十分低下,但在实际的网络管理控制中,我们对数据的处理速度质量要求特别严格,而基于神经元网络的并行处理能力的专家系统正好适应这种工作。
由于网络控制的目的是通过合理的路由选择和业务量控制以减轻由网络异常造成的性能下降。用经验知识并结合程序性算法、带有实施计算能力的专家系统比常规程序更适应于这种应用。目前的网络中广泛使用的网络管理设备大多数是七层设备,这些网络设备已经从原始的端口识别,逐渐向特征码识别进行转化,而在实际的应用中,很多服务通过C/S模式不断变换特征码,来达到穿透管理设备的目的,这也给网络的管理带来了一定的难度,因此在实际的应用中,我们可以是采用基于规则的人工智能专家系统来执行网络的管理功能,利用智能系统中的推理机模糊处理能力和自动学习的功能,实现对网络设备的预防性控制和主动性管理。
2基于专家系统的网络管理设备工作原理
专家系统是以专家的经验型知识为基础建立的知识库和推理机为中心的只能软件系统,管理员将已知的一系列入侵特征转换成规则,构建成规则库,通过审计记录与规则库的匹配,来识别入侵检测从而达到入侵检测与预警的功能,同样流量控制管理器的专家系统一般包括知识库,综合数据库,推理机,解释器,知识库一般是固定的,综合数据库一般包括控制策略,中间家而过,架设,求解问题等,接口即系统同用户的见面,网络管理专家系统中主要包括综合知识库和人工智能控制模块,综合知识库是基于网络管理的专家知识描述,控制模块从综合知识库中窜则适当的策略来调整当前工作状态,专家系统依照当前的控制策略来调整当前的工作状态,例如在传统的流量控制管理器的工作中,传统的流量控制管理器一般都是根据一些事先确定的过滤规则对网络的数据流进行过滤,控制网络流量的阀值,通过控制网络的并发连接数,从而实现对网络流量实现控制。但是在实践的网络应用中,网络的应用是动态的,网络的流量也是动态变化的,不同时间段的服务类型的变化也是在变化的,而传统方式的策略则是静态的,仅靠一些事先作出的有限的过滤规则,很难适应网络应用动态性的需求。而智能型流量控制管理器的的核心部分是一个专家系统,通过将专家系统与策略机制紧密结合起来,实现智能化的网络信息提取和智能化的调整,它具有处理不确定性乃至不可知性的能力,既达到了网络控制策略性的保障性流量控制的需求,又能针对网络的变化,检测,实现动态的调整,保证网络的稳定运行。采用人工只能的网络设备可以实现对网络变化的快速响应,减少判断如何修改过滤表和规则所需的的时间。因为不需由人工来决定。可以包容人类专家的知识和经验,减少了人工修改带来的潜在错误,提高了控制质量,提供了对控制决定的快速响应。
3专家系统智能网络设备的优点
3.1 大大提高工作效率,精简业务流程及时、准确地获取资源在基于专家系统智能网络设备网络运行中,能够有效支持网络中的信息共享,可以准确的定位网络中存在的故障,而基于神经网络的系统具有极强的处理非线性问题的能力,可以有效的提高网络设备的故障分析与处理能力,然后根据当前的网络的情况或服务质量(QoS),按照管理策略根据设备和应用的需求自动为终端设备提供权限和优先等级,从而可以极大的提高网络管理的准确性和效率性。
3.2 主动发现网络异常,防患于未然由于网络系统的瞬变性,网络管理只能知道系统的局部状态甚至完全不了解系统内部状态信息,也可能即使是局部信息也是不确切的。而恰恰人工智能中的模糊计算的能力,使得网络设备具有处理不确定信息的能力,能根据这些不确定、不准确的信息对网络资源进行管理和控制,达到主动型网络控制的目的,实现网络管理的智能化。
3.3 专家系统具备推理、解释和学习能力智能化网络管理的推理能力也很重要,它能够根据已有的不很完全、不很精确的信息来作出对网络的判断,而且智能化网络管理不只是简单地响应低层的一些孤立信息,它有能力学习、综合、解释这些低层信息,以得出高层的信息和概念,并基于这些高层的信息概念对网络进行管理和控制。同样如在故障管理中,诱发一个事件产生的原因是多样的,而一个故障的产生往往又会以多种形式表现出来。此时智能化网络管理有能力处理这些带有模糊性的问题,采用专家系统是最合适的选择。
4结语
人工智能技术植根于计算机技术,反过来也已经直接在许多计算机应用领域中,现代计算机网络的高速性要求相应的管理和控制方法,如带宽管理、流量控制、路由分配等方法,越简单、越快越好,甚至对这些要求的迫切性已明显超过了对最优性等传统控制标准,而以专家系统为代表的新兴人工智能型的网络设备恰好可以满足日益增长的网络控制管理需求,因此基于专家系统的等计算快捷的人工智能技术必将在计算机网络中有更大的应用范围。
参考文献:
[1]周亮,吴开军.基于专家系统与神经网络的入侵检测系统[J].微计算机信息,2010-06-25.
[2]马秀荣,王化宇.简述人工智能技术在网络安全管理中的应用[J].呼伦贝尔学院学报,2005-04-30.
[3]杨娟,张玉明.网络管理发展的研究和分析[J].计算机与网络,2001-04-23.
计算机网络流量控制范文2
关键词:防火墙;数据统计;流量监测;流量控制
中图分类号:TP393.08
目前采用的TCP/IP协议族潜在着安全漏洞以及安全机制不健全,INTERNET网上的黑客趁机而入,非法进入企业的内部网并存取、破坏、窃听数据。防火墙是保护网络安全最主要的手段之一,它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况,以此来实现内部网络的安全保护[1][2]。
目前国内外有较多为企业设计流量防火墙等流量监控软件,技术相对成熟,但为个人设计的流量监控软件却大多数是只监不控。如360流量防火墙软件,Netlimiter,Negie等。360流量防火墙软件,简单易用,但流量管理都是临时的,每次开机后都得重新对一些程序进行限速,没法实时显示流量趋势;Netlimiter,会询问用户是否允许程序建立连接、并设置流量上限值,在windows xp2以上系统使用该软件会出现蓝屏现象。本文就是要为个人设计一个能够自动监控的流量防火墙软件,更好的为个人计算机信息安全提供有效保障而研究开发的软件系统,利用windows 7系统开发,开发环境为VC6.0,可在windows xp、windows 7、windows 8环境下运行。
本方案的设计是通过调用微软提供的NDIS驱动,编写程序实时捕获网络速率。软件需安装微软的WDK开发包,调用WDK开发的NDIS中间层函数,用C语言编写,并在VC6平台下进行开发。
本软件实现的功能有以下几点:(1)实时统计主机上网速率、上传、下载总流量等基本信息;(2)控制应用程序联网、控制网络及应用程序上传、下载速率;(3)进行流量检测并对检测到的流量进行分类;(4)找出占用网络带宽较大的应用程序,并计算出合适的流量上限值,给占用流量较多的应用程序设定推荐流量上限值。
系统功能模块如图1所示:
图1 QuickSurf流量防火墙系统功能模块图
1 软件系统整体框架
本项目可通过读取注册表的信息以获得当前应用程序列表,再通过调用NDIS的函数可以得到获得网络速率、应用程序速率等信息。具体程序实现用C语言,读取速率会比较快。先将网卡设置为混杂模式,收集主机和外网间的所有数据包信息。然后用现已公开的数据流分析、数据包分析、数据统计分析,来对应用程序的流量进行特征分析。定时检测,将异常流量上传到开源的服务器上进行分析对比,以节省昂贵的维护特征库的费用。调用NDIS提供的接口,手动控制应用程序联网级上传下载速率。
流量防火墙功能模型框架如图2所示:
图2 流量防火墙功能模型框架图
2 功能模块分析
2.1 数据统计
收集主机与外网通信的所有数据包,统计出网络速率、网络流量、打开连接数、应用程序流量等详细数据。数据统计模块图如图3所示:
图3 数据统计模块图
协议驱动程序负责维护一个接收缓冲区,该缓冲区以队列的形式组织。当NIC通知NDIS已从网络上就收到数据包时,作为已经在protocolChar结构中注册过的函数,NDIS将调用PacketReceiveIndicate作为接收处理函数将NIC从网络上接收到的数据缓存起来。
流量统计系统将采用三层软件结构来实现,包括NetF10w数据导出,数据采集和数据分析等部分。其中:
数据导出:支持NetRow功能的网络设备,如果其物理接口激活了NetRow功能,并配置了NetRow数据导出的目的IP地址和端口后,该网络设备接口将定期地将NetFlow流数据通过UDP协议传输到NetF10w数据采集服务器;
数据采集:数据采集服务器接受到NetF10w数据后,需要对原始的数据进行处理,如过滤聚合等,并将处理后的数据压缩存储到物理文件上;此外,有另外的进程不断地从存储的物理文件上抽取NetFlow数据,存储到关系型数据库中;
数据分析:通过分析存储在数据库中的流数据,数据分析模块可以统计各种流量信息,包括某设备一个接口的流量信息。一组IP地址的流入流出流量等,提供各种报表功能[3]。
2.2 流量控制:对指定应用程序进行联网允许设置、网络上行下行流量、应用程序上行下行流量进行设置。流量控制模块图如图4所示。
图4 流量控制模块图
关键技术为DPI和DFI技术。DPI的技术关键是高效的识别出网络上的各种应用,通过对应用流中的数据报文内容进行探测,从而确定数据报文的真正应用。DFI采用的是一种基于流量行为的应用识别技术,基于这一系列流量的行为特征,建立流量特征模型,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而实现鉴别应用类型[4]。
2.3 流量检测:当应用程序占用了可用网络带宽的70%,并且上网速率较低时弹出提示框,提醒用户查看联网的应用程序,提示可禁用一些应用程序的联网和设置较大流量占用的程序上网速率。流量检测模块图如图5所示。
图5 流量检测模块图
对于来自Internet上的数据包,第一步是对其进行过滤和捕捉,第二步,先设计一个优先级:基于端口识别和基于特征值识别均处于第一优先级,而DFI技术识别放在第二优先级。这些数据包先进行基于端口识别和基于特征值识别,只要通过时两种方法有一种能识别出P2P流量即可;最后对识别出的P2P流量准备下一步的控制策略,对那些非P2P流量则允许通过[5][6]。
在基于P2P的分布式蠕虫检测系统中,各节点采用旁路侦听的方式监控各自对应的边界网络,需要对出入该网络的所有网络报文进行报文还原,即进行IP分片重组和TCP数据流还原,才能进一步进行蠕虫的检测和分析。基于协议分析的特征匹配检测技术的系统工作流程,首先通过截获网络数据包,送往协议命令解析模块,然后通过具体协议字段判断各层协议,同时解析数据包的数据部分,再根据系统的规则库进行特征匹配,判断该数据包是否有入侵企图,最后由响应系统对该数据做出相应的响应[7][8]。
3 结束语
QuickSurf流量防火墙(windows端)软件实现了实时统计主机上网速率、上传、下载总流量等基本信息;控制应用程序联网、控制网络及应用程序上传、下载速率;进行流量检测并对检测到的流量进行分类;找出占用网络带宽较大的应用程序,并计算出合适的流量上限值,给占用流量较多的应用程序设定推荐流量上限值的基本功能。实现了我们所预期的效果。
参考文献:
[1]谢恩宝.防火墙与入侵检测系统联动研究.信息通信.2013(08).1673-1131(2013)08-0122-01
[2]肖政宏,尹浩.基于网络流量统计分析的入侵检测研究.微电子学与计算机.2003(05).1000- 7180( 2006) 05- 003
[3]车葵,邢书涛,李玲玲.网络性能监控与流量统计系统的设计与实现.网络安全技术与应用.2009(09)
[4]汤昊,李之棠.基于DPI的P2P流量控制系统的设计与实现.通信技术.2007(06).1009-8054(2007)06-0094-03
[5]王逸欣,王锐,樊爱华,唐川.P2P流量检测技术初探.计算机与数学工程.2006(06)
[6]郦昊,吴安清.P2P流量检测技术.湖北农机化.2009(05)
[7]陈博,方滨兴,云晓春.分布式蠕虫检测和遏制方法的研究.通信学报.2007(02)
[8]钱旭,顾巍,陈凌晖,丁晓峰.网络蠕虫检测系统的设计和实现.现代图书情报技术.2007(01)
作者简介:赵禹哲(1993-),女,吉林松原人,学生,本科,研究方向:网络安全;李艳平(1972-),女,内蒙古满洲里市人,讲师,硕士,主要研究方向:云计算、物联网、网络安全;陈昕(1965-),男,安徽人,教授,博士,主要研究方向:计算机网络及其性能评价、网络安全、航电网络;李挺婷(1992.11.05-),女,广东梅州人,学生,本科,研究方向:计算机网络;黄浩(1994-),男,广东郁南人,学生,本科;田青青(1992-),女,河北邯郸人,学生,本科,研究方向:网络安全。
计算机网络流量控制范文3
关键词:计算机网络;维护;研究
中图分类号:G623.58文献标识码: A
引言
随着科技的进步,计算机在人们生活中的位置变得越来越重要,整个社会随着计算机技术的发展,已经步入到了一个全新的信息时代。整个计算机网络,在给人们生活、工作带来便利的同时,因为计算机网络问题引起的一系列问题也在不断出现。如何能够有效地解决计算机网络的故障问题,做好计算机网络的维护,多年来一直我们研究的重要课题。
一、计算机网络维护中常见的问题
1、计算机网络维护中的硬件故障
计算机网络维护分为硬件维护和软件维护两种。随着网络技术的飞速发展,网络已经逐步进入了人们的生活,使人们的生产和生活方式得到了改善,但是不可否认的是,在计算机网络维护中还存在着一定的问题,有时甚至会使网络产生瘫痪。在计算机网络传输中,硬件是确保计算机网络能够正常运行的首要条件。计算机通过光纤网络综合布线布局到服务器端的正常连接。在计算机硬件的故障中,常见的问题是计算机本身产生的故障,在各个设备之间电缆的故障、与计算机相连的集线器或者是交换机之间的故障,还有的电脑在服务器端产生了一定的问题。不管计算机硬件哪一方面出现了问题,都会导致计算机网络不能正常运行。
2、计算机网络维护中的软件故障
在计算机网络维护的过程中,如果硬件没有问题,那么就要考虑计算机网络的软件方面是否存在问题。在软件故障中,常见的问题就是各种协议配置以及配置的参数变更无法满足网络的需要,各种备份不合理,各种设备的配置文件不完全,与外部网络连接的相关配置以及网络通信情况不能满足网络的需要。另外,影响计算机网络不能正常运行的还有可能是操作系统、网卡驱动程序以及配置问题不达标,上网软件之间互相冲突或者上网软件配置不合理,服务器内部系统出现了问题等。
3、网管的水平跟不上时展的需要
在计算机网络维护的过程中,网管的技术水平直接影响着计算机维护的效果。一些网管不能满足计算机网络维护的技术需要,使计算机网络缺乏相应的维护,出现断网现象。
二、计算机网络维护中硬件的维护
1、排除计算机硬件故障,确保计算机的正常运行
目前,在老年大学教学的过程中,计算机网络要想确保正常运行,首先要排除计算机硬件故障,使计算机不论是因为电脑自身原因还是人为原因造成的计算机故障都能够在第一时间顺利排除。当发现计算机出现硬件故障的时候,要先检测外部可视的硬件设备情况,当外部设备没有故障的时候,再检测内部设备。如检测计算机内部硬件是否存在问题等。
首先,计算机教师以及网管要确保计算机的工作环境使电脑安全运行的要求,同时,网管要确保计算机各元器件的性能和质量符合计算机运行的要求。在计算机出现黑屏、开机无显示,显示器颜色不正常等情况时,要通过插拨法、观察法以及高级程序诊断法进行故障的诊断,在必要的时候可以通过拆开机箱仔细观察硬件的运转情况,而在发现硬件出现问题的时候也要通过元器件替换的方式替换掉不能正常运行的硬件。同时,网管可以通过电脑高级诊断程序检测硬件故障出现的问题。
2、定期对电脑硬件进行维护
在电脑使用的过程中,网络要根据计算机的实际情况定期对计算机进行硬件的维护,对出现故障的电脑硬件要根据出现故障的实际情况进行合理的技术维护,确保硬件能够满足电脑使用的要求,确保网络故障不会出现。在计算机使用一个阶段时,网络要能针对计算机实际情况对计算机进行定期清洁,确保计算机硬件的延长使用。
三、计算机网络维护中的软件维护
1、确认计算机网络维护出现问题时是否是软件故障
在计算机网络维护的过程中,一旦出现故障,首先就要由外部到外部检测网络故障是由于硬件故障还是由于软件故障。如果排除了硬件故障,就要从软件故障方面找原因了。网管一方面要看操作系统是否出现问题,其次要看网卡驱动以及相关配置和网络协议是否正确。另外,还要检查计算机是否已经安装杀毒软件,是否能够定期升级病毒库并对计算机顶级维护。
2、实时杀毒,确保网络正确运行
在计算机网络维护中,在计算机中安装杀毒软件是首要所做的事情。当电脑网络受到病毒攻击的时候,计算机杀毒软件可以实时对电脑进行防御,在网管上设防,在网络前端进行杀毒。如瑞星杀毒软件、360杀毒软件等都可以实时对电脑进行病毒防御。除此之外,很多网络在线杀毒软件也都能在很大程度上能够阻挡病毒的侵袭。同时,网管要指导使用者慎入钓鱼网站,防止病毒感染电脑网络。而对网络中存在的一些私密文件,要通过网络加密进行加密,确保个人信息不被泄露。
3、解决由广播风暴导致的网络瘫痪
在局域网中,很多台电脑同时运行时有可能造成网络瘫痪,甚至是将交换机的网线重新连接就能解决这种问题。在这样的情况下,网管就要认真思考电脑网络是否遭遇了广播风暴。网络风暴爆发后,因为网络传输以及计算机处理的都是广播包,不仅占用了大量的网络宽带资源,而且使正常的点对点通讯无法正常进行。此时,网管就要认真检查局域网中是否具有故障网卡或者故障端口,还要控制连接通讯协议网络的计算机不要过多,或者可以采用VLAN的方式将网络进行一定程度的隔离,减少广播风暴对局域网的侵袭。而在局域网中,访问网上邻居较慢的时候,可以安装NETBEUI协议,并修正网卡驱动程序上的缺陷,同时,利用活动目录有效组织网络资源。
4、解决宽带状态下无法上网以及自动拨号的问题
在计算机网络维护的过程中,会遇到自动拨号的问题,这就要求网管在默认状态下,在ICS禁止建立拨号连接。而当宽带状态下无法上网时,就要在Internet协议属性对话框中选用正确的DNS服务器地址,真正激活路由器功能。同时,当局域网上的用户过多的时候,要能引进流量控制系统,对网络流量实时监控,对下载软件的下载速度实时调节,确保不会出现网络瘫痪现象。
5、提高计算机教师以及网管的技术能力,确保计算机网络正常运行
计算机网络维护工作中,不能缺少的是网管的技术能力。只有提高计算机教师以及网管的技术能力,才能确保计算机网络正常运行。网络服务器是网络最重要的,网络要能通过网络服务器控制客户端,让所有的用户都能通过电脑终端访问服务器资源,并达到资源共享的目的。同时,网管要善于利用技术确保计算机的硬件和软件设备都能够正常运行,要通过设置账户和密码来控制对服务器的访问,要利用丰富的网络知识借用软件来管理维护网络。因此,计算机网络维护网管要不断提高自身的技术水平,并在实践的过程中不断提升实践操作技能,确保计算机网络正常访问。
结束语
总之,在计算机网络的维护中,会出现一些问题,导致计算机网络不能正常运行,计算机网管要能根据自身的计算机维护知识正确安装计算机硬件以及软件,并通过严谨操作确定准确的故障,并最终完成维修任务。同时,网管要通过认真检修,建立健全的安全管理制度,将一切不安全因素降到最低,确保计算机网络的正常运行。
参考文献
[1]施俊龙.高校计算机网络教学平台的设计与实现[J].安徽电子信息职业技术学院学报,2011(04).
计算机网络流量控制范文4
关键词:网络服务器;流量分析;即时通信
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)19-5241-02
The Real-Time Communication Traffic Analysis
YIN Qing
(Beijing Jiaotong University, Beijing 101111, China)
Abstract:This article analyzes the current status of the network server traffic analysis. It discusses the significance of monitoring and analysis on the server traffic and summarizes main content. Then, the article analyzes the mathematical characteristics of real-time communication services based on the agreement of Net flow v9、IPFIX and PSAM.
Key words: Network Server; Server Traffic Analysis; real-time communication
今天的数据网络给我们的生活、工作和人与人之间的沟通带来了极大的方便,网络业务日趋丰富,网络流量高速增长。同时,网络运营商之间的竞争也逐渐激烈,以高投资为特征,追求简单规模扩张的粗放型竞争模式已经不适应当前的形势。挖掘现有网络资源潜力,控制网络互联成本,提供有吸引力的增值业务,提高网络运维水平成为在激烈竞争中的制胜策而要实现这些,都离不开可靠、有效的网络流量监控的有力支撑。
1 网络业务服务器流量分析
设备一般位于局域网或者城域网与外部IP网络相联的网关上。将局域网或者城域网用户访问外部IP网络的服务器定义为网外服务器,这些服务器上承载的业务为网外业务。
由于网内用户每天访问的服务器是随机的,每天网络流量监测系统截获的网外服务器数量必定也是不确定的。一天内服务器承载的总流量也是不确定的。但是一周内某些服务器出现的频率却存在着稳定性,根据一周内服务器出现的频率分组,分别研究所分的服务器组网络流量特征。
一天内不同服务器承载的流量占当天总流量的百分比是不同的,本文忽略了承载流量较小的服务器,仅选取一天内承载总流量90%以上的服务器,并按照上述方法选取一周内(7天)的服务器集合作为分析对象。而总流量又分为了上行数据和下行数据,即网内用户请求网外服务器时发出的流量和网内用户接收网外服务器响应请求的流量。因此可以分别针对上行流量和下行流量得到一周内服务器集合作为分析对象。对于特定业务的上下行数据也可以得到服务器集合作为分析对象。
2 chat业务服务器流量分析
Chat业务表示各种即时通信业务的总和,即时通信(Instant Messaging,IM)作为通过Internet即时和他人联系的一种方式,其互动性非常强,而且价格便宜,对于大多数人`来说,通过即时通信进行沟通比电话来得实惠,因而即时通信受到网民的普遍喜欢,即时通信既然广受公众和企业的喜欢,社会对IM的接收与企业对IM的需求正处于一个激增的趋势,随着它的进一步被应用,即时通信必然能够形成一个很大的市场。对即时通信业务的研究也就具有了其商业价值。
在一天中网内用户访问网外承载chat业务的服务器数量有限,所以直接取这些服务器作为统计数据。
2.1 服务器频率分析
作为一周内的统计数据,服务器出现的最大频率为7次即每天中均存在网内用户对这些服务器的访问,最小为1次即一周内仅在一天内存在网内用户的访问。
表1中:一周内承载chat业务的服务器共计29台,在一周内服务器仅出现1次的服务器共15台,占总服务器数的50%,出现7次的(即每天均出现的服务器)共3台,占总服务器数的13.3%。由此可见承载chat业务的服务器在一周内仅有一天收到网内用户访问的服务器占据了总的访问服务器数量的一半。这些服务器,并不是网内用户主要访问的服务器。
将一周内服务器按照出现频率进行分组,统计各个服务器组承载的总流量。各服务器组承载的流量占一周内总流量的百分比如表2所示。
在表2中,表明一周内每天都出现的服务器承载的上行流量占总上行chat业务流量的28.5%,承载的下行流量占总下行流量的65.2%,而这些服务器台数只占总服务器台数的13.3%。出现1次的服务器承载的上行总流量占总上行chat业务流量的5.04%,承载的下行流量占总下行流量的13.35%,而这些服务器台数却占总服务器台数的50.0%。
图1中列出了承载chat业务的服务器上下行数据间的关系,其中按照业务上行流量的大小排序。有上图可见220.181.12.101 与220.181.15.128这两台服务器承载的上下行流量差异很大。
将上行业务服务器承载的流量按照100kbit划分区间,其中横坐标表示各个区间代表的流量。纵坐标表示在此区间内存在服务器的台数。
2.2 服务器流量概率分布
2.2.1 上行流量概率分布分析
将上行chat业务按照流量排列后其柱状图如图2所示,其中纵坐标表示该服务器一周内承载的总流量。
服务器上行业务流量的p-p概率分布图如图2所示。
图中的样本点基本与满足weibull概率分布的直线逼近。可以近似认为满足weibull概率分布。
2.2.2 下行流量概率分布分析
服务器上行业务流量的p-p概率分布图如图3所示。
图中的样本点基本与满足lognormall概率分布的直线逼近。可以近似认为满足lognormal概率分布。
3 结束语
总的来说,在网络设备上配置网络流量监控系统,对网络流量进行分析和监控,好处还是显而易见的。特别是对于网络流量负荷比较大的网络。可以有效的节省网络带宽和处理资源。也可以作为计费或者流量控制或者网络规划的参考。
参考文献:
[1] 谢希仁.计算机网络[M].大连:大连理工大学出版社,1996,2(2):170-174.
[2] 谭思亮.监听与隐藏-网络侦听揭秘与数据保护技术[M].北京:人民邮电出版社,2002,25(4).117-121.
计算机网络流量控制范文5
关键词:医院信息化 桌面管理 终端管理
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2013)08-0058-02
医院信息化建设程度代表医院现代化管理水平高低和服务能力的多少。因此,各级医院把信息化建设作为医院工作重点。信息化能逐步使医院的管理现代化、科学化、规范化,从而实现医院管理向低成本、高效率的模式转变。随着各项信息化应用系统的使用,医院的网络越来越壮大,医务人员对计算机的依赖性也越来越强。因此医院对于信息系统的安全性要求也越来越高。
1 网络终端安全管理面临的几个难题
1.1 移动存储介质使用隐患
随着移动存储设备使用大大普及,以及其价格日趋低廉,因此医院目前使用的移动存储设备非常之多。多样化的U盘、移动硬盘、手机/MP3/MP4、CF/MD/SD卡、以及各类FlashDisk等移动存储介质体积越来越小,携带使用方便,这类产品为信息传递带来便捷的同时,也给医院系统信息安全保密带来严重的威胁:(1)交叉使用:由于普通U盘本身可以在任意计算机进行使用,因此有意无意地将U盘插入非计算机、或者有意无意地将非U盘插入计算机的违规事件时有发生。一旦发生交叉使用的违规事件,就极有可能造成医院业务敏感信息文件被非法拷贝出去,造成泄密。(2)木马摆渡:通过U盘,木马摆渡可突破“物理隔离”,在与Internet隔离的网络上,木马先将文件拷贝到U盘。一旦该U盘插入到其他能够连接Internet的计算机时,该U盘就会将拷贝出来的文件通过Internet发送出去。(3)病毒传播:染毒的计算机会将病毒感染到U盘,一旦带毒U盘插入其他计算机,会造成计算机感染病毒。如此反复会造成计算机和U盘的循环交叉感染,难以清除,病毒经常死灰复燃。根据目前的统计数据,U盘已经成为Internet之后的第2大病毒传播途径。(4)丢失被盗:如果U盘丢失、被盗,其保存的敏感信息将会丢失,造成信息泄密。
1.2 外设端口使用威胁
计算机外设常规的有线和无线输入输出端口:软驱、光驱、本地打印机、数码图形仪、调制解调器、串行通讯口、并行通讯口、1394、红外通讯口、无线网卡、无线蓝牙等,如果这些端口不加以严格的管理,将会成为信息泄漏和非法外联的重要途径。
1.3 非法接入无法监控
办公楼层规模化的网络接口方便了计算机接入网络,但这既方便了内部计算机,同时也方便了外来计算机,管理人员对此类情况难以准确判定并加以监视和控制,如有内部不自觉人员或者有其他目的的外来计算机接入,可能造成对网络资源的滥用或窃密,也给医院的网络安全和信息安全带来潜在的威胁。
1.4 非法外联时有发生
目前,医院各部门都非常明确内网计算机非法外联事件的严重性,但是内网计算机通过拨号或其他形式私自接入外部网络的情况依然存在,黑客极可能通过该主机进对内部网络的其他主机进行攻击,直接威胁医院信息网络的安全性。
1.5 软硬资产难以管理
随着单位信息网络的不断建设,同时由于计算机的维修导致硬件配置经常变动,计算机硬件资产管理如果仍采用老的手动台账,基本无法准确、实时的掌握网络内部计算机准确数量及其硬件资产的配置。
1.6 无关程序私自滥用
内部人员私自下载、安装、运行与工作无关的应用程序,导致网络资源的巨大浪费,也时常带来病毒的传播和木马或蠕虫;如果不加以控制,将严重威胁医院信息网络的安全运行。
1.7 IP地址使用混乱
单位人员随意设置IP地址,可能造成IP地址冲突,加上ARP欺骗泛滥,IP地址使用存在一定混乱,如果没有严格的管理策略,不仅日常工作效率受到影响,甚至会导致关键设备的工作异常,影响不可估量。若出现恶意盗用、冒用IP地址以进行恶意攻击或负面甚至非法信息,甚至谋求非法利益窃取重要资料,后果将更为严重。
1.8 系统补丁安装复杂
微软不定期地修复系统漏洞的补丁,但很多用户不能及时使用这些补丁对系统进行修复,系统的安全漏洞仍然存在,容易造成重大损失。现在网络结构庞大,网管要保证每台终端及时全面地安装上补丁,工作量很大,且很难实现,这也是计算机网络安全建设的一个重点。
1.9 终端维护工作量大
由于计算机网络的庞大性和分散性,经常某台计算机出现哪怕可能是简单的问题,信息科人员都需要跑来跑去进行维护,导致人力资源的巨大浪费,再加上人手不足,也可能导致同事抱怨和投诉,有损单位内部和谐。
1.10 流量使用难以控制
由于计算机病毒的发作,直接引发广播风暴导致网络瘫痪,或者单位人员滥用网络资源,致使需要保障的正常使用者流量却无法得到合理流量的保障,如果对此缺乏有效的管理手段,就会直接导致极大的网络安全隐患。
2 桌面管理系统架构及管理部署
为了解决以上网络终端安全管理面临的几个难题,我院上线了桌面管理系统。系统通过管理服务器对全网进行各种安全策略,并对客户端进程监控、流量监控、违规行为告警、终端软硬件管理、软件及系统补丁分发、消息分发等工作,并对客户端进行各种操作行为和状态进行审计,对异常计算机进行断网等处理,也可通过系统远程对客户端进行故障诊断和维护。
我院使用的桌面管理软件结构采用C/S(Client/Server,客户机/服务器)模式。
客户端(Client)负责对计算机终端的安全管理,记录计算机终端用户行为并与管理服务器(Server)进行通信。
管理端(Manager)可根据使用医院本身的组织架构灵活进行权限配置,每个管理端可在预先定义的权限内管理本部门内的所有计算机。
服务器(Server)由两个部分组成:数据库服务器和接入服务器。数据服务器(DBServer):系统的后台数据库是独立的服务器,采用的是开源的MySQL,数据库服务器与内网完全物理隔离,仅与系统平台服务器连接,确保数据安全。接入服务器(UIServer):服务器(Server)是桌面管理系统的核心系统,实现应用与数据库的高效连接。
3 我院桌面管理系统实现功能
3.1 移动存储介质使用管理
可以设定计算机能允许使用哪些指定的移动存储设备,防止U盘病毒感染客户端计算机。系统能够自动识别并控制USB存储设备,不影响非存储类的其它USB设备(USB键盘、USB鼠标等)的正常使用;可以管理的移动存储设备包括:指纹U盘、U盘、移动硬盘、MP3、MP4、手机、数码相机等。
3.2 非法外联及非法外联告警
主动防止终端计算机通过拨号、无线连接、3G网卡、冗余网卡等途径违规手段连接到外部网络;通过网络访问控制,控制内网的计算机只能访问指定的网段。
3.3 网络访问控制
可通过IP地址段的访问控制,建立安全域;可实时控制计算机的通讯端口的开放和阻断;可通过设置网络流量的阀值,防止广播风暴。
3.4 访客控制管理
能够自动识别局域网内所有非系统内的未受控计算机,未经授权的外来计算机无法访问网内的合法计算机。外来计算机必须经过授权才能访问网内的计算机。
3.5 端口与设备管理
支持远程对终端计算机以下端口或设备的启用和禁用:软盘驱动器、光盘驱动器、本地打印机、数码图形仪、调制解调器、串行通讯口、并行通讯口、1394、红外通讯口、WiFi无线网卡、无线蓝牙。
3.6 流量控制管理
通过设定策略,可以允许或阻止指定网络范围内的数据传输,而且可以限制指定网络范围内网络数据传输的最大流量带宽,对于不同的分组,可以分别设置不同的流量带宽限制。
3.7 系统补丁分发管理
终端计算机可根据管理员策略要求,强制自动从WSUS升级服务器下载和安装系统补丁。
3.8 应用软件分发管理
可以对指定范围内的计算机进行软件分发,并且能够自动识别软件在客户端计算机是否已安装,如果已安装,则不再提示安装。分发模式可分“建议安装提示”和“强制安装”两种模式,“建议安装提示”为提示客户端计算机要安装某软件;“强制安装”模式则自动将需要安装的软件强制安装。
3.9 共享目录/文件/打印机控制
通过启用或禁用选项,来决定是否允许终端计算机上的目录或文件对外共享,以及打印机是否对外共享。
3.10 硬件资产管理、软件资产管理
可记录客户端计算机安装的软件以及硬件的添加、移除、变更,并列出异动报表。
3.11 远程桌面控制功能
通过远程协助这一功能进行计算机常见故障的排除。此功能是在服务器端对客户端机器进行的“接管”级别的操作。可以向指定的远端客户机发送对话框式的消息。有效解决信息中心管理员对网内机器维护管理效率低下的问题。
4 结语
以上所列出的只是管理基础中的一部份,通过实施桌面管理,我院信息安全管理在制度建设、工作方式上都得到了极大提高,并且能极大提高信息科工作人员工作效率,节约了信息科大量的人力物力。
在信息化建设急速发展中。对于信息化管理的安全性,稳定性显得尤其重要。部署桌面管理软件后,加强了网络安全,优化了终端管理,提高了安全意识,并结合多方面措施,保障信息安全,减少事故的发生,结合理论和实际应用,从整体上去保障医院的信息系统安全稳定的运行。
参考文献
[1]谢希仁.计算机网络[M]4版.北京:电子工业出版社,2006:18.
[2]张佳新.桌面安全管理在油田企业中的应用[J].石油仪器,2008,22(3):91-92.
[3]曹芸静,张真真,陈峰.医院信息系统中桌面管理的必要性[J].中国现代药物应用,2009,3(1):199-200
计算机网络流量控制范文6
关键词:VLAN 广播域 VLAN划分方法 三层交换机
随着这几年来的发展,VLAN技术得到广泛的支持,在大大小小的企业网络中广泛应用,已成为当前最为热门的一种以太局域网技术。本文就要为大家介绍这一最常见的技术应用——VLAN技术,并以实例的方式向大家阐述在中小局域网中VLAN的网络配置方法。
1 VLAN技术介绍
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。使用VLAN技术可以将一个物理局域网逻辑的划分为多个不同的广播域(即VLAN),同一个VLAN内的各个工作站或计算机不需要放在同一个物理空间,即他们可以不属于同一个物理的局域网内,但是他们能够相互通信。一个VLAN内的广播和单播数据都不会转发到其他的VLAN中,这样就可以实现流量控制、减少设备投资、简化网络管理、提高网络的安全性。
2 VLAN技术的优点
VLAN的组网与传统的局域网组网类似,区别在于“虚拟”两个字。VLAN技术的优点如下:
2.1 控制广播风暴 网络管理必须解决因大量广播信息带来带宽消耗的问题。VLAN作为一种网络分段技术,可将广播风暴限制在一个VLAN内部,避免影响其他网段。与传统局域网相比,VLAN能够更加有效地利用带宽。在VLAN中,网络被逻辑地分割成广播域,由VLAN成员所发送的信息帧或数据包仅在VLAN内的成员之间传送,而不是向网上的所有工作站发送。这样可减少主干网的流量,提高网络速度。
2.2 增加网络的安全性 因为一个VLAN就是一个单独的广播域,VLAN之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在局域网上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。
2.3 增强网络管理 采用VLAN技术,使用VLAN管理程序可对整个网络进行集中管理,能够更容易地实现网络的管理性。VLAN还能减少因网络成员变化所带来的开销。在添加、删除和移动网络成员时,不用重新布线,也不用直接对成员进行配置。若采用传统局域网技术,网络达到一定规模时,此类开销往往会成为管理员的沉重负担。
3 VLAN的划分方法
VLAN的划分方式很重要,在设计和建设VLAN,实现VLAN应用时,首先要决定如何划分VLAN,即依据什么标准来组织VLAN成员。下面介绍四种常见的划分方式:
3.1 基于端口的VLAN划分方法 基于端口的VLAN划分方法是根据交换机的端口来划分广播域,可以将交换机的某些端口所连接的主机划分在一个广播域内,而将另一些端口连接的主机划分在另一个广播域内,VLAN只和交换机端口有关,而和连接到交换机该端口的是哪一台主机没有关系。
3.2 基于MAC地址的VLAN划分方法 基于MAC地址的VLAN 划分方法是根据连接在交换机上的主机的MAC地址(即48位的网卡地址)来划分广播域,即某台主机属于哪一个VLAN只和它的MAC地址有关,和该主机所连接的交换机端口以及该主机的IP地址都没有任何关系。
3.3 基于网络层划分VLAN 这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议,如IP协议和IPX协议)来划分的。虽然这种划分方法是根据网络地址(比如IP地址)但它不是路由,与网络层的路由毫无关系。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换。
3.4 基于子网的VLAN划分方法 基于子网的VLAN划分方法是根据网络中主机IP地址所在的网络子网来划分广播域,即IP地址属于同一个子网的主机属于同一个VLAN,而与主机的其他因素没有任何关系。
4 应用实例
下面就以我校校园网改造为例说明VLAN的应用。
我校早期校园网络在初期建设时规模小,但随着学校的发展,学校的面积和建筑逐渐增多,网络也越来越大,网络的管理难度逐渐增大,网络出现的问题也越来越多,最主要的问题还是来自网络中的广播包,所以只要能够隔离网络中的广播包,就能从根本上解决问题。但是通常要想隔离广播包就要使用路由器,这样就会影响校园网的整体的速度。所以最好的办法就是利用VLAN和三层交换机来实现该功能。
改造后网络拓扑图如下:
校园网的骨干网用三台分别位于教学综合楼、学生宿舍楼、实训楼的三层交换机连接,并且利用spanning-tree构成一个环路,用于链路备份。正常情况下可以均衡负载网络流量,当网络中某一链路断开,网络依然可以工作,很好的保证了网络稳定性。
与三台主交换机相连的二级交换机负责与每栋楼中的用户节点相连接而不再连接更多的下一级交换机来保证网络的速度。
我将学校的10个科室分为4个子网再加上将学生上网1个子网,三层交换机之间连接,以及他们与路由器连接1个子网总共有6个子网,vlan号依次是:Vlan10、Vlan20、Vlan30、Vlan40、Vlan50、vlan60。其中Vlan50用于学生上网连接,Vlan60用于交换机和路由器之间的连接。
二级交换机的端口1与三层交换机相连,并将该端口设置为Trunk,将每个二级交换机划分为Vlan10、Vlan20、Vlan30、Vlan40、Vlan50五个网络,五个网络的网络号依次是:192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.
168.40.0/24、172.16.0.0/16,网关地址依次为:192.168.10.
254/24、192.168.20.254/24、192.168.30.254/24、192.168.
40.254/24、172.16.254.254/16。同时在二级交换机上面将属于哪个部门的人员的计算机连接的端口划到对应的Vlan中即可。
例如将端口f0/0端口划入vlan100中
配置为:
interface FastEthernet0/0
switchport access vlan 100
将端口f0/24端口设置为Trunk
配置为:
interface FastEthernet0/24
switchport mode trunk
Vlan60中三台交换机的地址分别为:综合教学楼为192.168.60.1/24、学生宿舍楼1为192.168.60.2/24、实训楼为192.168.60.3/24。
下面主要介绍一下三层交换机的配置,以教学综合楼三层交换机为例,其他两台类似。
建立6个vlan:
Switch(vlan)#vlan 10 name vlan10
vlan 20 name vlan20
vlan 30 name vlan30
vlan 40 name vlan40
vlan 50 name vlan50
vlan 60 name vlan60
Vlan60用来连接三台交换和路由器,为每个网络设立网关:
Switch(config)#interface vlan 10
ip add 192.168.10.254 255.255.255.0
interface vlan 20
ip add 192.168.20.254 255.255.255.0
interface vlan 30
ip add 192.168.30.254 255.255.255.0
interface vlan 40
ip add 192.168.40.254 255.255.255.0
interface vlan 50
ip add 172.168.254.254 255.255.0.0
interface vlan 60
ip add 192.168.60.1 255.255.255.0
接下来利用三层交换机的路由功能将各个Vlan连接起来,从而起到隔离广播的作用。配置为:
Switch(config)#ip routing
router rip
version 2
network 192.168.10.0
network 192.168.20.0
network 192.168.30.0
network 192.168.40.0
network 172.16.0.0
network 192.168.60.0
其他两个三层交换机配置类似,在此不再一一叙述。
参考文献:
[1]李志球.计算机网络基础(第二版).电子工业出版社,2006.1
