网络设备的流量管理

很多中小学校受到资金的限制，网管员大多采用了路由器中Cisco IOS防火墙特性集，基于上下文的访问控制(CBAC)是最显著的新增特性。流量管理技术的重要性在于: 使管理员能够将IOS防火墙配置为一个智能化、集成化的单框解决方案的一部分。流量管理通过严格审查源和目的地址，增强了使用众所周知端口的TCP和UDP应用程序的安全。CBAC通过检查整个(数据)包了解应用程序状态信息，给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、会话（Session）特定的ACL入口，从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个会话结束时，ACL入口被删除，大门关闭。流量管理在应用层审查包和维护TCP和UDP会话信息，这给CBAC提供了检测和阻止某种网络攻击的能力，比如SYN flooding。流量管理是针对每个接口进行配置的，可以被用于控制源于防火墙另一方的通信，但是，大多数客户将CBAC用于仅源于一方的通信。

CBAC可根据需要打开连接，并监视回返通信流量，但CBAC对于流量审核检查方面并不完美。比如它只检查规定的内容，对于更多的流量类型就必须自己增加很多语句。

其他流量管理的做法

在校园网出口管理中，应分析不同的应用占用不同的带宽，重要的应用是否得到了最佳的带宽？它占的比例是多少？队列设置和网络优化是否生效？通用的做法使用MRTG等网络流量分析软件，并以图形HTML 文档方式显示给用户，以非常直观的形式显示流量负载。有些流量管理软件可以通过分析网络流量来确定网络上存在的各种问题；也可以用来判断是否有黑客正在攻击网络系统；还可以很方便地显示出特定的网络协议、占用大量带宽的主机、各次通信的目标主机、数据包的发送时间、传递数据包的延时等详细信息。通过了解这些信息，网管员可以对故障做出及时的响应，对网络进行相应的优化调整，实施流量管理，以保证网络运行的效率和安全。

面对异常流量，我们应当建立一套分析系统，支持异常流量发现和报警，能够通过对一个时间段内历史数据的自动学习，获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度，并自动建立当前流量的置信度区间作为流量管理异常监测的基础。如果自行建立主动型的网络分析系统一般包括：测量节点、中心服务器、数据库和分析服务器。但对于学校来说难度较大。主动分析是借助产品化和集成程度较高的测量工具，有目的对生产网络注入监控点，并根据测量数据流的传送情况来分析网络的性能。虽然这些监控点也会占用带宽，但和P2P下载所占用的可用带宽是微不足道的。

水厂通过调节水网的各个阀门将饮用水送进千家万户，必要时只要打开或关闭其中一、两个就能达到“开源”或“节流”的目的，控制起来随心所欲。推而广之，如果能对校园中的数据流量管理进行“阀门式”控制，就能有效提高宽带网络的利用率。