文/陆以勤

校园网出口带宽的管理涉及多方面因素，是个综合工程，一般可从资源规划、收费引导、技术控制等几个方面考虑。

当前，互联网骨干带宽的增长速度比用户规模的速度更快。高校校园网经过多次升级换代，其主干带宽一般都达到10G。因此，校园网用户的带宽体验压力很大程度集中在出口带宽上。为此，各个高校都提高了互联网的接入速度，包括接入CERNET和各个运营商的带宽，但远远未能满足校园网对带宽的需求。很多学校都发现，如果没有对校园网带宽进行有效管理，刚扩展的带宽，很快就会被各种成分的流量占满。因此，对出口带宽的管理就显得十分重要。就如同公路的建设速度满足不了数目激增的车辆需求，如果不采取科学的交通管理措施，城市的交通会变得十分拥塞。

资源规划

校园网的流量与应用有关，因此在各个层次对应用的有效部署可以将流量本地化，降低出口带宽的压力。从大的方面，CERNET本身应加大资源建设力度，借助建设云计算的契机，鼓励ICP在CERNET内部托管资源，并采取有效的资源分布和调度策略，包括常见资源CERNET网内缓存、CDN、网内P2P部署等。将流向运营商的流量引回CERNET，减轻CERNET和运营商网络互联的压力，从而提高接入CERNET带宽访问社会网络的速率，这样可以降低校园网接入运营商网络的带宽比例。从小的方面，学校本身如果能加强资源的建设，在校园网内网上提供师生喜闻乐见的音视频点播、开放课程、教学视频，提供常见文件、工具下载、资源共享等平台，也可以将大量访问外网的流量引回校园网内，从而缓解校园网出口带宽的压力。

目前，教科网为了鼓励IPv6的应用，对校园网接入CNGI-CERNET2的流量采取免费策略。为了推动IPv6应用，CNGICERNET2本身应加大IPv6应用系统的建设。对于校园网而言，能把流量引到IPv6的出口，对于减轻出口带宽压力是很实际的。为了能使校园网的终端使用网外的IPv6应用，校园网必须完成IPv6的升级，支持终端用户IPv6的接入。同时，为了把校园网外访问校内资源的流量引到CNGICERNET2上，校园网内的应用也应进行IPv6升级。资源的IPv6升级应该有个过渡期，过渡时期可以将IPv4/v6两个版本并存，然后通过DNS、链接、访问指向等，实现IPv6优先。在资源建设方面，应逐步向IPv6版倾斜，在保证IPv4版基本应用质量的前提下，提高使用IPv6版的用户体验质量，逐步把访问流量引导到IPv6版。时机成熟时，实现IPv6版为主、IPv4版为辅。这样，可以把IPv4本身的流量逐步引导到IPv6上。

收费引导

目前，很多学校对使用校园网采取非赢利性收费。在很多时候，经济杠杆的引导作用是比较有效的。为了达到出口流量的精细化管理，在使用校园网收费方面，应摈弃以前按时或包月收费等粗放型的收费策略，采取面向出口流量管理的收费策略，即根据流量对用户进行收费。条件允许的情况下，还可以根据时段、区域（办公区、生活区）、应用类型（教育、文化、娱乐）、预约带宽等因素采取不同的收费策略。

要实现收费的精细化，需要开发面向流量收费策略的实时流量监测、控制和计量系统，并且保证系统实施不影响网络性能。同时需要有完善的日志管理系统，能解释用户对收费问题的质疑。

技术控制

技术控制是目前出口流量管理问题中讨论最多的，大概包括以下几种方式。

1. 面向应用类型的出口流量精细化管理

众所周知，目前校园网的流量中，大部分不是面向教学和科研应用的。据某运营商统计，目前校园网出口中， P2P 下载比例最大，达到36.32%；其次是网络流媒体，为27.16%；网络游戏排第五，为6.68%。这三个加起来就达到70.16%。可见，校园网宝贵的出口带宽资源中，真正用于教学、科研的不到30%（这30%含即时通信11.54%，网络交易4.21%）。

对出口流量的精细化管理，就是在出口带宽资源紧张的情况下，优先保证重要的应用，如教学、科研、行政等。对非重要资源进行适当的限制。要做到这点，首先要能区分不同应用的流量，其次要确定不同应用的优先权，最后要制定具有不同优先权的应用流量的控制策略。实现的方式可分为网络层、传输层、应用层，即根据这些应用在网络层、传输层和应用层的特征去控制。

常见的网络层和传输层的出口流量控制包括访问控制、带宽分配、流量监管、流量整形等。访问控制的主要依据是被控流量的IP地址、端口号等。带宽分配指根据不同的区域（按教学大楼、办公大楼、教工宿舍楼、学生宿舍楼等）的子网分配不同的带宽，这样可以避免个别用户的过量下载导致整个网段出现重大问题。流量监管是监督进入网络某一流量的规格，把它限制在一个合理的范围之内，对超出的部分报文做丢弃处理。流量整形则是把流量监管中可以丢弃的报文放入缓冲区缓存，在网络流量出现宽裕时再进行传输。

网络层和传输层的流量管理容易实现，可在现有设备上进行，但效果不够理想，并且灵活性不强。目前能对出口流量进行有效控制的技术手段都是在应用层实现的。

应用层的出口流量控制一般分为基于DPI（Deep Packet Inspection，深度包检测）和DFI（Deep/Dynamic Flow Inspection，深度/动态流检测）两大技术体系。DFI是一种基于流量行为的应用识别技术，即根据不同的应用类型体现在会话连接或数据流上的特征（会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等）识别不同类型的应用流量，如VoIP流量、RTP流、P2P下载应用的流量等。DPI是通过深入读取IP包载荷的内容对应用层信息进行分析，从而识别不同的应用。采取的方法包括特征字的识别、应用层网关识别、行为模式识别等。DPI需要逐包进行拆包操作，并与后台数据库进行匹配对比。因此运算量大，实现和维护成本高，但准确度高。而DFI仅需将流量特征与后台流量模型比较即可。因此运算量小，实现和维护成本低，但不如DPI准确。目前用的比较多的是基于DPI的流量控制。

一般来说，实现应用层的出口流量控制需要采购专门的流量控制设备。

2. 多出口管理策略

目前校园网一般都至少有运营商和教科网两个出口，有些学校还有多个运营商出口。多出口管理策略就是根据不同的流量特征在多个出口动态分配流量，从而达到优化总体出口流量的效果。多出口管理需要建立出口流量的动态分配策略模型，通过路由策略、DNS等分配流量。

要对多出口进行精细化管理，同样要能识别不同的应用类型。这与前面“面向应用类型的出口流量精细化管理”类似。因此也应结合在一起统一考虑。

3. 防止流量型网络攻击

流量型网络攻击指网络受到攻击后，产生大量的异常流量，占用了出口带宽。这些异常流量通常包括： DoS /DDoS、蠕虫/病毒、垃圾邮件、非法VoIP 等。

流量型网络攻击一般属于应用层的网络攻击，由于代价小、隐蔽性好、防御难度大，已经演变为网络攻击的一个主要形式。识别流量型网络攻击，也可采用DPI和DFI两种方法，与识别应用类型的方法类似。控制方法包括控制会话数、源地址端口、目标地址端口、应用协议等。