高校校园网网络生态是具有三层路由的网络架构,通过互动、链接、网络的方式,以用户体验为导向,实现用户网络体验价值的生态模式,且需要满足校园内各项教学、科研、办公等需求,运行机制和行为错综复杂。 目前部署在出口的流量监控系统可对流量进行管控和优化。各大网络设备厂商也推出了各自的流量识别与控制产品,但此类产品是基于网络核心和出口的监控和管理,不能准确地描述分析出网络环境下的现状和问题。 ...
高校校园网网络生态是具有三层路由的网络架构,通过互动、链接、网络的方式,以用户体验为导向,实现用户网络体验价值的生态模式,且需要满足校园内各项教学、科研、办公等需求,运行机制和行为错综复杂。
目前部署在出口的流量监控系统可对流量进行管控和优化。各大网络设备厂商也推出了各自的流量识别与控制产品,但此类产品是基于网络核心和出口的监控和管理,不能准确地描述分析出网络环境下的现状和问题。
距离用户端的“最后500米”恰恰能反映用户的实际使用体验。但针对直接连接用户端的数据流量分析尚属空白。
本文将从接入层出发,分析隐藏在大量接入交换机中的流量情况和异常问题,切实从用户的实际感知出发,对后续提升用户体验有显著的帮助,展现高校楼宇中二级网络的生态状况。
校园楼宇二级网络研究难点
1. 校园网络复杂性
学校是以教学活动为中心的场所,拥有众多行政、教学或科研机构,涵盖多类多媒体应用。且校园网校区跨度大,人员结构繁杂,网络拓扑复杂,设备型号不一致等诸多因素都会对网络性能造成不同程度的影响。
2.监控难度大
校园二级网络内每天的网络流通率高,通过镜像的方式会大幅增加网络设备的负载。即使采用编写脚本自动对流量进行分时分段采集,也会不可避免的将登陆密码存入脚本中,存在安全隐患。
3.信息维度大
校园网的异常流量会堵塞网络和互联网之间的正常流量。相比于出口流量,二级网络的信息数据包中使用的协议更多(包括计算机中不必要的网络通信协议),情况也更为复杂,难以实现对庞大数据中的异常情况进行检测。
数据采集与分析
为了检测某高校的二级网络生态,本文首先选取了30处具有典型性的楼宇交换机。
所选取的观察点覆盖了师生进行教学、科研、生活的主要场所,均是各种网络事件发生的重灾区,分别为教学、科研及办公、学生宿舍、院系和公共区域等。利用Wireshark软件进行抓包,每栋楼的采集时间为1分钟。
相比于在出口抓取的信息,在二级网络中抓取的信息维度更多。因此,首先要对采集的信息进行筛选。为了减少数据的传送量,本文采用BPF过滤机制,提早对传输流量包进行有效性筛选。
每个BPF都有一个缓冲区,先将数据存储在缓冲区中,等数据达到一定份额后再统一提交给用户,减少了系统调用,提高了效率。
将抓取的协议包进行筛选分类,对特定的子网和协议端口进行过滤,最后筛选出运维人员需要的网络数据提交给上层接口,提高系统工作效率,减少丢包数。过滤流程如图1所示。
图1 数据包过滤机制
具体统计结果如表1所示,选取了几个主要特征参数:ARP占比、TCP占比、TCP中回传率占比、DHCPv6占比、ping大包的丢包率,将对这些统计数据进行进一步分析。
为了检验网络质量,分别对网关进行ping大包的测试,看是否存在丢包现象。图2为几个典型二级楼宇协议占比图。
图2 典型二级楼宇协议占比
校园楼宇二级网络异常点分析
ARP协议占比异常
根据表1中的ARP占比统计,发现在4号楼、6号楼、15号楼等二级楼宇中出现大量ARP广播包,在1分钟的总流量包中占比均超过了70%。
表1 抓包结果汇总
ARP广播包基本都源于这些二级楼宇网络架构中的核心层交换机Juniper设备,而与之通信的各个二级楼宇内的接入交换机由不同品牌构成。
通过分析发现,出现异常情况的楼宇采用的是老旧型号的Cisco设备,且设备较为陈旧;而对比接入层采用使用时间较短的H3C接入交换机,则未出现大量ARP广播包。
由此推断,不同品牌型号的交换机之间的兼容问题和设备陈旧问题导致了不停请求目的地址的行为,无用的ARP广播包将占据网络通道,导致网络通道的拥塞。
丢包率异常
对30个二级网络进行Ping包实验,发现在正常ping包过程中,所有楼宇均未出现明显的丢包率。但对楼宇进行Ping大包实验时,发现11号楼1F有6%的丢包率,并且TCP的重传率较高。经过现场排查,发现该楼宇接入交换机均为服役十年之久的Cisco2900系列设备,由于当年技术限制导致端口带宽不足、链路带宽不足等问题,所以在进行Ping大包实验中出现丢包的重传现象。
DHCPv6占比异常
根据表1统计情况,发现另一个异常点即是在1号楼中出现大量的DHCPv6请求包。经过分析发现导致这种现象的原因是采用了无状态地址分配IPv6的方式。具体分配交互过程如下:
客户端向DHCPv6服务器发送组播请求报文,请求从服务器获取配置参数。
当服务器接收到请求报文后,将以单播形式将分配给客户端的地址发送回客户端。
客户端检查回应报文和请求报文参数是否相符。若相符则按照服务器提供的地址进行网络配置;否则,丢弃该报文。若接到多个回应报文,客户端将选择最早收到的回应报文,对客户端进行无状态配置。
在抓包过程中,发现一号楼有线设备在一直请求为其分配IPv6地址和相应地址参数,但并未收到服务器回应。通过与其他楼宇的设备数据进行对比,并在核心交换机进行测试,发现这一异常情况发生的原因是交换机未启用IPv6功能,导致用户一直在请求地址。
拟改进及优化策略
对上述抓包实验分析可知,从用户的网络体验感来说,二级网络整体使用良好。但部分区域依旧会出现网络异常问题。针对上述问题,提出以下改进策略:
1.更换老旧及过保设备
网络中产生的绝大多数数据都要在用户终端和接入层网络设备之间进行交互,因此处于“最后500米”的设备的数据处理能力对网络性能有决定性影响。
更换老旧过保设备可以提高服务器处理速率,降低核心层节点的负载,提高网络可靠性。
2.优化网络配置
传统TCP/IP花费大量时间保障数据可靠性传输,在实时性方面有所欠缺。
为了改善这种情况,可以扩大协议栈的缓冲区,增加吞吐量,减少缓冲区的拷贝次数,从而有效阻止因发送无用包而引发的延迟,缩短网络时延,提升用户体验。
3.改进链路介质
为校园内重点院系单位设置更多的直达链路,确保在最高接入点时尽可能少配置多链路分享机制,可有效提高网络速率。
网络流量分析的目的是发现不合理的因素,确认网络性能的瓶颈,从而尽可能优化网络配置,最终达到不断提升用户体验的目的。
通过对高校校园网二级网络生态的探索,后续可对网络做适当优化,例如对网络中的老旧通信协议(如IPX/SPX等)进行卸载,以减少由此产生的不必要的流量;更换老旧设备,保证有效流量传输的稳定性;增加网络探针,实现对网络的远程监控分析。
(本文刊载于《中国教育网络》杂志2019年8月刊,作者:复旦大学校园信息化办公室 徐竟祎 应奕彬 狄珂 陶烨楠 孙毅 )
进入专题>>2019高校信息化创新实践方案展示