公务员期刊网 精选范文 计算机网络流量控制范文

计算机网络流量控制精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的计算机网络流量控制主题范文,仅供参考,欢迎阅读并收藏。

计算机网络流量控制

第1篇:计算机网络流量控制范文

关键词:中小型网络;流量控制;方法;应用

中图分类号:TP393.06

近年来,随着经济社会的发展和科学技术的进步,计算机网络技术得到了充分发展。在这种形势背景下,网络在人们生产生活中的应用越来越广泛,比如,我们可以通过网络浏览网页、观看视频、网上聊天以及网上购物等。由此可见,网络在人们生活中发挥着重要作用。在网络的运行过程中,网络流量直接关系着网络的速度,对网络功能的发挥具有重大意义。但是,从现实情况来看,在一些中小型网络使用的过程中,由于服务器管理不当、恶意程序以及P2P下载等原因,导致网络流量不断增长,最终致使网络出现堵塞,网页打不开,影响人们的正常工作和学习。鉴于此,我们必须采取一些措施控制网络流量,使它更好地为人们的生产生活提供服务。

1 中小型网络流量控制方法

1.1 加强对P2P应用的管理。在很多中小型网络应用的过程中,人们会运用到很多P2P应用,比如,快车下载、迅雷视频播放器等。这些P2P应用在运行的过程中会占用大量的流量资源,给网速造成严重影响。针对这个问题,在中小型网络运行中我们可以采取封禁P2P的应用端口或者对并发连接数进行限制等方法来控制网络流量。首先,对P2P的应用端口进行封禁。正如上文所述,在中小型网路中各种下载工具和视频播放工具等P2P占用了很多流量,我们可以使用电脑中的路由器或者防火墙等对P2P应用进行封禁。这种方法在运用的早期收到一定的成效,后来的流量控制效果并不是十分理想。其次,限制并发连接的数量。当我们在运用P2P软件在网络上查找资源的时候,会带到很多的网络连接,此时便会使网络流量大量增加。如果我们对连接到主机上的并发连接数量进行控制,就可以有效限制它所占用的流量。这种方法有一定的成效,但会在一定程度上对网络正常运行造成影响。

1.2 运用专业的流量控制设备。在中小型网络运行中,我们还可以使用专业的流量控制设备对其进行流量控制。就目前的技术水平来看,主要的流量控制技术包括深度报文检测(DPI)和深度流行为检测(DFI)等。以此技术为基础,现在应用比较多的专业流量控制设备厂商主要有华三、思科以及Allot等。这些厂商生产的专业流量控制设备具有良好的流量控制作用,但是,它也存在一定的缺陷,比如,专业流量控制设备的价格比较昂贵。

1.3 对网络用户的流量和宽带进行限制。为了控制中小型网络中的流量,我们还可以采用限制用户流量和宽带的方法进行控制。首先,限制用户流量。我们可以使用城市热点或者防火墙等设备对网络中用户的流量进行控制。这种方法确实发挥了控制流量的作用,但是,有时用户正在使用网络,由于流量限制导致无法上网,就会影响到用户的工作和学习。其次,限制用户宽带使用数量。这种方法也在一定程度上发挥控制网络流量的功效,但是,由于用户无法得到全部宽带,致使网络运行的速度比较缓慢。

2 流量控制方法在中小型校园网络中的应用

从上文的论述中,我们可以了解到,各种流量控制方法各有优劣,在实际的应用过程中,我们要从中小型网路的实际情况出发,综合分析多方面因素,选择科学合理的流量控制方法。下面,我们就结合某学校一中小型的校园网络,对流量控制方法的具体应用进行分析。

2.1 校园网概况。某学校为了满足教学工作需要,建设了一个校园网。在该校园网中,由2个10兆的互联网与当地的教科网和电信网进行连接,依据教学的功能,校园网中被划分成多个VLAN,从而为学校教学和教务工作的开展提供网络服务。但是,从现实情况来看,校园网中存在客户端安全问题、接入控制问题以及上网速度慢问题等,致使校园网在使用的过程中出现网页打不开甚至断网等问题,影响了校园网正常功能的发挥。

在上图的校园网流量控制设备部署中,我们利用流量网络开关,有效实现了对校园网的流量控制。具体来说,流量控制主要表现在以下几个方面。(1)对P2P应用进行了控制。为了保证P2P应用的正常使用同时减少它对网速的影响,我们设立了P2P应用流量通道,对快车、迅雷等P2P应用软件的流量限制在一定范围之内,并根据网速变化作出一些动态调整。比如,在校园网高峰期,我们可以适当降低对P2P应用的限制,当校园网处于低谷期,我们可以调高对P2P应用的限制,从而保证校园网络的有效利用。(2)对不同用户实施不同部署。在校园网运行中,针对不同用户的需求,我们制定了不同的网络流量管理方法。比如,针对学校的办公网络,我们可以适当限制P2P应用的流量,而对于学校教学机房中的网络,则要严格控制P2P应用的流量,尽量减少这些与教学无关的应用占用大量的流量,保证教学网络速度。(3)加强校园网接入安全管理。在过去,由于缺乏相应的技术和管理设备,校园网中对客户端接入缺乏安全管理,校外其他一些用户可以随意接入到校园网中,不仅占用了校园网的流量,而且给校园网安全造成严重威胁。针对这个问题,我们可以采取客户端接入控制和安全性检测等方法对校园网接入安全进行管理,这样一来,只有符合要求的用户才可以接入到校园网中,不仅提高了校园网的运行的安全性,而且对校园网流量控制具有一定的作用。

3 结束语

综上所述,近年来,随着经济社会的发展,中小型网络在我们生产生活中的作用越来越突出。鉴于此,我们要加强对中小型网络的管理,使它更好地为人们提供网络服务。但是,在现实中,由于多种原因导致中小型网络流量增加,影响了网络的正常运行。针对这个问题,我们在分析网络实际情况的基础上,选择恰当的流量控制方法对网络流量进行有效控制,促使中小型网络资源得到合理利用。

参考文献:

[1]郑林江.基于交换机流量和网络线路的监控系统[J].计算机应用,2009(S2):18-19.

[2]胡俊,程瑾.网络流量管理控制技术在校园网的应用研究[J].中国教育信息化,2009(21):58-59.

[3]牛军,余萍萍,李思恩.校园网流量控制初探[J].中国教育信息化,2009(04):152-153.

[4]刘磊,李闻天,肖.校园网中P2P应用的管理策略及流量监控初探[J].昆明理工大学学报(理工版),2008(03):48-49.

第2篇:计算机网络流量控制范文

关键词: 中职院校 计算机实验室 网络安全问题

近年来计算机实验室承担着计算机课程的教学实验,学生进行自主网络学习及自由上机实践等各种任务,还是进行无纸化考试的场所。要将计算机实验室的重要作用充分地发挥,使计算机实验室正常运行,做好计算机实验室的日常维护和管理非常重要。

一、计算机实验室网络安全受到的威胁

1.学生将自己的移动硬盘、U盘等设备带进计算机实验室,在电脑中安装很多属于个人的文件,降低了电脑系统的运行速度,使电脑里大量的文件受到病毒的感染,这样就会使管理更具有难度。2.当学生从外网进行文件的下载时,或者在携带病毒的网站进行访问的时候,有很大可能使系统和网络瘫痪,严重的可能会造成系统崩溃。3.以教学的具体要求为主要出发点,在校园局域网中,将资源实现共享,使教学手段得以传播。但是会使病毒在局域网中传播,使对计算机病毒的查杀难度不断增加。4.这项专业教师的基础知识比较匮乏。计算机网络具有更新快的特点,如果计算机教师对于计算机网络安全没有一个基本认识,那么当计算机实验室网络出现问题的时候,教师如果不能第一时间冷静下来,采取有效措施进行查看,则会给计算机实验室带来严重的后果。中职院校计算机实验室网络安全需要教师带领学生共同尽心维护。

二、中职院校计算机实验室提高网络安全的具体措施

(一)将管理制度进行完善

学校机房管理的最大难点是对计算机实验室的使用和管理,这是一种非常重要的工作,而且目前大家共同关注的问题就是计算机的安全性和可靠性。欲想将这些问题很好地解决,除需要实验室相关的管理人员业务水平不断得到提高外,最重要的是对相关管理制度进行完善,对具体的工作进行合理安排,当发生问题时,使具体的处理措施可以做到有条不紊。

实验室的管理人员的相关工作要符合学校规章制度,严格遵守制度进行工作,在具体的实践工作中对工作经验进行总结,使管理人员具有很强的责任感,将自身的主动性充分发挥出来,使安全事故可以尽量避免。对于学生来说,他们也需要遵守学校的规章制度,学校要加强对学生这个方面的管理,使其可以对制度给予高度重视,严格遵守。只有这样,学生才会对中职院校计算机实验室网络安全给予重视。

(二)对病毒进行防范

在计算机实验室进行学习的学生有很多,他们使用的移动硬盘如果携带病毒,那么实验室的计算机就会很容易受到病毒的感染,有时学生会在不经意间将病毒下载下来,对设备正常的运行造成很大影响。为了对设备进行病毒预防,要在实验室每台电脑中安装病毒防火墙和杀毒软件。利用防火墙,对于可疑程序的写入可以有效得到避免,降低病毒入侵的可能性。对病毒的防护要做到防患于未然,还可以利用备份包进行利用,使系统进行快速恢复。

(三)采用网络信息的加密技术

通过加密技术的运用,可以有效对病毒访问的局域网进行限制,主要包括节点加密和端点加密及链路加密。这些具体的加密工作,主要是将保护传输的链路和目的端的用户及链路信息节点有效结合,使一整个网络得到满足;其具体的加密过程,就是将各种加密的算法充分运用。密码分常规密码和公钥密码两个类型,常规密码比较突出的优点就是具有很强的保密性,而公钥最大的特点就相对简单,主要针对开放网络的,可以用数字签名和验证,需要二者进行有效配合,共同使用。

(四)对于网络流量控制的管理要不断加强

互联网在我国日益得到普及,再加上与此有关的新技术不断被应用和发展,一大批新兴的网络应用被广泛应用于中职院校当中。有些软件会大量占用中职院校的互联网出口宽带,也无法被有效进行识别和管理,这是造成中职院校计算机实验室网络不能正常运行的主要原因,大多都会采取增加网络宽带的方式将这一具体问题解决,但这并不是最有效的措施。网络流量控制主要以7层应用为基准,进行具体的宽带管理和应用优化,可以对各种各样的软件进行全面识别和控制。在宽带管理的具体方面,可以采取自定义的宽带策略,将网络链路具体划分成更多虚拟的宽带通道,使带宽实现最大限制,对于最低带宽要进行保证,对于带宽租借和带宽配额及应用优先级等一系列宽带管理进行优化,在网络出口带宽不增加的前提下,使网络实现最大优化。

三、结语

通过以上综合论述,关于中职院校计算机实验室网络安全问题的探索是一个长期过程,需要结合工作经验和实践,总结出具体措施和方法使中职院校的计算机实验室可以更安全地对学生进行服务。

参考文献:

[1]张新刚,潘恒,王保平.高校计算机公共实验室的典型安全威胁及防御[J].实验室研究与探索,2011,07:197-200.

第3篇:计算机网络流量控制范文

关键词:防火墙;图书馆;网络

随着计算机网络技术的发展,图书馆的系统建立和规模不断扩大,这就使得图书馆网络的安全问题越来越突出,图书馆的网络安全是一个复杂的系统工程,图书馆有大量的服务器、网络设备和工作站,如果直接与外部网络相连,则有可能造成图书馆内信息资源的泄露。如何采用切实有效的安全防护措施为教学和科研服务提供重要保障是计算机工作者面临的问题。而安装防火墙就是一个很好的解决办法。下面就进行一下简单的介绍。

1. 防火墙的概念

防火墙是一个位于内部局域网与外部网络、专用网和公用网之间的计算机或网络设备中的一个功能模块,为一种高级访问控制设备,是按照一定安全策略建立起来的硬件和软件有机组成体,可以是一台专属的硬件,也可以是一套软件。是一种计算机硬件和软件的组合,负责不同网络安全域之间的一系列部件的组合,主要用于控制、允许、拒绝、监测出入两个网络之间的数据流,高级一些还能提供如视频流的服务,且本身有较强的抗攻击能力,可以提供身份认证和访问控制,有效地监控了两个网络之间的任何活动,保证了内部网络的安全。其主要技术有:包过滤技术、双穴主机、堡垒主机、服务、网络地址转换、状态检测技术。

2. 案例介绍

2.1 要求

防火墙应由一系列的软件和硬件组成,形成一个有一定冗余度的保护屏障,应能抵抗木马侵扰和“黑客”的攻击,监控和审计网络通信;一旦失去防护作用,防火墙应能隔开网络中不同的网段,完全阻断内、外部网络站点的连接;还要有强大的反病毒、杀木马的功能,使这些病毒和木马在将要侵入时时引起防火墙的报警。

2.2 思路

首先是要确定安全策略,在图书馆出口处部署千兆防火墙一台。按照职能的不同划分成四个安全区域:服务器区域、阅览室区域、办公区域以及其它区域。针对不同区域的特点和需求设定相应的安全访问控制策略。为防止蠕虫病毒发作,限制单台主机发起连接的数量。将原来使用的固定IP地址、IP段停止使用或限制使用,设置新的、内部私有的IP 地址。通过防火墙的NAT 与反向NAT 技术将内部主机的IP 地址完全隐藏,从而不被外界发现。

为了适应图书馆先进设备和技术的应用,应采用灵活的模块化结构,密度端口适中的网络设备,具备三层路由功能,使其具备平滑升级能力。同时还应对不同用户的需求进行量身定做,防火墙和网络设备能够灵活提供各种常用网络接口,为满足用户的不同需求对网络模块进行合理搭配。

2.3 实例分析

我校图书馆网络安全主要是为了保护web服务器和数字资源数据库服务器,主要采取了硬件防火墙和linux 防火墙两种形式,采用了一种称为netfilter架构的防火墙,有效的防止了外部网络用户、病毒和木马以各种手段试图进入图书馆的内部网络。网络拓扑图见图1:

图1.图书馆网络拓扑图

硬件防火墙采用了Juniper 公司的NS50标准方案建议,它采用的是已知的一种动态数据包过滤的状态检测方法,收集各种部分的包头信息。NS50 防火墙产品可连接信任端口(Trusted )和不信任端口(Untrusted),如果一个应答数据包到达时,防火墙会对其进行对比检验,如果匹配则允许通过,如果不匹配,则丢弃该数据包,并提供了跨Internet 来实现远程管理能力。

当工作状态的防火墙失效时,备份防火墙会在短时间内自动切换到工作状态。为了使防火墙在失效时仍能够维护网络的安全,实现网络的高可用性,防火墙设计必须应用到专门的双机容错技,互为备份的链路需要有相同的配置。在这样的设计中,防火墙跨接在路由器和交换机之间,两个防火墙都同时在工作,互为备用防火墙。两个防火墙通过1 条心跳线连接实现状态的同步,当其中一个防火墙失去保护屏障的作用时,另一个防火墙将立即被启用,此时链路带宽下降到原有的50%,1 条链路完成2条链路的工作(见图2) 。通过这种双机热备份功能, 当单台主机失效时, 网络仍然可以工作,同时网络的双防火墙设计也保证了信息的高安全性。

图2.双机热备份系统结构

2.4 防火墙对流量控制的策略

为防止用户对网络资源的滥用,例如采用专业下载软件如BT、电驴、P2P等软件进行网络资源的过度下载,避免占用大量的网络带宽,阻碍正常工作的开展,对网络流量进行捕捉、分类,对网络流量进行监视,定期查看防火墙流量监测和流量控制策略,定期查看防火墙的网路日志和分析网络带宽资源的使用情况。

2.5 防火墙对入侵检测策略

凡是选中的协议都将被探测,如果匹配则允许通过,如果不匹配,则都将被过滤。通过定义过滤规则,可以减少网络探测引擎分析的数据包的数量。在大流量的环境下,通过减少数据包的数量,可以减轻网络探测引擎的负担,降低事件的漏报,从而使防火墙能有效地保护内部网络免受攻击。

2.6 硬件的选择

在硬件选择方面,首先应按照自己需求进行选择,目前市场上的防火墙种类很多,国外和国内都有技术和知名度过硬的产品,如思科、checkpoint、netscreen、东软、网御神州、联想等,但是不管选用哪个品牌、哪种类型的防火墙,必须确保它自身是安全的,并且经过第三方可信部门的认证。在选购防火墙时,不能只考虑吞吐量,而应要全面考虑防火墙的安全性、实用性和经济性。若流量大或不断变化,则应首要考虑防火墙的吞吐能力,吞吐能力差会使防火墙成为网络瓶颈;若涉及语音和实时图像传输,则要考虑防火墙的延迟;中小图书馆要根据网络规模和性价比来选择防火墙,切合实际,避免资源浪费。

3. 总结

防火墙作为目前用来实现网络安全的一种手段,已经得到了广泛的运用,可以有效防止外部网络的非法入侵和恶意攻击,监控网络通信和流量,便于图书馆系统管理和维护,保障图书馆自身的利益。正确认识防火墙的失效状态在维护网络安全中是相当重要的,但其它的防护措施也是必不可少的。

参考文献:

[1] 费宗莲.UTM引领安全行业潮流--UTM统一威胁安全管理系统综述[J].计算机安全,2006(3).

[2] 马林山.L roux防火墙技术在图书馆的应用研究[J].合肥学院学报,2007(2).

[3] 王琪.入侵检测的原理及其在网络信息系统中的应用[J].情报科学,2004,22(10):1273- 1276.

[4] 李文静,王福生.防火墙在图书馆网络中的安全策略[J].现代情报,2008,(6):72- 73.

[5] 李晓峰,张玉清.Linux2.4 内核防火墙底层结构分析.[J].计算机工程与应用.2002.

.2002.

第4篇:计算机网络流量控制范文

非计算机专业计算机网络课程实践教学存在的问题

非计算机专业计算机网课程实践教学存在问题主要表现在以下几个方面:

一是对计算机网络课程实践重要性认识的不足。一直以来,任课教师普遍认为非计算机专业计算机网络课程重在进行基本的网络构建、互联网的使用等,其实践教学的实验环节主要应验证性实验为主,而验证性实验的内容又与理论存在脱节,实验不能对计算机网络基础知识理解提供支撑,这就造成了目前各种现代信息技术对计算机网络基础知识需求的矛盾。

二是非计算机专业计算机网络实践教学环境缺乏。目前高等院校中,由于专业设置和经费的原因,非计算机专业的计算机网络实验平台非常简单,基本上是将利用简单的网络设备(如交换机、路由器等)等将计算机连接成小型网络,不能随意更改,学生无法通过自己动手组建网络,达到更好地理解和掌握计算机网络基本原理网络通信技术、锻炼网络工程应用能力的目的[1]。

三是非计算机专业计算机网络课程实践教学体系存的问题。第一,计算机网络实验的学时数少,学生无法在实验过程中完成课程设计实验,动手能力差;第二,缺乏综合性、设计性的实践设计过程,学生无法完成大规模的网络实验。

四是非计算机专业计算机网络任课教师缺乏实践经验。从事计算机网络教学的大部分教师没有参与过大规模网络组建、管理,对大型网络形态和网络设备的缺乏感性认识,在实践教学方案的制定过程中会出现不合理因素,导致实践教学内容实现方法的错误。

非计算机专业计算机网络实践教学方法改革的原则和目标

1.指导原则

以培养非计算机专业人才进行相关现代信息技术研究所必需的计算机网络基础理论知识和技术应用能力为主线,结合培养计算机网络应用人才所必需的素质教育作为规划和设计实践教学方法的指导原则。

2.改革目标

优化非计算机专业计算机网络实践教学方法,增强计算机网络实践教学方法的创新理念。改变观念,让实践教学和理论教学处于同等地位和共同发展的位置,互为补充。理论基本技能和初步综合应用能力同步发展。

非计算机专业计算机网络实践教学方法改革的具体内容

1.优化实践教学体系,让实践教学和理论教学处于同等地位和共同发展的位置

计算机网络实践课程既是独立的,又是计算机网络基础理论的有益补充,在进行实践教学体系的构建时,把实践教学体系划分为三个层次:

一是基础理论实验,这层主要进行基础理论知识的验证,加强学生对网络体系结构、协议等抽象概念的理解;

二是基本网络管理和应用设计,这层侧重培养学生的组建网络,服务器、交换机、路由器的配置等实际技能;

三是大型网络设计,这层主要培养学生整体网络设计和构建的能力。

通过实践环节三个层次的划分,把理论和实践相辅相承的功能完全体现出来了,又可以实现以才施教,培养创新人才的目的。

2.利用现代信息技术手段解决计算机网络实践教学环境缺乏的问题

针对以上实践教学的三个层次,利用仿真技术、虚拟技术和真实设备来完成实践教学实验平台的构建。

(1)利用仿真技术解决基础理论实验平台

目前计算机网络的仿真手段和方法有多种,但目前比较流行的是开源的Sniffer、 Ethreal。还有某些厂家生产的专用网络仿真实验平台,例如吉林中软的计算机网络仿真系统。

Sinffer和Ethreal软件可以全面地仿真和监视网络协议数据,使网络行为透明化,可以达到网络协议、数据分析的目的,吉林中软的系统同时还可以编辑和发送网络协议包,分析网络协议原理,协助网络程序的编写和调试。覆盖了以TCP/IP为主的多种常见网络协议,对于一些较新的,如CIFS等协议也有所涉及。在实验过程中学生通过手动进行帧的编辑、IP报文的编辑,解决了学生对计算机网络基础抽象内容的理解,强化了对计算机网络数据流向的认识,从而把一门抽象的课程可视化。通过对网络状况的监控和对网络故障的仿真,学生对网络流量控制、网络故障发生的抽象原理的具体实现有了感性认识。实验方式以综合设计型为主,同时结合一些验证性内容,强调学生的实际动手能力和分析问题解决问题能力[2]。

通过在实验中采用计算机仿真技术很大程度上解决了计算机网络及理论教学的抽象性问题,真正达到了实践教学和理论教学的相辅相成的目的。

(2)利用虚拟机技术建立基本网络管理和应用设计实验平台

一是计算机网络配置虚拟机的使用。计算机网络实践课程中,有一个很重要的内容就是网络互联设备的使用,如交换机、路由器等。但是要建设一个30人的网络配置实验室(5组,每组2台路由器、2台3层交换机、2台二层交换机和6台计算机)至少需要30万元,但许多学校由于经费有限,只能购买一到两组设备,学生实训时实行分组,几个人一组,这样由于台套数不足导致实验时间过长和设备终端接入数以及网络设备配置的特殊性的原因,保证不了实训效果,我们采用了计算机仿真的方法,由于Cisco的设备在应用中还是占据主流位置,在实训时先让学生在电脑上利用Cisco的CCNP软件做虚拟实验,然后轮流安排学生到实际的网络设备上进行操作。该软件先根据网络拓扑结构设计出网络,然后对该网络中的设备进行配置。通过使用该软件可使学生掌握每一种路由器模式下的各条命令、路由器对网络配置的作用和交换机的配置。这样让所有的学生学会相关设备的操作。通过虚实结合,有目的地让学生在真实环境中进行操作,让他们对相关设备或网络环境有亲身体会,印象深刻。

这样,网络课程的实践教学环节就不仅局限在实验室,学生可在业余时间进机房进行虚拟实验,突破了时间空间的限制,使学生完全置身于开放的环境中进行学习,为学生提高实践动手能力提供机会。

二是计算机网络操作系统虚拟机的使用。由于实验室条件的限制,很难做到多操作系统并存的网络环境,为解决这个问题,采用Vmware虚拟机的虚拟网络功能。虚拟网络功能使学生可以通过设置来完成虚拟机之间、虚拟机与主机之间、虚拟机与主机所在网络上的其他计算机之间的网络连接,实现各种操作系统及网络实验,如系统的安装、服务器配置实验、网络的组建等。具体使用Vmware进行模拟网络实验的过程可以参考文献[3]。此外也可以充分利用支持复杂网络建模的Qualnet等。

3.依据现代信息技术的变化趋势,更新实践教学内容

在进行计算机网络实践内容设计时既要考虑专业特点、可操作性,又要考虑知识的更新,适应现代信息技术的发展。具体包括如下内容:

一是计算机网络基础知识实验内容。这部分内容主要是为强化基础理论知识而设计的,包括对数据链路层、网络层和传输层的典型协议的分析实验,还包括对计算机网络环境的监测和故障诊断等内容。

二是基本网络管理和应用设计内容。这层侧重培养学生的组建网络,服务器、交换机、路由器的配置等实际技能,包括:计算机网络工程、简单局域网的组建、网络操作系统的配置与管理;网络的设置与管理;网络数据库的安装调试、数据库的管理。

三是大型网络设计内容。这部分内容根据当年的计算机网络技术的发展进行布置,以适应网络发展的趋势。

4.改革课程考核方式,激发学生的学习兴趣

整合网络应用技术考核系统,利用实验室现有的硬件和软件资源,模拟企业网络应用系统。综合各种网络技术的独立考核系统。考核目的是运用已经学习过和部分未学习的计算机网络技术,独立地解决模拟企业应用中的计算机网络应用体系的实际问题,锻炼学生的独立思考、解决问题的手段和实战技能。

考核任务形式以小组为单位,每组4~5人,小组成员协同工作,在指定的时间内完成指定的任务并讲解技术要点。经过对学生进行多次综合实践考核验证,取得了预期的教学效果,不仅锻炼了学生的独立思考、设计、创新能力,也提高了学生解决问题的技能,增强了网络应用方面的知识。

5.解决非计算机专业计算机网络任课教师缺乏实践经验的问题

教师是进行知识传授的主体,教师的能力和阅历影响实际的教学效果,为提高任课教师的实践能力,积极采取措施,让教师参与校园网和其他的网络建设,提高教师设对规模网络组建、管理的能力,对大型网络形态和网络设备的感性认识,保证实践教学高质量的完成。

结束语

以上是本文对计算机网络实践教学方法的一些改革设想和实践总结,在东北林业大学电子信息工程系的计算机网络实践教学中已经取得了一定的效果,激发了学生对实验的兴趣和求知欲,巩固了课堂知识,促进了学生对课外知识的获取,拓宽了知识面,培养学生的创新能力、分析问题和解决问题的能力。

参考文献:

[1]刘彦宝.计算机网络课程教学改革与实践[J].黑龙江高教研究,2006(2).

第5篇:计算机网络流量控制范文

关键词:扩展访问控制列表;校园网络;配置;应用

中图分类号:TP393.18

1 扩展访问控制列表介绍

1.1 什么是扩展访问控制列表

访问控制列表(Access Control List,简称ACL)是一种数据包控制技术,能够起到防火墙的作用,目前广泛应用于三层交换机和路由器等网络设备,通过配置访问规则并在接口上应用,然后读取数据包中的部分信息,能够有效地控制数据包的通过,实现控制目的。根据数据包通过时的判断依据的不同,分为三种类型,分别为:标准访问控制列表;扩展访问控制列表;基于时间的访问控制列表。

1.2 扩展访问控制列表的作用

通过在路由器或三层交换机上配置并应用扩展访问控制列表,可以避免网络遭受攻击,进行网络流量的控制,提高网络性能,具体有以下两方面的作用。

(1)网络安全控制

通过预先在网络设备上编写并应用访问规则,当数据包通过网络设备时进行控制,若符合规则可以通过,否则不能通过,以此来控制非法数据包的进入,保护网络的安全。

(2)限制网络流量,提高网络性能

通过建立访问规则能够来限制大量无用的数据包通过,减少网上数据包的数量,实现网络访问流量的控制,大大提高带宽的利用率。

1.3 扩展访问控制列表的工作过程

当路由器收到一个数据包时,根据数据包中的源IP地址、目的IP地址、协议及端口号等信息从访问控制列表中自上而下检查控制语句,如果检查到与一条deny语句相匹配,则该数据包被丢弃;如果检查到最后一条语句后还没有找到匹配的语句,那么也会将数据包丢弃;如果检查到与一条permit语句相匹配,则允许该数据包通过,那么路由器会读取其中的目的网络地址,查询路由信息,向对应的端口发送。

2 扩展访问控制列表的配置

扩展访问控制列表可以应用在不同的网络设备上,如三层交换机、路由器等,但它们起到的作用是完全一样的,如果是应用在路由器上,那么通常用编号来表示,称之为编号扩展访问控制列表;如果是应用在三层交换机,那么通常用字符串来表示,称之为命名扩展访问控制列表。

无论哪种访问控制列表的配置都分为两步:第一步是编写访问规则,编写访问规则是分析需求,弄清允许哪些数据包访问什么目标,禁止哪些数据包访问什么目标,然后根据数据包的源IP地址、目的IP地址、协议及端口号编写相关规则。第二步是在接口上应用规则,分析数据流的方向,找到一个最合适的控制位置,并在该位置上应用访问规则。

3 扩展访问控制列表在校园网中的应用

一个校园网一般包含WEB、FTP、数据库和DNS等多种服务器,在此以一个简单的校园网为例,对扩展访问控制列表在校园网络的应用进行说明。

案例:某学校校园网络拓扑结构如下图所示,网络中有一台Cisco3570交换机,一台WEB服务器(10.1.3.1/24)、一台FTP服务器(10.1.3.2/24)和一台Cisco2811路由器,路由器的F0/0接口连接内网,S0/0链接外网,校园网内部使用了VLAN技术,按照不同的功能分为3个VLAN,其中VLAN 10为办公网,VLAN20为学生网,VLAN30为服务,要求学生不能够访问外网,但能够访问WEB和FTP服务,教师能够访问外网、WEB、FTP,外网的主机可以访问WEB服务器。

4 扩展访问控制列表的局限性

由于访问控制列表是通过对数据包的严格判断来决定是否允许通过的,判断数据包时只根据包中的源IP地址、目的IP地址、源端口、目的端口、协议等信息,而不考虑到底是哪类用户,有没有相应的想要,因此存在较大的局限性,需要和其它的一些控制手术结合使用,才能达到更佳效果。

5 结束语

扩展访问控制列表的配置较为简单,不需要额外的网络设备,运行成本低,并且在一定程度上保护了校园网络免受外界的攻击,同时,也起到了流量控制的作用。目前在校园网中应用非常广泛。

参考文献:

[1]刘晓军.局域网组网技术大全[M].北京:人民邮电出版社,2010.

第6篇:计算机网络流量控制范文

【关键词】信息网络 发展历程 卫星通信 多网融合

黄河水文信息是黄河防汛抗旱指挥决策的耳目和参谋,是流域水资源保护、开发、利用、管理以及水工程规划、设计、施工、运行调度的依据,是流域经济和社会发展的重要基础工作。多年来水文系统十分重视水文信息网络系统的建设,并在防汛工作中发挥了重要作用。

一、发展历史

在计算机网络信息建设方面,水文系统从八十年代末以DEC小型机为依托,构建了最初的多终端用户系统,该系统主要为水文测验整编提供服务,随着计算机日新月异的发展,在原有的多终端用户的基础上又逐步建立了局机关内部的DECNET网络,实现了水情、测验信息的局域共享和远距离部分信息的传输。其真正发展得益于近十年黄河信息化项目的实施。目前水文信息网络系统覆盖了全河六大基层区域、十个水文分中心及重点水文站,实现了水文信息传输、水文、气象异地多媒体会商、水情信息查询及会商系统、水文信息数据分中心数据存储等功能。

二、黄河水文信息网络的特点

(一)基层单位分布广阔,各地网络条件差异较大。黄河水文系统分为水文中心节点、基层节点和水文测站节点,水文节点遍布黄河流域9个省区,各级监测测验站点数百个。各区域网络条件差异巨大,存在公网覆盖不全、运营商服务区域交叠,分布极度不均等问题。

(二)位置偏僻,一线基层单位普遍位于远离城镇的黄河防汛前沿,很多处于公网覆盖难以到达地区。尤其防汛重点关注的黄河中上游地区站点多位于偏远山区,公网运营商覆盖范围有限,自有网络建设难度较大,信息需求与资源分布存在较大差异性。

(三)水文信息业务对网络的要求高,对信息传输的时效性、安全性都有很高的要求。

三、网络建设现状及网络应用

(一)网络建设现状

1.在局域网建设方面,水文信息中心局域网采用双星型拓扑结构,关键网络线路、设备均冗余配备,组成安全快速的全交换网络,速度达到骨干千兆,桌面百兆。六个水文水资源局局域网均为TCP/IP网络,主干连接为1000MB,桌面连接方式为IEEE802.3星形连接,10/100MB自适应。

2.广域网络建设方面,水文信息计算机网络系统由三级网络组成。第一级为水文中心机关业务网,水文中心机关业务网通过光纤环网接入黄委核心业务专网,与水利部及黄委各单位进行网络通信。第二级为各基层局网络,第一二级网络连通采用主要线路快速专线网络,备用线路公网VPN线路的主备式信道连接方式。第三级网络为各基层局下属勘测局网络,二三级网络主要采用公网VPN隧道的方式连通。与主干网采用路由结构互联,遵循静态路由协议,与一线测站采用PSTN/GSM/卫星信道的方式进行通信。

(二)主要承载应用

目前通过计算机信息网络已经由建设初期作为水情信息报讯通道的单一功能发展为多个子业务系统的多业务网络,各子系统功能如下:1.水情信息交换系统;2.语音通话支持系统;3.多功能的信息应用服务系统;4.水文、气象异地多媒体会商系统;5.水文数据中心数据存储系统

四、存在的主要问题

(一)广域网深度和广度有限:水文网络承载的业务在不断升级,对网络带宽和覆盖提出了更高的需求。主干网络与六个基层局主干网络连接信道为SDH,带宽受限。(二)基层网络条件薄弱,部分网段易受恶劣天气影响:水文系统部分基层测站还没有联通互联网络,已经联通的站点大多采用公共互联网信道和无线上网方式,带宽低,通信质量不稳定,部分地区由于地处偏远,通信信号差,遇到大风强降雨天气,影响正常汛情信息传输质量。(三)联网方式繁多,不易管理:为保障网络的通畅性,黄河水文信息网络采用了SDH\VPN\PSTN\GSM等多种通信技术,造成网络结构繁杂,管理难度较高。(四)网络带宽资源时间空间分布不均:水文信息业务具有时间空间不确定性强、网络需求突发性增长的特点,各应用业务也有不同的时效性要求,而现有的广域网资源无法满足所有业务最大化并发的需求。

五、发展规划

(一)进一步扩展延伸水文信息网络基础

应用最新的网络技术使标准化的网络环境扩展到勘测局水文站一级,完善整个水文网络体系。提升广域网带宽满足新业务发展的需要。

(二)融合水利卫星通信技术建设高可靠性冗余广域网络

卫星通信具有覆盖范围广、组网灵活、抗毁能力强等优点。新一代水利卫星通信平台拥有Ku波段有22.2MHz,C波段有5MHz,增加了抗雨衰能力强的C波段资源。在基层测站建设基于水利卫星通信平台的卫星小站,配套相应设备,可满足电话、水情数据传输、VPN数据交换、Internet接入、云图接收、图像传输等多种业务的需要。与上级站点的信息传输既可通过防汛通信卫星网实现,也可通过防汛通信卫星网传输到卫星主站,再接入现有的SDH专网实现。

(三)多网融合,统一管理,充分利用网络资源

对于水文信息网络,应用多网融合技术的挑战是:一是包含在水文信息交换应用中的各种应用子系统要基本上完成数据信息的管理和融合;二是要实现各种子系统的插口和地址的接入融合。需要运用多网融合技术将水文信息传输中的多种技术通道和业务形式真正融合贯通,并实现IP协议的统一接入,对因特网、移动通信网络、固定电话通信网络实现统一处理,实现提供包括语音、数据和多媒体等各种业务的综合开放的网络构架。

(四)应用流量控制技术,建设可靠可控可管的下一代水文信息网络

MPLS经过近几年的发展,已经逐步从传统路由器衍生的数据转换手段转变成为以互联网为控制平台的流量工程控制技术方式,在网络流量工程中突破了广播性能和链路的约束。

参考文献:

第7篇:计算机网络流量控制范文

关键词 风机远程控制监控监测

中图分类号:TH43文献标识码: A

前言

风机是矿井关键设备之一。矿用风机的作用是将井下瓦斯、炮烟、粉尘、污风及车辆尾气等各种有害气体从井下排出,使其浓度降低到无害于人体的程度,保证安全生产。同时把地面的新鲜空气送到井下供人们呼吸,降低井下温度,创造良好的工作条件。新疆阿舍勒铜业公司有限公司井深达1200多米,现有两台矿用对旋式轴流风机作为主通风机,南风井风机为FCDZ-12-N0 232×132Kw,采用软启动启停,负责上采区通风;北风井为DK-8- N0 40, 2×710Kw,采用中压变频器,负责下采区通风。以前风机的启停控制及电压、电流、温度、风压及风速等检查记录,都需要到现场,冬季积雪有时达一米多厚,给人工现场操作带来较大困难。为提高风机的可靠性、安全性及自动化程度,减少人工降低成本,所以设计了一套风机远程在线监控系统,在远程调度室实现各种风机的性能、工况参数在线监测,风机的启停台数及频率调节以控制风量,并通过视频监控系统随时查看风机周围环境,达到无人值守的目的。

1.风机远程在线监控系统的总体分析

1.1采用SIEMENS S7-300可编程控制器对风机的风压、风速、电机电压、电流、温度、频率等参数进行实时监测,并将所需的风机工作状态参数实时,通过上位机WinCC 组态软件风机远程监控平台的人机界面远程实时显示。同时根据故障诊断模块的诊断结果,对压风机故障远程人机界面进行显示和报警,并触发必要的控制操作。

1.2在基于WinCC 组态技术的压风机远程监控平台上,开发压风机远程控制面板人机界面。操作人员在远程人机界面直接修改数据或发送指令,并通过PROFINET 和工业以太网将控制数据发至下位PLC,实现压风机的远程控制。

1.3视频监控系统利用风机现场的两台安装在电动云台上高清晰度摄像机,在远程调度室随时通过控制云台上、下、左、右旋转调整控制镜头的变倍、变焦,监视风机出风口及周围自然环境等。

2.风机远程监控系统硬件组成及结构

基于 S7-300 PLC 的风机远程在线监控系统是一个复杂的、多功能的和多技术集成的监控系统,主要功能有风机的就地控制与远程控制、风机工况参数的实时采集和分析、风机工况数据的实时远程传输、风机工矿参数远程组态监测和压风机故障诊断。根据风机监控系统的功能要求和技术指标,风机远程在线监控平台在人机界面层中,包含压风机工况参数组态监测平台和压风机远程控制平台两部分。系统使用PROFINET 现场总线进行组网,属于现场总线控制系统,各部分具体结构如下所述。

2.1前端检测设备包括风机电机的电压传感器、电流传感器及温度传感器;风机的风压传感器和风速传感器、风机频率等各模拟量信号的采集;传感器输出信号为4~20mA 的电流信号。风机故障及启停状态等数字量信号。

2.2 S7-300PLC对各监测点传感器实时监测传输的信号进行计算分析集中处理,并判断是否满足报警和停机条件,从而执行相应的报警和停机等开关量控制。

2.3远程上位机组态软件构成的人机交互系统根据S7-300PLC 中保存的风机运行数据,对压风机工作状况、历史记录、报警信息等进行显示。同时还可以对系统运行过程中的参数修改设置,人机界面增加了用户登录和密码修改,根据用户使用权限大小设置三个级别用户,一般用户只能查看风机工作状况及参数、历史记录、报警信息等;操作员用户可以操作风机启停、风机频率设定等;管理员用户可以增加删除用户及修改密码的操作。人机界面风机操作控制信号传输到S7-300PLC,经过计算分析处理,控制风机启停及变频器频率等。

2.4通信通过RS485总线方式,进行光转换后通过光纤传输。

2.5风机视频监控系统。此风机远程监控系统采用视频监控系统是基于最为广泛使用的TCP/IP协议基础上,通过现场摄像实时拍摄及数据传输系统的稳定传输,在主控制机能高清晰,直观观察风机运行情况。实现本地及网络远程监视功能,支持人体工学输入控制系统,通过云台/镜头的控制,实现现场周边环境多角度、大范围的视频监控;实现视频报警及与数据监控联动报警,以使操作员能及时发现问题。系统功能包括:本地及网络远程监视功能、云台/镜头控制、视频报警及与数据监控联动报警、自动录像和回放工作日志等。

2.5.1视频采集设备:红外可调焦防水ICR日夜型筒型网络摄像机,最高分辨率可达3M(2048×1536),可输出Full HD 1080p实时图像; ICR红外滤片式自动切换,实现真正的日夜监控;支持双码流,支持手机监控。

2.5.2视频存储控制设备:NVR(Net Video Recoder)支持500W像素高清网络视频的预览、VGA输出分辨率最高均可达1920x1080p、支持网络检测(网络流量监控、网络抓包、网络通畅)功能。

2.5.3信号传输设备:千兆单模单机收发器(HTB-4100A/B-20) 具有 10M/100/1000M 自适应能力; 全双工 / 半双工工作模式;支持IEEE802.3X 全双工流量控制和半双工背压流量控制;支持最大 1916 Bytes 数据;

2.5.4监测监控显示设备:2*2拼接单元(海康威视DS-D2046NL)及多屏控制器(海康威视DS-6416HD-S)显示分辨率1366×768

具有完善的音视频处理能力,支持最高500W(2560*1920)网络视频解码。

2.5.5视频监控系统防雷措施

采用视频监控系统三合一防雷器 :雷击限制电压(视频):11V;雷击保护电流:15KA(8/20us);雷击保护电压:10KV(10/700us);防护响应时间:1ns。采用以太网防雷器:10M/100M/1000M自适应以太网防雷器,保护容量:5000A,10/700us ,4000V;反向漏电流:

第8篇:计算机网络流量控制范文

关键词:校园网;PPPOE技术;VPN技术

中图分类号:TP393

1 学校网络现状

我校在扩招与合并之前,学校的互联网入口在校友楼的2层网络中心,校内分两个局域网,一个是专门考勤的局域网,主要是师生考勤,饭堂刷卡与超市消费的专网。另一个是校园办公的局域网,平时主要是提供办公室对外办公、特定专业教室教师上课获取互联网资源(如:电子商务、计算机网络、多媒体动漫等),校内教师宿舍上网以及学校视频监控承载网络。网络结构简单,在师生规模较小的情况下,基本满足需求。可随着两校合并后,主校区办学规模的扩展,专业科目增加、师生人数增多以及越来越多专业从粉笔黑板教学模式渐渐演变为电脑多媒体教学,需要对每个教室安装网络接入,可随之而来的问题也相继产生,由于管理人员不足,部分学生在教室私自加装无线路由、无线交换机,形成IP地址冲突、ARP病毒感染、各种各样的木马传播至整个网络,严重影响校园网的正常运作。为了增加安全性,必须对网络接入进行身份验证,隔绝非法用户获取校园网络资源,同时,为了满足分校区对主校区OA办公系统的访问,在资金有限的情况下,如何实现安全远程接入服务。服务器设备方面,我校使用腾达OA办公系统,是一台老款塔式服务器,只提供校内信息公告,校内邮箱服务与校内新闻三个模块,而合并后为了两个校区的信息得到共享,提高信息化进程,实现数字化办公,我校希望通过OA系统实现两校区网上公文审批与学生信息注册。为解决上述问题,需要对结构单一、设备陈旧的校园网进行改造。

2 校园网分析与技术探讨

2.1 以太网上的点对点协议(Point-to-Point Protocol over Ethernet 简称PPPoE)

以太网上的点对点协议是将点对点协议(PPP)封装在以太网(Ethernet)中的一种网络隧道协议。由于集成了PPP协议,所以实现了传统以太网不能提供的身份验证、加密、计费与控制等功能。极高的性价比使PPPoE在现实中得到广泛采用。PPPoE协议的工作流程包含发现和会话两个阶段,发现阶段是无状态的,目的是获得PPPoE终结端的以太网MAC地址,并建立一个唯一的PPPoE SESSION-ID。发现阶段结束后,就进入标准的PPP会话阶段。

发现阶段:由于传统的PPP连接是创建在串行链路或拨号时创建的ATM虚电路连接上的,所有的PPP帧都可以确保通过电缆到达对端。以太网是多路访问链路,为实现每一个节点相互访问,以太帧包含目的节点的物理地址(MAC地址),因此,为了在以太网上创建连接而交换PPP控制报文之前,两个端点都必须知道对端的MAC地址,这样才可以在控制报文中携带MAC地址。PPPoE发现阶段做的就是这件事。

PPP会话阶段:用户主机与接入服务器根据在发现阶段所协商的PPP会话连接参数进行PPP会话。一旦PPPoE会话开始,PPP数据就可以以任何其他的PPP封装形式发送。所有的以太网帧都是单播的,身份验证是发生在会话阶段的,PPPoE会话的SESSION-ID一定不能改变,并且必须是发现阶段分配的值。PPPoE还有一个PADT分组,它可以在会话建立后的任何时候发送,来终止PPPoE会话,也就是会话释放。它可以由主机或者接入服务器发送。当对方接收到一个PADT分组,就不再允许使用这个会话来发送PPP业务。PADT分组不需要任何标签,其CODE字段值为0×a7,SESSION-ID字段值为需要终止的PPP会话的会话标识号码。在发送或接收PADT后,即使正常的PPP终止分组也不必发送。PPP对端应该使用PPP协议自身来终止PPPoE会话,但是当PPP不能使用时,可以使用PADT。

2.2 虚拟专用网络(Virtual Private Network ,简称VPN)

虚拟专用网络是公用网络上建立虚拟专用网络的技术。之所以称为虚拟专网,主要是VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是承载于公用网络运营商所提供的网络之上,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等逻辑网络之上。且实现隧道技术、加密技术、密钥交换技术和身份验证技术的专用网络。

虚拟专用网络的优势:

(1)较低的使用成本――通过公用网络建立VPN,可以大量节省为租用专线所需的通信费用。

(2)可靠的数据传输――虚拟专用网使用隧道技术、加密技术、密钥交换技术、身份验证技术,保证网络安全。

(3)灵活的接入访问――对于全球各地出差的企业员工,实现简单方便的远程接入访问。

(4)网络的可管理性――管理员可对远程拨号访问的用户进行访问权限、网络带宽、拨入时段等内容的管理,对于大型的内部网络也可以建立虚拟专用网。

实现虚拟专用网络常用的三种方式:

(1)软件VPN,通过专用的软件,在服务器上安装来实现VPN。

(2)硬件VPN,可以通过专用的硬件来实现VPN。

(3)集成VPN,很多的硬件设备,如路由器,防火墙等等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。

3 校园网改造方案

基于以上对校园网的分析,在资金有限的情况下,我选择使用带VPN功能和PPPoE功能于一体的服务器,为所有我校教工统一实现拨号接入验证,一个账号两种功能,主校区内使用PPPoE拨号,校外及分校区使用VPN拨号,拨号账号为手机号码,为保证账号安全,密码规定为8位以上并由三种不同字符组成。为统一两校区的公文审批与实现学生学籍信息注册、提高信息化进程、实现数字化办公的需求,需要购买两个新的OA模块,分别为公文管理模块和学生信息模块实现公文审批和学生信息注册功能。服务器设备方面,因业务处理数据增大、OA功能模块的增加,将老款塔式服务器更换为机架式的联想万全R520 G7服务器,内存增加到4G,硬盘增加到4个,使用动态磁盘实现rain01以保障数据安全,并且使用SQL2005自动备份OA系统数据库。为了确保师生与学校财产安全,我校为多个地点添加带硬盘存储的网络摄像头,分别在办公楼增加2个,教学楼增加4个,新建成的宠物医院实验室增加8个。另外因校门口电视墙需实时观看监控视频,为控制网络流量把网络摄像头改为模拟摄像头,通过视频线连接校门保安室录像机。

4 总结与不足

在有限的资金内,校园网改造完成后,学校信息化得到提高,可用性、可靠性得到增强,实现了校内校外一体化办公,两校区的公文审批、制度的执行、信息的得到统一。OA服务器更换后,良好的性能,较快响应时间,基本满足学校办公的要求,主校区内实行了PPPoE拨号上网后,学生被拒绝接入网络,ARP病毒与木马都得到控制,校园网能够正常的运作。监控摄像头增加了挂载硬盘,平时也只有校门口处摄像头通过电视墙实时监控,只有突况下才远程调用,对校园网的带宽压力不大。改造完成后学校校园网络基本满足当前办公需求。

不足之处是,教室私接无线路由器的情况依然存在,主要原因是部分教师账号保护意识不强,应对策略是加强教师安全意识培训、限制教师账号的带宽、加强对学生的监管等达到降低对校园网的影响。另外学校网络、服务器存在单点故障等不足,会在资金允许情况下进行升级改造。

参考文献:

[1]黄斌.浅谈校园网流量控制策略[J].计算机光盘软件与应用,2013,8.

[2]黄志.和试析校园网安全系统的设计及应用[J].计算机光盘软件与应用,2013.

[3]蒙军全.关于计算机网络安全技术的探讨[J].城市建设理论研究,2012,8.

第9篇:计算机网络流量控制范文

关键词:Winpcap; 流媒体; RTP/RTCP; P2P

中图分类号:TN919 文献标识码:A

文章编号:1004-373X(2010)11-0108-03

Study and Implementation of Network Streaming Media Recognition Algorithm

Based on Winpcap

SONG Xue1, CAI Yi-bing2, JIN Wei-xin2, WANG Meng2

(1. College of Communication Engineering, PLA University of Science and Technology, Nanjing 210007, China; 2. DECSEC, Beijing 100141, China)

Abstract: The discovery of network streaming media is the premise and foundation of network flow media service quality monitoring. The network flow media transport protocol is analyzed. A Winpcap-based network streaming media recognition algorithm is proposed according to the result of the protocol analysis. The test proves that the algorithm can effectively identify the streaming media.

Keywords: Winpcap; streaming media; RTP/RTCP; P2P

0 引 言

随着计算机网络、视频压缩等关键技术的快速发展,网络流媒体技术目前已成为继文字和图片之后,互联网信息传播的主要形式。通过网络流媒体技术,用户可以方便地存取、查阅和播放网络上的流媒体数据。如何从海量的网络数据中快速发现流媒体数据,是进行网络视频服务质量监测、网络流量统计、网络视频用户行为分析及视频内容监管等服务的前提和基础。

网络流媒体服务为应用层服务,其数据传输主要采用专有应用层协议RTP/RTCP[1]。因此,对网络视频数据流的发现首先是识别应用层协议。针对应用层协议的识别,文献[2]提出了一种以协议中出现频率最高的字段作为特征串来识别协议的方法,且采用一个特征串来标识一种协议。文献[3]提出了基于签名字串的方法来识别应用层协议,其主要针对的是P2P协议的范围,且需要对整个报文通过匹配多个特征串来识别一种P2P协议,时间效率偏低。文献[4]提出了基于先分类后分组的识别应用层协议及流量的方法,但此方法的本质还是基于某些固定端口的,若对于通过随机选择端口而实现的应用层协议,此方法就缺乏准确性和灵活性。

本文通过分析网络流媒体交互过程的特征,以应用层传输协议对应的关键特征字串为判断依据,设计了一种基于Winpcap的网络视频流识别算法,实现了对网络流媒体的发现,并通过实验对本文设计的算法性能进行了分析和验证。

1 Winpcap简介

Winpcap是由伯克利分组捕获库派生而来的分组捕获库,它在Windows 操作平台上实现对底层包的截取过滤。

Winpcap是BPF模型和Libpcap函数库在Windows平台下网络数据包捕获和网络状态分析的一种体系结构,这个体系结构是由一个核心的包过滤驱动程序,一个底层的动态连接库Packet.dll 和一个高层的独立于系统的函数库Libpcap组成。底层的包捕获驱动程序实际为一个协议网络驱动程序,通过对NDIS中函数的调用为Windows 95/98/NT/2000提供一类似于 UNIX 系统下Berkeley Packet Filter的捕获和发送原始数据包的能力。 Packet.dll 是对这个 BPF 驱动程序进行访问的 API 接口,同时它有一套符合 Libpcap 接口(UNIX 下的捕获函数库)的函数库[5]。

Winpcap包括三部分:第一个模块NPF(Netgroup Packet Filter),是一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块,这个过程中包括了一些操作系统特有的代码。第二个模块Packet.dll为Win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的Windows平台上,而无需重新编译。 第三个模块Wpcap.dll是不依赖于操作系统的,它提供了更加高层、抽象的函数。

Winpcap提供了一套标准的编程接口,与libpcap兼容,可使得原来许多UNIX平台下的网络分析工具快速移植过来便于开发各种网络分析工具,充分考虑了各种性能和效率的优化,包括对于NPF内核层次上的过滤器支持,支持内核态的统计模式,提供了发送数据包的能力。

2 应用层协议RTP/RTCP

RTP/RTCP是一种应用型的传输层协议,它没有连接的概念,既可以建立在面向连接的底层协议上,又可以建立在面向无连接的底层协议上,因此RTP对传输层是独立的。由于网络流媒体的传输实时性要求较高,UDP的传输延时低于TCP,能与音频和视频流很好地匹配,所以,在实际应用中,RTP/RTCP/UDP是流媒体传输的主要协议[6],其结构如图1所示。

图1 网络流媒体数据包结构

MAC headerIP headerUDP headerRTP header流媒体数据

图1 网络流媒体数据包结构

实时传输协议RTP是为实时数据提供端到端传递服务的协议,能够传递时间信息和实现流同步。但RTP本身并不能为按顺序传送数据包提供可靠的传输机制,也不提供流量控制或拥塞控制,它依靠RTP控制协议RTCP配合实现控制服务。在RTP会话期间,各参与者周期性地交互RTCP包,RTCP包中含有己发送的数据包的数量、丢失的数据包的数量等统计资料,会话方可以利用这些信息动态地改变传输速率,甚至改变有效型。RTP数据包结构如图2所示[7]。

图2 RTP数据包结构图

从图2可以看出,RTP数据包由12个字节的固定RTP头和不定长的连续多媒体数据组成,其中的多媒体数据可以是压缩后数据。

其中比较重要的几个域及其意义如下:

版本(V):2 b,此域定义了RTP的版本,此协议定义的版本是2。

填料(P):1 b,填料可能用于某些具有固定长度的加密算法,或者在底层数据单元中传输多个RTP包。

扩展(X):1 b,若设置扩展比特,表示固定头(仅)后面跟随一个头扩展。

CSRC计数(CC):4 b,CSRC计数包含了跟在固定头后面CSRC识别符的数目。

标志(M):1 b,标志用来允许在比特流中标记重要的事件,如帧范围。

负载类型(PT):7 b,此域定义了负载的格式,由具体应用决定其解释。协议可以规定负载类型码和负载格式之间一个默认的匹配。其他的负载类型码可以通过非RTP方法动态定义,RTP发射机在任意给定时间发出一个单独的RTP负载类型。

序列号(SN):16 b,每发送一个RTP数据包,序列号加一,接收机可以据此检测丢包和重建包。序列号的初始值是随机的。

时间标志:32 b,时间标志反映了RTP数据包中第一个比特的抽样瞬间。时间标志的起始值是随机的。

SSRC:32 b,SSRC域用以识别同步源。标识符被随机生成,以使在同一个RTP会话期中没有任何两个同步源有相同的SSRC识别符。

CSRC列表:0~15项,每项32 b。CSRC列表识别在此包中负载的有贡献源。识别符的数目在CC域中给定[8]。

通过对RTP协议的分析,总结出以下几条“流特征”:

(1) UDP负荷头两个比特是0x10(RTP的版本号是2)。

(2) RTP流负载类型PT值保持不变。即同一流媒体数据包RTP头的9~15 b的值保持不变。

(3) RTP流的SN值为递增。

(4) RTP包的SSRC值为定值,同一流媒体数据各包的SSRC值保持不变。

3 算法实现

首先通过Winpcap过滤器[9]对数据包进行捕获,识别其中的握手数据包,然后分析呼叫信令的内容,获取传输流媒体的源、目的地址和端口号,再通知给过滤器针对该源、目的地址和端口号进行数据捕捉;识别其中的UDP数据包进行分析,根据“流特征”进行分析,确定所要捕捉的RTP数据流。

采用以上4条作为判断RTP流量的必要条件,当对每一个UDP数据流,如能连续检出4个包符合上述策略,则认定其满足为RTP数据流的充分条件。

经过大量实际数据的测试,该算法可以有效识别网络流媒体。

4 结 语

在分析网络流媒体传输协议的基础上,利用Winpcap实现了一个网络流媒体识别算法。 经试验证明,该算法能够有效识别流媒体,对网络流媒体的应用具有积极的作用。

参考文献

[1]吴永英,周淼,陈晓苏.基于数据包分析的多媒体信息还原方法研究[J].华中科技大学学报:自然科学版,2007,35(9):101-103.

[2]陈亮,龚俭,徐选.基于特征串的应用层协议识别[J].计算机工程与应用,2006(24):16-19.

[3]SEN S, SPATSCHECK O, WANG D M. Accurate, scalable in-network identification of P2P traffic using application signatures[C]//Proceedings of the 13th International Conference on World Wide Web. New York: WWW, 2004:512-521.

[4]KIM Myung-Sup,WON Yong J, HONG Won-Ki. Application-lecel traffic monitoring and analysis on IP networks[J]. ETRI Journal, 2005,27(1):1-22.

[5]付强,左仁辉.基于Winpcap实现网络监听技术[J].电脑知识与技术,2008(13):25-28.

[6]李慧彬.基于QoS组播的RTP协议的研究与实现[D].太原:中北大学,2007.

[7]盛先刚.基于RTP的H.264视频传输系统研究[D].西安:西安电子科技大学,2006.

[8]SCHULZRINNE Henning, CASNER S L, FREDERCK Ron, et al. RFC1889-RTP: A transport protocol for real-time applications[M]. Berlin: \, 2007.