計算機網絡流量控制精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的計算機網絡流量控制主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：計算機網絡流量控制范文

關鍵詞：中小型網絡；流量控制；方法；應用

中圖分類號：TP393.06

近年來，隨著經濟社會的發展和科學技術的進步，計算機網絡技術得到了充分發展。在這種形勢背景下，網絡在人們生產生活中的應用越來越廣泛，比如，我們可以通過網絡瀏覽網頁、觀看視頻、網上聊天以及網上購物等。由此可見，網絡在人們生活中發揮著重要作用。在網絡的運行過程中，網絡流量直接關系著網絡的速度，對網絡功能的發揮具有重大意義。但是，從現實情況來看，在一些中小型網絡使用的過程中，由于服務器管理不當、惡意程序以及P2P下載等原因，導致網絡流量不斷增長，最終致使網絡出現堵塞，網頁打不開，影響人們的正常工作和學習。鑒于此，我們必須采取一些措施控制網絡流量，使它更好地為人們的生產生活提供服務。

1 中小型網絡流量控制方法

1.1 加強對P2P應用的管理。在很多中小型網絡應用的過程中，人們會運用到很多P2P應用，比如，快車下載、迅雷視頻播放器等。這些P2P應用在運行的過程中會占用大量的流量資源，給網速造成嚴重影響。針對這個問題，在中小型網絡運行中我們可以采取封禁P2P的應用端口或者對并發連接數進行限制等方法來控制網絡流量。首先，對P2P的應用端口進行封禁。正如上文所述，在中小型網路中各種下載工具和視頻播放工具等P2P占用了很多流量，我們可以使用電腦中的路由器或者防火墻等對P2P應用進行封禁。這種方法在運用的早期收到一定的成效，后來的流量控制效果并不是十分理想。其次，限制并發連接的數量。當我們在運用P2P軟件在網絡上查找資源的時候，會帶到很多的網絡連接，此時便會使網絡流量大量增加。如果我們對連接到主機上的并發連接數量進行控制，就可以有效限制它所占用的流量。這種方法有一定的成效，但會在一定程度上對網絡正常運行造成影響。

1.2 運用專業的流量控制設備。在中小型網絡運行中，我們還可以使用專業的流量控制設備對其進行流量控制。就目前的技術水平來看，主要的流量控制技術包括深度報文檢測（DPI）和深度流行為檢測（DFI）等。以此技術為基礎，現在應用比較多的專業流量控制設備廠商主要有華三、思科以及Allot等。這些廠商生產的專業流量控制設備具有良好的流量控制作用，但是，它也存在一定的缺陷，比如，專業流量控制設備的價格比較昂貴。

1.3 對網絡用戶的流量和寬帶進行限制。為了控制中小型網絡中的流量，我們還可以采用限制用戶流量和寬帶的方法進行控制。首先，限制用戶流量。我們可以使用城市熱點或者防火墻等設備對網絡中用戶的流量進行控制。這種方法確實發揮了控制流量的作用，但是，有時用戶正在使用網絡，由于流量限制導致無法上網，就會影響到用戶的工作和學習。其次，限制用戶寬帶使用數量。這種方法也在一定程度上發揮控制網絡流量的功效，但是，由于用戶無法得到全部寬帶，致使網絡運行的速度比較緩慢。

2 流量控制方法在中小型校園網絡中的應用

從上文的論述中，我們可以了解到，各種流量控制方法各有優劣，在實際的應用過程中，我們要從中小型網路的實際情況出發，綜合分析多方面因素，選擇科學合理的流量控制方法。下面，我們就結合某學校一中小型的校園網絡，對流量控制方法的具體應用進行分析。

2.1 校園網概況。某學校為了滿足教學工作需要，建設了一個校園網。在該校園網中，由2個10兆的互聯網與當地的教科網和電信網進行連接，依據教學的功能，校園網中被劃分成多個VLAN，從而為學校教學和教務工作的開展提供網絡服務。但是，從現實情況來看，校園網中存在客戶端安全問題、接入控制問題以及上網速度慢問題等，致使校園網在使用的過程中出現網頁打不開甚至斷網等問題，影響了校園網正常功能的發揮。

在上圖的校園網流量控制設備部署中，我們利用流量網絡開關，有效實現了對校園網的流量控制。具體來說，流量控制主要表現在以下幾個方面。（1）對P2P應用進行了控制。為了保證P2P應用的正常使用同時減少它對網速的影響，我們設立了P2P應用流量通道，對快車、迅雷等P2P應用軟件的流量限制在一定范圍之內，并根據網速變化作出一些動態調整。比如，在校園網高峰期，我們可以適當降低對P2P應用的限制，當校園網處于低谷期，我們可以調高對P2P應用的限制，從而保證校園網絡的有效利用。（2）對不同用戶實施不同部署。在校園網運行中，針對不同用戶的需求，我們制定了不同的網絡流量管理方法。比如，針對學校的辦公網絡，我們可以適當限制P2P應用的流量，而對于學校教學機房中的網絡，則要嚴格控制P2P應用的流量，盡量減少這些與教學無關的應用占用大量的流量，保證教學網絡速度。（3）加強校園網接入安全管理。在過去，由于缺乏相應的技術和管理設備，校園網中對客戶端接入缺乏安全管理，校外其他一些用戶可以隨意接入到校園網中，不僅占用了校園網的流量，而且給校園網安全造成嚴重威脅。針對這個問題，我們可以采取客戶端接入控制和安全性檢測等方法對校園網接入安全進行管理，這樣一來，只有符合要求的用戶才可以接入到校園網中，不僅提高了校園網的運行的安全性，而且對校園網流量控制具有一定的作用。

3 結束語

綜上所述，近年來，隨著經濟社會的發展，中小型網絡在我們生產生活中的作用越來越突出。鑒于此，我們要加強對中小型網絡的管理，使它更好地為人們提供網絡服務。但是，在現實中，由于多種原因導致中小型網絡流量增加，影響了網絡的正常運行。針對這個問題，我們在分析網絡實際情況的基礎上，選擇恰當的流量控制方法對網絡流量進行有效控制，促使中小型網絡資源得到合理利用。

參考文獻：

[1]鄭林江.基于交換機流量和網絡線路的監控系統[J].計算機應用，2009（S2）：18-19.

[2]胡俊，程瑾.網絡流量管理控制技術在校園網的應用研究[J].中國教育信息化，2009（21）：58-59.

[3]牛軍，余萍萍，李思恩.校園網流量控制初探[J].中國教育信息化，2009（04）：152-153.

[4]劉磊，李聞天，肖.校園網中P2P應用的管理策略及流量監控初探[J].昆明理工大學學報（理工版），2008（03）：48-49.

第2篇：計算機網絡流量控制范文

關鍵詞： 中職院校 計算機實驗室 網絡安全問題

近年來計算機實驗室承擔著計算機課程的教學實驗，學生進行自主網絡學習及自由上機實踐等各種任務，還是進行無紙化考試的場所。要將計算機實驗室的重要作用充分地發揮，使計算機實驗室正常運行，做好計算機實驗室的日常維護和管理非常重要。

一、計算機實驗室網絡安全受到的威脅

1.學生將自己的移動硬盤、U盤等設備帶進計算機實驗室，在電腦中安裝很多屬于個人的文件，降低了電腦系統的運行速度，使電腦里大量的文件受到病毒的感染，這樣就會使管理更具有難度。2.當學生從外網進行文件的下載時，或者在攜帶病毒的網站進行訪問的時候，有很大可能使系統和網絡癱瘓，嚴重的可能會造成系統崩潰。3.以教學的具體要求為主要出發點，在校園局域網中，將資源實現共享，使教學手段得以傳播。但是會使病毒在局域網中傳播，使對計算機病毒的查殺難度不斷增加。4.這項專業教師的基礎知識比較匱乏。計算機網絡具有更新快的特點，如果計算機教師對于計算機網絡安全沒有一個基本認識，那么當計算機實驗室網絡出現問題的時候，教師如果不能第一時間冷靜下來，采取有效措施進行查看，則會給計算機實驗室帶來嚴重的后果。中職院校計算機實驗室網絡安全需要教師帶領學生共同盡心維護。

二、中職院校計算機實驗室提高網絡安全的具體措施

（一）將管理制度進行完善

學校機房管理的最大難點是對計算機實驗室的使用和管理，這是一種非常重要的工作，而且目前大家共同關注的問題就是計算機的安全性和可靠性。欲想將這些問題很好地解決，除需要實驗室相關的管理人員業務水平不斷得到提高外，最重要的是對相關管理制度進行完善，對具體的工作進行合理安排，當發生問題時，使具體的處理措施可以做到有條不紊。

實驗室的管理人員的相關工作要符合學校規章制度，嚴格遵守制度進行工作，在具體的實踐工作中對工作經驗進行總結，使管理人員具有很強的責任感，將自身的主動性充分發揮出來，使安全事故可以盡量避免。對于學生來說，他們也需要遵守學校的規章制度，學校要加強對學生這個方面的管理，使其可以對制度給予高度重視，嚴格遵守。只有這樣，學生才會對中職院校計算機實驗室網絡安全給予重視。

（二）對病毒進行防范

在計算機實驗室進行學習的學生有很多，他們使用的移動硬盤如果攜帶病毒，那么實驗室的計算機就會很容易受到病毒的感染，有時學生會在不經意間將病毒下載下來，對設備正常的運行造成很大影響。為了對設備進行病毒預防，要在實驗室每臺電腦中安裝病毒防火墻和殺毒軟件。利用防火墻，對于可疑程序的寫入可以有效得到避免，降低病毒入侵的可能性。對病毒的防護要做到防患于未然，還可以利用備份包進行利用，使系統進行快速恢復。

（三）采用網絡信息的加密技術

通過加密技術的運用，可以有效對病毒訪問的局域網進行限制，主要包括節點加密和端點加密及鏈路加密。這些具體的加密工作，主要是將保護傳輸的鏈路和目的端的用戶及鏈路信息節點有效結合，使一整個網絡得到滿足；其具體的加密過程，就是將各種加密的算法充分運用。密碼分常規密碼和公鑰密碼兩個類型，常規密碼比較突出的優點就是具有很強的保密性，而公鑰最大的特點就相對簡單，主要針對開放網絡的，可以用數字簽名和驗證，需要二者進行有效配合，共同使用。

（四）對于網絡流量控制的管理要不斷加強

互聯網在我國日益得到普及，再加上與此有關的新技術不斷被應用和發展，一大批新興的網絡應用被廣泛應用于中職院校當中。有些軟件會大量占用中職院校的互聯網出口寬帶，也無法被有效進行識別和管理，這是造成中職院校計算機實驗室網絡不能正常運行的主要原因，大多都會采取增加網絡寬帶的方式將這一具體問題解決，但這并不是最有效的措施。網絡流量控制主要以7層應用為基準，進行具體的寬帶管理和應用優化，可以對各種各樣的軟件進行全面識別和控制。在寬帶管理的具體方面，可以采取自定義的寬帶策略，將網絡鏈路具體劃分成更多虛擬的寬帶通道，使帶寬實現最大限制，對于最低帶寬要進行保證，對于帶寬租借和帶寬配額及應用優先級等一系列寬帶管理進行優化，在網絡出口帶寬不增加的前提下，使網絡實現最大優化。

三、結語

通過以上綜合論述，關于中職院校計算機實驗室網絡安全問題的探索是一個長期過程，需要結合工作經驗和實踐，總結出具體措施和方法使中職院校的計算機實驗室可以更安全地對學生進行服務。

參考文獻：

[1]張新剛，潘恒，王保平.高校計算機公共實驗室的典型安全威脅及防御[J].實驗室研究與探索，2011，07：197-200.

第3篇：計算機網絡流量控制范文

關鍵詞：防火墻；圖書館；網絡

隨著計算機網絡技術的發展，圖書館的系統建立和規模不斷擴大，這就使得圖書館網絡的安全問題越來越突出，圖書館的網絡安全是一個復雜的系統工程，圖書館有大量的服務器、網絡設備和工作站，如果直接與外部網絡相連，則有可能造成圖書館內信息資源的泄露。如何采用切實有效的安全防護措施為教學和科研服務提供重要保障是計算機工作者面臨的問題。而安裝防火墻就是一個很好的解決辦法。下面就進行一下簡單的介紹。

1. 防火墻的概念

防火墻是一個位于內部局域網與外部網絡、專用網和公用網之間的計算機或網絡設備中的一個功能模塊，為一種高級訪問控制設備，是按照一定安全策略建立起來的硬件和軟件有機組成體，可以是一臺專屬的硬件，也可以是一套軟件。是一種計算機硬件和軟件的組合，負責不同網絡安全域之間的一系列部件的組合，主要用于控制、允許、拒絕、監測出入兩個網絡之間的數據流，高級一些還能提供如視頻流的服務，且本身有較強的抗攻擊能力，可以提供身份認證和訪問控制，有效地監控了兩個網絡之間的任何活動，保證了內部網絡的安全。其主要技術有：包過濾技術、雙穴主機、堡壘主機、服務、網絡地址轉換、狀態檢測技術。

2. 案例介紹

2.1 要求

防火墻應由一系列的軟件和硬件組成，形成一個有一定冗余度的保護屏障，應能抵抗木馬侵擾和“黑客”的攻擊，監控和審計網絡通信；一旦失去防護作用，防火墻應能隔開網絡中不同的網段，完全阻斷內、外部網絡站點的連接；還要有強大的反病毒、殺木馬的功能，使這些病毒和木馬在將要侵入時時引起防火墻的報警。

2.2 思路

首先是要確定安全策略，在圖書館出口處部署千兆防火墻一臺。按照職能的不同劃分成四個安全區域：服務器區域、閱覽室區域、辦公區域以及其它區域。針對不同區域的特點和需求設定相應的安全訪問控制策略。為防止蠕蟲病毒發作，限制單臺主機發起連接的數量。將原來使用的固定IP地址、IP段停止使用或限制使用，設置新的、內部私有的IP 地址。通過防火墻的NAT 與反向NAT 技術將內部主機的IP 地址完全隱藏，從而不被外界發現。

為了適應圖書館先進設備和技術的應用，應采用靈活的模塊化結構，密度端口適中的網絡設備，具備三層路由功能，使其具備平滑升級能力。同時還應對不同用戶的需求進行量身定做，防火墻和網絡設備能夠靈活提供各種常用網絡接口，為滿足用戶的不同需求對網絡模塊進行合理搭配。

2.3 實例分析

我校圖書館網絡安全主要是為了保護web服務器和數字資源數據庫服務器，主要采取了硬件防火墻和linux 防火墻兩種形式，采用了一種稱為netfilter架構的防火墻，有效的防止了外部網絡用戶、病毒和木馬以各種手段試圖進入圖書館的內部網絡。網絡拓撲圖見圖1：

圖1.圖書館網絡拓撲圖

硬件防火墻采用了Juniper 公司的NS50標準方案建議，它采用的是已知的一種動態數據包過濾的狀態檢測方法，收集各種部分的包頭信息。NS50 防火墻產品可連接信任端口（Trusted ）和不信任端口（Untrusted），如果一個應答數據包到達時，防火墻會對其進行對比檢驗，如果匹配則允許通過，如果不匹配，則丟棄該數據包，并提供了跨Internet 來實現遠程管理能力。

當工作狀態的防火墻失效時，備份防火墻會在短時間內自動切換到工作狀態。為了使防火墻在失效時仍能夠維護網絡的安全，實現網絡的高可用性，防火墻設計必須應用到專門的雙機容錯技，互為備份的鏈路需要有相同的配置。在這樣的設計中，防火墻跨接在路由器和交換機之間，兩個防火墻都同時在工作，互為備用防火墻。兩個防火墻通過1 條心跳線連接實現狀態的同步，當其中一個防火墻失去保護屏障的作用時，另一個防火墻將立即被啟用，此時鏈路帶寬下降到原有的50%，1 條鏈路完成2條鏈路的工作(見圖2) 。通過這種雙機熱備份功能, 當單臺主機失效時, 網絡仍然可以工作,同時網絡的雙防火墻設計也保證了信息的高安全性。

圖2.雙機熱備份系統結構

2.4 防火墻對流量控制的策略

為防止用戶對網絡資源的濫用，例如采用專業下載軟件如BT、電驢、P2P等軟件進行網絡資源的過度下載，避免占用大量的網絡帶寬，阻礙正常工作的開展，對網絡流量進行捕捉、分類，對網絡流量進行監視，定期查看防火墻流量監測和流量控制策略，定期查看防火墻的網路日志和分析網絡帶寬資源的使用情況。

2.5 防火墻對入侵檢測策略

凡是選中的協議都將被探測，如果匹配則允許通過，如果不匹配，則都將被過濾。通過定義過濾規則，可以減少網絡探測引擎分析的數據包的數量。在大流量的環境下，通過減少數據包的數量，可以減輕網絡探測引擎的負擔，降低事件的漏報，從而使防火墻能有效地保護內部網絡免受攻擊。

2.6 硬件的選擇

在硬件選擇方面，首先應按照自己需求進行選擇，目前市場上的防火墻種類很多，國外和國內都有技術和知名度過硬的產品，如思科、checkpoint、netscreen、東軟、網御神州、聯想等，但是不管選用哪個品牌、哪種類型的防火墻，必須確保它自身是安全的，并且經過第三方可信部門的認證。在選購防火墻時，不能只考慮吞吐量，而應要全面考慮防火墻的安全性、實用性和經濟性。若流量大或不斷變化，則應首要考慮防火墻的吞吐能力，吞吐能力差會使防火墻成為網絡瓶頸；若涉及語音和實時圖像傳輸，則要考慮防火墻的延遲；中小圖書館要根據網絡規模和性價比來選擇防火墻，切合實際，避免資源浪費。

3. 總結

防火墻作為目前用來實現網絡安全的一種手段，已經得到了廣泛的運用，可以有效防止外部網絡的非法入侵和惡意攻擊，監控網絡通信和流量，便于圖書館系統管理和維護，保障圖書館自身的利益。正確認識防火墻的失效狀態在維護網絡安全中是相當重要的，但其它的防護措施也是必不可少的。

參考文獻：

[1] 費宗蓮.UTM引領安全行業潮流--UTM統一威脅安全管理系統綜述[J].計算機安全，2006(3).

[2] 馬林山.L roux防火墻技術在圖書館的應用研究[J].合肥學院學報,2007(2).

[3] 王琪.入侵檢測的原理及其在網絡信息系統中的應用[J].情報科學,2004,22(10):1273- 1276.

[4] 李文靜，王福生.防火墻在圖書館網絡中的安全策略[J].現代情報，2008，（6）：72- 73.

[5] 李曉峰，張玉清.Linux2.4 內核防火墻底層結構分析.[J].計算機工程與應用.2002.

.2002.

第4篇：計算機網絡流量控制范文

非計算機專業計算機網絡課程實踐教學存在的問題

非計算機專業計算機網課程實踐教學存在問題主要表現在以下幾個方面：

一是對計算機網絡課程實踐重要性認識的不足。一直以來，任課教師普遍認為非計算機專業計算機網絡課程重在進行基本的網絡構建、互聯網的使用等，其實踐教學的實驗環節主要應驗證性實驗為主，而驗證性實驗的內容又與理論存在脫節，實驗不能對計算機網絡基礎知識理解提供支撐，這就造成了目前各種現代信息技術對計算機網絡基礎知識需求的矛盾。

二是非計算機專業計算機網絡實踐教學環境缺乏。目前高等院校中，由于專業設置和經費的原因，非計算機專業的計算機網絡實驗平臺非常簡單，基本上是將利用簡單的網絡設備（如交換機、路由器等）等將計算機連接成小型網絡，不能隨意更改，學生無法通過自己動手組建網絡，達到更好地理解和掌握計算機網絡基本原理網絡通信技術、鍛煉網絡工程應用能力的目的[1]。

三是非計算機專業計算機網絡課程實踐教學體系存的問題。第一，計算機網絡實驗的學時數少，學生無法在實驗過程中完成課程設計實驗，動手能力差；第二，缺乏綜合性、設計性的實踐設計過程，學生無法完成大規模的網絡實驗。

四是非計算機專業計算機網絡任課教師缺乏實踐經驗。從事計算機網絡教學的大部分教師沒有參與過大規模網絡組建、管理，對大型網絡形態和網絡設備的缺乏感性認識，在實踐教學方案的制定過程中會出現不合理因素，導致實踐教學內容實現方法的錯誤。

非計算機專業計算機網絡實踐教學方法改革的原則和目標

1.指導原則

以培養非計算機專業人才進行相關現代信息技術研究所必需的計算機網絡基礎理論知識和技術應用能力為主線，結合培養計算機網絡應用人才所必需的素質教育作為規劃和設計實踐教學方法的指導原則。

2.改革目標

優化非計算機專業計算機網絡實踐教學方法，增強計算機網絡實踐教學方法的創新理念。改變觀念，讓實踐教學和理論教學處于同等地位和共同發展的位置，互為補充。理論基本技能和初步綜合應用能力同步發展。

非計算機專業計算機網絡實踐教學方法改革的具體內容

1.優化實踐教學體系，讓實踐教學和理論教學處于同等地位和共同發展的位置

計算機網絡實踐課程既是獨立的，又是計算機網絡基礎理論的有益補充，在進行實踐教學體系的構建時，把實踐教學體系劃分為三個層次：

一是基礎理論實驗，這層主要進行基礎理論知識的驗證，加強學生對網絡體系結構、協議等抽象概念的理解；

二是基本網絡管理和應用設計，這層側重培養學生的組建網絡，服務器、交換機、路由器的配置等實際技能；

三是大型網絡設計，這層主要培養學生整體網絡設計和構建的能力。

通過實踐環節三個層次的劃分，把理論和實踐相輔相承的功能完全體現出來了，又可以實現以才施教，培養創新人才的目的。

2.利用現代信息技術手段解決計算機網絡實踐教學環境缺乏的問題

針對以上實踐教學的三個層次，利用仿真技術、虛擬技術和真實設備來完成實踐教學實驗平臺的構建。

（1）利用仿真技術解決基礎理論實驗平臺

目前計算機網絡的仿真手段和方法有多種，但目前比較流行的是開源的Sniffer、 Ethreal。還有某些廠家生產的專用網絡仿真實驗平臺，例如吉林中軟的計算機網絡仿真系統。

Sinffer和Ethreal軟件可以全面地仿真和監視網絡協議數據，使網絡行為透明化，可以達到網絡協議、數據分析的目的，吉林中軟的系統同時還可以編輯和發送網絡協議包，分析網絡協議原理，協助網絡程序的編寫和調試。覆蓋了以TCP/IP為主的多種常見網絡協議，對于一些較新的，如CIFS等協議也有所涉及。在實驗過程中學生通過手動進行幀的編輯、IP報文的編輯，解決了學生對計算機網絡基礎抽象內容的理解，強化了對計算機網絡數據流向的認識，從而把一門抽象的課程可視化。通過對網絡狀況的監控和對網絡故障的仿真，學生對網絡流量控制、網絡故障發生的抽象原理的具體實現有了感性認識。實驗方式以綜合設計型為主，同時結合一些驗證性內容，強調學生的實際動手能力和分析問題解決問題能力[2]。

通過在實驗中采用計算機仿真技術很大程度上解決了計算機網絡及理論教學的抽象性問題，真正達到了實踐教學和理論教學的相輔相成的目的。

（2）利用虛擬機技術建立基本網絡管理和應用設計實驗平臺

一是計算機網絡配置虛擬機的使用。計算機網絡實踐課程中，有一個很重要的內容就是網絡互聯設備的使用，如交換機、路由器等。但是要建設一個30人的網絡配置實驗室（5組，每組2臺路由器、2臺3層交換機、2臺二層交換機和6臺計算機）至少需要30萬元，但許多學校由于經費有限，只能購買一到兩組設備，學生實訓時實行分組，幾個人一組，這樣由于臺套數不足導致實驗時間過長和設備終端接入數以及網絡設備配置的特殊性的原因，保證不了實訓效果，我們采用了計算機仿真的方法，由于Cisco的設備在應用中還是占據主流位置，在實訓時先讓學生在電腦上利用Cisco的CCNP軟件做虛擬實驗，然后輪流安排學生到實際的網絡設備上進行操作。該軟件先根據網絡拓撲結構設計出網絡，然后對該網絡中的設備進行配置。通過使用該軟件可使學生掌握每一種路由器模式下的各條命令、路由器對網絡配置的作用和交換機的配置。這樣讓所有的學生學會相關設備的操作。通過虛實結合，有目的地讓學生在真實環境中進行操作，讓他們對相關設備或網絡環境有親身體會，印象深刻。

這樣，網絡課程的實踐教學環節就不僅局限在實驗室，學生可在業余時間進機房進行虛擬實驗，突破了時間空間的限制，使學生完全置身于開放的環境中進行學習，為學生提高實踐動手能力提供機會。

二是計算機網絡操作系統虛擬機的使用。由于實驗室條件的限制，很難做到多操作系統并存的網絡環境，為解決這個問題，采用Vmware虛擬機的虛擬網絡功能。虛擬網絡功能使學生可以通過設置來完成虛擬機之間、虛擬機與主機之間、虛擬機與主機所在網絡上的其他計算機之間的網絡連接，實現各種操作系統及網絡實驗，如系統的安裝、服務器配置實驗、網絡的組建等。具體使用Vmware進行模擬網絡實驗的過程可以參考文獻[3]。此外也可以充分利用支持復雜網絡建模的Qualnet等。

3.依據現代信息技術的變化趨勢，更新實踐教學內容

在進行計算機網絡實踐內容設計時既要考慮專業特點、可操作性，又要考慮知識的更新，適應現代信息技術的發展。具體包括如下內容：

一是計算機網絡基礎知識實驗內容。這部分內容主要是為強化基礎理論知識而設計的，包括對數據鏈路層、網絡層和傳輸層的典型協議的分析實驗，還包括對計算機網絡環境的監測和故障診斷等內容。

二是基本網絡管理和應用設計內容。這層側重培養學生的組建網絡，服務器、交換機、路由器的配置等實際技能，包括：計算機網絡工程、簡單局域網的組建、網絡操作系統的配置與管理；網絡的設置與管理；網絡數據庫的安裝調試、數據庫的管理。

三是大型網絡設計內容。這部分內容根據當年的計算機網絡技術的發展進行布置，以適應網絡發展的趨勢。

4.改革課程考核方式，激發學生的學習興趣

整合網絡應用技術考核系統，利用實驗室現有的硬件和軟件資源，模擬企業網絡應用系統。綜合各種網絡技術的獨立考核系統。考核目的是運用已經學習過和部分未學習的計算機網絡技術，獨立地解決模擬企業應用中的計算機網絡應用體系的實際問題，鍛煉學生的獨立思考、解決問題的手段和實戰技能。

考核任務形式以小組為單位，每組4～5人，小組成員協同工作，在指定的時間內完成指定的任務并講解技術要點。經過對學生進行多次綜合實踐考核驗證，取得了預期的教學效果，不僅鍛煉了學生的獨立思考、設計、創新能力，也提高了學生解決問題的技能，增強了網絡應用方面的知識。

5.解決非計算機專業計算機網絡任課教師缺乏實踐經驗的問題

教師是進行知識傳授的主體，教師的能力和閱歷影響實際的教學效果，為提高任課教師的實踐能力，積極采取措施，讓教師參與校園網和其他的網絡建設，提高教師設對規模網絡組建、管理的能力，對大型網絡形態和網絡設備的感性認識，保證實踐教學高質量的完成。

結束語

以上是本文對計算機網絡實踐教學方法的一些改革設想和實踐總結，在東北林業大學電子信息工程系的計算機網絡實踐教學中已經取得了一定的效果，激發了學生對實驗的興趣和求知欲，鞏固了課堂知識，促進了學生對課外知識的獲取，拓寬了知識面，培養學生的創新能力、分析問題和解決問題的能力。

參考文獻：

[1]劉彥寶.計算機網絡課程教學改革與實踐[J].黑龍江高教研究，2006（2）.

第5篇：計算機網絡流量控制范文

關鍵詞：擴展訪問控制列表；校園網絡；配置；應用

中圖分類號：TP393.18

1 擴展訪問控制列表介紹

1.1 什么是擴展訪問控制列表

訪問控制列表（Access Control List，簡稱ACL）是一種數據包控制技術，能夠起到防火墻的作用，目前廣泛應用于三層交換機和路由器等網絡設備，通過配置訪問規則并在接口上應用，然后讀取數據包中的部分信息，能夠有效地控制數據包的通過，實現控制目的。根據數據包通過時的判斷依據的不同，分為三種類型，分別為：標準訪問控制列表；擴展訪問控制列表；基于時間的訪問控制列表。

1.2 擴展訪問控制列表的作用

通過在路由器或三層交換機上配置并應用擴展訪問控制列表，可以避免網絡遭受攻擊，進行網絡流量的控制，提高網絡性能，具體有以下兩方面的作用。

（1）網絡安全控制

通過預先在網絡設備上編寫并應用訪問規則，當數據包通過網絡設備時進行控制，若符合規則可以通過，否則不能通過，以此來控制非法數據包的進入，保護網絡的安全。

（2）限制網絡流量，提高網絡性能

通過建立訪問規則能夠來限制大量無用的數據包通過，減少網上數據包的數量，實現網絡訪問流量的控制，大大提高帶寬的利用率。

1.3 擴展訪問控制列表的工作過程

當路由器收到一個數據包時，根據數據包中的源IP地址、目的IP地址、協議及端口號等信息從訪問控制列表中自上而下檢查控制語句，如果檢查到與一條deny語句相匹配，則該數據包被丟棄；如果檢查到最后一條語句后還沒有找到匹配的語句，那么也會將數據包丟棄；如果檢查到與一條permit語句相匹配，則允許該數據包通過，那么路由器會讀取其中的目的網絡地址，查詢路由信息，向對應的端口發送。

2 擴展訪問控制列表的配置

擴展訪問控制列表可以應用在不同的網絡設備上，如三層交換機、路由器等，但它們起到的作用是完全一樣的，如果是應用在路由器上，那么通常用編號來表示，稱之為編號擴展訪問控制列表；如果是應用在三層交換機，那么通常用字符串來表示，稱之為命名擴展訪問控制列表。

無論哪種訪問控制列表的配置都分為兩步：第一步是編寫訪問規則，編寫訪問規則是分析需求，弄清允許哪些數據包訪問什么目標，禁止哪些數據包訪問什么目標，然后根據數據包的源IP地址、目的IP地址、協議及端口號編寫相關規則。第二步是在接口上應用規則，分析數據流的方向，找到一個最合適的控制位置，并在該位置上應用訪問規則。

3 擴展訪問控制列表在校園網中的應用

一個校園網一般包含WEB、FTP、數據庫和DNS等多種服務器，在此以一個簡單的校園網為例，對擴展訪問控制列表在校園網絡的應用進行說明。

案例：某學校校園網絡拓撲結構如下圖所示，網絡中有一臺Cisco3570交換機，一臺WEB服務器（10.1.3.1/24）、一臺FTP服務器（10.1.3.2/24）和一臺Cisco2811路由器，路由器的F0/0接口連接內網，S0/0鏈接外網，校園網內部使用了VLAN技術，按照不同的功能分為3個VLAN，其中VLAN 10為辦公網，VLAN20為學生網，VLAN30為服務，要求學生不能夠訪問外網，但能夠訪問WEB和FTP服務，教師能夠訪問外網、WEB、FTP，外網的主機可以訪問WEB服務器。

4 擴展訪問控制列表的局限性

由于訪問控制列表是通過對數據包的嚴格判斷來決定是否允許通過的，判斷數據包時只根據包中的源IP地址、目的IP地址、源端口、目的端口、協議等信息，而不考慮到底是哪類用戶，有沒有相應的想要，因此存在較大的局限性，需要和其它的一些控制手術結合使用，才能達到更佳效果。

5 結束語

擴展訪問控制列表的配置較為簡單，不需要額外的網絡設備，運行成本低，并且在一定程度上保護了校園網絡免受外界的攻擊，同時，也起到了流量控制的作用。目前在校園網中應用非常廣泛。

參考文獻：

[1]劉曉軍.局域網組網技術大全[M].北京：人民郵電出版社，2010.

第6篇：計算機網絡流量控制范文

【關鍵詞】信息網絡 發展歷程 衛星通信 多網融合

黃河水文信息是黃河防汛抗旱指揮決策的耳目和參謀，是流域水資源保護、開發、利用、管理以及水工程規劃、設計、施工、運行調度的依據，是流域經濟和社會發展的重要基礎工作。多年來水文系統十分重視水文信息網絡系統的建設，并在防汛工作中發揮了重要作用。

一、發展歷史

在計算機網絡信息建設方面，水文系統從八十年代末以DEC小型機為依托，構建了最初的多終端用戶系統，該系統主要為水文測驗整編提供服務，隨著計算機日新月異的發展，在原有的多終端用戶的基礎上又逐步建立了局機關內部的DECNET網絡，實現了水情、測驗信息的局域共享和遠距離部分信息的傳輸。其真正發展得益于近十年黃河信息化項目的實施。目前水文信息網絡系統覆蓋了全河六大基層區域、十個水文分中心及重點水文站，實現了水文信息傳輸、水文、氣象異地多媒體會商、水情信息查詢及會商系統、水文信息數據分中心數據存儲等功能。

二、黃河水文信息網絡的特點

（一）基層單位分布廣闊，各地網絡條件差異較大。黃河水文系統分為水文中心節點、基層節點和水文測站節點，水文節點遍布黃河流域9個省區，各級監測測驗站點數百個。各區域網絡條件差異巨大，存在公網覆蓋不全、運營商服務區域交疊，分布極度不均等問題。

（二）位置偏僻，一線基層單位普遍位于遠離城鎮的黃河防汛前沿，很多處于公網覆蓋難以到達地區。尤其防汛重點關注的黃河中上游地區站點多位于偏遠山區，公網運營商覆蓋范圍有限，自有網絡建設難度較大，信息需求與資源分布存在較大差異性。

（三）水文信息業務對網絡的要求高，對信息傳輸的時效性、安全性都有很高的要求。

三、網絡建設現狀及網絡應用

（一）網絡建設現狀

1.在局域網建設方面，水文信息中心局域網采用雙星型拓撲結構，關鍵網絡線路、設備均冗余配備，組成安全快速的全交換網絡，速度達到骨干千兆，桌面百兆。六個水文水資源局局域網均為TCP/IP網絡，主干連接為1000MB，桌面連接方式為IEEE802.3星形連接，10/100MB自適應。

2.廣域網絡建設方面，水文信息計算機網絡系統由三級網絡組成。第一級為水文中心機關業務網，水文中心機關業務網通過光纖環網接入黃委核心業務專網，與水利部及黃委各單位進行網絡通信。第二級為各基層局網絡，第一二級網絡連通采用主要線路快速專線網絡，備用線路公網VPN線路的主備式信道連接方式。第三級網絡為各基層局下屬勘測局網絡，二三級網絡主要采用公網VPN隧道的方式連通。與主干網采用路由結構互聯，遵循靜態路由協議，與一線測站采用PSTN/GSM/衛星信道的方式進行通信。

（二）主要承載應用

目前通過計算機信息網絡已經由建設初期作為水情信息報訊通道的單一功能發展為多個子業務系統的多業務網絡，各子系統功能如下：1.水情信息交換系統；2.語音通話支持系統；3.多功能的信息應用服務系統；4.水文、氣象異地多媒體會商系統；5.水文數據中心數據存儲系統

四、存在的主要問題

（一）廣域網深度和廣度有限：水文網絡承載的業務在不斷升級，對網絡帶寬和覆蓋提出了更高的需求。主干網絡與六個基層局主干網絡連接信道為SDH，帶寬受限。（二）基層網絡條件薄弱，部分網段易受惡劣天氣影響：水文系統部分基層測站還沒有聯通互聯網絡，已經聯通的站點大多采用公共互聯網信道和無線上網方式，帶寬低，通信質量不穩定，部分地區由于地處偏遠，通信信號差，遇到大風強降雨天氣，影響正常汛情信息傳輸質量。（三）聯網方式繁多，不易管理：為保障網絡的通暢性，黃河水文信息網絡采用了SDH＼VPN＼PSTN＼GSM等多種通信技術，造成網絡結構繁雜，管理難度較高。（四）網絡帶寬資源時間空間分布不均：水文信息業務具有時間空間不確定性強、網絡需求突發性增長的特點，各應用業務也有不同的時效性要求，而現有的廣域網資源無法滿足所有業務最大化并發的需求。

五、發展規劃

（一）進一步擴展延伸水文信息網絡基礎

應用最新的網絡技術使標準化的網絡環境擴展到勘測局水文站一級，完善整個水文網絡體系。提升廣域網帶寬滿足新業務發展的需要。

（二）融合水利衛星通信技術建設高可靠性冗余廣域網絡

衛星通信具有覆蓋范圍廣、組網靈活、抗毀能力強等優點。新一代水利衛星通信平臺擁有Ku波段有22.2MHz，C波段有5MHz，增加了抗雨衰能力強的C波段資源。在基層測站建設基于水利衛星通信平臺的衛星小站，配套相應設備，可滿足電話、水情數據傳輸、VPN數據交換、Internet接入、云圖接收、圖像傳輸等多種業務的需要。與上級站點的信息傳輸既可通過防汛通信衛星網實現，也可通過防汛通信衛星網傳輸到衛星主站，再接入現有的SDH專網實現。

（三）多網融合，統一管理，充分利用網絡資源

對于水文信息網絡，應用多網融合技術的挑戰是：一是包含在水文信息交換應用中的各種應用子系統要基本上完成數據信息的管理和融合；二是要實現各種子系統的插口和地址的接入融合。需要運用多網融合技術將水文信息傳輸中的多種技術通道和業務形式真正融合貫通，并實現IP協議的統一接入，對因特網、移動通信網絡、固定電話通信網絡實現統一處理，實現提供包括語音、數據和多媒體等各種業務的綜合開放的網絡構架。

（四）應用流量控制技術，建設可靠可控可管的下一代水文信息網絡

MPLS經過近幾年的發展，已經逐步從傳統路由器衍生的數據轉換手段轉變成為以互聯網為控制平臺的流量工程控制技術方式，在網絡流量工程中突破了廣播性能和鏈路的約束。

參考文獻：

第7篇：計算機網絡流量控制范文

關鍵詞 風機遠程控制監控監測

中圖分類號：TH43文獻標識碼： A

前言

風機是礦井關鍵設備之一。礦用風機的作用是將井下瓦斯、炮煙、粉塵、污風及車輛尾氣等各種有害氣體從井下排出，使其濃度降低到無害于人體的程度，保證安全生產。同時把地面的新鮮空氣送到井下供人們呼吸，降低井下溫度，創造良好的工作條件。新疆阿舍勒銅業公司有限公司井深達1200多米，現有兩臺礦用對旋式軸流風機作為主通風機，南風井風機為FCDZ-12-N0 232×132Kw，采用軟啟動啟停，負責上采區通風；北風井為DK-8- N0 40, 2×710Kw，采用中壓變頻器，負責下采區通風。以前風機的啟停控制及電壓、電流、溫度、風壓及風速等檢查記錄，都需要到現場，冬季積雪有時達一米多厚，給人工現場操作帶來較大困難。為提高風機的可靠性、安全性及自動化程度，減少人工降低成本，所以設計了一套風機遠程在線監控系統，在遠程調度室實現各種風機的性能、工況參數在線監測，風機的啟停臺數及頻率調節以控制風量，并通過視頻監控系統隨時查看風機周圍環境，達到無人值守的目的。

1.風機遠程在線監控系統的總體分析

1.1采用SIEMENS S7-300可編程控制器對風機的風壓、風速、電機電壓、電流、溫度、頻率等參數進行實時監測，并將所需的風機工作狀態參數實時，通過上位機WinCC 組態軟件風機遠程監控平臺的人機界面遠程實時顯示。同時根據故障診斷模塊的診斷結果，對壓風機故障遠程人機界面進行顯示和報警，并觸發必要的控制操作。

1.2在基于WinCC 組態技術的壓風機遠程監控平臺上，開發壓風機遠程控制面板人機界面。操作人員在遠程人機界面直接修改數據或發送指令，并通過PROFINET 和工業以太網將控制數據發至下位PLC，實現壓風機的遠程控制。

1.3視頻監控系統利用風機現場的兩臺安裝在電動云臺上高清晰度攝像機，在遠程調度室隨時通過控制云臺上、下、左、右旋轉調整控制鏡頭的變倍、變焦，監視風機出風口及周圍自然環境等。

2.風機遠程監控系統硬件組成及結構

基于 S7-300 PLC 的風機遠程在線監控系統是一個復雜的、多功能的和多技術集成的監控系統，主要功能有風機的就地控制與遠程控制、風機工況參數的實時采集和分析、風機工況數據的實時遠程傳輸、風機工礦參數遠程組態監測和壓風機故障診斷。根據風機監控系統的功能要求和技術指標，風機遠程在線監控平臺在人機界面層中，包含壓風機工況參數組態監測平臺和壓風機遠程控制平臺兩部分。系統使用PROFINET 現場總線進行組網，屬于現場總線控制系統，各部分具體結構如下所述。

2.1前端檢測設備包括風機電機的電壓傳感器、電流傳感器及溫度傳感器；風機的風壓傳感器和風速傳感器、風機頻率等各模擬量信號的采集；傳感器輸出信號為4～20mA 的電流信號。風機故障及啟停狀態等數字量信號。

2.2 S7-300PLC對各監測點傳感器實時監測傳輸的信號進行計算分析集中處理，并判斷是否滿足報警和停機條件，從而執行相應的報警和停機等開關量控制。

2.3遠程上位機組態軟件構成的人機交互系統根據S7-300PLC 中保存的風機運行數據，對壓風機工作狀況、歷史記錄、報警信息等進行顯示。同時還可以對系統運行過程中的參數修改設置，人機界面增加了用戶登錄和密碼修改，根據用戶使用權限大小設置三個級別用戶，一般用戶只能查看風機工作狀況及參數、歷史記錄、報警信息等；操作員用戶可以操作風機啟停、風機頻率設定等；管理員用戶可以增加刪除用戶及修改密碼的操作。人機界面風機操作控制信號傳輸到S7-300PLC,經過計算分析處理，控制風機啟停及變頻器頻率等。

2.4通信通過RS485總線方式，進行光轉換后通過光纖傳輸。

2.5風機視頻監控系統。此風機遠程監控系統采用視頻監控系統是基于最為廣泛使用的TCP/IP協議基礎上，通過現場攝像實時拍攝及數據傳輸系統的穩定傳輸，在主控制機能高清晰，直觀觀察風機運行情況。實現本地及網絡遠程監視功能，支持人體工學輸入控制系統，通過云臺/鏡頭的控制，實現現場周邊環境多角度、大范圍的視頻監控；實現視頻報警及與數據監控聯動報警，以使操作員能及時發現問題。系統功能包括：本地及網絡遠程監視功能、云臺/鏡頭控制、視頻報警及與數據監控聯動報警、自動錄像和回放工作日志等。

2.5.1視頻采集設備：紅外可調焦防水ICR日夜型筒型網絡攝像機，最高分辨率可達3M(2048×1536),可輸出Full HD 1080p實時圖像； ICR紅外濾片式自動切換,實現真正的日夜監控；支持雙碼流,支持手機監控。

2.5.2視頻存儲控制設備：NVR（Net Video Recoder）支持500W像素高清網絡視頻的預覽、VGA輸出分辨率最高均可達1920x1080p、支持網絡檢測（網絡流量監控、網絡抓包、網絡通暢）功能。

2.5.3信號傳輸設備：千兆單模單機收發器（HTB-4100A/B-20） 具有 10M/100/1000M 自適應能力； 全雙工 / 半雙工工作模式；支持IEEE802.3X 全雙工流量控制和半雙工背壓流量控制；支持最大 1916 Bytes 數據；

2.5.4監測監控顯示設備：2*2拼接單元（海康威視DS-D2046NL）及多屏控制器（海康威視DS-6416HD-S）顯示分辨率1366×768

具有完善的音視頻處理能力，支持最高500W（2560*1920）網絡視頻解碼。

2.5.5視頻監控系統防雷措施

采用視頻監控系統三合一防雷器 ：雷擊限制電壓（視頻）：11V；雷擊保護電流：15KA（8/20us）；雷擊保護電壓：10KV（10/700us）；防護響應時間：1ns。采用以太網防雷器：10M/100M/1000M自適應以太網防雷器，保護容量：5000A,10/700us ,4000V；反向漏電流：

第8篇：計算機網絡流量控制范文

關鍵詞：校園網；PPPOE技術；VPN技術

中圖分類號：TP393

1 學校網絡現狀

我校在擴招與合并之前，學校的互聯網入口在校友樓的2層網絡中心，校內分兩個局域網，一個是專門考勤的局域網，主要是師生考勤，飯堂刷卡與超市消費的專網。另一個是校園辦公的局域網，平時主要是提供辦公室對外辦公、特定專業教室教師上課獲取互聯網資源（如：電子商務、計算機網絡、多媒體動漫等），校內教師宿舍上網以及學校視頻監控承載網絡。網絡結構簡單，在師生規模較小的情況下，基本滿足需求。可隨著兩校合并后，主校區辦學規模的擴展，專業科目增加、師生人數增多以及越來越多專業從粉筆黑板教學模式漸漸演變為電腦多媒體教學，需要對每個教室安裝網絡接入，可隨之而來的問題也相繼產生，由于管理人員不足，部分學生在教室私自加裝無線路由、無線交換機，形成IP地址沖突、ARP病毒感染、各種各樣的木馬傳播至整個網絡，嚴重影響校園網的正常運作。為了增加安全性，必須對網絡接入進行身份驗證，隔絕非法用戶獲取校園網絡資源，同時，為了滿足分校區對主校區OA辦公系統的訪問，在資金有限的情況下，如何實現安全遠程接入服務。服務器設備方面，我校使用騰達OA辦公系統，是一臺老款塔式服務器，只提供校內信息公告，校內郵箱服務與校內新聞三個模塊，而合并后為了兩個校區的信息得到共享，提高信息化進程，實現數字化辦公，我校希望通過OA系統實現兩校區網上公文審批與學生信息注冊。為解決上述問題，需要對結構單一、設備陳舊的校園網進行改造。

2 校園網分析與技術探討

2.1 以太網上的點對點協議（Point-to-Point Protocol over Ethernet 簡稱PPPoE）

以太網上的點對點協議是將點對點協議（PPP）封裝在以太網（Ethernet）中的一種網絡隧道協議。由于集成了PPP協議，所以實現了傳統以太網不能提供的身份驗證、加密、計費與控制等功能。極高的性價比使PPPoE在現實中得到廣泛采用。PPPoE協議的工作流程包含發現和會話兩個階段，發現階段是無狀態的，目的是獲得PPPoE終結端的以太網MAC地址，并建立一個唯一的PPPoE SESSION-ID。發現階段結束后，就進入標準的PPP會話階段。

發現階段：由于傳統的PPP連接是創建在串行鏈路或撥號時創建的ATM虛電路連接上的，所有的PPP幀都可以確保通過電纜到達對端。以太網是多路訪問鏈路，為實現每一個節點相互訪問，以太幀包含目的節點的物理地址（MAC地址），因此，為了在以太網上創建連接而交換PPP控制報文之前，兩個端點都必須知道對端的MAC地址，這樣才可以在控制報文中攜帶MAC地址。PPPoE發現階段做的就是這件事。

PPP會話階段：用戶主機與接入服務器根據在發現階段所協商的PPP會話連接參數進行PPP會話。一旦PPPoE會話開始，PPP數據就可以以任何其他的PPP封裝形式發送。所有的以太網幀都是單播的，身份驗證是發生在會話階段的，PPPoE會話的SESSION-ID一定不能改變，并且必須是發現階段分配的值。PPPoE還有一個PADT分組，它可以在會話建立后的任何時候發送，來終止PPPoE會話，也就是會話釋放。它可以由主機或者接入服務器發送。當對方接收到一個PADT分組，就不再允許使用這個會話來發送PPP業務。PADT分組不需要任何標簽，其CODE字段值為0×a7，SESSION-ID字段值為需要終止的PPP會話的會話標識號碼。在發送或接收PADT后，即使正常的PPP終止分組也不必發送。PPP對端應該使用PPP協議自身來終止PPPoE會話，但是當PPP不能使用時，可以使用PADT。

2.2 虛擬專用網絡（Virtual Private Network ，簡稱VPN）

虛擬專用網絡是公用網絡上建立虛擬專用網絡的技術。之所以稱為虛擬專網，主要是VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是承載于公用網絡運營商所提供的網絡之上，如Internet、ATM（異步傳輸模式〉、Frame Relay （幀中繼）等邏輯網絡之上。且實現隧道技術、加密技術、密鑰交換技術和身份驗證技術的專用網絡。

虛擬專用網絡的優勢：

（1）較低的使用成本――通過公用網絡建立VPN，可以大量節省為租用專線所需的通信費用。

（2）可靠的數據傳輸――虛擬專用網使用隧道技術、加密技術、密鑰交換技術、身份驗證技術，保證網絡安全。

（3）靈活的接入訪問――對于全球各地出差的企業員工，實現簡單方便的遠程接入訪問。

（4）網絡的可管理性――管理員可對遠程撥號訪問的用戶進行訪問權限、網絡帶寬、撥入時段等內容的管理，對于大型的內部網絡也可以建立虛擬專用網。

實現虛擬專用網絡常用的三種方式：

（1）軟件VPN，通過專用的軟件，在服務器上安裝來實現VPN。

（2）硬件VPN，可以通過專用的硬件來實現VPN。

（3）集成VPN，很多的硬件設備，如路由器，防火墻等等，都含有VPN功能，但是一般擁有VPN功能的硬件設備通常都比沒有這一功能的要貴。

3 校園網改造方案

基于以上對校園網的分析，在資金有限的情況下，我選擇使用帶VPN功能和PPPoE功能于一體的服務器，為所有我校教工統一實現撥號接入驗證，一個賬號兩種功能，主校區內使用PPPoE撥號，校外及分校區使用VPN撥號，撥號賬號為手機號碼，為保證賬號安全，密碼規定為8位以上并由三種不同字符組成。為統一兩校區的公文審批與實現學生學籍信息注冊、提高信息化進程、實現數字化辦公的需求，需要購買兩個新的OA模塊，分別為公文管理模塊和學生信息模塊實現公文審批和學生信息注冊功能。服務器設備方面，因業務處理數據增大、OA功能模塊的增加，將老款塔式服務器更換為機架式的聯想萬全R520 G7服務器，內存增加到4G，硬盤增加到4個，使用動態磁盤實現rain01以保障數據安全，并且使用SQL2005自動備份OA系統數據庫。為了確保師生與學校財產安全，我校為多個地點添加帶硬盤存儲的網絡攝像頭，分別在辦公樓增加2個，教學樓增加4個，新建成的寵物醫院實驗室增加8個。另外因校門口電視墻需實時觀看監控視頻，為控制網絡流量把網絡攝像頭改為模擬攝像頭，通過視頻線連接校門保安室錄像機。

4 總結與不足

在有限的資金內，校園網改造完成后，學校信息化得到提高，可用性、可靠性得到增強，實現了校內校外一體化辦公，兩校區的公文審批、制度的執行、信息的得到統一。OA服務器更換后，良好的性能，較快響應時間，基本滿足學校辦公的要求，主校區內實行了PPPoE撥號上網后，學生被拒絕接入網絡，ARP病毒與木馬都得到控制，校園網能夠正常的運作。監控攝像頭增加了掛載硬盤，平時也只有校門口處攝像頭通過電視墻實時監控，只有突況下才遠程調用，對校園網的帶寬壓力不大。改造完成后學校校園網絡基本滿足當前辦公需求。

不足之處是，教室私接無線路由器的情況依然存在，主要原因是部分教師賬號保護意識不強，應對策略是加強教師安全意識培訓、限制教師賬號的帶寬、加強對學生的監管等達到降低對校園網的影響。另外學校網絡、服務器存在單點故障等不足，會在資金允許情況下進行升級改造。

參考文獻：

[1]黃斌.淺談校園網流量控制策略[J].計算機光盤軟件與應用，2013，8.

[2]黃志.和試析校園網安全系統的設計及應用[J].計算機光盤軟件與應用，2013.

[3]蒙軍全.關于計算機網絡安全技術的探討[J].城市建設理論研究，2012，8.

第9篇：計算機網絡流量控制范文

關鍵詞:Winpcap; 流媒體; RTP/RTCP; P2P

中圖分類號:TN919 文獻標識碼:A

文章編號:1004-373X(2010)11-0108-03

Study and Implementation of Network Streaming Media Recognition Algorithm

Based on Winpcap

SONG Xue1, CAI Yi-bing2, JIN Wei-xin2, WANG Meng2

(1. College of Communication Engineering, PLA University of Science and Technology, Nanjing 210007, China; 2. DECSEC, Beijing 100141, China)

Abstract: The discovery of network streaming media is the premise and foundation of network flow media service quality monitoring. The network flow media transport protocol is analyzed. A Winpcap-based network streaming media recognition algorithm is proposed according to the result of the protocol analysis. The test proves that the algorithm can effectively identify the streaming media.

Keywords: Winpcap; streaming media; RTP/RTCP; P2P

0 引 言

隨著計算機網絡、視頻壓縮等關鍵技術的快速發展,網絡流媒體技術目前已成為繼文字和圖片之后,互聯網信息傳播的主要形式。通過網絡流媒體技術,用戶可以方便地存取、查閱和播放網絡上的流媒體數據。如何從海量的網絡數據中快速發現流媒體數據,是進行網絡視頻服務質量監測、網絡流量統計、網絡視頻用戶行為分析及視頻內容監管等服務的前提和基礎。

網絡流媒體服務為應用層服務,其數據傳輸主要采用專有應用層協議RTP/RTCP[1]。因此,對網絡視頻數據流的發現首先是識別應用層協議。針對應用層協議的識別,文獻[2]提出了一種以協議中出現頻率最高的字段作為特征串來識別協議的方法,且采用一個特征串來標識一種協議。文獻[3]提出了基于簽名字串的方法來識別應用層協議,其主要針對的是P2P協議的范圍,且需要對整個報文通過匹配多個特征串來識別一種P2P協議,時間效率偏低。文獻[4]提出了基于先分類后分組的識別應用層協議及流量的方法,但此方法的本質還是基于某些固定端口的,若對于通過隨機選擇端口而實現的應用層協議,此方法就缺乏準確性和靈活性。

本文通過分析網絡流媒體交互過程的特征,以應用層傳輸協議對應的關鍵特征字串為判斷依據,設計了一種基于Winpcap的網絡視頻流識別算法,實現了對網絡流媒體的發現,并通過實驗對本文設計的算法性能進行了分析和驗證。

1 Winpcap簡介

Winpcap是由伯克利分組捕獲庫派生而來的分組捕獲庫,它在Windows 操作平臺上實現對底層包的截取過濾。

Winpcap是BPF模型和Libpcap函數庫在Windows平臺下網絡數據包捕獲和網絡狀態分析的一種體系結構,這個體系結構是由一個核心的包過濾驅動程序,一個底層的動態連接庫Packet.dll 和一個高層的獨立于系統的函數庫Libpcap組成。底層的包捕獲驅動程序實際為一個協議網絡驅動程序,通過對NDIS中函數的調用為Windows 95/98/NT/2000提供一類似于 UNIX 系統下Berkeley Packet Filter的捕獲和發送原始數據包的能力。 Packet.dll 是對這個 BPF 驅動程序進行訪問的 API 接口,同時它有一套符合 Libpcap 接口(UNIX 下的捕獲函數庫)的函數庫[5]。

Winpcap包括三部分:第一個模塊NPF(Netgroup Packet Filter),是一個虛擬設備驅動程序文件。它的功能是過濾數據包,并把這些數據包原封不動地傳給用戶態模塊,這個過程中包括了一些操作系統特有的代碼。第二個模塊Packet.dll為Win32平臺提供了一個公共的接口。不同版本的Windows系統都有自己的內核模塊和用戶層模塊。Packet.dll用于解決這些不同。調用Packet.dll的程序可以運行在不同版本的Windows平臺上,而無需重新編譯。 第三個模塊Wpcap.dll是不依賴于操作系統的,它提供了更加高層、抽象的函數。

Winpcap提供了一套標準的編程接口,與libpcap兼容,可使得原來許多UNIX平臺下的網絡分析工具快速移植過來便于開發各種網絡分析工具,充分考慮了各種性能和效率的優化,包括對于NPF內核層次上的過濾器支持,支持內核態的統計模式,提供了發送數據包的能力。

2 應用層協議RTP/RTCP

RTP/RTCP是一種應用型的傳輸層協議,它沒有連接的概念,既可以建立在面向連接的底層協議上,又可以建立在面向無連接的底層協議上,因此RTP對傳輸層是獨立的。由于網絡流媒體的傳輸實時性要求較高,UDP的傳輸延時低于TCP,能與音頻和視頻流很好地匹配,所以,在實際應用中,RTP/RTCP/UDP是流媒體傳輸的主要協議[6],其結構如圖1所示。

圖1 網絡流媒體數據包結構

MAC headerIP headerUDP headerRTP header流媒體數據

圖1 網絡流媒體數據包結構

實時傳輸協議RTP是為實時數據提供端到端傳遞服務的協議,能夠傳遞時間信息和實現流同步。但RTP本身并不能為按順序傳送數據包提供可靠的傳輸機制,也不提供流量控制或擁塞控制,它依靠RTP控制協議RTCP配合實現控制服務。在RTP會話期間,各參與者周期性地交互RTCP包,RTCP包中含有己發送的數據包的數量、丟失的數據包的數量等統計資料,會話方可以利用這些信息動態地改變傳輸速率,甚至改變有效型。RTP數據包結構如圖2所示[7]。

圖2 RTP數據包結構圖

從圖2可以看出,RTP數據包由12個字節的固定RTP頭和不定長的連續多媒體數據組成,其中的多媒體數據可以是壓縮后數據。

其中比較重要的幾個域及其意義如下:

版本(V):2 b,此域定義了RTP的版本,此協議定義的版本是2。

填料(P):1 b,填料可能用于某些具有固定長度的加密算法,或者在底層數據單元中傳輸多個RTP包。

擴展(X):1 b,若設置擴展比特,表示固定頭(僅)后面跟隨一個頭擴展。

CSRC計數(CC):4 b,CSRC計數包含了跟在固定頭后面CSRC識別符的數目。

標志(M):1 b,標志用來允許在比特流中標記重要的事件,如幀范圍。

負載類型(PT):7 b,此域定義了負載的格式,由具體應用決定其解釋。協議可以規定負載類型碼和負載格式之間一個默認的匹配。其他的負載類型碼可以通過非RTP方法動態定義,RTP發射機在任意給定時間發出一個單獨的RTP負載類型。

序列號(SN):16 b,每發送一個RTP數據包,序列號加一,接收機可以據此檢測丟包和重建包。序列號的初始值是隨機的。

時間標志:32 b,時間標志反映了RTP數據包中第一個比特的抽樣瞬間。時間標志的起始值是隨機的。

SSRC:32 b,SSRC域用以識別同步源。標識符被隨機生成,以使在同一個RTP會話期中沒有任何兩個同步源有相同的SSRC識別符。

CSRC列表:0~15項,每項32 b。CSRC列表識別在此包中負載的有貢獻源。識別符的數目在CC域中給定[8]。

通過對RTP協議的分析,總結出以下幾條“流特征”:

(1) UDP負荷頭兩個比特是0x10(RTP的版本號是2)。

(2) RTP流負載類型PT值保持不變。即同一流媒體數據包RTP頭的9～15 b的值保持不變。

(3) RTP流的SN值為遞增。

(4) RTP包的SSRC值為定值,同一流媒體數據各包的SSRC值保持不變。

3 算法實現

首先通過Winpcap過濾器[9]對數據包進行捕獲,識別其中的握手數據包,然后分析呼叫信令的內容,獲取傳輸流媒體的源、目的地址和端口號,再通知給過濾器針對該源、目的地址和端口號進行數據捕捉;識別其中的UDP數據包進行分析,根據“流特征”進行分析,確定所要捕捉的RTP數據流。

采用以上4條作為判斷RTP流量的必要條件,當對每一個UDP數據流,如能連續檢出4個包符合上述策略,則認定其滿足為RTP數據流的充分條件。

經過大量實際數據的測試,該算法可以有效識別網絡流媒體。

4 結 語

在分析網絡流媒體傳輸協議的基礎上,利用Winpcap實現了一個網絡流媒體識別算法。 經試驗證明,該算法能夠有效識別流媒體,對網絡流媒體的應用具有積極的作用。

參考文獻

[1]吳永英,周淼,陳曉蘇.基于數據包分析的多媒體信息還原方法研究[J].華中科技大學學報:自然科學版,2007,35(9):101-103.

[2]陳亮,龔儉,徐選.基于特征串的應用層協議識別[J].計算機工程與應用,2006(24):16-19.

[3]SEN S, SPATSCHECK O, WANG D M. Accurate, scalable in-network identification of P2P traffic using application signatures[C]//Proceedings of the 13th International Conference on World Wide Web. New York: WWW, 2004:512-521.

[4]KIM Myung-Sup,WON Yong J, HONG Won-Ki. Application-lecel traffic monitoring and analysis on IP networks[J]. ETRI Journal, 2005,27(1):1-22.

[5]付強,左仁輝.基于Winpcap實現網絡監聽技術[J].電腦知識與技術,2008(13):25-28.

[6]李慧彬.基于QoS組播的RTP協議的研究與實現[D].太原:中北大學,2007.

[7]盛先剛.基于RTP的H.264視頻傳輸系統研究[D].西安:西安電子科技大學,2006.

[8]SCHULZRINNE Henning, CASNER S L, FREDERCK Ron, et al. RFC1889-RTP: A transport protocol for real-time applications[M]. Berlin: \, 2007.