【症状】
某新建大学网络中心希望网络学院帮助解决多媒体教学网络中的一揽子问题。
事情起因是这样的。黄先生最近接手负责某大学网络中心的工作,学校准备全面提升网络教学的档次,将去年完成的第一期网络工程试运行结果提交学校董事会讨论,进而确定这次的第二期工程的开工日期和投资计划。第二期工程主要是全面引进和扩大多媒体教学平台,启动学校半开放式公用数据平台的建设,所有学生在宿舍就可以实现多媒体教学的实时接收并与教师实现在线交流,随时接收公共课程的广播式播出和多媒体教学资料的在线阅读。
配用的应用软件允许最多可以同时打开6个图象传输通道。语音通道和文本资料的通道数不限制。每个学生宿舍配置了四个100Mbps以太网接口。教师新村(一、二村)的所有家庭均可以利用超五类线以太网链路实现节目点播。
现在一期工程遇到的问题是,试验阶段的许多用户最多只能打开3个图象通道,否则会出现图像停顿和“马赛克”现象,图象伴音也随之出现停顿。从学校的网管系统上观察,有不少链路经常出现拥塞,经过调整拓扑结构,情况有所好转,速度也有所提高,但从许多被访问的服务器上观察其资源利用率比较低(一般都在25%以下)。
也就是说,还可以承受一倍以上的用户访问量。一期工程当初设计的容量是可以同时为800个用户提供平均20Mbps的持续通道能力。从网上在线用户的实时调查表统计的结果是,实际用户支持能力只有10Mbps的持续通道能力或约300个20Mbps的通道能力。
结论:用户打开的图象应用窗口数量达不到设计要求。
由于急需提交一期工程试用报告,以便提供作为二期工程的投资计划参考数据。黄先生希望能通过测试对提高网络优化度有所帮助,至少应该达到设计的指标。以便对校董事会就网络管理的“优良状态”有个过得去的交代。
【诊断过程】
我们先使用网络拓扑专家软件绘制了一组网络拓扑结构图。第一期工程覆盖全校的网络用户共2000个,其中800授权个用户可以实现宽带多媒体访问。经过两天的连续监测,发现实际的网络拓扑结构图和一期工程设计竣工图结构差异很大,实际的宽带授权用户累计有1200个,为了限制访问权限和访问用户,一期工程设计的用户地址是固定分配的,有权用户使用密码和匹配的IP地址进行访问,但监测到的重复的IP地址就有近300个。
由于授权用户分散在校园内和园外新村的各个角落,其共享IP必然造成争用。用户抱怨出现马赛克现象多数在晚上,从链路通道流量监测记录看,此时有不少“新村”的用户在点播电影。观察“电影频道”的6个服务器,其资源利用率稍微偏高一些,但一般也在30%的资源利用率以下。
使用新绘制的、实际的、准确的网络拓扑图,我们重新设计了一份网络访问者有奖调查问卷,配合使用Fluke的网络听诊器NI、网络拓扑专家LamMapShot和流量测试仪,发现出现问题的地方都有如下规律:
一是有多个通道本身公共带宽比较窄,却挂接了超过总带宽的用户数量。这组用户在用户数量多时一般只能打开一个图象应用窗口。比较一期工程拓扑图,发现此类用户多是自行安装交换机和集线器接入网络的。而这些交换机和集线器并未经过网络中心批准或备案。这样会造成设计的拓扑结构和实际的拓扑结构差异。
我们知道,网络拓扑结构在设计时是根据当时的应用流量和兼顾今后一段时间内的带宽需求设计的。总的要求是要做到负荷均衡。未经批准的交换机等网络设备任意接入后会造成带宽分布的改变,造成某些部位出现拥塞或“瓶颈效应”。据黄先生将,部分“私接用户”在设备接入时是给网络中心打了招呼的,只不过网络中心人员变化比较大,也不经常检查和备份网络资料,所以网络中有多少实际用户以及网络真实的拓扑结构并不能随时掌握。
第二是许多授权用户讲人情,将自己的IP与本网段内的用户分享,这在“新村”中的授权用户比较普遍。不少用户自购集线器与要好的邻居共同享用宽带点播带来的乐趣。有的用户甚至还获得了免费访问多媒体教学网络的权利。经过检查还发现,有数条链路被连接到了校园地理区域以外的非法用户。可以不交学费就选听各科网络教学的最新课程。
针对“非法用户”过多的情况,建议黄先生采用新的一套用户访问登录验证机制,该机制只允许一个帐号同时登录使用一个用户。出现多个用户时先按设定的级别顺序查核是否合法的Mac地址、合法的IP地址。如果未限制MAC和IP地址,则只允许第一个登录者使用。如果第二个登录者才是真正的合法用户,那么他可以在线更改口令后切断已有用户的连接而转入正常连接。
没想到,如此的“试验”计划竟然引来一场风波。试验是安排在晚上进行的,刚开始10分钟,就在网络中心信箱和学校“BBS”上出现投诉和抗议信,而后是投诉电话和某位校领导的“诘问”,黄先生惊骇,没想见非法用户的威力竟是这样的“大”。不过,当时测得的用户数量大量减少,流量瓶颈有所缓解。试验测试只进行了一小时就匆匆结束了。
【诊断评点】
以太网由于其带宽大且成本低,采用综合布线比较容易达到随意构建网络连接、扩大网络用户规模的目的,所以网络拓扑结构在小范围应用设计上要求比较简单。随着网络应用的增多,大容量应用和高速网络用户的增多(比如多媒体在线教学、视频点播等),网络拓扑结构中流量通道狭窄的地方容易最先出现瓶颈效应。
网络管理和维护人员需要经常监测网络各层的流量,比如,观测IP流量可以知道流量的分布情况,以便确定网络结构是否需要做优化调整;观测应用流量可以确知造成IP通道拥塞的具体是那种应用在“捣乱”,以便合理配置各种应用的使用时间和场所。长时间的观测记录还可以为网络的升级改造提供非常有用的资料。也可以随时了解网络的实际工作状态是否处于异常或边沿状态。网管系统在此项管理中是比较有帮助的。
但当网络处于异常状态或联产连接终端时网管系统要么不能提供数据、要么提供的数据可能不准确。因为网管系统获取的多数数据是由被归理设备提供的。这是需要在一些异常节点和通道上用专用测试工具进行全线速在线监测,才能得出准确的数据报告。流量测试和分析工作需要列入定期的监测工作中才能为随时可能进行的网络优化工作提供精确数据。使网络始终保持在优良的性能状态。
对于划分了访问权限和访问区域的网络,除了对访问者的密码限制外,对上网的地点、上网的机器有时也需要限制。部分工作可以使用全线速的内部防火墙来实现,速度低的链路可以使用软件实现,但有些限制功能则需要配置网络设备如交换机、路由器来实现。不支持此类限制功能的网络设备是比较多的。这时就需要用专用网关或内部防火墙。但这些设备在高速应用时对通道的速度和延迟性能影响较大,需要综合考虑是否选用。
本网络是由于网络拓扑管理功能和帐号管理功能没有严格地发挥作用,致使网络拓扑结构被随意改变,网络带宽被随意共享,造成部分高速用户无法使用网络。
【诊断建议】
鉴于用户的现状和来自部分校领导压力,我们建议黄先生先采取维持现状的做法。将测试的结果提交校董事会即可作为一期工程的实际使用报告,这样更有说服力。二期工程可以将所有用户分类授权,届时再实施用户帐户和网络拓扑结构的严格管理。
【后记】
一周后黄先生告知二期计划校董事会顺利通过,并在网络安全、灾难恢复、网络集中管理等方案中批准了更多的资金。他说原本想将一期工程“美化”一番后再提交校董会,期待用良好的网络应用效果和前景获得校董会的重视,不想却因祸得福,由试验引发的“风波”而引起校董会的重视程度比他预想的结果竟然好了许多。这回他可要“得意”一把了。