在我们精心打造的校园网中，如果网络突然缓慢，在重要数据往来的教学时间段，留给系统管理员的响应时间只有宝贵的十几分钟、甚至几分钟。而且，蠕虫病毒对网络速度的影响越来越严重，例如“网络天空”等邮件蠕虫病毒，它们导致被感染的用户只要一连上网就不停地往外发邮件，病毒选择用户个人电脑中的随机文档附加在用户的通讯簿上，通过随机地址进行邮件发送。成百上千的这种垃圾邮件有的排着队往外发送，有的又成批地被退回来堆在服务器上。这都造成个教育网骨干线路出现明显拥塞，甚至在蠕虫泛滥的局域网中，瘫痪的事件屡有发生。

进行流量监控和流量分析是整个网络合理化的重要环节，它能在最短的时间内发现安全威胁，在第一时间进行分析，通过流量分析来确定攻击，然后发出预警，快速采取措施。如何在核心的网络设备上监控流量、限制异常流量就成了大家关注的技术问题。

监控对象的制定

连接性

连接性也称可用性、连通性或者可达性，学校需要高效率的带宽服务，更严格的说应该是网络服务的基本能力或属性。比如远程教学中需要宽带连接和视频点播等服务，这些都必须以网络的连接性能为基础和保障。

丢包率

丢包率是指丢失的IP 包与所有的IP 包的比值。许多因素会导致数据包在网络上传输时被丢弃，例如数据包的大小以及数据发送时链路的拥塞状况等。不同业务对丢包的敏感性不同，在多媒体教学中，丢包是导致图像质量降低和断帧的根本原因。

时延

时延定义了一个IP 包穿越一个或多个网段所经历的时间。时延由固定时延和可变时延两部分组成。固定时延基本不变，由传播时延和传输时延构成；可变时延由中间路由器处理时延和排队等待时延两部分构成。

带宽分析

带宽一般分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径（通路）中没有其它背景流量时，网络能够提供的最大的吞吐量。可用带宽是指在网络路径（通路）存在背景流量的情况下，能够提供给某个业务的最大吞吐量。

协议分析

对网络流量进行协议划分，如：Web浏览（HTTP）、电子邮件（POP3、SMTP、WEB MAIL、文件下载(FTP)、即时聊天（MSN、QQ等）、流媒体（MMS、RTSP）等。针对不同的网络应用协议进行流量监控和分析，如果某一个协议在一个时间段内出现超常占用可用带宽的情况，就有可能是攻击流量或蠕虫病毒出现。

应用网段流量分析

大多数学校都是将不同的业务应用通过VLAN来进行逻辑隔离的，所以可以通过流量分析系统针对不同VLAN来进行网络流量监控。

网络设备的流量管理

理解CBAC

很多中小学校受到资金的限制，网管员大多采用了路由器中Cisco IOS防火墙特性集，基于上下文的访问控制(CBAC)是最显著的新增特性。CBAC技术的重要性在于: 使管理员能够将IOS防火墙配置为一个智能化、集成化的单框解决方案的一部分。CBAC通过严格审查源和目的地址，增强了使用众所周知端口的TCP和UDP应用程序的安全。CBAC通过检查整个(数据)包了解应用程序状态信息，给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、会话（Session）特定的ACL入口，从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个会话结束时，ACL入口被删除，大门关闭。CBAC在应用层审查包和维护TCP和UDP会话信息，这给CBAC提供了检测和阻止某种网络攻击的能力，比如SYN flooding。CBAC是针对每个接口进行配置的，可以被用于控制源于防火墙另一方的通信(双向); 但是，大多数客户将CBAC用于仅源于一方的通信(单向)。

CBAC可根据需要打开连接，并监视回返通信流量，但CBAC对于流量审核检查方面并不完美。比如它只检查规定的内容，对于更多的流量类型就必须自己增加很多语句。

理解NBAR

网络上利用NBAR管理P2P流量的文章相当多，读者可以在操作过程中可以参阅模仿，但很多人对于NBAR到底是什么？却一直没有搞清楚。基于网络的应用识别（Network-Based Application Recognition ,NBAR），是在Cisco IOS 12.0(5)XE2中引入的，在12.3(4)T中得到了加强。

    NBAR可以根据OSI参考模型的第3层到第7层信息来对流量进行分类，设置NBAR第一个步就是建立审查的流量分类。NBAR检查可以帮助我们做很多事情，如应用类型、连接的具体地址、连接中的数据和数据包的长度。基于匹配标准，NBAR将匹配的流量放进特定的类（或组）中。在建立了分类规则之后，建立用来标识流量策略，对于IP流量，我们使用IP优先级来对流量进行分组（类）。IP优先级标准（和DSCP）使用IP包头中的TOS域中的位来分类流量。当流量进入路由器时就执行这两步，然后当流量离开路由器上的一个特定的外出接口时，定义对被标记的流量将采取什么操作。我们在流量优先级控制上通常使用QOS，这将影响数据包被发送接口之前，首先需要排成队列。而NBAR可以为这些流量定义其他策略，限制这们的带宽或甚至丢弃这些流量。