https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

校園資安系列(二) 校園邊界的下一個瓶頸

2009 / 08 / 24
林蒲英
校園資安系列(二)  校園邊界的下一個瓶頸
校園邊界原來的頻寬已不敷使用,首當其衝的就是那些校園邊界系統。

  當我在亞太地區接觸到許多參與學校網路的人士時,有一件事情非常明顯(便是這一、二年最重要的議題之一)在校園網路與其本身的研究教育用骨幹之間,或是在校園與網際網路之間,大幅升級了可存取的容量。

  當中有些是因為電信產業早先的先盛後衰,使得用於高容量骨幹的光纖充斥市面;有些是因為都會乙太網路的快速發展,讓可供使用的存取連線容量,從Mbps到Gbps大幅增加;部分則是電信產業開放競爭的結果,或純粹因建構新的校園骨幹網路來傳送新的通訊協定和服務。

  不論原因為何,在這兩年之中,我們看到大學校園與外界一般的連線,快速地從 155Mbps升級到Gigabit乙太網路。在某些情況下,甚至計畫擴充到10 Gigabit乙太網路。

  我們很樂於見到網路連線容量的提升。為什麼呢?因為這可以讓全新系列的應用成為家常便飯,例如視訊網格(access grid)、網格運算(grid computing)、遙控天文設備、發展遠距醫療等。然而,經歷幾次升級週期,我們預期在大量升級系統的某個層面之後,會隨之產生另一個問題。

  沒錯,現在是我們處理另一個瓶頸的時候了。就像莫非定律所說的:一旦解決一個層面,另一個層面就會出問題!就校園網路來說,至少短時間內校園邊界原來的頻寬限制將不復存在,會有更大的流量通過校園邊界。不幸的是,對於過去許多因網路容量限制而獲得庇護的系統-我們統稱為校園邊界系統-這將是天大的壞消息。

  許多校園邊界系統在傳輸量高達155Mbps時還是運作自如,但是在面臨全雙工Gigabit乙太網路的大部分流量時,就倍感吃力了。

  在某些環境下,校園仍然以代理防火牆做為防護。當防火牆僅僅傳輸幾十Mb的流量時,這是毫無問題的,但如果是Gb的流量,就不得不使用具備硬體加速功能的現代化狀態式防火牆了。由代理(proxy)防火牆防護的Gb連線還是有每秒數十Mb的傳輸量。

  在校園與網際網路或學術骨幹之間的存取控制和流量統計功能,大部分還是以上述的代理防火牆、SOCKS代理器以及流量統計監控的方式來執行。除非您將佈署數十台SOCKS代理器,並且高度取樣網際網路流量統計,這些系統在Gbps的負荷下同樣無法支撐。

  幸好這未必回天乏術。我也看到一些校園網路管理者已經成功處理這些問題的案例,可見解決方法的確存在,但您是否做好規劃,讓方法在適當的地方發揮作用呢?