校園資安系列(二) 校園邊界的下一個瓶頸

校園邊界原來的頻寬已不敷使用，首當其衝的就是那些校園邊界系統。

　　當我在亞太地區接觸到許多參與學校網路的人士時，有一件事情非常明顯（便是這一、二年最重要的議題之一）在校園網路與其本身的研究教育用骨幹之間，或是在校園與網際網路之間，大幅升級了可存取的容量。

　　當中有些是因為電信產業早先的先盛後衰，使得用於高容量骨幹的光纖充斥市面；有些是因為都會乙太網路的快速發展，讓可供使用的存取連線容量，從Mbps到Gbps大幅增加；部分則是電信產業開放競爭的結果，或純粹因建構新的校園骨幹網路來傳送新的通訊協定和服務。

　　不論原因為何，在這兩年之中，我們看到大學校園與外界一般的連線，快速地從 155Mbps升級到Gigabit乙太網路。在某些情況下，甚至計畫擴充到10 Gigabit乙太網路。

　　我們很樂於見到網路連線容量的提升。為什麼呢？因為這可以讓全新系列的應用成為家常便飯，例如視訊網格(access grid)、網格運算(grid computing)、遙控天文設備、發展遠距醫療等。然而，經歷幾次升級週期，我們預期在大量升級系統的某個層面之後，會隨之產生另一個問題。

　　沒錯，現在是我們處理另一個瓶頸的時候了。就像莫非定律所說的：一旦解決一個層面，另一個層面就會出問題！就校園網路來說，至少短時間內校園邊界原來的頻寬限制將不復存在，會有更大的流量通過校園邊界。不幸的是，對於過去許多因網路容量限制而獲得庇護的系統－我們統稱為校園邊界系統－這將是天大的壞消息。

　　許多校園邊界系統在傳輸量高達155Mbps時還是運作自如，但是在面臨全雙工Gigabit乙太網路的大部分流量時，就倍感吃力了。

　　在某些環境下，校園仍然以代理防火牆做為防護。當防火牆僅僅傳輸幾十Mb的流量時，這是毫無問題的，但如果是Gb的流量，就不得不使用具備硬體加速功能的現代化狀態式防火牆了。由代理(proxy)防火牆防護的Gb連線還是有每秒數十Mb的傳輸量。

　　在校園與網際網路或學術骨幹之間的存取控制和流量統計功能，大部分還是以上述的代理防火牆、SOCKS代理器以及流量統計監控的方式來執行。除非您將佈署數十台SOCKS代理器，並且高度取樣網際網路流量統計，這些系統在Gbps的負荷下同樣無法支撐。

　　幸好這未必回天乏術。我也看到一些校園網路管理者已經成功處理這些問題的案例，可見解決方法的確存在，但您是否做好規劃，讓方法在適當的地方發揮作用呢？