吳興勇 楊勇 黃榮華

1云南農(nóng)業(yè)大學(xué)網(wǎng)絡(luò)中心 云南 650201 2云南大學(xué)網(wǎng)絡(luò)中心 云南 650091 3云南農(nóng)業(yè)大學(xué)農(nóng)村發(fā)展政策研究中心 云南 650201

0 引言

網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，園區(qū)網(wǎng)在單位和企業(yè)中所扮演的角色越來越重要，訪問 Internet仍然是園區(qū)網(wǎng)永恒的主題，網(wǎng)內(nèi)用戶隨時(shí)在抱怨出口速度慢，租用出口線路的帶寬越來越大，接入的運(yùn)營(yíng)商越來越多，但仍舊滿足不了用戶的需求。但是在沒有任何流量控制和優(yōu)化的出口中，從出口流量的分析我們可以看到P2P下載、視頻點(diǎn)播、病毒、廣告等流量占據(jù)了相當(dāng)?shù)膸?，影響著正常的網(wǎng)絡(luò)訪問和數(shù)據(jù)傳輸。

因此，從緩解出口壓力，規(guī)范出口流量，均衡多出口負(fù)載的角度出發(fā)，使用現(xiàn)有的技術(shù)手段和措施來規(guī)范網(wǎng)絡(luò)訪問，合理使用帶寬，減少異常流量，使得網(wǎng)絡(luò)出口順暢、高效、可靠地為用戶服務(wù)。

1 流量管理概述與IP層流量管理

流量管理屬于網(wǎng)絡(luò)管理五大管理功能的性能管理范疇，網(wǎng)絡(luò)的可用性是性能管理的重要組成，出口流量管理旨在實(shí)現(xiàn)出口帶寬合理使用，有效地分配帶寬，為用戶提供一個(gè)相對(duì)公平的網(wǎng)絡(luò)訪問，減少網(wǎng)絡(luò)中無效數(shù)據(jù)對(duì)帶寬占用。

從 TCP/IP協(xié)議模型上來說我們可以從網(wǎng)絡(luò)層、傳輸層和應(yīng)用層這三個(gè)層次上來逐一實(shí)現(xiàn)網(wǎng)絡(luò)出口流量的管理與優(yōu)化。從 IP層上來說，可以采用訪問控制列表 ACL、QoS限速、策略路由、靜態(tài)路由等來實(shí)現(xiàn)出口的流量管理與優(yōu)化；從傳輸層上來說，可以采用控制連接數(shù)，過濾端口等技術(shù)實(shí)現(xiàn)流量的管理與優(yōu)化；在應(yīng)用層方面，可以采用用戶認(rèn)證與計(jì)費(fèi)系統(tǒng)，流量整形系統(tǒng)來實(shí)現(xiàn)流量管理與優(yōu)化。本文主要闡述IP層的流量管理與優(yōu)化。

IP層的主要功能是實(shí)現(xiàn)無連接的IP數(shù)據(jù)包的轉(zhuǎn)發(fā)和路由選擇功能，無連接的特點(diǎn)導(dǎo)致了網(wǎng)絡(luò)用戶競(jìng)爭(zhēng)使用網(wǎng)絡(luò)帶寬，使其對(duì)業(yè)務(wù)的QoS無法保障。要改變這一事實(shí)，IP層流量管理可通過ACL訪問控制列表實(shí)現(xiàn)策略路由、IP限流、IP過濾、IP數(shù)據(jù)包優(yōu)先隊(duì)列等，也可以通過靜態(tài)路由來實(shí)現(xiàn)多出口分流。

2 靜態(tài)路由實(shí)現(xiàn)園區(qū)網(wǎng)多出口流量分流

圖1為典型的校園網(wǎng)拓?fù)?，有三個(gè)出口，即教育出口、電信出口、聯(lián)通出口，內(nèi)網(wǎng)用戶數(shù)據(jù)如何進(jìn)行路由選擇、多出口流量負(fù)載均衡是一個(gè)基本的出口管理問題。我們理想的管理目標(biāo)是訪問教育網(wǎng)的數(shù)據(jù)通過教育網(wǎng)出口走，訪問電信的數(shù)據(jù)通過電信網(wǎng)出口走，訪問聯(lián)通的數(shù)據(jù)通過電信網(wǎng)出口走，其他的數(shù)據(jù)能夠均衡的從各條鏈路最優(yōu)通過。但是，路由器不能完成理想的智能選擇，實(shí)現(xiàn)多出口快速訪問，我們可通過靜態(tài)路由把教育網(wǎng)、聯(lián)通的 IP地址列表加入路由表中，因?yàn)殪o態(tài)路由的優(yōu)先級(jí)最高，這樣解決了教育網(wǎng)和聯(lián)通的數(shù)據(jù)快速轉(zhuǎn)發(fā)問題；對(duì)于其它數(shù)據(jù)，可以一視同仁將其轉(zhuǎn)發(fā)到電信網(wǎng)接口上，做一個(gè)默認(rèn)路由。對(duì)于訪問其它網(wǎng)絡(luò)的數(shù)據(jù)負(fù)載均衡問題，可以根據(jù)訪問量把部分外網(wǎng)地址空間劃到聯(lián)通或教育網(wǎng)轉(zhuǎn)發(fā)，或者只能用專用的負(fù)載均衡設(shè)備來實(shí)現(xiàn)更精確的多鏈路負(fù)載均衡。

圖1 典型園區(qū)網(wǎng)出口拓?fù)?/p>

其中，第一條為指向教育網(wǎng)的默認(rèn)路由，優(yōu)先值設(shè)為150，該默認(rèn)路由的優(yōu)先級(jí)最低，第二條是指向聯(lián)通的默認(rèn)路由，優(yōu)先值設(shè)為 120，該默認(rèn)路由優(yōu)先級(jí)次之，第三條路由是指向電信的默認(rèn)路由，優(yōu)先級(jí)設(shè)置為默認(rèn)值為60，優(yōu)先級(jí)最高。這樣設(shè)置的好處在于當(dāng)某條線路出現(xiàn)問題時(shí)，另外的線路可以自動(dòng)設(shè)置為主線路，大大增強(qiáng)不間斷外網(wǎng)訪問的可靠性。第四條路由實(shí)現(xiàn)通過聯(lián)通出口轉(zhuǎn)發(fā)該網(wǎng)段地址空間的數(shù)據(jù)，第五條實(shí)現(xiàn)通過教育網(wǎng)出口轉(zhuǎn)發(fā)該地址段的數(shù)據(jù)。

3 策略路由實(shí)現(xiàn)外網(wǎng)訪問服務(wù)器

對(duì)于網(wǎng)內(nèi)對(duì)外公開訪問的服務(wù)器，如WWW、Email服務(wù)器等，則需使用策略路由來實(shí)現(xiàn)服務(wù)器對(duì)外提供服務(wù)。策略路由的實(shí)現(xiàn)是先定義服務(wù)器的訪問控制列表ACL，然后創(chuàng)建策略類，再創(chuàng)建策略行為，第四步將綁定策略類和策略行為，最后將策略應(yīng)用到接口。

例如，服務(wù)器網(wǎng)段為192.168.100.0/24，該服務(wù)器組需要從聯(lián)通出口轉(zhuǎn)發(fā)，其配置為：

經(jīng)過策略路由，使得 192.168.100.0/24網(wǎng)段的服務(wù)器所有數(shù)據(jù)包都向網(wǎng)通出口轉(zhuǎn)發(fā)。這樣，在外網(wǎng)就可以正常地訪問園區(qū)網(wǎng)內(nèi)的服務(wù)器了。

4 基于時(shí)間段的IP限流實(shí)現(xiàn)用戶公平訪問外網(wǎng)

為保障每個(gè)用戶公平使用網(wǎng)絡(luò)，可對(duì)網(wǎng)內(nèi)用戶實(shí)現(xiàn) IP限流來達(dá)到目的，其原理是通過定義限流IP的流量上下限，當(dāng)流量超過上限時(shí)，則丟棄該IP的數(shù)據(jù)包。另外，往往網(wǎng)絡(luò)的擁堵是在某一個(gè)時(shí)間段，在特定時(shí)間段內(nèi)來實(shí)施IP限流比較人性化。在華為路由器上實(shí)施步驟為：首先定義時(shí)間范圍，定義基于時(shí)間限流的IP范圍的ACL，然后在接口中應(yīng)用QoS限流。

5 IP數(shù)據(jù)包優(yōu)先轉(zhuǎn)發(fā)保障服務(wù)器高速訪問

一般情況下，園區(qū)網(wǎng)的出口路由器都有QoS隊(duì)列優(yōu)先機(jī)制，可以實(shí)現(xiàn)對(duì)服務(wù)器網(wǎng)段的優(yōu)先轉(zhuǎn)發(fā)。優(yōu)先隊(duì)列也稱為PQ隊(duì)列，其處理機(jī)制如圖2所示。

圖2 PQ隊(duì)列處理示意圖

PQ可以根據(jù)網(wǎng)絡(luò)協(xié)議(比如IP，IPX)、數(shù)據(jù)流入接口、報(bào)文長(zhǎng)短、源地址/目的地址等靈活地指定優(yōu)先次序。優(yōu)先隊(duì)列將報(bào)文分成 4類，分別為高優(yōu)先隊(duì)列(top)、中優(yōu)先隊(duì)列(middle)、正常優(yōu)先隊(duì)列(normal)和低優(yōu)先隊(duì)列(bottom)，它們的優(yōu)先級(jí)依次降低。缺省情況下，數(shù)據(jù)流進(jìn)入normal隊(duì)列。

路由器中具體實(shí)現(xiàn)過程可分為4步，即配置不同優(yōu)先級(jí)的 ACL列表，配置優(yōu)先隊(duì)列規(guī)則組，在接口中應(yīng)用優(yōu)先隊(duì)列規(guī)則組。

如圖3所示，Server 和Host A通過Router 向Internet發(fā)送數(shù)據(jù)(其中Server發(fā)送關(guān)鍵業(yè)務(wù)數(shù)據(jù)，Host A發(fā)送非關(guān)鍵業(yè)務(wù)數(shù)據(jù))時(shí)，由于Router入接口G0/0的速率大于出接口Serial1/1 的速率，在Serial1/1接口處可能發(fā)生擁塞，導(dǎo)致丟包。要求在網(wǎng)絡(luò)擁塞時(shí)保證Server 發(fā)送的關(guān)鍵業(yè)務(wù)數(shù)據(jù)得到優(yōu)先處理。

配置內(nèi)容如下：

acl number 2001

rule 1 permit source 1.1.1.1 0.0.0.0

acl number 2002

rule 1 permit source 1.1.1.2 0.0.0.0

qos pql 1 protocol ip acl 2001 queue top

qos pql 1 protocol ip acl 2002 queue bottom

qos pql 1 queue top queue-length 50

qos pql 1 queue bottom queue-length 100

qos pq pql 1

首先配置ACL規(guī)則列表，分別匹配來源于Server和Host A的報(bào)文。配置優(yōu)先隊(duì)列規(guī)則組，使得網(wǎng)絡(luò)擁塞發(fā)生時(shí)，源自Server 的報(bào)文能夠進(jìn)入PQ 的top 隊(duì)列緩存，優(yōu)先轉(zhuǎn)發(fā)，源自Host A的報(bào)文能夠進(jìn)入bottom 隊(duì)列緩存，并且設(shè)定top隊(duì)列的最大隊(duì)列長(zhǎng)度為 50、bottom隊(duì)列的最大隊(duì)列長(zhǎng)度為100。最后在接口中應(yīng)用該隊(duì)列規(guī)則組，實(shí)現(xiàn)接口上優(yōu)先隊(duì)列的轉(zhuǎn)發(fā)。

6 總結(jié)

經(jīng)過這些流量管理與優(yōu)化技術(shù)的實(shí)現(xiàn)，一方面保證了園區(qū)網(wǎng)多出口的流量分配和服務(wù)器正常、高速、可靠地訪問；另一方面，解決了在上網(wǎng)高峰期部分用戶占據(jù)大量帶寬的不公平現(xiàn)象。另外，出口流量管理與優(yōu)化不僅僅在IP層實(shí)現(xiàn)，還可以在傳輸層和應(yīng)用層實(shí)現(xiàn)連接數(shù)限制，端口過濾、用戶賬號(hào)限速、流量整形等功能，進(jìn)一步完善園區(qū)網(wǎng)出口的管理和優(yōu)化。

[1]於建華,廖祥,孫莉.P2P流量識(shí)別方法的研究及實(shí)現(xiàn)[J].廣東通信技術(shù).2007.

[2]周文莉,雷振明.一種控制 BT流量的方法及其對(duì)用戶的影響[J].計(jì)算機(jī)工程.2007.

[3]王宏.網(wǎng)絡(luò)綜合流量管理關(guān)鍵技術(shù)研究[D].中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫.2008.

[4]曹錚,傅文卿,黃蕊.互聯(lián)網(wǎng)流量成分及運(yùn)營(yíng)策略分析[J].中國(guó)新通信.2006.

[5]周耀勝.網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用及方案比較[J].現(xiàn)代電信科技.2009.