張文盛

（安徽廣播電視大學(xué)，安徽 合肥 230022）

0 引言

隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)流量飛速增長，帶寬使用面臨很大壓力，流量控制技術(shù)成為研究熱點(diǎn)[1]。目前網(wǎng)絡(luò)流量控制研究多集中在網(wǎng)絡(luò)出口，通過在網(wǎng)關(guān)上建立流量控制系統(tǒng)，對轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行流量整形，實(shí)現(xiàn)流量控制[2]。用戶發(fā)送的數(shù)據(jù)包要經(jīng)過多個(gè)交換機(jī)的轉(zhuǎn)發(fā)才能到達(dá)網(wǎng)關(guān)，而這些系統(tǒng)不能控制尚未到達(dá)的數(shù)據(jù)包，極端情況下，惡意流量仍會造成網(wǎng)絡(luò)癱瘓。本文引入源抑制思想，在接入交換機(jī)上控制用戶流量。

1 相關(guān)研究

1.1 傳統(tǒng)網(wǎng)絡(luò)流量控制技術(shù)

網(wǎng)絡(luò)出口是網(wǎng)絡(luò)瓶頸，容易發(fā)生擁塞，傳統(tǒng)網(wǎng)絡(luò)流量控制技術(shù)重點(diǎn)控制網(wǎng)絡(luò)出口，采用各種技術(shù)進(jìn)行網(wǎng)絡(luò)流量控制。這些技術(shù)大致包括兩類：基于網(wǎng)絡(luò)體系結(jié)構(gòu)的流量控制技術(shù)和基于QoS的流量控制技術(shù)。基于網(wǎng)絡(luò)體系結(jié)構(gòu)的流量控制技術(shù)從協(xié)議分層的角度，根據(jù)協(xié)議的特點(diǎn)對流量進(jìn)行控制，例如控制P2P協(xié)議流量[3]和TCP協(xié)議流量[4]?；赒oS的流量控制技術(shù)采用分組調(diào)度、隊(duì)列管理、流量分類和流量整形技術(shù)[5-6]，對轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行控制。傳統(tǒng)網(wǎng)絡(luò)流量控制系統(tǒng)工作在網(wǎng)絡(luò)出口，這些技術(shù)只能夠緩解擁塞，無法真正控制網(wǎng)絡(luò)流量。

1.2 源抑制思想

源抑制思想是當(dāng)網(wǎng)絡(luò)發(fā)生擁塞或主機(jī)資源不夠時(shí)，中間路由器或目標(biāo)主機(jī)向源主機(jī)發(fā)送消息，通知其降低發(fā)送數(shù)據(jù)包的速度，從而達(dá)到控制流量的目的。源抑制思想在IP協(xié)議設(shè)計(jì)之初就被引入，最典型的例子是ICMP協(xié)議，ICMP協(xié)議專門設(shè)計(jì)有源抑制報(bào)文（Source Quench Message），目標(biāo)主機(jī)為了防止緩存溢出，通過發(fā)送源抑制報(bào)文來請求源主機(jī)降低數(shù)據(jù)發(fā)送速度[7]。具體過程是：首先目標(biāo)主機(jī)發(fā)生緩存溢出開始丟棄數(shù)據(jù)，并向源主機(jī)發(fā)送源抑制報(bào)文，其發(fā)送速度是每丟棄一個(gè)數(shù)據(jù)包就發(fā)送一個(gè)源抑制報(bào)文；源主機(jī)接收到源抑制報(bào)文開始降低其數(shù)據(jù)發(fā)送速度，直到不再接收源抑制報(bào)文為止；最后只要不再接收到源抑制報(bào)文，源主機(jī)就逐漸增加其發(fā)送速度。但在實(shí)際應(yīng)用中，該報(bào)文總是被忽略，并沒有得到很好的使用。

2 基于源抑制的網(wǎng)絡(luò)流量控制系統(tǒng)

針對傳統(tǒng)網(wǎng)絡(luò)流量控制系統(tǒng)的缺點(diǎn)，引入源抑制機(jī)制，在接入交換機(jī)上控制用戶流量，建立基于源抑制的網(wǎng)絡(luò)流量控制系統(tǒng)。

2.1 工作原理

根據(jù)傳統(tǒng)網(wǎng)絡(luò)流量控制系統(tǒng)和基于源抑制的網(wǎng)絡(luò)流量控制系統(tǒng)的特點(diǎn)，繪制兩者的工作原理，如圖1所示。

圖1 兩種網(wǎng)絡(luò)流量控制系統(tǒng)工作原理

圖中用線條表示用戶流量，線條粗細(xì)表示流量大小，箭頭方向表示流量方向，分別顯示用戶發(fā)送流量和接收流量。傳統(tǒng)網(wǎng)絡(luò)流量控制系統(tǒng)中用戶發(fā)送的較大流量經(jīng)交換機(jī)轉(zhuǎn)發(fā)到達(dá)網(wǎng)關(guān)，被限制成較小的流量發(fā)往互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)發(fā)往用戶的較大流量到達(dá)網(wǎng)關(guān)，被限制成較小的流量發(fā)往用戶。基于源抑制的網(wǎng)絡(luò)流量控制系統(tǒng)中用戶發(fā)送的較大流量在接入交換機(jī)即被限制成較小的流量發(fā)往網(wǎng)關(guān)和互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)發(fā)往用戶的較大流量到達(dá)網(wǎng)關(guān)，被限制成較小的流量發(fā)往用戶。對于用戶發(fā)送的流量，傳統(tǒng)網(wǎng)絡(luò)流量控制系統(tǒng)在網(wǎng)關(guān)控制，而基于源抑制的網(wǎng)絡(luò)流量控制系統(tǒng)在接入交換機(jī)上控制，因此基于源抑制的流量控制系統(tǒng)才能真正控制網(wǎng)絡(luò)流量。

2.2 系統(tǒng)結(jié)構(gòu)

基于源抑制的網(wǎng)絡(luò)流量控制系統(tǒng)在網(wǎng)關(guān)上部署主控模塊，在接入交換機(jī)上部署源抑制模塊，通過兩個(gè)模塊之間的協(xié)同合作，共同控制網(wǎng)絡(luò)流量。其系統(tǒng)結(jié)構(gòu)如圖2所示。

圖2 基于源抑制的網(wǎng)絡(luò)流量控制系統(tǒng)結(jié)構(gòu)

主控模塊包括主控進(jìn)程、網(wǎng)絡(luò)拓?fù)湫畔⒈?、下行流量控制單元和令牌桶算法。主控進(jìn)程監(jiān)測用戶流量，如果是用戶上行流量異常，則通知源抑制模塊進(jìn)行限制，如果是下行流量異常，則在網(wǎng)關(guān)上限制。網(wǎng)絡(luò)拓?fù)湫畔⒈肀４嬗脩舻慕尤胄畔?，主要包括用戶IP、接入交換機(jī)IP和端口，主控算法根據(jù)用戶的IP在表中查詢接入交換機(jī)IP和端口，進(jìn)而執(zhí)行源抑制。下行流量控制單元控制用戶下行流量，使用令牌桶算法進(jìn)行流量整形。

源抑制模塊包括源抑制進(jìn)程、源抑制單元和令牌桶算法。源抑制進(jìn)程解析主控模塊發(fā)送過來的命令，通知源抑制單元控制用戶上行流量，在指定端口執(zhí)行令牌桶算法進(jìn)行流量整形。

源抑制通信協(xié)議規(guī)定主控模塊和源抑制模塊之間交互的命令格式和過程。

2.3 主控模塊

網(wǎng)關(guān)上的操作系統(tǒng)內(nèi)核在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)維護(hù)用戶IP的流量計(jì)數(shù)值，包括上行字節(jié)數(shù)和下行字節(jié)數(shù)。網(wǎng)絡(luò)拓?fù)湫畔⒈碛晒芾韱T手工錄入。主控進(jìn)程定時(shí)從操作系統(tǒng)內(nèi)核獲取所有用戶IP的流量計(jì)數(shù)，計(jì)算每個(gè)用戶的流量值，找出超過流量閾值一定時(shí)間的IP。如果是下行流量異常，則直接將流量閾值參數(shù)設(shè)置進(jìn)下行流量控制單元中，進(jìn)而執(zhí)行令牌桶算法控制用戶流量；如果是上行流量異常，則查詢網(wǎng)絡(luò)拓?fù)湫畔⒈恚业浇尤虢粨Q機(jī)IP和端口，將端口和限制值等參數(shù)封裝成通信協(xié)議數(shù)據(jù)包并發(fā)送給交換機(jī)，通知其在端口上控制用戶流量。當(dāng)下行流量恢復(fù)正常時(shí)（即令牌桶算法不再丟棄數(shù)據(jù)包且保持一定時(shí)間），下行流量控制單元主動取消控制。

2.4 源抑制模塊

交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)維護(hù)每個(gè)端口的流量計(jì)數(shù)，主要是用戶發(fā)送字節(jié)數(shù)。當(dāng)主控進(jìn)程通知交換機(jī)在指定端口限速時(shí)，源抑制進(jìn)程接收通信協(xié)議數(shù)據(jù)包，解析出端口和限速值，將其設(shè)置進(jìn)源抑制單元中。在交換機(jī)轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，源抑制單元檢查是否需要限速，如果是，則執(zhí)行令牌桶算法進(jìn)行控制，否則執(zhí)行正常的轉(zhuǎn)發(fā)操作。當(dāng)端口流量恢復(fù)正常時(shí)（即令牌桶算法不再丟棄數(shù)據(jù)包且保持一定時(shí)間），源抑制單元主動取消控制。

2.5 源抑制通信協(xié)議

源抑制通信協(xié)議基于UDP協(xié)議，端口值為54730。協(xié)議采用請求應(yīng)答的方式工作，主控進(jìn)程先發(fā)送源抑制請求報(bào)文給源抑制進(jìn)程，源抑制進(jìn)程再發(fā)送應(yīng)答報(bào)文作為響應(yīng)，從而完成一次交互。其PDU結(jié)構(gòu)如圖3所示。

圖3 源抑制PDU結(jié)構(gòu)

主要字段用途如下：

幻數(shù)：值為0x7A1D，用于檢查和確認(rèn)接收到的數(shù)據(jù)包是源抑制PDU。

序號：從1開始編號，每開始一個(gè)新的交互后自動加1，用于區(qū)分不同的交互。

命令類型：只有兩種類型值，1表示請求，2表示應(yīng)答。在應(yīng)答報(bào)文中除命令類型外，其他字段的值與請求報(bào)文一致。

端口值：用戶接入交換機(jī)的端口值。

限速值：用戶的限速值。

鑒于UDP的不可靠性，抑制協(xié)議引入重傳機(jī)制，在請求報(bào)文發(fā)送后，如果3 s內(nèi)未收到響應(yīng)報(bào)文，則重發(fā)請求報(bào)文。在極端情況下，網(wǎng)絡(luò)可能嚴(yán)重?fù)砣?，?dǎo)致源抑制協(xié)議無法完成，因此規(guī)定交換機(jī)優(yōu)先轉(zhuǎn)發(fā)源抑制協(xié)議數(shù)據(jù)包。

3 系統(tǒng)測試

在Linux環(huán)境下實(shí)現(xiàn)基于源抑制的網(wǎng)絡(luò)流量控制系統(tǒng)，采用Netfilter框架建立主控模塊，采用 Bridge框架建立源抑制模塊[8]。 然后搭建測試環(huán)境，對源抑制機(jī)制進(jìn)行測試。測試方法是在用戶端發(fā)送100 Mb/s流量到網(wǎng)關(guān)，流量閾值為 40 Mb/s，記錄網(wǎng)關(guān)接收到的流量，結(jié)果如圖4所示。

圖4 源抑制功能測試

圖4 顯示用戶流量持續(xù)一段時(shí)間后，從100 Mb/s迅速下降到40 Mb/s，表明源抑制機(jī)制能有效控制用戶流量。

4 結(jié)束語

針對傳統(tǒng)網(wǎng)絡(luò)流量控制系統(tǒng)存在的不足，通過引入源抑制機(jī)制，提出構(gòu)建新型的網(wǎng)絡(luò)流量控制系統(tǒng)，在接入交換機(jī)上控制用戶發(fā)送流量，測試表明該系統(tǒng)能有效控制用戶上行流量。本系統(tǒng)中只要用戶流量超限就立即執(zhí)行控制，這可能造成個(gè)別用戶的大流量需求得不到滿足而出口帶寬又空閑浪費(fèi)的情況發(fā)生，需要進(jìn)一步研究提高帶寬利用率的算法。此外網(wǎng)絡(luò)拓?fù)湫畔⒈硎鞘止や浫氲?，?shí)際應(yīng)用中應(yīng)該采用準(zhǔn)入控制技術(shù)自動生成。

[1]王榮，萬振凱.校園網(wǎng)流量監(jiān)控與優(yōu)化研究[J].天津工業(yè)大學(xué)學(xué)報(bào)，2014，29（2）：68-72.

[2]張五生，鄭靈翔.基于 Linux的流量控制系統(tǒng)研究[J].廈門大學(xué)學(xué)報(bào)（自然科學(xué)版），2010，49（1）：38-42.

[3]Wang Chunzhi，Zhou Xin，You Fangping，et al.Design of P2P traffic identification based on DPI and DFI[C].2009 International Symposium on Computer Network and Multimedia Technology，Wuhan，China： IEEE，2009：978-981.

[4]楊虎，張大方，謝鯤，等.Netfilter/Iptables框架下基于 TCP滑動窗口的串行流量控制算法[J].計(jì)算機(jī)工程與科學(xué)，2009，31（9）：8-11，26.

[5]劉明，竇文華，張鶴穎.主動隊(duì)列管理研究綜述[J].計(jì)算機(jī)工程，2006，32（24）：84-86.

[6]楊其欽.校園網(wǎng)中基于令牌桶算法的流量控制研究[D].廣州：暨南大學(xué)，2012.

[7]COME D E.Internetworking with TCP/IP Vol I： Principles，Protocols，and Architectures（Fourth Edition）[M].林瑤，譯.北京：電子工業(yè)出版社，2001.

[8]張文盛.基于Netfilter的內(nèi)網(wǎng)流量控制系統(tǒng)應(yīng)用研究[J].山東理工大學(xué)學(xué)報(bào)（自然科學(xué)版），2012，26（6）：44-48.