孫方威 王二利 吳建

摘 要：航天業(yè)務網(wǎng)TCP突發(fā)流量可能造成網(wǎng)絡擁塞，導致業(yè)務數(shù)據(jù)傳輸延遲大，甚至丟包，網(wǎng)絡通信保障能力大大降低，嚴重影響航天業(yè)務網(wǎng)信息的順利傳輸。根據(jù)基于包過濾的訪問控制ACL技術調控網(wǎng)絡傳輸時TCP突發(fā)流量造成網(wǎng)絡擁塞、信道質量下降的解決方法，航天業(yè)務網(wǎng)運用ACL技術調控TCP突發(fā)流量并進行仿真，結果發(fā)現(xiàn)ACL技術能夠有效控制TCP突發(fā)流量。采取ACL技術控制TCP流量后，航天業(yè)務網(wǎng)不再因TCP突發(fā)流量發(fā)生網(wǎng)絡信道擁塞現(xiàn)象。

關鍵詞：航天業(yè)務網(wǎng);網(wǎng)絡擁塞;TCP突發(fā)流量;ACL技術

中圖分類號：TP393.06文獻標識碼：A文章編號：1003-5168（2021）02-0005-03

Research and Application of TCP Flow Control in Aerospace Business Network

SUN Fangwei WANG Erli WU Jian

（Taiyuan Satellite Launch Center，Kelan Shanxi 036301）

Abstract： The TCP burst traffic of the aerospace business network may cause network congestion， leading to long service data transmission delays， and even packet loss， greatly reducing the network communication guarantee capability， and seriously affecting the smooth transmission of the aerospace business network information. Based on the solution of TCP burst traffic causing network congestion and channel quality degradation when access control ACL technology based on packet filtering regulates network transmission， the aerospace business network uses ACL technology to regulate TCP burst traffic and perform simulations， and it turns out that ACL technology can effectively control TCP burst traffic. After adopting ACL technology to control TCP traffic， the aerospace business network no longer has network channel congestion due to TCP burst traffic.

Keywords： aerospace business network;network congestion;TCP burst traffic;ACL technology

在航天業(yè)務網(wǎng)絡中，TCP協(xié)議類型的多媒體流數(shù)據(jù)頻繁交互，其可能產(chǎn)生大突發(fā)流量，這為航天業(yè)務網(wǎng)的安全穩(wěn)定運行帶來較大的隱患。當多媒體業(yè)務流在信道上產(chǎn)生TCP大突發(fā)流[1-2]時，大突發(fā)流量會導致網(wǎng)絡信道因實際帶寬超過額定帶寬而發(fā)生擁塞，甚至可能引起網(wǎng)絡邏輯鏈路中斷，影響業(yè)務數(shù)據(jù)傳輸。目前，航天數(shù)據(jù)傳輸對航天業(yè)務網(wǎng)網(wǎng)絡性能、服務質量和安全性能的期望不斷提高，但“盡力而為”服務是航天業(yè)務網(wǎng)中主要的一種服務類別，所有數(shù)據(jù)流在網(wǎng)絡中被同等對待，缺少有效管理，局部擁塞[3]經(jīng)常發(fā)生，導致網(wǎng)絡性能下降、應用的分組丟失和數(shù)據(jù)抖動，不能保證服務質量?；诖?，針對多媒體業(yè)務數(shù)據(jù)，人們在航天業(yè)務網(wǎng)絡中利用訪問控制列表（Access Control List，ACL）技術[4]管理網(wǎng)絡流量，保證TCP流量突發(fā)時實時流速低于帶寬閾值，防止網(wǎng)絡信道因擁塞而發(fā)生邏輯中斷，這對提高網(wǎng)絡性能有著巨大的意義。

1 TCP流擁塞原理

在航天業(yè)務網(wǎng)中，當客戶端采取TCP協(xié)議連接向服務器請求數(shù)據(jù)時，其請求的數(shù)據(jù)以配置文件的形式一次性提交給TCP/IP協(xié)議棧處理并以TCP報文的形式突發(fā)形成瞬時大突發(fā)流量數(shù)據(jù)，TCP數(shù)據(jù)流與正常業(yè)務流量數(shù)據(jù)疊加，可能超過網(wǎng)絡帶寬閾值，此時網(wǎng)絡產(chǎn)生擁塞。數(shù)據(jù)邏輯分析如圖1所示，圖中，梯形面積表示每次發(fā)送報文流大小，虛線箭頭是指TCP突發(fā)流時刻。

在圖1中，假定帶寬為1 000 Mbps光纖網(wǎng)絡鏈路。在圖1（a）中，流量帶寬為正常業(yè)務流量數(shù)據(jù)（小于1 000 Mbps帶寬），此時網(wǎng)絡信道不會造成擁塞（超過1 000 Mbps帶寬）。在圖1（b）中，當網(wǎng)絡通信雙方（客戶端與服務器）之間通過TCP建立連接交互數(shù)據(jù)時，TCP流量產(chǎn)生，即TCP流量從紅色箭頭所指時刻與正常業(yè)務流進行流量疊加，此時網(wǎng)絡信道的流量帶寬會超過1 000 Mbps，網(wǎng)絡信道發(fā)生擁堵，邏輯鏈路中斷，數(shù)據(jù)傳輸中斷;當圖1（b）中TCP突發(fā)流量發(fā)生在正常業(yè)務流量之間或者兩者疊加的帶寬流量不超過1 000 Mbps時，網(wǎng)絡信道不會發(fā)生擁塞中斷，數(shù)據(jù)傳輸正常。

2 ACL基本原理

訪問控制（Access Control）是網(wǎng)絡服務質量理論的重要部分，它能夠保障合法用戶正常地獲取所需資源，同時還能拒絕非授權用戶的非法訪問。ACL技術通過在路由器或三層交換機上設置合理的ACL策略，可在一定程度上增強網(wǎng)絡的穩(wěn)定性。ACL的主要功能包括流量控制、包過濾防火墻、NAT（Network Address Translation，網(wǎng)絡地址轉換）、QoS（Quality of Service，服務質量）數(shù)據(jù)分類和路由策略過濾。

一個ACL可以由一條或多條“deny | permit”語句組成，當網(wǎng)絡設備收到一個數(shù)據(jù)包時，若入接口上沒有啟動流量控制，則數(shù)據(jù)包直接被提交給網(wǎng)絡設備轉發(fā)進程進行處理;若在入接口上啟動了ACL流量控制，則將數(shù)據(jù)包交給入站交換機進行限速，下面詳細說明其工作流程。

具體來說，交換機（路由器）用ACL中第一條規(guī)則的條件來嘗試匹配數(shù)據(jù)包信息;若數(shù)據(jù)包信息符合此規(guī)則的條件（即數(shù)據(jù)包命中此規(guī)則），則執(zhí)行規(guī)則所設定的動作，若動作為permit，則允許此數(shù)據(jù)包穿過設備，將其提交給設備轉發(fā)進程來處理進行速率限定，若動作為deny，則丟棄此數(shù)據(jù)包;若數(shù)據(jù)包信息不符合此規(guī)則的條件，則繼續(xù)嘗試匹配下一條ACL規(guī)則;若數(shù)據(jù)包信息不符合任何一條規(guī)則的條件，則執(zhí)行默認動作，若默認動作為permit，則允許此數(shù)據(jù)包穿過接口進入設備轉發(fā)流程，若動作為deny，則丟棄此數(shù)據(jù)包。

ACL包過濾具有方向性，可以指定出接口或入接口方向的數(shù)據(jù)包過濾。出接口包過濾流程與入接口類似，本文不再贅述。

3 試驗結果與驗證

網(wǎng)絡仿真試驗環(huán)境如圖2所示。

圖2中，PC1、PC2和PC3通過以太網(wǎng)流量生成工具（LanTrafficV2）模擬仿真業(yè)務流量，同時觸發(fā)圖像服務器的數(shù)據(jù)同步以形成TCP突發(fā)流，鏈路帶寬均為千兆，A、B之間配置BFD[5]以快速檢測鏈路情況。從PC1至PC3模擬B點出向數(shù)據(jù);從PC2至PC3模擬B點出向數(shù)據(jù);從PC3至PC1模擬B點入向數(shù)據(jù)。利用華為U2000網(wǎng)管軟件觀察交換機CS1出向流量，并對路由器和交換機的BFD震蕩、網(wǎng)絡數(shù)據(jù)進行觀察。模擬驗證結果如表1所示。

由表1分析可知，觸發(fā)圖像管理服務器同步數(shù)據(jù)，會產(chǎn)生TCP大突發(fā)流量，使CS1與CR之間鏈路帶寬超過1 000Mbps時網(wǎng)絡鏈路擁塞，廣域網(wǎng)遠端站點接收數(shù)據(jù)中斷，結果符合預期。

在交換機上使用ACL技術調控TCP突發(fā)流量，經(jīng)仿真及實際業(yè)務驗證，ACL技術解決了TCP大突發(fā)流量導致網(wǎng)絡信道邏輯鏈路擁塞和中斷的問題。

4 結語

在航天業(yè)務網(wǎng)上，訪問控制ACL技術實現(xiàn)了TCP突發(fā)流量的調控作用，解決了航天業(yè)務網(wǎng)數(shù)據(jù)傳輸時因TCP突發(fā)流量導致網(wǎng)絡信道擁塞甚至中斷的問題，在一定程度上保障了數(shù)據(jù)的可靠傳輸，提高了網(wǎng)絡的穩(wěn)定性。

參考文獻：

[1]朱珺.中心計算機網(wǎng)絡流量監(jiān)測系統(tǒng)的研究與實踐[J].微型機與應用，2013（12）：54-56.

[2]查普爾，蒂特爾，張長富，等.TCP/IP協(xié)議原理與應用[M].北京：清華大學出版社，2009：11.

[3]何凌.TCP/IP網(wǎng)絡擁塞控制若干問題的研究[D].沈陽：東北大學，2008：22-23.

[4]關天敏.ACL應用技術與配置實例[J].中國教育網(wǎng)絡，2011（12）：78-80.

[5]程路.IP承載網(wǎng)BFD應用研究[J].中國高新技術企業(yè)，2010（24）：71-72.