吳興勇 楊勇 黃榮華

1云南農業(yè)大學網絡中心 云南 650201 2云南大學網絡中心 云南 650091 3云南農業(yè)大學農村發(fā)展政策研究中心 云南 650201

0 引言

網絡技術和網絡應用的不斷發(fā)展，園區(qū)網在單位和企業(yè)中所扮演的角色越來越重要，訪問 Internet仍然是園區(qū)網永恒的主題，網內用戶隨時在抱怨出口速度慢，租用出口線路的帶寬越來越大，接入的運營商越來越多，但仍舊滿足不了用戶的需求。但是在沒有任何流量控制和優(yōu)化的出口中，從出口流量的分析我們可以看到P2P下載、視頻點播、病毒、廣告等流量占據了相當?shù)膸?，影響著正常的網絡訪問和數(shù)據傳輸。

因此，從緩解出口壓力，規(guī)范出口流量，均衡多出口負載的角度出發(fā)，使用現(xiàn)有的技術手段和措施來規(guī)范網絡訪問，合理使用帶寬，減少異常流量，使得網絡出口順暢、高效、可靠地為用戶服務。

1 流量管理概述與IP層流量管理

流量管理屬于網絡管理五大管理功能的性能管理范疇，網絡的可用性是性能管理的重要組成，出口流量管理旨在實現(xiàn)出口帶寬合理使用，有效地分配帶寬，為用戶提供一個相對公平的網絡訪問，減少網絡中無效數(shù)據對帶寬占用。

從 TCP/IP協(xié)議模型上來說我們可以從網絡層、傳輸層和應用層這三個層次上來逐一實現(xiàn)網絡出口流量的管理與優(yōu)化。從 IP層上來說，可以采用訪問控制列表 ACL、QoS限速、策略路由、靜態(tài)路由等來實現(xiàn)出口的流量管理與優(yōu)化；從傳輸層上來說，可以采用控制連接數(shù)，過濾端口等技術實現(xiàn)流量的管理與優(yōu)化；在應用層方面，可以采用用戶認證與計費系統(tǒng)，流量整形系統(tǒng)來實現(xiàn)流量管理與優(yōu)化。本文主要闡述IP層的流量管理與優(yōu)化。

IP層的主要功能是實現(xiàn)無連接的IP數(shù)據包的轉發(fā)和路由選擇功能，無連接的特點導致了網絡用戶競爭使用網絡帶寬，使其對業(yè)務的QoS無法保障。要改變這一事實，IP層流量管理可通過ACL訪問控制列表實現(xiàn)策略路由、IP限流、IP過濾、IP數(shù)據包優(yōu)先隊列等，也可以通過靜態(tài)路由來實現(xiàn)多出口分流。

2 靜態(tài)路由實現(xiàn)園區(qū)網多出口流量分流

圖1為典型的校園網拓撲，有三個出口，即教育出口、電信出口、聯(lián)通出口，內網用戶數(shù)據如何進行路由選擇、多出口流量負載均衡是一個基本的出口管理問題。我們理想的管理目標是訪問教育網的數(shù)據通過教育網出口走，訪問電信的數(shù)據通過電信網出口走，訪問聯(lián)通的數(shù)據通過電信網出口走，其他的數(shù)據能夠均衡的從各條鏈路最優(yōu)通過。但是，路由器不能完成理想的智能選擇，實現(xiàn)多出口快速訪問，我們可通過靜態(tài)路由把教育網、聯(lián)通的 IP地址列表加入路由表中，因為靜態(tài)路由的優(yōu)先級最高，這樣解決了教育網和聯(lián)通的數(shù)據快速轉發(fā)問題；對于其它數(shù)據，可以一視同仁將其轉發(fā)到電信網接口上，做一個默認路由。對于訪問其它網絡的數(shù)據負載均衡問題，可以根據訪問量把部分外網地址空間劃到聯(lián)通或教育網轉發(fā)，或者只能用專用的負載均衡設備來實現(xiàn)更精確的多鏈路負載均衡。

圖1 典型園區(qū)網出口拓撲

其中，第一條為指向教育網的默認路由，優(yōu)先值設為150，該默認路由的優(yōu)先級最低，第二條是指向聯(lián)通的默認路由，優(yōu)先值設為 120，該默認路由優(yōu)先級次之，第三條路由是指向電信的默認路由，優(yōu)先級設置為默認值為60，優(yōu)先級最高。這樣設置的好處在于當某條線路出現(xiàn)問題時，另外的線路可以自動設置為主線路，大大增強不間斷外網訪問的可靠性。第四條路由實現(xiàn)通過聯(lián)通出口轉發(fā)該網段地址空間的數(shù)據，第五條實現(xiàn)通過教育網出口轉發(fā)該地址段的數(shù)據。

3 策略路由實現(xiàn)外網訪問服務器

對于網內對外公開訪問的服務器，如WWW、Email服務器等，則需使用策略路由來實現(xiàn)服務器對外提供服務。策略路由的實現(xiàn)是先定義服務器的訪問控制列表ACL，然后創(chuàng)建策略類，再創(chuàng)建策略行為，第四步將綁定策略類和策略行為，最后將策略應用到接口。

例如，服務器網段為192.168.100.0/24，該服務器組需要從聯(lián)通出口轉發(fā)，其配置為：

經過策略路由，使得 192.168.100.0/24網段的服務器所有數(shù)據包都向網通出口轉發(fā)。這樣，在外網就可以正常地訪問園區(qū)網內的服務器了。

4 基于時間段的IP限流實現(xiàn)用戶公平訪問外網

為保障每個用戶公平使用網絡，可對網內用戶實現(xiàn) IP限流來達到目的，其原理是通過定義限流IP的流量上下限，當流量超過上限時，則丟棄該IP的數(shù)據包。另外，往往網絡的擁堵是在某一個時間段，在特定時間段內來實施IP限流比較人性化。在華為路由器上實施步驟為：首先定義時間范圍，定義基于時間限流的IP范圍的ACL，然后在接口中應用QoS限流。

5 IP數(shù)據包優(yōu)先轉發(fā)保障服務器高速訪問

一般情況下，園區(qū)網的出口路由器都有QoS隊列優(yōu)先機制，可以實現(xiàn)對服務器網段的優(yōu)先轉發(fā)。優(yōu)先隊列也稱為PQ隊列，其處理機制如圖2所示。

圖2 PQ隊列處理示意圖

PQ可以根據網絡協(xié)議(比如IP，IPX)、數(shù)據流入接口、報文長短、源地址/目的地址等靈活地指定優(yōu)先次序。優(yōu)先隊列將報文分成 4類，分別為高優(yōu)先隊列(top)、中優(yōu)先隊列(middle)、正常優(yōu)先隊列(normal)和低優(yōu)先隊列(bottom)，它們的優(yōu)先級依次降低。缺省情況下，數(shù)據流進入normal隊列。

路由器中具體實現(xiàn)過程可分為4步，即配置不同優(yōu)先級的 ACL列表，配置優(yōu)先隊列規(guī)則組，在接口中應用優(yōu)先隊列規(guī)則組。

如圖3所示，Server 和Host A通過Router 向Internet發(fā)送數(shù)據(其中Server發(fā)送關鍵業(yè)務數(shù)據，Host A發(fā)送非關鍵業(yè)務數(shù)據)時，由于Router入接口G0/0的速率大于出接口Serial1/1 的速率，在Serial1/1接口處可能發(fā)生擁塞，導致丟包。要求在網絡擁塞時保證Server 發(fā)送的關鍵業(yè)務數(shù)據得到優(yōu)先處理。

配置內容如下：

acl number 2001

rule 1 permit source 1.1.1.1 0.0.0.0

acl number 2002

rule 1 permit source 1.1.1.2 0.0.0.0

qos pql 1 protocol ip acl 2001 queue top

qos pql 1 protocol ip acl 2002 queue bottom

qos pql 1 queue top queue-length 50

qos pql 1 queue bottom queue-length 100

qos pq pql 1

首先配置ACL規(guī)則列表，分別匹配來源于Server和Host A的報文。配置優(yōu)先隊列規(guī)則組，使得網絡擁塞發(fā)生時，源自Server 的報文能夠進入PQ 的top 隊列緩存，優(yōu)先轉發(fā)，源自Host A的報文能夠進入bottom 隊列緩存，并且設定top隊列的最大隊列長度為 50、bottom隊列的最大隊列長度為100。最后在接口中應用該隊列規(guī)則組，實現(xiàn)接口上優(yōu)先隊列的轉發(fā)。

6 總結

經過這些流量管理與優(yōu)化技術的實現(xiàn)，一方面保證了園區(qū)網多出口的流量分配和服務器正常、高速、可靠地訪問；另一方面，解決了在上網高峰期部分用戶占據大量帶寬的不公平現(xiàn)象。另外，出口流量管理與優(yōu)化不僅僅在IP層實現(xiàn)，還可以在傳輸層和應用層實現(xiàn)連接數(shù)限制，端口過濾、用戶賬號限速、流量整形等功能，進一步完善園區(qū)網出口的管理和優(yōu)化。

[1]於建華,廖祥,孫莉.P2P流量識別方法的研究及實現(xiàn)[J].廣東通信技術.2007.

[2]周文莉,雷振明.一種控制 BT流量的方法及其對用戶的影響[J].計算機工程.2007.

[3]王宏.網絡綜合流量管理關鍵技術研究[D].中國博士學位論文全文數(shù)據庫.2008.

[4]曹錚,傅文卿,黃蕊.互聯(lián)網流量成分及運營策略分析[J].中國新通信.2006.

[5]周耀勝.網絡流量分析技術的應用及方案比較[J].現(xiàn)代電信科技.2009.