譚曉東　甘林

摘要：文章總結(jié)了帶寬控制技術(shù)的相關(guān)知識(shí)及方法，對(duì)RouterOS軟路由系統(tǒng)進(jìn)行全面的概述，并從大學(xué)公共機(jī)房的實(shí)際應(yīng)用出發(fā)，運(yùn)用RouterOS軟路由系統(tǒng)解決了帶寬分配問(wèn)題。

關(guān)鍵詞：RouterOS；帶寬控制；P2P限速；大學(xué)公共機(jī)房

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2012）34-8146-04

1帶寬控制技術(shù)

帶寬控制是利用互聯(lián)網(wǎng)數(shù)據(jù)包的特性，針對(duì)來(lái)源、目的、應(yīng)用或其他特殊格式，進(jìn)行阻攔或允許，使得帶寬在不同的應(yīng)用和用戶之間靈活分配。

QoS（QualityofService）服務(wù)質(zhì)量，它為各種應(yīng)用程序提供盡力服務(wù)以滿足不同程序特定需求的服務(wù)，可用于解決網(wǎng)絡(luò)擁塞、延遲等問(wèn)題，是網(wǎng)絡(luò)傳輸中的一種機(jī)制，也可以理解為對(duì)通信數(shù)據(jù)的特定服務(wù)。QoS工作方法是通過(guò)丟包實(shí)現(xiàn)的，它與提供盡力型的服務(wù)的網(wǎng)絡(luò)IP協(xié)議族不同。網(wǎng)絡(luò)IP協(xié)議族會(huì)平等對(duì)待業(yè)務(wù)流，但QoS則力圖區(qū)分用戶和業(yè)務(wù)流，以根據(jù)不同需求情況分配帶寬，保證數(shù)據(jù)流的質(zhì)量。Qos在形成新的網(wǎng)絡(luò)流時(shí)，會(huì)出現(xiàn)丟包的情況，但并會(huì)因此丟失TCP信息，因?yàn)楸粊G掉的包會(huì)被再次發(fā)送，確保了不會(huì)丟棄TCP協(xié)議?？梢哉f(shuō)QoS不止是限流，更多的是提供優(yōu)良品質(zhì)的網(wǎng)絡(luò)服務(wù)。

作為實(shí)現(xiàn)QoS重要部分，帶寬控制能達(dá)到控制網(wǎng)絡(luò)流量、保障特定業(yè)務(wù)流帶寬的目的。它主要是通過(guò)對(duì)網(wǎng)絡(luò)業(yè)務(wù)流進(jìn)行分類，分配不同的帶寬并限制其數(shù)據(jù)包的傳輸速率來(lái)實(shí)現(xiàn)的。依據(jù)業(yè)務(wù)流的服務(wù)類型（通過(guò)源/目的端口判斷）以及源地址、目的地址等數(shù)據(jù)包關(guān)鍵內(nèi)容進(jìn)行具體的帶寬分類?？梢哉f(shuō)管理帶寬的本質(zhì)就是QoS概念的體現(xiàn)。

一般常用速率控制與隊(duì)列的方法進(jìn)行帶寬控制。其中，使用隊(duì)列控制帶寬的常用方法有兩種：基于分類的隊(duì)列、優(yōu)先級(jí)隊(duì)列。基于分類的隊(duì)列，是指網(wǎng)絡(luò)管理員會(huì)根據(jù)某些標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)包進(jìn)行分類與排隊(duì)，并為每一種分類劃分固定的帶寬。這種方法的弊病是，當(dāng)帶寬劃分后，分類隊(duì)列的應(yīng)用無(wú)法使用其他分類的帶寬，即便這一分類的帶寬仍有剩余，這樣帶寬并沒(méi)有得到有效的使用。還有一種與之類似隊(duì)列——加權(quán)公平隊(duì)列，它是在分類隊(duì)列的基礎(chǔ)上給不同分類添加優(yōu)先權(quán)，重要的分類會(huì)擁有較高級(jí)別的優(yōu)先權(quán)，但仍舊不可避免的存在分類隊(duì)列的弊病。優(yōu)先級(jí)隊(duì)列與加權(quán)公平隊(duì)列也有一定的相似之處，它們都會(huì)為不同的業(yè)務(wù)流添加不同的優(yōu)先權(quán)。不同的是，優(yōu)先級(jí)隊(duì)列會(huì)先為要傳輸?shù)臄?shù)據(jù)包添加不同的優(yōu)先權(quán)，然后根據(jù)優(yōu)先權(quán)的不同分成不同的隊(duì)列。但低優(yōu)先權(quán)的數(shù)據(jù)包的傳輸往往會(huì)在高優(yōu)先權(quán)流量突發(fā)出現(xiàn)時(shí)，停滯傳輸，這時(shí)管理員也無(wú)法控制帶寬的分配，導(dǎo)致了低優(yōu)先權(quán)數(shù)據(jù)包遲遲也等不到傳輸?shù)臋C(jī)會(huì)。

通過(guò)的速率控制帶寬分配的常用方法也有兩種，分別是ATM通用信元速率算法與TCP速率控制。ATM通用信元速率算法主要用于ATM網(wǎng)絡(luò)，它會(huì)檢查信元流，并判斷每一個(gè)信元有沒(méi)有遵從虛電路的參數(shù)，通過(guò)控制信元流來(lái)達(dá)到帶寬控制的目的。這一算法適合數(shù)據(jù)流相對(duì)恒定的網(wǎng)絡(luò)，因?yàn)楫?dāng)有突發(fā)性數(shù)據(jù)包輸入時(shí)，有可能會(huì)丟掉數(shù)據(jù)分組。TCP速率控制算法就是在TCP可靠傳輸?shù)幕A(chǔ)上，對(duì)滑動(dòng)窗口協(xié)議的進(jìn)一步應(yīng)用，TCP的滑動(dòng)窗口協(xié)議主要應(yīng)用于流量控制以及管理丟失的數(shù)據(jù)?；瑒?dòng)窗口協(xié)議中的窗口大小，指的是發(fā)送方主機(jī)在收到接收方的確認(rèn)消息之前的傳輸能力，即可以傳輸?shù)臄?shù)據(jù)大小。TCP速率控制算法會(huì)計(jì)算任何一個(gè)TCP會(huì)話往返的時(shí)間，并且修改TCP的頭部?jī)?nèi)容，延遲TCP的確認(rèn)，在給分類業(yè)務(wù)流的流量分配上，有較高的工作效率。但這種算法要求準(zhǔn)確測(cè)量傳輸往返的時(shí)間以及數(shù)據(jù)傳輸?shù)乃俣?，這樣精確的數(shù)據(jù)要求難度很大，并且測(cè)量過(guò)程會(huì)增加帶寬的開銷，算法本身也相當(dāng)復(fù)雜，因此應(yīng)用不廣。

一般局域網(wǎng)中，使用較多的帶寬控制方法是基于隊(duì)列分類的，因?yàn)殛?duì)列分類符合日常的業(yè)務(wù)流情況，對(duì)于網(wǎng)絡(luò)設(shè)備以及算法本身也比較容易實(shí)現(xiàn)。在網(wǎng)絡(luò)結(jié)點(diǎn)設(shè)備上，一般對(duì)隊(duì)列進(jìn)行如下分類：FIFO（先進(jìn)先出隊(duì)列）、SFQ（隨機(jī)公平隊(duì)列）、 RED（隨機(jī)早先探測(cè)）、PCQ（每次連接隊(duì)列）以及HTB（等級(jí)令牌桶）等五種隊(duì)列規(guī)則。

2RouterOS帶寬控制

RouterOS是一種路由操作系統(tǒng)，通過(guò)該軟件將標(biāo)準(zhǔn)的PC電腦變成專業(yè)路由器。RouterOS可通過(guò)網(wǎng)絡(luò)安裝、U盤安裝以及CD鏡像文件安裝三種安裝方式，其兼容x86架構(gòu)平臺(tái)，所需最小內(nèi)存32MB即可，一臺(tái)586PC機(jī)就可以實(shí)現(xiàn)路由功能，并且在提高硬件性能同樣也能提高網(wǎng)絡(luò)的訪問(wèn)速度和吞吐量。

RouterOS能對(duì)特定的IP地址、子網(wǎng)、協(xié)議，端口以及其他參數(shù)限制數(shù)據(jù)率；限制P2P流量以保證優(yōu)先考慮一些數(shù)據(jù)包流；還能使用隊(duì)列脈沖串已獲得更快的WEB瀏覽體驗(yàn)；并且隊(duì)列不僅可以應(yīng)用在數(shù)據(jù)包通過(guò)的路由器真實(shí)接口上，還可以應(yīng)用在虛擬接口上。

2.1RouterOS帶寬控制的隊(duì)列規(guī)則

RouterOS能支持PFIFO（包先進(jìn)先出）、BFIFO（字節(jié)先進(jìn)先出）、SFQ（隨機(jī)公平隊(duì)列）、RED（隨機(jī)早先探測(cè)）、PCQ（每次連接隊(duì)列）以及HTB（等級(jí)令牌桶）6種隊(duì)列規(guī)則。

1）PFIFO（包先進(jìn)先出）與BFIFO（字節(jié)先進(jìn)先出）

PFIFO和BFIFO兩種隊(duì)列都是采用先進(jìn)先出算法的，即以業(yè)務(wù)流到達(dá)的先后次序作為帶寬分配的順序。兩者的主要區(qū)別在于衡量的單位不同，PFIFO是以數(shù)據(jù)包位單位，而BFIFO以字節(jié)為單位。這兩種隊(duì)列類似于順序隊(duì)列，隊(duì)列的長(zhǎng)度是預(yù)先設(shè)置的，用PFIFO-limit（BFIFO-limit）這一參數(shù)，定義隊(duì)列可以容納的數(shù)據(jù)量。如果隊(duì)列滿了，后面的數(shù)據(jù)要被丟棄，不能排隊(duì)。

2）SFQ隨機(jī)公平排序

并不會(huì)限制流量，它主要的作用是在連接完全滿的時(shí)候均衡業(yè)務(wù)流，以保證一些連接不至于空等待。當(dāng)連接隊(duì)列完全滿的時(shí)候，SFQ的散列算法會(huì)將隊(duì)列中的數(shù)據(jù)包，進(jìn)行分解隨機(jī)分散到有限數(shù)量的子隊(duì)列中，再由Round-robin算法把從每個(gè)子隊(duì)列的字節(jié)按照順序出隊(duì)。整個(gè)SFQ隊(duì)列可以容納128個(gè)數(shù)據(jù)包，有1024個(gè)子隊(duì)列可用。SFQ隊(duì)列如圖1所示。

3）RED隨機(jī)早先探測(cè)

RED是一種通過(guò)控制平均隊(duì)列長(zhǎng)度避免網(wǎng)絡(luò)擁塞的排序機(jī)制，應(yīng)用在高數(shù)據(jù)率的擁擠的連接上，它在TCP協(xié)議上工作很好，但在UDP上并不理想。當(dāng)平均隊(duì)列長(zhǎng)度達(dá)到RED規(guī)定的某個(gè)值（red-min-threshold）時(shí)，RED就會(huì)隨機(jī)選擇該丟棄隊(duì)列中的某個(gè)包。而當(dāng)平均隊(duì)列長(zhǎng)度達(dá)到red-max-threshold時(shí)，隨后進(jìn)入的包會(huì)被直接丟棄，有時(shí)候真實(shí)隊(duì)列長(zhǎng)度會(huì)遠(yuǎn)遠(yuǎn)大于red-max-threshold，這時(shí)RED會(huì)丟棄所有超過(guò)red-limit的數(shù)據(jù)包，如圖2所示。

4）PCQ（每次連接隊(duì)列）

PCQ（PerConnectionQueuing，每次連接隊(duì)列），可以說(shuō)它是去掉了隨機(jī)特性的進(jìn)化版SFQ。PCQ會(huì)根據(jù)pcq-classifier（組分類器）產(chǎn)生子隊(duì)列，但PCQ隊(duì)列的總大小不能大于pcq-total-limit包。它可以將不同源IP地址的包集合到不同的子隊(duì)列中，并由參數(shù)pcq-limit規(guī)定進(jìn)入子隊(duì)列數(shù)據(jù)包數(shù)，每個(gè)子隊(duì)列都有一個(gè)pcq-rate參數(shù)，對(duì)每一個(gè)子隊(duì)列進(jìn)行限制或均衡，最后每個(gè)子隊(duì)列還可以根據(jù)需求附屬到某個(gè)特定接口上。PCQ用來(lái)均衡多用戶動(dòng)態(tài)形成的流量，有很好的效果，它也是唯一一種能限流的無(wú)等級(jí)排序類型。

5）HTB（等級(jí)令牌桶）

RouterOS中的HTB（等級(jí)令牌桶）隊(duì)列規(guī)則，允許創(chuàng)建一個(gè)類似于樹型結(jié)構(gòu)的等級(jí)隊(duì)列結(jié)構(gòu)，并確定隊(duì)列之間的關(guān)系。每個(gè)隊(duì)列在HTB有2個(gè)速率限制：約定信息速率（在RouterOS中的參數(shù)為limit-at）和最大信息速率（在RouterOS中的參數(shù)為max-limit），通過(guò)雙重限制，對(duì)隊(duì)列進(jìn)行流量管理。

在HTB中，一旦隊(duì)列添加了一個(gè)Child（子隊(duì)列）時(shí)，HTB就會(huì)將其變?yōu)閕nner（內(nèi)部隊(duì)列），僅負(fù)責(zé)傳輸?shù)姆峙?，而?duì)符合的數(shù)據(jù)進(jìn)行處理這項(xiàng)工作則由Leaf（葉隊(duì)列）即向下沒(méi)有Children（子隊(duì)列）的隊(duì)列負(fù)責(zé)。在RouterOS中規(guī)定，必須指定Parent（父級(jí)）選項(xiàng)和一個(gè)子隊(duì)列。

2.2RouterOS對(duì)P2P流量的限制方法

在用RouterOS進(jìn)行BT流量封堵時(shí)，常常采用限制端口的方式進(jìn)行，因?yàn)锽T的服務(wù)端口比較固定。同樣，我們可以使用類似的方法限制P2P流。雖然P2P應(yīng)用采用可變端口，這些P2P應(yīng)用軟件都必須進(jìn)行登錄才能使用，因此可以在客戶端登錄服務(wù)器時(shí)，獲取驗(yàn)證登錄的服務(wù)器IP地址，然后使用IP屏蔽的方式，達(dá)到屏蔽該P(yáng)2P應(yīng)用的目的。首先使用RouterOS的WINBOX界面遠(yuǎn)程登錄P2P應(yīng)用的服務(wù)器，注意在RouterOS上的Interface配置，必須是內(nèi)網(wǎng)的局域網(wǎng)網(wǎng)卡，并做好相應(yīng)的標(biāo)識(shí)，如標(biāo)注Ether1，在Src.Address項(xiàng)配置好要進(jìn)行限制P2P應(yīng)用的主機(jī)IP/掩碼。然后在成功獲取了IP之后，在IP-Firewall中對(duì)IP進(jìn)行屏蔽。這種方式會(huì)完全現(xiàn)在某種特定的P2P應(yīng)用，但很多時(shí)候網(wǎng)絡(luò)管理并不是想要完全限制某些P2P的應(yīng)用，而是希望當(dāng)其在占用大量帶寬時(shí)，進(jìn)行合理及必要的限制。所以往往他們會(huì)降低數(shù)據(jù)包分級(jí)并且限制數(shù)據(jù)包總流量大小，這樣能達(dá)到帶寬控制的目的，又不會(huì)完全限制P2P下載的使用。具體的限制方法可以通過(guò)代碼實(shí)現(xiàn)，例如要將網(wǎng)絡(luò)的總流量限制在512KB時(shí)，可在RouterOS中配置如下腳本代碼：

3RouterOS在公共機(jī)房中的帶寬控制實(shí)踐

在搭建RouterOS系統(tǒng)平臺(tái)時(shí)，只需要設(shè)置好PC機(jī)的串口連接參數(shù)，然后將RouterOS軟件安裝在電子磁盤中，然后再進(jìn)行初始化設(shè)置，就可以開始使用RouterOS系統(tǒng)了。軟件的安裝方式有三種，分別可以通過(guò)光盤安裝、USB安裝和ISO鏡像文件安裝。在使用光盤安裝時(shí)要注意，首先要在PC機(jī)的BIOS設(shè)置成光盤為第一啟動(dòng)盤，然后在安裝過(guò)程中必須勾選system包必須為默認(rèn)安裝。在使用USB方式安裝時(shí)，需要使用Netintall軟件協(xié)助安裝。當(dāng)U盤插入U(xiǎn)SB接口后，啟動(dòng)Netintall軟件，然后選擇RouterOSx86安裝包，然后通過(guò)Netintall軟件將RouterOS系統(tǒng)安裝到U盤上，取出U盤。將PC機(jī)的BIOS設(shè)置成USB引導(dǎo)啟動(dòng)。使用ISO鏡像文件安裝的方式，與光盤類似，這里就不多做介紹。

RouterOS安裝到電腦后，就可以開始系統(tǒng)的初始化配置。首先啟動(dòng)設(shè)備，檢查各個(gè)接口網(wǎng)卡是否連接正常。然后對(duì)RouterOS服務(wù)器進(jìn)行如下配置：

在服務(wù)器端配置好后，使用內(nèi)網(wǎng)IP連接到RouterOS服務(wù)器。使用Winbox軟件進(jìn)行其他具體的配置，具體步驟可分為5步。首先，剛才區(qū)分確定了內(nèi)外網(wǎng)卡，所以第一步，應(yīng)該在系統(tǒng)上配置內(nèi)網(wǎng)網(wǎng)卡名稱，如：內(nèi)網(wǎng)卡命名為：lan，外網(wǎng)卡命名為：wan，這樣能方便以后系統(tǒng)的使用和配置。配置名字后，進(jìn)行第二步IP地址的配置，在winbox的IP—address中配置內(nèi)網(wǎng)和外網(wǎng)的IP，lan上使用：192.168.0.1/24，wan上使用192.168.48.7/24。隨后就開始第三步網(wǎng)關(guān)路由的配置，具體的配置步驟在winbox的IP-routers中配置靜態(tài)默認(rèn)路由，0.0.0.0/0192.168.48.1。第四步要進(jìn)行NAT轉(zhuǎn)換規(guī)則配置，通過(guò)IP-Firewall-NAT中配置：192.168.0.0/24，注意action參數(shù)的配置一定要選擇masquerade。最后，在IP-DNS-setings配置DNS。所有的配置完成后，可以通過(guò)Files保存配置。以上五個(gè)步驟之后，RouterOS平臺(tái)就搭建好了，可以進(jìn)行帶寬分配?？梢酝ㄟ^(guò)建立簡(jiǎn)單隊(duì)列來(lái)對(duì)具體的單個(gè)ip主機(jī)進(jìn)行帶寬限速。第一步要配置隊(duì)列名字，要限速的IP地址，然后配置詳細(xì)的限速，分別有MAXlimit、Burstlimit和Burstthreshold，注意Burstthreshol的值必須小于或等于Burstlimit，超出后將提示錯(cuò)誤，無(wú)法完成配置。所有的配置完成后，可以開始檢驗(yàn)限速是否成功。

4結(jié)論

通過(guò)對(duì)帶寬控制的理論總結(jié)和對(duì)RouterOS對(duì)帶寬控制的具體情況的分析，成功地運(yùn)用RouterOS對(duì)公共機(jī)房的帶寬流量進(jìn)行了分配和有效控制，發(fā)現(xiàn)實(shí)際運(yùn)行效果良好。

參考文獻(xiàn)：

[1]李俊民，郭麗艷.網(wǎng)絡(luò)安全與黑客攻防[M].2版.北京：電子工業(yè)出版社，2010.

[2]胡俊，程瑾.網(wǎng)絡(luò)流量管理控制技術(shù)在校園網(wǎng)的應(yīng)用研究[J].中國(guó)教育信息化，2009（21）：29-30.

[3]孫寒冰.關(guān)于RouterOS在校園網(wǎng)中的應(yīng)用[A].科學(xué)之友，2011.

[4]袁麗慧，張世祿.P2P模式探討與應(yīng)用研究[J].西華師范大學(xué)學(xué)報(bào)，2005，26（4）.

[5]王儉，劉淵.基于P2P應(yīng)用的校園網(wǎng)安全策略及防護(hù)技術(shù)[J].信息技術(shù)，2006（7）.

[6]成都網(wǎng)大科技.RouterOS防火墻與過(guò)濾詳解[EB/OL].2008.