孫方威 王二利 吳建

摘 要：航天業(yè)務(wù)網(wǎng)TCP突發(fā)流量可能造成網(wǎng)絡(luò)擁塞，導(dǎo)致業(yè)務(wù)數(shù)據(jù)傳輸延遲大，甚至丟包，網(wǎng)絡(luò)通信保障能力大大降低，嚴重影響航天業(yè)務(wù)網(wǎng)信息的順利傳輸。根據(jù)基于包過濾的訪問控制ACL技術(shù)調(diào)控網(wǎng)絡(luò)傳輸時TCP突發(fā)流量造成網(wǎng)絡(luò)擁塞、信道質(zhì)量下降的解決方法，航天業(yè)務(wù)網(wǎng)運用ACL技術(shù)調(diào)控TCP突發(fā)流量并進行仿真，結(jié)果發(fā)現(xiàn)ACL技術(shù)能夠有效控制TCP突發(fā)流量。采取ACL技術(shù)控制TCP流量后，航天業(yè)務(wù)網(wǎng)不再因TCP突發(fā)流量發(fā)生網(wǎng)絡(luò)信道擁塞現(xiàn)象。

關(guān)鍵詞：航天業(yè)務(wù)網(wǎng);網(wǎng)絡(luò)擁塞;TCP突發(fā)流量;ACL技術(shù)

中圖分類號：TP393.06文獻標識碼：A文章編號：1003-5168（2021）02-0005-03

Research and Application of TCP Flow Control in Aerospace Business Network

SUN Fangwei WANG Erli WU Jian

（Taiyuan Satellite Launch Center，Kelan Shanxi 036301）

Abstract： The TCP burst traffic of the aerospace business network may cause network congestion， leading to long service data transmission delays， and even packet loss， greatly reducing the network communication guarantee capability， and seriously affecting the smooth transmission of the aerospace business network information. Based on the solution of TCP burst traffic causing network congestion and channel quality degradation when access control ACL technology based on packet filtering regulates network transmission， the aerospace business network uses ACL technology to regulate TCP burst traffic and perform simulations， and it turns out that ACL technology can effectively control TCP burst traffic. After adopting ACL technology to control TCP traffic， the aerospace business network no longer has network channel congestion due to TCP burst traffic.

Keywords： aerospace business network;network congestion;TCP burst traffic;ACL technology

在航天業(yè)務(wù)網(wǎng)絡(luò)中，TCP協(xié)議類型的多媒體流數(shù)據(jù)頻繁交互，其可能產(chǎn)生大突發(fā)流量，這為航天業(yè)務(wù)網(wǎng)的安全穩(wěn)定運行帶來較大的隱患。當多媒體業(yè)務(wù)流在信道上產(chǎn)生TCP大突發(fā)流[1-2]時，大突發(fā)流量會導(dǎo)致網(wǎng)絡(luò)信道因?qū)嶋H帶寬超過額定帶寬而發(fā)生擁塞，甚至可能引起網(wǎng)絡(luò)邏輯鏈路中斷，影響業(yè)務(wù)數(shù)據(jù)傳輸。目前，航天數(shù)據(jù)傳輸對航天業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)性能、服務(wù)質(zhì)量和安全性能的期望不斷提高，但“盡力而為”服務(wù)是航天業(yè)務(wù)網(wǎng)中主要的一種服務(wù)類別，所有數(shù)據(jù)流在網(wǎng)絡(luò)中被同等對待，缺少有效管理，局部擁塞[3]經(jīng)常發(fā)生，導(dǎo)致網(wǎng)絡(luò)性能下降、應(yīng)用的分組丟失和數(shù)據(jù)抖動，不能保證服務(wù)質(zhì)量?；诖?，針對多媒體業(yè)務(wù)數(shù)據(jù)，人們在航天業(yè)務(wù)網(wǎng)絡(luò)中利用訪問控制列表（Access Control List，ACL）技術(shù)[4]管理網(wǎng)絡(luò)流量，保證TCP流量突發(fā)時實時流速低于帶寬閾值，防止網(wǎng)絡(luò)信道因擁塞而發(fā)生邏輯中斷，這對提高網(wǎng)絡(luò)性能有著巨大的意義。

1 TCP流擁塞原理

在航天業(yè)務(wù)網(wǎng)中，當客戶端采取TCP協(xié)議連接向服務(wù)器請求數(shù)據(jù)時，其請求的數(shù)據(jù)以配置文件的形式一次性提交給TCP/IP協(xié)議棧處理并以TCP報文的形式突發(fā)形成瞬時大突發(fā)流量數(shù)據(jù)，TCP數(shù)據(jù)流與正常業(yè)務(wù)流量數(shù)據(jù)疊加，可能超過網(wǎng)絡(luò)帶寬閾值，此時網(wǎng)絡(luò)產(chǎn)生擁塞。數(shù)據(jù)邏輯分析如圖1所示，圖中，梯形面積表示每次發(fā)送報文流大小，虛線箭頭是指TCP突發(fā)流時刻。

在圖1中，假定帶寬為1 000 Mbps光纖網(wǎng)絡(luò)鏈路。在圖1（a）中，流量帶寬為正常業(yè)務(wù)流量數(shù)據(jù)（小于1 000 Mbps帶寬），此時網(wǎng)絡(luò)信道不會造成擁塞（超過1 000 Mbps帶寬）。在圖1（b）中，當網(wǎng)絡(luò)通信雙方（客戶端與服務(wù)器）之間通過TCP建立連接交互數(shù)據(jù)時，TCP流量產(chǎn)生，即TCP流量從紅色箭頭所指時刻與正常業(yè)務(wù)流進行流量疊加，此時網(wǎng)絡(luò)信道的流量帶寬會超過1 000 Mbps，網(wǎng)絡(luò)信道發(fā)生擁堵，邏輯鏈路中斷，數(shù)據(jù)傳輸中斷;當圖1（b）中TCP突發(fā)流量發(fā)生在正常業(yè)務(wù)流量之間或者兩者疊加的帶寬流量不超過1 000 Mbps時，網(wǎng)絡(luò)信道不會發(fā)生擁塞中斷，數(shù)據(jù)傳輸正常。

2 ACL基本原理

訪問控制（Access Control）是網(wǎng)絡(luò)服務(wù)質(zhì)量理論的重要部分，它能夠保障合法用戶正常地獲取所需資源，同時還能拒絕非授權(quán)用戶的非法訪問。ACL技術(shù)通過在路由器或三層交換機上設(shè)置合理的ACL策略，可在一定程度上增強網(wǎng)絡(luò)的穩(wěn)定性。ACL的主要功能包括流量控制、包過濾防火墻、NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）、QoS（Quality of Service，服務(wù)質(zhì)量）數(shù)據(jù)分類和路由策略過濾。

一個ACL可以由一條或多條“deny | permit”語句組成，當網(wǎng)絡(luò)設(shè)備收到一個數(shù)據(jù)包時，若入接口上沒有啟動流量控制，則數(shù)據(jù)包直接被提交給網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)進程進行處理;若在入接口上啟動了ACL流量控制，則將數(shù)據(jù)包交給入站交換機進行限速，下面詳細說明其工作流程。

具體來說，交換機（路由器）用ACL中第一條規(guī)則的條件來嘗試匹配數(shù)據(jù)包信息;若數(shù)據(jù)包信息符合此規(guī)則的條件（即數(shù)據(jù)包命中此規(guī)則），則執(zhí)行規(guī)則所設(shè)定的動作，若動作為permit，則允許此數(shù)據(jù)包穿過設(shè)備，將其提交給設(shè)備轉(zhuǎn)發(fā)進程來處理進行速率限定，若動作為deny，則丟棄此數(shù)據(jù)包;若數(shù)據(jù)包信息不符合此規(guī)則的條件，則繼續(xù)嘗試匹配下一條ACL規(guī)則;若數(shù)據(jù)包信息不符合任何一條規(guī)則的條件，則執(zhí)行默認動作，若默認動作為permit，則允許此數(shù)據(jù)包穿過接口進入設(shè)備轉(zhuǎn)發(fā)流程，若動作為deny，則丟棄此數(shù)據(jù)包。

ACL包過濾具有方向性，可以指定出接口或入接口方向的數(shù)據(jù)包過濾。出接口包過濾流程與入接口類似，本文不再贅述。

3 試驗結(jié)果與驗證

網(wǎng)絡(luò)仿真試驗環(huán)境如圖2所示。

圖2中，PC1、PC2和PC3通過以太網(wǎng)流量生成工具（LanTrafficV2）模擬仿真業(yè)務(wù)流量，同時觸發(fā)圖像服務(wù)器的數(shù)據(jù)同步以形成TCP突發(fā)流，鏈路帶寬均為千兆，A、B之間配置BFD[5]以快速檢測鏈路情況。從PC1至PC3模擬B點出向數(shù)據(jù);從PC2至PC3模擬B點出向數(shù)據(jù);從PC3至PC1模擬B點入向數(shù)據(jù)。利用華為U2000網(wǎng)管軟件觀察交換機CS1出向流量，并對路由器和交換機的BFD震蕩、網(wǎng)絡(luò)數(shù)據(jù)進行觀察。模擬驗證結(jié)果如表1所示。

由表1分析可知，觸發(fā)圖像管理服務(wù)器同步數(shù)據(jù)，會產(chǎn)生TCP大突發(fā)流量，使CS1與CR之間鏈路帶寬超過1 000Mbps時網(wǎng)絡(luò)鏈路擁塞，廣域網(wǎng)遠端站點接收數(shù)據(jù)中斷，結(jié)果符合預(yù)期。

在交換機上使用ACL技術(shù)調(diào)控TCP突發(fā)流量，經(jīng)仿真及實際業(yè)務(wù)驗證，ACL技術(shù)解決了TCP大突發(fā)流量導(dǎo)致網(wǎng)絡(luò)信道邏輯鏈路擁塞和中斷的問題。

4 結(jié)語

在航天業(yè)務(wù)網(wǎng)上，訪問控制ACL技術(shù)實現(xiàn)了TCP突發(fā)流量的調(diào)控作用，解決了航天業(yè)務(wù)網(wǎng)數(shù)據(jù)傳輸時因TCP突發(fā)流量導(dǎo)致網(wǎng)絡(luò)信道擁塞甚至中斷的問題，在一定程度上保障了數(shù)據(jù)的可靠傳輸，提高了網(wǎng)絡(luò)的穩(wěn)定性。

參考文獻：

[1]朱珺.中心計算機網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)的研究與實踐[J].微型機與應(yīng)用，2013（12）：54-56.

[2]查普爾，蒂特爾，張長富，等.TCP/IP協(xié)議原理與應(yīng)用[M].北京：清華大學(xué)出版社，2009：11.

[3]何凌.TCP/IP網(wǎng)絡(luò)擁塞控制若干問題的研究[D].沈陽：東北大學(xué)，2008：22-23.

[4]關(guān)天敏.ACL應(yīng)用技術(shù)與配置實例[J].中國教育網(wǎng)絡(luò)，2011（12）：78-80.

[5]程路.IP承載網(wǎng)BFD應(yīng)用研究[J].中國高新技術(shù)企業(yè)，2010（24）：71-72.