基于IP層園區(qū)網(wǎng)出口流量的管理與優(yōu)化

吳興勇 楊勇 黃榮華

1云南農(nóng)業(yè)大學(xué)網(wǎng)絡(luò)中心 云南 650201 2云南大學(xué)網(wǎng)絡(luò)中心 云南 650091 3云南農(nóng)業(yè)大學(xué)農(nóng)村發(fā)展政策研究中心 云南 650201

0 引言

網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，園區(qū)網(wǎng)在單位和企業(yè)中所扮演的角色越來越重要，訪問 Internet仍然是園區(qū)網(wǎng)永恒的主題，網(wǎng)內(nèi)用戶隨時在抱怨出口速度慢，租用出口線路的帶寬越來越大，接入的運(yùn)營商越來越多，但仍舊滿足不了用戶的需求。但是在沒有任何流量控制和優(yōu)化的出口中，從出口流量的分析我們可以看到P2P下載、視頻點(diǎn)播、病毒、廣告等流量占據(jù)了相當(dāng)?shù)膸?，影響著正常的網(wǎng)絡(luò)訪問和數(shù)據(jù)傳輸。

因此，從緩解出口壓力，規(guī)范出口流量，均衡多出口負(fù)載的角度出發(fā)，使用現(xiàn)有的技術(shù)手段和措施來規(guī)范網(wǎng)絡(luò)訪問，合理使用帶寬，減少異常流量，使得網(wǎng)絡(luò)出口順暢、高效、可靠地為用戶服務(wù)。

1 流量管理概述與IP層流量管理

流量管理屬于網(wǎng)絡(luò)管理五大管理功能的性能管理范疇，網(wǎng)絡(luò)的可用性是性能管理的重要組成，出口流量管理旨在實現(xiàn)出口帶寬合理使用，有效地分配帶寬，為用戶提供一個相對公平的網(wǎng)絡(luò)訪問，減少網(wǎng)絡(luò)中無效數(shù)據(jù)對帶寬占用。

從 TCP/IP協(xié)議模型上來說我們可以從網(wǎng)絡(luò)層、傳輸層和應(yīng)用層這三個層次上來逐一實現(xiàn)網(wǎng)絡(luò)出口流量的管理與優(yōu)化。從 IP層上來說，可以采用訪問控制列表 ACL、QoS限速、策略路由、靜態(tài)路由等來實現(xiàn)出口的流量管理與優(yōu)化；從傳輸層上來說，可以采用控制連接數(shù)，過濾端口等技術(shù)實現(xiàn)流量的管理與優(yōu)化；在應(yīng)用層方面，可以采用用戶認(rèn)證與計費(fèi)系統(tǒng)，流量整形系統(tǒng)來實現(xiàn)流量管理與優(yōu)化。本文主要闡述IP層的流量管理與優(yōu)化。

IP層的主要功能是實現(xiàn)無連接的IP數(shù)據(jù)包的轉(zhuǎn)發(fā)和路由選擇功能，無連接的特點(diǎn)導(dǎo)致了網(wǎng)絡(luò)用戶競爭使用網(wǎng)絡(luò)帶寬，使其對業(yè)務(wù)的QoS無法保障。要改變這一事實，IP層流量管理可通過ACL訪問控制列表實現(xiàn)策略路由、IP限流、IP過濾、IP數(shù)據(jù)包優(yōu)先隊列等，也可以通過靜態(tài)路由來實現(xiàn)多出口分流。

2 靜態(tài)路由實現(xiàn)園區(qū)網(wǎng)多出口流量分流

圖1為典型的校園網(wǎng)拓?fù)?，有三個出口，即教育出口、電信出口、聯(lián)通出口，內(nèi)網(wǎng)用戶數(shù)據(jù)如何進(jìn)行路由選擇、多出口流量負(fù)載均衡是一個基本的出口管理問題。我們理想的管理目標(biāo)是訪問教育網(wǎng)的數(shù)據(jù)通過教育網(wǎng)出口走，訪問電信的數(shù)據(jù)通過電信網(wǎng)出口走，訪問聯(lián)通的數(shù)據(jù)通過電信網(wǎng)出口走，其他的數(shù)據(jù)能夠均衡的從各條鏈路最優(yōu)通過。但是，路由器不能完成理想的智能選擇，實現(xiàn)多出口快速訪問，我們可通過靜態(tài)路由把教育網(wǎng)、聯(lián)通的 IP地址列表加入路由表中，因為靜態(tài)路由的優(yōu)先級最高，這樣解決了教育網(wǎng)和聯(lián)通的數(shù)據(jù)快速轉(zhuǎn)發(fā)問題；對于其它數(shù)據(jù)，可以一視同仁將其轉(zhuǎn)發(fā)到電信網(wǎng)接口上，做一個默認(rèn)路由。對于訪問其它網(wǎng)絡(luò)的數(shù)據(jù)負(fù)載均衡問題，可以根據(jù)訪問量把部分外網(wǎng)地址空間劃到聯(lián)通或教育網(wǎng)轉(zhuǎn)發(fā)，或者只能用專用的負(fù)載均衡設(shè)備來實現(xiàn)更精確的多鏈路負(fù)載均衡。

圖1 典型園區(qū)網(wǎng)出口拓?fù)?/p>

其中，第一條為指向教育網(wǎng)的默認(rèn)路由，優(yōu)先值設(shè)為150，該默認(rèn)路由的優(yōu)先級最低，第二條是指向聯(lián)通的默認(rèn)路由，優(yōu)先值設(shè)為 120，該默認(rèn)路由優(yōu)先級次之，第三條路由是指向電信的默認(rèn)路由，優(yōu)先級設(shè)置為默認(rèn)值為60，優(yōu)先級最高。這樣設(shè)置的好處在于當(dāng)某條線路出現(xiàn)問題時，另外的線路可以自動設(shè)置為主線路，大大增強(qiáng)不間斷外網(wǎng)訪問的可靠性。第四條路由實現(xiàn)通過聯(lián)通出口轉(zhuǎn)發(fā)該網(wǎng)段地址空間的數(shù)據(jù)，第五條實現(xiàn)通過教育網(wǎng)出口轉(zhuǎn)發(fā)該地址段的數(shù)據(jù)。

3 策略路由實現(xiàn)外網(wǎng)訪問服務(wù)器

對于網(wǎng)內(nèi)對外公開訪問的服務(wù)器，如WWW、Email服務(wù)器等，則需使用策略路由來實現(xiàn)服務(wù)器對外提供服務(wù)。策略路由的實現(xiàn)是先定義服務(wù)器的訪問控制列表ACL，然后創(chuàng)建策略類，再創(chuàng)建策略行為，第四步將綁定策略類和策略行為，最后將策略應(yīng)用到接口。

例如，服務(wù)器網(wǎng)段為192.168.100.0/24，該服務(wù)器組需要從聯(lián)通出口轉(zhuǎn)發(fā)，其配置為：

經(jīng)過策略路由，使得 192.168.100.0/24網(wǎng)段的服務(wù)器所有數(shù)據(jù)包都向網(wǎng)通出口轉(zhuǎn)發(fā)。這樣，在外網(wǎng)就可以正常地訪問園區(qū)網(wǎng)內(nèi)的服務(wù)器了。

4 基于時間段的IP限流實現(xiàn)用戶公平訪問外網(wǎng)

為保障每個用戶公平使用網(wǎng)絡(luò)，可對網(wǎng)內(nèi)用戶實現(xiàn) IP限流來達(dá)到目的，其原理是通過定義限流IP的流量上下限，當(dāng)流量超過上限時，則丟棄該IP的數(shù)據(jù)包。另外，往往網(wǎng)絡(luò)的擁堵是在某一個時間段，在特定時間段內(nèi)來實施IP限流比較人性化。在華為路由器上實施步驟為：首先定義時間范圍，定義基于時間限流的IP范圍的ACL，然后在接口中應(yīng)用QoS限流。

5 IP數(shù)據(jù)包優(yōu)先轉(zhuǎn)發(fā)保障服務(wù)器高速訪問

一般情況下，園區(qū)網(wǎng)的出口路由器都有QoS隊列優(yōu)先機(jī)制，可以實現(xiàn)對服務(wù)器網(wǎng)段的優(yōu)先轉(zhuǎn)發(fā)。優(yōu)先隊列也稱為PQ隊列，其處理機(jī)制如圖2所示。

圖2 PQ隊列處理示意圖

PQ可以根據(jù)網(wǎng)絡(luò)協(xié)議(比如IP，IPX)、數(shù)據(jù)流入接口、報文長短、源地址/目的地址等靈活地指定優(yōu)先次序。優(yōu)先隊列將報文分成 4類，分別為高優(yōu)先隊列(top)、中優(yōu)先隊列(middle)、正常優(yōu)先隊列(normal)和低優(yōu)先隊列(bottom)，它們的優(yōu)先級依次降低。缺省情況下，數(shù)據(jù)流進(jìn)入normal隊列。

路由器中具體實現(xiàn)過程可分為4步，即配置不同優(yōu)先級的 ACL列表，配置優(yōu)先隊列規(guī)則組，在接口中應(yīng)用優(yōu)先隊列規(guī)則組。

如圖3所示，Server 和Host A通過Router 向Internet發(fā)送數(shù)據(jù)(其中Server發(fā)送關(guān)鍵業(yè)務(wù)數(shù)據(jù)，Host A發(fā)送非關(guān)鍵業(yè)務(wù)數(shù)據(jù))時，由于Router入接口G0/0的速率大于出接口Serial1/1 的速率，在Serial1/1接口處可能發(fā)生擁塞，導(dǎo)致丟包。要求在網(wǎng)絡(luò)擁塞時保證Server 發(fā)送的關(guān)鍵業(yè)務(wù)數(shù)據(jù)得到優(yōu)先處理。

配置內(nèi)容如下：

acl number 2001

rule 1 permit source 1.1.1.1 0.0.0.0

acl number 2002

rule 1 permit source 1.1.1.2 0.0.0.0

qos pql 1 protocol ip acl 2001 queue top

qos pql 1 protocol ip acl 2002 queue bottom

qos pql 1 queue top queue-length 50

qos pql 1 queue bottom queue-length 100

qos pq pql 1

首先配置ACL規(guī)則列表，分別匹配來源于Server和Host A的報文。配置優(yōu)先隊列規(guī)則組，使得網(wǎng)絡(luò)擁塞發(fā)生時，源自Server 的報文能夠進(jìn)入PQ 的top 隊列緩存，優(yōu)先轉(zhuǎn)發(fā)，源自Host A的報文能夠進(jìn)入bottom 隊列緩存，并且設(shè)定top隊列的最大隊列長度為 50、bottom隊列的最大隊列長度為100。最后在接口中應(yīng)用該隊列規(guī)則組，實現(xiàn)接口上優(yōu)先隊列的轉(zhuǎn)發(fā)。

6 總結(jié)

經(jīng)過這些流量管理與優(yōu)化技術(shù)的實現(xiàn)，一方面保證了園區(qū)網(wǎng)多出口的流量分配和服務(wù)器正常、高速、可靠地訪問；另一方面，解決了在上網(wǎng)高峰期部分用戶占據(jù)大量帶寬的不公平現(xiàn)象。另外，出口流量管理與優(yōu)化不僅僅在IP層實現(xiàn)，還可以在傳輸層和應(yīng)用層實現(xiàn)連接數(shù)限制，端口過濾、用戶賬號限速、流量整形等功能，進(jìn)一步完善園區(qū)網(wǎng)出口的管理和優(yōu)化。

[1]於建華,廖祥,孫莉.P2P流量識別方法的研究及實現(xiàn)[J].廣東通信技術(shù).2007.

[2]周文莉,雷振明.一種控制 BT流量的方法及其對用戶的影響[J].計算機(jī)工程.2007.

[3]王宏.網(wǎng)絡(luò)綜合流量管理關(guān)鍵技術(shù)研究[D].中國博士學(xué)位論文全文數(shù)據(jù)庫.2008.

[4]曹錚,傅文卿,黃蕊.互聯(lián)網(wǎng)流量成分及運(yùn)營策略分析[J].中國新通信.2006.

[5]周耀勝.網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用及方案比較[J].現(xiàn)代電信科技.2009.