基于精確流量控制的網(wǎng)絡(luò)出口管理策略的研究與實(shí)踐

黃偉波

摘要 在進(jìn)行規(guī)范細(xì)致的流量分析的基礎(chǔ)上，制定并實(shí)施精確流量管理策略,有效地改善局域網(wǎng)流量狀況,解決網(wǎng)絡(luò)擁塞問(wèn)題,實(shí)現(xiàn)了網(wǎng)絡(luò)出口管理的優(yōu)化控制。

關(guān)鍵詞 精確流量控制；網(wǎng)絡(luò)出口管理；控制策略

中圖分類號(hào)：TP393 文件標(biāo)識(shí)碼：A文章編號(hào)：1671-489X（2007）02－0057-03

Research and Practice on Network Gateway Management Strategy Based on Accurate Control of Dataflow//Huang Weibo

Abstract After conducting detailed dataflow analyses that conform to standards, the paper devises and carries out the strategy of accurate dataflow management, which effectively enhanced LAN dataflow and therefore solved network congestion. Finally,realizing the optimized management of network gateway.

Key wordsaccurate dataflow control; management of network gateway; strategy of optimized control

Author's address Center of Education Technology，Guangdong University of Foreign Studies，Guangzhou 510420

種類繁多的網(wǎng)絡(luò)傳輸軟件在豐富網(wǎng)絡(luò)資源的同時(shí)，也給各網(wǎng)絡(luò)運(yùn)營(yíng)商特別是局域網(wǎng)的網(wǎng)絡(luò)管理部門(mén)帶來(lái)了很多新的管理難題。新興的分布式點(diǎn)對(duì)點(diǎn)傳輸協(xié)議，如BitTorrent（BT）、eDonkey等利用多進(jìn)程并發(fā)的優(yōu)勢(shì)，大量占用帶寬資源，對(duì)局域網(wǎng)出口帶寬造成很大的壓力，嚴(yán)重影響常規(guī)網(wǎng)絡(luò)應(yīng)用的使用。因此，針對(duì)該類應(yīng)用實(shí)施有效的管理措施，也成為當(dāng)今網(wǎng)絡(luò)管理體系中進(jìn)行流量控制的重要課題。

1 局域網(wǎng)出口管理的現(xiàn)狀

海量豐富而且免費(fèi)的點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)資源是驅(qū)使網(wǎng)絡(luò)用戶使用該類應(yīng)用的原動(dòng)力，資源下載的直接受益者，是每個(gè)使用點(diǎn)對(duì)點(diǎn)傳輸協(xié)議的用戶，而受到損失的是更為廣闊的普通網(wǎng)絡(luò)應(yīng)用用戶群體。在一個(gè)10 000用戶級(jí)別的校園網(wǎng)中，通過(guò)使用100MB電信出口帶寬連接到Internet，正常情況下常規(guī)的網(wǎng)絡(luò)應(yīng)用都可以順暢地進(jìn)行。但如果校園網(wǎng)內(nèi)有1%的用戶在完全不受限制的情況下使用BT一類的協(xié)議下載互聯(lián)網(wǎng)資源，就可能搶占50%以上的帶寬資源，而另外99%用戶的正常網(wǎng)絡(luò)應(yīng)用都會(huì)受到影響，例如網(wǎng)頁(yè)打不開(kāi)、郵件無(wú)法收發(fā)等。這樣的網(wǎng)絡(luò)狀況顯然是不合理的。

單純從單個(gè)用戶使用點(diǎn)對(duì)點(diǎn)下載軟件的過(guò)程而言，并沒(méi)有直觀的侵害效果，甚至對(duì)于絕大部分使用此類方式下載資源的用戶來(lái)說(shuō)，可能只是簡(jiǎn)單地知道BT下載"連接的人越多速度越快"，而下載對(duì)于整個(gè)網(wǎng)絡(luò)的影響則很容易被忽略。從網(wǎng)絡(luò)行為學(xué)的角度來(lái)說(shuō)，如果想用簡(jiǎn)單的網(wǎng)絡(luò)用戶公約或道德規(guī)范來(lái)約束顯然很難起到作用。因此，要限制和規(guī)范網(wǎng)絡(luò)的使用，各網(wǎng)絡(luò)管理部門(mén)普遍采用以下兩種方式：其一，就是用流量費(fèi)用限制每一個(gè)用戶的下載額度；其二，就是使用一些技術(shù)手段限制點(diǎn)對(duì)點(diǎn)應(yīng)用的使用。

按流量計(jì)費(fèi)從本質(zhì)上而言是控制用戶網(wǎng)絡(luò)行為最有效的方式，配合支持流量計(jì)算的路由器，用戶計(jì)費(fèi)軟件可以精確地對(duì)每個(gè)局域網(wǎng)用戶進(jìn)行流量統(tǒng)計(jì)并生產(chǎn)賬單。此類計(jì)費(fèi)方式的軟硬件系統(tǒng)早在20世紀(jì)90年代中期就廣泛使用在網(wǎng)絡(luò)管理系統(tǒng)中，到現(xiàn)在技術(shù)方面已經(jīng)相當(dāng)成熟。功能豐富的計(jì)費(fèi)軟件可以和用戶客戶端認(rèn)證軟件結(jié)合起來(lái)，實(shí)時(shí)告訴用戶當(dāng)前的流量使用情況和相應(yīng)的費(fèi)用狀況。但是從2000年以后，隨著互聯(lián)網(wǎng)規(guī)模的不斷擴(kuò)大，接入互聯(lián)網(wǎng)的基本費(fèi)用大大降低，與互聯(lián)網(wǎng)“開(kāi)放”“免費(fèi)”“共享”資源的理念相對(duì)應(yīng)的是“包時(shí)段不限流量”的網(wǎng)絡(luò)使用方式開(kāi)始迅速普及起來(lái)。從ISP到普通網(wǎng)絡(luò)用戶，“包月”“包年”上網(wǎng)的概念也逐步成為了標(biāo)準(zhǔn)。因此，原有的從流量費(fèi)用角度限制網(wǎng)絡(luò)行為的方式也必然逐步淡出歷史舞臺(tái)。

2數(shù)據(jù)流量和用戶行為分析

用戶使用包時(shí)段不限流的方式上網(wǎng)，帶寬搶占問(wèn)題仍然存在，所以從技術(shù)層面進(jìn)行流量控制還是最終的解決辦法。以下就結(jié)合我校校園網(wǎng)在進(jìn)行詳盡的流量分析之后，實(shí)施精確流量管理的具體過(guò)程，對(duì)技術(shù)策略流量控制及其對(duì)用戶網(wǎng)絡(luò)行為的影響進(jìn)行表述。

作為實(shí)驗(yàn)測(cè)試的我校校園網(wǎng)基本信息如下：20000用戶規(guī)模，使用基于端口的包月方式管理用戶，擁有兩個(gè)100兆帶寬的出口分別用于連接教育網(wǎng)和電信網(wǎng)絡(luò)，校內(nèi)有千兆的高速帶寬?；镜木W(wǎng)絡(luò)拓?fù)淙鐖D1所示：

圖1中心交換機(jī)

在調(diào)整前存在的問(wèn)題是：上網(wǎng)速度慢，特別在每天晚上20點(diǎn)到23點(diǎn)之間，很多網(wǎng)站幾乎都打不開(kāi)。重要網(wǎng)絡(luò)應(yīng)用沒(méi)有帶寬保證，用于教學(xué)、科研、辦公的網(wǎng)絡(luò)在使用的關(guān)鍵時(shí)段還得與其他普通用戶應(yīng)用爭(zhēng)用資源，制約了關(guān)鍵應(yīng)用的推廣。

我們?cè)谛@網(wǎng)出口位置的硬件設(shè)備（是一臺(tái)Cisco 5000系列的路由器），利用設(shè)備提供的SNMP（簡(jiǎn)單網(wǎng)管協(xié)議）服務(wù)，使用相應(yīng)的軟件進(jìn)行流量統(tǒng)計(jì)。在進(jìn)行了一個(gè)自然周的統(tǒng)計(jì)之后，得出校園網(wǎng)兩個(gè)出口在一個(gè)典型工作日流量特征：

1）該校園網(wǎng)用戶的主要上網(wǎng)行為都發(fā)生在電信出口上，教育網(wǎng)出口流量較低，可以不做限制，而電信出口在全天的絕大部分時(shí)段都處在滿負(fù)荷狀態(tài)，已經(jīng)成為了校園網(wǎng)使用的最大瓶頸，必須采取措施進(jìn)行流量控制。

2）對(duì)電信出口帶寬的擁塞狀況進(jìn)行分析。在時(shí)間特性上，連續(xù)觀察一周的流量狀況都呈現(xiàn)出相似的特征，即每天20點(diǎn)到晚上23點(diǎn)間都處于高峰，而這個(gè)時(shí)段也正是絕大部分網(wǎng)絡(luò)用戶正?；顒?dòng)的時(shí)段。因此，可以判斷高負(fù)荷的網(wǎng)絡(luò)流量主要來(lái)自于用戶的使用，而網(wǎng)絡(luò)病毒、入侵攻擊或設(shè)備故障造成的影響不是主因。在白天的流量高峰時(shí)段，還有兩段相對(duì)的波谷部分，分別對(duì)應(yīng)上午的9點(diǎn)鐘到11點(diǎn)鐘和下午15點(diǎn)鐘到18點(diǎn)鐘，這兩個(gè)時(shí)段恰好是學(xué)校里的上課時(shí)間。由于校內(nèi)兩萬(wàn)校園網(wǎng)用戶中70%都是學(xué)生用戶，可以確定學(xué)生用戶是占用出口帶寬資源最主要的用戶群體。

3）對(duì)電信出口進(jìn)行端口鏡像，抓包做流量分析。使用最常用的Sniffer軟件，可以對(duì)流量的TCP/IP特征進(jìn)行診斷。再結(jié)合應(yīng)用層的專業(yè)流量分析設(shè)備（在本次測(cè)試中使用了PacketShaper應(yīng)用層流量分析與控制網(wǎng)關(guān)）對(duì)流量信息進(jìn)行歸納?？紤]到100兆流量下海量的數(shù)據(jù)，我們選擇了流量最高的20點(diǎn)至22點(diǎn)時(shí)段，進(jìn)行抓包分析，歸納到如下的結(jié)果：

表1 分析結(jié)果

由以上的信息可以確定，常規(guī)的網(wǎng)絡(luò)應(yīng)用總和都遠(yuǎn)未達(dá)到出口的100兆帶寬，因此通過(guò)控制和優(yōu)化帶寬策略，是完全可以滿足常規(guī)網(wǎng)絡(luò)應(yīng)用的需求。在抓包測(cè)試中，由于BT等分布式點(diǎn)對(duì)點(diǎn)下載軟件可以使用任意的源端口和目的端口進(jìn)行連接，因此單純通過(guò)TCP/IP協(xié)議無(wú)法對(duì)其進(jìn)行辨別。通過(guò)在客戶機(jī)上的應(yīng)用實(shí)測(cè)，使用自定義端口的其他軟件：如股票在線交易系統(tǒng)、網(wǎng)絡(luò)游戲、聊天室等應(yīng)用都不會(huì)產(chǎn)生很高的流量，因此可以初步推測(cè)，在"Others"特征分組中的絕大部分流量，都是由分布式點(diǎn)對(duì)點(diǎn)下載造成的。包括已知端口的BitTorrent應(yīng)用流量，各類分布式點(diǎn)對(duì)點(diǎn)下載的流量已經(jīng)占用了總出口帶寬資源的40%以上。

2.4對(duì)單個(gè)包進(jìn)行特征分析。90%以上的下載包，單個(gè)本地源IP對(duì)超過(guò)100個(gè)外網(wǎng)目的IP進(jìn)行連接，連接端口在9 000以上。

2.5建立流量控制的需求定義

2.5.1分時(shí)段控制：每天的高峰時(shí)段進(jìn)行流量控制，而在其他時(shí)段，充分利用帶寬資源，不進(jìn)行控制；

2.5.2分區(qū)域控制：對(duì)出口造成壓力最大的是學(xué)生用戶，而用于教學(xué)、科研、辦公的關(guān)鍵性網(wǎng)絡(luò)應(yīng)用要始終保持高帶寬高可用性；在該校園網(wǎng)內(nèi)，學(xué)生用戶使用"192.168"開(kāi)頭的私有地址，而教學(xué)、科研、辦公使用"202.116"開(kāi)頭的教育網(wǎng)地址。

2.5.3分端口控制：常規(guī)應(yīng)用使用的TCP和UDP的1至1024端口要優(yōu)先保證帶寬使用；1024至9000段是常規(guī)的自定義端口程序使用的區(qū)域要有限控制帶寬資源；而9000以上的端口主要是分布式點(diǎn)對(duì)點(diǎn)下載軟件使用的區(qū)域，要嚴(yán)格控制帶寬的使用。

2.5.4分用戶控制：?jiǎn)蝹€(gè)網(wǎng)絡(luò)用戶在正常使用網(wǎng)絡(luò)資源的情況下，最多同時(shí)使用十幾個(gè)TCP會(huì)話，而一個(gè)使用BT下載的用戶卻會(huì)同時(shí)建立超過(guò)500個(gè)會(huì)話。因此，在出口位置要對(duì)單個(gè)用戶同時(shí)使用的TCP會(huì)話數(shù)進(jìn)行限制。

3 根據(jù)出口流量特征制定具體的控制策略

首先，在防火墻策略中，定義時(shí)間循環(huán)控制組：每天8:00－23:00；

定義網(wǎng)絡(luò)端口組：高優(yōu)端口組（包括TCP、UDP的端口1至端口1024）；

中優(yōu)端口組（包括TCP、UDP的端口1025至端口9000）；

低優(yōu)端口組（包括TCP、UDP的端口9000至端口65535）；

定義用戶組：高優(yōu)用戶組（202.116.XXX.XXX 掩碼255.255.0.0）

低優(yōu)用戶組（192.168.XXX.XXX 掩碼255.255.0.0）

定義會(huì)話策略：?jiǎn)蝹€(gè)內(nèi)網(wǎng)IP基于源端口的TCP會(huì)話數(shù)必須小于50，否則丟棄會(huì)話。

通過(guò)以上的定義，可以組合出如下的策略

表2 組合錯(cuò)列表

網(wǎng)絡(luò)流量在通過(guò)以上的策略組合之后，被相應(yīng)分組歸納調(diào)整，從而根據(jù)需求得到了較好的控制。