論局域網(wǎng)數(shù)據(jù)流擁堵的綜合治理

李清霞

LI Qing-xia

（廣東工業(yè)大學(xué),廣州 510095）

1 數(shù)據(jù)流擁堵的分析

在局域網(wǎng)中動(dòng)態(tài)的數(shù)據(jù)傳輸速率、數(shù)據(jù)節(jié)點(diǎn)帶寬和數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)延三大傳輸性能指標(biāo)，是數(shù)據(jù)傳輸鏈路是否暢順的衡尺，若不達(dá)標(biāo)就會(huì)在對(duì)應(yīng)的介質(zhì)或節(jié)點(diǎn)上發(fā)生數(shù)據(jù)擁堵[1]。

1.1 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)缺陷

1）網(wǎng)絡(luò)結(jié)構(gòu)層次太多：若網(wǎng)絡(luò)的接入層繼續(xù)向下級(jí)聯(lián)交換機(jī)來擴(kuò)充用戶群，則其級(jí)聯(lián)節(jié)點(diǎn)很容易發(fā)生堵塞， 因?yàn)榻尤雽幼烂娼粨Q機(jī)的端口，無論是速率或帶寬都難以滿足級(jí)聯(lián)干路的流量需求[1,2]。

2）干路負(fù)載分配失衡：若接入層干路重負(fù)載都集中在同一臺(tái)匯聚或核心交換機(jī)的一個(gè)端口，在數(shù)據(jù)交換高峰期可能會(huì)出現(xiàn)惡性循環(huán)的主干節(jié)點(diǎn)擁堵，直至網(wǎng)絡(luò)癱瘓[2]。

3）網(wǎng)絡(luò)冗余預(yù)留不足：當(dāng)網(wǎng)絡(luò)用戶因業(yè)務(wù)發(fā)展需要增加工作站，或使用數(shù)據(jù)交換量大的應(yīng)用軟件時(shí)，就有可能超出網(wǎng)絡(luò)冗余設(shè)計(jì)的能力[2,3]。

4）介質(zhì)超出額定距離：100Mbps下超5類雙絞線的長度限制為100米，而多模光釬在100Mbps或1000Mbps下都是550米。如果超出額定距離，傳輸速率就會(huì)大幅下降，數(shù)據(jù)大量滯留在傳輸信道并造成擁堵。還有，若網(wǎng)絡(luò)支干或主干的介質(zhì)帶寬設(shè)計(jì)不足，即使額定距離符合要求，同樣會(huì)出現(xiàn)上述故障[4]。

1.2 網(wǎng)絡(luò)設(shè)備配置不當(dāng)

網(wǎng)絡(luò)設(shè)備配置關(guān)乎網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)傳輸性能的優(yōu)劣，主要內(nèi)容是選型和調(diào)試，若在這兩個(gè)環(huán)節(jié)上疏忽，最容易滋生數(shù)據(jù)流擁堵的隱患，以下舉幾例論述：

1.2.1 設(shè)備選型方面

1）交換機(jī)背板帶寬不足易產(chǎn)生端口并發(fā)通信瓶頸。路由交換機(jī)暫存在背板待處理的數(shù)據(jù)非常多，一旦容不下則丟包兼時(shí)延，萌發(fā)數(shù)據(jù)流擁堵的先兆[2,3]。

2）服務(wù)器的硬件標(biāo)配通常只有一塊100Mbps的網(wǎng)卡，當(dāng)客戶使用像ERP那種數(shù)據(jù)量大且通訊頻繁的軟件系統(tǒng)時(shí)，網(wǎng)卡的帶寬瓶頸可能會(huì)讓服務(wù)器的I/O性能降低，導(dǎo)致服務(wù)器端口產(chǎn)生數(shù)據(jù)等待甚至阻塞。

3）Internet共享接入設(shè)備主要用路由器承擔(dān)，如果路由器的吞吐量只有幾百Kbps，當(dāng)眾多用戶一齊上網(wǎng)時(shí)就會(huì)因擁擠而大面積掉線。如果取代路由器的代理服務(wù)器的傳輸速率只有10Mbps，則在轉(zhuǎn)發(fā)內(nèi)外主機(jī)之間的通信時(shí)會(huì)明顯緩慢[1,3]。

1.2.2 設(shè)備調(diào)試方面

1）交換機(jī)的傳輸速率一般默認(rèn)在自協(xié)商位置，若保持該默認(rèn)狀態(tài)，在通信時(shí)它們因相互間會(huì)反復(fù)協(xié)商而產(chǎn)生了不必要的傳輸時(shí)延，無意中為數(shù)據(jù)擁堵創(chuàng)造了條件。網(wǎng)卡同樣也有類似問題[5]。

2）若在同一VLAN內(nèi)集中了太多工作站，則該虛擬子網(wǎng)的廣播包會(huì)急劇增加而且不斷消耗線纜帶寬資源，致使動(dòng)態(tài)傳輸速率急劇下降，數(shù)據(jù)流受到阻滯直至擁堵為止。此外，VLAN的數(shù)量過多會(huì)增加路由交換機(jī)的負(fù)擔(dān)，使數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)延逐漸增加。

3）防火墻是局域網(wǎng)必須的，但許多客戶為節(jié)省成本寧愿采用過濾速度偏慢的軟件防火墻。而且太多的過濾規(guī)則會(huì)降低數(shù)據(jù)在防火墻內(nèi)外的傳送速度[6]。

1.3 數(shù)據(jù)訪問權(quán)限失控

在沒有數(shù)據(jù)訪問權(quán)限控制的環(huán)境下，任何用戶都可以進(jìn)入與自身工作無關(guān)的應(yīng)用服務(wù)器中，大量的I/O請(qǐng)求和讀取信息無謂地占用服務(wù)器的節(jié)點(diǎn)帶寬，而真正有需要的用戶卻因信道擁擠和帶寬狹窄無法順暢訪問服務(wù)器，數(shù)據(jù)擁堵必然會(huì)出現(xiàn)[3,5]。

最常用的數(shù)據(jù)訪問控制方式是在C/S網(wǎng)絡(luò)架構(gòu)下，首先通過不同的路由限制了一部份無關(guān)用戶，然后在應(yīng)用服務(wù)器端創(chuàng)建有需要訪問的用戶的不同帳號(hào)及其密碼，接著在共享資源中指定這些用戶才有權(quán)訪問，而不在指定范圍內(nèi)的用戶則遭到訪問拒絕。

這種數(shù)據(jù)訪問控制方式的弊端一是要有許多不同路由才能滿足不同用戶交叉訪問服務(wù)器的復(fù)雜請(qǐng)求，而過多的路由必定增加節(jié)點(diǎn)的時(shí)延、減少節(jié)點(diǎn)的帶寬，反而帶來數(shù)據(jù)擁堵的惡果；二是網(wǎng)絡(luò)用戶未必會(huì)采用指定的帳號(hào)及其密碼登錄應(yīng)用服務(wù)器，他可以在本機(jī)選用默認(rèn)的管理員帳號(hào)登錄，如果管理員帳號(hào)漏設(shè)密碼或Guest帳號(hào)未停用，就可以長驅(qū)直入[2,5]。

2 數(shù)據(jù)流擁堵的治理

本文對(duì)數(shù)據(jù)流擁堵綜合治理的總體思路是，希望通過整改網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、優(yōu)化網(wǎng)絡(luò)設(shè)備配置、完善數(shù)據(jù)訪問控制、實(shí)施網(wǎng)絡(luò)流量監(jiān)控這幾方面的努力，逐步消除擁堵的隱患，最大限度預(yù)防擁堵事故的發(fā)生，并能在擁堵發(fā)生時(shí)能夠合理地疏通解決。

2.1 整改網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

1）精簡級(jí)聯(lián)層數(shù)：將接入層下的所有級(jí)聯(lián)上移至匯聚層，或采用堆疊技術(shù)簡約地?cái)U(kuò)充用戶群；在條件允許下局部簡化匯聚層，即把接入層交換機(jī)直接上聯(lián)核心層。

2）均衡干路流量：將各條輕重不同的干路負(fù)載平均分配在匯聚層各交換機(jī)中，盡量使各匯聚交換機(jī)的背板負(fù)載大致相等。若是直接連接到核心交換機(jī)端口，同樣采納均衡干路負(fù)載的思路[1,5]。

3）更新冗余設(shè)計(jì)：各層的交換機(jī)應(yīng)考慮端口冗余20%、背板帶寬冗余30%、線纜冗余1：1.4，如果不達(dá)標(biāo)則設(shè)立隨時(shí)可以應(yīng)急的備案[2,4]。

4）規(guī)范介質(zhì)長度：敷設(shè)長度大于100米的雙絞線可置換成室內(nèi)多模光釬，在其兩端添加光釬收發(fā)器就仍能接入RJ45口，大于550米的多模光釬要可置換成單模光釬，但接口須重新焊接。

5）核查介質(zhì)帶寬：若發(fā)現(xiàn)支干和主干線的傳輸介質(zhì)帶寬不足，可增加干線并將其接入對(duì)應(yīng)交換機(jī)冗余端口，并設(shè)置端口匯聚來擴(kuò)充干線帶寬[4]。

2.2 優(yōu)化網(wǎng)絡(luò)設(shè)備配置

1）統(tǒng)調(diào)傳輸速率：對(duì)網(wǎng)卡和交換機(jī)除了注意傳輸速率的一致性外，還須禁止其自協(xié)商功能，強(qiáng)制網(wǎng)絡(luò)中所有網(wǎng)卡和交換機(jī)固定在一個(gè)統(tǒng)一的、全雙工的傳輸速率上[2,3]。

2）合理劃分VLAN：同一VLAN內(nèi)建議不超過100臺(tái)主機(jī)，同一局域網(wǎng)內(nèi)建議超過30個(gè)VLAN，才能最大限度避免廣播風(fēng)暴、減少路由瓶頸，確保數(shù)據(jù)流量不受阻滯[5]。

3）啟用高級(jí)配置：如果是網(wǎng)管型交換機(jī)，啟動(dòng)廣播風(fēng)暴抑制功能，可以有效抑制大量的廣播、單播或組播的數(shù)據(jù)包；啟動(dòng)端口流量控制功能，可以控制網(wǎng)絡(luò)節(jié)點(diǎn)的傳輸速率，解決流量擁堵及過載問題[2]。

4）優(yōu)化過濾規(guī)則：行內(nèi)公認(rèn)硬件防火墻的過濾速度比軟件防火墻快，應(yīng)優(yōu)先選用之。防火墻過濾規(guī)則設(shè)置應(yīng)盡可能降低對(duì)其吞吐量的影響，在可靠的安全策略指導(dǎo)下盡量精簡過濾規(guī)則[6]。

5）服務(wù)器集群：將現(xiàn)有的多臺(tái)服務(wù)器集群并安裝負(fù)載均衡軟件，對(duì)外提供一個(gè)統(tǒng)一的地址。當(dāng)一個(gè)訪問請(qǐng)求到達(dá)本集群時(shí)，系統(tǒng)會(huì)自動(dòng)選擇一臺(tái)服務(wù)器接受并提供相關(guān)服務(wù)，直至所有用戶請(qǐng)求被平均分配到所有服務(wù)器分別承擔(dān)。有了這種大量并發(fā)訪問服務(wù)的能力，這個(gè)網(wǎng)絡(luò)上最容易擁堵的節(jié)點(diǎn)自然可以得到疏通[2,5]。

2.3 完善數(shù)據(jù)訪問控制

在域控制管理環(huán)境下實(shí)施數(shù)據(jù)訪問控制。在常見的工作組管理環(huán)境下，數(shù)據(jù)訪問控制不可靠源于客戶機(jī)是失控的，無法保證客戶機(jī)的IP參數(shù)和登錄設(shè)置不被修改。由于在域控制環(huán)境下運(yùn)行活動(dòng)目錄，客戶機(jī)的軟硬件設(shè)置全部納入受控和管理范圍，任何人無法更改或刪除，若要登錄訪問只能使用指定的域名帳號(hào)和密碼[2,3,5]。

域控制管理通過設(shè)置用戶配給權(quán)限和資源使用權(quán)限去完善數(shù)據(jù)訪問控制，確保各用戶能夠定向地訪問服務(wù)器，實(shí)現(xiàn)服務(wù)器節(jié)點(diǎn)的動(dòng)態(tài)帶寬最大化。

1）用戶配給權(quán)限：網(wǎng)絡(luò)管理員(Administrators)是唯一擁有網(wǎng)絡(luò)的完全訪問和控制權(quán)；特殊成員可擁有指定系統(tǒng)管理員（Enterprise Admins）權(quán)限，能訪問權(quán)限級(jí)別較高的網(wǎng)絡(luò)資源，但不允許修改本機(jī)任何設(shè)置；其余成員只能是普通用戶（Users）權(quán)限。不允許修改網(wǎng)絡(luò)及本機(jī)所有設(shè)置。只能受限制地訪問網(wǎng)絡(luò)資源[2]。

2）資源使用權(quán)限：指訪問者對(duì)網(wǎng)絡(luò)各種資源讀/寫/修改的資格。用戶的配給權(quán)限或職位越高，資源使用權(quán)限就越大。例如普通職員通常只有閱讀文件的權(quán)限，但不能寫入或修改；只有特殊成員有寫入甚至修改的權(quán)限。

2.4 實(shí)施網(wǎng)絡(luò)流量監(jiān)控

無論數(shù)據(jù)流擁堵的預(yù)防工作做得多么全面和細(xì)致，始終還是會(huì)出現(xiàn)數(shù)據(jù)堵塞現(xiàn)象的，因?yàn)榫W(wǎng)絡(luò)數(shù)據(jù)流量是一個(gè)隨機(jī)的變數(shù)，例如黑客攻擊和病毒侵襲最容易使流量隨機(jī)性劇增。必須制定一個(gè)流量監(jiān)視與控制的實(shí)戰(zhàn)策略及方案應(yīng)對(duì)數(shù)據(jù)流擁堵的發(fā)生。網(wǎng)絡(luò)流量監(jiān)控的實(shí)施是以成熟的流量監(jiān)控軟件為技術(shù)依托，圍繞著流量采集、流量分析、流量控制這幾個(gè)環(huán)節(jié)進(jìn)行。

2.4.1 網(wǎng)絡(luò)數(shù)據(jù)流量采集

流量采集實(shí)質(zhì)上是利用DPI技術(shù)和軟件工具如TCPDump，對(duì)通過網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)包進(jìn)行捕獲，為數(shù)據(jù)流擁堵的分析提供原始依據(jù)。對(duì)流量數(shù)據(jù)的捕獲選擇方向通常定在網(wǎng)絡(luò)易堵黑點(diǎn)，至于捕獲時(shí)機(jī)則取決于流量監(jiān)測(cè)的結(jié)果。網(wǎng)絡(luò)流量監(jiān)測(cè)方法有三種，1）采用硬件探針串接在需要捕捉流量的鏈路中，通過分流鏈路上的數(shù)字信號(hào)而獲取流量信息，特點(diǎn)是能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息；2）采用測(cè)試儀表提取網(wǎng)絡(luò)設(shè)備里Agent模塊提供的MIB(管理對(duì)象信息庫)一些具體設(shè)備及流量信息有關(guān)的變量，特點(diǎn)是網(wǎng)絡(luò)設(shè)備廠家支持率高而且使用方便；3）基于專屬協(xié)議Netflow，在路由器和交換機(jī)運(yùn)用預(yù)先定制的方式測(cè)量和統(tǒng)計(jì)網(wǎng)絡(luò)流量，特點(diǎn)是能夠?qū)崿F(xiàn)中央部署式的全網(wǎng)絡(luò)流量監(jiān)測(cè)[7,9]。

2.4.2 網(wǎng)絡(luò)流量分析

運(yùn)用軟件分析工具如NTOP等，對(duì)定向采集回來的各種流量信息進(jìn)行帶寬分析、時(shí)延分析和協(xié)議分析，可以定位流量的類型、帶寬、時(shí)間和空間分布、流向；可以判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)或蠕蟲病毒出現(xiàn)，可以查出當(dāng)前占用大量帶寬的主機(jī)和各次通信的目標(biāo)主機(jī)；可以了解數(shù)據(jù)包的大小、發(fā)送時(shí)間以及傳遞時(shí)鏈路的擁塞狀況等詳細(xì)信息。根據(jù)分析結(jié)果，網(wǎng)絡(luò)管理員很方便地找到數(shù)據(jù)擁堵的具體位置及產(chǎn)生原因，及時(shí)采取優(yōu)化措施進(jìn)行疏導(dǎo)解決[8]。

2.4.3 網(wǎng)絡(luò)流量控制

目前主流的網(wǎng)絡(luò)數(shù)據(jù)流量控制方法是[7～9]：

1）利用路由器的流量QOS功能，在數(shù)據(jù)流擁堵時(shí)限制局域網(wǎng)內(nèi)相關(guān)用戶群占用的帶寬，既可以確保為每種應(yīng)用提供不同的帶寬和優(yōu)先權(quán)，又可以遏止異常流量。

2）在數(shù)據(jù)流擁堵時(shí)臨時(shí)封閉6881～6890的下載端口，暫時(shí)中斷一些搶占流量帶寬的下載軟件運(yùn)行，釋放正常訪問的用戶流量。

3）實(shí)行分時(shí)管理，限制或禁止一些流量在指定時(shí)間段內(nèi)對(duì)帶寬的占用，例如在數(shù)據(jù)通信的高峰期間歇性地關(guān)閉一些非優(yōu)先的服務(wù)項(xiàng)目，以緩解難以避免的數(shù)據(jù)流擁堵。

4）為網(wǎng)絡(luò)上每一臺(tái)主機(jī)預(yù)設(shè)固定的上傳和下載的傳輸速率或帶寬，減少用戶之間對(duì)流量需求爭(zhēng)先恐后的危機(jī)。

3 結(jié)論

網(wǎng)絡(luò)流量的不斷增長及網(wǎng)絡(luò)應(yīng)用的日趨繁雜，網(wǎng)絡(luò)管理者必須耗費(fèi)更多時(shí)間和精力來應(yīng)對(duì)數(shù)據(jù)流擁堵。期望無限制地增加局域網(wǎng)帶寬顯然是不現(xiàn)實(shí)的，唯有通過不斷優(yōu)化網(wǎng)絡(luò)性能的各種措施，遏制擁堵的隱患及源頭；還要對(duì)全網(wǎng)絡(luò)的流量實(shí)時(shí)監(jiān)視和有效管理，確保在數(shù)據(jù)流擁堵發(fā)生之際能迅速治理。

[1] 張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].電子工業(yè)出版社,2004,(3)：77-126.

[2] 劉曉輝,楊興明.中小企業(yè)網(wǎng)絡(luò)管理員實(shí)用教程[M].科學(xué)出版社,2004,84-192.

[3] 譚珂,全惠民.局域網(wǎng)組建與管理實(shí)用手冊(cè)[M].中國青年出版社,2003,51-146.

[4] 黎連業(yè).網(wǎng)絡(luò)綜合布線系統(tǒng)與施工技術(shù)[M].北京機(jī)械工業(yè)出版社,2004,47-135.

[5] 劉英,沈林興.網(wǎng)絡(luò)管理技術(shù)教程[M].清華大學(xué)出版社,2006,56-108.

[6] 劉曉輝.網(wǎng)管從業(yè)寶典：交換機(jī)·路由器·防火墻[M].重慶大學(xué)出版社,2008,61-89.

[7] 劉芳.網(wǎng)絡(luò)流量監(jiān)測(cè)與控制[M].北京郵電大學(xué)出版社,2009,12-173.

[8] 孫知信.網(wǎng)絡(luò)異常流量識(shí)別與監(jiān)控技術(shù)研究[M].清華大學(xué)出版社,2010,43-147.

[9] 高彥剛.實(shí)用網(wǎng)絡(luò)流量分析技術(shù)[M].電子工業(yè)出版社,2009,93-217.