基于精確流量控制的網絡出口管理策略的研究與實踐

黃偉波

摘要 在進行規范細致的流量分析的基礎上，制定并實施精確流量管理策略,有效地改善局域網流量狀況,解決網絡擁塞問題,實現了網絡出口管理的優化控制。

關鍵詞 精確流量控制；網絡出口管理；控制策略

中圖分類號：TP393 文件標識碼：A文章編號：1671-489X（2007）02－0057-03

Research and Practice on Network Gateway Management Strategy Based on Accurate Control of Dataflow//Huang Weibo

Abstract After conducting detailed dataflow analyses that conform to standards, the paper devises and carries out the strategy of accurate dataflow management, which effectively enhanced LAN dataflow and therefore solved network congestion. Finally,realizing the optimized management of network gateway.

Key wordsaccurate dataflow control; management of network gateway; strategy of optimized control

Author's address Center of Education Technology，Guangdong University of Foreign Studies，Guangzhou 510420

種類繁多的網絡傳輸軟件在豐富網絡資源的同時，也給各網絡運營商特別是局域網的網絡管理部門帶來了很多新的管理難題。新興的分布式點對點傳輸協議，如BitTorrent（BT）、eDonkey等利用多進程并發的優勢，大量占用帶寬資源，對局域網出口帶寬造成很大的壓力，嚴重影響常規網絡應用的使用。因此，針對該類應用實施有效的管理措施，也成為當今網絡管理體系中進行流量控制的重要課題。

1 局域網出口管理的現狀

海量豐富而且免費的點對點網絡資源是驅使網絡用戶使用該類應用的原動力，資源下載的直接受益者，是每個使用點對點傳輸協議的用戶，而受到損失的是更為廣闊的普通網絡應用用戶群體。在一個10 000用戶級別的校園網中，通過使用100MB電信出口帶寬連接到Internet，正常情況下常規的網絡應用都可以順暢地進行。但如果校園網內有1%的用戶在完全不受限制的情況下使用BT一類的協議下載互聯網資源，就可能搶占50%以上的帶寬資源，而另外99%用戶的正常網絡應用都會受到影響，例如網頁打不開、郵件無法收發等。這樣的網絡狀況顯然是不合理的。

單純從單個用戶使用點對點下載軟件的過程而言，并沒有直觀的侵害效果，甚至對于絕大部分使用此類方式下載資源的用戶來說，可能只是簡單地知道BT下載"連接的人越多速度越快"，而下載對于整個網絡的影響則很容易被忽略。從網絡行為學的角度來說，如果想用簡單的網絡用戶公約或道德規范來約束顯然很難起到作用。因此，要限制和規范網絡的使用，各網絡管理部門普遍采用以下兩種方式：其一，就是用流量費用限制每一個用戶的下載額度；其二，就是使用一些技術手段限制點對點應用的使用。

按流量計費從本質上而言是控制用戶網絡行為最有效的方式，配合支持流量計算的路由器，用戶計費軟件可以精確地對每個局域網用戶進行流量統計并生產賬單。此類計費方式的軟硬件系統早在20世紀90年代中期就廣泛使用在網絡管理系統中，到現在技術方面已經相當成熟。功能豐富的計費軟件可以和用戶客戶端認證軟件結合起來，實時告訴用戶當前的流量使用情況和相應的費用狀況。但是從2000年以后，隨著互聯網規模的不斷擴大，接入互聯網的基本費用大大降低，與互聯網“開放”“免費”“共享”資源的理念相對應的是“包時段不限流量”的網絡使用方式開始迅速普及起來。從ISP到普通網絡用戶，“包月”“包年”上網的概念也逐步成為了標準。因此，原有的從流量費用角度限制網絡行為的方式也必然逐步淡出歷史舞臺。

2數據流量和用戶行為分析

用戶使用包時段不限流的方式上網，帶寬搶占問題仍然存在，所以從技術層面進行流量控制還是最終的解決辦法。以下就結合我校校園網在進行詳盡的流量分析之后，實施精確流量管理的具體過程，對技術策略流量控制及其對用戶網絡行為的影響進行表述。

作為實驗測試的我校校園網基本信息如下：20000用戶規模，使用基于端口的包月方式管理用戶，擁有兩個100兆帶寬的出口分別用于連接教育網和電信網絡，校內有千兆的高速帶寬。基本的網絡拓撲如圖1所示：

圖1中心交換機

在調整前存在的問題是：上網速度慢，特別在每天晚上20點到23點之間，很多網站幾乎都打不開。重要網絡應用沒有帶寬保證，用于教學、科研、辦公的網絡在使用的關鍵時段還得與其他普通用戶應用爭用資源，制約了關鍵應用的推廣。

我們在校園網出口位置的硬件設備（是一臺Cisco 5000系列的路由器），利用設備提供的SNMP（簡單網管協議）服務，使用相應的軟件進行流量統計。在進行了一個自然周的統計之后，得出校園網兩個出口在一個典型工作日流量特征：

1）該校園網用戶的主要上網行為都發生在電信出口上，教育網出口流量較低，可以不做限制，而電信出口在全天的絕大部分時段都處在滿負荷狀態，已經成為了校園網使用的最大瓶頸，必須采取措施進行流量控制。

2）對電信出口帶寬的擁塞狀況進行分析。在時間特性上，連續觀察一周的流量狀況都呈現出相似的特征，即每天20點到晚上23點間都處于高峰，而這個時段也正是絕大部分網絡用戶正常活動的時段。因此，可以判斷高負荷的網絡流量主要來自于用戶的使用，而網絡病毒、入侵攻擊或設備故障造成的影響不是主因。在白天的流量高峰時段，還有兩段相對的波谷部分，分別對應上午的9點鐘到11點鐘和下午15點鐘到18點鐘，這兩個時段恰好是學校里的上課時間。由于校內兩萬校園網用戶中70%都是學生用戶，可以確定學生用戶是占用出口帶寬資源最主要的用戶群體。

3）對電信出口進行端口鏡像，抓包做流量分析。使用最常用的Sniffer軟件，可以對流量的TCP/IP特征進行診斷。再結合應用層的專業流量分析設備（在本次測試中使用了PacketShaper應用層流量分析與控制網關）對流量信息進行歸納。考慮到100兆流量下海量的數據，我們選擇了流量最高的20點至22點時段，進行抓包分析，歸納到如下的結果：

表1 分析結果

由以上的信息可以確定，常規的網絡應用總和都遠未達到出口的100兆帶寬，因此通過控制和優化帶寬策略，是完全可以滿足常規網絡應用的需求。在抓包測試中，由于BT等分布式點對點下載軟件可以使用任意的源端口和目的端口進行連接，因此單純通過TCP/IP協議無法對其進行辨別。通過在客戶機上的應用實測，使用自定義端口的其他軟件：如股票在線交易系統、網絡游戲、聊天室等應用都不會產生很高的流量，因此可以初步推測，在"Others"特征分組中的絕大部分流量，都是由分布式點對點下載造成的。包括已知端口的BitTorrent應用流量，各類分布式點對點下載的流量已經占用了總出口帶寬資源的40%以上。

2.4對單個包進行特征分析。90%以上的下載包，單個本地源IP對超過100個外網目的IP進行連接，連接端口在9 000以上。

2.5建立流量控制的需求定義

2.5.1分時段控制：每天的高峰時段進行流量控制，而在其他時段，充分利用帶寬資源，不進行控制；

2.5.2分區域控制：對出口造成壓力最大的是學生用戶，而用于教學、科研、辦公的關鍵性網絡應用要始終保持高帶寬高可用性；在該校園網內，學生用戶使用"192.168"開頭的私有地址，而教學、科研、辦公使用"202.116"開頭的教育網地址。

2.5.3分端口控制：常規應用使用的TCP和UDP的1至1024端口要優先保證帶寬使用；1024至9000段是常規的自定義端口程序使用的區域要有限控制帶寬資源；而9000以上的端口主要是分布式點對點下載軟件使用的區域，要嚴格控制帶寬的使用。

2.5.4分用戶控制：單個網絡用戶在正常使用網絡資源的情況下，最多同時使用十幾個TCP會話，而一個使用BT下載的用戶卻會同時建立超過500個會話。因此，在出口位置要對單個用戶同時使用的TCP會話數進行限制。

3 根據出口流量特征制定具體的控制策略

首先，在防火墻策略中，定義時間循環控制組：每天8:00－23:00；

定義網絡端口組：高優端口組（包括TCP、UDP的端口1至端口1024）；

中優端口組（包括TCP、UDP的端口1025至端口9000）；

低優端口組（包括TCP、UDP的端口9000至端口65535）；

定義用戶組：高優用戶組（202.116.XXX.XXX 掩碼255.255.0.0）

低優用戶組（192.168.XXX.XXX 掩碼255.255.0.0）

定義會話策略：單個內網IP基于源端口的TCP會話數必須小于50，否則丟棄會話。

通過以上的定義，可以組合出如下的策略

表2 組合錯列表

網絡流量在通過以上的策略組合之后，被相應分組歸納調整，從而根據需求得到了較好的控制。