論局域網數據流擁堵的綜合治理

李清霞

LI Qing-xia

（廣東工業大學,廣州 510095）

1 數據流擁堵的分析

在局域網中動態的數據傳輸速率、數據節點帶寬和數據轉發時延三大傳輸性能指標，是數據傳輸鏈路是否暢順的衡尺，若不達標就會在對應的介質或節點上發生數據擁堵[1]。

1.1 網絡拓撲設計缺陷

1）網絡結構層次太多：若網絡的接入層繼續向下級聯交換機來擴充用戶群，則其級聯節點很容易發生堵塞， 因為接入層桌面交換機的端口，無論是速率或帶寬都難以滿足級聯干路的流量需求[1,2]。

2）干路負載分配失衡：若接入層干路重負載都集中在同一臺匯聚或核心交換機的一個端口，在數據交換高峰期可能會出現惡性循環的主干節點擁堵，直至網絡癱瘓[2]。

3）網絡冗余預留不足：當網絡用戶因業務發展需要增加工作站，或使用數據交換量大的應用軟件時，就有可能超出網絡冗余設計的能力[2,3]。

4）介質超出額定距離：100Mbps下超5類雙絞線的長度限制為100米，而多模光釬在100Mbps或1000Mbps下都是550米。如果超出額定距離，傳輸速率就會大幅下降，數據大量滯留在傳輸信道并造成擁堵。還有，若網絡支干或主干的介質帶寬設計不足，即使額定距離符合要求，同樣會出現上述故障[4]。

1.2 網絡設備配置不當

網絡設備配置關乎網絡實時數據傳輸性能的優劣，主要內容是選型和調試，若在這兩個環節上疏忽，最容易滋生數據流擁堵的隱患，以下舉幾例論述：

1.2.1 設備選型方面

1）交換機背板帶寬不足易產生端口并發通信瓶頸。路由交換機暫存在背板待處理的數據非常多，一旦容不下則丟包兼時延，萌發數據流擁堵的先兆[2,3]。

2）服務器的硬件標配通常只有一塊100Mbps的網卡，當客戶使用像ERP那種數據量大且通訊頻繁的軟件系統時，網卡的帶寬瓶頸可能會讓服務器的I/O性能降低，導致服務器端口產生數據等待甚至阻塞。

3）Internet共享接入設備主要用路由器承擔，如果路由器的吞吐量只有幾百Kbps，當眾多用戶一齊上網時就會因擁擠而大面積掉線。如果取代路由器的代理服務器的傳輸速率只有10Mbps，則在轉發內外主機之間的通信時會明顯緩慢[1,3]。

1.2.2 設備調試方面

1）交換機的傳輸速率一般默認在自協商位置，若保持該默認狀態，在通信時它們因相互間會反復協商而產生了不必要的傳輸時延，無意中為數據擁堵創造了條件。網卡同樣也有類似問題[5]。

2）若在同一VLAN內集中了太多工作站，則該虛擬子網的廣播包會急劇增加而且不斷消耗線纜帶寬資源，致使動態傳輸速率急劇下降，數據流受到阻滯直至擁堵為止。此外，VLAN的數量過多會增加路由交換機的負擔，使數據包轉發時延逐漸增加。

3）防火墻是局域網必須的，但許多客戶為節省成本寧愿采用過濾速度偏慢的軟件防火墻。而且太多的過濾規則會降低數據在防火墻內外的傳送速度[6]。

1.3 數據訪問權限失控

在沒有數據訪問權限控制的環境下，任何用戶都可以進入與自身工作無關的應用服務器中，大量的I/O請求和讀取信息無謂地占用服務器的節點帶寬，而真正有需要的用戶卻因信道擁擠和帶寬狹窄無法順暢訪問服務器，數據擁堵必然會出現[3,5]。

最常用的數據訪問控制方式是在C/S網絡架構下，首先通過不同的路由限制了一部份無關用戶，然后在應用服務器端創建有需要訪問的用戶的不同帳號及其密碼，接著在共享資源中指定這些用戶才有權訪問，而不在指定范圍內的用戶則遭到訪問拒絕。

這種數據訪問控制方式的弊端一是要有許多不同路由才能滿足不同用戶交叉訪問服務器的復雜請求，而過多的路由必定增加節點的時延、減少節點的帶寬，反而帶來數據擁堵的惡果；二是網絡用戶未必會采用指定的帳號及其密碼登錄應用服務器，他可以在本機選用默認的管理員帳號登錄，如果管理員帳號漏設密碼或Guest帳號未停用，就可以長驅直入[2,5]。

2 數據流擁堵的治理

本文對數據流擁堵綜合治理的總體思路是，希望通過整改網絡拓撲結構、優化網絡設備配置、完善數據訪問控制、實施網絡流量監控這幾方面的努力，逐步消除擁堵的隱患，最大限度預防擁堵事故的發生，并能在擁堵發生時能夠合理地疏通解決。

2.1 整改網絡拓撲結構

1）精簡級聯層數：將接入層下的所有級聯上移至匯聚層，或采用堆疊技術簡約地擴充用戶群；在條件允許下局部簡化匯聚層，即把接入層交換機直接上聯核心層。

2）均衡干路流量：將各條輕重不同的干路負載平均分配在匯聚層各交換機中，盡量使各匯聚交換機的背板負載大致相等。若是直接連接到核心交換機端口，同樣采納均衡干路負載的思路[1,5]。

3）更新冗余設計：各層的交換機應考慮端口冗余20%、背板帶寬冗余30%、線纜冗余1：1.4，如果不達標則設立隨時可以應急的備案[2,4]。

4）規范介質長度：敷設長度大于100米的雙絞線可置換成室內多模光釬，在其兩端添加光釬收發器就仍能接入RJ45口，大于550米的多模光釬要可置換成單模光釬，但接口須重新焊接。

5）核查介質帶寬：若發現支干和主干線的傳輸介質帶寬不足，可增加干線并將其接入對應交換機冗余端口，并設置端口匯聚來擴充干線帶寬[4]。

2.2 優化網絡設備配置

1）統調傳輸速率：對網卡和交換機除了注意傳輸速率的一致性外，還須禁止其自協商功能，強制網絡中所有網卡和交換機固定在一個統一的、全雙工的傳輸速率上[2,3]。

2）合理劃分VLAN：同一VLAN內建議不超過100臺主機，同一局域網內建議超過30個VLAN，才能最大限度避免廣播風暴、減少路由瓶頸，確保數據流量不受阻滯[5]。

3）啟用高級配置：如果是網管型交換機，啟動廣播風暴抑制功能，可以有效抑制大量的廣播、單播或組播的數據包；啟動端口流量控制功能，可以控制網絡節點的傳輸速率，解決流量擁堵及過載問題[2]。

4）優化過濾規則：行內公認硬件防火墻的過濾速度比軟件防火墻快，應優先選用之。防火墻過濾規則設置應盡可能降低對其吞吐量的影響，在可靠的安全策略指導下盡量精簡過濾規則[6]。

5）服務器集群：將現有的多臺服務器集群并安裝負載均衡軟件，對外提供一個統一的地址。當一個訪問請求到達本集群時，系統會自動選擇一臺服務器接受并提供相關服務，直至所有用戶請求被平均分配到所有服務器分別承擔。有了這種大量并發訪問服務的能力，這個網絡上最容易擁堵的節點自然可以得到疏通[2,5]。

2.3 完善數據訪問控制

在域控制管理環境下實施數據訪問控制。在常見的工作組管理環境下，數據訪問控制不可靠源于客戶機是失控的，無法保證客戶機的IP參數和登錄設置不被修改。由于在域控制環境下運行活動目錄，客戶機的軟硬件設置全部納入受控和管理范圍，任何人無法更改或刪除，若要登錄訪問只能使用指定的域名帳號和密碼[2,3,5]。

域控制管理通過設置用戶配給權限和資源使用權限去完善數據訪問控制，確保各用戶能夠定向地訪問服務器，實現服務器節點的動態帶寬最大化。

1）用戶配給權限：網絡管理員(Administrators)是唯一擁有網絡的完全訪問和控制權；特殊成員可擁有指定系統管理員（Enterprise Admins）權限，能訪問權限級別較高的網絡資源，但不允許修改本機任何設置；其余成員只能是普通用戶（Users）權限。不允許修改網絡及本機所有設置。只能受限制地訪問網絡資源[2]。

2）資源使用權限：指訪問者對網絡各種資源讀/寫/修改的資格。用戶的配給權限或職位越高，資源使用權限就越大。例如普通職員通常只有閱讀文件的權限，但不能寫入或修改；只有特殊成員有寫入甚至修改的權限。

2.4 實施網絡流量監控

無論數據流擁堵的預防工作做得多么全面和細致，始終還是會出現數據堵塞現象的，因為網絡數據流量是一個隨機的變數，例如黑客攻擊和病毒侵襲最容易使流量隨機性劇增。必須制定一個流量監視與控制的實戰策略及方案應對數據流擁堵的發生。網絡流量監控的實施是以成熟的流量監控軟件為技術依托，圍繞著流量采集、流量分析、流量控制這幾個環節進行。

2.4.1 網絡數據流量采集

流量采集實質上是利用DPI技術和軟件工具如TCPDump，對通過網絡節點的數據包進行捕獲，為數據流擁堵的分析提供原始依據。對流量數據的捕獲選擇方向通常定在網絡易堵黑點，至于捕獲時機則取決于流量監測的結果。網絡流量監測方法有三種，1）采用硬件探針串接在需要捕捉流量的鏈路中，通過分流鏈路上的數字信號而獲取流量信息，特點是能夠提供豐富的從物理層到應用層的詳細信息；2）采用測試儀表提取網絡設備里Agent模塊提供的MIB(管理對象信息庫)一些具體設備及流量信息有關的變量，特點是網絡設備廠家支持率高而且使用方便；3）基于專屬協議Netflow，在路由器和交換機運用預先定制的方式測量和統計網絡流量，特點是能夠實現中央部署式的全網絡流量監測[7,9]。

2.4.2 網絡流量分析

運用軟件分析工具如NTOP等，對定向采集回來的各種流量信息進行帶寬分析、時延分析和協議分析，可以定位流量的類型、帶寬、時間和空間分布、流向；可以判斷是否有黑客正在攻擊網絡系統或蠕蟲病毒出現，可以查出當前占用大量帶寬的主機和各次通信的目標主機；可以了解數據包的大小、發送時間以及傳遞時鏈路的擁塞狀況等詳細信息。根據分析結果，網絡管理員很方便地找到數據擁堵的具體位置及產生原因，及時采取優化措施進行疏導解決[8]。

2.4.3 網絡流量控制

目前主流的網絡數據流量控制方法是[7～9]：

1）利用路由器的流量QOS功能，在數據流擁堵時限制局域網內相關用戶群占用的帶寬，既可以確保為每種應用提供不同的帶寬和優先權，又可以遏止異常流量。

2）在數據流擁堵時臨時封閉6881～6890的下載端口，暫時中斷一些搶占流量帶寬的下載軟件運行，釋放正常訪問的用戶流量。

3）實行分時管理，限制或禁止一些流量在指定時間段內對帶寬的占用，例如在數據通信的高峰期間歇性地關閉一些非優先的服務項目，以緩解難以避免的數據流擁堵。

4）為網絡上每一臺主機預設固定的上傳和下載的傳輸速率或帶寬，減少用戶之間對流量需求爭先恐后的危機。

3 結論

網絡流量的不斷增長及網絡應用的日趨繁雜，網絡管理者必須耗費更多時間和精力來應對數據流擁堵。期望無限制地增加局域網帶寬顯然是不現實的，唯有通過不斷優化網絡性能的各種措施，遏制擁堵的隱患及源頭；還要對全網絡的流量實時監視和有效管理，確保在數據流擁堵發生之際能迅速治理。

[1] 張公忠.現代網絡技術教程[M].電子工業出版社,2004,(3)：77-126.

[2] 劉曉輝,楊興明.中小企業網絡管理員實用教程[M].科學出版社,2004,84-192.

[3] 譚珂,全惠民.局域網組建與管理實用手冊[M].中國青年出版社,2003,51-146.

[4] 黎連業.網絡綜合布線系統與施工技術[M].北京機械工業出版社,2004,47-135.

[5] 劉英,沈林興.網絡管理技術教程[M].清華大學出版社,2006,56-108.

[6] 劉曉輝.網管從業寶典：交換機·路由器·防火墻[M].重慶大學出版社,2008,61-89.

[7] 劉芳.網絡流量監測與控制[M].北京郵電大學出版社,2009,12-173.

[8] 孫知信.網絡異常流量識別與監控技術研究[M].清華大學出版社,2010,43-147.

[9] 高彥剛.實用網絡流量分析技術[M].電子工業出版社,2009,93-217.