基于路由和QoS令牌桶的集中式限速網關

◆梁潤強 史 偉

基于路由和QoS令牌桶的集中式限速網關

◆梁潤強 史 偉

（廣東睿江云計算股份有限公司 廣東 528000）

企業或數據中心的帶寬總是有限的，但是需要服務的用戶卻不止一個，特別是在當前云計算興起的背景下，云計算節點的用戶數量通常都是巨大的，但是帶寬容量固定，不能由于某個用戶的大流量傳輸擁塞了網絡，導致其他用戶無法正常使用服務。設備通訊協議的設計最初只是考慮比較簡單的場景，而到目前為止，組網的環境復雜多樣，有公共互聯網，有專線網絡。而目前興起的云計算節點也需要接入到現有的網絡環境中，這眾多的網絡連接在一起，承載傳輸著各種各樣的應用流量，而應用流量有些需要大帶寬，而有些卻對延時有比較嚴格的要求，但是這其中幾乎所有的流量都是基于TCP/IP協議傳輸的。在這復雜的環境中如何實現資源的合理性調度、有效性管理和可靠性實現，也就提出了網絡對服務質量QoS(Quality of Service)的要求。

路由；QoS；令牌桶；限速

0 引言

下文將簡單介紹QoS中令牌桶算法的工作原理，并且淺顯分析為什么TCP協議不能簡單地進行流量限制而令牌桶算法能很好地為TCP協議服務，簡述在目前新興的云計算技術環境下如何使用令牌桶技術比較合理。

1 為什么使用令牌桶

我們首先來想想使用何種技術對流量進行控制，一個容易想到的方法：在流量處理設備上面設定兩個線程，分別為統計線程T和報文線理線程P，P線程收到報文的時候，使用該報文上的某個標識，例如目標IP地址作為索引，首先判斷該IP的速率是否大于設定值，是的話則丟棄報文，否則讓該IP的當前報文數量加1，且發送該報文；T線程負責對每個IP進行速率統計，每一秒鐘使用IP的當前報文減去上一秒的報文，得到該IP的速率。

這種簡單粗暴的流量控制方法對UDP協議的控制沒有問題，但對TCP協議的控制有一個致命的缺點：假如在某個TCP會話傳輸的過程中，P線程發現當前速率大于設定值，那么在T線程得出下一秒速率之前，該會話的所有后續報文都將會被丟棄，這將會使該會話因為丟失過多報文而斷開，無法保證QoS要求的可靠性。

1.1 什么是令牌桶

令牌桶是QoS中一種對流量的控制技術，目前大眾普遍認可使用這種技術來實現對流量的限速需求。令牌桶通過設定大小固定的裝載一定數量的令牌的桶，然后設置向桶添加令牌的速率，當有報文需要通行時，需要首先向令牌桶申請取出同等大小數量的令牌。假如目前桶中沒有足夠的令牌數，則對當前報文采取禁止通行或者緩存到隊列或者做特殊標記，以此實現對流量的控制和監管。

1.2 令牌桶如何限速

令牌桶定義了3個參數：

（1）承諾信息速率（CIR）：此為向令牌桶中添加令牌的速率；

（2）承諾突發量（Bc）：此為令牌桶的容量大小；

（3）時間間隔：用來作為測量時間（Tc），用于規定間隔多長時間向令牌桶加入令牌。

可通過CIR和Bc的關系計算得到：Tc=Bc/CIR。比如，將CIR設置為1000bit/s，如Bc設為200，那Tc就是200/1000=0.2，也就是200ms。

根據令牌桶添加速率和令牌桶容量大小算出的間隔時間Tc，每間隔Tc就向令牌桶中添置一定數量的令牌，假如目前令牌桶已滿，則將多余的令牌丟棄。當有大小為n的報文需要通行時，向令牌桶中取出n個令牌，假如令牌數充足則允許報文通行，否則采取相應的限制手段，根據使用需求的不同，可以將不被允許通行的報文放上緩存隊列待令牌充足時再允許通行，或者打上顏色標記以表示報文的轉發優先級。

1.3 令牌桶分類

根據使用場景的不同，令牌桶設計成三種類別，分別為單速雙色的單速單桶令牌桶算法、單速雙桶令牌桶算法和雙速雙桶令牌桶算法。其中，第一種單速單桶比較適合于單純限速的場景，由于單速雙桶令牌桶和雙速雙桶令牌桶算法較為復雜，下面將只介紹單速單桶令牌桶算法。

1.4 單速單桶令牌桶如何實現

（1）設置好令牌桶的幾個關鍵參數，包括令牌桶的尺寸大小設置為a(以字節byte為單位，一個字節代表一個令牌)，向桶中添加令牌的速率r和緩存隊列長度L(以字節為單位)。

（2）每隔1/r秒向桶中添加一個令牌，當桶目前的令牌數大于或等于a時，則將令牌丟棄。

（3）當需要使用令牌桶限制速度的流量的報文到達時，假設當前報文的大小為n(單位為字節)，而當前桶中剩余令牌數為m，則需要考慮下面情況：

①如果n<=m（令牌數量充足），就從令牌桶中取出n個令牌，數據包允許通行并被發送到網絡出口；

②如果n>m（令牌數量不足），那么不會清除令牌，并且認為這個數據包在流量限制之外。

（4）對于在流量限制外的數據包處理方式有三種：一是直接被丟棄；二是排放在緩存隊列中等待當令牌桶中累積了足夠多的令牌時再傳輸，但是如果n>L，數據包也將被丟棄；三是它們可以繼續發送，但需要做特殊標記，比如設置較低的優先級。

1.5 為什么令牌桶算法對TCP進行流量控制不會使其連接斷開

采用令牌桶算法實現流量控制的情況下，是按照1/cir(速率)秒向令牌桶中添加令牌的，當不斷到來的TCP報文取空了當前令牌桶而被丟棄的時候，令牌桶很快又會被重新填入新的令牌，下一個TCP報文無須等到下一秒鐘而只需要等待令牌桶重新有足夠令牌時就能夠被發送了，而TCP協議本身就具備擁塞控制算法，在不斷地通信過程中，發現某個時刻的報文被丟棄，就會調整連接雙方的發送和接收窗口的大小，從而適配實際可以使用的帶寬。而一個實際更好的令牌桶實現方案是，令牌桶無須自主按照固定速率向令牌桶中添加令牌，而只需要在報文到來的時刻，計算與上一個報文的時間差，再以此計算需要往令牌桶中添加多少個令牌，這樣的實現方式更為簡單。

2 為什么在路由基礎上實施QoS

云計算節點通常由多個不同的模塊組成，例如計算資源模塊和網絡資源模塊，一般情況下的網絡通信流程是位于計算資源模塊下的虛擬機向外發出報文，再經由網絡資源模塊比如NAT網關進行地址轉換后，再按照路由方式轉發至網關。假如目前需要在云計算節點中實現QoS限速功能，一個實現是可以在計算資源模塊中進行部署，但是這樣無法實現多個虛擬機共用一個公網IP的限速的場景，所以這個限速設備部署位于網絡資源模塊和公網網關之間比較合適。而限速設備與網絡資源模塊和公網網關之間的接入方式，也可以選擇使用串聯方式或者路由方式，而使用路由方式則較為理想，因為串聯的方式會造成單點故障，也不靈活，使用基于路由的方式，可以最大限度地符合原先的網絡架構和網絡標準，也具備良好的擴展性。

3 結語

幾十年前設計的TCP/IP通信協議，并沒有考慮到發展到目前這么復雜多樣的應用場景，而由于組網環境中的各個節點分布極為廣闊，各個節點的網絡實現又不盡相同，傳輸的帶寬和傳輸的時延等等都是千差萬別的，通過連接所有網絡節點的傳輸設備已經被大量部署，且這些設備通常由不同的廠商生產，快速且大量地更新這些通信設備成本極高，實施難度太大，所以在面對如此復雜的網絡環境和設備更新手段的諸多限制時，對實現面向服務質量的網絡提出了極大的挑戰。

[1]李建寶，桑海.令牌桶算法在IP QoS中的應用[J].華南金融電腦，2006，14(04):98-99.

[2]常恒，陳丹，王利存.網絡QoS技術研究[J].信息技術，2005(08)：11-15.

[3]馬素剛.QoS技術的研究與實現[J].電子設計工程，2015，23(22):14-17.

[4]費嘉.淺析QoS中的令牌桶算法[J].郵電設計技術，2014(06):54-57.