吴兴勇 杨勇 黄荣华

1云南农业大学网络中心 云南 650201 2云南大学网络中心 云南 650091 3云南农业大学农村发展政策研究中心 云南 650201

0 引言

网络技术和网络应用的不断发展，园区网在单位和企业中所扮演的角色越来越重要，访问 Internet仍然是园区网永恒的主题，网内用户随时在抱怨出口速度慢，租用出口线路的带宽越来越大，接入的运营商越来越多，但仍旧满足不了用户的需求。但是在没有任何流量控制和优化的出口中，从出口流量的分析我们可以看到P2P下载、视频点播、病毒、广告等流量占据了相当的带宽，影响着正常的网络访问和数据传输。

因此，从缓解出口压力，规范出口流量，均衡多出口负载的角度出发，使用现有的技术手段和措施来规范网络访问，合理使用带宽，减少异常流量，使得网络出口顺畅、高效、可靠地为用户服务。

1 流量管理概述与IP层流量管理

流量管理属于网络管理五大管理功能的性能管理范畴，网络的可用性是性能管理的重要组成，出口流量管理旨在实现出口带宽合理使用，有效地分配带宽，为用户提供一个相对公平的网络访问，减少网络中无效数据对带宽占用。

从 TCP/IP协议模型上来说我们可以从网络层、传输层和应用层这三个层次上来逐一实现网络出口流量的管理与优化。从 IP层上来说，可以采用访问控制列表 ACL、QoS限速、策略路由、静态路由等来实现出口的流量管理与优化；从传输层上来说，可以采用控制连接数，过滤端口等技术实现流量的管理与优化；在应用层方面，可以采用用户认证与计费系统，流量整形系统来实现流量管理与优化。本文主要阐述IP层的流量管理与优化。

IP层的主要功能是实现无连接的IP数据包的转发和路由选择功能，无连接的特点导致了网络用户竞争使用网络带宽，使其对业务的QoS无法保障。要改变这一事实，IP层流量管理可通过ACL访问控制列表实现策略路由、IP限流、IP过滤、IP数据包优先队列等，也可以通过静态路由来实现多出口分流。

2 静态路由实现园区网多出口流量分流

图1为典型的校园网拓扑，有三个出口，即教育出口、电信出口、联通出口，内网用户数据如何进行路由选择、多出口流量负载均衡是一个基本的出口管理问题。我们理想的管理目标是访问教育网的数据通过教育网出口走，访问电信的数据通过电信网出口走，访问联通的数据通过电信网出口走，其他的数据能够均衡的从各条链路最优通过。但是，路由器不能完成理想的智能选择，实现多出口快速访问，我们可通过静态路由把教育网、联通的 IP地址列表加入路由表中，因为静态路由的优先级最高，这样解决了教育网和联通的数据快速转发问题；对于其它数据，可以一视同仁将其转发到电信网接口上，做一个默认路由。对于访问其它网络的数据负载均衡问题，可以根据访问量把部分外网地址空间划到联通或教育网转发，或者只能用专用的负载均衡设备来实现更精确的多链路负载均衡。

图1 典型园区网出口拓扑

其中，第一条为指向教育网的默认路由，优先值设为150，该默认路由的优先级最低，第二条是指向联通的默认路由，优先值设为 120，该默认路由优先级次之，第三条路由是指向电信的默认路由，优先级设置为默认值为60，优先级最高。这样设置的好处在于当某条线路出现问题时，另外的线路可以自动设置为主线路，大大增强不间断外网访问的可靠性。第四条路由实现通过联通出口转发该网段地址空间的数据，第五条实现通过教育网出口转发该地址段的数据。

3 策略路由实现外网访问服务器

对于网内对外公开访问的服务器，如WWW、Email服务器等，则需使用策略路由来实现服务器对外提供服务。策略路由的实现是先定义服务器的访问控制列表ACL，然后创建策略类，再创建策略行为，第四步将绑定策略类和策略行为，最后将策略应用到接口。

例如，服务器网段为192.168.100.0/24，该服务器组需要从联通出口转发，其配置为：

经过策略路由，使得 192.168.100.0/24网段的服务器所有数据包都向网通出口转发。这样，在外网就可以正常地访问园区网内的服务器了。

4 基于时间段的IP限流实现用户公平访问外网

为保障每个用户公平使用网络，可对网内用户实现 IP限流来达到目的，其原理是通过定义限流IP的流量上下限，当流量超过上限时，则丢弃该IP的数据包。另外，往往网络的拥堵是在某一个时间段，在特定时间段内来实施IP限流比较人性化。在华为路由器上实施步骤为：首先定义时间范围，定义基于时间限流的IP范围的ACL，然后在接口中应用QoS限流。

5 IP数据包优先转发保障服务器高速访问

一般情况下，园区网的出口路由器都有QoS队列优先机制，可以实现对服务器网段的优先转发。优先队列也称为PQ队列，其处理机制如图2所示。

图2 PQ队列处理示意图

PQ可以根据网络协议(比如IP，IPX)、数据流入接口、报文长短、源地址/目的地址等灵活地指定优先次序。优先队列将报文分成 4类，分别为高优先队列(top)、中优先队列(middle)、正常优先队列(normal)和低优先队列(bottom)，它们的优先级依次降低。缺省情况下，数据流进入normal队列。

路由器中具体实现过程可分为4步，即配置不同优先级的 ACL列表，配置优先队列规则组，在接口中应用优先队列规则组。

如图3所示，Server 和Host A通过Router 向Internet发送数据(其中Server发送关键业务数据，Host A发送非关键业务数据)时，由于Router入接口G0/0的速率大于出接口Serial1/1 的速率，在Serial1/1接口处可能发生拥塞，导致丢包。要求在网络拥塞时保证Server 发送的关键业务数据得到优先处理。

配置内容如下：

acl number 2001

rule 1 permit source 1.1.1.1 0.0.0.0

acl number 2002

rule 1 permit source 1.1.1.2 0.0.0.0

qos pql 1 protocol ip acl 2001 queue top

qos pql 1 protocol ip acl 2002 queue bottom

qos pql 1 queue top queue-length 50

qos pql 1 queue bottom queue-length 100

qos pq pql 1

首先配置ACL规则列表，分别匹配来源于Server和Host A的报文。配置优先队列规则组，使得网络拥塞发生时，源自Server 的报文能够进入PQ 的top 队列缓存，优先转发，源自Host A的报文能够进入bottom 队列缓存，并且设定top队列的最大队列长度为 50、bottom队列的最大队列长度为100。最后在接口中应用该队列规则组，实现接口上优先队列的转发。

6 总结

经过这些流量管理与优化技术的实现，一方面保证了园区网多出口的流量分配和服务器正常、高速、可靠地访问；另一方面，解决了在上网高峰期部分用户占据大量带宽的不公平现象。另外，出口流量管理与优化不仅仅在IP层实现，还可以在传输层和应用层实现连接数限制，端口过滤、用户账号限速、流量整形等功能，进一步完善园区网出口的管理和优化。

[1]於建华,廖祥,孙莉.P2P流量识别方法的研究及实现[J].广东通信技术.2007.

[2]周文莉,雷振明.一种控制 BT流量的方法及其对用户的影响[J].计算机工程.2007.

[3]王宏.网络综合流量管理关键技术研究[D].中国博士学位论文全文数据库.2008.

[4]曹铮,傅文卿,黄蕊.互联网流量成分及运营策略分析[J].中国新通信.2006.

[5]周耀胜.网络流量分析技术的应用及方案比较[J].现代电信科技.2009.