孙方威 王二利 吴建

摘 要：航天业务网TCP突发流量可能造成网络拥塞，导致业务数据传输延迟大，甚至丢包，网络通信保障能力大大降低，严重影响航天业务网信息的顺利传输。根据基于包过滤的访问控制ACL技术调控网络传输时TCP突发流量造成网络拥塞、信道质量下降的解决方法，航天业务网运用ACL技术调控TCP突发流量并进行仿真，结果发现ACL技术能够有效控制TCP突发流量。采取ACL技术控制TCP流量后，航天业务网不再因TCP突发流量发生网络信道拥塞现象。

关键词：航天业务网;网络拥塞;TCP突发流量;ACL技术

中图分类号：TP393.06文献标识码：A文章编号：1003-5168（2021）02-0005-03

Research and Application of TCP Flow Control in Aerospace Business Network

SUN Fangwei WANG Erli WU Jian

（Taiyuan Satellite Launch Center，Kelan Shanxi 036301）

Abstract： The TCP burst traffic of the aerospace business network may cause network congestion， leading to long service data transmission delays， and even packet loss， greatly reducing the network communication guarantee capability， and seriously affecting the smooth transmission of the aerospace business network information. Based on the solution of TCP burst traffic causing network congestion and channel quality degradation when access control ACL technology based on packet filtering regulates network transmission， the aerospace business network uses ACL technology to regulate TCP burst traffic and perform simulations， and it turns out that ACL technology can effectively control TCP burst traffic. After adopting ACL technology to control TCP traffic， the aerospace business network no longer has network channel congestion due to TCP burst traffic.

Keywords： aerospace business network;network congestion;TCP burst traffic;ACL technology

在航天业务网络中，TCP协议类型的多媒体流数据频繁交互，其可能产生大突发流量，这为航天业务网的安全稳定运行带来较大的隐患。当多媒体业务流在信道上产生TCP大突发流[1-2]时，大突发流量会导致网络信道因实际带宽超过额定带宽而发生拥塞，甚至可能引起网络逻辑链路中断，影响业务数据传输。目前，航天数据传输对航天业务网网络性能、服务质量和安全性能的期望不断提高，但“尽力而为”服务是航天业务网中主要的一种服务类别，所有数据流在网络中被同等對待，缺少有效管理，局部拥塞[3]经常发生，导致网络性能下降、应用的分组丢失和数据抖动，不能保证服务质量。基于此，针对多媒体业务数据，人们在航天业务网络中利用访问控制列表（Access Control List，ACL）技术[4]管理网络流量，保证TCP流量突发时实时流速低于带宽阈值，防止网络信道因拥塞而发生逻辑中断，这对提高网络性能有着巨大的意义。

1 TCP流拥塞原理

在航天业务网中，当客户端采取TCP协议连接向服务器请求数据时，其请求的数据以配置文件的形式一次性提交给TCP/IP协议栈处理并以TCP报文的形式突发形成瞬时大突发流量数据，TCP数据流与正常业务流量数据叠加，可能超过网络带宽阈值，此时网络产生拥塞。数据逻辑分析如图1所示，图中，梯形面积表示每次发送报文流大小，虚线箭头是指TCP突发流时刻。

在图1中，假定带宽为1 000 Mbps光纤网络链路。在图1（a）中，流量带宽为正常业务流量数据（小于1 000 Mbps带宽），此时网络信道不会造成拥塞（超过1 000 Mbps带宽）。在图1（b）中，当网络通信双方（客户端与服务器）之间通过TCP建立连接交互数据时，TCP流量产生，即TCP流量从红色箭头所指时刻与正常业务流进行流量叠加，此时网络信道的流量带宽会超过1 000 Mbps，网络信道发生拥堵，逻辑链路中断，数据传输中断;当图1（b）中TCP突发流量发生在正常业务流量之间或者两者叠加的带宽流量不超过1 000 Mbps时，网络信道不会发生拥塞中断，数据传输正常。

2 ACL基本原理

访问控制（Access Control）是网络服务质量理论的重要部分，它能够保障合法用户正常地获取所需资源，同时还能拒绝非授权用户的非法访问。ACL技术通过在路由器或三层交换机上设置合理的ACL策略，可在一定程度上增强网络的稳定性。ACL的主要功能包括流量控制、包过滤防火墙、NAT（Network Address Translation，网络地址转换）、QoS（Quality of Service，服务质量）数据分类和路由策略过滤。

一个ACL可以由一條或多条“deny | permit”语句组成，当网络设备收到一个数据包时，若入接口上没有启动流量控制，则数据包直接被提交给网络设备转发进程进行处理;若在入接口上启动了ACL流量控制，则将数据包交给入站交换机进行限速，下面详细说明其工作流程。

具体来说，交换机（路由器）用ACL中第一条规则的条件来尝试匹配数据包信息;若数据包信息符合此规则的条件（即数据包命中此规则），则执行规则所设定的动作，若动作为permit，则允许此数据包穿过设备，将其提交给设备转发进程来处理进行速率限定，若动作为deny，则丢弃此数据包;若数据包信息不符合此规则的条件，则继续尝试匹配下一条ACL规则;若数据包信息不符合任何一条规则的条件，则执行默认动作，若默认动作为permit，则允许此数据包穿过接口进入设备转发流程，若动作为deny，则丢弃此数据包。

ACL包过滤具有方向性，可以指定出接口或入接口方向的数据包过滤。出接口包过滤流程与入接口类似，本文不再赘述。

3 试验结果与验证

网络仿真试验环境如图2所示。

图2中，PC1、PC2和PC3通过以太网流量生成工具（LanTrafficV2）模拟仿真业务流量，同时触发图像服务器的数据同步以形成TCP突发流，链路带宽均为千兆，A、B之间配置BFD[5]以快速检测链路情况。从PC1至PC3模拟B点出向数据;从PC2至PC3模拟B点出向数据;从PC3至PC1模拟B点入向数据。利用华为U2000网管软件观察交换机CS1出向流量，并对路由器和交换机的BFD震荡、网络数据进行观察。模拟验证结果如表1所示。

由表1分析可知，触发图像管理服务器同步数据，会产生TCP大突发流量，使CS1与CR之间链路带宽超过1 000Mbps时网络链路拥塞，广域网远端站点接收数据中断，结果符合预期。

在交换机上使用ACL技术调控TCP突发流量，经仿真及实际业务验证，ACL技术解决了TCP大突发流量导致网络信道逻辑链路拥塞和中断的问题。

4 结语

在航天业务网上，访问控制ACL技术实现了TCP突发流量的调控作用，解决了航天业务网数据传输时因TCP突发流量导致网络信道拥塞甚至中断的问题，在一定程度上保障了数据的可靠传输，提高了网络的稳定性。

参考文献：

[1]朱珺.中心计算机网络流量监测系统的研究与实践[J].微型机与应用，2013（12）：54-56.

[2]查普尔，蒂特尔，张长富，等.TCP/IP协议原理与应用[M].北京：清华大学出版社，2009：11.

[3]何凌.TCP/IP网络拥塞控制若干问题的研究[D].沈阳：东北大学，2008：22-23.

[4]关天敏.ACL应用技术与配置实例[J].中国教育网络，2011（12）：78-80.

[5]程路.IP承载网BFD应用研究[J].中国高新技术企业，2010（24）：71-72.