论文部分内容阅读
摘要 在进行规范细致的流量分析的基础上,制定并实施精确流量管理策略,有效地改善局域网流量状况,解决网络拥塞问题,实现了网络出口管理的优化控制。
关键词 精确流量控制;网络出口管理;控制策略
中图分类号:TP393 文件标识码:A文章编号:1671-489X(2007)02-0057-03
Research and Practice on Network Gateway Management Strategy Based on Accurate Control of Dataflow//Huang Weibo
Abstract After conducting detailed dataflow analyses that conform to standards, the paper devises and carries out the strategy of accurate dataflow management, which effectively enhanced LAN dataflow and therefore solved network congestion. Finally,realizing the optimized management of network gateway.
Key wordsaccurate dataflow control; management of network gateway; strategy of optimized control
Author’s address Center of Education Technology,Guangdong University of Foreign Studies,Guangzhou 510420
种类繁多的网络传输软件在丰富网络资源的同时,也给各网络运营商特别是局域网的网络管理部门带来了很多新的管理难题。新兴的分布式点对点传输协议,如BitTorrent(BT)、eDonkey等利用多进程并发的优势,大量占用带宽资源,对局域网出口带宽造成很大的压力,严重影响常规网络应用的使用。因此,针对该类应用实施有效的管理措施,也成为当今网络管理体系中进行流量控制的重要课题。
1 局域网出口管理的现状
海量丰富而且免费的点对点网络资源是驱使网络用户使用该类应用的原动力,资源下载的直接受益者,是每个使用点对点传输协议的用户,而受到损失的是更为广阔的普通网络应用用户群体。在一个10 000用户级别的校园网中,通过使用100MB电信出口带宽连接到Internet,正常情况下常规的网络应用都可以顺畅地进行。但如果校园网内有1%的用户在完全不受限制的情况下使用BT一类的协议下载互联网资源,就可能抢占50%以上的带宽资源,而另外99%用户的正常网络应用都会受到影响,例如网页打不开、邮件无法收发等。这样的网络状况显然是不合理的。
单纯从单个用户使用点对点下载软件的过程而言,并没有直观的侵害效果,甚至对于绝大部分使用此类方式下载资源的用户来说,可能只是简单地知道BT下载"连接的人越多速度越快",而下载对于整个网络的影响则很容易被忽略。从网络行为学的角度来说,如果想用简单的网络用户公约或道德规范来约束显然很难起到作用。因此,要限制和规范网络的使用,各网络管理部门普遍采用以下两种方式:其一,就是用流量费用限制每一个用户的下载额度;其二,就是使用一些技术手段限制点对点应用的使用。
按流量计费从本质上而言是控制用户网络行为最有效的方式,配合支持流量计算的路由器,用户计费软件可以精确地对每个局域网用户进行流量统计并生产账单。此类计费方式的软硬件系统早在20世纪90年代中期就广泛使用在网络管理系统中,到现在技术方面已经相当成熟。功能丰富的计费软件可以和用户客户端认证软件结合起来,实时告诉用户当前的流量使用情况和相应的费用状况。但是从2000年以后,随着互联网规模的不断扩大,接入互联网的基本费用大大降低,与互联网“开放”“免费”“共享”资源的理念相对应的是“包时段不限流量”的网络使用方式开始迅速普及起来。从ISP到普通网络用户,“包月”“包年”上网的概念也逐步成为了标准。因此,原有的从流量费用角度限制网络行为的方式也必然逐步淡出历史舞台。
2数据流量和用户行为分析
用户使用包时段不限流的方式上网,带宽抢占问题仍然存在,所以从技术层面进行流量控制还是最终的解决办法。以下就结合我校校园网在进行详尽的流量分析之后,实施精确流量管理的具体过程,对技术策略流量控制及其对用户网络行为的影响进行表述。
作为实验测试的我校校园网基本信息如下:20000用户规模,使用基于端口的包月方式管理用户,拥有两个100兆带宽的出口分别用于连接教育网和电信网络,校内有千兆的高速带宽。基本的网络拓扑如图1所示:
由以上的信息可以确定,常规的网络应用总和都远未达到出口的100兆带宽,因此通过控制和优化带宽策略,是完全可以满足常规网络应用的需求。在抓包测试中,由于BT等分布式点对点下载软件可以使用任意的源端口和目的端口进行连接,因此单纯通过TCP/IP协议无法对其进行辨别。通过在客户机上的应用实测,使用自定义端口的其他软件:如股票在线交易系统、网络游戏、聊天室等应用都不会产生很高的流量,因此可以初步推测,在"Others"特征分组中的绝大部分流量,都是由分布式点对点下载造成的。包括已知端口的BitTorrent应用流量,各类分布式点对点下载的流量已经占用了总出口带宽资源的40%以上。
2.4对单个包进行特征分析。90%以上的下载包,单个本地源IP对超过100个外网目的IP进行连接,连接端口在9 000以上。
2.5建立流量控制的需求定义
2.5.1分时段控制:每天的高峰时段进行流量控制,而在其他时段,充分利用带宽资源,不进行控制;
2.5.2分区域控制:对出口造成压力最大的是学生用户,而用于教学、科研、办公的关键性网络应用要始终保持高带宽高可用性;在该校园网内,学生用户使用"192.168"开头的私有地址,而教学、科研、办公使用"202.116"开头的教育网地址。
2.5.3分端口控制:常规应用使用的TCP和UDP的1至1024端口要优先保证带宽使用;1024至9000段是常规的自定义端口程序使用的区域要有限控制带宽资源;而9000以上的端口主要是分布式点对点下载软件使用的区域,要严格控制带宽的使用。
2.5.4分用户控制:单个网络用户在正常使用网络资源的情况下,最多同时使用十几个TCP会话,而一个使用BT下载的用户却会同时建立超过500个会话。因此,在出口位置要对单个用户同时使用的TCP会话数进行限制。
3 根据出口流量特征制定具体的控制策略
首先,在防火墙策略中,定义时间循环控制组:每天8:00-23:00;
定义网络端口组:高优端口组(包括TCP、UDP的端口1至端口1024);
中优端口组(包括TCP、UDP的端口1025至端口9000);
低优端口组(包括TCP、UDP的端口9000至端口65535);
定义用户组:高优用户组(202.116.XXX.XXX 掩码255.255.0.0)
低优用户组(192.168.XXX.XXX 掩码255.255.0.0)
定义会话策略:单个内网IP基于源端口的TCP会话数必须小于50,否则丢弃会话。
通过以上的定义,可以组合出如下的策略
表2 组合错列表
网络流量在通过以上的策略组合之后,被相应分组归纳调整,从而根据需求得到了较好的控制。
关键词 精确流量控制;网络出口管理;控制策略
中图分类号:TP393 文件标识码:A文章编号:1671-489X(2007)02-0057-03
Research and Practice on Network Gateway Management Strategy Based on Accurate Control of Dataflow//Huang Weibo
Abstract After conducting detailed dataflow analyses that conform to standards, the paper devises and carries out the strategy of accurate dataflow management, which effectively enhanced LAN dataflow and therefore solved network congestion. Finally,realizing the optimized management of network gateway.
Key wordsaccurate dataflow control; management of network gateway; strategy of optimized control
Author’s address Center of Education Technology,Guangdong University of Foreign Studies,Guangzhou 510420
种类繁多的网络传输软件在丰富网络资源的同时,也给各网络运营商特别是局域网的网络管理部门带来了很多新的管理难题。新兴的分布式点对点传输协议,如BitTorrent(BT)、eDonkey等利用多进程并发的优势,大量占用带宽资源,对局域网出口带宽造成很大的压力,严重影响常规网络应用的使用。因此,针对该类应用实施有效的管理措施,也成为当今网络管理体系中进行流量控制的重要课题。
1 局域网出口管理的现状
海量丰富而且免费的点对点网络资源是驱使网络用户使用该类应用的原动力,资源下载的直接受益者,是每个使用点对点传输协议的用户,而受到损失的是更为广阔的普通网络应用用户群体。在一个10 000用户级别的校园网中,通过使用100MB电信出口带宽连接到Internet,正常情况下常规的网络应用都可以顺畅地进行。但如果校园网内有1%的用户在完全不受限制的情况下使用BT一类的协议下载互联网资源,就可能抢占50%以上的带宽资源,而另外99%用户的正常网络应用都会受到影响,例如网页打不开、邮件无法收发等。这样的网络状况显然是不合理的。
单纯从单个用户使用点对点下载软件的过程而言,并没有直观的侵害效果,甚至对于绝大部分使用此类方式下载资源的用户来说,可能只是简单地知道BT下载"连接的人越多速度越快",而下载对于整个网络的影响则很容易被忽略。从网络行为学的角度来说,如果想用简单的网络用户公约或道德规范来约束显然很难起到作用。因此,要限制和规范网络的使用,各网络管理部门普遍采用以下两种方式:其一,就是用流量费用限制每一个用户的下载额度;其二,就是使用一些技术手段限制点对点应用的使用。
按流量计费从本质上而言是控制用户网络行为最有效的方式,配合支持流量计算的路由器,用户计费软件可以精确地对每个局域网用户进行流量统计并生产账单。此类计费方式的软硬件系统早在20世纪90年代中期就广泛使用在网络管理系统中,到现在技术方面已经相当成熟。功能丰富的计费软件可以和用户客户端认证软件结合起来,实时告诉用户当前的流量使用情况和相应的费用状况。但是从2000年以后,随着互联网规模的不断扩大,接入互联网的基本费用大大降低,与互联网“开放”“免费”“共享”资源的理念相对应的是“包时段不限流量”的网络使用方式开始迅速普及起来。从ISP到普通网络用户,“包月”“包年”上网的概念也逐步成为了标准。因此,原有的从流量费用角度限制网络行为的方式也必然逐步淡出历史舞台。
2数据流量和用户行为分析
用户使用包时段不限流的方式上网,带宽抢占问题仍然存在,所以从技术层面进行流量控制还是最终的解决办法。以下就结合我校校园网在进行详尽的流量分析之后,实施精确流量管理的具体过程,对技术策略流量控制及其对用户网络行为的影响进行表述。
作为实验测试的我校校园网基本信息如下:20000用户规模,使用基于端口的包月方式管理用户,拥有两个100兆带宽的出口分别用于连接教育网和电信网络,校内有千兆的高速带宽。基本的网络拓扑如图1所示:
由以上的信息可以确定,常规的网络应用总和都远未达到出口的100兆带宽,因此通过控制和优化带宽策略,是完全可以满足常规网络应用的需求。在抓包测试中,由于BT等分布式点对点下载软件可以使用任意的源端口和目的端口进行连接,因此单纯通过TCP/IP协议无法对其进行辨别。通过在客户机上的应用实测,使用自定义端口的其他软件:如股票在线交易系统、网络游戏、聊天室等应用都不会产生很高的流量,因此可以初步推测,在"Others"特征分组中的绝大部分流量,都是由分布式点对点下载造成的。包括已知端口的BitTorrent应用流量,各类分布式点对点下载的流量已经占用了总出口带宽资源的40%以上。
2.4对单个包进行特征分析。90%以上的下载包,单个本地源IP对超过100个外网目的IP进行连接,连接端口在9 000以上。
2.5建立流量控制的需求定义
2.5.1分时段控制:每天的高峰时段进行流量控制,而在其他时段,充分利用带宽资源,不进行控制;
2.5.2分区域控制:对出口造成压力最大的是学生用户,而用于教学、科研、办公的关键性网络应用要始终保持高带宽高可用性;在该校园网内,学生用户使用"192.168"开头的私有地址,而教学、科研、办公使用"202.116"开头的教育网地址。
2.5.3分端口控制:常规应用使用的TCP和UDP的1至1024端口要优先保证带宽使用;1024至9000段是常规的自定义端口程序使用的区域要有限控制带宽资源;而9000以上的端口主要是分布式点对点下载软件使用的区域,要严格控制带宽的使用。
2.5.4分用户控制:单个网络用户在正常使用网络资源的情况下,最多同时使用十几个TCP会话,而一个使用BT下载的用户却会同时建立超过500个会话。因此,在出口位置要对单个用户同时使用的TCP会话数进行限制。
3 根据出口流量特征制定具体的控制策略
首先,在防火墙策略中,定义时间循环控制组:每天8:00-23:00;
定义网络端口组:高优端口组(包括TCP、UDP的端口1至端口1024);
中优端口组(包括TCP、UDP的端口1025至端口9000);
低优端口组(包括TCP、UDP的端口9000至端口65535);
定义用户组:高优用户组(202.116.XXX.XXX 掩码255.255.0.0)
低优用户组(192.168.XXX.XXX 掩码255.255.0.0)
定义会话策略:单个内网IP基于源端口的TCP会话数必须小于50,否则丢弃会话。
通过以上的定义,可以组合出如下的策略
表2 组合错列表
网络流量在通过以上的策略组合之后,被相应分组归纳调整,从而根据需求得到了较好的控制。