李清霞

LI Qing-xia

（廣東工業(yè)大學(xué),廣州 510095）

1 數(shù)據(jù)流擁堵的分析

在局域網(wǎng)中動(dòng)態(tài)的數(shù)據(jù)傳輸速率、數(shù)據(jù)節(jié)點(diǎn)帶寬和數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)延三大傳輸性能指標(biāo)，是數(shù)據(jù)傳輸鏈路是否暢順的衡尺，若不達(dá)標(biāo)就會(huì)在對(duì)應(yīng)的介質(zhì)或節(jié)點(diǎn)上發(fā)生數(shù)據(jù)擁堵[1]。

1.1 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)缺陷

1）網(wǎng)絡(luò)結(jié)構(gòu)層次太多：若網(wǎng)絡(luò)的接入層繼續(xù)向下級(jí)聯(lián)交換機(jī)來(lái)擴(kuò)充用戶群，則其級(jí)聯(lián)節(jié)點(diǎn)很容易發(fā)生堵塞， 因?yàn)榻尤雽幼烂娼粨Q機(jī)的端口，無(wú)論是速率或帶寬都難以滿足級(jí)聯(lián)干路的流量需求[1,2]。

2）干路負(fù)載分配失衡：若接入層干路重負(fù)載都集中在同一臺(tái)匯聚或核心交換機(jī)的一個(gè)端口，在數(shù)據(jù)交換高峰期可能會(huì)出現(xiàn)惡性循環(huán)的主干節(jié)點(diǎn)擁堵，直至網(wǎng)絡(luò)癱瘓[2]。

3）網(wǎng)絡(luò)冗余預(yù)留不足：當(dāng)網(wǎng)絡(luò)用戶因業(yè)務(wù)發(fā)展需要增加工作站，或使用數(shù)據(jù)交換量大的應(yīng)用軟件時(shí)，就有可能超出網(wǎng)絡(luò)冗余設(shè)計(jì)的能力[2,3]。

4）介質(zhì)超出額定距離：100Mbps下超5類雙絞線的長(zhǎng)度限制為100米，而多模光釬在100Mbps或1000Mbps下都是550米。如果超出額定距離，傳輸速率就會(huì)大幅下降，數(shù)據(jù)大量滯留在傳輸信道并造成擁堵。還有，若網(wǎng)絡(luò)支干或主干的介質(zhì)帶寬設(shè)計(jì)不足，即使額定距離符合要求，同樣會(huì)出現(xiàn)上述故障[4]。

1.2 網(wǎng)絡(luò)設(shè)備配置不當(dāng)

網(wǎng)絡(luò)設(shè)備配置關(guān)乎網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)傳輸性能的優(yōu)劣，主要內(nèi)容是選型和調(diào)試，若在這兩個(gè)環(huán)節(jié)上疏忽，最容易滋生數(shù)據(jù)流擁堵的隱患，以下舉幾例論述：

1.2.1 設(shè)備選型方面

1）交換機(jī)背板帶寬不足易產(chǎn)生端口并發(fā)通信瓶頸。路由交換機(jī)暫存在背板待處理的數(shù)據(jù)非常多，一旦容不下則丟包兼時(shí)延，萌發(fā)數(shù)據(jù)流擁堵的先兆[2,3]。

2）服務(wù)器的硬件標(biāo)配通常只有一塊100Mbps的網(wǎng)卡，當(dāng)客戶使用像ERP那種數(shù)據(jù)量大且通訊頻繁的軟件系統(tǒng)時(shí)，網(wǎng)卡的帶寬瓶頸可能會(huì)讓服務(wù)器的I/O性能降低，導(dǎo)致服務(wù)器端口產(chǎn)生數(shù)據(jù)等待甚至阻塞。

3）Internet共享接入設(shè)備主要用路由器承擔(dān)，如果路由器的吞吐量只有幾百Kbps，當(dāng)眾多用戶一齊上網(wǎng)時(shí)就會(huì)因擁擠而大面積掉線。如果取代路由器的代理服務(wù)器的傳輸速率只有10Mbps，則在轉(zhuǎn)發(fā)內(nèi)外主機(jī)之間的通信時(shí)會(huì)明顯緩慢[1,3]。

1.2.2 設(shè)備調(diào)試方面

1）交換機(jī)的傳輸速率一般默認(rèn)在自協(xié)商位置，若保持該默認(rèn)狀態(tài)，在通信時(shí)它們因相互間會(huì)反復(fù)協(xié)商而產(chǎn)生了不必要的傳輸時(shí)延，無(wú)意中為數(shù)據(jù)擁堵創(chuàng)造了條件。網(wǎng)卡同樣也有類似問(wèn)題[5]。

2）若在同一VLAN內(nèi)集中了太多工作站，則該虛擬子網(wǎng)的廣播包會(huì)急劇增加而且不斷消耗線纜帶寬資源，致使動(dòng)態(tài)傳輸速率急劇下降，數(shù)據(jù)流受到阻滯直至擁堵為止。此外，VLAN的數(shù)量過(guò)多會(huì)增加路由交換機(jī)的負(fù)擔(dān)，使數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)延逐漸增加。

3）防火墻是局域網(wǎng)必須的，但許多客戶為節(jié)省成本寧愿采用過(guò)濾速度偏慢的軟件防火墻。而且太多的過(guò)濾規(guī)則會(huì)降低數(shù)據(jù)在防火墻內(nèi)外的傳送速度[6]。

1.3 數(shù)據(jù)訪問(wèn)權(quán)限失控

在沒(méi)有數(shù)據(jù)訪問(wèn)權(quán)限控制的環(huán)境下，任何用戶都可以進(jìn)入與自身工作無(wú)關(guān)的應(yīng)用服務(wù)器中，大量的I/O請(qǐng)求和讀取信息無(wú)謂地占用服務(wù)器的節(jié)點(diǎn)帶寬，而真正有需要的用戶卻因信道擁擠和帶寬狹窄無(wú)法順暢訪問(wèn)服務(wù)器，數(shù)據(jù)擁堵必然會(huì)出現(xiàn)[3,5]。

最常用的數(shù)據(jù)訪問(wèn)控制方式是在C/S網(wǎng)絡(luò)架構(gòu)下，首先通過(guò)不同的路由限制了一部份無(wú)關(guān)用戶，然后在應(yīng)用服務(wù)器端創(chuàng)建有需要訪問(wèn)的用戶的不同帳號(hào)及其密碼，接著在共享資源中指定這些用戶才有權(quán)訪問(wèn)，而不在指定范圍內(nèi)的用戶則遭到訪問(wèn)拒絕。

這種數(shù)據(jù)訪問(wèn)控制方式的弊端一是要有許多不同路由才能滿足不同用戶交叉訪問(wèn)服務(wù)器的復(fù)雜請(qǐng)求，而過(guò)多的路由必定增加節(jié)點(diǎn)的時(shí)延、減少節(jié)點(diǎn)的帶寬，反而帶來(lái)數(shù)據(jù)擁堵的惡果；二是網(wǎng)絡(luò)用戶未必會(huì)采用指定的帳號(hào)及其密碼登錄應(yīng)用服務(wù)器，他可以在本機(jī)選用默認(rèn)的管理員帳號(hào)登錄，如果管理員帳號(hào)漏設(shè)密碼或Guest帳號(hào)未停用，就可以長(zhǎng)驅(qū)直入[2,5]。

2 數(shù)據(jù)流擁堵的治理

本文對(duì)數(shù)據(jù)流擁堵綜合治理的總體思路是，希望通過(guò)整改網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、優(yōu)化網(wǎng)絡(luò)設(shè)備配置、完善數(shù)據(jù)訪問(wèn)控制、實(shí)施網(wǎng)絡(luò)流量監(jiān)控這幾方面的努力，逐步消除擁堵的隱患，最大限度預(yù)防擁堵事故的發(fā)生，并能在擁堵發(fā)生時(shí)能夠合理地疏通解決。

2.1 整改網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

1）精簡(jiǎn)級(jí)聯(lián)層數(shù)：將接入層下的所有級(jí)聯(lián)上移至匯聚層，或采用堆疊技術(shù)簡(jiǎn)約地?cái)U(kuò)充用戶群；在條件允許下局部簡(jiǎn)化匯聚層，即把接入層交換機(jī)直接上聯(lián)核心層。

2）均衡干路流量：將各條輕重不同的干路負(fù)載平均分配在匯聚層各交換機(jī)中，盡量使各匯聚交換機(jī)的背板負(fù)載大致相等。若是直接連接到核心交換機(jī)端口，同樣采納均衡干路負(fù)載的思路[1,5]。

3）更新冗余設(shè)計(jì)：各層的交換機(jī)應(yīng)考慮端口冗余20%、背板帶寬冗余30%、線纜冗余1：1.4，如果不達(dá)標(biāo)則設(shè)立隨時(shí)可以應(yīng)急的備案[2,4]。

4）規(guī)范介質(zhì)長(zhǎng)度：敷設(shè)長(zhǎng)度大于100米的雙絞線可置換成室內(nèi)多模光釬，在其兩端添加光釬收發(fā)器就仍能接入RJ45口，大于550米的多模光釬要可置換成單模光釬，但接口須重新焊接。

5）核查介質(zhì)帶寬：若發(fā)現(xiàn)支干和主干線的傳輸介質(zhì)帶寬不足，可增加干線并將其接入對(duì)應(yīng)交換機(jī)冗余端口，并設(shè)置端口匯聚來(lái)擴(kuò)充干線帶寬[4]。

2.2 優(yōu)化網(wǎng)絡(luò)設(shè)備配置

1）統(tǒng)調(diào)傳輸速率：對(duì)網(wǎng)卡和交換機(jī)除了注意傳輸速率的一致性外，還須禁止其自協(xié)商功能，強(qiáng)制網(wǎng)絡(luò)中所有網(wǎng)卡和交換機(jī)固定在一個(gè)統(tǒng)一的、全雙工的傳輸速率上[2,3]。

2）合理劃分VLAN：同一VLAN內(nèi)建議不超過(guò)100臺(tái)主機(jī)，同一局域網(wǎng)內(nèi)建議超過(guò)30個(gè)VLAN，才能最大限度避免廣播風(fēng)暴、減少路由瓶頸，確保數(shù)據(jù)流量不受阻滯[5]。

3）啟用高級(jí)配置：如果是網(wǎng)管型交換機(jī)，啟動(dòng)廣播風(fēng)暴抑制功能，可以有效抑制大量的廣播、單播或組播的數(shù)據(jù)包；啟動(dòng)端口流量控制功能，可以控制網(wǎng)絡(luò)節(jié)點(diǎn)的傳輸速率，解決流量擁堵及過(guò)載問(wèn)題[2]。

4）優(yōu)化過(guò)濾規(guī)則：行內(nèi)公認(rèn)硬件防火墻的過(guò)濾速度比軟件防火墻快，應(yīng)優(yōu)先選用之。防火墻過(guò)濾規(guī)則設(shè)置應(yīng)盡可能降低對(duì)其吞吐量的影響，在可靠的安全策略指導(dǎo)下盡量精簡(jiǎn)過(guò)濾規(guī)則[6]。

5）服務(wù)器集群：將現(xiàn)有的多臺(tái)服務(wù)器集群并安裝負(fù)載均衡軟件，對(duì)外提供一個(gè)統(tǒng)一的地址。當(dāng)一個(gè)訪問(wèn)請(qǐng)求到達(dá)本集群時(shí)，系統(tǒng)會(huì)自動(dòng)選擇一臺(tái)服務(wù)器接受并提供相關(guān)服務(wù)，直至所有用戶請(qǐng)求被平均分配到所有服務(wù)器分別承擔(dān)。有了這種大量并發(fā)訪問(wèn)服務(wù)的能力，這個(gè)網(wǎng)絡(luò)上最容易擁堵的節(jié)點(diǎn)自然可以得到疏通[2,5]。

2.3 完善數(shù)據(jù)訪問(wèn)控制

在域控制管理環(huán)境下實(shí)施數(shù)據(jù)訪問(wèn)控制。在常見(jiàn)的工作組管理環(huán)境下，數(shù)據(jù)訪問(wèn)控制不可靠源于客戶機(jī)是失控的，無(wú)法保證客戶機(jī)的IP參數(shù)和登錄設(shè)置不被修改。由于在域控制環(huán)境下運(yùn)行活動(dòng)目錄，客戶機(jī)的軟硬件設(shè)置全部納入受控和管理范圍，任何人無(wú)法更改或刪除，若要登錄訪問(wèn)只能使用指定的域名帳號(hào)和密碼[2,3,5]。

域控制管理通過(guò)設(shè)置用戶配給權(quán)限和資源使用權(quán)限去完善數(shù)據(jù)訪問(wèn)控制，確保各用戶能夠定向地訪問(wèn)服務(wù)器，實(shí)現(xiàn)服務(wù)器節(jié)點(diǎn)的動(dòng)態(tài)帶寬最大化。

1）用戶配給權(quán)限：網(wǎng)絡(luò)管理員(Administrators)是唯一擁有網(wǎng)絡(luò)的完全訪問(wèn)和控制權(quán)；特殊成員可擁有指定系統(tǒng)管理員（Enterprise Admins）權(quán)限，能訪問(wèn)權(quán)限級(jí)別較高的網(wǎng)絡(luò)資源，但不允許修改本機(jī)任何設(shè)置；其余成員只能是普通用戶（Users）權(quán)限。不允許修改網(wǎng)絡(luò)及本機(jī)所有設(shè)置。只能受限制地訪問(wèn)網(wǎng)絡(luò)資源[2]。

2）資源使用權(quán)限：指訪問(wèn)者對(duì)網(wǎng)絡(luò)各種資源讀/寫(xiě)/修改的資格。用戶的配給權(quán)限或職位越高，資源使用權(quán)限就越大。例如普通職員通常只有閱讀文件的權(quán)限，但不能寫(xiě)入或修改；只有特殊成員有寫(xiě)入甚至修改的權(quán)限。

2.4 實(shí)施網(wǎng)絡(luò)流量監(jiān)控

無(wú)論數(shù)據(jù)流擁堵的預(yù)防工作做得多么全面和細(xì)致，始終還是會(huì)出現(xiàn)數(shù)據(jù)堵塞現(xiàn)象的，因?yàn)榫W(wǎng)絡(luò)數(shù)據(jù)流量是一個(gè)隨機(jī)的變數(shù)，例如黑客攻擊和病毒侵襲最容易使流量隨機(jī)性劇增。必須制定一個(gè)流量監(jiān)視與控制的實(shí)戰(zhàn)策略及方案應(yīng)對(duì)數(shù)據(jù)流擁堵的發(fā)生。網(wǎng)絡(luò)流量監(jiān)控的實(shí)施是以成熟的流量監(jiān)控軟件為技術(shù)依托，圍繞著流量采集、流量分析、流量控制這幾個(gè)環(huán)節(jié)進(jìn)行。

2.4.1 網(wǎng)絡(luò)數(shù)據(jù)流量采集

流量采集實(shí)質(zhì)上是利用DPI技術(shù)和軟件工具如TCPDump，對(duì)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)包進(jìn)行捕獲，為數(shù)據(jù)流擁堵的分析提供原始依據(jù)。對(duì)流量數(shù)據(jù)的捕獲選擇方向通常定在網(wǎng)絡(luò)易堵黑點(diǎn)，至于捕獲時(shí)機(jī)則取決于流量監(jiān)測(cè)的結(jié)果。網(wǎng)絡(luò)流量監(jiān)測(cè)方法有三種，1）采用硬件探針串接在需要捕捉流量的鏈路中，通過(guò)分流鏈路上的數(shù)字信號(hào)而獲取流量信息，特點(diǎn)是能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息；2）采用測(cè)試儀表提取網(wǎng)絡(luò)設(shè)備里Agent模塊提供的MIB(管理對(duì)象信息庫(kù))一些具體設(shè)備及流量信息有關(guān)的變量，特點(diǎn)是網(wǎng)絡(luò)設(shè)備廠家支持率高而且使用方便；3）基于專屬協(xié)議Netflow，在路由器和交換機(jī)運(yùn)用預(yù)先定制的方式測(cè)量和統(tǒng)計(jì)網(wǎng)絡(luò)流量，特點(diǎn)是能夠?qū)崿F(xiàn)中央部署式的全網(wǎng)絡(luò)流量監(jiān)測(cè)[7,9]。

2.4.2 網(wǎng)絡(luò)流量分析

運(yùn)用軟件分析工具如NTOP等，對(duì)定向采集回來(lái)的各種流量信息進(jìn)行帶寬分析、時(shí)延分析和協(xié)議分析，可以定位流量的類型、帶寬、時(shí)間和空間分布、流向；可以判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)或蠕蟲(chóng)病毒出現(xiàn)，可以查出當(dāng)前占用大量帶寬的主機(jī)和各次通信的目標(biāo)主機(jī)；可以了解數(shù)據(jù)包的大小、發(fā)送時(shí)間以及傳遞時(shí)鏈路的擁塞狀況等詳細(xì)信息。根據(jù)分析結(jié)果，網(wǎng)絡(luò)管理員很方便地找到數(shù)據(jù)擁堵的具體位置及產(chǎn)生原因，及時(shí)采取優(yōu)化措施進(jìn)行疏導(dǎo)解決[8]。

2.4.3 網(wǎng)絡(luò)流量控制

目前主流的網(wǎng)絡(luò)數(shù)據(jù)流量控制方法是[7～9]：

1）利用路由器的流量QOS功能，在數(shù)據(jù)流擁堵時(shí)限制局域網(wǎng)內(nèi)相關(guān)用戶群占用的帶寬，既可以確保為每種應(yīng)用提供不同的帶寬和優(yōu)先權(quán)，又可以遏止異常流量。

2）在數(shù)據(jù)流擁堵時(shí)臨時(shí)封閉6881～6890的下載端口，暫時(shí)中斷一些搶占流量帶寬的下載軟件運(yùn)行，釋放正常訪問(wèn)的用戶流量。

3）實(shí)行分時(shí)管理，限制或禁止一些流量在指定時(shí)間段內(nèi)對(duì)帶寬的占用，例如在數(shù)據(jù)通信的高峰期間歇性地關(guān)閉一些非優(yōu)先的服務(wù)項(xiàng)目，以緩解難以避免的數(shù)據(jù)流擁堵。

4）為網(wǎng)絡(luò)上每一臺(tái)主機(jī)預(yù)設(shè)固定的上傳和下載的傳輸速率或帶寬，減少用戶之間對(duì)流量需求爭(zhēng)先恐后的危機(jī)。

3 結(jié)論

網(wǎng)絡(luò)流量的不斷增長(zhǎng)及網(wǎng)絡(luò)應(yīng)用的日趨繁雜，網(wǎng)絡(luò)管理者必須耗費(fèi)更多時(shí)間和精力來(lái)應(yīng)對(duì)數(shù)據(jù)流擁堵。期望無(wú)限制地增加局域網(wǎng)帶寬顯然是不現(xiàn)實(shí)的，唯有通過(guò)不斷優(yōu)化網(wǎng)絡(luò)性能的各種措施，遏制擁堵的隱患及源頭；還要對(duì)全網(wǎng)絡(luò)的流量實(shí)時(shí)監(jiān)視和有效管理，確保在數(shù)據(jù)流擁堵發(fā)生之際能迅速治理。

[1] 張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].電子工業(yè)出版社,2004,(3)：77-126.

[2] 劉曉輝,楊興明.中小企業(yè)網(wǎng)絡(luò)管理員實(shí)用教程[M].科學(xué)出版社,2004,84-192.

[3] 譚珂,全惠民.局域網(wǎng)組建與管理實(shí)用手冊(cè)[M].中國(guó)青年出版社,2003,51-146.

[4] 黎連業(yè).網(wǎng)絡(luò)綜合布線系統(tǒng)與施工技術(shù)[M].北京機(jī)械工業(yè)出版社,2004,47-135.

[5] 劉英,沈林興.網(wǎng)絡(luò)管理技術(shù)教程[M].清華大學(xué)出版社,2006,56-108.

[6] 劉曉輝.網(wǎng)管從業(yè)寶典：交換機(jī)·路由器·防火墻[M].重慶大學(xué)出版社,2008,61-89.

[7] 劉芳.網(wǎng)絡(luò)流量監(jiān)測(cè)與控制[M].北京郵電大學(xué)出版社,2009,12-173.

[8] 孫知信.網(wǎng)絡(luò)異常流量識(shí)別與監(jiān)控技術(shù)研究[M].清華大學(xué)出版社,2010,43-147.

[9] 高彥剛.實(shí)用網(wǎng)絡(luò)流量分析技術(shù)[M].電子工業(yè)出版社,2009,93-217.