李剛

摘要：QoS（Quality of Service，服務(wù)質(zhì)量）的作用不言而喻。通過(guò)在交換設(shè)備上部署QoS命令，不僅可以解決網(wǎng)絡(luò)延遲和阻塞，提升服務(wù)品質(zhì)，還可有針對(duì)性地對(duì)部分?jǐn)?shù)據(jù)進(jìn)行強(qiáng)控。筆者通過(guò)對(duì)校內(nèi)交換設(shè)備使用QoS后，有效改善了網(wǎng)絡(luò)擁堵問題。

關(guān)鍵詞：流量管理；網(wǎng)絡(luò)帶寬；優(yōu)化配置

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）25-0016-02

在P2P、ARP充斥的校園網(wǎng)里，如何更好地管理和分配網(wǎng)絡(luò)流量，即保障了關(guān)鍵業(yè)務(wù)的需求，又提升了用戶的體驗(yàn)度，一直是令網(wǎng)絡(luò)管理人員感到頭疼的事情。端口限速、按需分配、出口壓縮、流量整形等技術(shù)手段的應(yīng)用，最核心的內(nèi)容還是為了提升網(wǎng)絡(luò)的服務(wù)質(zhì)量。因此QoS的部署必不可少。

QoS作為網(wǎng)絡(luò)交換設(shè)備中的高級(jí)應(yīng)用，在結(jié)合ACL（access control list，訪問控制列表）的同時(shí)，實(shí)現(xiàn)了對(duì)特定數(shù)據(jù)流或IP的管控。即可以保障關(guān)鍵業(yè)務(wù)的運(yùn)行，也可對(duì)網(wǎng)絡(luò)流量進(jìn)行分層、分級(jí)管理。

1網(wǎng)絡(luò)交換中常見管理手段的案例分析

除軟件外（交換機(jī)管理軟件不具備三層管理能力，一般網(wǎng)絡(luò)管理軟件只能對(duì)本網(wǎng)段內(nèi)用戶進(jìn)行管理，不能實(shí)現(xiàn)跨網(wǎng)段管理），二層交換設(shè)備是基于MAC地址信息轉(zhuǎn)發(fā)，只能完成網(wǎng)絡(luò)上兩個(gè)結(jié)點(diǎn)之間的無(wú)差錯(cuò)傳輸，是針對(duì)端口速率的管理，比如全雙工到半工，1000Mbps自適應(yīng)到10Mbps的調(diào)整。再智能一點(diǎn)的交換機(jī)還自帶“顆?；惫芾砉δ?，把上行和下行按交換機(jī)“線速”能力做了管控。三層交換設(shè)備是網(wǎng)絡(luò)層信息轉(zhuǎn)發(fā)，是源結(jié)點(diǎn)到目的結(jié)點(diǎn)的數(shù)據(jù)包發(fā)送，是基于IP地址的，是有指向性的。因此除了端口管理外，還可對(duì)VLAN和ROUTE進(jìn)行管控。

在網(wǎng)絡(luò)架構(gòu)中，二層設(shè)備用于接入，三層設(shè)備用于匯聚或核心。用戶數(shù)據(jù)在傳輸時(shí)，會(huì)先流向路徑最短的二層交換設(shè)備，在不跨網(wǎng)段的傳輸中，三層路由設(shè)備的開銷最小。

案例一：A和B同在一棟樓里的不同VLAN，A訪問B服務(wù)器的資源時(shí)，占用了B的大量帶寬，B感到自己的數(shù)據(jù)傳輸受到影響，于是請(qǐng)求技術(shù)處理。技術(shù)人員把A的網(wǎng)絡(luò)端口做了速率限制，全雙工改為半工，并降為10Mbps。B的網(wǎng)絡(luò)恢復(fù)了通暢，但A訪問任何節(jié)點(diǎn)都變成了10Mbps半工，并在網(wǎng)卡連接時(shí)有顯示，于是A也請(qǐng)求技術(shù)處理。技術(shù)人員將A的網(wǎng)絡(luò)端口恢復(fù)，并設(shè)置上行2Mbps，下行5Mbps（交換機(jī)端口中的上行為用戶上傳，下行為用戶接收），A的網(wǎng)卡顯示速率恢復(fù)，但網(wǎng)絡(luò)訪問速度一直起不來(lái)，特別是在P2P時(shí)，系統(tǒng)有時(shí)卡的不能正常使用。

案例二：A的電腦系統(tǒng)未開啟局域網(wǎng)防護(hù)，在上網(wǎng)中著了ARP病毒而不知，并在局域網(wǎng)中急速擴(kuò)散，造成同一交換機(jī)中的接入用戶全部不能上網(wǎng)（二層與三層之間為TRUNK模式）。技術(shù)人員檢查時(shí)發(fā)現(xiàn)，接入交換機(jī)無(wú)法進(jìn)行遠(yuǎn)程管控，且重啟后幾秒內(nèi)上聯(lián)口即堵死，只能對(duì)接入用戶逐一排查。

案例三：小型電子閱覽室每次開放時(shí)，全校上網(wǎng)用戶都明顯感覺網(wǎng)速變慢，甚至網(wǎng)頁(yè)打不開。技術(shù)人員將電子閱覽室的網(wǎng)絡(luò)端口用rate-limit命令做了限制，造成電子閱覽室的網(wǎng)絡(luò)不能正常使用。經(jīng)幾次調(diào)試，還是不能很好地解決此問題。

上述三個(gè)案例都是校園網(wǎng)中最常見的現(xiàn)象。案例一中，A的流量未做QoS處理，只對(duì)網(wǎng)絡(luò)接口硬件進(jìn)行了限制，因此造成大量數(shù)據(jù)包在隊(duì)列時(shí)被丟棄，增加了交換機(jī)包轉(zhuǎn)發(fā)的校驗(yàn)次數(shù)和時(shí)間，同時(shí)也增加了交換機(jī)的開銷，使網(wǎng)絡(luò)延遲變大。案例二中，A在網(wǎng)絡(luò)中擴(kuò)散ARP，造成了網(wǎng)絡(luò)的堵塞和廣播風(fēng)暴，小數(shù)據(jù)包的吞吐量變大，端口包轉(zhuǎn)發(fā)異常。案例三中，電子閱覽室是公共場(chǎng)所，接入用戶較集中，帶寬需求較大。在不影響校園網(wǎng)整體傳輸質(zhì)量的同時(shí)，必須做流量分離和管控。

2 QoS的優(yōu)化配置

2.1QoS的簡(jiǎn)單配置方法（以銳捷設(shè)備為例）

第1步，配置端口的信任模式，并選擇信任的類型。即MLS QOS TRUST COS|DSCP|IP-PERECEDENCE（COS基于隊(duì)列，DSCP基于優(yōu)先級(jí)，IP-PERECEDENCE為IP優(yōu)先）。

第2步，創(chuàng)建ACL的策略。即ip access-list extended策略名。

第3步，創(chuàng)建一個(gè)分類，并匹配ACL策略。match access-group ACL策略名。

第4步，設(shè)置限制速率。police 下行速率 上行速率

第5步，應(yīng)用到網(wǎng)絡(luò)接口。service-policy input 巡查策略表名

例如，需要配置一個(gè)針對(duì)某個(gè)IP段對(duì)外訪問限速，名為XS的典型策略。其配置如下：

ip access-list extended XS //XS為策略名

permit ip any 10.10.10.0 0.0.0.255 //10.10.10.0為內(nèi)部子網(wǎng)，掩碼為反碼模式

！

class-map XS_C //XS_C為分類名，與下同

match access-group XS //匹配ACL的策略名，指對(duì)XS配置的內(nèi)容有效

！

policy-map XS_P //XS_P為巡查策略表名

class XS_C //巡查名為XS_C的分類名

police 15M 65536 //對(duì)XS所配置的子網(wǎng)，做下行為15Mbps，猝發(fā)為65536bps的限制

QoS的靈活性主要來(lái)自由第1步和第2步的配置。特別是ACL內(nèi)的策略配置。

2.2QoS的分層優(yōu)化

我們熟悉了QoS的配置方法后，可針對(duì)校園網(wǎng)的不同情況和接入法式進(jìn)行定制化的配置，同時(shí)也可實(shí)現(xiàn)分層管理，比如接入做流量管理、樓宇做匯聚管理、核心做樓宇識(shí)別、出口做關(guān)鍵業(yè)務(wù)管理等。

QoS策略的執(zhí)行端口分為接入口和上聯(lián)口。在接入層、匯聚層、核心層中，可分別實(shí)現(xiàn)不同的應(yīng)用和功能。二層交換設(shè)備主ACL策略，三層路由設(shè)備主接入流量控制，核心路由主業(yè)務(wù)分流。依據(jù)不同的策略組合，實(shí)現(xiàn)管控的目的。

我院在未做QoS管理以前，一直采用端口限速管理，教學(xué)辦公用戶（不含宿舍）共享百兆出口。由于教學(xué)需要，各院系機(jī)房接入校園網(wǎng)后，端口限速造成機(jī)房上網(wǎng)不穩(wěn)，后改為QoS樓宇限速策略，對(duì)有機(jī)房上網(wǎng)需求的教學(xué)樓進(jìn)行了整體流量限制。隨著新建實(shí)訓(xùn)室和小機(jī)房的數(shù)量逐漸增加，樓內(nèi)各上網(wǎng)用戶還是經(jīng)常出現(xiàn)斷流的現(xiàn)象。經(jīng)排查，發(fā)現(xiàn)個(gè)別接入的小機(jī)房上網(wǎng)流量特別大，已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)正常使用流量，遂添加接入網(wǎng)段限速策略，對(duì)相同教學(xué)單位的小機(jī)房進(jìn)行統(tǒng)一流量管控，保障了其他用戶的上網(wǎng)速率。

這樣我院同時(shí)在實(shí)行兩種策略，即二層接入按機(jī)房IP段進(jìn)行流控管理，三層匯聚按樓宇進(jìn)行流控管理。為少輕設(shè)備的開銷，將接入策略配置在匯聚設(shè)備上，將匯聚策略配置在核心設(shè)備上，并在核心出口配置了關(guān)鍵業(yè)務(wù)的保障帶寬，緩解了出口訪問壓力。

策略實(shí)施后，出口壓力由原先的上下行共210～260Mbps（含猝發(fā)），下降到90～160Mbps（含猝發(fā)），極大程度地改善了網(wǎng)絡(luò)運(yùn)行情況，提升了用戶上網(wǎng)的滿意度。

3結(jié)束語(yǔ)

雖然網(wǎng)絡(luò)設(shè)備的功能越來(lái)越強(qiáng)大，產(chǎn)品針對(duì)性也越來(lái)越強(qiáng)，但還是離不開人的管理。因此技術(shù)保障應(yīng)優(yōu)先于設(shè)備保障。只有更好的發(fā)揮和應(yīng)用設(shè)備自身的技術(shù)體系，因地制宜，才會(huì)從根本上改善校園網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

[1] 牛軍，余萍萍，李思恩.校園網(wǎng)流量控制初探[J].中國(guó)教育信息化（基礎(chǔ)教育），2009（2）：66-68.

[2] 張巍娜.QoS與ACL的配置及應(yīng)用[J].赤峰學(xué)院學(xué)報(bào)（自然科學(xué)版），2009，25（2）：37-39.