论局域网数据流拥堵的综合治理

李清霞

LI Qing-xia

（广东工业大学,广州 510095）

1 数据流拥堵的分析

在局域网中动态的数据传输速率、数据节点带宽和数据转发时延三大传输性能指标，是数据传输链路是否畅顺的衡尺，若不达标就会在对应的介质或节点上发生数据拥堵[1]。

1.1 网络拓扑设计缺陷

1）网络结构层次太多：若网络的接入层继续向下级联交换机来扩充用户群，则其级联节点很容易发生堵塞， 因为接入层桌面交换机的端口，无论是速率或带宽都难以满足级联干路的流量需求[1,2]。

2）干路负载分配失衡：若接入层干路重负载都集中在同一台汇聚或核心交换机的一个端口，在数据交换高峰期可能会出现恶性循环的主干节点拥堵，直至网络瘫痪[2]。

3）网络冗余预留不足：当网络用户因业务发展需要增加工作站，或使用数据交换量大的应用软件时，就有可能超出网络冗余设计的能力[2,3]。

4）介质超出额定距离：100Mbps下超5类双绞线的长度限制为100米，而多模光钎在100Mbps或1000Mbps下都是550米。如果超出额定距离，传输速率就会大幅下降，数据大量滞留在传输信道并造成拥堵。还有，若网络支干或主干的介质带宽设计不足，即使额定距离符合要求，同样会出现上述故障[4]。

1.2 网络设备配置不当

网络设备配置关乎网络实时数据传输性能的优劣，主要内容是选型和调试，若在这两个环节上疏忽，最容易滋生数据流拥堵的隐患，以下举几例论述：

1.2.1 设备选型方面

1）交换机背板带宽不足易产生端口并发通信瓶颈。路由交换机暂存在背板待处理的数据非常多，一旦容不下则丢包兼时延，萌发数据流拥堵的先兆[2,3]。

2）服务器的硬件标配通常只有一块100Mbps的网卡，当客户使用像ERP那种数据量大且通讯频繁的软件系统时，网卡的带宽瓶颈可能会让服务器的I/O性能降低，导致服务器端口产生数据等待甚至阻塞。

3）Internet共享接入设备主要用路由器承担，如果路由器的吞吐量只有几百Kbps，当众多用户一齐上网时就会因拥挤而大面积掉线。如果取代路由器的代理服务器的传输速率只有10Mbps，则在转发内外主机之间的通信时会明显缓慢[1,3]。

1.2.2 设备调试方面

1）交换机的传输速率一般默认在自协商位置，若保持该默认状态，在通信时它们因相互间会反复协商而产生了不必要的传输时延，无意中为数据拥堵创造了条件。网卡同样也有类似问题[5]。

2）若在同一VLAN内集中了太多工作站，则该虚拟子网的广播包会急剧增加而且不断消耗线缆带宽资源，致使动态传输速率急剧下降，数据流受到阻滞直至拥堵为止。此外，VLAN的数量过多会增加路由交换机的负担，使数据包转发时延逐渐增加。

3）防火墙是局域网必须的，但许多客户为节省成本宁愿采用过滤速度偏慢的软件防火墙。而且太多的过滤规则会降低数据在防火墙内外的传送速度[6]。

1.3 数据访问权限失控

在没有数据访问权限控制的环境下，任何用户都可以进入与自身工作无关的应用服务器中，大量的I/O请求和读取信息无谓地占用服务器的节点带宽，而真正有需要的用户却因信道拥挤和带宽狭窄无法顺畅访问服务器，数据拥堵必然会出现[3,5]。

最常用的数据访问控制方式是在C/S网络架构下，首先通过不同的路由限制了一部份无关用户，然后在应用服务器端创建有需要访问的用户的不同帐号及其密码，接着在共享资源中指定这些用户才有权访问，而不在指定范围内的用户则遭到访问拒绝。

这种数据访问控制方式的弊端一是要有许多不同路由才能满足不同用户交叉访问服务器的复杂请求，而过多的路由必定增加节点的时延、减少节点的带宽，反而带来数据拥堵的恶果；二是网络用户未必会采用指定的帐号及其密码登录应用服务器，他可以在本机选用默认的管理员帐号登录，如果管理员帐号漏设密码或Guest帐号未停用，就可以长驱直入[2,5]。

2 数据流拥堵的治理

本文对数据流拥堵综合治理的总体思路是，希望通过整改网络拓扑结构、优化网络设备配置、完善数据访问控制、实施网络流量监控这几方面的努力，逐步消除拥堵的隐患，最大限度预防拥堵事故的发生，并能在拥堵发生时能够合理地疏通解决。

2.1 整改网络拓扑结构

1）精简级联层数：将接入层下的所有级联上移至汇聚层，或采用堆叠技术简约地扩充用户群；在条件允许下局部简化汇聚层，即把接入层交换机直接上联核心层。

2）均衡干路流量：将各条轻重不同的干路负载平均分配在汇聚层各交换机中，尽量使各汇聚交换机的背板负载大致相等。若是直接连接到核心交换机端口，同样采纳均衡干路负载的思路[1,5]。

3）更新冗余设计：各层的交换机应考虑端口冗余20%、背板带宽冗余30%、线缆冗余1：1.4，如果不达标则设立随时可以应急的备案[2,4]。

4）规范介质长度：敷设长度大于100米的双绞线可置换成室内多模光钎，在其两端添加光钎收发器就仍能接入RJ45口，大于550米的多模光钎要可置换成单模光钎，但接口须重新焊接。

5）核查介质带宽：若发现支干和主干线的传输介质带宽不足，可增加干线并将其接入对应交换机冗余端口，并设置端口汇聚来扩充干线带宽[4]。

2.2 优化网络设备配置

1）统调传输速率：对网卡和交换机除了注意传输速率的一致性外，还须禁止其自协商功能，强制网络中所有网卡和交换机固定在一个统一的、全双工的传输速率上[2,3]。

2）合理划分VLAN：同一VLAN内建议不超过100台主机，同一局域网内建议超过30个VLAN，才能最大限度避免广播风暴、减少路由瓶颈，确保数据流量不受阻滞[5]。

3）启用高级配置：如果是网管型交换机，启动广播风暴抑制功能，可以有效抑制大量的广播、单播或组播的数据包；启动端口流量控制功能，可以控制网络节点的传输速率，解决流量拥堵及过载问题[2]。

4）优化过滤规则：行内公认硬件防火墙的过滤速度比软件防火墙快，应优先选用之。防火墙过滤规则设置应尽可能降低对其吞吐量的影响，在可靠的安全策略指导下尽量精简过滤规则[6]。

5）服务器集群：将现有的多台服务器集群并安装负载均衡软件，对外提供一个统一的地址。当一个访问请求到达本集群时，系统会自动选择一台服务器接受并提供相关服务，直至所有用户请求被平均分配到所有服务器分别承担。有了这种大量并发访问服务的能力，这个网络上最容易拥堵的节点自然可以得到疏通[2,5]。

2.3 完善数据访问控制

在域控制管理环境下实施数据访问控制。在常见的工作组管理环境下，数据访问控制不可靠源于客户机是失控的，无法保证客户机的IP参数和登录设置不被修改。由于在域控制环境下运行活动目录，客户机的软硬件设置全部纳入受控和管理范围，任何人无法更改或删除，若要登录访问只能使用指定的域名帐号和密码[2,3,5]。

域控制管理通过设置用户配给权限和资源使用权限去完善数据访问控制，确保各用户能够定向地访问服务器，实现服务器节点的动态带宽最大化。

1）用户配给权限：网络管理员(Administrators)是唯一拥有网络的完全访问和控制权；特殊成员可拥有指定系统管理员（Enterprise Admins）权限，能访问权限级别较高的网络资源，但不允许修改本机任何设置；其余成员只能是普通用户（Users）权限。不允许修改网络及本机所有设置。只能受限制地访问网络资源[2]。

2）资源使用权限：指访问者对网络各种资源读/写/修改的资格。用户的配给权限或职位越高，资源使用权限就越大。例如普通职员通常只有阅读文件的权限，但不能写入或修改；只有特殊成员有写入甚至修改的权限。

2.4 实施网络流量监控

无论数据流拥堵的预防工作做得多么全面和细致，始终还是会出现数据堵塞现象的，因为网络数据流量是一个随机的变数，例如黑客攻击和病毒侵袭最容易使流量随机性剧增。必须制定一个流量监视与控制的实战策略及方案应对数据流拥堵的发生。网络流量监控的实施是以成熟的流量监控软件为技术依托，围绕着流量采集、流量分析、流量控制这几个环节进行。

2.4.1 网络数据流量采集

流量采集实质上是利用DPI技术和软件工具如TCPDump，对通过网络节点的数据包进行捕获，为数据流拥堵的分析提供原始依据。对流量数据的捕获选择方向通常定在网络易堵黑点，至于捕获时机则取决于流量监测的结果。网络流量监测方法有三种，1）采用硬件探针串接在需要捕捉流量的链路中，通过分流链路上的数字信号而获取流量信息，特点是能够提供丰富的从物理层到应用层的详细信息；2）采用测试仪表提取网络设备里Agent模块提供的MIB(管理对象信息库)一些具体设备及流量信息有关的变量，特点是网络设备厂家支持率高而且使用方便；3）基于专属协议Netflow，在路由器和交换机运用预先定制的方式测量和统计网络流量，特点是能够实现中央部署式的全网络流量监测[7,9]。

2.4.2 网络流量分析

运用软件分析工具如NTOP等，对定向采集回来的各种流量信息进行带宽分析、时延分析和协议分析，可以定位流量的类型、带宽、时间和空间分布、流向；可以判断是否有黑客正在攻击网络系统或蠕虫病毒出现，可以查出当前占用大量带宽的主机和各次通信的目标主机；可以了解数据包的大小、发送时间以及传递时链路的拥塞状况等详细信息。根据分析结果，网络管理员很方便地找到数据拥堵的具体位置及产生原因，及时采取优化措施进行疏导解决[8]。

2.4.3 网络流量控制

目前主流的网络数据流量控制方法是[7～9]：

1）利用路由器的流量QOS功能，在数据流拥堵时限制局域网内相关用户群占用的带宽，既可以确保为每种应用提供不同的带宽和优先权，又可以遏止异常流量。

2）在数据流拥堵时临时封闭6881～6890的下载端口，暂时中断一些抢占流量带宽的下载软件运行，释放正常访问的用户流量。

3）实行分时管理，限制或禁止一些流量在指定时间段内对带宽的占用，例如在数据通信的高峰期间歇性地关闭一些非优先的服务项目，以缓解难以避免的数据流拥堵。

4）为网络上每一台主机预设固定的上传和下载的传输速率或带宽，减少用户之间对流量需求争先恐后的危机。

3 结论

网络流量的不断增长及网络应用的日趋繁杂，网络管理者必须耗费更多时间和精力来应对数据流拥堵。期望无限制地增加局域网带宽显然是不现实的，唯有通过不断优化网络性能的各种措施，遏制拥堵的隐患及源头；还要对全网络的流量实时监视和有效管理，确保在数据流拥堵发生之际能迅速治理。

[1] 张公忠.现代网络技术教程[M].电子工业出版社,2004,(3)：77-126.

[2] 刘晓辉,杨兴明.中小企业网络管理员实用教程[M].科学出版社,2004,84-192.

[3] 谭珂,全惠民.局域网组建与管理实用手册[M].中国青年出版社,2003,51-146.

[4] 黎连业.网络综合布线系统与施工技术[M].北京机械工业出版社,2004,47-135.

[5] 刘英,沈林兴.网络管理技术教程[M].清华大学出版社,2006,56-108.

[6] 刘晓辉.网管从业宝典：交换机·路由器·防火墙[M].重庆大学出版社,2008,61-89.

[7] 刘芳.网络流量监测与控制[M].北京邮电大学出版社,2009,12-173.

[8] 孙知信.网络异常流量识别与监控技术研究[M].清华大学出版社,2010,43-147.

[9] 高彦刚.实用网络流量分析技术[M].电子工业出版社,2009,93-217.