以往,規模不大的單位組建局域網時,采用的網絡拓撲結構比較單一,網絡應用流量不是很大,因此網絡管理員平時管理、維護網絡的工作量自然也不是很大,主要工作就集中在對終端系統的管理、維護上。伴隨著各式各樣網絡應用的不斷興起,在Internet網絡中進行在線觀看高清視頻電視,在線下載多媒體視頻流信息,以及使用BT工具共享下載大容量數據信息,正成為一項常規上網訪問需求。在規模不大的局域網工作環境中,上網用戶常常喜歡在線下載大容量數據信息,這樣的一項普通操作,在網絡出口帶寬不是很“富裕”的情況下,可以造成整個網絡不能正常運行,嚴重的時候能導致網絡發生癱瘓狀態。為此,筆者所在單位就已經意識到網絡通道堵塞現象,為了優化網絡應用,保證網絡運行穩定,我們特意對單位局域網的總體流量進行了合理控制。
工作環境
根據上網目的的不同,單位局域網訪問Internet網絡的用戶主要分為三種類型。
一是單位普通員工平時在Internet網絡中進行在線辦公以及學習娛樂活動。
二是單位為社會學員在培訓機房中提供上網培訓服務。
三是為單位職能處室提供在線申報環境,實施科技星火項目的遠程申報服務。
在當時組建局域網網絡時,我們采用了非常常見的星型組網結構,網絡出口帶寬租用的是本地電信公司提供的2M光纖帶寬;同時,我們從電信公司那里獲得了18個公網IP地址,這些公網IP地址全部用于連接在外網交換機下面的服務器集群和重要主機系統。從內網核心路由交換機連接出來的各個樓層交換機下面,全部使用內網IP地址,這些內網IP地址全部用于局域網不同類型上網用戶的各種上網訪問需求。整個局域網組網拓撲結構主要是依照不同網絡訪問需求而形成的一個大概的結構圖,并沒有詳細考慮上網終端設備所在的實際地理位置,因此這樣的組網結構圖與實際的上網結構稍微有點出入。
連接在外網交換機下面的服務器集群,主要流量包括Web訪問流量、FTP上傳下載流量、文件訪問流量以及電子郵件流量,根據平時的觀察,這些訪問流量都不是很大,并且我們之前已經對電子郵件的上傳、下載數據容量進行了限制。
從最近一段時間的運行效果來看,我們感覺到整個單位的上網速度明顯不如以前,但是也沒有慢到讓人無法忍受的地步,那么究竟是什么原因在暗中拖累局域網的上網速度呢?經過仔細排查我們發現,影響局域網上網速度的禍首主要是單位網絡應用流量的持續攀高;在出口帶寬資源一定的情況下,不斷攀升的網絡應用流量會讓網絡傳輸通道不那么通暢,那么上網訪問的時候我們自然會感覺到速度也不那么快捷了。
從實踐觀察效果來看,Internet網絡中的不同上網業務,表現出來的數據傳輸流量也是不相同的;通常情況下,Web訪問業務所消耗的上網帶寬資源往往并不是很高,盡管有Web訪問需求的用戶數量是最多的,不過所有訪問需求產生的數據流量卻是很容易被滿足的。據不完全統計,數據訪問流量排在第一位的Internet訪問業務是P2P應用,流量排在第二位的是BT下載業務,接下來的是FTP下載業務。因此,要是我們能夠找到合適有效的辦法,控制這些數據流量比較大的網絡業務時,就相當于找到了控制整個局域網流量的辦法。
控制思路
控制局域網數據流量的方法有很多,這里我重點向各位朋友推薦三種常用方法:
一是著眼交換端口來對數據流量進行控制,這種方法主要是對重要交換機的連接端口進行合適設置,控制網絡數據的傳輸運行,目前這種方法已經被絕大多數用戶所認可和接受;當然這種方法也不是十全十美的,它也有自己的缺憾,那就是對用戶的上網行為以及數據包管理沒有更細致的應對辦法。
二是著眼終端系統來進行流量管理,比方說在終端系統中安裝使用專業的網絡工具,來對網卡設備的傳輸速度進行限制,同時對其上網行為以及記錄進行控制,這種控制方法往往很簡單,操作、實施起來也比較方便;但是該方法不是十分靈巧,倘若終端系統進行了升級或更新的話,網絡管理員就需要對其進行重新設置,在終端系統數量比較多的情況下,其工作量顯然是十分巨大的,所以單位規模不大、網絡管理員數量比較少的情況下,盡量不要采用這種方法控制數據流量。
三是著眼寬帶路由器進行網絡管理,這種方法是通過寬帶路由器的QoS管理功能來對網絡帶寬流量進行控制,該方法能夠對位于不同位置網段的帶寬資源進行宏觀調整、分配,因為任何網段中的終端系統都要通過寬帶路由器才能訪問Internet網絡中的各種資源,所以該方法控制網絡流量的方法是最有效、最詳細的。寬帶路由器通常分為兩種類型,一種是硬件類型的路由器,另外一種是軟件類型的路由器,其中軟路由器控制方法比較靈活,不過如果對系統進行太多的軟式配置,那會拖累整個系統的運行傳輸性能。而硬件類型的路由器對數據流量的管理與控制有非常成熟的模型,不過用戶不能依照自己的要求進行個性化定義。結合中小規模局域網的實際運行情況,網絡管理員應該綜合考慮各種不同的控制方法,來選用最有性價比的一種方案。
四是針對國內一些中小型客戶,如果對網絡管理、網絡控制的要求較為嚴格,而單位本身也并沒有專門的網管人員,則可以考慮購買一些上網行為監控系統來實現對局域網的網絡管理和網絡監控。此類網管系統一般部署、使用都比較簡單,對網管人員要求不高。比如國內較為知名的聚生網管(官方網站:http://www.grabsun.com/)在控制局域網電腦的P2P下載、限制上網帶寬、控制上網流量、限制股票軟件登錄、禁止網絡游戲登錄等方面與國內同類網管系統相比具有明顯的領先優勢。
根據筆者單位局域網的實際運行情況,我們經過反復分析、研究,拿出了下面的流量控制規劃:首先對現有局域網出口帶寬進行改造升級,讓其通信出口從原先的2M光纖線路直接升級為1000M光纖線路,這種方法提升局域網上網速度的效果幾乎是立竿見影的;其次對連接到外網交換機上的各個交換端口,依照業務需求的不同分別對它們的訪問流量進行限制,從而實現對帶寬資源的整體分配與調控;最后,采用不同的路由設置策略來對不同類型的終端系統進行流量限制,從而實現對局域網任意終端系統的流量控制。
具體實施
局域網出口帶寬的升級,可以直接請本地電信公司來協助完成,線路升級改造到位后,整個局域網的上網速度會明顯提升很多。在提升了局域網出口帶寬資源后,我們還需要對其有限的資源進行合理調控、分配,以確保上網需求要求高的用戶,盡可能地享受到合理的帶寬資源;在分配局域網帶寬資源時,我們必須要同時考慮下面幾個因素:一是單位不同網段中的終端系統數量,二是不同網段用戶的上網頻度,三是不同網段的業務功能,四是為局域網的日后擴容升級保留足夠大的帶寬余量。
例如,筆者單位局域網的外網交換機采用的是H3C公司的Quidway S8500交換機,現在我們希望將該交換機的e0/6以太端口最大上行速度限制為1Mbps,最大下行速度限制為10Mbps,要做到這一點,可以按照如下步驟來設置外網交換機:
首先以系統管理員權限登錄進入外網交換機后臺系統,在系統命令行提示符下執行字符串命令“system”,將后臺系統切換到系統全局配置狀態;
其次在系統全局配置狀態下,輸入字符串命令“interface e0/6”,單擊回車鍵后,切換進入e0/6以太端口視圖模式狀態,在目標交換端口模式狀態下,執行字符串命令“flow-control”,來啟用對應交換端口的流量控制功能;
接著在e0/6以太端口視圖模式狀態下輸入字符串命令“line-rate inbound 1024”,單擊回車鍵后,e0/6以太端口的最大上行速度就被成功限制為1Mbps了;之后繼續執行字符串命令“line-rate inbound 10240”,此時對應交換端口的最大下行速度就被限制為10Mbps了。
在通過軟路由來控制網絡流量時,我們只要進入軟路由配置界面,找到流量控制方面的設置選項,然后根據實際情況,來設置啟用不同的控制策略,例如流量控制策略、帶寬分配策略、防火墻ACL策略等等,這些設置策略可以幫助我們靈活地控制終端系統的數據流量大小。在通過硬路由來控制網絡流量時,我們只要登錄到對應設備的后臺系統,進入高級設置頁面,在這里一般都有專門針對不同網段以及不同主機流量的設置選項,我們可以根據實際需求進行靈活設置。
小提示:
將流量控制能力添加到網絡流量管理中,能夠幫助網絡管理者對網絡資源和業務資源進行帶寬控制和資源調度,如對HTTP、FTP、SMTP以及P2P等應用進行管理,尤其是對P2P流量進行抑制來提升傳統數據業務的用戶體驗度。具備流量控制能力的網絡流量管理還能夠對嚴重影響業務運營者收入的未經許可的其他業務進行抑制。還可以通過綜合使用網絡層、傳輸層和應用層檢測技術,對未經許可的寬帶私接用戶采取中斷連接、主動告警、分時控制等多種管理動作。
共有條評論
