卡卡網(wǎng)

本文是為網(wǎng)絡(luò)管理員而寫的。作為一個合格的優(yōu)秀的網(wǎng)絡(luò)管理員，不單要維護好整個局域網(wǎng)絡(luò)的穩(wěn)定運行，防治網(wǎng)絡(luò)被入侵，確保整個網(wǎng)絡(luò)環(huán)境能無間斷工作，還要對網(wǎng)絡(luò)資源分配合理，在各應(yīng)用的流量控制上更加不能松懈，因為整個網(wǎng)絡(luò)不可能每個應(yīng)用每個端口的流量都要求一樣，網(wǎng)絡(luò)管理員必須要做到根據(jù)各應(yīng)用的實際要求來分配流量資源，在端口流量吞吐上做好控制，以免出現(xiàn)“堵死”現(xiàn)象和“搶網(wǎng)速”的情況。

一、局域網(wǎng)限速的前提

在進行局域網(wǎng)限速前，實際上我們先想做局域網(wǎng)內(nèi)的流量監(jiān)控，只有對局域網(wǎng)中各臺交換機的端口流量(甚至是各類網(wǎng)絡(luò)應(yīng)用)有一個全面的了解，才能夠制定出限速的標(biāo)準(zhǔn)以及具體實施方案。比如我們就利用MRTG軟件針對單位中的核心交換機為CISCO3550和下掛的CISCO29系列交換機作了實時的流量監(jiān)控。

對每一個端口(相對應(yīng)一個或一組用戶)的用量情況都有了一個清晰的了解，這樣通過觀察，得出哪些用戶(即哪個端口)的流量大，對帶寬的占用多，就可以著手進行限速方案的制定了。

二、局域網(wǎng)限速的具體實現(xiàn)方法

具體實現(xiàn)方法又分兩大類，一類是通過交換機限速進行端口限速，另一類是通過限制某些特定的網(wǎng)絡(luò)應(yīng)用限速(比如專門限制BT和網(wǎng)絡(luò)電視等的使用)。

(一)基于交換機的限速

1、接入層交換機的限速

接入層交換機也叫做樓幢交換機或桌面型交換機，它們位于網(wǎng)絡(luò)的最底層，直接接入終端用戶(家庭或辦公用戶)，一般來說這類交換機很廉價，也沒有什么管理功能，但是也有一些交換機可以滿足我們進行端口限速的要求(當(dāng)然價格也要略高一點)。此類交換機進行端口限速往往很直接，有的甚至可以通過圖形界面，用下拉菜單的模式很直觀的設(shè)置幾十K至100M的端口速率，不過本例中還是通過CLI來實現(xiàn)，是一款DLINK的二層可管理交換機：DES-3026，設(shè)置方法如下： DES-3026:4#config bandwidth_control 1-10 rx-rate 64

command:config bandwidth_control 1-10 rx_rate 64

Note:To perform precise bandwidth control,it is required to enable the flow

control to mitigate the retransmission of TCP traffic.

Success

這樣我們就將這臺交換機的1-10端口的接收速率設(shè)置為64kbps。

2、匯聚層交換機

朋友們可能會問了，既然接入層的交換機的端口限速功已經(jīng)做得很好了，那我們?nèi)渴褂眠@樣的交換機進行組網(wǎng)行不行，答案是否定的，我們在匯聚層還是要使用更高檔次的交換機。因為在匯聚層工作的交換機，除了穩(wěn)定性以外，還有一個很重要的技術(shù)指標(biāo)，那就是背板帶寬，它決定了這臺交換機是否可以實現(xiàn)線速轉(zhuǎn)發(fā)。如果判斷交換機的背板帶寬夠不夠用呢?計算方法如下：端口數(shù)*相應(yīng)端口速率*2(全雙工模式)，舉例來說，一臺24口的交換機，端口均需工作在100M，那么背板帶寬至少需要：24*100*2=2.4G，而CISCO29系列交換機的背板帶寬都在8G以上，滿足線速轉(zhuǎn)發(fā)是沒有問題的。 但是目前我們還沒有找到在CISCO29系列交換機上進行端口限速的方法。

3、核心層交換機

核心層的交換機除了要支持VLAN、TRUNK、ACL等等功能外，它最核心的功能就是要保證各個端口間的快速數(shù)據(jù)轉(zhuǎn)發(fā)，因此它們上面的端口限速往往不是簡單設(shè)置一個數(shù)值就OK了，總體來說要分四個步驟：

1)建立一個訪問控制列表(ACL);

2)建立一個類(CLASS)，并在這個類上引用剛建立的那個訪問控制列表(ACL);

3)建立一個策略(POLICY)，在這個策略上指定相應(yīng)的帶寬，并引用相應(yīng)的類;

4)將這個策略應(yīng)用具體的端口上。

當(dāng)我們這樣做好以后，局域內(nèi)的帶寬使用就會被有效的限制下一個數(shù)量級，比如原來日常8、90M的帶寬使用就會降到6、70M了。

當(dāng)然我們也可以挖掘一下核心層交換機的高級應(yīng)用，比如通過限制某些端口通過的方式來限制某些網(wǎng)絡(luò)應(yīng)用(比如迅雷下載)，但實際限制起來的效果并不是太好，因為迅雷此類的程序其實使用了很復(fù)雜的網(wǎng)絡(luò)協(xié)議，但靠限制某些端口是很難把它搞定的，所以還是要靠專業(yè)流控設(shè)備。

(二)基于應(yīng)用的局域網(wǎng)限速

基于專業(yè)流控設(shè)備的限速，本文中我們以一款測試過的流控設(shè)備說明一下實現(xiàn)方法，這款設(shè)備位于我們單位局中的硬件防火墻和寬帶用戶管理設(shè)備之間，可以針對某一類應(yīng)用限速，比如我們要對全網(wǎng)中的P2P下載做一個限帶，上/下行不能超過10M，就可以這樣來做。

1、在“對象管理”中選擇“P2P下載”。從下圖可以看到P2P下載中包含了很多的應(yīng)用程序，比如常用的“eDonkey”、“迅雷”等。

圖：P2P下載中所包含的應(yīng)用程序

2、在“策略管理”中新建一個通道

本例中我們新建了一個名為“p2p限制”的通道，并設(shè)置通道的帶寬為10M，如圖所示。

圖：在“策略管理”中新建數(shù)據(jù)通道

3、在“流量控制”-“策略組”中新建一個策略，在“數(shù)據(jù)路徑”中選擇“網(wǎng)橋1->雙向”，在“應(yīng)用協(xié)議”中選擇“P2P下載”，在“動作/通道”中選擇“p2p限制”。這樣就在局域網(wǎng)中將所有應(yīng)用P2P的下載所占用的帶寬限制到10M，如圖所示。

圖：新組一個策略組

實踐證明這種基于網(wǎng)絡(luò)應(yīng)用的限速也是管用的，我們只在網(wǎng)絡(luò)中限制了P2P下載這一類應(yīng)用，沒有做交換機的端口限制，也成功的將帶寬的占用減少了20M左右，從而保證了網(wǎng)頁瀏覽、收發(fā)郵件等應(yīng)用的正常進行。

相關(guān)鏈接

控制交換機端口流量，解決局域網(wǎng)斷網(wǎng)問題

某大樓共有1000臺左右的計算機訪問Internet，大樓網(wǎng)絡(luò)剛開始投入運行的時候，每臺計算機的上網(wǎng)速度都很快，而且各個上網(wǎng)用戶對大樓網(wǎng)絡(luò)的傳輸速度也很滿意，每天幾乎沒有故障電話前來“騷擾”網(wǎng)絡(luò)管理員。

可是，隨著時間的推移，網(wǎng)絡(luò)管理員接到的故障電話開始多了起來，有說自己的計算機上網(wǎng)速度明顯不如以前快了，有說自己的計算機突然上網(wǎng)慢了起來，有說自己的計算機經(jīng)常不能穩(wěn)定上網(wǎng)，直到有一天樓層出現(xiàn)了大面積不能上網(wǎng)故障現(xiàn)象，這才讓網(wǎng)絡(luò)管理員意識到問題的嚴(yán)重性。

他立即根據(jù)組網(wǎng)資料，查找到不能上網(wǎng)樓層使用的交換機IP地址，并嘗試遠(yuǎn)程登錄進目標(biāo)交換機后臺系統(tǒng)，來查看各個交換端口的狀態(tài)信息時，他發(fā)現(xiàn)遠(yuǎn)程登錄操作竟然失敗了。后來，網(wǎng)絡(luò)管理員趕到故障交換機現(xiàn)場，查看了級聯(lián)端口的狀態(tài)信息，發(fā)現(xiàn)該端口的輸入輸出流量特別大，特別是最近30秒內(nèi)的輸入數(shù)據(jù)包流量明顯不正常。

網(wǎng)絡(luò)管理員又檢查了其他普通交換端口的流量情況，最后診斷出是交換機被上網(wǎng)用戶的大流量“頂死”了，從而引發(fā)了連接到該交換機上的所有用戶都不能正常上網(wǎng)。

從上面的故障描述來看，樓層用戶大面積不能上網(wǎng)的原因，顯然就是上網(wǎng)用戶毫無節(jié)制地消耗寶貴的帶寬資源引起的。要想不讓交換機被大流量的數(shù)據(jù)包“頂死”，在已有的寬帶條件下，唯一的辦法就是控制端口的流量。

。。。