卡卡網(wǎng)

本文是為網(wǎng)絡(luò)管理員而寫的。作為一個(gè)合格的優(yōu)秀的網(wǎng)絡(luò)管理員，不單要維護(hù)好整個(gè)局域網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，防治網(wǎng)絡(luò)被入侵，確保整個(gè)網(wǎng)絡(luò)環(huán)境能無間斷工作，還要對網(wǎng)絡(luò)資源分配合理，在各應(yīng)用的流量控制上更加不能松懈，因?yàn)檎麄€(gè)網(wǎng)絡(luò)不可能每個(gè)應(yīng)用每個(gè)端口的流量都要求一樣，網(wǎng)絡(luò)管理員必須要做到根據(jù)各應(yīng)用的實(shí)際要求來分配流量資源，在端口流量吞吐上做好控制，以免出現(xiàn)“堵死”現(xiàn)象和“搶網(wǎng)速”的情況。

一、局域網(wǎng)限速的前提

在進(jìn)行局域網(wǎng)限速前，實(shí)際上我們先想做局域網(wǎng)內(nèi)的流量監(jiān)控，只有對局域網(wǎng)中各臺交換機(jī)的端口流量(甚至是各類網(wǎng)絡(luò)應(yīng)用)有一個(gè)全面的了解，才能夠制定出限速的標(biāo)準(zhǔn)以及具體實(shí)施方案。比如我們就利用MRTG軟件針對單位中的核心交換機(jī)為CISCO3550和下掛的CISCO29系列交換機(jī)作了實(shí)時(shí)的流量監(jiān)控。

對每一個(gè)端口(相對應(yīng)一個(gè)或一組用戶)的用量情況都有了一個(gè)清晰的了解，這樣通過觀察，得出哪些用戶(即哪個(gè)端口)的流量大，對帶寬的占用多，就可以著手進(jìn)行限速方案的制定了。

二、局域網(wǎng)限速的具體實(shí)現(xiàn)方法

具體實(shí)現(xiàn)方法又分兩大類，一類是通過交換機(jī)限速進(jìn)行端口限速，另一類是通過限制某些特定的網(wǎng)絡(luò)應(yīng)用限速(比如專門限制BT和網(wǎng)絡(luò)電視等的使用)。

(一)基于交換機(jī)的限速

1、接入層交換機(jī)的限速

接入層交換機(jī)也叫做樓幢交換機(jī)或桌面型交換機(jī)，它們位于網(wǎng)絡(luò)的最底層，直接接入終端用戶(家庭或辦公用戶)，一般來說這類交換機(jī)很廉價(jià)，也沒有什么管理功能，但是也有一些交換機(jī)可以滿足我們進(jìn)行端口限速的要求(當(dāng)然價(jià)格也要略高一點(diǎn))。此類交換機(jī)進(jìn)行端口限速往往很直接，有的甚至可以通過圖形界面，用下拉菜單的模式很直觀的設(shè)置幾十K至100M的端口速率，不過本例中還是通過CLI來實(shí)現(xiàn)，是一款DLINK的二層可管理交換機(jī)：DES-3026，設(shè)置方法如下： DES-3026:4#config bandwidth_control 1-10 rx-rate 64

command:config bandwidth_control 1-10 rx_rate 64

Note:To perform precise bandwidth control,it is required to enable the flow

control to mitigate the retransmission of TCP traffic.

Success

這樣我們就將這臺交換機(jī)的1-10端口的接收速率設(shè)置為64kbps。

2、匯聚層交換機(jī)

朋友們可能會問了，既然接入層的交換機(jī)的端口限速功已經(jīng)做得很好了，那我們?nèi)渴褂眠@樣的交換機(jī)進(jìn)行組網(wǎng)行不行，答案是否定的，我們在匯聚層還是要使用更高檔次的交換機(jī)。因?yàn)樵趨R聚層工作的交換機(jī)，除了穩(wěn)定性以外，還有一個(gè)很重要的技術(shù)指標(biāo)，那就是背板帶寬，它決定了這臺交換機(jī)是否可以實(shí)現(xiàn)線速轉(zhuǎn)發(fā)。如果判斷交換機(jī)的背板帶寬夠不夠用呢?計(jì)算方法如下：端口數(shù)*相應(yīng)端口速率*2(全雙工模式)，舉例來說，一臺24口的交換機(jī)，端口均需工作在100M，那么背板帶寬至少需要：24*100*2=2.4G，而CISCO29系列交換機(jī)的背板帶寬都在8G以上，滿足線速轉(zhuǎn)發(fā)是沒有問題的。 但是目前我們還沒有找到在CISCO29系列交換機(jī)上進(jìn)行端口限速的方法。

3、核心層交換機(jī)

核心層的交換機(jī)除了要支持VLAN、TRUNK、ACL等等功能外，它最核心的功能就是要保證各個(gè)端口間的快速數(shù)據(jù)轉(zhuǎn)發(fā)，因此它們上面的端口限速往往不是簡單設(shè)置一個(gè)數(shù)值就OK了，總體來說要分四個(gè)步驟：

1)建立一個(gè)訪問控制列表(ACL);

2)建立一個(gè)類(CLASS)，并在這個(gè)類上引用剛建立的那個(gè)訪問控制列表(ACL);

3)建立一個(gè)策略(POLICY)，在這個(gè)策略上指定相應(yīng)的帶寬，并引用相應(yīng)的類;

4)將這個(gè)策略應(yīng)用具體的端口上。

當(dāng)我們這樣做好以后，局域內(nèi)的帶寬使用就會被有效的限制下一個(gè)數(shù)量級，比如原來日常8、90M的帶寬使用就會降到6、70M了。

當(dāng)然我們也可以挖掘一下核心層交換機(jī)的高級應(yīng)用，比如通過限制某些端口通過的方式來限制某些網(wǎng)絡(luò)應(yīng)用(比如迅雷下載)，但實(shí)際限制起來的效果并不是太好，因?yàn)檠咐状祟惖某绦蚱鋵?shí)使用了很復(fù)雜的網(wǎng)絡(luò)協(xié)議，但靠限制某些端口是很難把它搞定的，所以還是要靠專業(yè)流控設(shè)備。

(二)基于應(yīng)用的局域網(wǎng)限速

基于專業(yè)流控設(shè)備的限速，本文中我們以一款測試過的流控設(shè)備說明一下實(shí)現(xiàn)方法，這款設(shè)備位于我們單位局中的硬件防火墻和寬帶用戶管理設(shè)備之間，可以針對某一類應(yīng)用限速，比如我們要對全網(wǎng)中的P2P下載做一個(gè)限帶，上/下行不能超過10M，就可以這樣來做。

1、在“對象管理”中選擇“P2P下載”。從下圖可以看到P2P下載中包含了很多的應(yīng)用程序，比如常用的“eDonkey”、“迅雷”等。

圖：P2P下載中所包含的應(yīng)用程序

2、在“策略管理”中新建一個(gè)通道

本例中我們新建了一個(gè)名為“p2p限制”的通道，并設(shè)置通道的帶寬為10M，如圖所示。

圖：在“策略管理”中新建數(shù)據(jù)通道

3、在“流量控制”-“策略組”中新建一個(gè)策略，在“數(shù)據(jù)路徑”中選擇“網(wǎng)橋1->雙向”，在“應(yīng)用協(xié)議”中選擇“P2P下載”，在“動作/通道”中選擇“p2p限制”。這樣就在局域網(wǎng)中將所有應(yīng)用P2P的下載所占用的帶寬限制到10M，如圖所示。

圖：新組一個(gè)策略組

實(shí)踐證明這種基于網(wǎng)絡(luò)應(yīng)用的限速也是管用的，我們只在網(wǎng)絡(luò)中限制了P2P下載這一類應(yīng)用，沒有做交換機(jī)的端口限制，也成功的將帶寬的占用減少了20M左右，從而保證了網(wǎng)頁瀏覽、收發(fā)郵件等應(yīng)用的正常進(jìn)行。

相關(guān)鏈接

控制交換機(jī)端口流量，解決局域網(wǎng)斷網(wǎng)問題

某大樓共有1000臺左右的計(jì)算機(jī)訪問Internet，大樓網(wǎng)絡(luò)剛開始投入運(yùn)行的時(shí)候，每臺計(jì)算機(jī)的上網(wǎng)速度都很快，而且各個(gè)上網(wǎng)用戶對大樓網(wǎng)絡(luò)的傳輸速度也很滿意，每天幾乎沒有故障電話前來“騷擾”網(wǎng)絡(luò)管理員。

可是，隨著時(shí)間的推移，網(wǎng)絡(luò)管理員接到的故障電話開始多了起來，有說自己的計(jì)算機(jī)上網(wǎng)速度明顯不如以前快了，有說自己的計(jì)算機(jī)突然上網(wǎng)慢了起來，有說自己的計(jì)算機(jī)經(jīng)常不能穩(wěn)定上網(wǎng)，直到有一天樓層出現(xiàn)了大面積不能上網(wǎng)故障現(xiàn)象，這才讓網(wǎng)絡(luò)管理員意識到問題的嚴(yán)重性。

他立即根據(jù)組網(wǎng)資料，查找到不能上網(wǎng)樓層使用的交換機(jī)IP地址，并嘗試遠(yuǎn)程登錄進(jìn)目標(biāo)交換機(jī)后臺系統(tǒng)，來查看各個(gè)交換端口的狀態(tài)信息時(shí)，他發(fā)現(xiàn)遠(yuǎn)程登錄操作竟然失敗了。后來，網(wǎng)絡(luò)管理員趕到故障交換機(jī)現(xiàn)場，查看了級聯(lián)端口的狀態(tài)信息，發(fā)現(xiàn)該端口的輸入輸出流量特別大，特別是最近30秒內(nèi)的輸入數(shù)據(jù)包流量明顯不正常。

網(wǎng)絡(luò)管理員又檢查了其他普通交換端口的流量情況，最后診斷出是交換機(jī)被上網(wǎng)用戶的大流量“頂死”了，從而引發(fā)了連接到該交換機(jī)上的所有用戶都不能正常上網(wǎng)。

從上面的故障描述來看，樓層用戶大面積不能上網(wǎng)的原因，顯然就是上網(wǎng)用戶毫無節(jié)制地消耗寶貴的帶寬資源引起的。要想不讓交換機(jī)被大流量的數(shù)據(jù)包“頂死”，在已有的寬帶條件下，唯一的辦法就是控制端口的流量。

。。。