分层部署 协同管理——大中型网络流量管控方案分析
解决方案
网络流量的管理控制与优化对于大中型网络更为关键,因为大中型网络内的应用与服务比较多,再加上下连客户端或分支网络的终端数量比较大,使得流量优化与管理的需求更迫切。对于大中型网络来说,如何部署流量管控系统呢?下面我们就以大型教育网络为例,为大家介绍如何为大中型网络部署流量管控系统。
大中型网络特征鲜明
相比小型网络来说,大中型网络比较复杂,出口带宽也比较高,下连终端数量巨大。因此规划和部署大中型网络流量管控方案,与部署小型网络的流量管控系统不太一样。大中型网络有以下几个方面的特点。
1.高带宽、高吞吐量
大中型网络的结构比较复杂,外网出口带宽比较高,对流量管控优化系统的要求比较高。一方面需要流量管控设备的硬件配置足够强,保证更快速地对数据进行拆解包分析,另一方面还要求流量管控设备的数据吞吐速度足够快,能够快速应对大数据量的传输。因此在设计和部署时要选择合适的流量管控设备,避免实际应用时不稳定问题发生,毕竟流量管控设备不稳定的话,将直接造成网络效率低下或彻底中断。
2.多出口、多线路
相比小型网络而言,大中型网络在外网接入方面都会提供多条线路进行冗余或负载均衡的传输,通过多出口多线路实现外网接入,从而保证线路稳定与数据包的高效转发。所以在设计和部署大中型网络的流量管控方案时要考虑这个特点,至少选择的流量管控设备应该提供多接口来支持多条线路,否则将只能够对某一条线路进行流量优化和限制,而对另外的线路不起作用,这将直接造成应用效果大打折扣。
3.多级化、多层次
大中型网络的拓扑结构一般都是分层次的,最常见的是分为接入层、汇聚层以及核心层(图1)。在部署流量管控方案时要注意这种多层次的问题,有时仅仅在核心层部署流量管控设备是不行的,毕竟接入层或汇聚层之间的网络通信也不少。要知道核心层的流控设备对汇聚层、接入层环节设备的通讯是不起作用的。不考虑多级化、多层次的特点,随便部署大中型网络的流量管控方案,企业内网通信效率是无法大幅度提升的。
4.服务多、应用广
大中型网络在服务类别与应用种类上与小型网络差别巨大,对于大中型网络来说,内网应用覆盖面很广,除了最常见的WWW、FTP等服务外,数据库服务、管理信息系统、ERP等应用非常多,因此在流量管控方面要为这些应用保留足够的带宽。因此大中型网络流量管控除了要与小型网络一样限制非法流量外,还要对有用流量给予足够带宽的保证,在同等情况下优先传输核心服务的数据。
大型教育网络部署流控系统的策略
下面就来具体看看大中型网络该如何部署流量管控系统。笔者负责区级教育网络的维护与管理工作,全区近200所中小学连接到区信息中心并通过区信息中心的网络设备与外网连接。各个学校都有自己的路由器、交换机和终端设备,因此全区整体网络规模很大。
1.按层管理、软硬兼施
笔者负责的区级网络结构是分层次的,各个学校处于接入层,十多个核心学校处于汇聚层,信息中心位于核心层(图2)。在流控系统的设计之初,我们也本着这个分层原则进行。不过由于经费缺少的原因,不可能在每个学校都安装专业的流控设备,所以在实施时通过软硬结合的方法实现对流量的分层管理与控制。按层管理、软硬兼施具体表现在核心层使用专业的硬件流控设备,而汇聚层与接入层通过流控软件来实现。
2.应用入手、“保限”结合
在应用方面,整套系统采取“保限”结合的策略,针对有用的数据流量和一些关键业务给予带宽保证,分配必要的带宽给这些服务。这样,即使在网络流量比较大的时候,这些关键服务也可以通过预留带宽进行传输。另外由于教育网涉及的应用比较多,不可能针对相关服务进行彻底阻止,所以我们对很多P2P服务采取的是“限制”策略,对每个学校的P2P服务的总流量进行限制,从而大大降低了该服务对网络带宽的占用,同时结合单IP最大流量规则,很好地约束了客户端的疯狂下载。
3.协同管理、整合为先
除了部署流控系统外,我们还在区级网络出口处采取了协同管理、整合为先的策略。具体是,在安装专业流量管控设备后,再配合HTTP缓存服务设备应用,这样对有用的HTTP外网访问应用来说,可以将部分流量进行本地代理化,相关数据直接从HTTP缓存服务器读取,避免重复流量的产生。
4.以人为本、联动流控
网络的管理与维护是需要人参与的,在网络故障的排除方面也同样需要以人为本。为了更好地发挥流量管控系统的作用,我们采取了联动流控的策略,发现哪个学校流量异常后直接联系相关负责人限时解决。如果问题严重的话在必要时还可以马上终止该分支网络的连通,等待问题解决后再开启网络。
分层部署打造流控系统
一、接入层流控系统的部署
区教育网络下属的每个学校都处于接入层网络,各个学校的流控系统部署以软件为主,同时结合路由交换设备上的设置来达到流控优化的目的。
1.镜像端口的设置
每个学校都有一个路由器或三层交换机,我们在每个学校的路由交换设备上都设置了镜像端口,这样就可以通过镜像端口这种旁路接入方式来掌握接入层网络的数据流量情况了。平时不需要对镜像端口进行管理,当出现问题或感觉网络速度缓慢时,可以通过笔记本连接镜像端口,并借助Sniffer类的工具实时监控,从而对接入层网络的所有数据包进行分析,在第一时间发现问题。
如果学校网管人员不能自行处理流量异常问题的话,我们也可以通过远程桌面的方式连接目的网络服务器。由于服务器都带了双网卡,所以可以很容易达到远程在服务器上连接镜像端口的目的,最终快速找出流量异常的原因。
2.访问控制列表的过滤
接入层网络出现流量异常大都是由ARP欺骗病毒或蠕虫类病毒引起的,因此我们可以“防患于未然”,在部署流控系统时访问路由交换设备,然后根据实际情况添加必要的访问控制列表ACL条目来过滤病毒,利用ACL可以有效隔离病毒在内网的传输,将病毒本地化、本机化,从而大大降低其危害性。
3.流量异常应急系统的引入
由于各个接入层网络承担着学校日常教学网络接入的工作,所以要尽量减少因流量异常引发的断网问题的产生。我们通过行政手段要求学校交一份流量异常应急小组名单,组长就是学校校长,这样才能够做到责任到人。当在核心层流量控制设备上发现来自某个接入层IP或IP段流量异常时,可以马上通过通讯录联系学校相关负责人查询异常原因。
总的说来,接入层上的流控系统部署,在平时是不需要设置和操作的,只有出现流量异常时才需要进行管理。这也是它区别于汇聚层与核心层的一大特点。
二、汇聚层流控系统的部署
汇聚层是由十几所核心学校网络组成,这些学校的网络管理人员水平比较高,也有部分学校经费充足自行采购了专业的流量管控设备。所以在这个层面基本采取的是软件Sniffer监控与硬件监控结合的方式。当接入层有问题无法自行解决时,可以由汇聚层学校的网管人员远程协助解决。除了采取接入层的所有流控措施外,在汇聚层还额外添加了下面几项流控策略。
1.硬件设备流量管控
通过购买硬件设备或自行DIY的方式拥有硬件流控设备,同时针对接入层地址段进行划分,必要时可以在汇聚层对接入层的网络应用与网络服务流量进行优化与限制,以此来分担核心层的流控压力。这个环节的部署比较灵活,基本由处于汇聚层的学校自己把握。就笔者所在区教育网络来说,汇聚层的硬件流控设备有的选择的是Packteer(图3),也有的是自己通过Panabit搭建。
2.与ISP的直接对话
由于汇聚层下连多条光缆,而且与核心层的连接也是通过光缆完成的,因此我们给予了汇聚层管理人员直接联系ISP接入服务提供商的权限。在发现流量异常时,除了报告给核心层管理人员外,还可以直接拨打ISP服务电话,由ISP在局域网端查看流量异常问题。
汇聚层对大型网络的流量管控是非常重要的,它起着承上启下的作用,所以平时要对这些网管人员多进行培训,保证他们可以顺利完成任务。
三、核心层流控系统的部署
核心层流控系统的部署采取纯硬件的方式,在区级教育网络出口与核心路由交换设备之间采取网桥方式安装ALLOT公司的专业流控设备,通过ALLOT对全区所有外网访问流量进行监视、控制与优化。我们选择的产品型号为NetEnforcer设备,通过与之搭配的NetXplorer,可以提供优化宽带服务的功能,笔者选择的是该公司的Ac2520型号的产品。在ALLOT流控设备上,除了系统集成时添加的规则外,我们还根据需要针对处于汇聚层的那十几所学校的IP段进行单独监控。
在应用上主要限制的是P2P类下载服务,同时包括网络游戏、即时通讯软件、股票交易、流媒体等相关服务,对于众多在线视频站点采取的是限流的方式,这样能够释放更多的有效带宽。在日常管理过程中,我们还要定期对流量数据日志进行保存,每隔一段时间要对排名前10位的流量类别进行统计和分析,修改规则以更好地优化这些流量。每半个月以汇聚层学校为单位,选出排列前10位的流量类别,并按地址下发限期整改通知,同时将流量管理问题与网管人员的工作绩效挂钩,让网管人员更加重视网络流量管理与优化的工作。
编后:大中型网络的流量监控管理工作比较繁重,最好的办法就是分层次、分级别部署流控系统,不同的环节采取不同的策略。将整个网络分段进行管理,在总出口处对网络流量进行统一管理,在其他下连接口处也绝对不能放松管理,必须采取适当的方法对内网流量进行优化。只有“内外兼修”才能够让网络流量更加“健康”,数据包传输更加迅速,网络应用更加稳定。