返回IT运维网
如何低成本地管理企业内网流量
2011-04-15 TT网络 刘晓辉

随着企业内网络交换机的升级,端口速率越来越高,网络带宽也随之而增加,本来应当让人感觉越来越快的网络,却依然像蜗牛一样慢。原因到底出在哪里呢?主要原因有两个,一是各种网络病毒在网络内肆虐,二是对网络带宽的滥用(如大量BT下载以及视频)。尤其是后者,一直是在网络应用过程中最让企业头痛的问题。那么,有没有什么好的办法来解决这个问题呢?

借助交换机限制

Cisco交换机提供了简单的对端口或用户带宽的限制,可以在某种程度上限制用户对网络的滥用。不过,由于Cisco设备只能限制端口而不能限制具体的网络应用协议,通常只是简单地进行带宽限制,往往会在限制用户滥用带宽的同时,也影响用户正常网络应用和连接。

基于用户的传输速率限制

基于用户的传输速率限制(UBRL)采用Microflow策略功能,可以将每个流都作为唯一的流进行控制。Cisco Catalyst 4500/E和Catalyst 6500/E都支持UBRL技术,并支持高达85000 个流和511种速率,从而精确控制端口传输速率。

如图1,办公子网采用192.168.2.0地址段,销售子网采用192.168.3.0地址段,来宾子网采用192.168.4.0地址段,子网掩码均为255.255.255.0。办公子网连接核心交换机的GigabitEthernet1/1端口,路由器连接至核心交换机的GigabitEthernet1/2端口。若欲将办公子网、销售子网和来宾子网中每个用户访问Internet的带宽分别限制为5Mbps、2.5Mbps和1Mbps,可以在核心交换机上配置如下策略:

分别为不同的子网设置不同的IP访问列表和class-map,指定欲限制的IP地址段并与class-map相匹配。

  1. 6500(config)# access-list 102 permit ip 192.168.2.0 0 0.0.0.255 any  
  2. 6500(config)# access-list 103 permit ip 192.168.3.0 0.0.0.255 any  
  3. 6500(config)# access-list 104 permit ip 192.168.4.0 0.0.0.255 any  
  4. 6500(config)# class-map identify-OA-traffic  
  5. 6500(config-cmap)# match access-group 102  
  6. 6500(config)# class-map identify-SALES-traffic  
  7. 6500(config-cmap)# match access-group 103  
  8. 6500(config)# class-map identify-GUEST-traffic  
  9. 6500(config-cmap)# match access-group 104 

然后,再分别定义policy-map,并将之与相应的IP访问列表相匹配。允许最大带宽为1Gbps,可用最大带宽为5Mbps、2.5Mbps和1Mbps。

  1. 6500(config)# policy-map police-customer-traffic  
  2. 6500(config-pmap)# class identify-OA-traffic  
  3. 6500(config-pmap-c)# police flow mask src-only 10000000 5000 conform-action transmit exceed action drop  
  4. 6500(config-pmap)# class identify-SALES-traffic  
  5. 6500(config-pmap-c)# police flow mask src-only 5000000 2500 conform-action transmit exceed action drop  
  6. 6500(config-pmap)# class identify-GUEST-traffic  
  7. 6500(config-pmap-c)# police flow mask src-only 1000000 1000 conform-action transmit exceed action drop 

最后,将该带宽访问控制应用至Internet出口。

  1. 6500(config-pmap-c)# interface GigabitEthernet1/2  
  2. 6500(config-if)# service-policy input police-customer-traffic  
  3. 6500(config-if)#end  
  4. 6500# # write memory 

若欲将办公子网中每个用户访问局域网和Internet的带宽分别限制为5Mbps和1Mbps,可以在核心交换机上增加如下策略配置:

在IP访问列表中增加一条任何网络对该子网访问的限制,定义class-map并将之与IP访问列表相匹配。

  1. 6500(config)# access-list 105 permit ip any 192.168.2.0 0.0.0.255  
  2. 6500(config)# class-map identify-inbound-student  
  3. 6500(config-cmap)# match access-group 105 

然后,再定义基于目的的访问控制策略,并将之最大可用带宽限制为1Mpbs。

  1. 6500(config)# policy-map police-OA-traffic-inbound  
  2. 6500(config-pmap)# class identify-inbound-OA  
  3. 6500(config-pmap-c)# police flow mask dest-only 1000000 1000 conform-action transmit exceed action drop 

最后,将定义的带宽访问控制列表应用至该子网与核心交换机连接的接口。

  1. 6500(config-pmap-c)# interface GigabitEthernet1/1  
  2. 6500(config-if)# service-policy input police-OA-traffic-inbound 

其他子网的进出口带宽流量限制设置与办公子网类似,故不再赘述。

基于端口的传输速率限制

除此之外,还可以为每个端口设置所允许的最高传输速率和突发速率,从而避免个别用户对网络带宽的滥用,保证网络正常运行。基于端口的传输速率限制配置过程如下。

进入欲设置的接口,使用“rate-limit”命令限制该端口的传输速率。

  1. Switch(config-if)# rate-limit input|output access-group acl-index] bps burst-normal burst-max conform-action exceed-action 

其中,input/output表明在输入和输出方向应用该带宽限制,通常情况下,应当进行双向限制。access-group acl-index用于定义使用该带宽限制的访问列表。bps用于定义限制带宽,以bps为单位,并采用8Kbps的增量。burst-normal用于定义所允许的普通突发速率,burst-max用于定义所允许的最大突发速率。conform-action用于指定在规定最大带宽时所执行的操作。exceed-action则用于指定在规定最大带宽时所执行的操作。返回特权EXEC模式,并保存当然配置即可。

借助流控设备限制

除以上方法以外,流量控制设备具有强大的应用识别能力,其七层透视能力能够识别各种动态端口或端口跳变的应用(如P2P),且能提供适合行业特点的带宽优化解决方案,既可为关键业务流量分配适当的带宽份额,又能控制未经批准的应用流量,防止网络出现拥塞和中断,保证业务的连续性,抑制网络攻击的蔓延。

流量控制设备不仅可以借助网络协议和端口号限制具体的Internet应用,而且还可以限制用户的Internet连接带宽,甚至为用户设置流量配额,从而提供了更高的灵活性。流量控制设备通常串连于Internet总出口,用于限制整个网络的Internet应用和带宽(如图2)。流控设备的配置大致分为两个步骤,即先定义IP群组,然后,再为不同的IP群组指定不同的带宽限制策略。

另外,借助Microsoft ISA实现Internet共享时,虽可限制用户的并发连接数,但却无法限制用户使用的带宽。借助交换机虽可限制用户的使用带宽,但却无法限制用户的并发连接数。因此,采用LAN方式实现Internet接入时,可以将两者有效地结合在一起。

总之,流控设备具有较高的网络带宽控制能力,但设备价格相对较高,资金不太雄厚的中小型企业可能无法承受。交换机虽然带宽控制能力相对较弱,但也在一定程度上限制用户对网络的滥用,并且无需另外投资,可作为近期应急的用户限制解决方案。

图1内网拓扑结构图

图1内网拓扑结构图

图2流控设备管理流量示意图

图2流控设备管理流量示意图

排障小贴士

良好的流量管理策略应有对网络故障、服务器系统故障、应用服务故障的检测方式和能力。

1、ping侦测:通过ping的方式检测服务器及网络系统状况。此种方式简单快速,但只能大致检测出网络及服务器上的操作系统是否正常,对服务器上的应用服务检测就无能为力了。

2、TCPOpen侦测:每个服务都会开放某个通过TCP连接,检测服务器上某个TCP端口(如Telnet的23端口,HTTP的80端口等)是否开放来判断服务是否正常。

3、HTTP URL侦测:比如向HTTP服务器发出一个对main.html文件的访问请求,如果收到错误信息,则认为服务器出现故障。

4、借助监控软件:如将Snffier安装后接入中心交换机的镜像端口,通过嗅探的方法,监控网络中的数据流量,确定异常数据源及其流向。

原文链接:http://network.51cto.com/art/201104/254847.htm

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
推荐专题
静态路由配置 路由环导致网络丢包
静态路由配置 路由环导致
路由环导致 网络丢包 这是一个实际发生的分析网络大量丢包原因的案例,用户...
数据中心综合布线之水平子系统解析
数据中心综合布线之水平子
水平子系统 是综合 布线 结构的一部分,它由配线间至信息插座的电缆和工作...
如何低成本地管理企业内网流量
如何低成本地管理企业内网
随着企业内网络交换机的升级,端口速率越来越高,网络带宽也随之而增加,本...
http://www.8899baijiale.com丨http://www.7788bocaiwang.com丨http://www.jrbocaitong.com