航天業務網TCP流量控制的研究與應用

孫方威 王二利 吳建

摘 要：航天業務網TCP突發流量可能造成網絡擁塞，導致業務數據傳輸延遲大，甚至丟包，網絡通信保障能力大大降低，嚴重影響航天業務網信息的順利傳輸。根據基于包過濾的訪問控制ACL技術調控網絡傳輸時TCP突發流量造成網絡擁塞、信道質量下降的解決方法，航天業務網運用ACL技術調控TCP突發流量并進行仿真，結果發現ACL技術能夠有效控制TCP突發流量。采取ACL技術控制TCP流量后，航天業務網不再因TCP突發流量發生網絡信道擁塞現象。

關鍵詞：航天業務網;網絡擁塞;TCP突發流量;ACL技術

中圖分類號：TP393.06文獻標識碼：A文章編號：1003-5168（2021）02-0005-03

Research and Application of TCP Flow Control in Aerospace Business Network

SUN Fangwei WANG Erli WU Jian

（Taiyuan Satellite Launch Center，Kelan Shanxi 036301）

Abstract： The TCP burst traffic of the aerospace business network may cause network congestion， leading to long service data transmission delays， and even packet loss， greatly reducing the network communication guarantee capability， and seriously affecting the smooth transmission of the aerospace business network information. Based on the solution of TCP burst traffic causing network congestion and channel quality degradation when access control ACL technology based on packet filtering regulates network transmission， the aerospace business network uses ACL technology to regulate TCP burst traffic and perform simulations， and it turns out that ACL technology can effectively control TCP burst traffic. After adopting ACL technology to control TCP traffic， the aerospace business network no longer has network channel congestion due to TCP burst traffic.

Keywords： aerospace business network;network congestion;TCP burst traffic;ACL technology

在航天業務網絡中，TCP協議類型的多媒體流數據頻繁交互，其可能產生大突發流量，這為航天業務網的安全穩定運行帶來較大的隱患。當多媒體業務流在信道上產生TCP大突發流[1-2]時，大突發流量會導致網絡信道因實際帶寬超過額定帶寬而發生擁塞，甚至可能引起網絡邏輯鏈路中斷，影響業務數據傳輸。目前，航天數據傳輸對航天業務網網絡性能、服務質量和安全性能的期望不斷提高，但“盡力而為”服務是航天業務網中主要的一種服務類別，所有數據流在網絡中被同等對待，缺少有效管理，局部擁塞[3]經常發生，導致網絡性能下降、應用的分組丟失和數據抖動，不能保證服務質量。基于此，針對多媒體業務數據，人們在航天業務網絡中利用訪問控制列表（Access Control List，ACL）技術[4]管理網絡流量，保證TCP流量突發時實時流速低于帶寬閾值，防止網絡信道因擁塞而發生邏輯中斷，這對提高網絡性能有著巨大的意義。

1 TCP流擁塞原理

在航天業務網中，當客戶端采取TCP協議連接向服務器請求數據時，其請求的數據以配置文件的形式一次性提交給TCP/IP協議棧處理并以TCP報文的形式突發形成瞬時大突發流量數據，TCP數據流與正常業務流量數據疊加，可能超過網絡帶寬閾值，此時網絡產生擁塞。數據邏輯分析如圖1所示，圖中，梯形面積表示每次發送報文流大小，虛線箭頭是指TCP突發流時刻。

在圖1中，假定帶寬為1 000 Mbps光纖網絡鏈路。在圖1（a）中，流量帶寬為正常業務流量數據（小于1 000 Mbps帶寬），此時網絡信道不會造成擁塞（超過1 000 Mbps帶寬）。在圖1（b）中，當網絡通信雙方（客戶端與服務器）之間通過TCP建立連接交互數據時，TCP流量產生，即TCP流量從紅色箭頭所指時刻與正常業務流進行流量疊加，此時網絡信道的流量帶寬會超過1 000 Mbps，網絡信道發生擁堵，邏輯鏈路中斷，數據傳輸中斷;當圖1（b）中TCP突發流量發生在正常業務流量之間或者兩者疊加的帶寬流量不超過1 000 Mbps時，網絡信道不會發生擁塞中斷，數據傳輸正常。

2 ACL基本原理

訪問控制（Access Control）是網絡服務質量理論的重要部分，它能夠保障合法用戶正常地獲取所需資源，同時還能拒絕非授權用戶的非法訪問。ACL技術通過在路由器或三層交換機上設置合理的ACL策略，可在一定程度上增強網絡的穩定性。ACL的主要功能包括流量控制、包過濾防火墻、NAT（Network Address Translation，網絡地址轉換）、QoS（Quality of Service，服務質量）數據分類和路由策略過濾。

一個ACL可以由一條或多條“deny | permit”語句組成，當網絡設備收到一個數據包時，若入接口上沒有啟動流量控制，則數據包直接被提交給網絡設備轉發進程進行處理;若在入接口上啟動了ACL流量控制，則將數據包交給入站交換機進行限速，下面詳細說明其工作流程。

具體來說，交換機（路由器）用ACL中第一條規則的條件來嘗試匹配數據包信息;若數據包信息符合此規則的條件（即數據包命中此規則），則執行規則所設定的動作，若動作為permit，則允許此數據包穿過設備，將其提交給設備轉發進程來處理進行速率限定，若動作為deny，則丟棄此數據包;若數據包信息不符合此規則的條件，則繼續嘗試匹配下一條ACL規則;若數據包信息不符合任何一條規則的條件，則執行默認動作，若默認動作為permit，則允許此數據包穿過接口進入設備轉發流程，若動作為deny，則丟棄此數據包。

ACL包過濾具有方向性，可以指定出接口或入接口方向的數據包過濾。出接口包過濾流程與入接口類似，本文不再贅述。

3 試驗結果與驗證

網絡仿真試驗環境如圖2所示。

圖2中，PC1、PC2和PC3通過以太網流量生成工具（LanTrafficV2）模擬仿真業務流量，同時觸發圖像服務器的數據同步以形成TCP突發流，鏈路帶寬均為千兆，A、B之間配置BFD[5]以快速檢測鏈路情況。從PC1至PC3模擬B點出向數據;從PC2至PC3模擬B點出向數據;從PC3至PC1模擬B點入向數據。利用華為U2000網管軟件觀察交換機CS1出向流量，并對路由器和交換機的BFD震蕩、網絡數據進行觀察。模擬驗證結果如表1所示。

由表1分析可知，觸發圖像管理服務器同步數據，會產生TCP大突發流量，使CS1與CR之間鏈路帶寬超過1 000Mbps時網絡鏈路擁塞，廣域網遠端站點接收數據中斷，結果符合預期。

在交換機上使用ACL技術調控TCP突發流量，經仿真及實際業務驗證，ACL技術解決了TCP大突發流量導致網絡信道邏輯鏈路擁塞和中斷的問題。

4 結語

在航天業務網上，訪問控制ACL技術實現了TCP突發流量的調控作用，解決了航天業務網數據傳輸時因TCP突發流量導致網絡信道擁塞甚至中斷的問題，在一定程度上保障了數據的可靠傳輸，提高了網絡的穩定性。

參考文獻：

[1]朱珺.中心計算機網絡流量監測系統的研究與實踐[J].微型機與應用，2013（12）：54-56.

[2]查普爾，蒂特爾，張長富，等.TCP/IP協議原理與應用[M].北京：清華大學出版社，2009：11.

[3]何凌.TCP/IP網絡擁塞控制若干問題的研究[D].沈陽：東北大學，2008：22-23.

[4]關天敏.ACL應用技術與配置實例[J].中國教育網絡，2011（12）：78-80.

[5]程路.IP承載網BFD應用研究[J].中國高新技術企業，2010（24）：71-72.