技術點詳解 網際網路訪問控制

2021-07-28 05:36:25 字數 2128 閱讀 7064

在網路頻寬有限的環境下,頻寬就變成一項很重要的資源,那麼對於乙個企業而言,有限的頻寬如果被一些非工作流量所佔據,而工作流量卻因為頻寬不夠受到影響,這無疑是一件很糟糕的事情。今天我們就來討論一下網際網路訪問控制。

為何事情會發展到如此地步呢?在網際網路方興未艾的時候根本就沒人提要控制應用,提倡的都是自由互聯,這是因為當網際網路剛剛萌芽的時候,受到接入技術限制(以56k modem為主),網際網路上的應用基本上以靜態的文字網頁或者少量的為主,當時網際網路是以吸引使用者數為目的的,運營商則是通過提供接入服務數量為盈利點的。隨著網際網路接入技術的革新(面向**線路的xdsl和面向乙太網的fttx技術),使用者數量的迅速膨脹,網際網路應用開始井噴了,有人在網際網路上發明了榨乾每一滴頻寬的p2p技術,有人則依賴高速頻寬進行vpn互聯或者企業資訊發布,對於一般企業而言,後者能帶來盈利,所以在乙個有限的頻寬上,必然要對類p2p技術進行限制,這就是網際網路訪問控制催生的重要原因。

1.        wan口出現擁塞,乙太網介面通過配置介面頻寬和實時流量比較判斷是否擁塞;xdsl則可以通過埠協商機制判斷是否擁塞。

2.        對指定位址範圍段內每乙個ip所占用上下行頻寬都限制在固定範圍內,即這些ip都能得到公平的處理,不會出現某乙個ip獨佔許多頻寬的情況。

那麼這裡就有疑問了,假設網際網路出口頻寬是4m,內部pc有20臺,我要對其中的16臺進行限制,我應該怎麼設定上下行流量應該限制在多少呢?

這裡我們就要利用到tcp基礎理論知識了,p2p只是改變了傳統「客戶-伺服器」應用模式,傳輸層使用的還是tcp和udp,我們知道tcp是通過滑動視窗機制來工作的,視窗越大,每秒傳送的資料就越多,預設情況下視窗是根據傳輸時延情況不斷增大的,也就是說tcp的速率會試探性地不斷增長,但是一旦發生丟包(tcp通過計時和確認機制判斷是否丟包)、重傳或亂序,視窗都會以每次減半的方式縮小,所以tcp一旦出現丟包、重傳、亂序是非常影響速率的,並且網路限速通常是隨機為丟棄方式,當到流量到達門限時丟包、重傳、亂序的概率增大,視窗會迅速縮小,達到明顯限速效果。那麼udp呢?udp是一種傳送後不管的傳輸協議,無法判斷是否丟包,傳送成功與否完全取決於應用層的實現,所以一般基於udp的應用程式處於實現簡單的原因,傳送資料都不會很快,屬於一種慢速傳輸技術。

基於對網際網路應用和tcp理論的分析,華三的工程師針對目前網際網路廣泛使用應用進行試驗,配置如下數值效果可以適配各種頻寬情況,既能保證受限pc普通上網業務,又能避免他們濫用頻寬,而不是採用平均速率(如4m頻寬,內部20臺pc,那麼每台pc均享200k頻寬):

2.        上行512kbps,即0.5m頻寬

3.        根據實際鏈路情況也可以將此數值放大1倍或縮小1半

4.        如果是高階網管人員,也可以自行設定數值

基於網段的限速要求提前把pc根據應用型別劃分成不同的連續網段,這樣有利於配置,比如上圖就將需要受限的普通員工pc劃分到vlan8和vlan1中,而伺服器和主管使用pc則放入到不受限的vlan9中。

之前我們介紹的是比較簡單的網際網路控制策略,在擁塞發生時,對指定ip位址進行均等限速。隨著網路應用豐富多樣,使用者產生了更加靈活的需求,對網際網路控制策略也產生了基於使用者角色進行控制和管理的理念,在桌面級網路裝置領域,該理念已經被越來越多廠家所接受:

1.        內部使用者將不再單純根據連續網段區分,而是全面地通過主機名、ip位址、mac位址、物理埠號靈活地確定一台內部主機的身份。但是真正在網際網路訪問控制中生效的主要還是ip位址,附加資訊的作用是使使用者能夠更直觀地掌握內部主機和ip位址的對應關係。

3.        將不同的內部使用者賦予不同的角色,因此網際網路行為受到相應角色所控制。

4.        同時實時流量的審計,有助於網管人員能夠及時了解各內網pc的應用動態,為每種角色接受哪些控制策略做好準備。

基於使用者角色的應用控制主要有兩大類技術:

1.        第一類是使用者的識別,只有將使用者識別後才能對使用者分配角色,標識使用者的資訊包括主機名、ip位址、mac位址、埠等資訊,而實際上在wan口真正生效的是ip位址,因為在ip網路中只有ip位址能夠代表乙個主機,引進主機名、mac位址和埠等資訊能夠更直觀地展現內部主機的資訊,使普通使用者也能對內部主機做到驗明正身,是一種易用性的體現。下表展示了各協議或技術將這不同資訊繫結在一起標識內部使用者的:

將上述涉及的幾個技術要點結合起來,基於使用者角色的應用控制實現原理可以用下面這張簡圖來表示:

通過學習這張圖,我們會對這類工作的方案設計、配置會有更清晰的認識。

網際網路的許可權和訪問控制

cookie 客戶端第一次正常訪問伺服器,伺服器在response headers中返回與使用者資訊相關的cookie,客戶端收到後把cookie儲存在本地,下次再發請求時會在request headers中帶上這個cookie,伺服器收到這個cookie就知道使用者狀態了。cookie可以設定過期...

網際網路最近技術應用1 網際網路電視

網路電視 ntv,network television 是以寬頻網路為載體,以視音訊多 為形式,以互動個性化為特性,為所有寬頻終端使用者提供全方位有償服務的業務。網路電視是在數位化和網路化背景下產生,是網際網路絡技術與電視技術結合的產物,在整合電視與網路兩大傳播媒介過程中,網路電視既保留了電視形象直...

網際網路思維詳解

一 使用者思維 1 得大眾的天下 2 兜售參與感 3 使用者體驗至上 二 簡約思維 1 專注,少即是多 2 簡約即是美 三 極致思維 1 打造讓使用者尖叫的產品 a 痛點 使用者需求必須是剛需,使使用者急需解決的問題 b 癢點 工作和生活中有彆扭之處,即乏力又欲罷不能 c 興奮點 給使用者帶來 wo...