CN111970149B

CN111970149B - 一种基于硬件防火墙qos的共享带宽实现方法

Info

Publication number: CN111970149B
Application number: CN202010824707.XA
Authority: CN
Inventors: 穆宁; 李彦君; 路海龙; 高传集
Original assignee: Inspur Cloud Information Technology Co Ltd
Current assignee: Inspur Cloud Information Technology Co Ltd
Priority date: 2020-08-17
Filing date: 2020-08-17
Publication date: 2023-05-30
Anticipated expiration: 2040-08-17
Also published as: CN111970149A

Abstract

本发明公开了一种基于硬件防火墙QOS的共享带宽实现方法，属于云计算及计算机网络领域，本发明要解决的技术问题为如何改善传输延迟、抖动、丢包的缺点，保证网络的安全性、稳定性和可靠性，采用的技术方案为：该方法是通过创建共享带宽的根管道QOS，并配置根管道QOS匹配条件与限制策略，根据用户具体需求在共享带宽的根管道QOS上创建其具体事例的子管道，并配置不同的匹配条件和限制策略，实现多实例共享带宽。

Description

一种基于硬件防火墙QOS的共享带宽实现方法

技术领域

本发明涉及云计算和计算机网络领域，具体地说是一种基于硬件防火墙QOS的共享带宽(SBW,Share bandwidth)实现方法及系统。

背景技术

云服务提供商以及各行业带宽网络的建设目标是建立一个可运营、可增值、可管理的带宽网络，以提供弹性可伸缩、可管理、高稳定性的带宽资源，促进网络增值业务繁荣发展。

网络虚拟化作为云计算领域的三大核心要素功能之一，与传统物理网相比，在灵活性、动态伸缩性及客观可控性方面具有天然的优势。虚拟化网络的服务质量以及服务价格直接影响着云计算环境下的用户体验和产品质量，因此虚拟化网络下共享带宽的服务能力成为云计算系统中一个重要的基础性服务能力。随着数据、视频、游戏等多业务需求的与日俱增，用户对于服务产品的稳定性、可靠性、性价比等需求与日俱增，用户对带宽及网络应用服务质量提出了越来越高的要求。如何通过充分利用现有带宽管理技术提高网络效率、有效降低带宽的浪费、降低用户成本，提供满意的服务质量，成为云服务提供商最为关注的发展方向。

当前云计算系统中对共享带宽的实现方式不尽相同，从实现方式上来看，有些基于硬件物理设备来实现，有些是基于软件的方式来实现；从实现粒度上来看，有些粒度较粗，有些粒度较细。

而相对于基于硬件设备来实现的方式而言，网络带宽的共享处理能力很大程度上取决于核心安全设备的企业级防火墙，不仅需要保证安全，更不能成为业务实现的瓶颈，同时它还要提供强大的带宽管理能力。

由于传统基于X86防火墙可以为网络提供一定的带宽管理功能，但在云服务提供商的网络，尤其是骨干网中便显得力不从心，本质原因是X86架构的防火墙只能采用软件控制Qos，而一旦面临高吞吐量时，自身的处理能力根本无法保证性能，由于这一原因，软件流控算法通常不会做得很复杂，这样就带来了流量控制的精确性的问题；同时，不恰当的算法不能平滑地降低流量，在网络拥塞时，会引起网络流量的震荡；另外由于流量控制由软件来完成，并且通常不能和安全处理模块并行处理，在启用流量控制的情况下，即便采用较为简单的流控方法，对转发的包引入一定的额外时延。

QOS作为网络技术领域的一个永恒话题，也是虚拟化网络的一个重要特性，在数据中心网络资源的公平性使用、保障用户业务质量、保护用户权益等方面具有极其重要的意义。而基于QOS实现共享带宽的功能是云业务用户普遍的需求。Openstack等云计算平台现有的QoS实现机制缺乏足够的灵活性和可扩展性，严重影响了资源使用的公平性和用户体验、制约了虚拟化网络的发展。

综上所述，如何改善传输延迟、抖动、丢包的缺点，保证网络的安全性、稳定性和可靠性是目前亟待解决的问题。

发明内容

本发明的技术任务是提供一种基于硬件防火墙QOS的共享带宽实现方法，来解决如何改善传输延迟、抖动、丢包的缺点，保证网络的安全性、稳定性和可靠性的问题。

本发明的技术任务是按以下方式实现的，一种基于硬件防火墙QOS的共享带宽实现方法，该方法是通过创建共享带宽的根管道QOS，并配置根管道QOS匹配条件与限制策略，根据用户具体需求在共享带宽的根管道QOS上创建其具体事例的子管道，并配置不同的匹配条件和限制策略，实现多实例共享带宽。

作为优选，所述根管道QOS配置多级管道，多级管道不超过四级嵌套并配置两层流控策略，实现带宽细粒度控制。

更优地，所述实现多实例共享带宽的方法具体如下：

S1、当租户在前端创建共享带宽的实例，先在业务数据库生成共享带宽的实例信息，保证其唯一主键；

S2、通过REST接口调用或SSH方式，在硬件防火墙上创建匹配不同网段的共享带宽根管道QOS，根管道QOS仅需要配置上行和下行的带宽和分类方式，即整形机制或管制机制；

S3、当实例(ECS或者CPS或者SLB)绑定时，通过内网的OpenStack分配的内网FloatingIp在根管道QOS上创建其子管道，子管道的匹配条件即是与FloatingIp匹配的IP/掩码策略；

S4、根据租户请求的带宽值，配置租户FloatingIp子管道的带宽动作以及管道分类方式，即管制机制；硬件防火墙系统将根据管道的带宽及匹配策略对需要限速的流量进行限速；

S5、当内网流量出网时，流量经过硬件防火墙系统，硬件防火墙系统匹配到管道匹配规则，即根据管道匹配规则配置的策略对出网流量进行限速，入网流量经硬件防火墙系统时，经过硬件防火墙系统dnat转换为内网FloatingIp，同时匹配到管道匹配规则以及管道策略规则实现流量限速；

S6、子管道以及父管道需要在业务数据库做落库操作，以减少配置丢失的情况，定期做防火墙管道策略以及数据库的数据同步工作也是数据一致性的必要操作，在业务侧通过定时任务的方式定期同步数据；

S7、生产环境硬件防火墙系统采用主备方式保障其稳定性和可靠性，降低硬件宕机对网络连通性的影响，保证硬件防火墙的稳定性。

更优地，所述根管道QOS的名称以共享带宽实例唯一键区分。

更优地，所述根管道QOS的删除是还原硬件防火墙系统的QOS配置，针对根管道QOS进行带宽更配。

更优地，所述整形机制是一个与排队机制一起工作的流量平滑工具，整形的目的是控制流量永远不超出指定的速率，使流量平滑的转发。

更优地，所述排队机制应用在产生拥塞处，因网络之间速率不匹配，在广域网或者局域网中都有可能出现拥塞，只有当发生拥塞时，排队机制的排队工具才会被启用；排队机制的补充机制为拥塞避免机制，拥塞避免机制用于处理基于TCP的数据流。

更优地，所述管制机制用于对流量违约进行即时检查，发现违约后立即采取设定的动作进行处理。

一种电子设备，包括：存储器和至少一个处理器；

其中，所述存储器存储计算机执行指令；

所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如上述的基于硬件防火墙QOS的共享带宽实现方法。

一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行时，实现如上述的基于硬件防火墙QOS的共享带宽实现方法。

本发明的基于硬件防火墙QOS的共享带宽实现方法具有以下优点：

(一)本发明采用基于硬件的防火墙QOS可以解决或改善诸如传输延迟、抖动、丢包等问题，从而保证网络的安全性、稳定性、和可靠性；然而防火墙QOS最大的作用在于能够控制通过防火墙的带宽的使用，通过对重要应用如电子商务、企业服务等进程进行优先带宽分配，可以保证这些进程的稳定性；通过硬件防火墙，管理员可定义多种不同的带宽控制策略，并通过安全规则对基于源IP地址、目的IP地址、协议、服务、方向、时间段等不同业务进行精细粒度的带宽策略管理通过对每一个粒度元素设定可以满足对最精细流量控制的要求；此外，不同的带宽策略可以由管理员根据实际业务流量需要，选择多种优先级进行定义区分，从而实现带宽管理的灵活控制；

(二)针对现有技术中OpenStack没有提供带宽的共享方法，本发明实现了用户多实例带宽共享以及流量限速，提高了带宽利用率以及管控的灵活性，实现了租户对于带宽的精细化管理；

(三)本发明更加灵活的共享带宽策略管理能力，可以支持IP地址级别、业务级别(源IP+源端口或目的IP+目的端口)、用户级别等等各种粒度的带宽限速管理；而且无需单独开发一套共享带宽Qos的带宽管理软件；

(四)本发明增加优先级的划分，有效提高带宽管控粒度，从而弥补传统CPU对性能的拖累；

(五)本发明通过配置根管道并创建特定匹配条件的子管道来共享根管道的带宽，以实现不同用户不同需求的特定带宽限制，用户的资费高的情况也能明显改善，使得业务上云的费用问题得到进一步改善；

(六)本发明基于硬件防火墙QOS的共享带宽作为云服务提供商产品的具体实现方式，为数据中心网络资源的公平使用、保障用户业务质量、保护用户权益等方面具有极其重要的意义，OpenStack等云计算平台现有的QOS实现机制缺乏足够的灵活性和可扩展性。

附图说明

下面结合附图对本发明进一步说明。

附图1为多级根管道QOS的示意图；

附图2为实施例2中应用场景的示意图。

具体实施方式

参照说明书附图和具体实施例对本发明的一种基于硬件防火墙QOS的共享带宽实现方法作以下详细地说明。

实施例1：

本发明的的核心思想具体如下：

①、数据包进入防火墙系统后，首先会被分类和标记；其中，分类和标记的过程就是识别出需进行不同处理的流量的过程；

②、对于分类标记后的流量，防火墙系统会通过整形机制使流量平滑的转发或管制机制丢弃；

③、若选用整形机制转发流量，防火墙系统则会通过拥塞管理机制和拥塞避免机制对数据包进行管理，为数据包排列优先次序并且在发生拥塞时保证高优先级数据包优先调度。

其中，识别流量违约并做出响应，管制机制和整形机制用了同样的算法识别流量违约，但是做出的响应不同；其中，管制机制的管制工具对流量违约进行即时检查，发现违约后立即采取设定的动作进行处理；整形机制的整形工具是一个与排队机制一起工作的流量平滑工具，整形的目的是控制流量永远不超出指定的速率，使流量平滑的转发；排队机制的排队用具应用在产生拥塞处。由于网络之间速率不匹配，在广域网或者局域网中都有可能出现拥塞，只有当发生拥塞时，排队工具才会被启用。拥塞避免机制是排队算法的补充，其目的是为了处理基于TCP的数据流。

实施例2：

本发明的基于硬件防火墙QOS的共享带宽实现方法,该方法是通过创建共享带宽的根管道QOS，并配置根管道QOS匹配条件与限制策略，根据用户具体需求在共享带宽的根管道QOS上创建其具体事例的子管道，并配置不同的匹配条件和限制策略，实现多实例共享带宽。具体如下：

S1、当租户在前端创建共享带宽的实例，先在业务数据库生成共享带宽的实例信息，保证其唯一主键；其中，如附图1所示，为了方便用户自定义得灵活方便配置，可以配置多级管道，可将不同用户的不同应用分别限制在一定带宽之内，从而能优先保障重要用户或重要应用的带宽，根管道QOS最多支持四级嵌套，并且可配置两层流控策略，实现带宽细粒度控制。管道QOS的删除是还原硬件防火墙系统的QOS配置，针对根管道QOS进行带宽更配。

S2、通过REST接口调用或SSH方式，在硬件防火墙上创建匹配不同网段的共享带宽根管道QOS，根管道QOS的名称以共享带宽实例唯一键区分，根管道QOS仅需要配置上行和下行的带宽和分类方式，即整形机制或管制机制；

其中，整形机制是一个与排队机制一起工作的流量平滑工具，整形的目的是控制流量永远不超出指定的速率，使流量平滑的转发；排队机制应用在产生拥塞处，因网络之间速率不匹配，在广域网或者局域网中都有可能出现拥塞，只有当发生拥塞时，排队机制的排队工具才会被启用；排队机制的补充机制为拥塞避免机制，拥塞避免机制用于处理基于TCP的数据流。

管制机制用于对流量违约进行即时检查，发现违约后立即采取设定的动作进行处理。

其中，管道匹配规则即防火墙的QOS管道配置，通过命令“configure\r qos-engine first\r root-pipe sbw-qos-name\r sequence 0\r pipe-map\r dst-ip192.168.0.1/32\r exit\r pipe-rule forward bandwidth Mbps 5\r pipe-rulebackward bandwidth Mbps 5\r end”既可以配置一条共享带宽的QOS管道；其中，sbw-qos-name为其唯一键的名称，sequence 0为其匹配的优先顺序，pipe-map为其匹配条件，如上可对192.168.0.1的内网IP做带宽限流，pipe-rule则为限流规则，此例中限制入网和出网规则都为5Mbps带宽。

实施例3：

以某企业的应用场景为例，如附图2所示，具体如下：

(1)、管理员可创建一个共享带宽的根管道，限制该企业北京公司的流量，该公司不同部门共享北京分公司的同一个带宽，每一个部门即时一个子管道，可通过配置限制不同部门的流量；

(2)、再创建子管道对研发部应用进行划分，限制不同应用拥有的不同带宽；

(3)、为某种应用的每个用户设置子管道，限制该应用的每位用户的流量。

实施例4：

本发明实施例还提供了一种电子设备，包括：存储器和一个处理器；

其中，存储器存储计算机执行指令；

一个处理器执行所述存储器存储的计算机执行指令，使得一个处理器执行如任一实施例中的基于硬件防火墙QOS的共享带宽实现方法。

实施例5：

本发明实施例还提供了一种计算机可读存储介质，其中存储有多条指令，指令由处理器加载，使处理器执行本发明任一实施例中的基于硬件防火墙QOS的共享带宽实现方法。具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。

在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。

用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-R一种基于硬件防火墙QOS的共享带宽实现方法M、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地，可以由通信网络从服务器计算机上下载程序代码。

此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。

此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

1.一种基于硬件防火墙QOS的共享带宽实现方法，其特征在于，该方法是通过创建共享带宽的根管道QOS，并配置根管道QOS匹配条件与限制策略，根据用户具体需求在共享带宽的根管道QOS上创建其具体事例的子管道，并配置不同的匹配条件和限制策略，实现多实例共享带宽；

其中，实现多实例共享带宽的方法具体如下：

S3、当实例绑定时，通过内网的OpenStack分配的内网FloatingIp在根管道QOS上创建其子管道，子管道的匹配条件即是与FloatingIp匹配的IP/掩码策略；

2.根据权利要求1所述的基于硬件防火墙QOS的共享带宽实现方法，其特征在于，所述根管道QOS配置多级管道，多级管道不超过四级嵌套并配置两层流控策略，实现带宽细粒度控制。

3.根据权利要求1或2所述的基于硬件防火墙QOS的共享带宽实现方法，其特征在于，所述根管道QOS的名称以共享带宽实例唯一键区分。

4.根据权利要求3所述的基于硬件防火墙QOS的共享带宽实现方法，其特征在于，所述根管道QOS的删除是还原硬件防火墙系统的QOS配置，针对根管道QOS进行带宽更配。

5.根据权利要求4所述的基于硬件防火墙QOS的共享带宽实现方法，其特征在于，所述整形机制是一个与排队机制一起工作的流量平滑工具，整形的目的是控制流量永远不超出指定的速率，使流量平滑的转发。

6.根据权利要求5所述的基于硬件防火墙QOS的共享带宽实现方法，其特征在于，所述排队机制应用在产生拥塞处；排队机制的补充机制为拥塞避免机制，拥塞避免机制用于处理基于TCP的数据流。

7.根据权利要求6所述的基于硬件防火墙QOS的共享带宽实现方法，其特征在于，所述管制机制用于对流量违约进行即时检查，发现违约后立即采取设定的动作进行处理。

8.一种电子设备，其特征在于，包括：存储器和至少一个处理器；

其中，所述存储器存储计算机执行指令；

所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如权利要求1至7任一项所述的基于硬件防火墙QOS的共享带宽实现方法。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行时，实现如权利要求1至7中任一项所述的基于硬件防火墙QOS的共享带宽实现方法。