学会控制流量对于组网管理员来讲是非常重要的，对流量进行有效的控制，能够保证我们的更加稳定，是局域网中的重要连接“枢纽”，一旦它的工作状态出现意外的话，那么连接到该上的所有计算机都得“遭殃”，轻则出现上网缓慢的现象，严重的话干脆就不能上网了，为此选择性能优越、质量上乘的来组建一些重要，是非常关键的。

　　然而，无论性能多么优越、无论质量怎么上乘的，如果不加以妥善管理、维护，那么它的工作状态就很容易出现意外。这不，本文下面一则故障，就是由于管理员没有对的控制流量进行限制，造成了被大控制流量“顶死”。

　　最终引发了上网用户大面积断网的现象;为了不让这种故障现象再次发生，管理员决定控制上网，限制计算机的数据传输速度，确保不会频繁受到大容量数据信息的“冲击”!

　　被“顶死”

　　某大楼共有1000台左右的计算机访问Internet，为了方便控制和管理这些计算机，它们被连接到若干台普通二层上，所有二层都通过多模光纤线路连接到大楼机房的路由上，路由通过本地电信部门的一条共享1000MB的宽带光纤线路，与Internet直接连接。

　　所有计算机根据所处单位的不同，被划分到不同的虚拟工作子网中，每个虚拟工作子网都互相独立，各个子网中的计算机不能进行跨网访问，如此一来就能避免病毒、广播风暴等不正常现象，危险整个大楼的运行稳定性。大楼刚开始投入运行的时候，管理员在不同的虚拟工作子网中进行测试，发现每台计算机的上网速度都很快，而且各个上网用户对大楼的传输速度也很满意，每天几乎没有故障电话前来“骚扰”管理员。

　　可是，随着时间的推移，管理员接到的故障电话开始多了起来，有说自己的计算机上网速度明显不如以前快了，有说自己的计算机突然上网慢了起来，有说自己的计算机经常不能稳定上网，直到有{yt}楼层出现了大面积不能上网故障现象，这才让管理员意识到问题的严重性。

　　他立即根据组网资料，查找到不能上网楼层使用的IP地址，并尝试远程登录进目标后台系统，来查看各个交换的状态信息时，他发现远程登录操作竟然失败了;后来，管理员赶到故障现场，通过Console线缆连接并利用超级终端程序直接登录进该的后台系统。

　　再进入该与大楼路由相连的级联配置模式，并在该模式状态下使用“display interface”命令，查看了级联的状态信息，发现该的输入输出控制流量特别大，特别是最近30秒内的输入数据包控制流量明显不正常。

　　按照同样的操作方法，管理员又检查了其他普通交换的状态信息，发现有的交换输入、输出控制流量大小正常，有的输入、输出控制流量也比较大;正常情况下，普通交换的输入数据包控制流量应该不会超过每秒钟500个数据包。

　　可是在故障下，管理员发现有很多普通交换下的输入数据控制流量竟然超过了每秒钟1000个数据包，这显然是不正常的，那么这些控制流量究竟为什么会这么大呢?起初的时候，管理员怀疑是故障存在环路，可是启用了故障的环回受控测试功能后，发现并没有环路存在。

　　为此管理员估计这些大控制流量可能是故障下面的上网用户恶意下载造成的。继续在故障的后台系统中，执行“display cpu”命令时，管理员发现系统的CPU资源已经被消耗掉90%以上，而正常情况下系统的CPU资源消耗率应该在50%以上，看来故障已经被上网用户的控制流量“顶死”了，从而引发了连接到该上的所有用户都不能正常上网了。

　　解决故障的可行方案

　　从上面的故障描述来看，楼层用户大面积不能上网的原因，显然就是上网用户毫无节制地消耗宝贵的带宽资源引起的。要想不让被控制流量的数据包“顶死”，通常有两种方案可供选择，一种方案是想办法扩大访问Internet的出口带宽大小，让上网用户继续在“高速高路”上自由驰骋，另外一种方案就是保持上网出口带宽大小不变，想办法限制每个用户的上网访问控制流量大小，确保他们不能过度占用上网出口带宽资源。考虑到目前上网线路的租用，是根据出口带宽大小的不同进行收费的，并且出口带宽大小越大，上网线路的租用费用也是越高，显然通过简单地扩大上网出口带宽的大小来避免被堵死的故障，需要支付较高的运行成本。

　　而且即使使用了这种应对方案，仍然存在被大容量数据包“顶死”的可能。经过权衡考虑，管理员打算从优化设置着手，来限制上网用户的访问控制流量大小，禁止其进行BT下载或在线欣赏大容量多媒体影片时恶意抢用上网带宽资源。由于限制上网控制流量大小的方法也有很多，例如选用一些专业的限速工具，我们可以针对某个IP地址，来限制计算机的上网访问控制流量，或者通过代理服务器中转的方法进行控制流量，避免上网用户随意消耗上网带宽资源。

　　不过这些方法都有明显的缺憾，例如使用代理服务器进行中转控制上网流量时，上网用户的访问速度会受制于代理服务器的性能，而且代理服务器同时处理的任务比较多时很容易发生瘫痪现象，而使用专业工具进行限制上网流量时，如果上网计算机的IP地址不停变化的话，那么流量限制效果也不会好到哪里。

　　{zh1}，管理员经过认真分析、考虑，决定使用楼层自带的管理功能，来限制每个上网交换的出入速度，日后无论上网计算机的IP地址怎么变化，只要接入到经过限速设置的交换上，它们的上网控制流量都被控制在一个规定的范围，如此一来受到大流量数据包的冲击机率就大大降低了。

　　很明显，这种应对方案不需要额外支付上网成本，不需要单独增加设备，更不需要调整大楼已有的组网结构，因此这种限制控制流量的方案既能保证不容易受到大容量数据信息的“冲击”，又能保证大楼可以稳定地运行。当然，这种应对方案仅对中小规模的以及上网应用比较单一的比较适用!