網(wǎng)絡(luò)流量管理控制技術(shù)在校園網(wǎng)的應(yīng)用研究

1、    網(wǎng)絡(luò)流量管理控制技術(shù)在校園網(wǎng)的應(yīng)用研究     摘要：以p2p為代表的網(wǎng)絡(luò)應(yīng)用已經(jīng)給當(dāng)前校園網(wǎng)絡(luò)出口帶寬帶來了前所未有的擁塞和安全問題，而這些問題產(chǎn)生的內(nèi)在原因在于當(dāng)前的網(wǎng)絡(luò)流量管理缺乏應(yīng)用識別控制能力。因此，有必要在網(wǎng)絡(luò)流量管理中引入流量應(yīng)用識別控制技術(shù)。本文介紹了兩種網(wǎng)絡(luò)流量應(yīng)用識別技術(shù)dpi和dfi，并對兩者進(jìn)行了比較；然后對網(wǎng)絡(luò)流量管理控制技術(shù)在校園網(wǎng)中進(jìn)行了實(shí)施和初步的研究；最后提出了在實(shí)際應(yīng)用中需要思考的問題。關(guān)鍵詞：網(wǎng)絡(luò)流量識別，網(wǎng)絡(luò)流量管理，網(wǎng)絡(luò)流量控制，深度報(bào)文檢測，深度流行為檢測一、前言隨著互聯(lián)網(wǎng)的迅猛發(fā)展，寬帶網(wǎng)絡(luò)

2、用戶急劇增加；新型網(wǎng)絡(luò)應(yīng)用大量出現(xiàn)。上述情況導(dǎo)致網(wǎng)絡(luò)流量呈幾何數(shù)增長。從網(wǎng)絡(luò)應(yīng)用的特點(diǎn)來看，除了傳統(tǒng)的網(wǎng)頁瀏覽、收發(fā)電子郵件等數(shù)據(jù)應(yīng)用之外，出現(xiàn)了網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲等對網(wǎng)絡(luò)實(shí)時(shí)性有較高要求的應(yīng)用，出現(xiàn)了p2p（peer to peer）下載等對網(wǎng)絡(luò)帶寬搶占能力極強(qiáng)的應(yīng)用。除此之外，網(wǎng)絡(luò)里面還充斥了大量的病毒等垃圾流量。對于校園網(wǎng)用戶而言，網(wǎng)絡(luò)帶寬資源是有限的。如果不能很好地管理、控制好網(wǎng)絡(luò)流量，一方面將導(dǎo)致p2p等應(yīng)用流量和網(wǎng)絡(luò)攻擊病毒等垃圾流量大量搶占有限的網(wǎng)絡(luò)出口帶寬，從而無法保證網(wǎng)絡(luò)用戶關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量，另一方面，帶寬的無謂消耗，將大大增加網(wǎng)絡(luò)費(fèi)用的支出。因此通過適當(dāng)?shù)木W(wǎng)絡(luò)流

3、量管理控制技術(shù)，針對不同業(yè)務(wù)制定和實(shí)施相應(yīng)策略是解決帶寬增長與業(yè)務(wù)收益、網(wǎng)絡(luò)擴(kuò)容與用戶體驗(yàn)之間矛盾的關(guān)鍵所在。二、校園網(wǎng)出口流量分析我校校園網(wǎng)未做任何網(wǎng)絡(luò)流量管理控制的出口帶寬狀況，如圖1所示。 根據(jù)對我校校園網(wǎng)出口流量的詳細(xì)分析，目前網(wǎng)絡(luò)出口流量具有如下特點(diǎn)：1.p2p應(yīng)用占據(jù)大量帶寬p2p技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)的一次重大突破，它打破了c/s的流量模型，采用“無集中服務(wù)器”的模式，消除了服務(wù)器的瓶頸問題。因此，當(dāng)p2p軟件出現(xiàn)，文件下載、流媒體、voip語音等應(yīng)用受到網(wǎng)絡(luò)用戶的追捧和青睞。由于p2p技術(shù)的特點(diǎn)，p2p應(yīng)用對網(wǎng)絡(luò)帶寬具有極強(qiáng)的搶占能力。p2p技術(shù)在互聯(lián)網(wǎng)上的應(yīng)用超過了web

4、而成為在流量上占據(jù)統(tǒng)治地位的新型應(yīng)用。根據(jù)圖1的統(tǒng)計(jì)分析，我們可以看出，目前網(wǎng)絡(luò)流量的60%以上都是p2p的應(yīng)用。主要的p2p應(yīng)用包括：thunder（迅雷）、bittorrent（bt）、edonkey（電驢）等。2.關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量無法保證web瀏覽是校園網(wǎng)用戶的關(guān)鍵業(yè)務(wù)之一，web瀏覽已經(jīng)成為網(wǎng)絡(luò)用戶獲取外部信息和進(jìn)行科研工作的重要手段和內(nèi)容。由于p2p應(yīng)用對帶寬的搶占，導(dǎo)致web瀏覽速度大幅下降，進(jìn)而引起用戶強(qiáng)烈不滿。另外網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻、流媒體等業(yè)務(wù)對網(wǎng)絡(luò)質(zhì)量要求較高。傳輸過程中任何一個(gè)環(huán)節(jié)出現(xiàn)瓶頸，都會(huì)影響應(yīng)用的服務(wù)質(zhì)量。例如，網(wǎng)絡(luò)帶寬不足將導(dǎo)致網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻等應(yīng)

5、用出現(xiàn)信號時(shí)斷時(shí)續(xù)的現(xiàn)象，讓用戶無法忍受。3.網(wǎng)絡(luò)安全受到威脅在過去的一年中，針對網(wǎng)絡(luò)安全的攻擊數(shù)量是前一年的兩倍還多。黑客攻擊手段越來越復(fù)雜，破壞程度越來越大。同時(shí)，加入黑客組織的門檻卻越來越低，因?yàn)楹诳凸ぞ咴絹碓较冗M(jìn)，操作越來越簡單。隨著黑客與病毒技術(shù)的發(fā)展，加上計(jì)算機(jī)性能的大幅度提升，攻擊變得越來越難以控制。病毒等帶來的垃圾流量導(dǎo)致了網(wǎng)絡(luò)帶寬的浪費(fèi)同時(shí)也給網(wǎng)絡(luò)管理員帶來前所未有的挑戰(zhàn)。三、網(wǎng)絡(luò)流量應(yīng)用識別技術(shù)為了對校園網(wǎng)絡(luò)出口流量進(jìn)行管理控制，首先必須能夠識別網(wǎng)絡(luò)流量的應(yīng)用類型。一般情況下，我們可以通過ip包頭中的“五元組”信息來確定當(dāng)前流量的基本信息，如源地址、目標(biāo)地址、協(xié)議類型、源端

6、口號、目標(biāo)端口號。在傳統(tǒng)的網(wǎng)絡(luò)中，ip路由器也正是通過這一系列信息來實(shí)現(xiàn)一定程度的流量識別和qos。但隨著網(wǎng)上應(yīng)用類型的不斷豐富，僅通過第四層端口信息已經(jīng)不能真正判斷流量中的應(yīng)用類型，基于開放端口、隨機(jī)端口甚至采用加密方式進(jìn)行傳輸?shù)膽?yīng)用類型在目前的網(wǎng)絡(luò)中比比皆是。在這種情況下，傳統(tǒng)的流量識別和qos控制技術(shù)顯得捉襟見肘。通過加大對網(wǎng)絡(luò)流量的監(jiān)控力度，可以在一定程度上比較準(zhǔn)確地識別流量中的應(yīng)用類型。目前這一領(lǐng)域主要有深度報(bào)文檢測（deep packet inspection，dpi）和深度流行為檢測（deep flow inspection，dfi）兩大技術(shù)體系。1.深度報(bào)文檢測（deep pa

7、cket inspection，dpi）dpi是深度報(bào)文檢測（deep packet inspection）的簡稱，是一種典型的應(yīng)用識別技術(shù)。dpi技術(shù)之所以稱為“深度”的檢測技術(shù)，是相對于傳統(tǒng)的檢測技術(shù)而言的。傳統(tǒng)的流量檢測技術(shù)僅獲取那些寄存在數(shù)據(jù)包網(wǎng)絡(luò)層和傳輸層協(xié)議頭中的基本信息，通過這些參數(shù)很難獲得足夠多的業(yè)務(wù)應(yīng)用信息。對于當(dāng)前p2p應(yīng)用、voip應(yīng)用、iptv應(yīng)用被廣泛開展的情況，傳統(tǒng)的流量檢測技術(shù)已經(jīng)不能滿足網(wǎng)絡(luò)流量管理的需要了。dpi技術(shù)對傳統(tǒng)的流量檢測技術(shù)進(jìn)行了“深度”擴(kuò)展，在獲取數(shù)據(jù)包基本信息的同時(shí)，對多個(gè)相關(guān)數(shù)據(jù)包的應(yīng)用層協(xié)議頭和協(xié)議負(fù)荷進(jìn)行掃描，獲取寄存在應(yīng)用層中的特征信息

8、，對網(wǎng)絡(luò)流量進(jìn)行精細(xì)的檢查、監(jiān)控和分析。dpi技術(shù)通常采用如下的數(shù)據(jù)包分析方法：（1）傳輸層端口分析。許多應(yīng)用使用默認(rèn)的傳輸層端口號，例如http協(xié)議使用80端口。（2）特征字段匹配分析。一些應(yīng)用在應(yīng)用層協(xié)議頭，或者應(yīng)用層負(fù)荷中的特定位置中包含特征字段，通過特征字段的識別實(shí)現(xiàn)數(shù)據(jù)包檢查、監(jiān)控和分析。（3）通信交互過程分析。對多個(gè)會(huì)話的事務(wù)交互過程進(jìn)行監(jiān)控分析，包括包長度、發(fā)送的包數(shù)目等，實(shí)現(xiàn)對網(wǎng)絡(luò)業(yè)務(wù)的檢查、監(jiān)控和分析。2.深度流行為檢測dfi是深度流行為檢測（deep flow inspection）的簡稱，也是一種典型應(yīng)用識別技術(shù)。dfi技術(shù)是相對于dpi技術(shù)提出的，為了解決dpi技術(shù)的執(zhí)

9、行效率、加密流量識別和頻繁升級等問題而出現(xiàn)的。dfi更關(guān)注于網(wǎng)絡(luò)流量特征的通用性，因此，dfi技術(shù)并不對網(wǎng)絡(luò)流量進(jìn)行深度的報(bào)文檢測，而僅通過對網(wǎng)絡(luò)流量的狀態(tài)、網(wǎng)絡(luò)層和傳輸層信息、業(yè)務(wù)流持續(xù)時(shí)間、平均流速率、字節(jié)長度分布等參數(shù)的統(tǒng)計(jì)分析，來獲取應(yīng)用類型、應(yīng)用狀態(tài)。3.兩種識別技術(shù)的比較兩種技術(shù)的設(shè)計(jì)基本目標(biāo)都是為了實(shí)現(xiàn)應(yīng)用識別，但兩者在實(shí)現(xiàn)原理和技術(shù)細(xì)節(jié)方面都存在較大區(qū)別，下面我們從技術(shù)原理、技術(shù)成熟度、識別準(zhǔn)確度、識別精細(xì)程度、加密流量識別、系統(tǒng)處理能力等方面對兩種技術(shù)進(jìn)行比較，比較結(jié)果如表1所示。 從表1中我們可以看出，兩種技術(shù)互有優(yōu)勢，也互有缺陷，dpi技術(shù)適用于需要精細(xì)和準(zhǔn)確識

10、別、精細(xì)管理的環(huán)境，而dfi技術(shù)適用于需要高效識別，粗放管理的應(yīng)用環(huán)境。四、網(wǎng)絡(luò)流量管理控制技術(shù)及其在校園網(wǎng)的應(yīng)用通過網(wǎng)絡(luò)流量應(yīng)用識別技術(shù)區(qū)分出網(wǎng)絡(luò)流量里面各種不同的應(yīng)用類型，進(jìn)而可以采用qos控制方法。根據(jù)應(yīng)用類型按策略轉(zhuǎn)發(fā)，為其提供不同的服務(wù)質(zhì)量。流量控制技術(shù)可以分成兩個(gè)大的流派：一種是結(jié)合協(xié)議本身的設(shè)計(jì)機(jī)制，巧妙利用協(xié)議本身提供的一些機(jī)制，實(shí)現(xiàn)流量控制；一種是采取緩沖、隊(duì)列控制的辦法，強(qiáng)制性的實(shí)現(xiàn)流量控制。對于tcp/ip協(xié)議來說，tcp是面向連接的協(xié)議，提供了很多反饋控制的機(jī)制，能夠端到端的控制業(yè)務(wù)的速率。而udp只是一種盡力而為的協(xié)議，沒有端到端的反饋控制能力，因此，結(jié)合協(xié)議進(jìn)行流量

11、控制將局限于tcp。對于udp只能采取緩沖隊(duì)列控制進(jìn)行流量控制。目前市場上主流的控制技術(shù)有三種：第一，以packeteer為代表的基于tcp窗口整形的流控技術(shù)；第二，以allot和cisco為代表的基于隊(duì)列的流控技術(shù)；第三，以華為和greennet為代表的基于干擾的流控技術(shù)。這些技術(shù)和產(chǎn)品各有優(yōu)缺點(diǎn)，但都可以實(shí)現(xiàn)對應(yīng)用流量的最大、最小帶寬保障或阻斷等控制效果。根據(jù)前面我們對校園網(wǎng)絡(luò)出口流量的分析，我們針對不同的應(yīng)用對網(wǎng)絡(luò)流量進(jìn)行了分類，然后制定和執(zhí)行相應(yīng)的策略。因?yàn)椴呗允歉鶕?jù)實(shí)際情況而制定的，因此也要根據(jù)不同需求進(jìn)行調(diào)整。根據(jù)我們的經(jīng)驗(yàn)，我們對策略的制定建議如下：（1）對p2p應(yīng)用流量進(jìn)行分時(shí)

12、段限制。我們知道p2p應(yīng)用是網(wǎng)絡(luò)帶寬的“暴力殺手”，因此，我們必須對p2p應(yīng)用流量進(jìn)行限制。在網(wǎng)絡(luò)應(yīng)用高峰期間，應(yīng)使p2p應(yīng)用流量占用帶寬不超過總帶寬的30%，在網(wǎng)絡(luò)空閑時(shí)間則放開對p2p應(yīng)用的限制。（2）保障web瀏覽（http）等關(guān)鍵應(yīng)用帶寬。web瀏覽是校園網(wǎng)絡(luò)用戶的關(guān)鍵業(yè)務(wù)之一，也是網(wǎng)絡(luò)用戶網(wǎng)速體驗(yàn)最直接的應(yīng)用。我們建議為其保障40%的出口帶寬，以保證用戶web瀏覽的效果。（3）過濾病毒和網(wǎng)絡(luò)攻擊流量。網(wǎng)絡(luò)攻擊、病毒等帶來的垃圾流量不僅危害我們的網(wǎng)絡(luò)安全，也浪費(fèi)了我們寶貴的網(wǎng)絡(luò)帶寬。根據(jù)病毒和網(wǎng)絡(luò)攻擊流量的應(yīng)用特征，過濾掉病毒和網(wǎng)絡(luò)攻擊造成的垃圾流量。我校校園網(wǎng)絡(luò)在網(wǎng)絡(luò)流量管理控制技術(shù)

13、應(yīng)用后的出口帶寬的現(xiàn)狀，如圖2所示。 從圖2中我們可以看出，通過執(zhí)行以上流量管理策略，各類應(yīng)用都能夠得到較為合理的帶寬和保證，出口帶寬資源得到了高效利用。在網(wǎng)絡(luò)不是很繁忙的時(shí)段，放開p2p應(yīng)用；同時(shí)web瀏覽等關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬也都得到專門保證。在網(wǎng)絡(luò)繁忙時(shí)段，則把p2p應(yīng)用限制在一定范圍之內(nèi)，優(yōu)先保證關(guān)鍵應(yīng)用的帶寬。另外，過濾了病毒和網(wǎng)絡(luò)攻擊流量，既節(jié)約了帶寬又提高了網(wǎng)絡(luò)安全性。五、小結(jié)和思考流量管理控制技術(shù)目前的使用領(lǐng)域主要在于優(yōu)化帶寬使用，解決帶寬不合理占用，網(wǎng)絡(luò)擁塞、安全隱患等問題，以保障關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量和提高用戶上網(wǎng)體驗(yàn)。將來，流量管理控制技術(shù)將滲透到網(wǎng)絡(luò)的每一個(gè)環(huán)節(jié)，使

14、未來網(wǎng)絡(luò)成為一個(gè)可以快速、高效、準(zhǔn)確識別網(wǎng)絡(luò)中業(yè)務(wù)流、提供區(qū)分服務(wù)的智能網(wǎng)絡(luò)。在實(shí)際應(yīng)用中，技術(shù)發(fā)展、用戶滿意度和法律法規(guī)等諸多因素都會(huì)影響流量管理控制技術(shù)在校園網(wǎng)的應(yīng)用。因此，對一些問題必須認(rèn)真思考。1.技術(shù)缺陷。技術(shù)從來都不是完美的，都有自身較為適用的環(huán)境，都需要不斷地發(fā)展完善。比如對未知p2p、加密p2p業(yè)務(wù)、隱藏在web流量中的迅雷、私有業(yè)務(wù)的智能識別的研究目前都是流量管理控制技術(shù)的熱點(diǎn)研究領(lǐng)域。因此，在實(shí)際使用中選擇何種應(yīng)用識別技術(shù)，以及如何保證緊跟應(yīng)用技術(shù)發(fā)展的步伐，是每個(gè)網(wǎng)絡(luò)管理員必須面對的問題。流量管理控制技術(shù)的應(yīng)用勢必會(huì)對網(wǎng)絡(luò)造成一定的沖擊，那么如何更好地保證網(wǎng)絡(luò)的穩(wěn)定性和業(yè)務(wù)的連續(xù)性也是網(wǎng)絡(luò)管理員必須考慮的問題。2.用戶滿意度。流量管理控制技術(shù)的應(yīng)用必將影響到用戶對網(wǎng)絡(luò)資源的使用，高優(yōu)先級的用戶能夠得到較好的網(wǎng)絡(luò)應(yīng)用服務(wù)質(zhì)量保障，而對于普通用戶，網(wǎng)絡(luò)應(yīng)用流量的管理勢必影響到用戶隨意使用網(wǎng)絡(luò)資源的行為，這將會(huì)使得大多數(shù)普通用戶對校園網(wǎng)認(rèn)可度、滿意度下降，投訴率上升等負(fù)面影響。因此，在具體應(yīng)用中，需要認(rèn)真考慮實(shí)施策略、實(shí)施粒度等問題，及時(shí)把握用戶網(wǎng)絡(luò)使用感受。3.政策風(fēng)險(xiǎn)。由于流量管理控制技術(shù)需要對網(wǎng)絡(luò)中的數(shù)據(jù)流量進(jìn)行深度的報(bào)文解析