校園網(wǎng)中網(wǎng)絡(luò)流量管理控制技術(shù)應(yīng)用初探

胡　俊

摘要：以P2P為代表的網(wǎng)絡(luò)應(yīng)用已經(jīng)給當(dāng)前校園網(wǎng)絡(luò)出口帶來了前所未有的沖擊，而這些問題產(chǎn)生的內(nèi)在原因在于當(dāng)前的網(wǎng)絡(luò)流量管理缺乏識別控制能力。因此，有必要在網(wǎng)絡(luò)流量管理中引入流基應(yīng)用識別控制技術(shù)。本文簡單介紹了兩種網(wǎng)絡(luò)流量應(yīng)用識別技術(shù)DPI和DFI，并對兩者進(jìn)行了比較，然后對網(wǎng)絡(luò)流量管理控制技術(shù)在校園網(wǎng)中進(jìn)行了實(shí)施和初步的研究，最后提出了在實(shí)際應(yīng)用中需要思考的問題。

關(guān)鍵詞：網(wǎng)絡(luò)流量識別；網(wǎng)絡(luò)流量管理；網(wǎng)絡(luò)流量控制；深度報文檢測；深度流行為檢測

1前言

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，寬帶網(wǎng)絡(luò)用戶急劇增加，新型網(wǎng)絡(luò)應(yīng)用大量出現(xiàn)，導(dǎo)致網(wǎng)絡(luò)流量呈幾何數(shù)增長。從網(wǎng)絡(luò)應(yīng)用的特點(diǎn)上來看，除了傳統(tǒng)的網(wǎng)頁瀏覽、收發(fā)電子郵件等數(shù)據(jù)應(yīng)用之外，出現(xiàn)了網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲等對網(wǎng)絡(luò)實(shí)時性有較高要求的應(yīng)用，出現(xiàn)了P2P(Peer to Peer)下載等對網(wǎng)絡(luò)帶寬搶占能力極強(qiáng)的應(yīng)用。除此之外，網(wǎng)絡(luò)里面還充斥了大量的病毒、攻擊等垃圾流量。對于校園網(wǎng)用戶而言，網(wǎng)絡(luò)帶寬資源是有限的。如果不能很好地管理、控制好網(wǎng)絡(luò)流量，一方面將導(dǎo)致P2P應(yīng)用流量和網(wǎng)絡(luò)攻擊病毒等垃圾流量無限制搶占有限的網(wǎng)絡(luò)出口帶寬，從而無法保證網(wǎng)絡(luò)用戶關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量，另一方面，大量帶寬的無謂消耗，將大大增加網(wǎng)絡(luò)出口費(fèi)用的支出。

因此通過適當(dāng)?shù)木W(wǎng)絡(luò)流量管理控制技術(shù)，針對不同業(yè)務(wù)制定和實(shí)施相應(yīng)策略是解決帶寬增長與業(yè)務(wù)收益、網(wǎng)絡(luò)擴(kuò)容與用戶體驗(yàn)之間矛盾的關(guān)鍵所在。

2校園網(wǎng)絡(luò)出口流量分析

圖1是我校校園網(wǎng)絡(luò)未做任何網(wǎng)絡(luò)流量管理控制的出口帶寬的狀況。

根據(jù)對我校校園網(wǎng)出口流量的詳細(xì)分析，目前網(wǎng)絡(luò)出口流量具有如下特點(diǎn)：

2.1P2P應(yīng)用占據(jù)大量帶寬

P2P技術(shù)是計算機(jī)網(wǎng)絡(luò)的一次重大突破，它打破了C／S的流量模型。采用“無集中服務(wù)器”的模式，消除了服務(wù)器的瓶頸問題。因此，當(dāng)P2P軟件的出現(xiàn)，在文件下載、流媒體、VOIP語音等方面?zhèn)涫芫W(wǎng)絡(luò)技術(shù)人員和網(wǎng)絡(luò)用戶的追捧和青睞。由于P2P技術(shù)的特點(diǎn)，P2P應(yīng)用對網(wǎng)絡(luò)帶寬具有極強(qiáng)的搶占能力。P2P技術(shù)在互聯(lián)網(wǎng)上的應(yīng)用超過了Web而成為在流量上占據(jù)統(tǒng)治地位的新型應(yīng)用。根據(jù)圖1的統(tǒng)計分析，我們可以看出，目前網(wǎng)絡(luò)流量的60％以上都是P2P的應(yīng)用。主要的P2P應(yīng)用包括：Thunder(迅雷)、BitTorrent(BT)、eDonkey(電驢)等。

2.2關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量無法保證

Web瀏覽是校園網(wǎng)絡(luò)用戶的關(guān)鍵業(yè)務(wù)之一，Web瀏覽已經(jīng)成為網(wǎng)絡(luò)用戶獲取外部信息和進(jìn)行科研工作的重要手段和內(nèi)容。由于P2P應(yīng)用對帶寬的搶占。導(dǎo)致Web瀏覽速度大幅下降，進(jìn)而引起用戶強(qiáng)烈不滿。另外網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻、流媒體等業(yè)務(wù)對網(wǎng)絡(luò)質(zhì)量要求較高。傳輸過程中任何一個環(huán)節(jié)出現(xiàn)瓶頸，都會影響應(yīng)用的服務(wù)質(zhì)量。例如：網(wǎng)絡(luò)帶寬不足將導(dǎo)致網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻等應(yīng)用出現(xiàn)信號時斷時續(xù)的現(xiàn)象，讓用戶無法忍受。

2.3網(wǎng)絡(luò)安全受到威脅

網(wǎng)絡(luò)安全的形勢非常嚴(yán)峻，在過去的一年中。針對網(wǎng)絡(luò)安全的攻擊數(shù)量比前一年的兩倍還多。黑客攻擊手段越來越復(fù)雜。破壞程度越來越大。同時，加入黑客組織的門檻卻越來越低，因?yàn)楹诳凸ぞ咴絹碓较冗M(jìn)。操作越來越簡單。隨著黑客與病毒技術(shù)的發(fā)展加上計算機(jī)的性能大幅度提升，攻擊變得越來越難以控制。網(wǎng)絡(luò)攻擊、病毒等帶來的垃圾流量導(dǎo)致了網(wǎng)絡(luò)帶寬浪費(fèi)的同時也給網(wǎng)絡(luò)管理員帶來前所未有的挑戰(zhàn)。

3網(wǎng)絡(luò)流量應(yīng)用識別技術(shù)

為了對校園網(wǎng)絡(luò)出口流量進(jìn)行管理控制，首先必須能夠識別網(wǎng)絡(luò)流量的應(yīng)用類型。一般情況下，我們可以通過IP包頭中的“五元組”信息來確定當(dāng)前流量的基本信息，如源地址、目標(biāo)地址、協(xié)議類型、源端口號、目標(biāo)端口號。在傳統(tǒng)的網(wǎng)絡(luò)中，IP路由器也正是通過這一系列信息來實(shí)現(xiàn)一定程度的流量識別和QoS。但隨著網(wǎng)上應(yīng)用類型的不斷豐富。僅通過第四層端口信息已經(jīng)不能夠真正判斷流量中的應(yīng)用類，型，基于開放端口、隨機(jī)端口甚至采用加密方式進(jìn)行傳輸?shù)膽?yīng)用類型在目前的網(wǎng)絡(luò)中比比皆是。在這種情況下，傳統(tǒng)的流量識別和QoS控制技術(shù)顯得捉襟見肘。通過加大對網(wǎng)絡(luò)流量的監(jiān)控緯度，可以在一定程度上比較準(zhǔn)確地識別流量中的應(yīng)用類型。目前這一領(lǐng)域主要有深度報文檢測(Deep Papket Inspection，DPI)和深度流行為檢測(Deep Flow Inspection，DFI)兩大技術(shù)體系。

3.1深度報文檢測(DeepPacketInspection，DPI)

DPI是深度報文檢測(Deep Packet Inspection)的簡稱。是一種典型的應(yīng)用識別技術(shù)。DPI技術(shù)之所以稱為“深度”的檢測技術(shù)，是相對于傳統(tǒng)的檢測技術(shù)而言的。傳統(tǒng)的流量檢測技術(shù)僅獲取那些寄存在數(shù)據(jù)包網(wǎng)絡(luò)層和傳輸層協(xié)議頭中的基本信息，通過這些參數(shù)很難獲得足夠多的業(yè)務(wù)應(yīng)用信息。對于當(dāng)前P2P應(yīng)用、VOI P應(yīng)用、IPTV應(yīng)用被廣泛開展的情況，傳統(tǒng)的流量檢測技術(shù)已經(jīng)不能滿足網(wǎng)絡(luò)流量管理的需要了。

DPI技術(shù)對傳統(tǒng)的流量檢測技術(shù)進(jìn)行了“深度”擴(kuò)展，在獲取數(shù)據(jù)包基本信息的同時，對多個相關(guān)數(shù)據(jù)包的應(yīng)用層協(xié)議頭和協(xié)議負(fù)荷進(jìn)行掃描，獲取寄存在應(yīng)用層中的特征信息，對網(wǎng)絡(luò)流量進(jìn)行精細(xì)的檢查、監(jiān)控和分析。

DPI技術(shù)通常采用如下的數(shù)據(jù)包分析方法：

(1)傳輸層端口分析。許多應(yīng)用使用默認(rèn)的傳輸層端口號，例如HTTP協(xié)議使用80端口。

(2)特征字段匹配分析。一些應(yīng)用在應(yīng)用層協(xié)議頭，或者應(yīng)用層負(fù)荷中的特定位置中包含特征字段，通過特征字段的識別實(shí)現(xiàn)數(shù)據(jù)包檢查、監(jiān)控和分析。

(3)通信交互過程分析。對多個會話的事務(wù)交互過程進(jìn)行監(jiān)控分析，包括包長度、發(fā)送的包數(shù)目等，實(shí)現(xiàn)對網(wǎng)絡(luò)業(yè)務(wù)的檢查、監(jiān)控和分析。

3.2深度流行為檢測(Deep Row Inspection，DFI)

DFI是深度流行為檢測(Deep Flow Inspection)的簡稱，也是一種典型應(yīng)用識別技術(shù)。DFI技術(shù)是相對于DPI技術(shù)提出的，為了解決DPI技術(shù)的執(zhí)行效率、加密流量識別和頻繁升級等問題而出現(xiàn)的。DFI更關(guān)注于網(wǎng)絡(luò)流量特征的通用性，因此，DFI技術(shù)并不對網(wǎng)絡(luò)流量進(jìn)行深度的報文檢測，而僅通過對網(wǎng)絡(luò)流量的狀態(tài)、網(wǎng)絡(luò)層和傳輸層信息、業(yè)務(wù)流持續(xù)時間、平均流速率、字節(jié)長度分布等參數(shù)的統(tǒng)計分析，來獲取應(yīng)用類型、應(yīng)用狀態(tài)。

3.3兩種識別技術(shù)的比較

兩種技術(shù)的設(shè)計基本目標(biāo)都是為了實(shí)現(xiàn)應(yīng)用識別，但兩者在實(shí)現(xiàn)原理和技術(shù)細(xì)節(jié)方面都存在較大區(qū)別，下面我們從技術(shù)原理、技術(shù)成熟度、識別準(zhǔn)確度、識別精細(xì)程度、加密流量識別、系統(tǒng)處理能力等方面對兩種技術(shù)進(jìn)行比較。兩種技術(shù)的比較見表1。

從表1中我們可以看出，兩種技術(shù)互有優(yōu)勢，也互有缺陷，DPI技術(shù)適用于需要精細(xì)和準(zhǔn)確識別、精細(xì)管理的環(huán)境，而DFI技術(shù)適用于

需要高效識別、粗放管理的應(yīng)用環(huán)境。

4網(wǎng)絡(luò)流量管理控制技術(shù)在校園網(wǎng)中的應(yīng)用

通過網(wǎng)絡(luò)流量應(yīng)用識別技術(shù)區(qū)分出網(wǎng)絡(luò)流量里面各種不同的應(yīng)用類型，進(jìn)而可以采用QOS控制方法。根據(jù)應(yīng)用類型按策略轉(zhuǎn)發(fā)。為其提供不同的服務(wù)質(zhì)量。目前市場上主流的控制技術(shù)有三種：第一。以Packeteer為代表的基于TCP窗口整形的流控技術(shù)；第二，以Allot和Cisco為代表的基于隊列的流控技術(shù)；第三，以華為和GreenNet為代表的基于干擾的流控技術(shù)。這些技術(shù)和產(chǎn)品各有優(yōu)缺點(diǎn)，但都可以實(shí)現(xiàn)對應(yīng)用流量的最大、最小帶寬保障或阻斷等控制效果。

根據(jù)前面我們對校園網(wǎng)絡(luò)出口流量的分析，我們針對不同的應(yīng)用對網(wǎng)絡(luò)流量進(jìn)行了分類，然后制定和執(zhí)行相應(yīng)的策略。因?yàn)椴呗允歉鶕?jù)實(shí)際情況而制定的，因此也要根據(jù)不同需求進(jìn)行調(diào)整。根據(jù)我們的經(jīng)驗(yàn)。我們對策略的制定建議如下：

(1)對P2P應(yīng)用流量進(jìn)行分時段限制。我們知道P2P應(yīng)用是網(wǎng)絡(luò)帶寬的“暴力殺手”，因此。我們必須對P2P應(yīng)用流量進(jìn)行限制。在網(wǎng)絡(luò)應(yīng)用高峰期間，應(yīng)使P2P應(yīng)用流量占用帶寬不超過總帶寬的30％，在網(wǎng)絡(luò)空閑時間則放開對P2P應(yīng)用的限制。

(2)保障Web瀏覽(HTTP)等關(guān)鍵應(yīng)用帶寬。Web瀏覽是校園網(wǎng)絡(luò)用戶的關(guān)鍵業(yè)務(wù)之一。也是網(wǎng)絡(luò)用戶網(wǎng)速體驗(yàn)最直接的應(yīng)用。我們建議為其保障40％的出口帶寬，以保證用戶Web瀏覽的效果。

(3)過濾病毒和網(wǎng)絡(luò)攻擊流量。網(wǎng)絡(luò)攻擊、病毒等帶來的垃圾流量不僅危害我們的網(wǎng)絡(luò)安全，也浪費(fèi)了我們寶貴的網(wǎng)絡(luò)帶寬。根據(jù)病毒和網(wǎng)絡(luò)攻擊數(shù)量的應(yīng)用特征，過濾掉病毒和網(wǎng)絡(luò)攻擊造成的垃圾流量。

圖2是我校校園網(wǎng)絡(luò)在網(wǎng)絡(luò)流量管理控制技術(shù)應(yīng)用后的出口帶寬的現(xiàn)狀。

從圖2中我們可以看出，通過執(zhí)行以上流量管理策略，各類應(yīng)用都能夠得到較為合理的帶寬和保證，出口帶寬資源得到了高效利用。在網(wǎng)絡(luò)不是很繁忙的時段。放開P2P應(yīng)用：同時Web瀏覽等關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬也都得到專門保證。在網(wǎng)絡(luò)繁忙時段，則把P2P應(yīng)用限制在一定范圍之內(nèi)，優(yōu)先保證關(guān)鍵應(yīng)用的帶寬。另外。過濾了病毒和網(wǎng)絡(luò)攻擊流量，既節(jié)約了帶寬又提高了網(wǎng)絡(luò)安全性。

5小結(jié)和思考

流量管理控制技術(shù)目前的使用領(lǐng)域主要在于優(yōu)化帶寬使用，解決帶寬不合理占用，網(wǎng)絡(luò)擁塞、安全隱患等問題，以保障關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量和提高用戶上網(wǎng)體驗(yàn)。將來，流量管理控制技術(shù)將滲透到網(wǎng)絡(luò)的每一個環(huán)節(jié)，使未來網(wǎng)絡(luò)成為一個可以快速、高效。準(zhǔn)確識別網(wǎng)絡(luò)中業(yè)務(wù)流、提供區(qū)分服務(wù)的智能網(wǎng)絡(luò)。

在實(shí)際應(yīng)用中，技術(shù)發(fā)展、用戶滿意度和法律法規(guī)等諸多因素都會影響流量管理控制技術(shù)在校園網(wǎng)中的應(yīng)用。因此，對一些問題必須認(rèn)真思考。

(1)技術(shù)缺陷。技術(shù)從來都不是完美的，都有自身較為適用的環(huán)境，都需要不斷地發(fā)展完善。因此，在實(shí)際使用中選擇何種應(yīng)用識別技術(shù)，以及如何保證緊跟應(yīng)用技術(shù)發(fā)展的步伐。是每個網(wǎng)絡(luò)管理員必須面對的問題。流量管理控制技術(shù)的應(yīng)用勢必會對網(wǎng)絡(luò)造成一定的沖擊，那么如何更好地保證網(wǎng)絡(luò)的穩(wěn)定性和業(yè)務(wù)的連續(xù)性也是網(wǎng)絡(luò)管理員必須考慮的問題。

(2)用戶滿意度。流量管理控制技術(shù)的應(yīng)用必將影響到用戶對網(wǎng)絡(luò)資源的使用，高優(yōu)先級的用戶能夠得到較好的網(wǎng)絡(luò)應(yīng)用服務(wù)質(zhì)量保障，而對于普通用戶，網(wǎng)絡(luò)應(yīng)用流量的管理勢必影響到用戶隨意使用網(wǎng)絡(luò)資源的行為，這將會造成大多數(shù)普通用戶對校園網(wǎng)認(rèn)可度、滿意度下降，投訴率上升等負(fù)面影響。因此，在具體應(yīng)用中，需要認(rèn)真考慮實(shí)施策略、實(shí)施粒度等問題，及時把握用戶網(wǎng)絡(luò)使用感受。

(3)政策風(fēng)險。由于流量管理控制技術(shù)需要對網(wǎng)絡(luò)中的數(shù)據(jù)流量進(jìn)行深度的報文解析和數(shù)據(jù)挖掘，可能會涉及到個人隱私等法律法規(guī)問題，因此，網(wǎng)絡(luò)管理員在獲得網(wǎng)絡(luò)數(shù)據(jù)流特征信息的方式、用戶數(shù)據(jù)和用戶行為的挖掘深度，以及多維分析數(shù)據(jù)的合理利用方面都需要認(rèn)真仔細(xì)的加以思考，盡可能規(guī)避政策法規(guī)的風(fēng)險。