校園網中網絡流量管理控制技術應用初探

胡　俊

摘要：以P2P為代表的網絡應用已經給當前校園網絡出口帶來了前所未有的沖擊，而這些問題產生的內在原因在于當前的網絡流量管理缺乏識別控制能力。因此，有必要在網絡流量管理中引入流基應用識別控制技術。本文簡單介紹了兩種網絡流量應用識別技術DPI和DFI，并對兩者進行了比較，然后對網絡流量管理控制技術在校園網中進行了實施和初步的研究，最后提出了在實際應用中需要思考的問題。

關鍵詞：網絡流量識別；網絡流量管理；網絡流量控制；深度報文檢測；深度流行為檢測

1前言

隨著互聯網的迅猛發展，寬帶網絡用戶急劇增加，新型網絡應用大量出現，導致網絡流量呈幾何數增長。從網絡應用的特點上來看，除了傳統的網頁瀏覽、收發電子郵件等數據應用之外，出現了網絡電話、網絡視頻、網絡游戲等對網絡實時性有較高要求的應用，出現了P2P(Peer to Peer)下載等對網絡帶寬搶占能力極強的應用。除此之外，網絡里面還充斥了大量的病毒、攻擊等垃圾流量。對于校園網用戶而言，網絡帶寬資源是有限的。如果不能很好地管理、控制好網絡流量，一方面將導致P2P應用流量和網絡攻擊病毒等垃圾流量無限制搶占有限的網絡出口帶寬，從而無法保證網絡用戶關鍵業務的服務質量，另一方面，大量帶寬的無謂消耗，將大大增加網絡出口費用的支出。

因此通過適當的網絡流量管理控制技術，針對不同業務制定和實施相應策略是解決帶寬增長與業務收益、網絡擴容與用戶體驗之間矛盾的關鍵所在。

2校園網絡出口流量分析

圖1是我校校園網絡未做任何網絡流量管理控制的出口帶寬的狀況。

根據對我校校園網出口流量的詳細分析，目前網絡出口流量具有如下特點：

2.1P2P應用占據大量帶寬

P2P技術是計算機網絡的一次重大突破，它打破了C／S的流量模型。采用“無集中服務器”的模式，消除了服務器的瓶頸問題。因此，當P2P軟件的出現，在文件下載、流媒體、VOIP語音等方面備受網絡技術人員和網絡用戶的追捧和青睞。由于P2P技術的特點，P2P應用對網絡帶寬具有極強的搶占能力。P2P技術在互聯網上的應用超過了Web而成為在流量上占據統治地位的新型應用。根據圖1的統計分析，我們可以看出，目前網絡流量的60％以上都是P2P的應用。主要的P2P應用包括：Thunder(迅雷)、BitTorrent(BT)、eDonkey(電驢)等。

2.2關鍵業務的服務質量無法保證

Web瀏覽是校園網絡用戶的關鍵業務之一，Web瀏覽已經成為網絡用戶獲取外部信息和進行科研工作的重要手段和內容。由于P2P應用對帶寬的搶占。導致Web瀏覽速度大幅下降，進而引起用戶強烈不滿。另外網絡游戲、網絡電話、網絡視頻、流媒體等業務對網絡質量要求較高。傳輸過程中任何一個環節出現瓶頸，都會影響應用的服務質量。例如：網絡帶寬不足將導致網絡電話、網絡視頻等應用出現信號時斷時續的現象，讓用戶無法忍受。

2.3網絡安全受到威脅

網絡安全的形勢非常嚴峻，在過去的一年中。針對網絡安全的攻擊數量比前一年的兩倍還多。黑客攻擊手段越來越復雜。破壞程度越來越大。同時，加入黑客組織的門檻卻越來越低，因為黑客工具越來越先進。操作越來越簡單。隨著黑客與病毒技術的發展加上計算機的性能大幅度提升，攻擊變得越來越難以控制。網絡攻擊、病毒等帶來的垃圾流量導致了網絡帶寬浪費的同時也給網絡管理員帶來前所未有的挑戰。

3網絡流量應用識別技術

為了對校園網絡出口流量進行管理控制，首先必須能夠識別網絡流量的應用類型。一般情況下，我們可以通過IP包頭中的“五元組”信息來確定當前流量的基本信息，如源地址、目標地址、協議類型、源端口號、目標端口號。在傳統的網絡中，IP路由器也正是通過這一系列信息來實現一定程度的流量識別和QoS。但隨著網上應用類型的不斷豐富。僅通過第四層端口信息已經不能夠真正判斷流量中的應用類，型，基于開放端口、隨機端口甚至采用加密方式進行傳輸的應用類型在目前的網絡中比比皆是。在這種情況下，傳統的流量識別和QoS控制技術顯得捉襟見肘。通過加大對網絡流量的監控緯度，可以在一定程度上比較準確地識別流量中的應用類型。目前這一領域主要有深度報文檢測(Deep Papket Inspection，DPI)和深度流行為檢測(Deep Flow Inspection，DFI)兩大技術體系。

3.1深度報文檢測(DeepPacketInspection，DPI)

DPI是深度報文檢測(Deep Packet Inspection)的簡稱。是一種典型的應用識別技術。DPI技術之所以稱為“深度”的檢測技術，是相對于傳統的檢測技術而言的。傳統的流量檢測技術僅獲取那些寄存在數據包網絡層和傳輸層協議頭中的基本信息，通過這些參數很難獲得足夠多的業務應用信息。對于當前P2P應用、VOI P應用、IPTV應用被廣泛開展的情況，傳統的流量檢測技術已經不能滿足網絡流量管理的需要了。

DPI技術對傳統的流量檢測技術進行了“深度”擴展，在獲取數據包基本信息的同時，對多個相關數據包的應用層協議頭和協議負荷進行掃描，獲取寄存在應用層中的特征信息，對網絡流量進行精細的檢查、監控和分析。

DPI技術通常采用如下的數據包分析方法：

(1)傳輸層端口分析。許多應用使用默認的傳輸層端口號，例如HTTP協議使用80端口。

(2)特征字段匹配分析。一些應用在應用層協議頭，或者應用層負荷中的特定位置中包含特征字段，通過特征字段的識別實現數據包檢查、監控和分析。

(3)通信交互過程分析。對多個會話的事務交互過程進行監控分析，包括包長度、發送的包數目等，實現對網絡業務的檢查、監控和分析。

3.2深度流行為檢測(Deep Row Inspection，DFI)

DFI是深度流行為檢測(Deep Flow Inspection)的簡稱，也是一種典型應用識別技術。DFI技術是相對于DPI技術提出的，為了解決DPI技術的執行效率、加密流量識別和頻繁升級等問題而出現的。DFI更關注于網絡流量特征的通用性，因此，DFI技術并不對網絡流量進行深度的報文檢測，而僅通過對網絡流量的狀態、網絡層和傳輸層信息、業務流持續時間、平均流速率、字節長度分布等參數的統計分析，來獲取應用類型、應用狀態。

3.3兩種識別技術的比較

兩種技術的設計基本目標都是為了實現應用識別，但兩者在實現原理和技術細節方面都存在較大區別，下面我們從技術原理、技術成熟度、識別準確度、識別精細程度、加密流量識別、系統處理能力等方面對兩種技術進行比較。兩種技術的比較見表1。

從表1中我們可以看出，兩種技術互有優勢，也互有缺陷，DPI技術適用于需要精細和準確識別、精細管理的環境，而DFI技術適用于

需要高效識別、粗放管理的應用環境。

4網絡流量管理控制技術在校園網中的應用

通過網絡流量應用識別技術區分出網絡流量里面各種不同的應用類型，進而可以采用QOS控制方法。根據應用類型按策略轉發。為其提供不同的服務質量。目前市場上主流的控制技術有三種：第一。以Packeteer為代表的基于TCP窗口整形的流控技術；第二，以Allot和Cisco為代表的基于隊列的流控技術；第三，以華為和GreenNet為代表的基于干擾的流控技術。這些技術和產品各有優缺點，但都可以實現對應用流量的最大、最小帶寬保障或阻斷等控制效果。

根據前面我們對校園網絡出口流量的分析，我們針對不同的應用對網絡流量進行了分類，然后制定和執行相應的策略。因為策略是根據實際情況而制定的，因此也要根據不同需求進行調整。根據我們的經驗。我們對策略的制定建議如下：

(1)對P2P應用流量進行分時段限制。我們知道P2P應用是網絡帶寬的“暴力殺手”，因此。我們必須對P2P應用流量進行限制。在網絡應用高峰期間，應使P2P應用流量占用帶寬不超過總帶寬的30％，在網絡空閑時間則放開對P2P應用的限制。

(2)保障Web瀏覽(HTTP)等關鍵應用帶寬。Web瀏覽是校園網絡用戶的關鍵業務之一。也是網絡用戶網速體驗最直接的應用。我們建議為其保障40％的出口帶寬，以保證用戶Web瀏覽的效果。

(3)過濾病毒和網絡攻擊流量。網絡攻擊、病毒等帶來的垃圾流量不僅危害我們的網絡安全，也浪費了我們寶貴的網絡帶寬。根據病毒和網絡攻擊數量的應用特征，過濾掉病毒和網絡攻擊造成的垃圾流量。

圖2是我校校園網絡在網絡流量管理控制技術應用后的出口帶寬的現狀。

從圖2中我們可以看出，通過執行以上流量管理策略，各類應用都能夠得到較為合理的帶寬和保證，出口帶寬資源得到了高效利用。在網絡不是很繁忙的時段。放開P2P應用：同時Web瀏覽等關鍵應用的網絡帶寬也都得到專門保證。在網絡繁忙時段，則把P2P應用限制在一定范圍之內，優先保證關鍵應用的帶寬。另外。過濾了病毒和網絡攻擊流量，既節約了帶寬又提高了網絡安全性。

5小結和思考

流量管理控制技術目前的使用領域主要在于優化帶寬使用，解決帶寬不合理占用，網絡擁塞、安全隱患等問題，以保障關鍵業務的服務質量和提高用戶上網體驗。將來，流量管理控制技術將滲透到網絡的每一個環節，使未來網絡成為一個可以快速、高效。準確識別網絡中業務流、提供區分服務的智能網絡。

在實際應用中，技術發展、用戶滿意度和法律法規等諸多因素都會影響流量管理控制技術在校園網中的應用。因此，對一些問題必須認真思考。

(1)技術缺陷。技術從來都不是完美的，都有自身較為適用的環境，都需要不斷地發展完善。因此，在實際使用中選擇何種應用識別技術，以及如何保證緊跟應用技術發展的步伐。是每個網絡管理員必須面對的問題。流量管理控制技術的應用勢必會對網絡造成一定的沖擊，那么如何更好地保證網絡的穩定性和業務的連續性也是網絡管理員必須考慮的問題。

(2)用戶滿意度。流量管理控制技術的應用必將影響到用戶對網絡資源的使用，高優先級的用戶能夠得到較好的網絡應用服務質量保障，而對于普通用戶，網絡應用流量的管理勢必影響到用戶隨意使用網絡資源的行為，這將會造成大多數普通用戶對校園網認可度、滿意度下降，投訴率上升等負面影響。因此，在具體應用中，需要認真考慮實施策略、實施粒度等問題，及時把握用戶網絡使用感受。

(3)政策風險。由于流量管理控制技術需要對網絡中的數據流量進行深度的報文解析和數據挖掘，可能會涉及到個人隱私等法律法規問題，因此，網絡管理員在獲得網絡數據流特征信息的方式、用戶數據和用戶行為的挖掘深度，以及多維分析數據的合理利用方面都需要認真仔細的加以思考，盡可能規避政策法規的風險。