張雷

摘 要：以P2P技術(shù)為代表的網(wǎng)絡(luò)應(yīng)用在當(dāng)今網(wǎng)絡(luò)平臺上被廣泛應(yīng)用，使辦公資源網(wǎng)出帶寬變得相當(dāng)擁塞、網(wǎng)絡(luò)安全問題加劇。因此，有必要在網(wǎng)絡(luò)管理中引入流量控制技術(shù)。本文介紹了流量控制涉及到的流量識別和流量管理技術(shù)，在辦公資源網(wǎng)中引入流量控制技術(shù)，實現(xiàn)流量可視化管理。

關(guān)鍵詞：流量識別；流量控制；流量管理

1 前言

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，網(wǎng)絡(luò)平臺應(yīng)用越來越廣泛，網(wǎng)絡(luò)辦公已成為單位日常辦公的重要組成部分。對于一般性的辦公資源網(wǎng)（非設(shè)密性網(wǎng)絡(luò)）來說，承載的單位的OA系統(tǒng)、郵件系統(tǒng)、財務(wù)系統(tǒng)等辦公應(yīng)用系統(tǒng)，通過這些應(yīng)用來完成單位的標(biāo)準(zhǔn)化工作。與此同時在網(wǎng)絡(luò)中還運行著網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲等對網(wǎng)絡(luò)實時性有較高要求的應(yīng)用，出現(xiàn)了P2P（Peer to Peer）下載等對網(wǎng)絡(luò)帶寬搶占能力極強的應(yīng)用，而這些應(yīng)用通常是與日常辦公無關(guān)的，將辦公資源網(wǎng)的帶寬消耗掉，從而無法保證網(wǎng)絡(luò)用戶關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量。

因此通過適當(dāng)?shù)牧髁靠刂萍夹g(shù)，針對不同的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用制定出相應(yīng)的策略，保障關(guān)鍵應(yīng)用流暢運行的同時，解決帶寬增長與業(yè)務(wù)收益、網(wǎng)絡(luò)擴容與用戶體驗之間的矛盾。

2 一般性辦公資源網(wǎng)絡(luò)出口流量分析

通過對若干個未做任何流量控制的辦公資源網(wǎng)的出口帶寬進行監(jiān)測，發(fā)現(xiàn)如下情況：p2p應(yīng)用流量占出口流量65%、Internet占出口流量10%、IM即時通信占出口量流量5%、其他TCP/UDP協(xié)議占出口流量10%、流媒體占出口流量10%。

通過對上述網(wǎng)絡(luò)流量的詳細分析，這些網(wǎng)絡(luò)出口流量具有如下特點：

2.1 關(guān)鍵業(yè)務(wù)的運行質(zhì)量無法保障

基于WEB的OA及郵件系統(tǒng)是辦公資源網(wǎng)用戶的關(guān)鍵應(yīng)用之一，由于P2P應(yīng)用大量搶占帶寬資源，導(dǎo)致用戶無法及時同過OA和郵件系統(tǒng)收發(fā)信息，正常的辦公流程被中斷，幫工效率下降。另外單位的視頻會議系統(tǒng)對網(wǎng)絡(luò)質(zhì)量要求較高，傳輸過程中任何一個環(huán)節(jié)出現(xiàn)瓶頸，都會影響視頻會議的服務(wù)質(zhì)量。

2.2 P2P應(yīng)用消耗大量帶寬

P2P應(yīng)用依靠對等網(wǎng)絡(luò)技術(shù)傳輸數(shù)據(jù)，讓所有的客戶端都能提供資源。比如P2P下載軟件在下載文件的同時會將本機作為一臺種子資源，也就是說即使完成了文件下載，這臺主機仍然在占用網(wǎng)絡(luò)帶寬向外傳輸數(shù)據(jù)，網(wǎng)絡(luò)帶寬就這樣被悄悄地消耗著。

3 網(wǎng)絡(luò)流量識別

為了對辦公資源網(wǎng)中的流量進行控制，需要能夠識別網(wǎng)絡(luò)流量中存在哪些應(yīng)用。一般我們可以通過IP包頭的“五元組”信息來確定流量的基本信息。但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，許多網(wǎng)絡(luò)應(yīng)用已采用隨機端口、甚至采用加密傳輸，因此基于四層的流量識別技術(shù)無法準(zhǔn)確識別出應(yīng)用。目前常用的流量識別技術(shù)大致有如下三類：

⑴基于應(yīng)用層簽名的流量識別技術(shù)，通過對獲得的數(shù)據(jù)包進行解析和還原協(xié)議，進行特征字符串匹配，實現(xiàn)應(yīng)用級分類，借助于特征字符串的精確匹配，所以識別精度較高，可以為實施流量監(jiān)控策略提供準(zhǔn)確的信息。但是隨著應(yīng)用開始采用有效載荷加密技術(shù)，使得應(yīng)用層簽名特征的提取陷入困境。

⑵基于流量特征的應(yīng)用流量識別技術(shù)，利用應(yīng)用的流量特征，不需要解析和還原協(xié)議，也不需要分析具體的有效載荷，因此能夠識別未知的和加密的流量，同時算法的性能較高。

⑶基于雙重特征的應(yīng)用流量識別技術(shù)，它首先對流量進行基于優(yōu)先權(quán)的應(yīng)用層簽名特征匹配，然后用會話行為映射對第一步未識別出的流量進行相應(yīng)的判別。

4 網(wǎng)絡(luò)流量控制管理技術(shù)在辦公資源網(wǎng)中的應(yīng)用

通過網(wǎng)絡(luò)流量識別技術(shù)將網(wǎng)絡(luò)流量劃分成不同的應(yīng)用類型，從而可以采用QoS控制方法。根據(jù)不用的應(yīng)用策略對數(shù)據(jù)包進行轉(zhuǎn)發(fā)，為不同的應(yīng)用提供不同的服務(wù)質(zhì)量。目前有兩種主流的流量管理技術(shù)，TCP滑動窗口整形和隊列緩存。TCP協(xié)議使用一種滑動窗口的機制來控制數(shù)據(jù)包的傳輸，接收方主動通知對方它能接收多少數(shù)據(jù)量，讓遠端（發(fā)送方）主動降速，而非通過本地丟包實現(xiàn)降速，能夠避免產(chǎn)生大量的重傳數(shù)據(jù)包。但是TCP滑動窗口整形技術(shù)無法控制UDP報文。另外一種隊列緩存技術(shù)，其核心理念是建立很多管道（pipe），不同類型的流量對應(yīng)不同的管道，通過調(diào)整不同管道值的大小，讓各種流量有序的通過。因此，就流量管理技術(shù)來說，能夠?qū)CP滑動窗口整形技術(shù)和隊列緩存相結(jié)合，是比較完善的解決方案，無論什么樣的流量環(huán)境中，都可以取得良好的控制精度。

根據(jù)我們對若干個辦公資源網(wǎng)出口流量的分析，我們針對不同的應(yīng)用對網(wǎng)絡(luò)流量進行分類，依據(jù)不同的辦公需求制定出相應(yīng)的策略，建議將策略制定如下：⑴保障OA、郵件等辦公系統(tǒng)，將這些數(shù)據(jù)設(shè)定高優(yōu)先級，為其保障40%的出口帶寬。⑵WEB應(yīng)用作為用戶對網(wǎng)速體驗最直接的應(yīng)用，將以為其保障30%的出口帶寬。⑶對P2P應(yīng)用進行分類限制，封掉某些不常用的P2P下載及視頻軟件，保留一些常用的P2P軟件，并對這些P2P軟件實行流量限制，使其在辦公時段流量不超過總帶寬的30%、P2P的session不超過總session的10%，在非辦公時間則放開對P2P應(yīng)用的限制，使帶寬得到充分利用。

5 總結(jié)和思考

流量控制技術(shù)在辦公資源網(wǎng)中的使用起到了不錯的效果，解決帶寬不合理占用、網(wǎng)絡(luò)數(shù)據(jù)擁塞，使整個辦公資源網(wǎng)成為一個快速、高效、穩(wěn)定的網(wǎng)絡(luò)。但是同時網(wǎng)絡(luò)流量控制技術(shù)也存在一些問題，如技術(shù)缺陷，在識別網(wǎng)絡(luò)應(yīng)用上存在一定程度的誤判，從而影響到正常的應(yīng)用。同時由于流量控制技術(shù)需要對網(wǎng)絡(luò)中的數(shù)據(jù)流量進行分析，可能會涉及到數(shù)據(jù)隱私的問題，需要在相關(guān)的政策文件或得到授權(quán)的情況下進行。