跟着P2P类应用越来越强烈的加密趋向，传统的基于应用和谈数据特征的识别体例往往难以奏效，这就要乞降谈识别引擎能够对流量行为进行综合剖析，按照统计特征、毗连相关性等方面默示出来的蛛丝马迹判定应用的类型。　

跟着教育信息化历程的不竭加深，我国已建陋习模复杂的教育收集，为高校供给了优胜的接入前提。然而，日新月异的互联网应用吞噬着越来越多的带宽，校园网内终端接入数目也始终处于高速增添的态势，对高校收集的运维提出了新的挑战。在这种情形下，若何更合理地打点流量，为教科研使命供给更好的保障，成为各高校信息中心负责人普遍关注的问题。

面临洪流，最好的做法是自动疏浚沟通，而绝非被动封堵。现在，经由过程流控产物对应用流量进行梳理的做法已被普遍接管。在不少高校，流控产物都成为收集出口必不成少的设备，直接抉择着收集带宽的操作率及用户应用体验。经由持久跟踪剖析，笔者总结了一些流控产物在高校收集出口情形的评估经验与部署建议。

和谈识别走向立体化

众所周知，流控产物的工作机制与防病毒网关、IPS等平顺产物近似，首要依靠应用和谈的数据特征对流量的应用归属进行判定。它的焦点是和谈识别引擎，其权衡尺度搜罗识别率、误识别率、和谈种类和机能等。良多用户认为能够识此外和谈数目很是主要（厂商往往也乐于强调这一点），其实否则，流控产物在真实情形下的识别率步崆最主要的指标。这就好比防病毒网关，某些产物在规格表中发布的病毒签名数目只有几万条，但每一个签名都涵盖了统一病毒家族的所有变种，现实查杀能力甚至能超越其他一些标称内置数十万签名的产物。

跟着P2P 类应用越来越强烈的加密趋向，传统的基于应用和谈数据特征的识别体例往往难以奏效，这就要乞降谈识别引擎能够对流量行为进行综合剖析，按照统计特征、毗连相关性等方面默示出来的蛛丝马迹判定应用的类型。一些流控产物已经供给了这种启发式措置机制，可以与传统体例相配合，实现更好的流量节制效不美观。但按照流量的行为特征进行判定，也会在必然水平上增添应用和谈的误识别率，极端情形下甚至会影响到收集的连通性。所以当无法保证切确识别时，流控产物要给用户供给更正的手段，或将部门功能作为可选项进行交付。

应用和谈特征的更新响应速度也长短常主要的评估指标，在爆发式增添的互联网应用面前，业界所有厂商都竭尽全力地进行着越来越多的抓包、剖析、测试、更新工作。这种模式未来到底能坚持多久，谁也无法给出切确谜底。但年夜其他平顺产物的成长过程看，流控厂商也许要在手艺实现机制或运营模式方面试探新的道路。

成长中的流控手艺

流控产物自己就因流量节制的需求而生，成长至今已经斗劲成熟。但在不竭转变的应用需求面前，其功能与实现机制一向在进行调整，争夺更好的优化与管控效不美观。今朝，流控的焦点理念已年夜传统的节制下行流量成长到对上行流量的节制。前者虽然易于实现，但仅对TCP流量有必然的效不美观（如调整TCP Window）。对于UDP流量来说，这种体例非但效不美观不较着，且易发生流量差，对带宽资本造成极年夜的华侈。考虑到今朝占用带宽比例最年夜的收集视频和年夜都P2P下载应用都以UDP通信为主，流控产物必需应具有经由过程节制上行流量来压制下行流量的机制，年夜而减小流量差，提高带宽操作率。

当带宽资本严重时，流控产物凡是会采用丢包的体例来实现压缩流量的目的。在数据包的丢弃机制方面，今朝常见的有队列与非队列两种。队列体例相对斗劲传统，流控引擎会将数据包放入队列，然后由队列调剂器统一进行调剂，良多开源软件都采用了这种实现体例。这样做的益处是收集波动小一些，出格是TCP流量会加倍平缓，但对资本的占用相对较多，系统压力会增年夜。如不美观没有用到队列，流控引擎一般会采用TOKEN BUCKET机制。当TOKEN不够时，对当前数据包直接进行丢弃。其利益是系统压力小，占用资本少，根基上无延迟。总体来看，两种丢包机制各

有口角，但对于高校收集出口这种流量较年夜的应用场景来说，非队列模式显然更为合用。

总体节制可以对收集流量进行宏不美观打点，但无法解决单点流量过年夜而激发的公允性问题。是以要达到更好的流量节制效不美观，必需采用点面连系的打点思绪。这就要求流控产物在对出口流量进行整体梳理的同时，能够供给针对IP/IP群组的节制能力，维护必然水平的公允。此外，带宽保证/ 带宽借用也是流控产物中斗劲常见的功能。按照以往的实施经验来看，该功能在企业、网吧等出口带宽较小的场景中具有很好的优化效不美观，在高校、运营商等年夜流量情形中效不美观并不较着。

应用路由渐成主流

仅仅节制流量并不能完全解决问题，在前提许可的情形下，还需要自动疏浚沟通，以争夺更好的收集应用体验。斗劲常见的做法是将P2P下载、收集视频等非关头应用的流量分配到高带宽、低成本的线路上。这些应用的实现机制抉择了即即是在质量欠佳的链路情形下，仍能达到让人接管的效不美观。而视频会议、远程教学等关头应用的体验必需有所保障，它们应享用最好的链路资本。综上所述，应用路由已成为当今流控产物的尺度功能之一，未来必将获得年夜规模应用。高校中更是如斯。

今朝，流控产物凡是有3种实现应用路

由的部署模式，分袂为：

1. 针对分歧应用，打上分歧的DSCP标识表记标帜，路由器/防火墙按照DSCP做策略路由；

2. 针对分歧应用，实施分歧的源地址NAT，路由器/防火墙按照源地址做策略路由；

3. 庖代路由器/防火墙做接入，直接针对分歧应用做策略路由。

第一种体例实施起来斗劲简单，但笔者在良多部署中发现，可按照DSCP做策略路由的路由器/防火墙并不多。而根基上所有的路由器或防火墙都撑持基于源地址的策略路由，所以第二种体例更通用一些（当然这个通用是以增添流控产物负载为前提的）。第三种实现体例最简单，但对收集拓扑的改动斗劲年夜，设备也要承担最重的负载，今朝在高校中斗劲少见。不外流控产物与路由器/ 防火墙的融合趋向是斗劲较着的，相信未来第三种部署模式的比例会逐渐增添。个体高校今朝采用了为每条链路零丁配备流控产物的做法，这非但不能实现应用路由，对流量也缺乏整体感知与节制的能力，除非是极非凡的情形，否则不建议使用这种部署模式。

在启用应用路由时，还有两个主要的问题需要考虑。首先是分歧运营商之间的互通问题，年夜的门户或在线视频网站都有自己的DNS（CDN）负载平衡处事，经由过水平歧运营商的DNS 解析出来的地址必定有所差异。如不美观方针地址是电信IP，但经由应用路由河流量指向联通线路，那么非但不会起到优化效不美观，反而会降低应用体验。是以在良多情形下，应用路由需要搭配DNS重定向功能，如不美观将流量甩向联通的链路，就将DNS 请求经由过程联通的DNS 处事器解析，以获得正常的访谒效不美观。

其次是应用毗连的相关性问题。一些应用中，存在有单会话包含多条毗连的情形，如不美观其一一部门毗连走教育网，另一部门走其他运营商，轻则影响应用体验，重则会间断应用。这种情形对流控引擎提出了更高要求，只有子音前面提到过的基于应用和谈行为特征的判定机制，才能解决特征完整性的问题。不外，应用路由的成功率也并不等同于对应用的识别率，某些应用是处事端先发数据，难以实现分流。所以厂商在剖析、描述应用特征时，也要预先考虑到应用路由的需要。

协作：1+1>2的优化效不美观

流控产物部署在高校收集出口，对收支校园网的所有流量进行打点与优化，地位不亚于路由器与焦点交流机。虽然流量打点是其首要本能机能，但如不美观能够与其他设备协作，将会起到更好的优化效不美观，使其价值最年夜化。

今朝来看，最适合与流控产物进行搭配的当属Cache加速设备。借助应用路由，流控产物可以将高校收集出口流量中的特定应用及内容进行重定向（例如文件下载或Web视频应用），指向Cache加速设备。此时它就相当于Cache加速设备的一个客户，对终端用户而言是完全透明的。使用流控产物实现重定向和传统的基于端口的重定向的一个显著区别是，前者可以按照精准的应用识别结不美观，只转发Cache加速设备需要措置的流量，年夜而晋升了缓存系统的操作率与射中率，同时降低I/O与文件打点系统的压力，使其更“专心”地去做营业相关的工作。

另一个适合与流控产物协同工作的是审计系统。一般而言，审计系统需要经由过程交流机镜像端口获取数据。因为镜像而来的是所有流量，审计系统必需在领受所稀有据包的同时过滤失踪不在营业规模内的数据包，这一环节会占用不少的系统资本。流控产物可以操作其强年夜的和谈识别能力，将需要审计的应用流量（如HTTP，IM等）有选择地镜像给审计系统，这样就可以年夜年夜降低审计系统的压力，避免因为机能导致的审计不完整问题。

现实上，几乎所有浸染于特定营业的串行或旁路设备，都可以年夜流控产物的应用路由及应用流量镜像功能中受益。一些高校曾经因为机能问题拒绝了WAF或防病毒网关，经由剖析，其机能瓶颈很年夜水平上是因为不需要的I/O措置所造成，而非平扎营业。需要注重的是，应用路由及应用流量镜像的功能在流控产物上还不是很普及，它们的实现机制也会为设备带来额外的负载，对机能的影响斗劲年夜。所以建议教师们在进行评估选型的时辰，更多地依据现实情形中的测试结不美观做出判定。

文：http://bbs.netzone.com/forum.php?mod=vie

注：相关网站培植技巧阅读请移步到建站教程频道。