流量控制技术

流量控制技术（共6篇）

篇1：流量控制技术

2009年8月23-24日，下一代网络融合与发展中国峰会(CNCS)在北京京都信苑宾馆召开，会议由国家广播电视电影总局指导，中国广播电视协会，BIRTV组委会主办，中广互联，电信传播研究中心承办。新浪科技作为独家门户网络支持进行全程现场直播。

图为：下一代网络融合与发展中国峰会现场，AceNet公司中国区技术总监官宇演讲。

以下为实录：

官宇(AceNet公司中国区技术总监)：尊敬的嘉宾各位领导、专家上午好！

昨天论坛上蒋总说IP网络有两个突破，一个是QoS，另外一个是安全问题。AceNet公司主要的方向就是解决QoS和安全上的问题。

我的演讲主要分三个部分：

第一，给大家介绍一下目前流控技术在广电宽带运营商的应用情况和解决的问题。

第二，AceNet“流控墙”和“流量安全”概念。

第三，应用层流控技术在三网融合中应用的思考。

2005年以后互联网上出现了一个重要的应用，就是P2P的应用，给网络带来了非常大的影响。影响到底在哪儿？很多人都有不同的看法。我们作为一个专家的流控的厂商，针对P2P做了很多研究。P2P对网络构成最大的威胁在哪儿？因为用户网络的行为模型发生了变化，才会导致现在的网络拥塞。我们在之前看到所有的网络都是以客户端和服务器之间的交互，用这种访问模型去构建现在所有的网络。而且我们的网络产品也是基于这种模型去设计和建造的。P2P出现之后，所有网络的模型，用户和用户之间产生了非常大交互的数据量，这样就形成一个扁平网状的模型。这种模型现在我们构建出来的基于星形连接的模式是不适合P2P新的网络访问模型，这样就给整个网络带来非常大的灾难性的影响。

P2P时代到来了，带来什么问题和变化呢？每一个用户开启的应用程序越来越多了，单个用户的并发会话数越来越多，如果你开一个新浪的新闻，同时产生的并发会话会有100多个，但是这个会话很快在一两秒就结束了。但是如果P2P的用户，会在瞬间产生非常大的并发会话，而且这个并发会话持续非常长时间。我们做了很多统计，如果一个正常的用户开启P2P的流量，它的并发会话数长时间维持在4、5千。如果这个用户中了木马病毒，在向外发攻击的时候，我们在一个高校里截到最高的数据，一个单个的PC机产生的并发会话数有19000个，非常惊人。

另外，UDP报文比例迅速增加。过去UDP只是用来DNS解析用的，现在大量UDP报文被当作语音和视频，因为它不是面向连接，它传输的延迟非常小。所以大量的UDP报文做语音和视频实时交互的流量。很多地方统计UDP报文已经超过60%。五前年UDP在网络中的报文不超过20%，现在已经超过60%。

另外，小包比例特别高。几年前我们有一个统计数据，小包的比例只有大概不到20%。这是我们在北京的海淀宽带做的统计。小于128字节的报文已经超过了40%。大于1K的报文超过了35%。实际上根据报文的比例做一个分布，它是一个哑铃形的分布，大量的报文是小包，小包是用来传语音视频，还有TCP的握手信号、协商报文。

小包增加了以后给现在很多网络设备带来很大的影响和负担，这就是网络设备一个重要的性能指标，只看吞吐是不行的，要看包交换率。

现在很多广电运营商都在尝试用各种各样的流控技术来解决网络拥塞问题。实际上我们作为一个专业的流控厂商，凡是我们面对的用户全都有网络拥塞的问题，也不光是我们面对，还有很多我们没有面对，几乎所有的网络现在都有拥塞的问题。

拥塞的控制和流控的识别是什么，最早所谓第一代P2P的控制，通过防火墙、P2P常用的端口的封闭，来解决P2P网络的影响。但是很快发现不行，因为P2P会慢慢自己去改，很快用80的端口、25110的端口，根本没法封，不可能封。如果封了，邮件和外部访问就用不了。后面就会用专业的流控设备，基于应用层的特征字的方式去识别P2P的应用。但是很快就发现又不行，发现我们有加密的BT，迅雷原来不加密，后来也加密了。还有一些其它的像Skype整个就是加密，加密的流量怎么识别？你在关键字里再也破译不到特征字，在报文里过滤不到特征字，这时就需要升级专业的流控设备，就要通过行为特征的分析，去发现加密的BT应用、加密的P2P的应用。

控制手段现在应用最多的是用在线的方式，对识别的流量做带宽的控制或者带宽的保障。在电信里边有很多应用是旁路的方式，旁路的方式只能解决TCP，给TCP的报文，发现TCP的链接是需要阻断的话，它就向两边发包，通过旁路干扰的方式阻断这个链接。另外还有一种方式，通过修改TCP报文头中的滑窗参考的方式控制客户端和服务器之间的传输速率。这两种方式都是只能控制TCP的报文，现在网络中大量UDP的报文，用这两种方式是无能为力的。

另外，对单个用户使用的带宽做精确的控制，网络资源包括我们常说的带宽，还包括我刚才提到的并发会话数。对这两个要素做一个精确的控制，对缓解网络拥塞是有非常大的作用。

归根到底，P2P时代对网络的影响最大的问题是5%的用户占用了90%的网络资源。我们如果要是把这个问题解决好了，就会大量地缓解网络拥塞问题，我们是有很多实践的。我们之前在海淀宽带有一台设备，我们通过对用户的带宽和并发会话数的控制，达到了对网络出口带宽利用率的大幅度提升。在相同的带宽的情况下，对每一个IP占用的带宽和每一个IP使用最多的并发会话数做控制之后，同样的带宽、同样的资源，我们承载的并发用户数增加了几乎一倍。这从一个侧面去帮助运营商提升网络的利用率，帮助运营商挣到钱。

我们提出两个概念，一个是流控墙，另外一个是“流量安全”。这两个概念都是AceNet首先提出来的。为什么提出来流控墙呢？我们看一下传统的流控设备和防火墙之间到底存在什么问题。这里有一个最标准的部署模式，透明的流控设备和防火墙之间。流控设备部署在

防火墙里，这样防火墙本身和流控是不能交互的，没有任何交互。有一点，防火墙挂的DMZ区的流量，这个流量怎么管理和分析就存在很大问题。从内网访问DMZ区，我们可以通过流控做分析和控制。从外网访问DMZ区就不行。有把这根线从流控设备这边绕一圈，又存在一个问题，从内网访问DMZ区过了两遍，被统计了两遍。另外防火墙和流控设备不能互动，外面的状况发生改变，一条网络被拥塞堵得满满，你这边做带宽保证一点效果都没有。这边开视频会议，那边传一个大文件，把入口堵住，再做带宽保证没有用，会议还是没法开，甚至断了都不知道。

我们在实践过程中经常遇到内网产生攻击流量，大流量上来的时候，传统的流控设备都是X86、NP，两种情况，一种被打死，另外一种是直接把攻击流量通过。在最需要流控设备分析攻击流量来源的时候，你不负责任让它通过，这时就不知道来源了。对于网管来说，发现有异常流量来的时候，要找到异常流量来源的时候，在没有流控设备的时候是非常痛苦的事情，没有半天时间是查不到的。

另外一种部署模式，这是把流控设备部署在防火墙外边，这种部署模式同样DMZ区的流量访问控制解决不了，从内网来的访问DMZ区又不经过流控设备。

防火墙做了地址转换，你在流控里看不到原始IP，只能看到转换以后的IP，这时出现安全问题你没法定位。

传统的流控又不能支持负载均衡，如果要有多链路，跨接在上面解决不了问题，一条链路10%的负载，另外一条链路99%负载的时候，这个问题就解决不了。

另外，流控设备不是安全产品，它需要保护。我们经常看到这种部署模式的时候，在外边再加一个防火墙，我们叫做汉堡包方式，把流控设备还要再保护一下。

这都是我们说的防火墙和传统的流控设备不能互动造成的问题。AceNet提出了一个流控墙的概念，我们把防火墙、流量控制和多链路出口的负载均衡集成在一个芯片里边去解决这个问题，这种部署模式就把刚才我前面两张图里列举的防火墙和流控设备不能互动造成的问题全面地做了。AceNet最强的是我们把二层到七层的流量分析和控制用芯片来完成了，这个芯片非常大，大概有3000多万门芯片，全世界采用芯片的模式去解决流控问题，只有我们和思科公司，剩下都是采用X86的方式或者NP的方式。而且我们比思科强的地方是，我们把防火墙和负载均衡能力功能全部集成在这个芯片里边，思科只解决流控问题。

我们能够解决：P2P的问题、带宽保障的问题、安全问题、做地址转换、用户认证、审计。我们做的是一个多层次的流控，流控包括带宽，包括QoS，包括并发会话数，对这三个要素做一个综合的控制。

(图)这是我们能够识别和控制的一部分流量，一部分P2P的协议和AM的协议。其实迅雷大家现在用了很多，目前在网络中看到最大的流量就是迅雷，我们在很多高校里看到迅雷的流量几乎超过60%，迅雷对现在的网络影响非常大，严格意义上讲迅雷是流氓软件，虽然给大家带来了很多下载方面速率上的体验，非常好，但是它严格意义上讲是流氓软件。为什么？首先，它带来很大的安全隐患。你用迅雷在你自己的FTTP服务器上上传和下载的时候

会很快，比你直接去用FTTP工具访问快很多。但是只要用迅雷访问过一次，它就会把你的用户名和密码都记下来，记在迅雷的服务器上。以后再有人去访问这个文件的时候，再也不用去敲用户名和密码，都用你的用户名和密码去访问，你的这些私有信息在他那儿全都记下来了，会造成非常大的安全隐患。不知道你们注意过没有，去年年初有一个新闻地香港警察的卧底名单泄露了，谁干的呢？就是FOXY。FOXY在香港和台湾比较流行的一种P2P软件，跟迅雷差不多。P2P的软件都会带来很多安全隐患。

迅雷还流氓在什么地方呢？它在不跟你打招呼的情况下不断向外传东西，除非把迅雷关掉，否则你同时下载的东西都别别人分享，这是一般人不能忍受的，至少会影响计算机的性能，CPU负载会很高。

AceNet首先提出来一个流量安全的概念。传统的流控是流量的可视和流量的可控，我们又提出来流量的可追溯。为什么提出这个概念？我们实际上在实践的过程中，通过我们的流控设备发现了很多网络安全事件，我们第一时间发现了网络安全事件，并且定位了网络安全事件，而且还能追溯网络安全事件。南京师范大学有一次内网服务器中病毒，当时给全网都造成非常大的影响，跑得非常慢，通过我们的设备直接看到了这个异常的用户，这个服务器的并发会话数超过19000，影响非常大。老师直接通过我们的设备定位到这个服务器，一看IP就知道这个服务器。把这个服务器网线一拔掉，这个网络就安全了。这种事情太多，都是通过我们的设备解决网络安全问题。我们提出流量安全的概念。

(图)最重要的是我们的日志和审计的功能，这是我们非常强的地方。我们用芯片的方式把我们需要的日志打成UDP包送给日志服务器，这边流量再大都不会影响我生成日志的性能。所以，我们能够在非常大的大带宽底下解决日志审计的问题，这也就是我们去解决公安部82号令要求的地址转换日志，需要做地址转换日志的需求。像很多我们的运营商、高校都存在这个问题。虽然有82号令规定你要做地址转换日志，但是我没有这么高性能的设备能够解决这个问题。我们通过流控设备能够帮他去解决这个问题。我们把每一个并发会话数都做了日志，然后对它的URL外部访问都做了记录，FTTP、Email，甚至MSN的聊天内容都可以做记录。

(图)这是我们的基础数据，我们做地址转换以后的IP和端口都会把它记录下来，并且我们能够基于基层协议应用的事业，我们记住这是DP，这是迅雷，多长发起时间、结束时间、持续时间，都记录下来，这是我们的基础数据。通过这些数据我们可以做分析，可以看到流量的前十名，我们可以看到IP流量的构成，可以看到这个IP是迅雷，绝大多数流量都是迅雷。

(图)我们点击这个按纽可以看到访问的IP地址的分布，比如现在是杭州，我们知道杭州市的IP，我们还知道杭州以外浙江省的IP，我们还是国内的IP，还是国外的IP。另外，点击了这个图标之后，很重要我们能够看到三个图，一个是基于时间的单个IP带宽的占用情况、变化情况，我们可以看到这个IP在峰值的时候流量超过100M。我们可以看到这个图的并发会话数是根据时间发生变化，这个图是每秒新建连接数的变化情况。我们可以看到其实一个正常的用户，不是中病毒的情况，每秒新建连接数不到30次，非常少。但是一旦有

异常流量的时候，我们截到最高的图4000多个，不断向外发攻击。通过这三张图其实就可以定义一个用户的网络行为是不是异常。

我们点击前面一个图的小图标之后，我们还可以看到这一个用户迅雷这一种流量根据时间变化的情况。我们的统计是非常细致的，细致到什么程度？按照用户的话说，已经可以当分析仪用了。

黑名单的功能，可以自动把异常流量的用户放到黑名单里，黑名单可以自动惩罚。一个是要么让他断网。另外，要么把他的带宽和并发会话数压得很低，让它对网络影响非常小。这是针对异常流量用户的控制手段。如果用我们的web认证，会弹出一个小窗口，告诉这个用户已经进入黑名单，请你跟网管联系。

最后，我们在思考应用层的流控技术在现在讨论的三网融合中应该怎么去用的问题。

我们现在在讲三网融合实际上是建高速公路的情况，我们把一个高速公路建起来了，流控做的事情是给高速公路划线，给它设置各种交通的标志，给它设红绿灯。有些车能够上什么样的道路，必须是什么速度，哪些道路是不能上的，流控就是干这些事情，解决QoS的问题。

三网融合以后我们看到3T、3Tnet，在非常大带宽，在用户到了30M、50M的情况下、是不是还有流控问题呢？是一样的，现在绝对不能非常乐观地说我在做试验网的时候带宽非常大，根本就没有遇到过流控的问题，没有遇到过拥塞的问题，拥塞以后就不会在实际应用中出现，这个概念是不会的。就像我们在56K的情况下想象不到1M、2M带宽会拥塞，但是我们真正用到1M、2M带宽，大家遇到的拥塞时时刻刻都在体会、感受。当用户升级到30M同样存在着拥塞的问题。我们一定要考虑网络融合的时候，在设计标准、设计方案的时候就要考虑到流控的问题。

应用层的流控，这个技术能够给网络融合带来什么好处呢？实际上我们可以去识别出来你的各种各样增值的应用，对这些增值的应用有特殊的控制手段，然后给你带来非常多灵活的收费方式、定价方式，有各种各样的带宽保障，给它不同的贷款，甚至他实时要求特制的带宽，我们都可以用。另外，我们还可以及时发现网络异常行为，在大带宽的情况下，异常行为的用户对网络的影响就更大了。另外，我们需要在三网融合考虑应用层流控的时候需要注意的一些问题，一个就是它部署的位置。另外，选用的平台。因为带宽非常大，X86和NP的方式肯定不行。另外，考虑全网络QoS，另外一旦你应用到了可增值的流量，一定要非常容易识别的才行。流控要和日志认证结合，流控和网络安全系统结合。

(图)流控到底能干什么？我们的流控部署在这里，这边是宽带的接入用户，我们可以把这些流控的数据都统计记录在数据库里边。同时给这些用户分配一些帐号，我们可以通过前台的服务器，让用户访问，能够看到自己的流控。就像我们现在通过网站可以查询我们的手机话单、通话记录一样，可以随时查询我们自己流量的玖单。技术可以非常详细。

另外，我们可以让用户定制自己的报表，每周发一个报表还是每一个月发一个报表，让用户自己心里非常清楚自己的流量到底是什么样子。有机是三网融合以后，各种业务都多了，可以分业务地给各种各样的报表。

一旦有异常流量涌上来，我们可以第一时间通知用户，告诉现在有异常，是不是检查一下、杀一下毒，给用户非常好的体验。

以后可能流控用得越来越多，还有更多的应用方式，也是大家集思广益。

篇2：流量控制技术

数字流量计采用微处理控制技术 摘要：Instrument tenacity bad instrument maintenance amount is large, has a good market demand and carry huge potential.Is the movement of the belt opening possessions of the critical link.So reliability is high, the instrument firmly of non-direct stakeholders to use the limitations of the instrument, the inst 对流量丈量的正确传感器内叶轮凭借于液体的动能而改变。在家制作现场，度与规模要求越来越高，存在计量切确，阻挠市场发展。价值往往成为决定采购举止的最首要决意成分。With the impeller sensors in kinetic energy of the fluid is changed.Home production site for flow measurement accuracy and scale of increasingly high demand, there are indeed cutting measure, obstruct market development.Value often become the most important purchasing decisions and behavior determined ingredients.bs918.cn叶轮叶片使检出摆设中的磁路磁阻发生发火周期性转变，额外是在能源危急、工业生制作被动化水平越来越高确当今时代，流量计量是计量科学技术的造成局部之一，对气体流量进行智能化测量，几回再三性高，做好这一工作，竞争无比猛烈。导致制作品创新性不敷，在家当现场，携带利便，只管即便降低能耗，计量是财出产生产的眼睛。做好这一工作，把持简练，耗电低等特性。生出产商更多关注价值策略，为了顺应多种用场，尤此中国，因而，很普遍。以晋升工场的进程管束机能。普遍运用于煤油天然气、石油化工、水处置惩处、食品饮料、制药、动力、冶金、纸浆造纸与建筑质料等行业。在煤油自然气与动力行业，少量的投资被用于抬举工厂的踊跃化水平与现场数据的收罗和实时监控，对保障出产风致量、提高生制造屈服、促退科学武艺的进行都存在需要的作用，是制作业测量中最重要的仪表之一。测量流体流量的仪表统喻为流量计或流量表。跟着工业的进行，对保障制造品质量、行进生制作机能、推动科学技术的进行都具备需要的作用，经缩小器缩小后远传输入。

篇3：计算机网络流量控制技术探讨

关键词：计算机,网络流量,控制技术

当前, 网络规模不断扩大, 网络结构越发复杂, 这给网络运作与管理带来了沉重的负担, 网络管理效果对于网络运行质量有直接影响, 而如何采取有效措施加强网络流量控制, 提升网络运行质量是当前急需解决的重要问题。

一、计算机网络流量概述

互联网的飞速发展在极大程度上丰富了网络业务, 当前, 互联网已经发展成为承载多类用户、多种业务的公共信息传输平台, 但由于各种因素的影响, 对于网络资源的监督管理仍有一定缺陷。网络流量是进行网上业务的基本载体, 网络流量结果能够反映出网络性能好坏, 同时也会对网络性能产生直接影响, 从而制约互联网的正常使用, 由此也就难以顺利开展网络业务, 影响到人们的上网积极性。针对此种情况, 需要对计算机网络流量加以控制, 以优化网络性能, 提升网络流量监控质量, 从而更好的满足网络业务开展需求。

二、计算机网络流量控制技术

(1) 流量分类控制技术。在网络流量的传输过程中, 由于网络业务对于网络流量的需求量不同, 因此也就导致对其进行控制的流量也有所不同, 流量分类控制技术主要是指根据数据包信息索引相应的分类器, 并依照匹配规则对数据包进行分类区别, 最后得出不同数据包信息所需要的流量服务等级, 并转发给引擎, 由引擎根据分类结构进行相应的流量分类处理, 以满足用户需求, 如浏览网页与观看视频所需的流量大小不同, 通过实施流量分类控制技术, 能够传输不同等级的流量, 以满足浏览与观看需求。网络服务实施数据包分类主要包括防火墙访问、业务账单及策略路由等。在实施流量分类控制技术的过程中, 应当注重对数据包信息的筛选处理, 如果是恶意攻击信息, 应当及时清除, 以免进入端口, 造成计算机网络瘫痪, 制约正常的网络运行。 (2) 队列调度控制技术。在互联网运行过程中, 如果某一个输出端口的分组达到速率比数出端口的分组速率快, 则会出现网络堵塞的情况, 这就需要队列调度模式对网络堵塞进行有效控制。队列调度主要是指为不同服务类提供输出端口的带宽, 通过对这些带宽进行队列调度处理, 能够加强服务类对链路带宽占用的管理控制。当队列出现堵塞时, 能够快速确定该丢弃哪一个分组来控制既定数量, 一次实现对有限的网络资源也就是分组缓冲器的占用控制。通过采用合理的控制措施, 能够避免过多占用链路带宽和分组缓冲器, 以解决拥堵问题, 提升网络运行性能, 满足网络业务需求。 (3) 流量整形控制技术。流量整形主要是指针对某些数据流率起伏较大, 不适合直接接入网络的数据信息进行数据流整形处理, 如常用的令牌桶或者是漏桶, 都是先实施流量整形, 然后进入网络运行。在日常运行过程中, 此种控制技术也会在平滑网络传输中进行业务流传输管理, 这样能够避免拥堵情况的发生。流量整形控制技术的应用首先需要对网络运营流量进行监测和统计, 并采取科学的计算方法得出流量控制模型, 最后根据模型对各个端口的流量传输进行有效控制, 对于其中不适合进入网络的数据信息进行整形处理, 以满足端口接入需求, 达到控制流量堵塞的目的。流量整形控制计算方法主要包括队列管理算法、及队列存储器对通过控制队列的平均深度进行控制, 以避免堵塞发生。队列调度算法, 主要通过输出端口所发送的分组对有限输出端口带宽进行控制的分配方法。自适应队列调度算法ADWRR算法, 对带宽分配进行精确计算, 并支持服务区分功能, 并且能够实现流量控制的计算方法, 从而实现流量接入端口的顺利运行, 避免端口出现拥堵情况。

三、结束语

计算机技术的广泛应用对于互联网业务的开展提出了更高的要求, 由此也就对于计算机网络流量控制技术提出了更高的要求, 因此, 在未来的发展过程中, 应当加强计算机网络流量的影响因素分析, 并积极采取各种有效的计算机流量控制技术, 以实现对互联网运行的合理控制, 从而更好的满足计算机网络运行要求, 并实现运行可靠性及安全性的不断提升, 也有效降低运行成本, 为我国的社会主义经济发展做出更大贡献。

参考文献

[1]郭长金.基于网络流量控制策略的研究与实现[J].微计算机信息.2011 (30)

[2]高益, 黄俊伟.网络流量控制的分析与设计[J].北京电子科技学院学报.2012 (02)

篇4：流量控制技术

关键词：网络流量识别；网络流量管理；网络流量控制；深度报文检测；深度流行为检测

1前言

随着互联网的迅猛发展，宽带网络用户急剧增加，新型网络应用大量出现，导致网络流量呈几何数增长。从网络应用的特点上来看，除了传统的网页浏览、收发电子邮件等数据应用之外，出现了网络电话、网络视频、网络游戏等对网络实时性有较高要求的应用，出现了P2P(Peer to Peer)下载等对网络带宽抢占能力极强的应用。除此之外，网络里面还充斥了大量的病毒、攻击等垃圾流量。对于校园网用户而言，网络带宽资源是有限的。如果不能很好地管理、控制好网络流量，一方面将导致P2P应用流量和网络攻击病毒等垃圾流量无限制抢占有限的网络出口带宽，从而无法保证网络用户关键业务的服务质量，另一方面，大量带宽的无谓消耗，将大大增加网络出口费用的支出。

因此通过适当的网络流量管理控制技术，针对不同业务制定和实施相应策略是解决带宽增长与业务收益、网络扩容与用户体验之间矛盾的关键所在。

2校园网络出口流量分析

图1是我校校园网络未做任何网络流量管理控制的出口带宽的状况。

根据对我校校园网出口流量的详细分析，目前网络出口流量具有如下特点：

2.1P2P应用占据大量带宽

P2P技术是计算机网络的一次重大突破，它打破了C／S的流量模型。采用“无集中服务器”的模式，消除了服务器的瓶颈问题。因此，当P2P软件的出现，在文件下载、流媒体、VOIP语音等方面备受网络技术人员和网络用户的追捧和青睐。由于P2P技术的特点，P2P应用对网络带宽具有极强的抢占能力。P2P技术在互联网上的应用超过了Web而成为在流量上占据统治地位的新型应用。根据图1的统计分析，我们可以看出，目前网络流量的60％以上都是P2P的应用。主要的P2P应用包括：Thunder(迅雷)、BitTorrent(BT)、eDonkey(电驴)等。

2.2关键业务的服务质量无法保证

Web浏览是校园网络用户的关键业务之一，Web浏览已经成为网络用户获取外部信息和进行科研工作的重要手段和内容。由于P2P应用对带宽的抢占。导致Web浏览速度大幅下降，进而引起用户强烈不满。另外网络游戏、网络电话、网络视频、流媒体等业务对网络质量要求较高。传输过程中任何一个环节出现瓶颈，都会影响应用的服务质量。例如：网络带宽不足将导致网络电话、网络视频等应用出现信号时断时续的现象，让用户无法忍受。

2.3网络安全受到威胁

网络安全的形势非常严峻，在过去的一年中。针对网络安全的攻击数量比前一年的两倍还多。黑客攻击手段越来越复杂。破坏程度越来越大。同时，加入黑客组织的门槛却越来越低，因为黑客工具越来越先进。操作越来越简单。随着黑客与病毒技术的发展加上计算机的性能大幅度提升，攻击变得越来越难以控制。网络攻击、病毒等带来的垃圾流量导致了网络带宽浪费的同时也给网络管理员带来前所未有的挑战。

3网络流量应用识别技术

为了对校园网络出口流量进行管理控制，首先必须能够识别网络流量的应用类型。一般情况下，我们可以通过IP包头中的“五元组”信息来确定当前流量的基本信息，如源地址、目标地址、协议类型、源端口号、目标端口号。在传统的网络中，IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS。但随着网上应用类型的不断丰富。仅通过第四层端口信息已经不能够真正判断流量中的应用类，型，基于开放端口、随机端口甚至采用加密方式进行传输的应用类型在目前的网络中比比皆是。在这种情况下，传统的流量识别和QoS控制技术显得捉襟见肘。通过加大对网络流量的监控纬度，可以在一定程度上比较准确地识别流量中的应用类型。目前这一领域主要有深度报文检测(Deep Papket Inspection，DPI)和深度流行为检测(Deep Flow Inspection，DFI)两大技术体系。

3.1深度报文检测(DeepPacketInspection，DPI)

DPI是深度报文检测(Deep Packet Inspection)的简称。是一种典型的应用识别技术。DPI技术之所以称为“深度”的检测技术，是相对于传统的检测技术而言的。传统的流量检测技术仅获取那些寄存在数据包网络层和传输层协议头中的基本信息，通过这些参数很难获得足够多的业务应用信息。对于当前P2P应用、VOI P应用、IPTV应用被广泛开展的情况，传统的流量检测技术已经不能满足网络流量管理的需要了。

DPI技术对传统的流量检测技术进行了“深度”扩展，在获取数据包基本信息的同时，对多个相关数据包的应用层协议头和协议负荷进行扫描，获取寄存在应用层中的特征信息，对网络流量进行精细的检查、监控和分析。

DPI技术通常采用如下的数据包分析方法：

(1)传输层端口分析。许多应用使用默认的传输层端口号，例如HTTP协议使用80端口。

(2)特征字段匹配分析。一些应用在应用层协议头，或者应用层负荷中的特定位置中包含特征字段，通过特征字段的识别实现数据包检查、监控和分析。

(3)通信交互过程分析。对多个会话的事务交互过程进行监控分析，包括包长度、发送的包数目等，实现对网络业务的检查、监控和分析。

3.2深度流行为检测(Deep Row Inspection，DFI)

DFI是深度流行为检测(Deep Flow Inspection)的简称，也是一种典型应用识别技术。DFI技术是相对于DPI技术提出的，为了解决DPI技术的执行效率、加密流量识别和频繁升级等问题而出现的。DFI更关注于网络流量特征的通用性，因此，DFI技术并不对网络流量进行深度的报文检测，而仅通过对网络流量的状态、网络层和传输层信息、业务流持续时间、平均流速率、字节长度分布等参数的统计分析，来获取应用类型、应用状态。

3.3两种识别技术的比较

两种技术的设计基本目标都是为了实现应用识别，但两者在实现原理和技术细节方面都存在较大区别，下面我们从技术原理、技术成熟度、识别准确度、识别精细程度、加密流量识别、系统处理能力等方面对两种技术进行比较。两种技术的比较见表1。

从表1中我们可以看出，两种技术互有优势，也互有缺陷，DPI技术适用于需要精细和准确识别、精细管理的环境，而DFI技术适用于

需要高效识别、粗放管理的应用环境。

4网络流量管理控制技术在校园网中的应用

通过网络流量应用识别技术区分出网络流量里面各种不同的应用类型，进而可以采用QOS控制方法。根据应用类型按策略转发。为其提供不同的服务质量。目前市场上主流的控制技术有三种：第一。以Packeteer为代表的基于TCP窗口整形的流控技术；第二，以Allot和Cisco为代表的基于队列的流控技术；第三，以华为和GreenNet为代表的基于干扰的流控技术。这些技术和产品各有优缺点，但都可以实现对应用流量的最大、最小带宽保障或阻断等控制效果。

根据前面我们对校园网络出口流量的分析，我们针对不同的应用对网络流量进行了分类，然后制定和执行相应的策略。因为策略是根据实际情况而制定的，因此也要根据不同需求进行调整。根据我们的经验。我们对策略的制定建议如下：

(1)对P2P应用流量进行分时段限制。我们知道P2P应用是网络带宽的“暴力杀手”，因此。我们必须对P2P应用流量进行限制。在网络应用高峰期间，应使P2P应用流量占用带宽不超过总带宽的30％，在网络空闲时间则放开对P2P应用的限制。

(2)保障Web浏览(HTTP)等关键应用带宽。Web浏览是校园网络用户的关键业务之一。也是网络用户网速体验最直接的应用。我们建议为其保障40％的出口带宽，以保证用户Web浏览的效果。

(3)过滤病毒和网络攻击流量。网络攻击、病毒等带来的垃圾流量不仅危害我们的网络安全，也浪费了我们宝贵的网络带宽。根据病毒和网络攻击数量的应用特征，过滤掉病毒和网络攻击造成的垃圾流量。

图2是我校校园网络在网络流量管理控制技术应用后的出口带宽的现状。

从图2中我们可以看出，通过执行以上流量管理策略，各类应用都能够得到较为合理的带宽和保证，出口带宽资源得到了高效利用。在网络不是很繁忙的时段。放开P2P应用：同时Web浏览等关键应用的网络带宽也都得到专门保证。在网络繁忙时段，则把P2P应用限制在一定范围之内，优先保证关键应用的带宽。另外。过滤了病毒和网络攻击流量，既节约了带宽又提高了网络安全性。

5小结和思考

流量管理控制技术目前的使用领域主要在于优化带宽使用，解决带宽不合理占用，网络拥塞、安全隐患等问题，以保障关键业务的服务质量和提高用户上网体验。将来，流量管理控制技术将渗透到网络的每一个环节，使未来网络成为一个可以快速、高效。准确识别网络中业务流、提供区分服务的智能网络。

在实际应用中，技术发展、用户满意度和法律法规等诸多因素都会影响流量管理控制技术在校园网中的应用。因此，对一些问题必须认真思考。

(1)技术缺陷。技术从来都不是完美的，都有自身较为适用的环境，都需要不断地发展完善。因此，在实际使用中选择何种应用识别技术，以及如何保证紧跟应用技术发展的步伐。是每个网络管理员必须面对的问题。流量管理控制技术的应用势必会对网络造成一定的冲击，那么如何更好地保证网络的稳定性和业务的连续性也是网络管理员必须考虑的问题。

(2)用户满意度。流量管理控制技术的应用必将影响到用户对网络资源的使用，高优先级的用户能够得到较好的网络应用服务质量保障，而对于普通用户，网络应用流量的管理势必影响到用户随意使用网络资源的行为，这将会造成大多数普通用户对校园网认可度、满意度下降，投诉率上升等负面影响。因此，在具体应用中，需要认真考虑实施策略、实施粒度等问题，及时把握用户网络使用感受。

篇5：流量控制技术

作者:admin 时间:2011-8-31 15:15:18 浏览:

做无线上网卡三年多，经历了太多太多的用户因为钻入运营商的流量计费黑洞而血本无归，1000多元钱的包年上网卡有的只用了几个月就欠费几百元甚至上千元，真是欲哭无泪啊！特别是3G开通以后，网速的大大加快在大大提高用户上网体验的同时，流量也消耗的象自来水一样快，12月份就有2个购买3000M流量年卡的朋友到1月底欠费800多元，我也替用户痛心啊！

接下来就为大家介绍一下关于无线上网卡流量问题，以及介绍如何控制网络流量节省费用的技巧。

熟悉无线上网卡流量计费问题 准确把握每月GPRS流量开销和花费

无线上网卡流量Q：

最近发现电信部分GPRS上网费用比自己计算的要高很多，不知道所谓的GPRS流量是如何计算的？是只计算接收数据还是接收与发送数据一起计算呢？如果接收和发送之和来计算的话岂不是双向收费，从而存在重复收费的问题呢？另外也希望能够推荐一两款流量计算的工具，帮助我来准确的把握每月GPRS流量上的开销和花费。

无线上网卡流量A：

由于目前我国很多电信运营商都提供了广域网无线接入服务，用户通过诸如GPRS，CDMA，EDGE 等标准网络完成接入操作，从而实现了随时随地的无线上网。不过目前大部分广域网无线服务都没有提供包月服务，即用户可以无流量限制，无时间限制的上网，而衡量无线上网资费标准一般是通过流量计算。这样本文开头那位网友提出的问题就直接与经济挂钩了。

无线上网卡流量Q：

那么平时我们所谓的按照流量计算到底是如何衡量的呢？

无线上网卡流量A：

众所周知我们无线上网卡与外部网络站点或用户通讯是双先向的，一方面我方要向对方发送数据，而同一时间我方还要从对方接收其发来的数据。比较准确的计算流量的说法是包括接收数据与发送数据，两者之和是流量的总数，而交费也是按照这个流量总数交纳的。

一般我们在手机进行GPRS访问或者无线上网卡连接笔记本上网时都能够看到无线上网卡对应的分组数据信息，包括发送字节数以及接收字节数，我们将这两者求和就是电信部分计费的依据。

不过还有一点需要笔者特别提醒的，很多读者在使用手机连接GPRS网络访问时是通过手机自带的流量显示作为依据的，实际上这是不准确的，一般来说大部分手机特别是Nokie上的数据都不准确，会比实际的多一点。最好的办法是打10086或者其他服务提供商的技术支持热线电话查询。

如何控制网络流量 节省成本

一、无线上网流量控制高级技巧

说实话，运营商在3G网速下按流量计费的模式真的就是抢钱啊，在上网过程中，可以说相当一部分流量消耗对用户来说都是无效的，浪费的，那我们用户在没有办法改变运营商计费模式的现实环境下，该如何充分利用我们花血汗钱买来的金贵流量呢，难道就只能任人宰割吗？答案是否定的，我们无法完全控制自己的流量消耗，但是我们可以尽量减少不必要的流 1

量消耗，下面是宜兴家园3G无线上网旗舰店多年经验的结晶，希望对我们的客户有帮助，大大延长你的流量卡的上网时间。

1、浏览器的使用过程如何节省流量

我们知道，现在的网页充斥了大量的多媒体元素和视频信息，这些都是流量消耗的大户，我们该怎么减少这方面的流量消耗呢？（下面以IE流量器为例讲述）

当我们打开浏览器，看到上面的熟悉界面，流量就哗啦哗啦的在消耗了，请选择工具菜单下的Internet选项；点选“高级”，并拉动滚动条到多媒体部分，建议取消“动画”“声音”“视频”三个选项的勾选，甚至你可以取消“显示图片选项”。

2、杀毒软件和安全软件的节约流量方法。（以360杀毒软件为例）

打开杀毒软件的主界面，点击右上角的“设置”，出现的界面里选择“关闭自动升级，每次升级时提醒我”，这样升级病毒库的流量就没有了，你可以在有线宽带连接时手动升级。

3、QQ等即时聊天软件如何节约流量

QQ聊天其实是一个流量很小的应用，一般不会超过4M/小时，那为什么我们还要拿来说呢？因为很多用户加了很多很多的QQ群，而QQ群在你没有发觉的情况下不知不觉的消耗你宝贵流量，建议用户做如下操作，减少QQ群的流量消耗。右键点击你加的任意QQ群，选择群消息设置中的屏蔽群内图片。那样我们一般可以节约大约5M左右流量一个小时，当然对于重要的群，你也没有必要做如上操作，可以酌情处理。

4、最重要的当然放最后了，感谢你能用心看到最后。

大家知道什么东西最消耗流量吗？答案如下：视频下载BT P2P

所以如果你经常需要视频，下载，BT，P2P的请远离流量计费卡，选择时间计费卡吧！使用流量卡关键的关键是如何使上面4个吃流量的巨头不在你的电脑里偷偷运行，先看看你的电脑右下角。

我的电脑的右下角，很多软件在自动运行吧，但是，我们绝不允许上面四类软件在右下角存在，他们是流量吸血鬼，一定要注意，什么迅雷，暴风影音，PPLIVE，超级旋风，等等软件，一般都会不知不觉占据你的电脑右下角，这些软件不是说你不用就没有流量产生，而是悄悄的在学雷锋，你的带宽空闲时会贡献给互联网上其他朋友使用的，在有线宽带下，我们做做雷锋也没事，反正不限流量，无线上网可不同了，那是要钱的，注意！注意！！注意！！，虽然软件种类很多，宜兴家园没法一一类举他们的详细方法，但是一个原则，绝对不能让它们在后台自动运行，绝不允许。

二、你不用电脑也巨量消耗流量的软件

(请一定不能让他们自动运行)

1、P2P视频软件（基于带宽共享原理，你不用你的流量也会给网上其他用户使用）PPS网络电视(PPStream)

风行

快播(qvodPlayer)

PPLive网络电视

UUSee网络电视

STTV-视通卫星网络电视

PPS网络视频

龙卷风网络收音机

PPLive网络电视(PPTV)

皮皮播放器

PPFull聚合网络电视

QQLive网络电视

QTV免费网络电视电影

CCTVBox

SopCast

我爱看电视P2P网络电视

2、P2P下载控制软件（基于带宽共享原理，电脑开着你的机器就是服务器，给别人下载）迅雷(Thunder)

快车FlashGet

维棠FLV视频下载软件

网页迅雷(Web迅雷)

untmine汉魅

谷歌卫星地图下载器

eMule VeryCD

云端软件平台

easyMule(VeryCD电驴)

QQ旋风

狂雷高清FLV视频下载

网络蚂蚁

BT仓库

软件众多，没法一一列举，请注意一点，如果流量监控软件的上传流量在1-2分钟内稳定在20-100KB，那你就需要仔细检查你的电脑了，以上垃圾软件已经在你的电脑中不知不觉自动运行，你在做雷锋，电信运营商收你的钱。

篇6：Cisco路由器流量控制实例

说明：

一家子公司使用2M专线上网，内部网段为192.168.23.0/24(普通员工)和192.168.24.0/24(总经办所在的VLAN)，其中路由器IP地址为：192.168.23.1，内部cisco3560交换机IP为：192.168.23.254。现需要作流量控制，使总经办的流量比较优先，并优先传送一些声音与视频及网管流量。其它的服务如：smtp、pop3及ftp等为低优先级，并禁止bt下载等。

配置如下：

Current configuration : 3590 bytes

!

!

version 12.3

service timestamps debug datetime

service timestamps log datetime

service password-encryption

!

hostname xxxxxx

!

enable secret 5 $44adf#dfdfj090$on

!

clock timezone China 8

ip subnet-zero

no ip source-route

ip cef

!

!

ip name-server 192.168.23.2

ip name-server x.x.x.x

!

no ip bootp server

!

ip nbar pdlm flash:bittorrent.pdlm

class-map match-any premium_class

description For premium

match protocol http

match protocol icmp

match protocol netshow

match protocol pcanywhere

match protocol realaudio

match protocol secure-http

match access-group 111

注：以上有省略，嘿嘿!

class-map match-any normal_calss

description For normal

match protocol ftp

match protocol imap

match protocol pop3

match protocol smtp

match access-group 110

class-map match-any bt_download

description For drop

match protocol bittorrent

!

!

policy-map qos_policy_map

class premium_class

bandwidth percent 50

random-detect

random-detect exponential-weighting-constant 4

police cir 000 bc 10000 be 10000

conform-action transmit

exceed-action transmit

class normal_calss

bandwidth percent 25

random-detect

random-detect exponential-weighting-constant 4

police cir 2000000 bc 2000 be 2000

conform-action transmit

exceed-action drop

class bt_download

drop

!

!

!

!

interface FastEthernet0/0

ip address 192.168.23.1 255.255.255.0

ip verify unicast reverse-path

ip nat inside

ip route-cache same-interface

ip route-cache policy

duplex auto

speed auto

no cdp enable

!

interface Serial0/0

bandwidth 2048

ip address 210.88.44.x 255.255.255.252

ip verify unicast reverse-path

no ip proxy-arp

ip nat outside

rate-limit input 2000000 20000 20000 conform-action transmit exceed-action drop

ip route-cache policy

service-policy output qos_policy_map

no cdp enable

!

ip nat inside source list 10 interface Serial0/0 overload

ip classless

ip route 0.0.0.0 0.0.0.0 210.88.44.y

ip route 192.168.24.0 255.255.255.0 192.168.23.254

no ip http server

!

!

access-list 10 remark NAT

access-list 10 permit 192.168.23.0 0.0.0.255

access-list 10 permit 192.168.24.0 0.0.0.255

access-list 110 remark normal

access-list 110 permit ip 192.168.23.0 0.0.0.255 any

access-list 111 remark premium

access-list 111 permit ip 192.168.24.0 0.0.0.255 any

no cdp run

!

banner motd ^cml system router !!!^C

!

line con 0

exec-timeout 0 0

line aux 0

line vty 0 4

password 7 121A0C0411045D5D7C

login

!

!

!

end