流量控制范文

流量控制范文（精选6篇）

流量控制 第1篇

2009年8月23-24日，下一代网络融合与发展中国峰会(CNCS)在北京京都信苑宾馆召开，会议由国家广播电视电影总局指导，中国广播电视协会，BIRTV组委会主办，中广互联，电信传播研究中心承办。新浪科技作为独家门户网络支持进行全程现场直播。

图为：下一代网络融合与发展中国峰会现场，AceNet公司中国区技术总监官宇演讲。

以下为实录：

官宇(AceNet公司中国区技术总监)：尊敬的嘉宾各位领导、专家上午好！

昨天论坛上蒋总说IP网络有两个突破，一个是QoS，另外一个是安全问题。AceNet公司主要的方向就是解决QoS和安全上的问题。

我的演讲主要分三个部分：

第一，给大家介绍一下目前流控技术在广电宽带运营商的应用情况和解决的问题。

第二，AceNet“流控墙”和“流量安全”概念。

第三，应用层流控技术在三网融合中应用的思考。

2005年以后互联网上出现了一个重要的应用，就是P2P的应用，给网络带来了非常大的影响。影响到底在哪儿？很多人都有不同的看法。我们作为一个专家的流控的厂商，针对P2P做了很多研究。P2P对网络构成最大的威胁在哪儿？因为用户网络的行为模型发生了变化，才会导致现在的网络拥塞。我们在之前看到所有的网络都是以客户端和服务器之间的交互，用这种访问模型去构建现在所有的网络。而且我们的网络产品也是基于这种模型去设计和建造的。P2P出现之后，所有网络的模型，用户和用户之间产生了非常大交互的数据量，这样就形成一个扁平网状的模型。这种模型现在我们构建出来的基于星形连接的模式是不适合P2P新的网络访问模型，这样就给整个网络带来非常大的灾难性的影响。

P2P时代到来了，带来什么问题和变化呢？每一个用户开启的应用程序越来越多了，单个用户的并发会话数越来越多，如果你开一个新浪的新闻，同时产生的并发会话会有100多个，但是这个会话很快在一两秒就结束了。但是如果P2P的用户，会在瞬间产生非常大的并发会话，而且这个并发会话持续非常长时间。我们做了很多统计，如果一个正常的用户开启P2P的流量，它的并发会话数长时间维持在4、5千。如果这个用户中了木马病毒，在向外发攻击的时候，我们在一个高校里截到最高的数据，一个单个的PC机产生的并发会话数有19000个，非常惊人。

另外，UDP报文比例迅速增加。过去UDP只是用来DNS解析用的，现在大量UDP报文被当作语音和视频，因为它不是面向连接，它传输的延迟非常小。所以大量的UDP报文做语音和视频实时交互的流量。很多地方统计UDP报文已经超过60%。五前年UDP在网络中的报文不超过20%，现在已经超过60%。

另外，小包比例特别高。几年前我们有一个统计数据，小包的比例只有大概不到20%。这是我们在北京的海淀宽带做的统计。小于128字节的报文已经超过了40%。大于1K的报文超过了35%。实际上根据报文的比例做一个分布，它是一个哑铃形的分布，大量的报文是小包，小包是用来传语音视频，还有TCP的握手信号、协商报文。

小包增加了以后给现在很多网络设备带来很大的影响和负担，这就是网络设备一个重要的性能指标，只看吞吐是不行的，要看包交换率。

现在很多广电运营商都在尝试用各种各样的流控技术来解决网络拥塞问题。实际上我们作为一个专业的流控厂商，凡是我们面对的用户全都有网络拥塞的问题，也不光是我们面对，还有很多我们没有面对，几乎所有的网络现在都有拥塞的问题。

拥塞的控制和流控的识别是什么，最早所谓第一代P2P的控制，通过防火墙、P2P常用的端口的封闭，来解决P2P网络的影响。但是很快发现不行，因为P2P会慢慢自己去改，很快用80的端口、25110的端口，根本没法封，不可能封。如果封了，邮件和外部访问就用不了。后面就会用专业的流控设备，基于应用层的特征字的方式去识别P2P的应用。但是很快就发现又不行，发现我们有加密的BT，迅雷原来不加密，后来也加密了。还有一些其它的像Skype整个就是加密，加密的流量怎么识别？你在关键字里再也破译不到特征字，在报文里过滤不到特征字，这时就需要升级专业的流控设备，就要通过行为特征的分析，去发现加密的BT应用、加密的P2P的应用。

控制手段现在应用最多的是用在线的方式，对识别的流量做带宽的控制或者带宽的保障。在电信里边有很多应用是旁路的方式，旁路的方式只能解决TCP，给TCP的报文，发现TCP的链接是需要阻断的话，它就向两边发包，通过旁路干扰的方式阻断这个链接。另外还有一种方式，通过修改TCP报文头中的滑窗参考的方式控制客户端和服务器之间的传输速率。这两种方式都是只能控制TCP的报文，现在网络中大量UDP的报文，用这两种方式是无能为力的。

另外，对单个用户使用的带宽做精确的控制，网络资源包括我们常说的带宽，还包括我刚才提到的并发会话数。对这两个要素做一个精确的控制，对缓解网络拥塞是有非常大的作用。

归根到底，P2P时代对网络的影响最大的问题是5%的用户占用了90%的网络资源。我们如果要是把这个问题解决好了，就会大量地缓解网络拥塞问题，我们是有很多实践的。我们之前在海淀宽带有一台设备，我们通过对用户的带宽和并发会话数的控制，达到了对网络出口带宽利用率的大幅度提升。在相同的带宽的情况下，对每一个IP占用的带宽和每一个IP使用最多的并发会话数做控制之后，同样的带宽、同样的资源，我们承载的并发用户数增加了几乎一倍。这从一个侧面去帮助运营商提升网络的利用率，帮助运营商挣到钱。

我们提出两个概念，一个是流控墙，另外一个是“流量安全”。这两个概念都是AceNet首先提出来的。为什么提出来流控墙呢？我们看一下传统的流控设备和防火墙之间到底存在什么问题。这里有一个最标准的部署模式，透明的流控设备和防火墙之间。流控设备部署在

防火墙里，这样防火墙本身和流控是不能交互的，没有任何交互。有一点，防火墙挂的DMZ区的流量，这个流量怎么管理和分析就存在很大问题。从内网访问DMZ区，我们可以通过流控做分析和控制。从外网访问DMZ区就不行。有把这根线从流控设备这边绕一圈，又存在一个问题，从内网访问DMZ区过了两遍，被统计了两遍。另外防火墙和流控设备不能互动，外面的状况发生改变，一条网络被拥塞堵得满满，你这边做带宽保证一点效果都没有。这边开视频会议，那边传一个大文件，把入口堵住，再做带宽保证没有用，会议还是没法开，甚至断了都不知道。

我们在实践过程中经常遇到内网产生攻击流量，大流量上来的时候，传统的流控设备都是X86、NP，两种情况，一种被打死，另外一种是直接把攻击流量通过。在最需要流控设备分析攻击流量来源的时候，你不负责任让它通过，这时就不知道来源了。对于网管来说，发现有异常流量来的时候，要找到异常流量来源的时候，在没有流控设备的时候是非常痛苦的事情，没有半天时间是查不到的。

另外一种部署模式，这是把流控设备部署在防火墙外边，这种部署模式同样DMZ区的流量访问控制解决不了，从内网来的访问DMZ区又不经过流控设备。

防火墙做了地址转换，你在流控里看不到原始IP，只能看到转换以后的IP，这时出现安全问题你没法定位。

传统的流控又不能支持负载均衡，如果要有多链路，跨接在上面解决不了问题，一条链路10%的负载，另外一条链路99%负载的时候，这个问题就解决不了。

另外，流控设备不是安全产品，它需要保护。我们经常看到这种部署模式的时候，在外边再加一个防火墙，我们叫做汉堡包方式，把流控设备还要再保护一下。

这都是我们说的防火墙和传统的流控设备不能互动造成的问题。AceNet提出了一个流控墙的概念，我们把防火墙、流量控制和多链路出口的负载均衡集成在一个芯片里边去解决这个问题，这种部署模式就把刚才我前面两张图里列举的防火墙和流控设备不能互动造成的问题全面地做了。AceNet最强的是我们把二层到七层的流量分析和控制用芯片来完成了，这个芯片非常大，大概有3000多万门芯片，全世界采用芯片的模式去解决流控问题，只有我们和思科公司，剩下都是采用X86的方式或者NP的方式。而且我们比思科强的地方是，我们把防火墙和负载均衡能力功能全部集成在这个芯片里边，思科只解决流控问题。

我们能够解决：P2P的问题、带宽保障的问题、安全问题、做地址转换、用户认证、审计。我们做的是一个多层次的流控，流控包括带宽，包括QoS，包括并发会话数，对这三个要素做一个综合的控制。

(图)这是我们能够识别和控制的一部分流量，一部分P2P的协议和AM的协议。其实迅雷大家现在用了很多，目前在网络中看到最大的流量就是迅雷，我们在很多高校里看到迅雷的流量几乎超过60%，迅雷对现在的网络影响非常大，严格意义上讲迅雷是流氓软件，虽然给大家带来了很多下载方面速率上的体验，非常好，但是它严格意义上讲是流氓软件。为什么？首先，它带来很大的安全隐患。你用迅雷在你自己的FTTP服务器上上传和下载的时候

会很快，比你直接去用FTTP工具访问快很多。但是只要用迅雷访问过一次，它就会把你的用户名和密码都记下来，记在迅雷的服务器上。以后再有人去访问这个文件的时候，再也不用去敲用户名和密码，都用你的用户名和密码去访问，你的这些私有信息在他那儿全都记下来了，会造成非常大的安全隐患。不知道你们注意过没有，去年年初有一个新闻地香港警察的卧底名单泄露了，谁干的呢？就是FOXY。FOXY在香港和台湾比较流行的一种P2P软件，跟迅雷差不多。P2P的软件都会带来很多安全隐患。

迅雷还流氓在什么地方呢？它在不跟你打招呼的情况下不断向外传东西，除非把迅雷关掉，否则你同时下载的东西都别别人分享，这是一般人不能忍受的，至少会影响计算机的性能，CPU负载会很高。

AceNet首先提出来一个流量安全的概念。传统的流控是流量的可视和流量的可控，我们又提出来流量的可追溯。为什么提出这个概念？我们实际上在实践的过程中，通过我们的流控设备发现了很多网络安全事件，我们第一时间发现了网络安全事件，并且定位了网络安全事件，而且还能追溯网络安全事件。南京师范大学有一次内网服务器中病毒，当时给全网都造成非常大的影响，跑得非常慢，通过我们的设备直接看到了这个异常的用户，这个服务器的并发会话数超过19000，影响非常大。老师直接通过我们的设备定位到这个服务器，一看IP就知道这个服务器。把这个服务器网线一拔掉，这个网络就安全了。这种事情太多，都是通过我们的设备解决网络安全问题。我们提出流量安全的概念。

(图)最重要的是我们的日志和审计的功能，这是我们非常强的地方。我们用芯片的方式把我们需要的日志打成UDP包送给日志服务器，这边流量再大都不会影响我生成日志的性能。所以，我们能够在非常大的大带宽底下解决日志审计的问题，这也就是我们去解决公安部82号令要求的地址转换日志，需要做地址转换日志的需求。像很多我们的运营商、高校都存在这个问题。虽然有82号令规定你要做地址转换日志，但是我没有这么高性能的设备能够解决这个问题。我们通过流控设备能够帮他去解决这个问题。我们把每一个并发会话数都做了日志，然后对它的URL外部访问都做了记录，FTTP、Email，甚至MSN的聊天内容都可以做记录。

(图)这是我们的基础数据，我们做地址转换以后的IP和端口都会把它记录下来，并且我们能够基于基层协议应用的事业，我们记住这是DP，这是迅雷，多长发起时间、结束时间、持续时间，都记录下来，这是我们的基础数据。通过这些数据我们可以做分析，可以看到流量的前十名，我们可以看到IP流量的构成，可以看到这个IP是迅雷，绝大多数流量都是迅雷。

(图)我们点击这个按纽可以看到访问的IP地址的分布，比如现在是杭州，我们知道杭州市的IP，我们还知道杭州以外浙江省的IP，我们还是国内的IP，还是国外的IP。另外，点击了这个图标之后，很重要我们能够看到三个图，一个是基于时间的单个IP带宽的占用情况、变化情况，我们可以看到这个IP在峰值的时候流量超过100M。我们可以看到这个图的并发会话数是根据时间发生变化，这个图是每秒新建连接数的变化情况。我们可以看到其实一个正常的用户，不是中病毒的情况，每秒新建连接数不到30次，非常少。但是一旦有

异常流量的时候，我们截到最高的图4000多个，不断向外发攻击。通过这三张图其实就可以定义一个用户的网络行为是不是异常。

我们点击前面一个图的小图标之后，我们还可以看到这一个用户迅雷这一种流量根据时间变化的情况。我们的统计是非常细致的，细致到什么程度？按照用户的话说，已经可以当分析仪用了。

黑名单的功能，可以自动把异常流量的用户放到黑名单里，黑名单可以自动惩罚。一个是要么让他断网。另外，要么把他的带宽和并发会话数压得很低，让它对网络影响非常小。这是针对异常流量用户的控制手段。如果用我们的web认证，会弹出一个小窗口，告诉这个用户已经进入黑名单，请你跟网管联系。

最后，我们在思考应用层的流控技术在现在讨论的三网融合中应该怎么去用的问题。

我们现在在讲三网融合实际上是建高速公路的情况，我们把一个高速公路建起来了，流控做的事情是给高速公路划线，给它设置各种交通的标志，给它设红绿灯。有些车能够上什么样的道路，必须是什么速度，哪些道路是不能上的，流控就是干这些事情，解决QoS的问题。

三网融合以后我们看到3T、3Tnet，在非常大带宽，在用户到了30M、50M的情况下、是不是还有流控问题呢？是一样的，现在绝对不能非常乐观地说我在做试验网的时候带宽非常大，根本就没有遇到过流控的问题，没有遇到过拥塞的问题，拥塞以后就不会在实际应用中出现，这个概念是不会的。就像我们在56K的情况下想象不到1M、2M带宽会拥塞，但是我们真正用到1M、2M带宽，大家遇到的拥塞时时刻刻都在体会、感受。当用户升级到30M同样存在着拥塞的问题。我们一定要考虑网络融合的时候，在设计标准、设计方案的时候就要考虑到流控的问题。

应用层的流控，这个技术能够给网络融合带来什么好处呢？实际上我们可以去识别出来你的各种各样增值的应用，对这些增值的应用有特殊的控制手段，然后给你带来非常多灵活的收费方式、定价方式，有各种各样的带宽保障，给它不同的贷款，甚至他实时要求特制的带宽，我们都可以用。另外，我们还可以及时发现网络异常行为，在大带宽的情况下，异常行为的用户对网络的影响就更大了。另外，我们需要在三网融合考虑应用层流控的时候需要注意的一些问题，一个就是它部署的位置。另外，选用的平台。因为带宽非常大，X86和NP的方式肯定不行。另外，考虑全网络QoS，另外一旦你应用到了可增值的流量，一定要非常容易识别的才行。流控要和日志认证结合，流控和网络安全系统结合。

(图)流控到底能干什么？我们的流控部署在这里，这边是宽带的接入用户，我们可以把这些流控的数据都统计记录在数据库里边。同时给这些用户分配一些帐号，我们可以通过前台的服务器，让用户访问，能够看到自己的流控。就像我们现在通过网站可以查询我们的手机话单、通话记录一样，可以随时查询我们自己流量的玖单。技术可以非常详细。

另外，我们可以让用户定制自己的报表，每周发一个报表还是每一个月发一个报表，让用户自己心里非常清楚自己的流量到底是什么样子。有机是三网融合以后，各种业务都多了，可以分业务地给各种各样的报表。

一旦有异常流量涌上来，我们可以第一时间通知用户，告诉现在有异常，是不是检查一下、杀一下毒，给用户非常好的体验。

以后可能流控用得越来越多，还有更多的应用方式，也是大家集思广益。

流量控制 第2篇

概述

今天，信息技术在中国各个行业中的应用都得到了前所未有的重视，“以信息化带动工业化”已为各级决策部门所共识,各个行业在IT方面都有很大的投入，进行了大量的系统建设和应用开发。在实际情况中，用户长时间的下载、上传文件，占用大量的带宽，影响正常的Email收发、实时视频会议等及时通信或商务活动。因此，有效地管理IT资源，合理的分配利用网络资源，已经成为一件刻不容缓须要解决的事情。为保证企业合理使用Internet资源，通过带宽监视和流量限制技术，能有效防止对Internet资源的滥用。合理分配每个IP使用流量。

SiteView TC是基于Linux操作系统的网络流量监测与管理系统，适用于各种规模的企业和政府的网络，能有效解决网络应用性能问题，保护IT投资，降低运营成本，从而提高用户的生产力。SiteView TC解决方案提供了直观的界面使网络管理人员能够随时随地了解网络带宽使用情况，而且能对网络用户进行分组上下行带宽限制。并且，一旦系统出现可疑异常状况，预警可通过声音、E-mail、滚动消息等方式及时通知相关人员或自动进行常见故障处理，从而最大限度的降低系统平台出现故障的可能，减少可能给企业带来的损失。完善的日志分析报告，更能帮助网络管理人员预防可能出现的故障，为企业网络的战略规划提供依据。

易用快捷的操作方式，SiteView TC采用Web界面，“一键一击”的引导式界面设计，全面提升用户体验。

成熟稳定的系统平台，基于Red Hat Enterprise Linux开发，内核性能优秀稳定，经过全面严格的网络性能测试，对于各种网络环境进行特别参数优化，使得系统可用性大大加强，最大程度上避免产品当机状况的发生，减轻网络管理员繁重的维护及管理工作。

先进的远程协同工作方式，方便多用户操作，当系统遇到突发状况，网络管理员可以通过系统的远程技术支持模块获取技术支持工程师实时在线支持。

完善的系统修复设计，网络管理员可以通过一键备份和一键修复模块，将系统配置自动还原到以前所定义的还原点，更可以通过系统操作记录，获知以前可能存在的误操作，对操作进行修正。

丰富的报警方式，无论系统管理人员身在何处，都能及时了解网络系统可能出现的故障。系统的各种日志报告，更能帮助网络管理人员快速追踪问题根源，找到网络误配置部分，从而杜绝日后出现同样问题。

全面的日志分析报告很好的满足了不同网络管理人员的需求，详尽的文本报告和直观易懂的带宽图表，方便网络管理人员对网络流量状况的了解。对于高层决策人员而言，更能从中提前发现隐患,给企业信息建设战略规划提供依据。功能介绍

1.工作原理 所用的数据包都会流经SiteView TC,通过流量分析引擎按照IP地址，或是协议对数据包进行分类，打上标记。然后，通过流量分析引擎，每三分钟对每个IP的上行流量，下行流量总的统计，以及细化到每个IP的几种基本协议流量统计，并以报表的形式把统计结果保存下来。在通过流通量控制引擎，检查已经受到限制的IP的流量，是否已经达到管理员所限制的最大值。如果已经达带到上限，则通过我们制定的算法对数据包发送的速率进行有效的控制、及整形。

1.1实时流量监控

通过实时获取流过SiteView TC的所有IP地址网络传输速率和流量，为网络管理员的网络建设和管理工作提供参考，并能从异常流量中，分析网络中存在的隐患。在对传输流量监视基础上，可以进一步对单个IP的上下行传输速率进行手动控制，为网络用户区分优先级，对不同优先级的用户提供不同的网络服务，同时SiteView TC还支持按协议控制流量，比如对常见的http、ftp、telnet、ssh、p2p等协议进行流量控制，保证正常的企业上网流量。

另外SiteView TC也可以通过以组的方式或者以一个网段的方式对用户的流量设置，进行统一的管理.2.系统管理

SiteView TC多功能网关不仅功能十分强大，而且通过Web界面进行操作也十分易用。2.1支持远程启停机 可以远程控制机子的关机。2.2网关状态查看 可以很方便地查看网关的硬盘空间、CPU利用率、系统授权文件情况等等。2.3支持远程启停网关各功能模块

以直观的方式提供网关各功能的状态的查看。

管理员可通过点击按钮来完成重启、停止、启动各功能模块。2.4 开机和关机设置 网关重启或关闭时，需要预先启动或关闭的服务，都可以在这里设置。2.5 修改密码

登陆用户可以随时修改登陆密码，增加系统安全性。2.6 计划任务

类似Windows操作系统的计划任务程序，可以通过定义这个模块来定时进行一些自定义任务，比如数据库统计，信息搜集等等。

2.7 支持本地DNS SiteView TC可以缓存查询过的DNS充当本地DNS域名服务器，更快地解析域名。2.8支持DHCP 在255台以下机器的企业网络中，客户机器只需设定自动获取IP地址，就可以通过DHCP服务 获得可以上网的IP地址。

2.9 网络工具

提供PING、TraceRoute、WEB执行命令窗口等日程命令工具集，避免管理员在多平台间切换，直接在Web页面查看输出结果。

2.10 实时连接查看 SiteView TC可以保存所有通过TC的内网机器连接状态，通过SiteView TC进行的数据分析，可以实时查看内网机器的当前状态，比如访问的外网IP地址以及对应的地理位置，端口，标志位等信息。

2.11网络隧道配置

在中大型企业网络中，当企业各组织机构被划分到不同的网段中时，可以通过配置网络隧道，在两台SiteViewTC系统或者一台SiteViewTC系统和一台支持GRE格式封装的路由器之间进行网络隧道对接，轻松实现各部门互访，如同在同一子网。

2.12日志文件大小监控

对系统日志磁盘使用状况进行监控，当日志文件大小超过定义的阀值时，系统会自动发送E-Mail到管理员邮箱提醒注意。

2.13一键备份与恢复

提供对系统配置文件的备份与恢复，可以一键点击备份所有配置文件，也可单独选择特定配置文件进行备份，这适用于重装或升级系统时，大大减少网络管理人员重复工作量，提升工作效率。2.14在线技术支持

网络流量分析及控制策略 第3篇

某市广电大楼中心机房,互联网采用网通40M光纤接入,主要为广电大楼和广电花苑用户提供互联网服务。随着网络中P2P下载、网络电视的繁荣,大家都感觉网络速度越来越来慢,网络拥塞非常严重。该中心于2009年8月,采用锐迅科技的Cross应用优化系统,对整体的互联网运行情况进行了全面的监视与统计,找出了网络中存在的问题,以及目前面临的挑战。

1、问题与挑战

(1)网络持续100%运行

通过应用优化设备Cross观察骨干网整体网络流量,发现工作期间内90%的时间网络持续在40M峰值运行,尤其是上传,验证了网络经常发生拥塞,分析图如下:

当网络出现拥塞的时候会导致以下问题:

(1)访问网页延时大(200-300ms)

(2)收发邮件困难,大邮件发送需要5-10分钟的时间

(3)网络波动频幅较大,造成视频会议系统出现丢帧情况

(2)网络中存在87%的P2P下载流量

通过Cross系统的七层分析功能,对现有网络的流量进行了分析,得知,P2P下载、上传的流量占整体贷款87%以上,尤其是迅雷的流量,单个迅雷的流量占用总带宽的80%,如下图所示:

P2P应用是目前互联网带宽的主要消费者,它的多点传输、下载速度快等特点,受到许多人的青睐,但是它带来的弊端也是显而易见的,主要有以下几点

(1)抢占带宽资源多

(2)并发连接造成基础网络设备的压力较大

(3)核心应用如视频会议无法稳定运行

(3)网络中存在非常大的不公平性

由于网络中缺乏对每个用户峰值的设定,导致网络中20%的人员占用80%的网络资源,造成网络使用的公平性降低,单个用户的上传流量可达22M,下载可达13M。

(4)重要的应用系统缺乏保护机制

目前缺乏对视频会议系统、邮件系统等重要的应用的保护,导致在开视频会议的时候,只能将非视频会议的人员的网络进行物理断开,等视频会议结束后,再将网络恢复正常。

二、应用优化方案

1、方案概述

我们采用Cross应用优化系统通过7层准确分析网络的运行情况,如流量大小,高峰期负载情况。然后根据网络中各个应用的属性、分析结果,对各个应用系统分配合理的、智能的策略来保障网络正常稳定运行,同时对重要的应用系统保障,使其能够高效的运行。

2、解决方案部署拓扑

在互联网的总出口,接入光纤与主楼核心交换机之间部署Corss应用优化系统

(1)以透明网桥的方式部署,无需改变原有的配置

(2)设备具备Bypass机制,当设备出现任何软、硬件故障时自动切换到旁路状态不影响正常网络使用

3、整体网络可视化

Cross采用DPI深度数据包检测、基于流的行为识别技、衍生协议识别等多种技术对网络中的2-7层流量进行识别,应用层的识别解决了传统防火墙、路由器无法通过四层端口控制的技术。

通过Web图形界面将复杂的网络环境实时、动态展示出来,通过详细网络分析可以了解:

●网络中有哪些流量?哪种流量占用了最多的网络资源?

●娱乐性的流量占用了多少带宽、占用总带宽的百分比?

●核心的应用流量是否满足现有的需要?

●对于一些特定的应用,哪些人,部门或分支机构使用最多?什么时候使用?

●运营商是否提供了足够的带宽?是否全部需要?是否在有效地运用这些带宽呢?

4、合理网络资源分配

(1)对影响网络的应用软件限速

通过对现有网络的运行情况分析,得知网络中存在的问题后,使用锐迅Cross应用优化系统,主要从以下几个方面对整体网络进行策略调整。

根据用户的需求不同,限制P2P下载、网络电视,进行了带宽限制,部分P2P软件及网络电视,一共分为8级管理。

策略如下图:

(1)优先级设置为7级-最低级

(2)工作日上传2M、下载5M

限制的效果如下图所示:

优化之后的总带宽流量分布图如下所示。通过优化

(1)上传带宽降低60%,减少了网络资源的浪费

(2)下载带宽降低30%,缓解了由于P2P造成的网络拥塞

(3)重点能够使视频会议稳定运行

迅雷等影响网络的P2P被限制到一定的范围,如下图所示,

(2)对重要的应用系统进行保障

(1)对H.323、SIP、HTTP、POP3、SMTP等重要应用进行保障

(2)任意时间段保障10M的流量,优先级设置为0级,最高级别,优先转发

下图是策略之后核心应用HTTP运行情况分析

5、突发流量控制

针对网络中存在非公平性的情况,设定网络中每用户最大带宽限制,增强网络的公平性,同时也抑制了网络突发流量。

通过每IP最大速率控制,每个人的网络带宽被控制到一定范围(上传1 M,下载2M),防止了网络突发流量,同时也增强了网络公平使用的原则。

6、连接数控制缓解网络设备压力

针对网络中由于P2P等多线程软件造成的连接数过多我们设定每个用户的最大连接数,以及网络中总的连接数,来减轻内网对网络设备的冲击。

7、视频会议保障

三、总结

1、效果对比

2、策略价值

(1)增强网络管理能力

(1)实时了解网络运行情况

(2)快速响应网络故障

(2)保护网络投资

(1)使网络最大限度服务于核心的应用

(2)防止网络被P2P下载、网络电视等资源滥用

(3)应对未来带宽饱和的挑战

(1)提高了整体网络资源的可利用率

(2)规范了用户对网络的使用

摘要：有效的流量控制不仅是网络稳定、高效运行的基础,同时又是各种QoS服务模型和技术的基础和前提。以P2P为代表的网络应用已经给互联网带来了前所未有的冲击,而这些问题产生的内在原因在于当前的网络流量管理缺乏识别控制能力。因此,有必要在网络流量管理中引入流量应用识别控制技术。本文通过Cross流量控制系统对我所的网络现状进行了分析,然后制定网络流量控制策略对我所进行了相应的调控,用以保证关键业务的正常运行。

关键词：Qos,P2P,流量控制,控制策略

参考文献

[1]於建华,廖祥,张静林.P2P流量控制方法的研究及实现[J].盐城工学院学报(自然科学版),第20卷第2期,2007年06月.

[2]马秀芳,时和平.Ip网络中的Qos研究[J].现代有线传输,2003年9月第3期.

[3]徐恪.P2P流量的监控与管理[J].中国教育网络2006-7.

[4]Rexen技术白皮书V2[V].

[5]广小明.P2P流量控制策略分析[J].电信网技术,2004年8月第8期.

[6]李建东,IP网络QoS研究现状分析[J].西安电子科技大学学报,2002(29).

[7]黄启萍,流量控制与IP服务质量[M].计算机工程,第32卷第11期.

校园网流量控制初探 第4篇

摘 要：本文分析了校园网中引起网速过慢和网速分配不均的基本原因以及解决这些问题的措施和手段，以便保证校园网用户可正常使用网络。

关键词：带宽单位；P2P技术；流量控制

中图分类号：TP393 文献标识码：A 文章编号：1673-8454（2009）04-0066-03

引言

随着现代社会信息化的快速发展以及各高校的扩建、发展，校园网络已经打破了传统的概念，早期作为一种小型局域网出现的校园网络现已发展成为大型局域网，有的甚至具备小型城域网的规模。校园网络的规模不断扩大，加入人数急剧增多，随之而来的是学生们对网络流量的更大需求。目前在校内常会收到这样的投诉：“网速太慢，网页无法打开”，“网络游戏几乎玩不了，玩一下卡一下”，“QQ经常会掉线”等等。这些问题常常困扰着网络管理人员，本文将分析这些问题并提出一些应对的策略。

一、现状分析

目前校园网络从总带宽及使用人数来看，网络规模较小的高校，其网络带宽一般在100M左右，加入校园网人数在1000人以上，而一般的学校，网络带宽在1000M左右，加入校园网人数近1万人左右。以规模较小的高校为例，如果1000个网络用户同时在线，按照平均分配带宽的方式计算，每个用户平均分配到的网络流量为100Kbps，这里我们要注意的是，网络流量的单位Kbps，其含义是每秒传输的二进制数；而下载速度的单位一般用B/s来表示，也就是每秒传输的字节数，8位二进制数等于1个字节,所以100Kbps折算成下载速度为100Kbps/8=12.5Kbytes/s。这与运营商提供的每户1M宽带接入、下载速度可达到100Kbytes/s以上相比，校园网的下载速度是没有任何优势可言的，下载慢也属于正常现象。

从校园网络用户所使用的业务情况来看，加入校园网的用户主要是浏览网页、打游戏、在线观看视频以及下载等。在网络高峰期时，通过走访用户以及实地测试发现，网络状态很不稳定，用户下载速度有时可达1MB/s左右，有时却只有几K/s甚至是几百B/s，而且打开网页的速度也很慢，大多数时间网页都无法打开，玩游戏根本就玩不了，甚至连进入到游戏中都很难，偶尔进去也会卡在那里动不了。

出现这种现象的原因可做如下解释，如果以个别用户下载速度达到1MK/s为例，这个用户所占用的网络流量就是8Mbps，如果有12个甚至更多的用户下载速度达到了1M/S，那么整个100M的带宽都将被占满，这时如果用PING的命令来检测内网连接到外网的状态，将会出现大范围的丢包，丢包率可能达到40%以上。在这种情况下若是我们玩网络游戏，在线看电影或者是打开网页，几乎都成为不可能的事情。

二、P2P技术分析

P2P是peer-to-peer的缩写，peer在英语里有“同等者（地位、能力等）”、“同事”和“伙伴”等意义。因此，P2P也就可以理解为“伙伴对伙伴”的意思，或称为对等联网。直观一点地解释，我们可以将其理解为一台计算机在下载时，可以和多台拥有此下载资源的计算机建立连接，在多台计算机上分别下载自己没有的资源片段，同时本机又可作为一个服务器，将已经下载的资源片段上传给其他计算机，这种下载方式打破了传统的服务器-客户端的模式，即一台计算机在下载时只能从一台服务器上获得所需要的资源。在P2P技术中，客户端计算机不再依赖一台服务器上的资源，这样一方面可以减轻服务器的压力，另一方面由于下载不再依赖一台机器，而是从多台机器上同时下载，所以它的下载速度也得到了很大的提升。从网络的资源共享角度来分析，我们拥有了这样的一种技术，提高了信息交换的速度，应该是一种进步，但从通信的实时性及多元化发展的角度来分析，这种技术却成为了我们对网络正常需求的一种负担。

现在大多数下载及在线视频软件都采用P2P 技术，例如BT、迅雷、PPLive等软件，这些软件可以无休止地吞噬你的整个网络资源，并且这种技术抢占网络资源的能力要远远大于其他网络服务。

在校园网络中，从统计数据上来看，占网络流量最大的就是使用P2P技术所产生的流量，这种流量可以占到总流量的80%甚至更多，由于每个学校的出口总带宽是有限的，如果绝大部分的带宽都被P2P所占用，那么在做其他网络应用时，将会出现带宽过小，无法正常访问网络。我们曾经对一个50M的小型校园网络进行过故障分析，用户的反馈信息是，当到了网络使用高峰期，会出现用户无法打开网页、玩网络游戏会卡住等现象。此时我们对网络流量进行监测，监测的结果是50M带宽上行、下行流量全部占满，查询电信网关接口的流量已经达到了60M以上，严重超出50M的流量。在电信部门的配合下，我们将电信机房的网关接口流量限制到100M，也就是把50M的带宽扩大为100M，这时再来监控网络流量，发现流量在几分钟内就冲到了100M左右，而且急剧增长的流量即P2P流量，在网络带宽为50M和带宽为100M时我们也对流量进行了分析，发现绝大多数流量也都是P2P流量。通过进一步访问用户对网络的使用情况以及抓包分析来看，个别用户的下载流量已经达到了1MB/s，如前面我们所提到的，如果网络中有少数这样的用户，那么网络流量就都将被这些用户所占有，其他用户的正常网络应用，例如看网页、玩游戏就会不正常。所以引起网络访问不正常、造成网络压力的主因就是用户使用的依赖于P2P技术的软件。

三、其他网络服务分析

对于正常的访问网页、玩网络游戏等业务究竟需要有多大的带宽才能满足使用。我们通过相关软件对一台测试用计算机的IP进行了限速，流量控制在40Kbps，然后我们用这台计算机来玩网络游戏“魔兽世界和传奇”，发现游戏画面非常流畅，网络延迟也不高，事实证明40Kbps的速度完全满足学生对游戏的需求。同样，我们也测试了打开网页的速度和下载的速度，毋庸置疑，下载的速度最大可达到40/8=5KB/s左右，问题出在访问网站上，在这种限速设置下我们打开新浪网，发现网页打开速度很慢，文字性信息要半分钟左右才能打开，图片等信息要1分钟以上才能完全打开。网站的访问模式和其他的一些访问有一些差异，具体表现为打开不同网页所需流量大小的不均匀性，打开大型网页时需要很大的流量把网页上的文字、图片以及Flash信息下载下来，流量限制过小时，大的流量请求不能立即处理完，所以要全部打开这个网页需要很大的时间延迟；当我们要查看网页上文字性的链接新闻时，需要的流量就很小，只要有几百字节的流量就足以打开文字网页，这个流量比我们限制的流量要小得多，打开这类网页时间延迟也会很小。所以访问网站流量大小的不均匀性导致了带宽限制过小时打开大型网页的时间延迟很大，甚至造成一些大型的门户网站无法打开。

在这里我们说到打开大型网页需要很大的流量，那么这个大的流量会不会给网络带来很严重的后果呢？答案是不会的，因为访问网页所产生的流量是一种瞬时流量，一般只持续几秒钟甚至更短的时间，如果在这几秒钟同学们都在打开大型网页，瞬间流量过大造成了网络堵塞，那么这种堵塞所持续的时间也将很短，随着网页请求的完成也随之消失，用户一般无法察觉。所以正常的网站服务和游戏服务对网络几乎无影响。

四、流量控制方法

综上所述，各种网络业务不可管理的特性，特别是P2P技术，会让个别用户访问网络时流量过大，导致其所在网络的性能下降、网速过慢，为解决这些问题，首先要做的是控制网络流量。现在市面上有很多这种流量控制的硬件设备，这些设备可以按照具体的业务来限制流量，例如限制BT、迅雷、PPLive等服务的流量，也可以按照每个IP来限制流量。如何找到一个合适的限制流量的方法，是值得我们深思的。针对校园网中的P2P流量，我们的控制策略可以从以下几个方面考虑：

1.总量抑制：把校园网中的P2P业务所产生流量限制在一个预先定义的上限流量值之下

P2P业务流量对网络带宽有很强的吞噬性，实际上有多大的带宽都不能满足P2P的需求，而且大量的P2P流量还会影响对实时性要求很高的一些服务，例如网页服务和游戏服务等，那么我们可以在总带宽中划分一部分带宽专门给P2P用，而其余的带宽用来满足其他方面的应用。

2.IP控制：把校园网中每个用户的流量限制在一个预先定义的上限流量值之下

IP控制可以限制每个用户的最大流量，对带宽起到调节和平均分配的作用，这样就不至于出现个别用户的流量远大于其他用户流量的现象发生。

3.优先级控制：调整网络服务的优先级别

优先级控制策略，主要改变P2P 技术本身资源抢占特点带来的危害，通过调整网络服务的优先级让关键的、实时性高的应用得到保障，让重要的应用得到优先的服务。

按照以上控制策略的思想，以100M出口带宽、使用人数在1000人左右的网络为例，我们可以在流量控制的硬件设备上采取如下的控制策略：

（1）100M的出口总带宽可以分出30M，分配给P2P流量，并且在这一设置下再细分，按IP限制每个人产生的最大P2P流量不超过512K。

（2）其余的总带宽（剩余带宽），按IP限制每个人产生的最大流量不超过512K。

（3）设置每个IP的http服务也就是网页服务的优先级最高。

使用这种控制策略的效果是显著的。首先按照第一条策略，我们把P2P流量限制为总流量的30%，为了不致使个别用户的P2P流量过大（最大有可能达到10M以上的流量），其他人抢占不到P2P的流量，所以必须对这30M流量再进行一次平均分配；然后按照第二条策略，实现剩余带宽的平均分配；之后按照第三条策略，我们把http服务的优先级设置为最高，当剩余的70M带宽发生堵塞的时候，流控设备会首先处理http的请求，然后再处理其他请求，保证学生对网站的访问。实践证明，这种设置可以满足学生对网络多元化的需求，不至于因为个别同学或者个别业务的流量过大导致网络堵塞。整个网络的测试结果很好。

五、结论

在校园网络中引起网络性能下降、造成网络堵塞的最直接因素就是使用基于P2P技术的软件，如果要保证我们的网络处于一个稳定的状态，就要求我们加大对P2P的控制力度，以及限制每个用户的平均带宽 ，同时搭建校内资源站点，把同学所需要的软件、课件、影视、游戏以及其他的一些应用程序放在学校的资源服务器上，供学生访问，这样学生在使用P2P软件下载时可以在内网中找资源，缓解学生对校园网出口造成的网络压力。

参考文献：

[1]田丰，寿国础，胡怡红.P2P流量识别与管理的研究[J].中国科技论文在线，2007.

[2]任肖丽.P2P流量识别的研究与实现[D].上海：华东师范大学，2007.

[3]於建华，廖祥，孙莉.P2P流量识别方法的研究及实现[J].广东通信技术.2007，4.

Cisco路由器流量控制实例 第5篇

说明：

一家子公司使用2M专线上网，内部网段为192.168.23.0/24(普通员工)和192.168.24.0/24(总经办所在的VLAN)，其中路由器IP地址为：192.168.23.1，内部cisco3560交换机IP为：192.168.23.254。现需要作流量控制，使总经办的流量比较优先，并优先传送一些声音与视频及网管流量。其它的服务如：smtp、pop3及ftp等为低优先级，并禁止bt下载等。

配置如下：

Current configuration : 3590 bytes

!

!

version 12.3

service timestamps debug datetime

service timestamps log datetime

service password-encryption

!

hostname xxxxxx

!

enable secret 5 $44adf#dfdfj090$on

!

clock timezone China 8

ip subnet-zero

no ip source-route

ip cef

!

!

ip name-server 192.168.23.2

ip name-server x.x.x.x

!

no ip bootp server

!

ip nbar pdlm flash:bittorrent.pdlm

class-map match-any premium_class

description For premium

match protocol http

match protocol icmp

match protocol netshow

match protocol pcanywhere

match protocol realaudio

match protocol secure-http

match access-group 111

注：以上有省略，嘿嘿!

class-map match-any normal_calss

description For normal

match protocol ftp

match protocol imap

match protocol pop3

match protocol smtp

match access-group 110

class-map match-any bt_download

description For drop

match protocol bittorrent

!

!

policy-map qos_policy_map

class premium_class

bandwidth percent 50

random-detect

random-detect exponential-weighting-constant 4

police cir 000 bc 10000 be 10000

conform-action transmit

exceed-action transmit

class normal_calss

bandwidth percent 25

random-detect

random-detect exponential-weighting-constant 4

police cir 2000000 bc 2000 be 2000

conform-action transmit

exceed-action drop

class bt_download

drop

!

!

!

!

interface FastEthernet0/0

ip address 192.168.23.1 255.255.255.0

ip verify unicast reverse-path

ip nat inside

ip route-cache same-interface

ip route-cache policy

duplex auto

speed auto

no cdp enable

!

interface Serial0/0

bandwidth 2048

ip address 210.88.44.x 255.255.255.252

ip verify unicast reverse-path

no ip proxy-arp

ip nat outside

rate-limit input 2000000 20000 20000 conform-action transmit exceed-action drop

ip route-cache policy

service-policy output qos_policy_map

no cdp enable

!

ip nat inside source list 10 interface Serial0/0 overload

ip classless

ip route 0.0.0.0 0.0.0.0 210.88.44.y

ip route 192.168.24.0 255.255.255.0 192.168.23.254

no ip http server

!

!

access-list 10 remark NAT

access-list 10 permit 192.168.23.0 0.0.0.255

access-list 10 permit 192.168.24.0 0.0.0.255

access-list 110 remark normal

access-list 110 permit ip 192.168.23.0 0.0.0.255 any

access-list 111 remark premium

access-list 111 permit ip 192.168.24.0 0.0.0.255 any

no cdp run

!

banner motd ^cml system router !!!^C

!

line con 0

exec-timeout 0 0

line aux 0

line vty 0 4

password 7 121A0C0411045D5D7C

login

!

!

!

end

流量控制 第6篇

各大软、硬件生产商为此已秘密协同工作了几个月，并于周二发布了一个软件补丁以修复该漏洞。

安全顾问公司Securosis分析师里奇?莫古尔(Rich Mogul)称：“这是一个十分严峻的问题，涉及到整个域名框架如何运行。如果不修复这一漏洞，互联网仍将存在，但已不再是你想要的互联网了DD 将控制一切，

”

“网络钓鱼”者将因此感到高兴，因为该漏洞能把互联网用户引导至伪造的银行或信用卡公司页面，骗取银行帐号、密码及其他信息。不管用户输入的网址是什么， 都可以利用这一漏洞将其引到他们想要用户去的任何地方。

网络安全产品和服务提供商IOActive安全研究员丹?卡明斯基(Dan Kaminsky)大约六个月前发现了域名系统的这一漏洞，并与微软、Sun和思科等业内巨头取得了联系，就解决方案问题展开合作。

每台与互联网相连的计算机都使用域名系统，其工作原理类似于电话系统将来电接入特定电话号码。