流控


流控

文章插图
流控【流控】“流控”是“流量控制”的简称 。流控技术分为两种:一种是传统的流控方式,通过路由器、交换机的QoS模组实现基于源地址、目的地址、源连线埠、目的连线埠以及协定类型的流量控制,属于四层流控;另一种是智慧型流控方式,通过专业的流控设备实现基于套用层的流控,属于七层流控 。
基本介绍中文名:流控
全称:流量控制
作用:提升套用服务质量
分类:智慧型流控
定义路由交换设备可以通过修改路由转发表,实现一定程度的流量控制,但这种传统的IP包流量识别和QoS控制技术,仅对IP包头中的“五元组”信息进行分析,来确定当前流量的基本信息 。传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障,但其仅仅分析IP包的四层以下的内容,包括源地址、目的地址、源连线埠、目的连线埠以及协定类型 。随着网上套用类型的不断丰富,仅通过第四层连线埠信息已经不能真正判断流量中的套用类型,更不能应对基于开放连线埠、随机连线埠甚至採用加密方式进行传输的套用类型 。例如,P2P类套用会使用跳动连线埠技术及加密方式进行传输,基于交换路由设备进行流量控制的方法对此完全失效 。智慧型流控企业保持竞争优势离不开网际网路的高速发展,保证企业的网路畅通是所有管理人员现今都很关心的问题 。一方面,企业可通过提升出口频宽,即拓宽信息化的高速路来保障业务套用的质量;另一方面,企业通过强练内功,即制定合理的“交通规则”,使符合策略的数据包快速便捷地在企业网路环境中宾士,达到推迟购买额外频宽资源的目的 。我们知道,频宽资源建设的发展速度永远跟不上各种网路套用的增长速度 。对企业出口频宽无尽的增长需求势必给企业带来额外的经济负担,所以对企业网路流量进行管理已是迫在眉睫的事情 。智慧型流量管理系统(简称ITM或NS-ITM)是基于套用层的、专业的流量管理产品,既适用于大中型企业、校园网、城域网等流量大、套用複杂的网路环境,也适用于需最佳化网际网路接入、保证关键业务套用、控制网路接入成本的中小型企业的网路环境 。通过监控网路流量,分析流量行为,设定流量管理策略,实现基于时间、VLAN、用户、套用、数据流向等条件的智慧型流量管理 。作用提升套用服务质量网际网路套用繁荣的时代,各种关键套用(如ERP、CRM、OA系统、视频会议系统等)越来越受到其它网路套用的冲击,导致这些关键业务的套用得不到保障 。ITM通过频宽保证、频宽预留等流量保障手段,保障了关键业务的频宽需求;通过链路备份、流量分担等智慧型选路策略,保障了关键业务的正常使用,极大提升了套用的服务质量;同时通过对时延敏感套用的实时测量和监控,实现了网路延时的可视化,大大提高了客户满意度 。提升频宽利用价值现今,Web浏览、私人E-mail收发、P2P下载、网路电视、即时通讯及网路游戏等与工作不太相关和无关的套用日益泛滥 。客户有限的出口网路频宽资源,迅速被P2P下载、网路电视等非关键套用和无关套用占用和吞噬,造成宝贵的频宽资源被滥用和浪费 。在套用日益丰富的今天,出口频宽即使扩容也依然是杯水车薪,不能从根本上解决频宽瓶颈的问题 。ITM通过套用封堵、流量限速等流量限制等手段,控制非关键套用,封堵无关套用,极大地提升现有频宽的利用价值,避免因频宽扩容带来额外的网路接入费用 。同时网康ITM通过数据压缩功能,大大降低了网路中传输的数据量,有效提升了当前的频宽利用价值,避免因额外租用出口频宽资源而增加网路运营成本 。最佳化网路套用在经济一体化的今天,各企事业单位的组织架构经常是跨区域的 。远在各地的分支机构访问总部的各种套用(如邮件伺服器、ERP伺服器等)受广域网和出口频宽的限制特别明显,各种远程互动式套用的速度经常十分缓慢 。ITM通过在现有网路条件下对跨广域网的各种套用进行最佳化,极大地提高了互动式套用的回响速度,大大提高了用户的工作效率 。降低网路风险现今的企事业单位网路中心,各种网路设备应有尽有,防火墙、IPS、IDS、防毒墙、邮件过滤网关等层出不穷 。这些设备就像糖葫芦一样,一个接一个串在出口网路中,当其中任何一台设备出现问题时,都会殃及整个单位所有人员的正常网路套用 。同时诸如异常流量、DDOS攻击等时刻威胁着本单位的网路安全 。ITM既可以通过旁路监听的方式无缝接入单位的现有网路,又可以通过套用引流的方式把相关的套用分发给对应的网路安全网关,如邮件过滤网关等,彻底避免了网路设备串糖葫芦的组网方式,大大降低了网路安全风险 。同时通过对网路异常流量和网路攻击进行预先防护,大大提高了网路的可靠性和稳定性 。流控设备分类网路流量控制设备分广义的和狭义的 。广义上说行为管理设备也算流控,但其主要用途是记录和控制网路中的用户行为,比如限制用户使用QQ、玩游戏等等,但其流控功能较弱,一般适用于上网人数较少的场合 。由于行为管理设备的套用场景複杂,流控功能和性能并不专业,对频宽的最佳化能力很弱,採用行为管理设备充当流控设备使用还可能导致网路延迟增大,偶尔还会导致断网现象发生 。行为管理设备适合于对网路稳定性要求不苛刻的一般的办公网路 。行为管理厂家主要是国内厂家,如网康和深信服 。狭义的即专用的流控设备主要目的是最佳化频宽,通过限制频宽占用能力强的套用以保护关键套用,通过多种複杂的策略来实现合理的频宽分配 。由于专用的流量控制设备往往用于大流量的环境中,因此,流控设备最重要的指标是其处理能力,当然稳定性和支持各种複杂的频宽分配策略的功能也非常重要 。流控产品一般根据其性能划分档次,一般从几十兆bps、百兆bps以下为一个档次,往上有数百兆bps,数Gbps的,最高档为几十Gbps 。百兆以下的设备的接口一般是电口的 。高档设备的接口有电口,但更多是是光口的 。国内外流控品牌国内外流控设备的品牌很多,国外主要有ALLOT、Sandvine,性能不错、价格很高、国内协定识别率较低、用户界面不太友好,功能偏少 。PACKETEER也是国外品牌,但性能一般 。cisco、华三这两个公司的流控产品没人会用,自己的工程师都很难设定调试,价格很高、协定识别也很差,Sandvine也很难用 。还有台湾的一家专业流控设备厂家,该厂主要以技术创新见长,结合国内的套用软体做了针对性的研发,相对于其他国外厂家的产品更具有本土化优势,同时也为国外其他厂商做OEM 。其独立自主研发的"L7"产品在国内为"L7-InstantScan"系列,主要採用EPI检测技术、session动态监听和动态交付技术为LogiPro引擎,功能比较全面,QoS功能出色、频宽资源最佳化效果明显,但内容审计功能较弱,主要客户以外企和要求较高的企业为主,价格相对国内其他产品略高 。国内品牌现在也不少了,网康、深信服、Panabit、锐捷、山石网科、迪普等都是国内品牌 。网康的智慧型流控产品叫做ITM,将流控、保障、频宽最佳化、套用引流和套用质量监控整合到一起,性能较强;深信服的流控产品叫BM,目前已停止更新维护,主要依靠其上网行为管理产品AC来实现流控,主要功能有流控、保障,性能较弱 。深信服产品线较多,频宽最佳化、负载均衡都有单独的产品支持;Panabit流控产品基于freebsd系统,主要功能有流控、保障、套用分流,系统非常精简,性能较强;锐捷擅长交换机和路由器技术,与迈科合作开发流控产品AM,功能以流控和保障为主,性能较强;山石网科的流控功能主要通过QoS模组来实现,在防火墙和UTM设备中都有,可以实现流控、保障和套用分流,由于受其他功能影响,性能一般;迪普是从华三脱离出来的公司,交换机和路由器是其强项,流控功能和深信服一样,都属于审计产品中一部分,功能较少、性能较弱 。小草网管软体小草网管软体是北京擎企网路技术有限公司研发的企业网路流量综合管理系统,综合智慧型动态频宽保障,伺服器流量分析与保障、虚拟多设备管理等多项突破性技术,涵盖流量分析、频宽管理、上网行为管理、DMZ区伺服器管理,专线集中管理、企业级防火墙与路由器、负载均衡等功能,在网路性能、质量、安全等方面为客户提供完整的解决方案 。功能介绍1.全面透视网路流量,快速发现与定位网路故障从整体、套用、员工多个角度透视网路流量 。通过对出口频宽利用率、套用流量排名、员工流量排名、主要流量流向、主要使用连线埠、员工流量排名、部门流量排名、网路的质量、连线成功率、数据重传率等反映网路真实状况等数据与指标的分析,为设定流量管理策略提供依据 。所有实时分析每5秒刷新一次,方便及时发现网路问题;并可通过几次滑鼠点击操作就可以快速定位到出现异常或故障的主机或套用 。2.保障关键套用的稳定运行,确保重要员工顺畅地使用网路支持多种智慧型频宽保障模式,满足关键业务(VPN、ERP、OA、视频会议、邮件等业务)与重要员工的频宽保障需求 。动态保障这些业务与员工所需的频宽,在其需要使用网路时得到频宽的保障,优先使用网路;在其空闲的时候,频宽可以被其他业务或者员工使用 。在不增加频宽的前提下,提升被保障业务与员工访问网际网路的质量与速度 。3.限制与工作无关的流量,防止对频宽的滥用对那些与企业工作无关且会消耗大量频宽的信息流,如P2P下载、网路视频、娱乐信息流、可疑数据流等进行必要的限制,减少其对网路资源的占用,提高企业员工与办公业务的上网速度 。4.管理员工上网行为,提高员工网上办公的效率禁止员工在上班时间用网路聊天、炒股、玩游戏等,提升员工的工作效率 。提供员工上网行为分析报告,方便管理部门了解员工的工作效率和上网行为规律 。5.依照法规要求记录上网日誌,避免违法行为实施全面的上网行为管理,使网路安全建设符合国家对企业使用网际网路的管理规定(《公安部令第82号》) 。详细记录常见的网际网路互动信息、做到发现问题有据可查 。禁止员工访问违法网站,防止员工在发帖、网路聊天中包含违法言论,降低企业的法律风险 。6.保障内部信息安全,减少泄密风险实时监控网路外发的信息,发现可能的与商业或研发机密有关的信息外泄,及时阻断并予以警告 。详细记录邮件,网页浏览与搜寻,微博、部落格、论坛发帖,各种聊天讯息及FTP、Telnet控制命令信息,并可对其审查 。实现事先防範、事中警告,事后追查 。实现全方位保障内部信息安全,减少机密外泄风险 。7.保障伺服器频宽,保护伺服器安全支持从多个角度全面的透视外网访问DMZ区伺服器或者区域网路伺服器的流量情况,保障重要的伺服器频宽,限制普通伺服器频宽 。监控伺服器区中每个伺服器的运行情况,及时发现异常工作的伺服器,快速定位攻击伺服器的攻击源,并且能够及时阻断其对伺服器的网路攻击 。最佳化访问伺服器质量,提升伺服器稳定性 。对比伺服器和区域网路占用频宽的比例情况,智慧型分配两者的频宽 。8.简化多专线管理,保障专线的网路质量 支持在一台设备上虚拟出多个管理设备,每台虚拟设备管理一条专线,一台设备同时实现对多个专线的独立分析、保障与管理 。节省集团客户的採购费用,减轻网管对专线管理的複杂度,有效的保障专线的网路质量,提高专线使用的效率 。9.内置企业级路由器与防火墙,降低安全风险可以有效的保障企业网路免遭网际网路的攻击,增强网路安全防护能力 。採用非常人性化与简单的图形操作界面,让所有网管甚至普通员工都能够轻鬆的进行配置与管理 。10.专业负载均衡,提升多线路的使用价值确保企业网路及套用的可用性,提高上网访问速度,减少伺服器负载与管理複杂度,降低企业的频宽成本 。11.帮助网路最佳化与规划,提供决策支持具有全面的历史趋势分析与决策支持能力,为网路管理、最佳化与规划提供科学的依据 。发展趋势传统流控设备功能有限无论是网际网路出口还是广域网传输,都面临着数据量不断增长、业务种类不断丰富的情况,所以,扩大频宽的方法只能短时间缓解上网慢的问题,频宽的扩展速度远不及数据量的增长速度,不加以管理的网路中,频宽资源紧缺的问题会再次出现 。随着网际网路套用的不断丰富,单纯依靠IP、连线埠等信息识别流量的方式已经不再準确,80连线埠的流量中可能混杂着网页访问、QQ聊天、迅雷下载多种类型的流量 。而传统的防火墙、路由器等网路层设备,只能根据IP、连线埠等信息区分流量并做简单的QoS策略,在这样的环境下,这种传统的频宽管理方式将严重失效,无法达到合理规划频宽资源的目的,无关套用的频宽得不到控制,关键套用的频宽得不到保障 。此外,在广域网传输场景下,无论是扩大频宽、还是QoS频宽管理,都无法解决网路延迟引起的传输效率下降、网速变慢的问题 。特别是现有的业务系统,大多使用TCP协定进行数据传输,TCP协定本身高可靠、低效率的特徵也将导致频宽资源的浪费,对于这类问题,传统方法也是没有办法解决的 。流控+最佳化引领新潮流对于多种网际网路套用争抢出口频宽的问题,套用层流量控制必不可少,根据套用特徵的不同对流量进行精準的识别,根据套用的重要性划分可用频宽,在套用层实现对频宽资源的合理划分和分配,避免频宽争抢带来的拥堵问题 。特别的,对于多条出口链路的情况,除了对每条链路进行合理的套用层频宽管理,还需要进一步最佳化出口链路的选择方法,例如关键业务专用高质量链路传输、让各条链路的负载较为均衡、当链路出现故障时可以相互备份等等,这样能够充分发挥各链路的最大价值,避免出口频宽资源的浪费 。对于广域网传输过程中数据量大、传输延迟大的问题,上述两种方法也无法解决 。这时候,必须要有效的广域网加速方法来解决:一来弥补传输协定本身的设计缺陷,减少不必要的延迟,二来减少重複冗余数据的传输,提升数据传输效率,才能达到提升业务质量的效果 。