隨著P2P類應(yīng)用越來越強(qiáng)烈的加密趨勢,傳統(tǒng)的基于應(yīng)用協(xié)議數(shù)據(jù)特征的識別方式往往難以奏效����,這就要求協(xié)議識別引擎能夠?qū)α髁啃袨檫M(jìn)行綜合分析,根據(jù)統(tǒng)計(jì)特征�、連接相關(guān)性等方面表現(xiàn)出來的蛛絲馬跡判斷應(yīng)用的類型。
隨著教育信息化進(jìn)程的不斷加深����,我國已建成規(guī)模龐大的教育網(wǎng)絡(luò)���,為高校提供了優(yōu)越的接入條件�����。然而����,日新月異的互聯(lián)網(wǎng)應(yīng)用吞噬著越來越多的帶寬,校園網(wǎng)內(nèi)終端接入數(shù)量也始終處于高速增長的態(tài)勢�,對高校網(wǎng)絡(luò)的運(yùn)維提出了新的挑戰(zhàn)。在這種情況下���,如何更合理地管理流量�����,為教科研任務(wù)提供更好的保障���,成為各高校信息中心負(fù)責(zé)人普遍關(guān)注的問題。
面對洪流�����,最好的做法是主動(dòng)疏導(dǎo),而絕非被動(dòng)封堵���。如今����,通過流控產(chǎn)品對應(yīng)用流量進(jìn)行梳理的做法已被普遍接受�����。在不少高校�����,流控產(chǎn)品都成為網(wǎng)絡(luò)出口必不可少的設(shè)備�,直接決定著網(wǎng)絡(luò)帶寬的利用率及用戶應(yīng)用體驗(yàn)。經(jīng)過長期跟蹤分析��,筆者總結(jié)了一些流控產(chǎn)品在高校網(wǎng)絡(luò)出口環(huán)境的評估經(jīng)驗(yàn)與部署建議�。
協(xié)議識別走向立體化
眾所周知,流控產(chǎn)品的工作機(jī)制與防病毒網(wǎng)關(guān)�、IPS等安全產(chǎn)品類似,主要依靠應(yīng)用協(xié)議的數(shù)據(jù)特征對流量的應(yīng)用歸屬進(jìn)行判斷。它的核心是協(xié)議識別引擎�����,其衡量標(biāo)準(zhǔn)包括識別率����、誤識別率、協(xié)議種類和性能等���。許多用戶認(rèn)為能夠識別的協(xié)議數(shù)量非常重要(廠商往往也樂于強(qiáng)調(diào)這一點(diǎn)),其實(shí)不然��,流控產(chǎn)品在真實(shí)環(huán)境下的識別率才是最重要的指標(biāo)����。這就好比防病毒網(wǎng)關(guān),某些產(chǎn)品在規(guī)格表中公布的病毒簽名數(shù)量只有幾萬條���,但每一個(gè)簽名都涵蓋了同一病毒家族的所有變種����,實(shí)際查殺能力甚至能超越其他一些標(biāo)稱內(nèi)置數(shù)十萬簽名的產(chǎn)品���。
隨著P2P 類應(yīng)用越來越強(qiáng)烈的加密趨勢�����,傳統(tǒng)的基于應(yīng)用協(xié)議數(shù)據(jù)特征的識別方式往往難以奏效���,這就要求協(xié)議識別引擎能夠?qū)α髁啃袨檫M(jìn)行綜合分析���,根據(jù)統(tǒng)計(jì)特征、連接相關(guān)性等方面表現(xiàn)出來的蛛絲馬跡判斷應(yīng)用的類型����。一些流控產(chǎn)品已經(jīng)提供了這種啟發(fā)式處理機(jī)制,可以與傳統(tǒng)方式相配合�����,實(shí)現(xiàn)更好的流量控制效果����。但根據(jù)流量的行為特征進(jìn)行判斷,也會(huì)在一定程度上增加應(yīng)用協(xié)議的誤識別率��,極端情況下甚至?xí)绊懙骄W(wǎng)絡(luò)的連通性�����。所以當(dāng)無法保證準(zhǔn)確識別時(shí),流控產(chǎn)品要給用戶提供糾正的手段���,或?qū)⒉糠止δ茏鳛榭蛇x項(xiàng)進(jìn)行交付���。
應(yīng)用協(xié)議特征的更新響應(yīng)速度也是非常重要的評估指標(biāo),在爆發(fā)式增長的互聯(lián)網(wǎng)應(yīng)用面前����,業(yè)界所有廠商都不遺余力地進(jìn)行著越來越多的抓包、分析��、測試��、更新工作���。這種模式未來到底能堅(jiān)持多久,誰也無法給出準(zhǔn)確答案��。但從其他安全產(chǎn)品的發(fā)展歷程看����,流控廠商也許要在技術(shù)實(shí)現(xiàn)機(jī)制或運(yùn)營模式方面探索新的道路。
發(fā)展中的流控技術(shù)
流控產(chǎn)品本身就因流量控制的需求而生,發(fā)展至今已經(jīng)比較成熟���。但在不斷變化的應(yīng)用需求面前����,其功能與實(shí)現(xiàn)機(jī)制一直在進(jìn)行調(diào)整��,爭取更好的優(yōu)化與管控效果����。目前,流控的核心理念已從傳統(tǒng)的控制下行流量發(fā)展到對上行流量的控制��。前者雖然易于實(shí)現(xiàn)�,但僅對TCP流量有一定的效果(如調(diào)整TCP Window)。對于UDP流量來說�,這種方式非但效果不明顯,且易產(chǎn)生流量差�,對帶寬資源造成極大的浪費(fèi)?�?紤]到目前占用帶寬比例最大的網(wǎng)絡(luò)視頻和多數(shù) P2P下載應(yīng)用都以UDP通訊為主���,流控產(chǎn)品必須應(yīng)具有通過控制上行流量來壓制下行流量的機(jī)制����,從而減小流量差,提高帶寬利用率��。
當(dāng)帶寬資源緊張時(shí)��,流控產(chǎn)品通常會(huì)采用丟包的方法來實(shí)現(xiàn)壓縮流量的目的����。在數(shù)據(jù)包的丟棄機(jī)制方面,目前常見的有隊(duì)列與非隊(duì)列兩種�����。隊(duì)列方式相對比較傳統(tǒng)�,流控引擎會(huì)將數(shù)據(jù)包放入隊(duì)列,然后由隊(duì)列調(diào)度器統(tǒng)一進(jìn)行調(diào)度�����,許多開源軟件都采用了這種實(shí)現(xiàn)方法�。這樣做的好處是網(wǎng)絡(luò)波動(dòng)小一些���,特別是TCP流量會(huì)更加平緩���,但對資源的占用相對較多���,系統(tǒng)壓力會(huì)增大。如果沒有用到隊(duì)列��,流控引擎一般會(huì)采用TOKEN BUCKET機(jī)制��。當(dāng)TOKEN不夠時(shí)��,對當(dāng)前數(shù)據(jù)包直接進(jìn)行丟棄�����。其優(yōu)點(diǎn)是系統(tǒng)壓力小�,占用資源少,基本上無延遲����。總體來看��,兩種丟包機(jī)制各
有優(yōu)劣����,但對于高校網(wǎng)絡(luò)出口這種流量較大的應(yīng)用場景來說�,非隊(duì)列模式顯然更為適用����。
總體控制可以對網(wǎng)絡(luò)流量進(jìn)行宏觀管理,但無法解決單點(diǎn)流量過大而引發(fā)的公平性問題��。因此要達(dá)到更好的流量控制效果����,必須采用點(diǎn)面結(jié)合的管理思路。這就要求流控產(chǎn)品在對出口流量進(jìn)行整體梳理的同時(shí)����,能夠提供針對IP/IP群組的控制能力,維護(hù)一定程度的公平�。此外,帶寬保證/ 帶寬借用也是流控產(chǎn)品中比較常見的功能���。根據(jù)以往的實(shí)施經(jīng)驗(yàn)來看����,該功能在企業(yè)�����、網(wǎng)吧等出口帶寬較小的場景中具有很好的優(yōu)化效果�,在高校、運(yùn)營商等大流量環(huán)境中效果并不明顯����。
應(yīng)用路由漸成主流
