文/毛守焱

隨著P2P類應(yīng)用越來(lái)越強(qiáng)烈的加密趨勢(shì)，傳統(tǒng)的基于應(yīng)用協(xié)議數(shù)據(jù)特征的識(shí)別方式往往難以奏效，這就要求協(xié)議識(shí)別引擎能夠?qū)α髁啃袨檫M(jìn)行綜合分析，根據(jù)統(tǒng)計(jì)特征、連接相關(guān)性等方面表現(xiàn)出來(lái)的蛛絲馬跡判斷應(yīng)用的類型。

面對(duì)洪流，最好的做法是主動(dòng)疏導(dǎo)，而絕非被動(dòng)封堵。如今，通過(guò)流控產(chǎn)品對(duì)應(yīng)用流量進(jìn)行梳理的做法已被普遍接受。

隨著教育信息化進(jìn)程的不斷加深，我國(guó)已建成規(guī)模龐大的教育網(wǎng)絡(luò)，為高校提供了優(yōu)越的接入條件。然而，日新月異的互聯(lián)網(wǎng)應(yīng)用吞噬著越來(lái)越多的帶寬，校園網(wǎng)內(nèi)終端接入數(shù)量也始終處于高速增長(zhǎng)的態(tài)勢(shì)，對(duì)高校網(wǎng)絡(luò)的運(yùn)維提出了新的挑戰(zhàn)。在這種情況下，如何更合理地管理流量，為教科研任務(wù)提供更好的保障，成為各高校信息中心負(fù)責(zé)人普遍關(guān)注的問(wèn)題。

面對(duì)洪流，最好的做法是主動(dòng)疏導(dǎo)，而絕非被動(dòng)封堵。如今，通過(guò)流控產(chǎn)品對(duì)應(yīng)用流量進(jìn)行梳理的做法已被普遍接受。在不少高校，流控產(chǎn)品都成為網(wǎng)絡(luò)出口必不可少的設(shè)備，直接決定著網(wǎng)絡(luò)帶寬的利用率及用戶應(yīng)用體驗(yàn)。經(jīng)過(guò)長(zhǎng)期跟蹤分析，筆者總結(jié)了一些流控產(chǎn)品在高校網(wǎng)絡(luò)出口環(huán)境的評(píng)估經(jīng)驗(yàn)與部署建議。

協(xié)議識(shí)別走向立體化

眾所周知，流控產(chǎn)品的工作機(jī)制與防病毒網(wǎng)關(guān)、IPS等安全產(chǎn)品類似，主要依靠應(yīng)用協(xié)議的數(shù)據(jù)特征對(duì)流量的應(yīng)用歸屬進(jìn)行判斷。它的核心是協(xié)議識(shí)別引擎，其衡量標(biāo)準(zhǔn)包括識(shí)別率、誤識(shí)別率、協(xié)議種類和性能等。許多用戶認(rèn)為能夠識(shí)別的協(xié)議數(shù)量非常重要（廠商往往也樂(lè)于強(qiáng)調(diào)這一點(diǎn)），其實(shí)不然，流控產(chǎn)品在真實(shí)環(huán)境下的識(shí)別率才是最重要的指標(biāo)。這就好比防病毒網(wǎng)關(guān)，某些產(chǎn)品在規(guī)格表中公布的病毒簽名數(shù)量只有幾萬(wàn)條，但每一個(gè)簽名都涵蓋了同一病毒家族的所有變種，實(shí)際查殺能力甚至能超越其他一些標(biāo)稱內(nèi)置數(shù)十萬(wàn)簽名的產(chǎn)品。

隨著P2P類應(yīng)用越來(lái)越強(qiáng)烈的加密趨勢(shì)，傳統(tǒng)的基于應(yīng)用協(xié)議數(shù)據(jù)特征的識(shí)別方式往往難以奏效，這就要求協(xié)議識(shí)別引擎能夠?qū)α髁啃袨檫M(jìn)行綜合分析，根據(jù)統(tǒng)計(jì)特征、連接相關(guān)性等方面表現(xiàn)出來(lái)的蛛絲馬跡判斷應(yīng)用的類型。一些流控產(chǎn)品已經(jīng)提供了這種啟發(fā)式處理機(jī)制，可以與傳統(tǒng)方式相配合，實(shí)現(xiàn)更好的流量控制效果。但根據(jù)流量的行為特征進(jìn)行判斷，也會(huì)在一定程度上增加應(yīng)用協(xié)議的誤識(shí)別率，極端情況下甚至?xí)绊懙骄W(wǎng)絡(luò)的連通性。所以當(dāng)無(wú)法保證準(zhǔn)確識(shí)別時(shí)，流控產(chǎn)品要給用戶提供糾正的手段，或?qū)⒉糠止δ茏鳛榭蛇x項(xiàng)進(jìn)行交付。

應(yīng)用協(xié)議特征的更新響應(yīng)速度也是非常重要的評(píng)估指標(biāo)，在爆發(fā)式增長(zhǎng)的互聯(lián)網(wǎng)應(yīng)用面前，業(yè)界所有廠商都不遺余力地進(jìn)行著越來(lái)越多的抓包、分析、測(cè)試、更新工作。這種模式未來(lái)到底能堅(jiān)持多久，誰(shuí)也無(wú)法給出準(zhǔn)確答案。但從其他安全產(chǎn)品的發(fā)展歷程看，流控廠商也許要在技術(shù)實(shí)現(xiàn)機(jī)制或運(yùn)營(yíng)模式方面探索新的道路。

發(fā)展中的流控技術(shù)

流控產(chǎn)品本身就因流量控制的需求而生，發(fā)展至今已經(jīng)比較成熟。但在不斷變化的應(yīng)用需求面前，其功能與實(shí)現(xiàn)機(jī)制一直在進(jìn)行調(diào)整，爭(zhēng)取更好的優(yōu)化與管控效果。目前，流控的核心理念已從傳統(tǒng)的控制下行流量發(fā)展到對(duì)上行流量的控制。前者雖然易于實(shí)現(xiàn)，但僅對(duì)TCP流量有一定的效果（如調(diào)整TCP Window）。對(duì)于UDP流量來(lái)說(shuō)，這種方式非但效果不明顯，且易產(chǎn)生流量差，對(duì)帶寬資源造成極大的浪費(fèi)?？紤]到目前占用帶寬比例最大的網(wǎng)絡(luò)視頻和多數(shù)P2P下載應(yīng)用都以UDP通訊為主，流控產(chǎn)品必須應(yīng)具有通過(guò)控制上行流量來(lái)壓制下行流量的機(jī)制，從而減小流量差，提高帶寬利用率。

當(dāng)帶寬資源緊張時(shí)，流控產(chǎn)品通常會(huì)采用丟包的方法來(lái)實(shí)現(xiàn)壓縮流量的目的。在數(shù)據(jù)包的丟棄機(jī)制方面，目前常見(jiàn)的有隊(duì)列與非隊(duì)列兩種。隊(duì)列方式相對(duì)比較傳統(tǒng)，流控引擎會(huì)將數(shù)據(jù)包放入隊(duì)列，然后由隊(duì)列調(diào)度器統(tǒng)一進(jìn)行調(diào)度，許多開(kāi)源軟件都采用了這種實(shí)現(xiàn)方法。這樣做的好處是網(wǎng)絡(luò)波動(dòng)小一些，特別是TCP流量會(huì)更加平緩，但對(duì)資源的占用相對(duì)較多，系統(tǒng)壓力會(huì)增大。如果沒(méi)有用到隊(duì)列，流控引擎一般會(huì)采用TOKEN BUCKET機(jī)制。當(dāng)TOKEN不夠時(shí)，對(duì)當(dāng)前數(shù)據(jù)包直接進(jìn)行丟棄。其優(yōu)點(diǎn)是系統(tǒng)壓力小，占用資源少，基本上無(wú)延遲?？傮w來(lái)看，兩種丟包機(jī)制各有優(yōu)劣，但對(duì)于高校網(wǎng)絡(luò)出口這種流量較大的應(yīng)用場(chǎng)景來(lái)說(shuō)，非隊(duì)列模式顯然更為適用。

總體控制可以對(duì)網(wǎng)絡(luò)流量進(jìn)行宏觀管理，但無(wú)法解決單點(diǎn)流量過(guò)大而引發(fā)的公平性問(wèn)題。因此要達(dá)到更好的流量控制效果，必須采用點(diǎn)面結(jié)合的管理思路。這就要求流控產(chǎn)品在對(duì)出口流量進(jìn)行整體梳理的同時(shí)，能夠提供針對(duì)IP/IP群組的控制能力，維護(hù)一定程度的公平。此外，帶寬保證/帶寬借用也是流控產(chǎn)品中比較常見(jiàn)的功能。根據(jù)以往的實(shí)施經(jīng)驗(yàn)來(lái)看，該功能在企業(yè)、網(wǎng)吧等出口帶寬較小的場(chǎng)景中具有很好的優(yōu)化效果，在高校、運(yùn)營(yíng)商等大流量環(huán)境中效果并不明顯。

應(yīng)用路由漸成主流

僅僅控制流量并不能完全解決問(wèn)題，在條件允許的情況下，還需要主動(dòng)疏導(dǎo)，以爭(zhēng)取更好的網(wǎng)絡(luò)應(yīng)用體驗(yàn)。比較常見(jiàn)的做法是將P2P下載、網(wǎng)絡(luò)視頻等非關(guān)鍵應(yīng)用的流量分配到高帶寬、低成本的線路上。這些應(yīng)用的實(shí)現(xiàn)機(jī)制決定了即便是在質(zhì)量欠佳的鏈路環(huán)境下，仍能達(dá)到讓人接受的效果。而視頻會(huì)議、遠(yuǎn)程教學(xué)等關(guān)鍵應(yīng)用的體驗(yàn)必須有所保障，它們應(yīng)享用最好的鏈路資源。綜上所述，應(yīng)用路由已成為當(dāng)今流控產(chǎn)品的標(biāo)準(zhǔn)功能之一，未來(lái)必將得到大范圍應(yīng)用。高校中更是如此。

目前，流控產(chǎn)品通常有3種實(shí)現(xiàn)應(yīng)用路由的部署模式，分別為：

1. 針對(duì)不同應(yīng)用，打上不同的DSCP標(biāo)記，路由器/防火墻根據(jù)DSCP做策略路由；

2. 針對(duì)不同應(yīng)用，實(shí)施不同的源地址NAT，路由器/防火墻根據(jù)源地址做策略路由；

3. 取代路由器/防火墻做接入，直接針對(duì)不同應(yīng)用做策略路由。

第一種方式實(shí)施起來(lái)比較簡(jiǎn)單，但筆者在許多部署中發(fā)現(xiàn)，可根據(jù)DSCP做策略路由的路由器/防火墻并不多。而基本上所有的路由器或防火墻都支持基于源地址的策略路由，所以第二種方式更通用一些（當(dāng)然這個(gè)通用是以增加流控產(chǎn)品負(fù)載為前提的）。第三種實(shí)現(xiàn)方式最簡(jiǎn)單，但對(duì)網(wǎng)絡(luò)拓?fù)涞母膭?dòng)比較大，設(shè)備也要承擔(dān)最重的負(fù)載，目前在高校中比較少見(jiàn)。不過(guò)流控產(chǎn)品與路由器/防火墻的融合趨勢(shì)是比較明顯的，相信未來(lái)第三種部署模式的比例會(huì)逐漸增加。個(gè)別高校目前采用了為每條鏈路單獨(dú)配備流控產(chǎn)品的做法，這非但不能實(shí)現(xiàn)應(yīng)用路由，對(duì)流量也缺乏整體感知與控制的能力，除非是極特殊的情況，否則不建議使用這種部署模式。

在啟用應(yīng)用路由時(shí)，還有兩個(gè)重要的問(wèn)題需要考慮。首先是不同運(yùn)營(yíng)商之間的互通問(wèn)題，大的門戶或在線視頻網(wǎng)站都有自己的DNS（CDN）負(fù)載均衡服務(wù)，通過(guò)不同運(yùn)營(yíng)商的DNS解析出來(lái)的地址肯定有所差異。如果目標(biāo)地址是電信IP，但經(jīng)過(guò)應(yīng)用路由后流量指向聯(lián)通線路，那么非但不會(huì)起到優(yōu)化效果，反而會(huì)降低應(yīng)用體驗(yàn)。因此在很多情況下，應(yīng)用路由需要搭配DNS重定向功能，如果將流量甩向聯(lián)通的鏈路，就將DNS請(qǐng)求通過(guò)聯(lián)通的DNS服務(wù)器解析，以獲得正常的訪問(wèn)效果。

其次是應(yīng)用連接的相關(guān)性問(wèn)題。一些應(yīng)用中，存在有單會(huì)話包含多條連接的情況，如果其中一部分連接走教育網(wǎng)，另一部分走其他運(yùn)營(yíng)商，輕則影響應(yīng)用體驗(yàn)，重則會(huì)中斷應(yīng)用。這種情況對(duì)流控引擎提出了更高要求，只有輔以前面提到過(guò)的基于應(yīng)用協(xié)議行為特征的判斷機(jī)制，才能解決特征完整性的問(wèn)題。不過(guò)，應(yīng)用路由的成功率也并不等同于對(duì)應(yīng)用的識(shí)別率，某些應(yīng)用是服務(wù)端先發(fā)數(shù)據(jù)，難以實(shí)現(xiàn)分流。所以廠商在分析、描述應(yīng)用特征時(shí)，也要預(yù)先考慮到應(yīng)用路由的需要。

協(xié)作：1+1>2的優(yōu)化效果

流控產(chǎn)品部署在高校網(wǎng)絡(luò)出口，對(duì)出入校園網(wǎng)的所有流量進(jìn)行管理與優(yōu)化，地位不亞于路由器與核心交換機(jī)。雖然流量管理是其主要職能，但如果能夠與其他設(shè)備協(xié)作，將會(huì)起到更好的優(yōu)化效果，使其價(jià)值最大化。

目前來(lái)看，最適合與流控產(chǎn)品進(jìn)行搭配的當(dāng)屬Cache加速設(shè)備。借助應(yīng)用路由，流控產(chǎn)品可以將高校網(wǎng)絡(luò)出口流量中的特定應(yīng)用及內(nèi)容進(jìn)行重定向（例如文件下載或Web視頻應(yīng)用），指向Cache加速設(shè)備。此時(shí)它就相當(dāng)于Cache加速設(shè)備的一個(gè)客戶，對(duì)終端用戶而言是完全透明的。使用流控產(chǎn)品實(shí)現(xiàn)重定向和傳統(tǒng)的基于端口的重定向的一個(gè)顯著區(qū)別是，前者可以根據(jù)精準(zhǔn)的應(yīng)用識(shí)別結(jié)果，只轉(zhuǎn)發(fā)Cache加速設(shè)備需要處理的流量，從而提升了緩存系統(tǒng)的利用率與命中率，同時(shí)降低I/O與文件管理系統(tǒng)的壓力，使其更“專心”地去做業(yè)務(wù)相關(guān)的工作。

另一個(gè)適合與流控產(chǎn)品協(xié)同工作的是審計(jì)系統(tǒng)。一般而言，審計(jì)系統(tǒng)需要通過(guò)交換機(jī)鏡像端口獲取數(shù)據(jù)。因?yàn)殓R像而來(lái)的是所有流量，審計(jì)系統(tǒng)必須在接收所有數(shù)據(jù)包的同時(shí)過(guò)濾掉不在業(yè)務(wù)范圍內(nèi)的數(shù)據(jù)包，這一環(huán)節(jié)會(huì)占用不少的系統(tǒng)資源。流控產(chǎn)品可以利用其強(qiáng)大的協(xié)議識(shí)別能力，將需要審計(jì)的應(yīng)用流量（如HTTP，IM等）有選擇地鏡像給審計(jì)系統(tǒng)，這樣就可以大大降低審計(jì)系統(tǒng)的壓力，避免由于性能導(dǎo)致的審計(jì)不完整問(wèn)題。

實(shí)際上，幾乎所有作用于特定業(yè)務(wù)的串行或旁路設(shè)備，都可以從流控產(chǎn)品的應(yīng)用路由及應(yīng)用流量鏡像功能中受益。一些高校曾經(jīng)由于性能問(wèn)題拒絕了WAF或防病毒網(wǎng)關(guān)，經(jīng)過(guò)分析，其性能瓶頸很大程度上是因?yàn)椴槐匾腎/O處理所造成，而非安全業(yè)務(wù)。須要注意的是，應(yīng)用路由及應(yīng)用流量鏡像的功能在流控產(chǎn)品上還不是很普及，它們的實(shí)現(xiàn)機(jī)制也會(huì)為設(shè)備帶來(lái)額外的負(fù)載，對(duì)性能的影響比較大。所以建議教師們?cè)谶M(jìn)行評(píng)估選型的時(shí)候，更多地依據(jù)實(shí)際環(huán)境中的測(cè)試結(jié)果做出判斷。