劉曉暉　楊波　李桂倫

當(dāng)前，在對現(xiàn)有信息資源合理配置、有效利用的基礎(chǔ)上，辦公方式實現(xiàn)了從傳統(tǒng)型向現(xiàn)代化的轉(zhuǎn)變。利用局域網(wǎng)，在企業(yè)管理、網(wǎng)絡(luò)辦公、業(yè)務(wù)學(xué)習(xí)、資料查詢、信息交流、資源共享等方面受益匪淺。但有的單位由于辦公網(wǎng)絡(luò)規(guī)模龐大、用戶數(shù)量眾多、網(wǎng)絡(luò)應(yīng)用環(huán)境復(fù)雜等因素，局域網(wǎng)年年升級還是滿足不了要求。這是因為P2P下載、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)視頻等應(yīng)用，以及網(wǎng)絡(luò)病毒傳播，占用了巨大的網(wǎng)絡(luò)帶寬，使得局域網(wǎng)的帶寬無法承受，甚至造成網(wǎng)絡(luò)擁塞或癱瘓。因此，必須進(jìn)行有效的帶寬規(guī)劃，采取科學(xué)的管理策略，基于DPI技術(shù)的局域網(wǎng)帶寬管理就是一種選擇方法。

1.主流帶寬管理技術(shù)介紹

目前常用的流量帶寬管理技術(shù)有常用端口檢測法、深度流檢測法（DFI）和深度包檢測法（DPI）。

常用端口檢測法是通過四層處理完成檢測，它是基于開放端口、隨機端口甚至采用加密方式進(jìn)行傳輸?shù)膽?yīng)用類型，在目前網(wǎng)絡(luò)中廣泛使用，通過常用端口方式能夠識別的協(xié)議類型非常有限。

深度流檢測法是基于流量行為的應(yīng)用識別技術(shù)，根據(jù)各種應(yīng)用的連接數(shù)、單IP地址的連接模式、上（下）行流量比例關(guān)系、數(shù)據(jù)包發(fā)送頻率等數(shù)據(jù)流行為特征指標(biāo)的不同，與DFI檢測模型進(jìn)行匹配，從中區(qū)分出流量的應(yīng)用類型。由于它粒度較粗，只能對應(yīng)用類型進(jìn)行籠統(tǒng)分類。

深度包檢測法的深度是和普通報文分析層次相比較而言的，普通報文檢測只限于分析IP包的層以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型，而DPI除了對前面的層次分析外，還增加了應(yīng)用層分析，識別各種應(yīng)用及其內(nèi)容。

DPI技術(shù)的關(guān)鍵是高效地識別出網(wǎng)絡(luò)中的各種應(yīng)用， 當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流經(jīng)過基于DPI技術(shù)的帶寬管理系統(tǒng)時，該系統(tǒng)通過深入讀取IP包載荷，對OSI7層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個應(yīng)用程序的內(nèi)容，對流量中的具體應(yīng)用類型和協(xié)議做到比較準(zhǔn)確的識別，然后按照系統(tǒng)定義的管理策略對流量進(jìn)行整形操作，從而有效管理網(wǎng)絡(luò)帶寬。

由于DPI應(yīng)用識別的準(zhǔn)確度、可控性等方面具有優(yōu)勢，局域網(wǎng)采用基于DPI技術(shù)的流量帶寬設(shè)備來對流量帶寬進(jìn)行管理，并綜合運用以上三種識別技術(shù)，在檢測效率和靈活性方面均達(dá)到最優(yōu)。

2.局域網(wǎng)帶寬管理的實現(xiàn)

2.1局域網(wǎng)帶寬管理網(wǎng)絡(luò)結(jié)構(gòu)

對廣域網(wǎng)的帶寬管理，可在局域網(wǎng)與廣域網(wǎng)交界處配備一臺帶寬管理設(shè)備來實現(xiàn)；對互聯(lián)網(wǎng)出口的帶寬管理，可在網(wǎng)絡(luò)出口防火墻和核心交換機之間配備一臺帶寬管理設(shè)備。我單位使用雙核心交換機，需要兩條鏈路冗余，基于端口的考慮， 將帶寬管理設(shè)備前移到防火墻與路由器之間來實現(xiàn)帶寬流量管理，對所有經(jīng)過網(wǎng)絡(luò)出口的數(shù)據(jù)包進(jìn)行特征碼分析，從而實現(xiàn)外網(wǎng)出口帶寬的優(yōu)化。

2.2局域網(wǎng)帶寬監(jiān)控與分析

對所有流經(jīng)帶寬設(shè)備的流量實時產(chǎn)生各種統(tǒng)計分析報表，包括對網(wǎng)絡(luò)流向的監(jiān)控，對網(wǎng)絡(luò)協(xié)議的監(jiān)控和對用戶的監(jiān)控。通過一定時間內(nèi)的歷史數(shù)據(jù)報表統(tǒng)計，獲取網(wǎng)絡(luò)總體流量水平、流量波動、流量跳變等參數(shù)，分析異常流量與正常流量的偏差，可以有效防止異常流量對網(wǎng)絡(luò)運行的影響。同時，網(wǎng)絡(luò)管理員可以更準(zhǔn)確、詳細(xì)地了解各類帶寬的占用情況，及時做出合理的網(wǎng)絡(luò)資源分配決策。

我單位局域網(wǎng)出口中基于協(xié)議和應(yīng)用進(jìn)行的帶寬使用情況統(tǒng)計，PPLive、HTTP以及BT等應(yīng)用占用了近 60% 的帶寬。分析發(fā)現(xiàn) P2P 軟件、網(wǎng)絡(luò)電視、網(wǎng)絡(luò)游戲毫無節(jié)制的應(yīng)用，占用了大量寶貴的帶寬資源，嚴(yán)重影響局域網(wǎng)的其他應(yīng)用。

2.3局域網(wǎng)帶寬管理策略

帶寬管理策略需要以用戶或應(yīng)用為對象，以時間為緯度，以帶寬值為杠桿，制定精細(xì)的管理分配策略，幫助企業(yè)提升帶寬應(yīng)用效益。

2.3.1保障關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬及優(yōu)先權(quán)策略

在局域網(wǎng)中，網(wǎng)絡(luò)辦公、行政管理、圖書資料管理、視頻會議和資源共享是我單位的關(guān)鍵應(yīng)用。利用分級管理功能，指定局域網(wǎng)為Web應(yīng)用和辦公應(yīng)用為關(guān)鍵應(yīng)用，把這些關(guān)鍵應(yīng)用分配在一個較大的邏輯通道中，從而確保這些應(yīng)用能高效運行和服務(wù)高質(zhì)量。例如，在帶寬管理設(shè)備設(shè)立HTTP、RSTP、POP3、SMTP的子通道，把辦公網(wǎng)絡(luò)、會議廳、辦公大樓網(wǎng)絡(luò)劃歸到設(shè)立的子通道中，服務(wù)優(yōu)先級設(shè)置到最高的7級，保證帶寬和最大使用帶寬根據(jù)需要設(shè)置大小。

2.3.2按區(qū)域合理分配網(wǎng)絡(luò)帶寬策略

固定分配每個子網(wǎng)的帶寬，不會因為個別用戶的過量下載而導(dǎo)致某個網(wǎng)段內(nèi)部甚至整個網(wǎng)絡(luò)出現(xiàn)重大問題，對用戶相對密集和網(wǎng)絡(luò)使用率高的子網(wǎng)，適當(dāng)加大分配的帶寬。例如，按辦公區(qū)、宿舍區(qū)等子網(wǎng)分類，對個別特殊區(qū)域繼續(xù)細(xì)分子網(wǎng)帶寬。

2.3.3按時間段合理分配網(wǎng)絡(luò)帶寬策略

在不同的時間段進(jìn)行自動策略分配，滿足不同時間段內(nèi)不同用戶、不同應(yīng)用的帶寬需求。當(dāng)網(wǎng)絡(luò)帶寬資源緊張的時候，限制那些使用量大的用戶，保障那些使用量小且急用的用戶；反之，當(dāng)網(wǎng)絡(luò)資源有較大空閑時，則取消這些限制，讓每個用戶都能進(jìn)行高速下載，從而實現(xiàn)靈活、高效、可靠使用有限的網(wǎng)絡(luò)帶寬。結(jié)合按區(qū)域合理分配網(wǎng)絡(luò)帶寬策略，在上班時間段，對宿舍區(qū)網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)南拗?，保證正常的辦公區(qū)網(wǎng)絡(luò)使用需求；在下班時間段，則取消對辦公區(qū)網(wǎng)絡(luò)的優(yōu)先策略。

2.3.4限制或禁止非學(xué)習(xí)工作網(wǎng)絡(luò)流量帶寬策略

非學(xué)習(xí)工作的流量主要是與辦公工作無關(guān)的非業(yè)務(wù)流量。對于那些 P2P軟件的使用者來說，下載一個文件花5個小時或者10個小時差別并不大，但對于其他瀏覽網(wǎng)頁的用戶，訪問一個網(wǎng)頁需要5秒鐘還是10秒鐘，其感覺是不一樣的。同樣，如果某個用戶急需下載一個幾兆大小的文件或者電子郵件，他會很關(guān)注當(dāng)前的網(wǎng)絡(luò)速度，而此時的網(wǎng)絡(luò)帶寬也許正在被某些P2P軟件或者其他一些網(wǎng)絡(luò)資源消耗較多的用戶占用。因此，對P2P下載、網(wǎng)絡(luò)游戲等網(wǎng)絡(luò)應(yīng)用，采取限制或禁止這類流量帶寬的策略。

2.3.5控制異常網(wǎng)絡(luò)流量帶寬策略

異常流量包括DoS（拒絕服務(wù)攻擊）、DDoS（分布式拒絕服務(wù)攻擊）、病毒、垃圾郵件、P2P應(yīng)用、非法VoIP等。根據(jù)異常流量呈現(xiàn)的各種特征，深度檢測應(yīng)用業(yè)務(wù)，以區(qū)別異常流量， 結(jié)合協(xié)議、端口、IP地址、病毒、攻擊報文等模式的統(tǒng)計報表，通過控制會話數(shù)、源地址端口、目標(biāo)地址端口、應(yīng)用協(xié)議等參數(shù)，控制和預(yù)防異常流量。我部局域網(wǎng)采取相應(yīng)流量帶寬策略后，HTTP等主要應(yīng)用比例占據(jù)流量的大部分，而BT、PPLive等應(yīng)用比例明顯減少，提高了網(wǎng)絡(luò)運行安全可靠性。 [科]