导读：随着P2P类应用越来越强烈的加密趋势，传统的基于应用协议数据特征的识别方式往往难以奏效，这就要求协议识别引擎能够对流量行为进行综合分析，根据统计特征、连接相关性等方面表现出来的蛛丝马迹判断应用的类型。

　　随着教育信息化进程的不断加深，我国已建成规模庞大的教育网络，为高校提供了优越的接入条件。然而，日新月异的互联网应用吞噬着越来越多的带宽，校园网内终端接入数量也始终处于高速增长的态势，对高校网络的运维提出了新的挑战。在这种情况下，如何更合理地管理流量，为教科研任务提供更好的保障，成为各高校信息中心负责人普遍关注的问题。

　　面对洪流，最好的做法是主动疏导，而绝非被动封堵。如今，通过流控产品对应用流量进行梳理的做法已被普遍接受。在不少高校，流控产品都成为网络出口必不可少的设备，直接决定着网络带宽的利用率及用户应用体验。经过长期跟踪分析，笔者总结了一些流控产品在高校网络出口环境的评估经验与部署建议。

　　协议识别走向立体化

　　众所周知，流控产品的工作机制与防病毒网关、IPS等安全产品类似，主要依靠应用协议的数据特征对流量的应用归属进行判断。它的核心是协议识别引擎，其衡量标准包括识别率、误识别率、协议种类和性能等。许多用户认为能够识别的协议数量非常重要（厂商往往也乐于强调这一点），其实不然，流控产品在真实环境下的识别率才是最重要的指标。这就好比防病毒网关，某些产品在规格表中公布的病毒签名数量只有几万条，但每一个签名都涵盖了同一病毒家族的所有变种，实际查杀能力甚至能超越其他一些标称内置数十万签名的产品。

　　随着P2P 类应用越来越强烈的加密趋势，传统的基于应用协议数据特征的识别方式往往难以奏效，这就要求协议识别引擎能够对流量行为进行综合分析，根据统计特征、连接相关性等方面表现出来的蛛丝马迹判断应用的类型。一些流控产品已经提供了这种启发式处理机制，可以与传统方式相配合，实现更好的流量控制效果。但根据流量的行为特征进行判断，也会在一定程度上增加应用协议的误识别率，极端情况下甚至会影响到网络的连通性。所以当无法保证准确识别时，流控产品要给用户提供纠正的手段，或将部分功能作为可选项进行交付。

　　应用协议特征的更新响应速度也是非常重要的评估指标，在爆发式增长的互联网应用面前，业界所有厂商都不遗余力地进行着越来越多的抓包、分析、测试、更新工作。这种模式未来到底能坚持多久，谁也无法给出准确答案。但从其他安全产品的发展历程看，流控厂商也许要在技术实现机制或运营模式方面探索新的道路。

　　发展中的流控技术

　　流控产品本身就因流量控制的需求而生，发展至今已经比较成熟。但在不断变化的应用需求面前，其功能与实现机制一直在进行调整，争取更好的优化与管控效果。目前，流控的核心理念已从传统的控制下行流量发展到对上行流量的控制。前者虽然易于实现，但仅对TCP流量有一定的效果（如调整TCP Window）。对于UDP流量来说，这种方式非但效果不明显，且易产生流量差，对带宽资源造成极大的浪费。考虑到目前占用带宽比例最大的网络视频和多数P2P下载应用都以UDP通讯为主，流控产品必须应具有通过控制上行流量来压制下行流量的机制，从而减小流量差，提高带宽利用率。

　　当带宽资源紧张时，流控产品通常会采用丢包的方法来实现压缩流量的目的。在数据包的丢弃机制方面，目前常见的有队列与非队列两种。队列方式相对比较传统，流控引擎会将数据包放入队列，然后由队列调度器统一进行调度，许多开源软件都采用了这种实现方法。这样做的好处是网络波动小一些，特别是TCP流量会更加平缓，但对资源的占用相对较多，系统压力会增大。如果没有用到队列，流控引擎一般会采用TOKEN BUCKET机制。当TOKEN不够时，对当前数据包直接进行丢弃。其优点是系统压力小，占用资源少，基本上无延迟。总体来看，两种丢包机制各

　　有优劣，但对于高校网络出口这种流量较大的应用场景来说，非队列模式显然更为适用。

　　总体控制可以对网络流量进行宏观管理，但无法解决单点流量过大而引发的公平性问题。因此要达到更好的流量控制效果，必须采用点面结合的管理思路。这就要求流控产品在对出口流量进行整体梳理的同时，能够提供针对IP/IP群组的控制能力，维护一定程度的公平。此外，带宽保证/ 带宽借用也是流控产品中比较常见的功能。根据以往的实施经验来看，该功能在企业、网吧等出口带宽较小的场景中具有很好的优化效果，在高校、运营商等大流量环境中效果并不明显。