试论网络流量控制系统在上虞广电IP城域网中的应用

摘要：随着信息技术的飞速发展和广泛应用，信息化已经深入到各行各业，以宽带IP接入方式为主的城域网被广泛地应用于企业、政府、高校、能源等行业。上虞广电IP城域网建设也得到了飞速发展，网络所承载的内容变得日益复杂与多元化，网络流量日益增加，带宽出口瓶颈日趋严重。大量非业务资源的访问、超大文件的上传和下载、P2P、流媒体，甚至DOS攻击等不仅严重浪费宝贵的带宽资源，造成关键业务应用访问迟缓，同时，无形中增加了网络信息维护成本。上虞广电IP城域网在出口部署了网络流量控制设备，对出口流量进行优化和管理，有效地检测和防止非关键应用对网络带宽资源的大量消耗，保证关键应用的带宽使用，上虞广电IP城域网出口流量得到了有效的管理和控制。

关键词：IP城域网；网络流量控制；出口流量；带宽资源

1 引言

随着信息技术的飞速发展和广泛应用，信息化已经深入到各行各业，以宽带IP接入方式为主的城域网被广泛地应用于企业、政府、高校、能源等行业。上虞的信息化建设也得到了飞速发展，网络的应用模式逐步发展为基于E-mail、FTP文件传输、远程登录、OA、视频会议、VoIP、电子商务、IPTV、智能信息平台、网络教育、数字图书馆、数字城管等动态的、大规模的、复杂的应用。网络所承载的内容变得日益复杂与多元化，网络流量日益增加，带宽出口瓶颈日趋严重。大量非业务资源的访问、超大文件的上传和下载、P2P、流媒体，甚至DOS攻击等不仅严重浪费宝贵的带宽资源，造成关键业务应用访问迟缓，同时，无形中增加了网络信息维护成本。因此，网络管理者一直在考虑，如何让宝贵的互联网带宽资源更高效、可控地使用并发挥其价值？

2 上虞广电IP城域网简介

宽带IP城域网是根据业务的发展和竞争的需要而建设的城市范围内的宽带多媒体通信网络，是宽带骨干网络在城市范围内的延伸，并作为本地的公共信息平台组成部分，负责承载各种多媒体业务，为用户提供各种接入方式，满足政府部门、企事业单位、个人用户对基于IP的各种多媒体业务的需求。

上虞广电IP城域网是采用当前世界先进的光城域网MSTP技术和宽带IP网络技术、以太网网络技术等构建的高带宽、高性能，安全稳定的综合性多业务接入平台的宽带网络。负责承载高速上网、带宽租用、虚拟专用网（VPN）、FTP文件传输、远程登录、OA、网络教育、E-mail、视频、监控等多种业务，满足上虞部分政府部门、企事业单位、个人用户的需求，提供以太网、IP、MSTP、裸光纤等多种接入方式。

3 上虞广电IP城域网使用流量管理控制系统的必然性

上虞广电IP城域网在建设初期，由于对技术的偏好和运营意识的不足，存在“重技术、轻安全、轻管理”的倾向，在安全方面、网络管理方面没有太多的关注。其表现为对网络安全的认识不足，将网络系统作为一项纯技术工程来实施。网络系统管理人员只将精力集中于各服务器上应用系统日常维护、系统日志的审查和网络规范的设计及调整上，而很少去研究网络安全状态的发展变化、入侵手段、防范措施、安全机制等。

随着上虞电子政务计算机应用的大范围普及，接入上虞广电IP城域网的部门单位和个人的计算机日益增多，如果网络管理措施不力，随时有可能造成病毒传播泛滥、网络被攻击、系统瘫痪等严重后果。由于有一部分用户的自身上网习惯问题，利用网络资源进行免费的视频服务，甚至是去访问色情、暴力、反动网站，导致大量非法内容或垃圾邮件出入，占用了大量的带宽，致使网络资源严重被浪费，造成流量堵塞、上网速度慢等问题。为此，上虞广电IP城域网络建设在核心层和接入层的网络设备上进行了一系列的优化，启用思科三层核心交换机Cisco 7609、美国飞塔FT620防火墙等，网络总出口通过防火墙分别接入中国联通（网通）和中国移动（铁通）的骨干网。

但是，随着上虞广电IP城域网络业务的不断拓展，上虞广电IP城域网还存在一个经常被忽视但是越来越严重的现象。很多网络管理人员反映：现在有相当数量的用户，特别是年轻的用户，他们的计算机相关技术水平非常高，甚至超乎网络管理人员的想象，在这种情况下，我们上虞广电网络如何能够保证网络的安全运行，同时又能提供丰富的网络资源，达到多种需求成为了一个难题。很多时候，网络的安全隐患更多地来自于网络内部。相比来自外部的攻击，来自网络内部的攻击更为可怕，威胁更大。

此时，利用网络流量管理控制系统，有效地限制用户，如上网、视频、P2P、QQ、游戏等业务的合理网络资源分配，成为了必然的手段。

套用流媒体世界首席运营官张彦翔的原话：“在合适的机会推出合适的业务属于知天时，在具体的城市环境推不同的业务谓懂地利，把握不同消费群体需求完善不同业务就是明人和，只有多结合实际情况来做更多的探索……才能真正赢得用户的认可。”也就是说，只有知天时、懂地利、明人和，多方面探索，网络才能获得更大的经济效益。

4 流量管理控制系统在上虞广电IP城域网中的应用

结合上虞广电IP城域网的实际，在出口部署了网络流量控制设备，对出口流量进行优化和管理，有效地检测和防止非关键应用对网络带宽资源的大量消耗，保证关键应用的带宽使用，上虞广电IP城域网出口流量得到了有效的管理和控制。选择使用深信服Sinfor网络流控设备和Sinfor-AC-2.0网关控制台，改善和保障了上虞广电IP城域网整体网络应用的服务质量。

4.1 流量管理控制系统的作用

流量管理控制系统专用设备，凭借强大的应用识别能力，以及丰富的流量管理策略，可以实现对网络流量的全面透析与管控，优化网络带宽，为网络管理者提供了前所未有的网络可见性，真正意义上帮助用户构建可视、可控、可优化的高效网络。

(1) 避免带宽浪费，降低投资成本

网络链路中的流量丰富而泛滥，加之组织部署的业务系统越来越多，这些业务系统的带宽争抢导致业务系统运行速度越来越不尽如人意。增加带宽有时并不能真正解决问题，带宽投资成本不断上涨的同时，我们的问题却没有解决。通过内网流量管理控制系统，在无需增加带宽扩容成本的前提下，最大限度提高带宽利用率。

(2) 保障关键应用带宽需求，提升带宽价值

迅雷、BT等P2P下载、流媒体、网络游戏等非工作流量抢占有限的带宽资源，导致语音和视频会议、OA、ERP等业务系统运行不稳定，访问速度很慢，怎么办？通过流量管理控制系统，细致划分带宽资源，保证核心业务的带宽需求，限制非业务应用的带宽占用，彻底解决P2P滥用带宽等问题，大幅度提升业务运行效率。

(3) 全面洞悉网络中应用流量分布情况

网速越来越慢，IT管理者却无法了解具体的带宽使用情况、流量分布情况等，不能为管理策略的制定提供数据支撑或建议。通过流量管理控制系统，提供细致且直观的流量分布、趋势、对比报表等，让网络更加透明，为组织的IT决策提供科学依据。

4.2 流量管理控制设备的接入

上虞广电IP城域网的流量管理控制设备的接入方式如图1所示。Sinfor流控设备以透明网桥的形式接入在FT620防火墙和核心路由三层交换机CISCO 7609之间，实现对上虞广电IP城域网流量进行分析，对异常流量进行检测，对网络应用进行监控，根据业务应用和实际需要控制不同的带宽资源。

通过流控设备的网关控制台，可以监控到全网的实时网络运行状态：实时发送和实时接收、24小时内的流量、一周内的流量等；可以查看流量排名、查看连接控制、在线用户管理等；可以查看占用带宽排行榜，P2P行为、PPStream、网站浏览、多线程下载、视频等占用带宽资源的百分比、上传速率、下传速率和总速率等。掌握全网的运行状况，实现对全网流量进行分析，上虞广电IP城域网出口流量得到了有效的管理和控制。

4.3 流量管理控制系统的配置

(1) 进行防火墙规则设置：上虞广电IP城域网对流控设备的各端口进行了防火墙规则设置，如允许PING、放行UDP、放行TCP等（如图2所示）；可启用防DOS攻击；可启用ARP欺骗防护等。

(2) 进行个性化的上网行为管理组别策略配置：定制各类上网策略对象；认证选项设置；定制组别及各成员上网策略，如QQ聊天测试组、土豆视频测试组等（如图3所示）；并进行在线用户管理，如发现某一用户网络使用异常，可立即冻结或强制注销该用户，维护大多数网络用户的利益（如图4所示）。

(3) 流量管理系统：上虞广电IP城域网定制带宽管理和流量管理等，如保证视频和类游戏、HTTP带宽保证、P2P流量控制等，均进行自主设置，保证带宽、最大带宽和优先级的设置等，如图5所示。

(4) 进行上网行为审计：上虞广电IP城域网进行上网行为审计，实时日志查看，包括流量排名、活动连接排名、连接监控、行为监控等，如图6所示。

4.4 流量管理控制系统应用后的网络效果

流量管理控制系统设备就像网络清道夫一下，使得上虞广电IP城域网网络清渠如许，HTTP、P2P、视频、迅雷、QQ等带宽流量等得到了合理的利用和分配，使关键流量得到了有效的保障，从而保证了整个网络的快速稳定运行，如图7所示。

5 结束语

通过流控设备的部署，上虞广电IP城域网出口流量得到了有效的管理和控制，网络出口带宽拥塞现象也得到了很好的改善。网管人员不仅可以从宏观上了解网络的整体运行状况，实现了网络流量的可视性与可控性；而且利用流量控制管理系统可以对各种应用和用户的流量进行分类统计，全面了解网络运行状态及带宽使用情况，成为优化网络带宽、解决带宽恶意占用的有力工具。

淮南为橘，淮北为枳。只有结合上虞本地实际，合理使用网络流量控制系统，减少核心路由交换机和防火墙等网络设备的负载，优化网络设备性能，构建可视、可控、可优化的业务网络，才能给我们上虞广电IP城域网带来经济效益，同时也为上虞市本地的信息化网络建设作出一份小小的贡献。

参考文献

[1]互联网流量管理解决方案.

[2]张彦翔.中国IPTV增值业务发展的几个思考.

[3]申继年,刑雪梅.利用流控设备管理和优化校园网流量.网络安全技术与应用,2011(4).