计算机网络流量控制技术研究.doc

摘 要摘 要 计算机网络的普及与应用已渗透到社会的各个层面，在为大家提供便利的同时，也对大家网络的运行造成了负担，本文通过对计算机网络协议，计算机网络结构，计算机网络流量控制技术研究应用等方面的说明，为大家讲解一些关于计算机网络流量控制技术方面的知识。关键词: 网络流量 网络协议ABSTRACTABSTRACTThe popularization of computer network and application has infiltrated into every aspect of society, to provide convenient at the same time, also on the network caused by the running burden, based on the computer network, computer network, computer network flow control technology research and application and so on, to explain some of the computer network flow control technical knowledge.Key words: network traffic network protocoli目 录目 录第一章 绪论1第二章 计算机网络概述32.1 计算机网络基本概念42.2 计算机网络的发展历史62.3 计算机网络的主要作用9第三章 流量控制技术133.1 通信网络协议133.2 计算机网络流量控制技术163.2.1 主要危害163.3.2 优点20第四章 流量控制技术应用25第五章 心得体会29结 论31致 谢33参考文献351第一章 绪论第一章 绪论 本文主要说明什么是网络协议，计算机网络的基本结构，计算机网络结构的发展历史，以及计算机网络流量控制技术存在的一些难题，还有这些难题的主要危害，如何控制避免，控制好后给大家带来的方便之处。举了一些流量控制在实际生活中的一些应用，希望大家从中了解一些关于计算机网络流量控制技术方面的基础知识。11第二章 计算机网络概述第二章 计算机网络概述 计算机网络是由计算机系统、网络节点和通信链路等组成的系统。从逻辑功能上看,一个网络可分成资源子网和通信子网两个部分构成。 网络系统以通信子网为中心，通信子网处于网络的内层。通信子网实现网络通信功能，包括数据的加工、传输和交换等通信处理工作。即将一个主计算机的信息传送给另一个主计算机。通信子网主要包括交换机、路由器、网桥、中继器、集线器、网卡和缆线等设备及相关软件。 资源子网实现资源共享功能，包括数据处理、提供网络资源和网络服务。资源子网主要包括主机及其外设、服务器、工作站、网络打印机和其他外设及其相关软件。计算机网络连接的计算机系统可以是巨型机、大型机、小型机、工作站、微型机或其他数据终端设备。 通信子网由网络节点、通信设备、通信线路等组成独立的数据通信系统，承担全网的数据传输、交换、加工和变换等通信处理工作。 网络节点也就是网络单元，是网络系统中的各种数据处理设备、数据通信控制设备(CCP)和数据终端设备的统称。网络节点分转接节点和访问节点两类。转接节点是支持网络连接性能的节点，它通过通信线路来转接和传递信息，如集中器、终端控制器等。访问节点是信息交换的源节点和目标节点，起信源和信宿的作用，如终端、主计算机等。 通信设备指各种网络连接设备，包括中继器、网桥、交换机、路由器等。 通信线路指的是传输介质及其介质连接部件，包括双绞线、同轴电缆、光纤等。 除了上述物理组成外,计算机网络还应具有功能完善的软件系统,以支持资源共享、数据传输等网络功能。为了在各网络组成部分之间进行数据通信,通信双方就必须有一套能够彼此了解,全网一致遵守的通信规则或约定。如数据传送的格式、数据传送的起始和停止位, 传送速度，传送中的差错控制等等。这些规则或约定称为网络协议。它是区别计算机网络与一般计算机互连的重要标志。可以说计算机网络通信是以网络协议为前提的。2.1 计算机网络基本概念早期的每台计算机都独立于其他计算机，它们自行工作，具有的资源也只能自己享用。例如，如果打印机安装在一台计算机上，那么只有该计算机上的用户才能使用它打印文档。现在，计算机网络是将分布在不同地理范围内的、具有独立功能的计算机系统及其外部通信设备，通过通信线路连接起来，并在网络操作系统、网络管理软件及网络通信协议的管理和协调下，实现彼此资源共享、信息传递、协同工作和在线处理等功能的系统，其结构如图1-1所示。图1-1 计算机网络结构简单地说，计算机网络就是一些互联的、自治的、以共享资源为目的的计算机系统的集合。其中，最小的计算机网络就是只由两台计算机通过通信介质组成的，即两个节点和一条链路，其结构如图1-2所示。图1-2 最小的计算机网络结构最大的计算机网络就是平时经常接触到的互联网，其结构如图1-3所示。通过对上述计算机网络概念的了解，可以将计算机网络内容大致分为以下3个基本要素，且缺一不可。1具有独立功能计算机的系统集合至少有两台计算机通过传输介质连接起来，并能实现相互间的信息交换即可称为互联。而“独立功能计算机系统”强调互联的多台计算机间不存在“主从”关系，如果一台计算机能够强制地启动、停止或控制另一台计算机，则这些计算机便不能称为具有独立功能的计算机系统，也就无法构成计算机网络。例如，由一台主控机和多台从属机组成的终端系统便不能称为计算机网络。图1-3 最大的计算机网络结构2计算机网络具有资源共享、信息传递及协同工作等功能计算机网络的主要目的就是实现资源共享，如把自己收集的一些信息（包含文章、图片、程序等）通过平台与其他计算机用户分享，而实现此目的的重要前提条件是信息传递。3计算机网络系统必须遵循网络通信协议，并通过相应的管理软件实现计算机间相互通信，必须使用相同的通信协议及遵循一定的通信规则。因为两台或者两台以上的计算机如果需要在网络内进行连接、传递数据，必须同时遵循网络通信协议，这样才能够顺利完成信息的传递。通信协议就像人们所使用的语言一样，没有统一的语言是无法进行沟通的。2.2 计算机网络的发展历史随着计算机技术和通信技术的不断发展，计算机网络也经历了不同的发展时期。其发展历史包括从简单到复杂、从单机（单台计算机）到多机（多台计算机）的过程，一般可以划分为以下4个阶段。1第一代计算机网络具有通信功能的终端（诞生阶段）20世纪60年代初期是计算机网络发展的萌芽阶段，该阶段的计算机通信系统被称为联机系统。联机系统是指以一台中央主计算机连接不同地理位置的多个终端。其中，终端是指一台计算机的外部设备，包括显示器和键盘。通常将该阶段的系统称为面向终端的计算机网络，其结构如图1-4所示。图1-4 面向终端的计算机网络第一代计算机网络的特征是多台终端能够以交互的方式将命令发送至计算机，从而将一台计算机内的各种资源分配给多个用户共同使用，提高计算机的利用率。这种方式使得人们能够以较低的费用使用昂贵的计算机，从而极大地刺激了用户使用计算机的热情，使计算机用户的数量迅速增加。但是，随着终端用户的不断增多，也产生了中心计算机负担的不断加重，使得系统响应时间过长，严重时甚至出现死机等负面影响。而且，一旦一台计算机出现故障，将导致整个计算机网络系统瘫痪的不足。为了减轻中心计算机的负担，从而又出现了前端处理机（Front-End Processor，FEP）技术。前端处理机通常被称为通信控制机，主要功能是减轻主机运行的应用程序的负担，采用这种方法，主机就不会经常地被外部设备中断。2第二代计算机网络计算机网络（形成阶段）随着第一代计算机网络的发展，人们于20世纪60年代中期开始研究将多台计算机相互连接的方法。最终在1969年由美国国防部高级研究计划局（DARPA）建成的ARPAnet实验网成为其典型代表。最初的ARPAnet只有4个节点，它以电话线路作为主干网络，从而形成了早期的计算机网络，其网络结构如图1-5所示。ARPAnet包括资源共享、分散控制、分组交换、专门的通信控制处理机、分层的网络协议等特点。其特点也正是现在计算机网络的基本特征。到了20世纪70年代中后期，广域通信网迅速发展，各发达国家的政府部门、研究机构和各大计算机公司都在发展分组交换网络。如1973年英国邮政局的EPSS公用分组交换网络，1975年法国信息与自动化研究所的Cyclades分布式数据处理网络，1976年加拿大的Datapac公用分组交换网等。这些网络实现了计算机之间的远程数据传输及共享，通信线路大多采用租用电话线路。但这些网络也存在不少弊端，其主要问题在于不同厂家提供的网络产品难以实现统一，甚至无法互联，各自有着不同的网络体系。3第三代计算机网络标准化网络（互联互通阶段）由于第二代计算机网络没有统一的计算机网络标准，其普及程度非常低。因此，计算机网络走向体系结构标准化尤其重要。在这种形势的发展下，1984年国际标准化组织（ISO）正式颁布了一个开放系统互联参考模型的国际标准OSI/RM。图1-5 ARPAnet结构OSI/RM即Open System Interconnection/Reference Model（开放系统互联参考模型）的缩写。它是一种概念上的网络模型，其作用是规定了网络体系结构的框架，保证了不同网络设备间的兼容性和互操作性。20世纪80年代，随着微型计算机的广泛应用，在小范围内互联多台计算机以达到资源共享的需求日益增加。例如，为使校园内的多台计算机能够共享资源，或让实验室内的所有计算机能够与外部计算机共同完成科学项目，部分研究所和大学开始致力于对局域网的研究。其中，具有代表性的有加州大学的Newhall环网、英国剑桥大学的Cambridge Ring环网和美国Xeror公司的Ethernet网等。典型的标准化网络结构如图1-6所示。图1-6 标准化网络结构同时，1980年2月，在旧金山成立的国际电子电气工程师协会（IEEE）也在OSI/RM标准的基础上制订了IEEE 802局域网标准，为随后计算机局域网络技术的规范化发展打下了坚实的基础。4 第四代计算机网络以Internet为主体的高速、智能化互联网络经过几十年的发展，计算机网络突显出它的使用价值和良好的应用前景。进入20世纪90年代后，随着计算机网络技术的迅猛发展，特别是1993年美国宣布建立国家信息基础设施（National Information Infrastructure，NII）后，全球范围内许多国家纷纷制定及建立符合本国的NII，这不仅极大地推动了计算机网络技术的发展，也促使计算机网络进入高速发展阶段。该阶段计算机网络结构如图1-7所示。图1-7 高速互联网络结构目前，计算机网络正朝着高速化、实时化、智能化、集成化和多媒体化的方向不断深入，全球以Internet为核心的高速计算机互联网络已经形成，Internet已经成为人们最重要的、最大的知识宝库。2.3 计算机网络的主要作用由上述内容可知，计算机网络在整个社会经济发展、娱乐休闲、科技教育等方面都发挥着积极的作用。归纳起来，计算机网络的作用可以包含以下几个方面。1实现资源共享“资源”是指计算机网络中所有的软件、硬件和数据资源。“共享”是指计算机网络中的用户都能够部分或全部的享受这些资源，其中，部分或全部共享是由于受经济和其他因素的制约而决定的，但并不是所有的用户都能够独立拥有这些资源。计算机网络的资源共享使得普通用户能够共享网络中分散在不同地理范围内的各种软、硬件资源，如大容量硬盘和打印机等设备，极大地提高了计算机软、硬件的利用率，不仅方便了网络用户，而且节约了经济投资，其结构如图1-8所示。图1-8 网络资源共享2集中管理和分布式处理由于计算机网络能够提供资源共享的能力，使得一台或多台服务器管理其他计算机上的资源成为可能。集中管理在某些部门或领域显得尤为重要，如银行系统通过计算机网络将分布在各地计算机上的财务信息上传到服务器上，从而实现各地财务信息统一、集中管理，其结构如图1-9所示。图1-9 计算机集中管理结构分布式处理也可以认为是一种并行处理形式。分布式处理系统将不同地点的或具有不同功能的或拥有不同数据的多台计算机用通信网络连接起来，在控制系统的统一管理控制下，协调地完成信息处理任务。一般认为，集中在同一个机柜内或同一个地点的紧密耦合多处理机系统或大规模并行处理系统是并行处理系统，而用局域网或广域网连接的计算机系统是分布式处理系统。3远程通信计算机网络的基本功能之一就是计算机与计算机之间能够快速可靠地相互传递信息。这不局限于一个小的网络范围，而在一个覆盖范围很大的网络中，即使是相隔很远甚至不在相同国家的计算机用户之间也能够相互交换信息。例如，通过Internet世界各地的用户都能够实现彼此间通信，其结构如图1-10所示。图1-10 远程通信4提高计算机系统的可靠性和可用性在计算机网络中，当网络内的某一设备（通信线路或计算机等）发生故障时，可利用其他设备来完成数据的传输或将数据复制到其他系统内代为处理，以保证用户的正常操作。例如，当数据库内的信息丢失或遭到破坏时，可调用另一台计算机内备份的数据库来完成数据处理工作，并恢复遭到破坏的数据库，从而提高系统的可靠性和可用性。以上是从宏观方面对计算机网络作用进行了概括，但计算机网络类型多种多样，不同网络用途不同，比如常见的网络主要有以下几个方面的作用。 办公自动化在美国、欧洲和其他一些发达国家，计算机已成为办公的必备设备。每个雇员办公桌上的计算机都和一个局域网相连。它不仅仅限于办公室间通信，还在办公室间留言、无室会议、专题讨论等方面发挥很大的作用。 电子邮件和聊天E-mail的方便和快捷得到了全球用户的认可，收发电子邮件几乎是每个办公族都必不可少的活动。而聊天则是一种更加高效的通信方式，比如时下流行的QQ、MSN、网易泡泡、UC等即时通信软件。 数据库查询为便于理解数据库查询，可以借助银联卡来介绍一下。例如，通过银联卡可以异地存、取款，也可以通过银联卡到商店、酒店支付费用。因此，不管是存、取款，还是通过银联卡支付费用，都需要与银行中的账户信息及存款数据相连接。这样就需要通过远程查询数据库中数据以及进行相关操作等。 EDIEDI（Electronic Data Interchange，电子数据交换）是贸易伙伴通过计算机网络，以最少的人工干预进行标准化、格式化业务文件进行商贸交易。现在国际贸易中EDI的应用条件日趋成熟，正形成全球性的推进浪潮。25第三章 流量控制技术第三章 流量控制技术3.1 通信网络协议一、网络协议是什么？通俗地说，网络协议就是网络之间沟通、交流的桥梁，只有相同网络协议的计算机才能进行信息的沟通与交流。这就好比人与人之间交流所使用的各种语言一样，只有使用相同语言才能正常、顺利地进行交流。从专业角度定义，网络协议是计算机在网络中实现通信时必须遵守的约定，也就是通信协议。主要是对信息传输的速率、传输代码、代码结构、传输控制步骤、出错控制等作出规定并制定出标准。二、网络协议的选择面对众多网络协议，我们可能无从选择。不过要是事先了解到网络协议的主要用途，就可以有针对性的选择了。以下是几种常用的网络协议：1.NetBEUI（NetBIOS Enhanced UserInterface）网络基本输入输出系统扩展用户接口；NetBEUI协议是IBM于1985年提出。NetBEUI主要为20到200个工作站的小型局域网设计的，用于NetBEUI、LanMan网、Windows For WorkgroUPS及Windows NT网。NetBEUI是一个紧凑、快速的协议，但由于NetBEUI没有路由能力，即不能从一个局域网经路由器到另一个局域网，已不能适应较大的网络。如果需要路由到其他局域网，则必须安装TCP/IP或IPX/SPX协议。2.IPX/SPX（Internetwork Packet Exchange/Sequential PacketExchange）互连网包交换/顺序包交换它是由Novell提出的用于客户/服务器相连的网络协议。使用IPX/SPX协议能运行通常需要NetBEUI支持的程序，通过IPX/SPX协议可以跨过路由器访问其他网络。3.HDLC（High-Level Data Link Control）高层数据链路协议；它是一组用于在网络结点间传送数据的协议。在HDLC中，数据被组成一个个的单元（称为帧）通过网络发送，并由接收方确认收到。HDLC协议也管理数据流和数据发送的间隔时间。HDLC是在数据链路层中最广泛最使用的协议之一。现在作为ISO的标准，HDLC是基于IBM的SDLC协议的，SDLC被广泛用于IBM的大型机环境之中。在HDLC中，属于SDLC的被称为通响应模式（NRM）。在通常响应模式中，基站（通常是大型机）发送数据给本地或远程的二级站。不同类型的HDLC被用于使用X.25协议的网络和帧中继网络，这种协议可以在局域网或广域网中使用，无论此网是公共的还是私人的。4.HTTP1.1（Hypertext Transfer Protocol Vertion 1.1）超文本传输协议-版本1.1。它是用来在Internet上传送超文本的传送协议。它是运行在TCP/IP协议族之上的 HTTP应用协议，它可以使浏览器更加高效，使网络传输减少。任何服务器除了包括HTML文件以外，还有一个HTTP驻留程序，用于响应用用户请求。您的浏览器是HTTP客户，向服务器发送请求，当浏览器中输入了一个开始文件或点击了一个超级链接时，浏览器就向服务器发送了HTTP请求，此请求被送往由 IP地址指定的URL。驻留程序接收到请求，在进行必要的操作后回送所要求的文件。5.HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象 HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。6.ICMP（Internet Control Message Protocol）Internet控制信息协议它是一个在主机和网关之间消息控制和差错报告协议。ICMP使用IP数据报，但消息由 TCP/IP软件处理，对于应用程序使用者是不可见的。在被称为Catenet的系统中，IP协议被用作主机到主机的数据报服务。网络连接设备称为网关。这些网关通过网关到网关协议（GGP）相互交换用于控制的信息。通常，赡养或目的主机将和源主机通信，例如，为报告在数据报过程中的错误。为了这个目的才使用了ICMP，它使用IP做于底层支持，好像它是一个高层协议，而实际上它是IP的一部分，必须由其它IP模块实现。ICMP消息在以下几种情况下发送：当数据报不能到达目的地时，当网关的已经失去缓存功能，当网关能够引导主机在更短路由上发送。IP并非设计为设计为绝对可靠，这个协议的目的是为了当网络出现问题的时候返回控制信息，而不是使IP协议变得绝对可靠，并不保证数据报或控制信息能够返回。一些数据报仍将在没有任何报告的情况下丢失。三、常用的三个网络协议网络中不同的工作站，服务器之间能传输数据，源于协议的存在。随着网络的发展，不同的开发商开发了不同的通信方式。为了使通信成功可靠，网络中的所有主机都必须使用同一语言，不能带有方言。因而必须开发严格的标准定义主机之间的每个包中每个字中的每一位。这些标准来自于多个组织的努力，约定好通用的通信方式，即协议。这些都使通信更容易。已经开发了许多协议，但是只有少数被保留了下来。那些协议的淘汰有多中原因-设计不好、实现不好或缺乏支持。而那些保留下来的协议经历了时间的考验并成为有效的通信方法。当今局域网中最常见的三个协议是MICROSOFT的NETBEUI、NOVELL的IPX/SPX和交叉平台TCP/IP。一：NETBEUINETBEUI是为IBM开发的非路由协议，用于携带NETBIOS通信。NETBEUI缺乏路由和网络层寻址功能，既是其最大的优点，也是其最大的缺点。因为它不需要附加的网络地址和网络层头尾，所以很快并很有效且适用于只有单个网络或整个环境都桥接起来的小工作组环境。因为不支持路由，所以NETBEUI永远不会成为企业网络的主要协议。NETBEUI帧中唯一的地址是数据链路层媒体访问控制（MAC）地址，该地址标识了网卡但没有标识网络。路由器靠网络地址将帧转发到最终目的地，而NETBEUI帧完全缺乏该信息。网桥负责按照数据链路层地址在网络之间转发通信，但是有很多缺点。因为所有的广播通信都必须转发到每个网络中，所以网桥的扩展性不好。NETBEUI特别包括了广播通信的记数并依赖它解决命名冲突。一般而言，桥接NETBEUI网络很少超过100台主机。近年来依赖于第二层交换器的网络变得更为普遍。完全的转换环境降低了网络的利用率，尽管广播仍然转发到网络中的每台主机。事实上，联合使用100-BASE-T Ethernet,允转换NetBIOS网络扩展到350台主机，才能避免广播通信成为严重的问题。二：IPX/SPXIPX是NOVELL用于NETWARE客户端/服务器的协议群组，避免了NETBEUI的弱点。但是，带来了新的不同弱点。IPX具有完全的路由能力，可用于大型企业网。它包括32位网络地址，在单个环境中允许有许多路由网络。IPX的可扩展性受到其高层广播通信和高开销的限制。服务广告协议（Service Advertising Protocol,SAP)将路由网络中的主机数限制为几千。尽管SAP的局限性已经被智能路由器和服务器配置所克服，但是，大规模IPX网络的管理员仍是非常困难的工作。三：TCP/IP每种网络协议都有自己的优点，但是只有TCP/IP允许与Internet完全的连接。TCP/IP是在60年代由麻省理工学院和一些商业组织为美国国防部开发的，即便遭到核攻击而破坏了大部分网络，TCP/IP仍然能够维持有效的通信。ARPANET就是由基于协议开发的，并发展成为作为科学家和工程师交流媒体的Internet。TCP/IP同时具备了可扩展性和可靠性的需求。不幸的是牺牲了速度和效率（可是：TCP/IP的开发受到了政府的资助）。Internet公用化以后，人们开始发现全球网的强大功能。Internet的普遍性是TCP/IP至今仍然使用的原因。常常在没有意识到的情况下，用户就在自己的PC上安装了TCP/IP栈，从而使该网络协议在全球应用最广。TCP/IP的32位寻址功能方案不足以支持即将加入Internet的主机和网络数。因而可能代替当前实现的标准是IPv6。3.2 计算机网络流量控制技术3.2.1主要危害极度利用峰值带宽，带宽统计复用的服务模型随之失效，运背商运营成本增bR民时间高度拥塞的网络带来网络管理的困难和功能失效的危险;实时性要求较高的服务，例如vo1P,StreamingVide。和Audio将面临前所未有的不确定的网络运行环境;网络拥塞导致的业务投诉增加，服务品质下降。 一、存在困难传统的流量控制只针对IP与端n进行控制，这在基于服务型的网络环境中是没有问题的。 1.网络流量控制随着P2P端到端的应用蓬勃发展，以BT为代表的应用已经成为网络流量中的主要部分。这类应用的特点是:通讯流量巨大、种类繁多、无固定服务端口、特征变化迅速、检测困难。传统 千 段 管理P2P应用，会面临局限: (1)阻塞P2P常用端n:一方面拒绝了用户的正常通信要求，降低或者违反了服务条约，另一方面导致rP2P应用转向使用随机端n和专用端n (如HTTP 80端口)躲避检查;(2)使用NAT方法隐藏用户公网IP:导致了SAT穿越技术在P2P软件中的广泛应用;(3)阻塞P2P对等端向P2P信息服务节点的通信:导致了P2P对等端使用代理服务器的方法躲避检测，也导致P2P信息服务节点向随机分布和隐藏的方向发展;(4)限制用户的上行带宽:违反了服务条约而且浮致f向公网用户的数据请求童增大。 2.解决方案HTTD带宽流量管理解决方案要解决P2P流量管理的困难，深度协议分析是最终解决方案。基于协议内容的流量控制技术(Traffic Management by Application)和深层速率控制技术(Deeper KateControl)为这些问a的解决带来曙光。19普通的优化技术相比，HTTD带宽流量管理系列产品所使用的儿项专有技术有以下几个显著特点：(1) 基于内容进行会话识别可以通过高速的深层协议分析，识别每一个网络会话所属的应用，可以针对某种协议进行拦截或者制定相应的带宽分配策略，而传统的路由器和防火墙等网络设备只能根据端口进行最初级的识别(2) 智能的带宽调节功能可以根据网络负载智能调节网内的终端带宽分配方式，例如:如果目前网络负载较重则自动限制那此流量较大的终端，保证多数用户的网络应用能够正常、快速的得到响应;当网络负载较轩时，则采用宽松的带宽处理策略，以便网络的带宽能得到充分的利用(3) 基于 终端的资源控制仅需设定一条规则，即可限定炸台终端的带宽使用卜限，同时可以设定每台终端的会话数量，防止由一病毒等原囚造成的网络资源耗尽(4) 带 宽 的按需动态分配由于HTTD带宽管理系统能看懂网络从第二到第七的协议层乃至会话间的关联，它能自动地分辨各种不同的协议、服务和应用深层速率控制技术(DeeperRateControl少根据1P地址、子网、服务器地点、协议、应用端口、应用类型等基本特点及应用的关联性分析将这个信息流和其他信息流区分开来再根据不同的需要给予适当或应有的带宽级别(Privilege)和带宽政策(Policy),带宽级别和带宽政策可以按区间划分，实施方式是硬性或弹性的，根据不同的灵活实施，可以确保广域网有限资源的按需动态分配。 3.主要功能(1) 网络资源监控监控各类网络流量，生成流量监控图表(2) 支持多种网络接口和协议支持10/100M以太接口以及1000M以太和光纤接n，支持DHCP, PPP, PPPoE和802.1Q等网络协议。(3) 提 供 深度应用分析功能基于会话层的应用分析，实现针对应用层的处理和流量管理功能，高速高效的分析算法，可以在子兆环境下线速作(4) 提供多种网络控制功能集成防火墙、NAT,PAT和服务映射等功能;支持地址、服务、应用和时间等多种管理对象;支持会话控制、实时监控与负载均衡。(5) 提供深度带宽和刽活控串助能可以性筛U每个终端的带宽总量和会话总量，对于超出会话/带宽限额的终端进行限制。(6) 可以部署在各种网络环境下支持路由、透明桥接、VLAN Trunk及路由桥接混合工作模式，部署简便，同时提供多出n负载均衡功能，同样适用于复杂的网络坏境。 4.相应策略总量抑制即时通讯的发展趋势和特点据Gartner预测，即时通讯将超越电子邮件而成为互联网用户最主要的电了联络工具，有超过50%互联网应用程序将把即时通讯软件嵌入其中。根据艾瑞市场咨询(iResearch)推出的(2004年中国即时通讯研究报告数据显示，2004年中国有即时通讯用户6272万入，2005年将达到8267万人，2006年将达到10334万人，增长将超过全球年平均增长率25%的水平。即时通信市场的发展和繁荣， 5.改进（1）实时在线即时通信不同于传统的邮件或者FTP,K0是保持实时在线的状态，恒个人可以通过即时通信显示自己的状态，是否在线，是否忙碌，是否乐意交谈等。互联网越来越普及，即时通信逐渐地融合到各类设备中去，比如平机、掌上电脑。这样，每个用户通过即时通信的在线时间就越来越长，所带来的安全风险是把自己暴露于攻击的时间变长，病毒和攻击的传输成为实时和迅速的(2)互联互通目前市场上即时通讯的厂家很多，市场占有率比较高的，国外产品有MSN, Yahoo通、AOL,Skype，国内产品有QQ、网易泡泡、新浪Uc等。其中很多产品已经或者在计划着互联互通，比如说MSN已经和Yahoo通实现互通，Skype已经公开自己的API。互联互通消除了不同产品用户之间的篱笆，给病毒的快速传播带来更大的机会。(3) 多种功能捆绑即时通信越来越多地被捆绑上了各类功能，比如语音、视频、个人门户、游戏、桌面管理等。繁杂的功能使得即时通信类的软件原来越庞大，越来越复杂，其出现漏洞的可能性就越来越大Fortinet公司为即时通信提供安全解决方案正是因为即时通信这些特点，其安全问题一也越来越受方方面面的关注，其中包括即时通信厂商、安全厂商、安奈服务商以及黑客等。致力于网络安全的Fortinet公司即将推出的网关型产品FortiGate 053.0，以UTM技术从网络第一层到第七层为即时通信提供了安全解决方案。 （4）访问控制FortiGateR -有防火墙的访问控制的功能，可以根据时间、IP ,服务、域书对网络的访问实现控制。 6.新技术融入（1）入侵阻断FortiGate采用IPS技术，可以根据数据包内容对即时通信或P2P等应用采用阻断、记录日志、通过这些策略也可以对针对即时通信和P2P等应用的漏洞进行攻击的行为进行防御，为如何防止黑客利用系统漏洞提供了非常有效的手段。(2) 病 毒 扫描鉴于越来越多的病毒利用MSN这样的即时通信软件进行传播，FortiGate可以实现对其传输的病毒进行扫描与清除。有组织预测，随着即时通信的普及，病毒以前利用邮件这些传统手段传播的速度是以小时计，而以即时通信的传播却是分钟计的。因此网关型病毒过滤产品在阻止病毒的迅速传播，起到至关重妥的作用。(3) U RL 过滤病毒或者网F钓鱼通过发送URL给即时 通信的用户，引诱其发送自己的私密信息或者卜载木马病毒,FortiGate为形形色色的网站建立r一个实时更新的分类系统，从而把这ua非法的网站排除在外，为用户抵制这些欺骗行为提供r有效的手段；(4)用 户 管制FortiGate可以对即时通信的用户进行管制，可以允许某些用户使用即时通信软件，也可以阻挡非法或未授权的用户，而且FortiGate即时通信用户是与各类即时通信软件的用户名是统一的。(5)监 控 FortiGate可以实现对即时通信用户状态.通信信息、时间等等。 3.3.2 优点（1）FortiGate为UTM技术又增添了新的亮点，通过建K多层次的安奈体系，为即时通信的安全问题提供全面的解决方案。总量 抑 制 策略是第一步要采取的手段，即保证现有的受控应用流量的总量封顶，将此类应用限制到一个目前的水平卜限制新的增长，这是保证所有用户能充分公平使用网络的必要乎段，否则就是对不使用BT的用户权利的漠视；(2) 渐 进 控制渐 进 控 制的策略是以当前网络应用的流量结构为基础，经过一段时lul A渐调整到一个合理水平的策略方式。主要应用的是设备时间策略管理的功能。将用户在一个相对长的时间段内逐步适应新的网络环境。从而避免直接封堵而产生的用户投宿。经验数据表明，在两到三个月内，通过渐进控制的手段，可平稳的将BT等P2P应用带宽压缩到网络流量的10%；(3) 优先级控制优先级控制是要改变BT技术本身既有的资源抢占的特点而带来的危害。在网络结构上调格网络应用的优先级别，让关键的应用得到关键的保障，让重要的应用得到优先的服务，这也是用技术的方法来平衡技术因素导致的危害。 1.流量管理系统(又称应用流量管理器,带宽管理器或QoS设备）早在2000年就已经出现了，最早是美国的Packteer公司研发。但是由于网络带宽问题还没有显著，所以企业IT部门对带宽的重视程度还不够，随着各种网络新技术的应用以及网络多媒体技术的发展，网络带宽紧缺的问题越来越明显。尤其是2005年来，P2P应用更是对带宽的管理带来了严重威胁，所以带宽管理器的市场在近3年来得到了很大的发展。据不完全统计，这个市场已经超过了近25亿美元。中国的带宽管理市场从2004年才开始逐渐受到重视，2007年中国带宽管理市场份额也在2亿人民币，预计中国带宽管理市场将以20%以上的速度增长。而具有带宽管理设备提供商的除了国外Packteer、Allot公司外，国内的北京英智兴达,畅讯科技等厂商，国外厂商带宽管理设备还没有实现界面的本地化，都是以授权代理的形式进入中国；国内的厂商在经历了3到4年的产品研发攻坚，产品才日益稳定，市场、技术、产品的竞争将在2008年展开。带宽管理器的基本功能非常简单，就是根据应用和用户进行带宽的分配与监控。由于是七层的网络管理设备，所以网络管理人员无需具备较高的网络知识就能直接对应用和用户进行带宽的分配，这在一定程度上降低了网络管理人员的投入。虽然功能很简单，但是能够实现的各种应用却很多，只是大部分用户对带宽管理的应用没有得到很好的认识。国外的带宽管理设备昂贵，且不支持中文展示所以Packteer和Allot的应用主要集中在电信和金融，国内的北京英智兴达等厂商虽然在教育、政府、能源与医疗行业有所斩获，但是产品系列才成型一年，所以在市场应用的推广各厂商没有过多投入，导致用户对带宽管理的应用处于初级阶段。 2.应用在电信和金融领域带宽应用主要表现在SLA（服务等级协议）上，通过带宽管理设备给不同等级的用户提供不同等级的带宽服务，从而保障核心客户的投资回报率。 在教育、政府等应用，带宽管理器主要应用集中在对P2P的管理方面，尤其是BT的管理。同时带宽管理设备也开始作为视频会议的QoS的保障设备出现。由于P2P等应用的客户端不断升级，所以只有具有自主研发的国内产品才能实现快速根据新版本推出管理策略，在这个应用上国际厂商不具有优势。当然作为带宽管理器，还具有更多的应用方式。如以下的应用： 一、网络应用透明度问题，通过带宽管理器可以让以前未知的网络应用的状况能够详细查看。 二、防范突发的流量激增和未知应用的攻击，如DoS攻击等，保障网络安全。 三、评估核心应用的价值，通过对核心应用流量的监查，了解核心应用的使用率与效率。 四、保证关键应用（如：CRM、VPN、无线网络、视频会议、VoIP、等）所需的带宽，保证任何时候关键应用不受阻 五、准确评估网络的负载能力以及新应用上线对整体网络应用的影响，保证客户的IT投资合理性。 六、实现按照用户的等级提供不同的网络资源配给，保障客户核心用户的网络价值。 七、降低网络管理人员的重复操作，并提供应用的量化数据，便于管理层根据应用状况做出决策。 这些应用只是在一些具体案例中出现，大部分用户还没有将带宽管理与自身的网络管理进行有效的融合。应用的前景很大。 3.对于企事业单位的流量控制在大家注重流量管理软件进行网络管理的同时，却忽视了从本质上控制带宽流量的问题。网络行为是人的行为，在网络管理中，最难以控制的便是人。 这一问题往往出现在许多企事业单位的网络管理中，在网络管理员利用各种手段去调配网络资源的情况下，依然难以从根本上解决流量带宽的问题。 现在很多企事业单位流量控制的方法是利用相关流控设备进行带宽资源分配，由于流控设备在设置上无法做到极端精细化，因此一般的解决方案是根据部门或IP段进行流量分配。比如，对于一些用网需求比较大的部门分配较多的网络资源，对于一些用网需求少或者无用网需求的部门，提供较少或者不提供流量，从而保障核心业务的正常展开。这种方法在一定意义上合理分配了带宽，但是同样，也存在分配不细致的问题。假设某个核心业务部门分配了70%的带宽，但是该部门某一用户使用相关P2P下载或占用大量网络资源，这种情况下又该如何去解决呢？办法有几个： 1、对于该用户进行流量监控，弊端是如果人数较多，则需要很大的工作量。 2、完全封锁P2P应用，但是弊端是假设在业务上有P2P下载需求，则将会无法进行 3、进行上网行为管理 上网行为管理是目前互联网领域中逐渐开始关注的一个新名词，如何利用上网行为管理来进行流量控制，则成为了很多管理者感兴趣的问题。 上网行为管理和流量控制之间的关系，其实很容易就能明白。通过上网行为管理设备，对于员工用网进行限制，禁止一些相关的网络服务和网络应用。比如P2P，流媒体等占用网络资源较大的网络应用。而由于上网行为管理软件一般都是采用上网策略设置的，因此对于网络控制方面来说，具备更灵活的控制方式。同时，目前市场上主流的上网行为管理产品（主要是一些软硬件结合的产品），都是接入在网络出口处的，并且集成了流量控制的功能，因此在网络管理方面，功能相对更强大一些。 上网行为管理对于企业单位的流量控制的优点在于： 1、功能更完善，既能单纯的流量控制，又能从网络行为控制角度来规范员工上网行为。 2、更经济，在价格差距不大的情况下，涵盖更多功能，满足更多需求 3、接入更简单，不改变原有网络结构。一般都是利用网桥或者旁路方式接入，对于网络的影响较小。 4、设置更容易，尤其在需要控制的终端较多时，能更好体现出便捷性。 29第四章 流量控制技术应用第四章 流量控制技术应用1、万任科技 万任公司根据当前国内网络特点和趋势，独立研发的网络流量综合管理系统-UniERM,研发人员都是专业电信级别流控公司工作过多年的，有着丰富的流控产品的研发经验的顶尖人才。UniERM采用的强大硬件平台保证了稳定的性能和高效的处理能力，高识别率的流量分析和精准的带宽分配策略，让UniERM成为真正专业的流控产品，其品质也是电信级别的，再加上灵活全面的行为管理功能，UniERM已被广泛应用于政府企事业机关单位，成为中央政府指定采购厂商，被金融、运营商、能源、教育、出版、制造、科研院所、大型集团企业等众多行业的客户运用并且推荐。UniERM也是目前国内唯一能将专业的流量控制和专业的行为管理完美的融合在一起的设备。 2、网康科技 作为海归人员创办的上网行为管理厂商近两年发展不错，多次融资，早期产品性能一般，现在有较大改观，产品特色是界面比较漂亮，配置较为简单，适合入门级网管使用，主推产品的URL库和应用控制方面做得比较好。公司为了让产品更好的服务于客户，现在仍然将改进产品放在公司发展的首位，不断的为客户升级产品，如更新自己强大的数据库，现在审计方面做的也不错2010年5月份取得了中国国家信息安全产品目前是唯一通过该认证的上网行为管理产品。 3、惠尔顿 以流量管理为核心的上网行为管理产品，在协议分析方面有独特的技术积累，特有的协议IP协议、HTTP协议自定义，支持所有的P2P流量的管控，经过12年的网络安全开发经验的积累，凭借与北京交通大学安全实验室的优质平台，在网络安全、流量管理、应用加速、应用层防火墙方面都有不错的表现。 4、深信服科技 业内公认的上网行为管理领域领导厂商，上网行为管理产品作为旗下众多产品线之一，凭借近10年来在网络核心技术领域的长期积累，以及强大的功能和简便的操作，可在P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面提供最有效的解决方案。在中国的高端市场中，深信服拥有着极高的占有率，获得了包括国资委、卫生部、北海舰队、招商局集团、招商银行、中国银行、中国南方航空、广州丰田、四川长虹等大型知名用户的认同，是上网行为管理市场当之无愧的第一品牌。 5、以太科技 专注作上网行为管理的厂商，从公安的互联网信息审计业务发展到企业产品的推广。产品界面友好、报表功能丰富，很多数据分析模块非常实用。 6、迅博科技 专业上网行为管理生产厂商，针对行业用户及中小企业开发，为用户提供可控制、可管理、可审计的企业网络，可有效的规范员工上网行为，优化带宽资源，彻底解决网络拥塞问题；同时迅博PEPLINK系列上网行为管理支持上网记录海量存储，符合公安部82号文件存储6个月上网记录的要求，并能提供方便的事后审计和网络分析手段，从而降低信息外泄风险和互联网法律风险。 7、任子行 深圳的一家安全厂商，主要针对网吧市场，与实名上网卡捆绑销售，任天行系列产品主要