校园网络流量管理的部署与分析.doc

校园网络流量管理的部署与分析 通过硬件设备对网络流量进行控制，需要考虑三个问题。一是对网络应用的识别，二是流量控制设备的部署方式，三是流量的控制机制。 网络应用协议识别技术 关于网络应用协议的识别问题和流量控制机制问题，目前已经很明确。网络应用协议识别常用的是DPI技术和DFI技术。而流量控制机制则常见为令牌桶技术（TB）、三色令牌桶技术、随机公平队列（SFQ）、TCP窗口滑动技术以及PFQ技术。各种技术各有优缺点，而流量设备部署位置尤为关键。 流量控制设备部署方式 在目前网络流量控制设备中，有三种部署方式：一种是路由模式接入，一种是透明模式接入，还有一种是旁路方式接入 路由方式接入 这种方式较为普遍，通过硬件设备实现起来相对容易。目前多种流量控制设备即采用此种方式部署在网络中。 路由方式接入的优点 可以做链路汇聚，路由选择， 访问控制等。 性能强劲的带路由功能的流控设备还可代替防火墙和路由器以及负载均衡设备接入到校园网络中。 路由方式接入的缺点 1、更改了原有网络的拓扑，增加了网络管理的复杂性 在没有采用流量控制设备之前，校园网络大多已经有了路由器、防火墙等设备，而且都是专业级别的设备。以路由模式接入的流量控制设备需要改变原有网络的逻辑拓扑，网络管理者需要重新规划出口设备的IP配置。 增加了故障点 流量控制设备以路由模式接入后，要求该设备一直稳定运行在其工作位置，不能重启。若该设备重启，则会造成网络中断，并且没有链路保护功能。另外如果设备需要升级重启，也会造成断网。该设备重启时间就是校园网用户等待的时间当该类型设备出现软件或硬件故障时，则会造成整个网络中断。 可部署的网络规模有限 带路由模式的流量控制设备因其性能有限，只能部署在小规模的校园网络中。原因是该类型的硬件设备既要处理路由协议，又要进行DPI分析，还要进行流量管理。当然如果有防火墙功能，还可能被用户打开防火墙功能。即使是目前采用最优秀的ASIC架构的设备，也只能开部分功能。这样就限制了用户数量，当用户量超过2000时，对该类型设备将是严重考验。 增加网络数据包转发延迟 一台优秀的路由器需要具备设备吞吐量、端口吞吐量、路由表能力、背板能力等等高消耗硬件设备资源的参数，而路由模式下的流量管理设备往往不能具有等同路由器的专业处理性能，所以在数据包的转发过程中（PPS（Packet Per Second）是路由设备性能常用的指标）会占有很高的延迟。 总结：流量管理、路由转发、NAT映射都属于消耗大量网络设备资源的应用，所以必须得需要专业的设备并行管理网络。目前的网络流量管理趋势很少有用整合的设备进行网络管理。 透明接入模式 流量控制设备部署在网络中的另外一种常见及主流方式就是透明接入模式。这种接入模式的设备大多带有bypass功能，即有内置bypass，也有外置独立bypass模块。 透明接入模式的优点 不需要改动原有网络的逻辑拓扑，部署方便 透明模式接入的流量控制设备部署校园网络中时，无需管理者改变接入位置设备的IP地址。可直接部署在网络中，而且这种透明模式的部署具有一定的随意性，即网络中哪里需要即可部署在哪里。 链路保护性强 透明模式部署的流量控制设备都具有bypass功能，当该设备断电、重启、升级或因软件或硬件故障造成设备不正常运行时，不会影响网络的正常运行。个别带有外置独立bypass模块的设备，当该设备故障需要更换或撤下维护时，可直接将其撤下，将bypass置于网络中独立运行，不会造成网络中断。旁路bypass模块采用本身无源的方式，所以本身可以看作一个直通、转通的物理设备，和网线等并属于OSI的最底层，所以构造简单安全性高。 可部署大规模网络环境 透明模式部署的流量控制设备比较专业，不去涉及路由、防火墙功能，所有性能全部用于流量分析和流量控制。这样的设备一般都可处理大流量、高并发连接数，因此可部署于大规模的网络中。经调查，在运营商级网络中的流量控制设备全部为透明模式部署。 透明接入模式的缺点 bypass响应时间影响网络通断 透明模式部署的流量控制设备的bypass响应时间极为重要，如果该设备故障时切换bypass的时间过长，例如超过5秒，则失去了bypass的意义。 无路由功能，不能做链路选择 在小规模的网络或新建的小规模网络中，可能需要一台设备多种功能，即要有路由、防火墙功能，又要有流量控制功能来实现网络管理，那显示透明模式的流量控制设备不能满足要求。 总结：面对优势众多的透明接入方式，大中型网络会越来越倾向于选择这种接入方式。 旁路接入模式 流量管理设备还有最后一种旁路接入模式，即分别把核心交换的出口的发送及接收数据镜像到核心交换的其他两个端口，而流量管理设备根据这两个端口的接入进行数据的收集与统计。 旁路接入模式的优点 不需要改动原有网络的逻辑拓扑，