网络流量的监测与控制方法的设计与实现

【摘要】：为缓解铁通互联出口带宽占用高和分析出入口流量占比情况,铁通在互联出口处引入了流控设备。2011年铁通总部互联网事业部在全国举办了如何利用目前的流控设备对现网流量进行监控问题的研讨会,一方面,为更好的发挥现有流控产品的能力,对自有业务和高价值业务提供高品质服务；另一方面,通过对现网流控设备的部署实施使用情况进行调研和技术储备,组织各省分公司积极探讨,提出有效的流量监控方案。 为满足大带宽、高流量、低延迟和可扩展的需求,为精细化运营互联网和为大客户提供QOS保证的电信级网络使用,本课题研究流控设备与安全控制设备共组网的方式,提出新的流控管理方案作为安全管控的技术支撑。 本课题首先为充分利用既有流控设备的能力,提出对几种网络流量监测与控制的方法,一是对自有业务和高价值业务为保证对其服务质量进行流量安全监控的方法；二是针对目前网络拥塞严重,大部分链路平均带宽利用率高达95%,网络时延、丢包率增加,业务质量受到很大影响情况,对在互联链路中流量比例占用很大的网络应用类型P2P流量进行控制和对DOS/DDOS流量进行清洗的方法。三是通过对网络流量清洗技术、基于安全监控的DPI技术、基于协议的攻击识别技术和流量控制等技术的研究,以及通过对现网流控设备的部署使用情况的调研,提出了流量基于应用协议的染色分流,进行细粒度安全管控的方法。新方法是流量标记设备从当前流量中识别出异常流量,并标识该异常流量,分流路由器将标识的异常流量路由至清洗设备,清洗设备对异常流量进行清洗。 利用现有设备对网络流量的监控方法实施有效。新方法对于上述异常流量的监控是对于超过流量基线的流量,针对不同业务流量打不同标记,分流路由至业务安全设备或清洗设备等,实现对既有业务的高品质服务。一是对既有业务等的安全防护,通过流控系统识别自有业务和高价值业务,分配特定的标记,后续路由通过策略路由实现相应的服务质量保证。二是通过流控系统应用协议识别P2P流量,打标记,后续路由器根据标记进行比例丢包,降低P2P流量的QOS,达到对P2P流量的压缩控制,还可实现对DOS/DDOS流量的分级清洗,有效的降低拒绝服务攻击带来的后果,提高网络的可用度,带来好的用户体验。