流量控制技术

2009年8月23-24日，下一代网络融合与发展中国峰会(CNCS)在北京京都信苑宾馆召开，会议由国家广播电视电影总局指导，中国广播电视协会，BIRTV组委会主办，中广互联，电信传播研究中心承办。新浪科技作为独家门户网络支持进行全程现场直播。

图为：下一代网络融合与发展中国峰会现场，AceNet公司中国区技术总监官宇演讲。

以下为实录：

官宇(AceNet公司中国区技术总监)：尊敬的嘉宾各位领导、专家上午好！

昨天论坛上蒋总说IP网络有两个突破，一个是QoS，另外一个是安全问题。AceNet公司主要的方向就是解决QoS和安全上的问题。

我的演讲主要分三个部分：

第一，给大家介绍一下目前流控技术在广电宽带运营商的应用情况和解决的问题。

第二，AceNet“流控墙”和“流量安全”概念。

第三，应用层流控技术在三网融合中应用的思考。

2005年以后互联网上出现了一个重要的应用，就是P2P的应用，给网络带来了非常大的影响。影响到底在哪儿？很多人都有不同的看法。我们作为一个专家的流控的厂商，针对P2P做了很多研究。P2P对网络构成最大的威胁在哪儿？因为用户网络的行为模型发生了变化，才会导致现在的网络拥塞。我们在之前看到所有的网络都是以客户端和服务器之间的交互，用这种访问模型去构建现在所有的网络。而且我们的网络产品也是基于这种模型去设计和建造的。P2P出现之后，所有网络的模型，用户和用户之间产生了非常大交互的数据量，这样就形成一个扁平网状的模型。这种模型现在我们构建出来的基于星形连接的模式是不适合P2P新的网络访问模型，这样就给整个网络带来非常大的灾难性的影响。

P2P时代到来了，带来什么问题和变化呢？每一个用户开启的应用程序越来越多了，单个用户的并发会话数越来越多，如果你开一个新浪的新闻，同时产生的并发会话会有100多个，但是这个会话很快在一两秒就结束了。但是如果P2P的用户，会在瞬间产生非常大的并发会话，而且这个并发会话持续非常长时间。我们做了很多统计，如果一个正常的用户开启P2P的流量，它的并发会话数长时间维持在4、5千。如果这个用户中了木马病毒，在向外发攻击的时候，我们在一个高校里截到最高的数据，一个单个的PC机产生的并发会话数有19000个，非常惊人。

另外，UDP报文比例迅速增加。过去UDP只是用来DNS解析用的，现在大量UDP报文被当作语音和视频，因为它不是面向连接，它传输的延迟非常小。所以大量的UDP报文做语音和视频实时交互的流量。很多地方统计UDP报文已经超过60%。五前年UDP在网络中的报文不超过20%，现在已经超过60%。

另外，小包比例特别高。几年前我们有一个统计数据，小包的比例只有大概不到20%。这是我们在北京的海淀宽带做的统计。小于128字节的报文已经超过了40%。大于1K的报文超过了35%。实际上根据报文的比例做一个分布，它是一个哑铃形的分布，大量的报文是小包，小包是用来传语音视频，还有TCP的握手信号、协商报文。

小包增加了以后给现在很多网络设备带来很大的影响和负担，这就是网络设备一个重要的性能指标，只看吞吐是不行的，要看包交换率。

现在很多广电运营商都在尝试用各种各样的流控技术来解决网络拥塞问题。实际上我们作为一个专业的流控厂商，凡是我们面对的用户全都有网络拥塞的问题，也不光是我们面对，还有很多我们没有面对，几乎所有的网络现在都有拥塞的问题。

拥塞的控制和流控的识别是什么，最早所谓第一代P2P的控制，通过防火墙、P2P常用的端口的封闭，来解决P2P网络的影响。但是很快发现不行，因为P2P会慢慢自己去改，很快用80的端口、25110的端口，根本没法封，不可能封。如果封了，邮件和外部访问就用不了。后面就会用专业的流控设备，基于应用层的特征字的方式去识别P2P的应用。但是很快就发现又不行，发现我们有加密的BT，迅雷原来不加密，后来也加密了。还有一些其它的像Skype整个就是加密，加密的流量怎么识别？你在关键字里再也破译不到特征字，在报文里过滤不到特征字，这时就需要升级专业的流控设备，就要通过行为特征的分析，去发现加密的BT应用、加密的P2P的应用。

控制手段现在应用最多的是用在线的方式，对识别的流量做带宽的控制或者带宽的保障。在电信里边有很多应用是旁路的方式，旁路的方式只能解决TCP，给TCP的报文，发现TCP的链接是需要阻断的话，它就向两边发包，通过旁路干扰的方式阻断这个链接。另外还有一种方式，通过修改TCP报文头中的滑窗参考的方式控制客户端和服务器之间的传输速率。这两种方式都是只能控制TCP的报文，现在网络中大量UDP的报文，用这两种方式是无能为力的。

另外，对单个用户使用的带宽做精确的控制，网络资源包括我们常说的带宽，还包括我刚才提到的并发会话数。对这两个要素做一个精确的控制，对缓解网络拥塞是有非常大的作用。

归根到底，P2P时代对网络的影响最大的问题是5%的用户占用了90%的网络资源。我们如果要是把这个问题解决好了，就会大量地缓解网络拥塞问题，我们是有很多实践的。我们之前在海淀宽带有一台设备，我们通过对用户的带宽和并发会话数的控制，达到了对网络出口带宽利用率的大幅度提升。在相同的带宽的情况下，对每一个IP占用的带宽和每一个IP 使用最多的并发会话数做控制之后，同样的带宽、同样的资源，我们承载的并发用户数增加了几乎一倍。这从一个侧面去帮助运营商提升网络的利用率，帮助运营商挣到钱。

我们提出两个概念，一个是流控墙，另外一个是“流量安全”。这两个概念都是AceNet 首先提出来的。为什么提出来流控墙呢？我们看一下传统的流控设备和防火墙之间到底存在什么问题。这里有一个最标准的部署模式，透明的流控设备和防火墙之间。流控设备部署在

防火墙里，这样防火墙本身和流控是不能交互的，没有任何交互。有一点，防火墙挂的DMZ 区的流量，这个流量怎么管理和分析就存在很大问题。从内网访问DMZ区，我们可以通过流控做分析和控制。从外网访问DMZ区就不行。有把这根线从流控设备这边绕一圈，又存在一个问题，从内网访问DMZ区过了两遍，被统计了两遍。另外防火墙和流控设备不能互动，外面的状况发生改变，一条网络被拥塞堵得满满，你这边做带宽保证一点效果都没有。这边开视频会议，那边传一个大文件，把入口堵住，再做带宽保证没有用，会议还是没法开，甚至断了都不知道。

我们在实践过程中经常遇到内网产生攻击流量，大流量上来的时候，传统的流控设备都是X86、NP，两种情况，一种被打死，另外一种是直接把攻击流量通过。在最需要流控设备分析攻击流量来源的时候，你不负责任让它通过，这时就不知道来源了。对于网管来说，发现有异常流量来的时候，要找到异常流量来源的时候，在没有流控设备的时候是非常痛苦的事情，没有半天时间是查不到的。

另外一种部署模式，这是把流控设备部署在防火墙外边，这种部署模式同样DMZ区的流量访问控制解决不了，从内网来的访问DMZ区又不经过流控设备。

防火墙做了地址转换，你在流控里看不到原始IP，只能看到转换以后的IP，这时出现安全问题你没法定位。

传统的流控又不能支持负载均衡，如果要有多链路，跨接在上面解决不了问题，一条链路10%的负载，另外一条链路99%负载的时候，这个问题就解决不了。

另外，流控设备不是安全产品，它需要保护。我们经常看到这种部署模式的时候，在外边再加一个防火墙，我们叫做汉堡包方式，把流控设备还要再保护一下。

这都是我们说的防火墙和传统的流控设备不能互动造成的问题。AceNet提出了一个流控墙的概念，我们把防火墙、流量控制和多链路出口的负载均衡集成在一个芯片里边去解决这个问题，这种部署模式就把刚才我前面两张图里列举的防火墙和流控设备不能互动造成的问题全面地做了。AceNet最强的是我们把二层到七层的流量分析和控制用芯片来完成了，这个芯片非常大，大概有3000多万门芯片，全世界采用芯片的模式去解决流控问题，只有我们和思科公司，剩下都是采用X86的方式或者NP的方式。而且我们比思科强的地方是，我们把防火墙和负载均衡能力功能全部集成在这个芯片里边，思科只解决流控问题。

我们能够解决：P2P的问题、带宽保障的问题、安全问题、做地址转换、用户认证、审计。我们做的是一个多层次的流控，流控包括带宽，包括QoS，包括并发会话数，对这三个要素做一个综合的控制。

(图)这是我们能够识别和控制的一部分流量，一部分P2P的协议和AM的协议。其实迅雷大家现在用了很多，目前在网络中看到最大的流量就是迅雷，我们在很多高校里看到迅雷的流量几乎超过60%，迅雷对现在的网络影响非常大，严格意义上讲迅雷是流氓软件，虽然给大家带来了很多下载方面速率上的体验，非常好，但是它严格意义上讲是流氓软件。为什么？首先，它带来很大的安全隐患。你用迅雷在你自己的FTTP服务器上上传和下载的时候