网络流量控制技术方案(二)

网络流量控制技术方案(二)

发布时间：2009/3/21 12:38:31 | 422 人感兴趣 | 0 人参与此信息已过期

一、技术实现原理

4.1 流量识别

流识别分为静态识别和动态识别两种类型。静态识别是根据协议类型、源目的端口、源目的地址进行识别。动态识别分成模式匹配识别和协议解析识别两种类型。

4.1.1 静态流识别

静态流识别能够实现对以太网接入的用户进行区分，将来自某些IP地址的用户提供高优先级控制，某些用户提供低优先级控制。同时，对关键应用的协议类型提供高优先级，对普通业务提供低优先级。业务类型可根据协议类型，也可以按照固定端口来实现。

静态流识别技术高效、简洁，实现技术简单。缺点在于灵活性差，无法应对网络变化。当以太网用户进行IP盗用，或者采用代理技术绕开常见端口，或者进行端口欺骗在高优先级端口上传送低优先级业务，这些情况下静态流识别技术都很难灵活应对，难以实施。

静态流识别能够完成绝大多数应用的优先级控制。凡是具有固定协议类型、地址、端口的业务均能够被适配到相应的容器中，接受优先级调度。

4.1.2 动态流识别

动态流识别技术能够对绝大多数网络应用进行详细的分析，能够识别出网络中存在的安全隐患，能够在应用层进行差分服务，能够根据统计特征将未知的可能危害网络SLA协议的业务进行主动控制，灵活应对各种网络变化。

动态流识别技术分成两个大的分支，一个是采用模式匹配的方法对已知的应用进行识别，根据识别结果确定优先级；一种是采用协议解析的方法对途径的流进行协议分析，获取应用类型，确定优先级。

模式匹配针对单个报文，不需要进行流重装，耗费资源较少，实现技术简单；

协议解析需要缓冲大量数据流，才能获取上下文信息，对绝大多数应用业务来说都需要结合上下文才能确定其具体的应用。但是协议解析具有精度高、控制粒度细、优先级控制较为完美。