如今已是互聯(lián)網(wǎng)時(shí)代，每天都有數(shù)不清的新應(yīng)用出現(xiàn)，不斷吞噬著網(wǎng)絡(luò)帶寬。擴(kuò)容等手段并不能很好地解決問(wèn)題，反而在一定程度上加劇了應(yīng)用流量失控的局面。在這樣的背景下，流控作為一種獨(dú)立產(chǎn)品形態(tài)逐漸走向前臺(tái)，被越來(lái)越多的用戶所關(guān)注。但它不像防火墻、IPS那樣成熟，許多功能仍處于嘗試、完善的階段，圍繞著產(chǎn)品本身也出現(xiàn)了一些爭(zhēng)議。加上流控市場(chǎng)有點(diǎn)像UTM大潮初起時(shí)，混亂且無(wú)序，用戶在選型時(shí)不免遇到一些困擾。今天就讓我們剝繭抽絲，討論一下流控產(chǎn)品的發(fā)展及選型應(yīng)用之道。

殊途同歸的技術(shù)路線

簡(jiǎn)單的說(shuō)，能對(duì)網(wǎng)絡(luò)流量進(jìn)行應(yīng)用識(shí)別，并基于流量的應(yīng)用歸屬提供可視化、管理與優(yōu)化的設(shè)備，就可以叫做流控。滿足條件的產(chǎn)品在市場(chǎng)上有很多，它們基本上可以歸為兩類，即"根正苗紅"的流控和安全網(wǎng)關(guān)剪裁得到的流控。前者一般由傳統(tǒng)流控廠商推出，他們長(zhǎng)期專注于流控領(lǐng)域，在技術(shù)積累方面有自己的優(yōu)勢(shì)，對(duì)市場(chǎng)需求的跟進(jìn)速度較快。例如基于應(yīng)用的路由功能，就是傳統(tǒng)流控廠商率先在設(shè)備中提供支持。另一類產(chǎn)品則由安全廠商所力推，隨著安全業(yè)務(wù)逐步向應(yīng)用層遷移，應(yīng)用識(shí)別已成為新一代安全產(chǎn)品中的基礎(chǔ)功能。無(wú)論是UTM、防毒墻還是上網(wǎng)行為管理，都需要優(yōu)秀的應(yīng)用識(shí)別引擎做為安全業(yè)務(wù)有效性及性能的保障。在這種情況下，流控成為新一代安全產(chǎn)品剪裁得到的副產(chǎn)品，安全廠商藉此殺入這片藍(lán)海。

流控產(chǎn)品背后同時(shí)出現(xiàn)網(wǎng)絡(luò)廠商和安全廠商的影子，是技術(shù)發(fā)展的必然結(jié)果?；贒PI實(shí)現(xiàn)的應(yīng)用識(shí)別功能已經(jīng)成為基礎(chǔ)性的技術(shù)，被廣泛應(yīng)用于不同領(lǐng)域。從網(wǎng)絡(luò)廠商的角度看，路由器、應(yīng)用交付設(shè)備都可以借助應(yīng)用識(shí)別掀起新一輪革命，目前的流控產(chǎn)品已可以看做它們的雛形。而站在安全廠商的角度，應(yīng)用識(shí)別技術(shù)的運(yùn)用則更為普及。它既能工作在底層，為所有應(yīng)用層安全業(yè)務(wù)提供支撐，又可以獨(dú)當(dāng)一面，以應(yīng)用可視化的功能形態(tài)出現(xiàn)。尤其是在NGFW（下一代防火墻）的概念興起后，應(yīng)用可視化及管理特性儼然成為了安全產(chǎn)品的事實(shí)標(biāo)準(zhǔn)。實(shí)際上，我們認(rèn)為未來(lái)應(yīng)用層安全產(chǎn)品的軟件結(jié)構(gòu)都會(huì)趨于統(tǒng)一，高性能包轉(zhuǎn)發(fā)系統(tǒng)和基于DPI的應(yīng)用識(shí)別引擎將成為所有應(yīng)用層安全業(yè)務(wù)的基石。而流控，完全可以看做是前兩者加QoS模塊構(gòu)成的產(chǎn)品形態(tài)。

雖然技術(shù)路線上殊途同歸，不同領(lǐng)域廠商推出的流控產(chǎn)品還是存在一定的差異。安全廠商在流控產(chǎn)品規(guī)格、接口擴(kuò)展性、性能方面占有一定優(yōu)勢(shì)，一些機(jī)架式產(chǎn)品已經(jīng)具有上百G的整機(jī)性能，且能彈性部署升級(jí)。但在應(yīng)用識(shí)別率方面，此類產(chǎn)品或多或少地為保障性能做出犧牲。我們?cè)?jīng)測(cè)試過(guò)一款支持應(yīng)用協(xié)議識(shí)別的安全網(wǎng)關(guān)，該產(chǎn)品只對(duì)連接的前16個(gè)數(shù)據(jù)包進(jìn)行分析。如果16個(gè)數(shù)據(jù)包仍未能判斷出協(xié)議類型，則直接歸為未知應(yīng)用。傳統(tǒng)流控廠商推出的產(chǎn)品通常則以更高的應(yīng)用識(shí)別率為目標(biāo)，會(huì)對(duì)數(shù)據(jù)包進(jìn)行更細(xì)致的跟蹤分析，得到的統(tǒng)計(jì)數(shù)據(jù)也更全面，缺點(diǎn)是不具有安全業(yè)務(wù)的擴(kuò)展性，多數(shù)產(chǎn)品在性能指標(biāo)上與主流安全網(wǎng)關(guān)只開(kāi)啟流控功能時(shí)存在差距。

硬件架構(gòu)方面，傳統(tǒng)流控廠商從成本、開(kāi)發(fā)難度等角度考慮，大多使用了通用的x86平臺(tái)；安全廠商則多使用專用的網(wǎng)絡(luò)業(yè)務(wù)處理平臺(tái)，在I/O能力上曾占有優(yōu)勢(shì)。但隨著近年來(lái)英特爾在嵌入式領(lǐng)域的大力投入，新一代x86平臺(tái)在計(jì)算能力、I/O、功耗、可靠性等方面都有了質(zhì)的飛躍，用做流控時(shí)的表現(xiàn)已不弱于專用的網(wǎng)絡(luò)業(yè)務(wù)處理平臺(tái)。我們的測(cè)試及部分廠商的內(nèi)部測(cè)試結(jié)果表明，在最新的Sandy Bridge平臺(tái)上，流控產(chǎn)品完全可以達(dá)到40G的整機(jī)處理能力，可以說(shuō)目前流控產(chǎn)品的性能已與硬件架構(gòu)無(wú)關(guān)。

歸屬權(quán)：新的矛盾

未來(lái)的網(wǎng)絡(luò)必定具有應(yīng)用感知特性，而這一特性究竟應(yīng)該由網(wǎng)絡(luò)設(shè)備還是安全設(shè)備實(shí)現(xiàn)，是一個(gè)非常敏感的問(wèn)題。畢竟在許多大型用戶的IT部門組織結(jié)構(gòu)中，負(fù)責(zé)網(wǎng)絡(luò)和安全的是兩個(gè)截然不同的團(tuán)隊(duì)。更有甚至，有用戶處出現(xiàn)了IT部門業(yè)務(wù)保障團(tuán)隊(duì)與安全維護(hù)團(tuán)隊(duì)的糾紛，其原因是流控產(chǎn)品實(shí)施的某些封禁策略影響到企業(yè)業(yè)務(wù)系統(tǒng)的正常運(yùn)行，造成了經(jīng)濟(jì)損失。應(yīng)用識(shí)別與控制特性的歸屬權(quán)，陷入了管理流程與權(quán)限上的灰色地帶，讓CIO們頗為尷尬。悲劇的是，現(xiàn)階段用戶部署流控設(shè)備就必須面對(duì)這個(gè)問(wèn)題；而不部署流控，應(yīng)用流量失控對(duì)網(wǎng)絡(luò)及業(yè)務(wù)造成的影響，又是IT部門不可承受之重。

除了用戶內(nèi)部的管理矛盾，許多廠商也因流控產(chǎn)品的歸屬問(wèn)題處于對(duì)立面。網(wǎng)絡(luò)廠商（主要是傳統(tǒng)流控廠商）認(rèn)為流控的網(wǎng)絡(luò)屬性天經(jīng)地義，畢竟這類產(chǎn)品不對(duì)應(yīng)用內(nèi)容進(jìn)行排查；安全廠商則認(rèn)為有"狀態(tài)"的業(yè)務(wù)都屬安全范疇，并且應(yīng)用流量失控會(huì)造成關(guān)鍵業(yè)務(wù)中斷等安全事件。我們認(rèn)為兩種說(shuō)法都有一定的道理，因?yàn)榱骺氐漠a(chǎn)品形態(tài)本身正處于網(wǎng)絡(luò)與安全的中間狀態(tài)。需要特別注意的是，千萬(wàn)不要讓產(chǎn)品歸屬之爭(zhēng)左右了選型意向，除非所處行業(yè)有特殊規(guī)定，否則網(wǎng)絡(luò)產(chǎn)品的入網(wǎng)證和安全產(chǎn)品的銷售許可證在用戶面前只是廠商為不同領(lǐng)域競(jìng)爭(zhēng)對(duì)手設(shè)置的壁壘，不要讓小小貼紙成為好產(chǎn)品的攔路虎。

流控產(chǎn)品的歸屬問(wèn)題倒是應(yīng)該引起行業(yè)主管部門的注意。相傳國(guó)內(nèi)某整體網(wǎng)絡(luò)解決方案提供商之前在海外運(yùn)營(yíng)商市場(chǎng)折戟沉沙，就是因?yàn)槭褂昧司哂袘?yīng)用層內(nèi)容過(guò)濾功能的產(chǎn)品當(dāng)做流控投標(biāo)（過(guò)濾功能沒(méi)有通過(guò)授權(quán)許可開(kāi)放）。根據(jù)當(dāng)?shù)胤杉靶袠I(yè)規(guī)范要求，用于運(yùn)營(yíng)網(wǎng)絡(luò)的流控產(chǎn)品必須在源代碼中就不能存在任何內(nèi)容過(guò)濾相關(guān)的功能（即便沒(méi)有通過(guò)授權(quán)許可開(kāi)放）。該公司事后痛定思痛，計(jì)劃將產(chǎn)品線進(jìn)行剝離，在面向運(yùn)營(yíng)網(wǎng)絡(luò)的所有產(chǎn)品中徹底刪除所有涉及應(yīng)用層業(yè)務(wù)的代碼。目前我國(guó)雖然在行業(yè)信息化建設(shè)方面還沒(méi)有類似規(guī)定，但在隱私保護(hù)呼聲漸高的今天，這個(gè)問(wèn)題需要得到各行業(yè)主管部門的重視，給出具有前瞻性的指導(dǎo)方案。

認(rèn)清需求 理智抉擇

面對(duì)流控市場(chǎng)的紛紛擾擾，用戶難免在選型時(shí)陷入迷茫。在這個(gè)時(shí)候，不妨再準(zhǔn)確梳理下自己的需求，將其細(xì)化到產(chǎn)品對(duì)應(yīng)的功能、性能指標(biāo)，制定出理智的招標(biāo)要求。對(duì)于應(yīng)標(biāo)產(chǎn)品應(yīng)一視同仁，最好在實(shí)驗(yàn)室環(huán)境測(cè)試設(shè)備的真實(shí)性能及在功能上的滿足度，再到真實(shí)環(huán)境中進(jìn)行長(zhǎng)期的穩(wěn)定性測(cè)試。如果未來(lái)有計(jì)劃購(gòu)買流控設(shè)備上更多業(yè)務(wù)的授權(quán)許可（例如安全業(yè)務(wù)），最好能預(yù)先開(kāi)啟相應(yīng)功能進(jìn)行測(cè)試，以免屆時(shí)遇到性能瓶頸，讓原有計(jì)劃變成紙上談兵。

許多用戶認(rèn)為，流控的作用就是在網(wǎng)絡(luò)出口做應(yīng)用流量控制，保證關(guān)鍵業(yè)務(wù)、提升內(nèi)網(wǎng)用戶的上網(wǎng)體驗(yàn)。其實(shí)這只是此類設(shè)備的一種應(yīng)用場(chǎng)景，作為網(wǎng)絡(luò)基礎(chǔ)架構(gòu)層面的新面孔，流控有著越來(lái)越多的適用領(lǐng)域。我們?cè)鴮?duì)流控產(chǎn)品在一些大型行業(yè)用戶網(wǎng)絡(luò)中的應(yīng)用情況進(jìn)行過(guò)調(diào)查分析，歸納出3種常見(jiàn)的部署模式，供讀者參考：

" 使用流控對(duì)全網(wǎng)流量進(jìn)行應(yīng)用識(shí)別，獲取不同時(shí)間段的監(jiān)控結(jié)果及分析報(bào)表，為管理決策提供數(shù)據(jù)支撐。

" 使用流控針對(duì)不同應(yīng)用設(shè)定流量限速策略，可以用更少的帶寬達(dá)到更好的網(wǎng)絡(luò)訪問(wèn)體驗(yàn)，在解決問(wèn)題的同時(shí)降低成本。動(dòng)態(tài)限速是被用戶越來(lái)越多提到的需求，例如在網(wǎng)絡(luò)空閑的時(shí)候，適當(dāng)允許P2P應(yīng)用占用更多的帶寬。

" 使用流控基于應(yīng)用做分流，例如將郵件、網(wǎng)頁(yè)瀏覽路由到質(zhì)量高（通常帶寬低且貴）的鏈路上，將P2P下載、在線視頻等非關(guān)鍵應(yīng)用路由到質(zhì)量低（通常帶寬高且便宜）的鏈路上，在提高可靠性的同時(shí)降低成本。

除此之外，流控產(chǎn)品也被大型行業(yè)用戶挖掘出一些新的應(yīng)用場(chǎng)景，其中比較具有代表性的是：

" 使用流控基于應(yīng)用做流量鏡像，將特定應(yīng)用的流量路由或鏡像到其他設(shè)備上，在提高業(yè)務(wù)有效性的同時(shí)為下游設(shè)備減負(fù)。例如只將需要進(jìn)行病毒過(guò)濾的流量路由/鏡像到防毒墻，不但比基于端口的方式更精準(zhǔn)，也減小了防毒墻在I/O方面的壓力。

" 使用流控在數(shù)據(jù)中心邊緣監(jiān)控/保障特定應(yīng)用，將其當(dāng)做IT合規(guī)的審計(jì)工具。例如某些行業(yè)規(guī)范要求，必須保證Web服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器間只有SQL流量。

" 使用流控對(duì)WLAN接入的流量進(jìn)行分析，實(shí)施有針對(duì)性的管理及優(yōu)化策略。大范圍部署無(wú)線網(wǎng)絡(luò)的運(yùn)營(yíng)商已經(jīng)提出了這一需求，相信隨著B(niǎo)YOD模式的普及，行業(yè)用戶也有著同樣的需要。流控產(chǎn)品必須與時(shí)俱進(jìn)，加入對(duì)移動(dòng)終端類型及移動(dòng)互聯(lián)網(wǎng)應(yīng)用的支持。

它山之石：廠商眼中的高校網(wǎng)絡(luò)與流控產(chǎn)品

除了用戶自己，最了解用戶需求的莫過(guò)于為其提供產(chǎn)品解決方案的眾多廠商。所以本次我們也采訪了7家有流控產(chǎn)品在售的業(yè)內(nèi)廠商，了解一下他們對(duì)流控技術(shù)與產(chǎn)品發(fā)展的看法。廠商所處領(lǐng)域的不同，不免影響到其看待問(wèn)題的角度。這是件好事，看問(wèn)題的角度越多，得到的結(jié)論自然也就越全面。

需要說(shuō)明的是，我們采訪前的調(diào)研對(duì)象中有相當(dāng)多的高校信息中心老師，他們無(wú)疑是對(duì)流控產(chǎn)品最感興趣的一類人。結(jié)合高校網(wǎng)絡(luò)的特點(diǎn)來(lái)看，流控在之前提到的所有場(chǎng)景中都有用武之地。尤其是基于應(yīng)用的路由功能，對(duì)于大多采用多鏈路接入的高校用戶來(lái)說(shuō)尤為重要。我們也在后續(xù)采訪過(guò)程中請(qǐng)廠商針對(duì)高校的需求進(jìn)行了深入的分析，并給出了落地到產(chǎn)品的改善建議。

7家受訪廠商中，靈州網(wǎng)絡(luò)、邁科網(wǎng)絡(luò)、派網(wǎng)科技是長(zhǎng)期堅(jiān)持以流控技術(shù)為核心的廠商，并且目前所售產(chǎn)品也主要以流控為主。這3家廠商對(duì)應(yīng)用流量失控造成的影響有著更加細(xì)致的解讀，同時(shí)提出了一些產(chǎn)品模式及功能上的創(chuàng)新。某種意義上，他們的思路可以看做流控產(chǎn)品形態(tài)變化的風(fēng)向標(biāo)。

迪普科技、山石網(wǎng)科則是國(guó)內(nèi)安全領(lǐng)域的新興勢(shì)力，均以網(wǎng)絡(luò)安全起家/見(jiàn)長(zhǎng)。他們的產(chǎn)品都屬于多功能安全網(wǎng)關(guān)范疇，除流控外還可提供豐富的網(wǎng)絡(luò)基礎(chǔ)功能及多種安全業(yè)務(wù)，在采訪中也更多體現(xiàn)出看問(wèn)題及產(chǎn)品解決方案的全面性。以應(yīng)用安全起家的深信服科技則是另一種思路，他們似乎在努力把流控的功能做細(xì)做深，并且努力與其占據(jù)市場(chǎng)優(yōu)勢(shì)地位的上網(wǎng)行為管理產(chǎn)品進(jìn)行融合。深信服科技也是采訪中唯一將移動(dòng)終端/移動(dòng)互聯(lián)網(wǎng)應(yīng)用的識(shí)別做為重點(diǎn)的廠商，這應(yīng)是流控產(chǎn)品形態(tài)發(fā)展的一個(gè)方向（已經(jīng)有行業(yè)用戶在招標(biāo)中提出這方面要求）。

H3C則是本次采訪中唯一能夠提供整體網(wǎng)絡(luò)解決方案的廠商，所以其強(qiáng)調(diào)流控與網(wǎng)絡(luò)設(shè)備融合的觀點(diǎn)并不令人感到意外。不管流控產(chǎn)品歸屬到網(wǎng)絡(luò)領(lǐng)域還是安全范疇，應(yīng)用識(shí)別技術(shù)與網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的融合趨勢(shì)都不會(huì)受到影響。

采訪內(nèi)容按企業(yè)名稱拼音順序排列

[[104076]]

H3C安全產(chǎn)品部產(chǎn)品經(jīng)理 張東亮

由于資費(fèi)等原因，高校網(wǎng)絡(luò)出口帶寬一般比較有限。通過(guò)流量分析可以看出，占用帶寬較多的主要是迅雷、BT等P2P下載和QQ直播、迅雷看看等在線視頻應(yīng)用，嚴(yán)重時(shí)會(huì)影響到教科研相關(guān)業(yè)務(wù)的使用體驗(yàn)。擴(kuò)容并不是解決問(wèn)題的最好方法，很多情況下，網(wǎng)絡(luò)擁塞不會(huì)因?yàn)閹捲黾佣玫骄徑?。這就如一條沒(méi)有交通規(guī)則的公路，不管擴(kuò)到多寬，也很快就會(huì)被堵死。H3C認(rèn)為，合理的解決方法是通過(guò)在出口處部署流控設(shè)備，實(shí)現(xiàn)業(yè)務(wù)流量的可視化，同時(shí)針對(duì)P2P、視頻流等非關(guān)鍵業(yè)務(wù)在策略上做嚴(yán)格限制，將整網(wǎng)流量有序化?？紤]到不同時(shí)段，校內(nèi)不同區(qū)域網(wǎng)絡(luò)流量模型自身的特點(diǎn)，流量控制策略的配置需要針對(duì)時(shí)間、IP地址等元素進(jìn)行更為細(xì)致的設(shè)定，方可保證帶寬分配的合理性。

H3C SecPath ACG系列產(chǎn)品是H3C面向運(yùn)營(yíng)商、大中型企業(yè)、教育系統(tǒng)開(kāi)發(fā)的專業(yè)應(yīng)用控制網(wǎng)關(guān)，提供高性能2-7層深度報(bào)文檢測(cè)、流量統(tǒng)計(jì)以及全面的帶寬控制功能，賦予用戶分時(shí)段、分區(qū)域進(jìn)行精細(xì)化流量管理的能力，使帶寬資源得到合理、充分的使用。該系列中亦有可用于H3C路由器、交換機(jī)的插板形態(tài)產(chǎn)品，讓網(wǎng)絡(luò)基礎(chǔ)設(shè)施也能擁有應(yīng)用的感知與控制能力，符合未來(lái)發(fā)展趨勢(shì)。

[[98869]]

迪普科技產(chǎn)品部副部長(zhǎng) 孫曉明

迪普科技認(rèn)為，高校網(wǎng)絡(luò)類似于一個(gè)小型的運(yùn)營(yíng)商網(wǎng)絡(luò)，一般擁有多個(gè)帶寬、資費(fèi)標(biāo)準(zhǔn)不同的互聯(lián)網(wǎng)出口。如何綜合考慮各方面因素，為師生提供最佳的網(wǎng)絡(luò)訪問(wèn)體驗(yàn)，成為一個(gè)重要課題。大體上，目前高校網(wǎng)絡(luò)出口存在"路徑優(yōu)化"、"大容量NAT""流控"、"法規(guī)遵從"、"惡意代碼抑制"等需求。僅就流控而言，校園網(wǎng)用戶數(shù)量眾多，流量構(gòu)成復(fù)雜，帶寬需求量大，僅采用針對(duì)用戶的帶寬及連接數(shù)限制是不夠的，必須輔之以基于應(yīng)用的流控手段。也就是說(shuō)，網(wǎng)絡(luò)出口設(shè)備不僅要識(shí)別傳輸協(xié)議，還要識(shí)別到細(xì)粒度的應(yīng)用。例如同為P2P模式的應(yīng)用，在線視頻就應(yīng)當(dāng)保證，P2P下載則要被限制。

針對(duì)高校網(wǎng)絡(luò)出口的應(yīng)用流量控制需求，迪普科技的UAG3000系列產(chǎn)品及DPX8000上的UAG插卡都可以提供完備的流控能力，在微秒級(jí)時(shí)延下達(dá)到最大200G的整機(jī)性能。UAG引擎目前能夠識(shí)別超過(guò)1600種協(xié)議，可以進(jìn)行精準(zhǔn)的流量控制，同時(shí)提供多維度的、豐富的數(shù)據(jù)分析報(bào)表。利用智能阻斷和動(dòng)態(tài)協(xié)商技術(shù)，該產(chǎn)品將流控的帶寬消耗降低到5%以內(nèi)，實(shí)現(xiàn)"零帶寬損失"。UAG還特別支持IPv4/IPv6雙棧的特性，以滿足高校中越來(lái)越多的IPv6部署需求。

[[98870]]

靈州網(wǎng)絡(luò)首席技術(shù)官 梁翊

根據(jù)靈州網(wǎng)絡(luò)的統(tǒng)計(jì)，目前高校網(wǎng)絡(luò)出口帶寬多在1G-4G左右，而終端接入帶寬則為百兆乃至千兆，且難以采用運(yùn)營(yíng)商常用的PPPoE方式對(duì)帶寬及安全進(jìn)行控制。其結(jié)果是出口帶寬相對(duì)緊張，百兆接入終端的網(wǎng)絡(luò)攻擊行為就足以威脅校園網(wǎng)出口安全。此外，校園網(wǎng)中應(yīng)用更新速度快、突發(fā)性強(qiáng)（例如時(shí)下歐洲杯期間造成的視頻流量激增），流控設(shè)備必須在性能及協(xié)議更新響應(yīng)速度上有所保障，才能實(shí)施精準(zhǔn)的流量控制。鑒于高校網(wǎng)絡(luò)普遍采用了多鏈路接入的模式，鏈路負(fù)載均衡/NAT也應(yīng)成為評(píng)估流控產(chǎn)品的重要指標(biāo)，這不僅可以減少網(wǎng)絡(luò)出口的故障點(diǎn)，也使鏈路質(zhì)量具有更好的優(yōu)化效果。

針對(duì)高校網(wǎng)絡(luò)出口的普遍需求，靈州網(wǎng)絡(luò)提供了運(yùn)營(yíng)級(jí)鏈路出口優(yōu)化解決方案，可實(shí)現(xiàn)應(yīng)用流量、鏈路資源及用戶身份的可視可控。作為方案核心，新一代多功能網(wǎng)關(guān)集成了流量分析、帶寬管理、鏈路負(fù)載均衡、NAT和應(yīng)用路由等互聯(lián)網(wǎng)出口必需的接入和管控功能，整機(jī)最大性能達(dá)到雙向20G。該產(chǎn)品還在傳統(tǒng)流控技術(shù)的基礎(chǔ)上，結(jié)合獨(dú)有的帶寬巡航及流控?fù)p耗優(yōu)化等技術(shù)，在流量?jī)?yōu)化過(guò)程中減小帶寬損耗，提升網(wǎng)絡(luò)訪問(wèn)體驗(yàn)。

[[98871]]

邁科網(wǎng)絡(luò)產(chǎn)品總監(jiān) 潘月來(lái)

根據(jù)邁科網(wǎng)絡(luò)的統(tǒng)計(jì)數(shù)據(jù)，高校網(wǎng)絡(luò)出口的承載與運(yùn)營(yíng)商相仿但實(shí)際壓力更大，部分高校出口帶寬利用率已經(jīng)達(dá)到100%，網(wǎng)絡(luò)擁堵情況嚴(yán)重。從流量分布來(lái)看，視頻類應(yīng)用以超過(guò)40%的比例排在首位，P2P下載雖然排在次席，但高并發(fā)會(huì)話的協(xié)議特點(diǎn)一直是造成出口壓力的重要原因。Web瀏覽的流量雖呈下降趨勢(shì)，其體驗(yàn)卻是評(píng)估網(wǎng)絡(luò)質(zhì)量的重要指標(biāo)。社交類、網(wǎng)游類應(yīng)用的流量也不容小覷，學(xué)生對(duì)這類應(yīng)用的延遲非常敏感。這些事實(shí)表明，流量控制的焦點(diǎn)已從早期的P2P下載限制漸變?yōu)橛脩趔w驗(yàn)的保證，履行管理職能的高校網(wǎng)絡(luò)中心也面臨從管理到服務(wù)的角色轉(zhuǎn)變。

面對(duì)需求的變化，流控產(chǎn)品必須與時(shí)俱進(jìn)。邁科網(wǎng)絡(luò)目前針對(duì)高校用戶主推的AM-6000系列產(chǎn)品可以在多千兆環(huán)境下實(shí)現(xiàn)線速處理，整機(jī)最大處理能力達(dá)到14G；基于Sandy Bridge平臺(tái)的新產(chǎn)品能夠達(dá)到萬(wàn)兆線速的處理能力，已在部分高校做開(kāi)局測(cè)試。功能方面，該系列產(chǎn)品解決方案可實(shí)現(xiàn)基于用戶身份的精細(xì)化管理，能夠根據(jù)應(yīng)用特點(diǎn)動(dòng)態(tài)優(yōu)化流量，而不僅僅只做控制。對(duì)外的帶寬分流功能可以根據(jù)需要將指定應(yīng)用流量分配到不同的鏈路，對(duì)內(nèi)的流量配額（Quota）設(shè)定則很可能是未來(lái)高校網(wǎng)絡(luò)的最佳管理方式。

[[98872]]

派網(wǎng)科技總經(jīng)理 王濤

高校網(wǎng)絡(luò)與運(yùn)營(yíng)商網(wǎng)絡(luò)類似，都難以對(duì)終端實(shí)行準(zhǔn)入機(jī)制，也不可能對(duì)上網(wǎng)流量進(jìn)行嚴(yán)格控制，所以不管出口帶寬多大都會(huì)被跑滿。流控產(chǎn)品雖然在教育行業(yè)應(yīng)用較早，但在愈發(fā)復(fù)雜的互聯(lián)網(wǎng)應(yīng)用面前，其對(duì)流量的管控能力在逐步下降。這歸根結(jié)底是應(yīng)用識(shí)別率的問(wèn)題，沒(méi)有準(zhǔn)確的識(shí)別結(jié)果為基礎(chǔ)，流量控制乃至應(yīng)用路由都無(wú)從實(shí)現(xiàn)。

派網(wǎng)科技始終專注于應(yīng)用流量的管理與分析，在提升協(xié)議識(shí)別率方面摸索出一套行之有效的方法。自6年前發(fā)布第一代產(chǎn)品時(shí)起，Panabit就采用了"小步快跑"的互聯(lián)網(wǎng)模式打造與運(yùn)營(yíng)，通過(guò)免費(fèi)發(fā)行的標(biāo)準(zhǔn)版快速積累了一批穩(wěn)定的用戶群體。來(lái)自他們的主動(dòng)反饋促使產(chǎn)品可靠性、易用性與功能覆蓋面逐步提升，也讓Panabit在應(yīng)用識(shí)別率及更新速度方面保持領(lǐng)先。針對(duì)一些多出口環(huán)境中流量不對(duì)稱對(duì)協(xié)議識(shí)別造成的影響，派網(wǎng)科技率先在產(chǎn)品中集成了智能P2P輔助分析模塊，通過(guò)數(shù)據(jù)模型對(duì)流量行為進(jìn)行關(guān)聯(lián)性分析，進(jìn)一步提升了應(yīng)用識(shí)別率，在一些高校測(cè)試后得到了非常積極的評(píng)價(jià)。這一新特性能夠與Panabit完善的應(yīng)用路由功能及高達(dá)40G的處理能力相結(jié)合，為高校用戶提供了一站式應(yīng)用流量管理解決方案。

[[104081]]

山石網(wǎng)科首席技術(shù)官 劉向明

高校網(wǎng)絡(luò)出口類似于運(yùn)營(yíng)商，存在著多鏈路、高帶寬、海量接入的特點(diǎn)。根據(jù)山石網(wǎng)科的統(tǒng)計(jì)，目前高校網(wǎng)絡(luò)中主要分為兩類應(yīng)用：第一類是用戶感知較強(qiáng)的網(wǎng)頁(yè)瀏覽、網(wǎng)絡(luò)游戲等，第二類是P2P模式為主的下載、在線視頻等。通常用戶感覺(jué)網(wǎng)絡(luò)體驗(yàn)不佳是因?yàn)榈诙悜?yīng)用搶占了過(guò)多資源，這也是需要進(jìn)行應(yīng)用流量控制的主要原因。山石網(wǎng)科建議，要根據(jù)用戶、應(yīng)用和行為對(duì)鏈路資源進(jìn)行分配與控制，并對(duì)一些非關(guān)鍵應(yīng)用進(jìn)行限制。這種控制應(yīng)是彈性而非靜態(tài)的，即不僅要控制不同應(yīng)用的帶寬，還要根據(jù)總體負(fù)載來(lái)彈性調(diào)整帶寬的控制力度。鑒于接入鏈路的質(zhì)量與價(jià)格存在差異，網(wǎng)關(guān)也應(yīng)提供應(yīng)用引流技術(shù)，將不同優(yōu)先級(jí)的流量牽引到不同鏈路，從而更合理地利用鏈路資源。

針對(duì)以上需求，山石網(wǎng)科推出了一系列高性能安全網(wǎng)關(guān)，最高可支持百萬(wàn)級(jí)新建連接/NAT及千萬(wàn)級(jí)的并發(fā)訪問(wèn)，在海量接入時(shí)依然可提供可靠的業(yè)務(wù)支撐。該產(chǎn)品具有較強(qiáng)的應(yīng)用識(shí)別及控制能力，多鏈路環(huán)境下提供ISP路由和應(yīng)用引流方案，當(dāng)某條鏈路出現(xiàn)故障時(shí)，還能將流量分配到其他鏈路。結(jié)合產(chǎn)品本身強(qiáng)大的安全防護(hù)特性，為高校網(wǎng)絡(luò)出口提供了高質(zhì)量網(wǎng)絡(luò)接入及安全保障。

[[98873]]

深信服科技市場(chǎng)行銷部技術(shù)總監(jiān) 殷浩

根據(jù)深信服科技了解到的情況，目前國(guó)內(nèi)高校出口帶寬在3G-6G的占到總數(shù)的60%，6G以上則占20%，部分高校甚至已完成萬(wàn)兆接入的部署。出口帶寬的增加帶動(dòng)了設(shè)備升級(jí)，也對(duì)流控產(chǎn)品的性能與穩(wěn)定性提出了更高要求。另一方面，隨著移動(dòng)終端的普及，無(wú)線網(wǎng)絡(luò)大量出現(xiàn)在校園中，高?；ヂ?lián)網(wǎng)出口中來(lái)自移動(dòng)終端的流量有顯著增長(zhǎng)。這其中很大一部分是IOS/Android等非Windows設(shè)備，它們的網(wǎng)絡(luò)流量模型及應(yīng)用特征都有很大改變，流控產(chǎn)品須能識(shí)別終端類型及應(yīng)用，才能準(zhǔn)確、合理地管理流量。此外，IPv6已在高校率先推廣使用，對(duì)IPv6流量的分析與控制能力將成為未來(lái)高校的重要需求。

深信服科技推出的融合流控功能在內(nèi)的第二代上網(wǎng)行為管理產(chǎn)品具有萬(wàn)兆接口及與之匹配的處理能力，支持對(duì)IPv6及IPv4封裝IPv6的流量進(jìn)行分析與控制。該產(chǎn)品內(nèi)置了850種以上的互聯(lián)網(wǎng)應(yīng)用，其中包括了Windows、IOS、Android等平臺(tái)上的主流應(yīng)用，可對(duì)互聯(lián)網(wǎng)流量做更全面的分析與識(shí)別。新增加的動(dòng)態(tài)流控特性可根據(jù)鏈路帶寬空閑比例自動(dòng)調(diào)節(jié)流控策略，更好地保證了高校出口帶寬的利用率。