盡在掌控 網(wǎng)絡(luò)流量管理各角度解析

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

近十幾年來(lái)，互聯(lián)網(wǎng)得到了飛速發(fā)展。據(jù)統(tǒng)計(jì)，互聯(lián)網(wǎng)目前已成為人類(lèi)社會(huì)最重要的信息基礎(chǔ)設(shè)施，占人類(lèi)信息交流的80%。在這種大背景下，面對(duì)日益復(fù)雜的網(wǎng)絡(luò)聯(lián)機(jī)及逐漸增加的網(wǎng)絡(luò)流量，系統(tǒng)和網(wǎng)絡(luò)管理者必須花更多時(shí)間和精力來(lái)了解這些網(wǎng)絡(luò)設(shè)備的運(yùn)作狀況，以維持一個(gè)企業(yè)網(wǎng)絡(luò)的正常運(yùn)作。一般來(lái)說(shuō)，網(wǎng)絡(luò)管理者需要了解各個(gè)網(wǎng)段頻寬的使用率、網(wǎng)絡(luò)問(wèn)題的瓶頸發(fā)生于何處，一旦網(wǎng)絡(luò)發(fā)生問(wèn)題，必須能夠很快地分析和判斷出問(wèn)題的發(fā)生原因，這些就是網(wǎng)絡(luò)流量管理的主要工作內(nèi)容。那么，管理網(wǎng)絡(luò)流量的時(shí)候應(yīng)該基于什么樣的依據(jù)，通過(guò)什么手段和策略有效地把流量進(jìn)行識(shí)別、分析和管理呢？

網(wǎng)絡(luò)流量管理的目標(biāo)

隨著網(wǎng)絡(luò)流量的不斷增長(zhǎng)以及網(wǎng)絡(luò)應(yīng)用的日趨紛繁復(fù)雜化，我們不難看到，簡(jiǎn)單、無(wú)限制地增加網(wǎng)絡(luò)帶寬是不能解決網(wǎng)絡(luò)流量的根本問(wèn)題的。我們需要對(duì)網(wǎng)絡(luò)流量進(jìn)行管理，從而保證網(wǎng)絡(luò)的健康和網(wǎng)絡(luò)應(yīng)用的正常服務(wù)。

在網(wǎng)絡(luò)流量管理的過(guò)程中，我們首要的問(wèn)題就要明確網(wǎng)絡(luò)管理目標(biāo)。在網(wǎng)絡(luò)流量管理主要有4個(gè)目標(biāo)： 首先，我們要了解網(wǎng)絡(luò)流量的使用情況； 其次，要找到優(yōu)化網(wǎng)絡(luò)性能的途徑； 第三，要通過(guò)網(wǎng)絡(luò)管理技術(shù)來(lái)提升網(wǎng)絡(luò)效能； 最后，還需要做好網(wǎng)絡(luò)流量信息安全方面的防護(hù)工作。

要達(dá)到上述4個(gè)目標(biāo)，網(wǎng)絡(luò)管理員首先要通過(guò)有效的分類(lèi)方式非常明確地知道，我們需要的帶寬到底哪些是實(shí)際使用的。其次是找到網(wǎng)絡(luò)性能的瓶頸。網(wǎng)絡(luò)性能有兩個(gè)很重要的指標(biāo)，一個(gè)是吞吐量，即網(wǎng)絡(luò)能夠傳輸?shù)淖畲髷?shù)據(jù)量，另一個(gè)是延遲等。第三，應(yīng)用成熟的流量監(jiān)控及控制軟件來(lái)提升網(wǎng)絡(luò)性能，從而滿足不同的網(wǎng)絡(luò)應(yīng)用需求。最后，網(wǎng)管們還可以綜合運(yùn)用入侵檢測(cè)系統(tǒng)（IDS）、防火墻、統(tǒng)一威脅管理（UTM）設(shè)備來(lái)對(duì)網(wǎng)絡(luò)流量進(jìn)行信息安全方面的防護(hù)工作。

在日常的網(wǎng)絡(luò)流量管理中，為了有效實(shí)現(xiàn)網(wǎng)絡(luò)管理4個(gè)目標(biāo)，我們需要采取相應(yīng)的步驟。這個(gè)步驟包括網(wǎng)絡(luò)流量捕捉和分類(lèi)、網(wǎng)絡(luò)流量監(jiān)視（統(tǒng)計(jì)和分析）和控制策略。

1. 網(wǎng)絡(luò)流量捕捉和分類(lèi)： 這是進(jìn)行網(wǎng)絡(luò)流量管理的第一步。只有通過(guò)設(shè)置捕捉點(diǎn)，對(duì)網(wǎng)絡(luò)流量進(jìn)行捕捉和分類(lèi)，才能進(jìn)行后續(xù)的分析和控制工作。這里特別需要強(qiáng)調(diào)的是，網(wǎng)絡(luò)流量分類(lèi)可以非常宏觀化，也可以細(xì)化。比如TCP、UDP、ICMP等分類(lèi)就比較宏觀，而HTTP、FTP甚至是諸如Kazza、Skype等P2P流量的分類(lèi)和識(shí)別就比較細(xì)化了。在日常工作中，網(wǎng)絡(luò)管理員可以采用Wireshark、TCPDump等知名的報(bào)文捕捉和分析軟件進(jìn)行流量捕捉和分類(lèi)工作。

2.網(wǎng)絡(luò)流量監(jiān)視（分析）： 監(jiān)視用來(lái)顯示流量的運(yùn)行狀況，幫助找出問(wèn)題所在和執(zhí)行相應(yīng)的管理策略。應(yīng)用程序和網(wǎng)絡(luò)管理能夠收集分類(lèi)、展示和收集信息，包括帶寬利用率、活躍的主機(jī)和網(wǎng)絡(luò)效率以及活躍的應(yīng)用程序。該目標(biāo)可以通過(guò)采用市面上常見(jiàn)的NTOP等可視化分析管理工具來(lái)協(xié)助網(wǎng)絡(luò)管理員在實(shí)際工作中實(shí)現(xiàn)。

3. 控制策略： 網(wǎng)絡(luò)流量分析的下一步是根據(jù)優(yōu)先級(jí)別分配帶寬資源。分配的依據(jù)可以是主機(jī)、應(yīng)用等等，特別需要考慮的是注意將消耗資源的P2P程序或者音頻視頻下載等進(jìn)行滯后考慮。具體操作時(shí)可以應(yīng)用流行的流量控制工具來(lái)進(jìn)行和實(shí)現(xiàn)，如進(jìn)行分類(lèi)監(jiān)視和控制網(wǎng)絡(luò)流量，這樣，我們就可以將網(wǎng)絡(luò)流量有效管理起來(lái)，將原來(lái)無(wú)序的網(wǎng)絡(luò)流量變得有序起來(lái)。

以下我們具體介紹如何進(jìn)行網(wǎng)絡(luò)流量管理工作，包括網(wǎng)絡(luò)流量的識(shí)別、網(wǎng)絡(luò)流量的分析和控制。

網(wǎng)絡(luò)流量的識(shí)別

流量識(shí)別，也叫業(yè)務(wù)識(shí)別（Application Awareness），是網(wǎng)絡(luò)流量管理的第一步。網(wǎng)絡(luò)流量識(shí)別通過(guò)對(duì)業(yè)務(wù)流量從數(shù)據(jù)鏈路層到應(yīng)用層的報(bào)文深度檢查分析，依據(jù)協(xié)議類(lèi)型、端口號(hào)、特征字符串和流量行為特征等參數(shù)，獲取業(yè)務(wù)類(lèi)型、業(yè)務(wù)狀態(tài)、業(yè)務(wù)內(nèi)容和用戶行為等信息，并進(jìn)行分類(lèi)統(tǒng)計(jì)和存儲(chǔ)。業(yè)務(wù)識(shí)別的基本目的是幫助網(wǎng)絡(luò)管理員獲得網(wǎng)絡(luò)層之上的業(yè)務(wù)層流量信息，如業(yè)務(wù)類(lèi)型、業(yè)務(wù)狀態(tài)、業(yè)務(wù)分布、業(yè)務(wù)流量流向等。

業(yè)務(wù)識(shí)別是一個(gè)相對(duì)復(fù)雜的過(guò)程，需要多個(gè)功能模塊的協(xié)同工作，業(yè)務(wù)識(shí)別的工作過(guò)程簡(jiǎn)單描述如下：

1. 識(shí)別處理模塊采用多通道識(shí)別處理，通過(guò)對(duì)網(wǎng)絡(luò)流量的源/目的IP地址和源/目的端口號(hào)的Hash算法，將網(wǎng)絡(luò)流量均勻地分配到多個(gè)處理通道中。

2. 多處理通道并行執(zhí)行網(wǎng)絡(luò)流量的深度報(bào)文檢查，獲取網(wǎng)絡(luò)流量的特征信息，并與業(yè)務(wù)識(shí)別特征庫(kù)中的特征進(jìn)行比對(duì)。

3. 將匹配結(jié)果送往識(shí)別處理模塊，并標(biāo)識(shí)特定網(wǎng)絡(luò)流量。如果存在多個(gè)匹配結(jié)果，選取優(yōu)先級(jí)較高的匹配結(jié)果進(jìn)行標(biāo)識(shí)。特定網(wǎng)絡(luò)流量一經(jīng)識(shí)別確定，該網(wǎng)絡(luò)流量的后續(xù)連接將不再進(jìn)行深度的報(bào)文檢查，直接將其網(wǎng)絡(luò)層和傳輸層信息與已知識(shí)別結(jié)果進(jìn)行比對(duì)，以提高執(zhí)行效率。

4. 識(shí)別處理模塊將網(wǎng)絡(luò)流量的業(yè)務(wù)識(shí)別結(jié)果存儲(chǔ)到識(shí)別結(jié)果存儲(chǔ)模塊中，為網(wǎng)絡(luò)流量的統(tǒng)計(jì)分析提供依據(jù)。

5. 統(tǒng)計(jì)分析模塊從識(shí)別結(jié)果存儲(chǔ)模塊中讀取相關(guān)信息，并以曲線、餅圖、柱狀圖或者文本的方式將識(shí)別結(jié)果信息顯示或以文件的形式輸出。

6. 在結(jié)果存儲(chǔ)模塊中保存的識(shí)別結(jié)果信息會(huì)輸出到網(wǎng)絡(luò)流量管理功能區(qū)，為實(shí)施網(wǎng)絡(luò)流量管理提供依據(jù)。

目前常用的業(yè)務(wù)識(shí)別技術(shù)有兩種，即DPI技術(shù)和DFI技術(shù)。

DPI技術(shù)  DPI是深度報(bào)文檢測(cè)（Deep Packet Inspection）的簡(jiǎn)稱。DPI技術(shù)之所以稱為“深度”的檢測(cè)技術(shù)，是相對(duì)于傳統(tǒng)的檢測(cè)技術(shù)而言的。傳統(tǒng)的流量檢測(cè)技術(shù)僅獲取那些寄存在數(shù)據(jù)包網(wǎng)絡(luò)層和傳輸層協(xié)議頭中的基本信息，包括源/目的IP地址、源/目的傳輸層端口號(hào)、協(xié)議號(hào)，以及底層的連接狀態(tài)等。通過(guò)這些參數(shù)很難獲得足夠多的業(yè)務(wù)應(yīng)用信息，特別是對(duì)于當(dāng)前P2P應(yīng)用、VoIP應(yīng)用、IPTV應(yīng)用被廣泛開(kāi)展的情況，傳統(tǒng)的流量檢測(cè)技術(shù)已經(jīng)不能滿足網(wǎng)絡(luò)流量管理的需要了。

DPI技術(shù)對(duì)傳統(tǒng)的流量檢測(cè)技術(shù)進(jìn)行了“深度”擴(kuò)展，在獲取數(shù)據(jù)包基本信息的同時(shí)，對(duì)多個(gè)相關(guān)數(shù)據(jù)包的應(yīng)用層協(xié)議頭和協(xié)議負(fù)荷進(jìn)行掃描，獲取保存在應(yīng)用層中的特征信息，對(duì)網(wǎng)絡(luò)流量進(jìn)行精細(xì)的檢查、監(jiān)控和分析。

DPI技術(shù)通常采用如下的數(shù)據(jù)包分析方法：

●  傳輸層端口分析。許多應(yīng)用使用默認(rèn)的傳輸層端口號(hào)，例如HTTP協(xié)議使用80端口。

●  特征字匹配分析。一些應(yīng)用在應(yīng)用層協(xié)議頭或者應(yīng)用層負(fù)荷中的特定位置包含特征字段，通過(guò)特征字段的識(shí)別實(shí)現(xiàn)數(shù)據(jù)包檢查、監(jiān)控和分析。

●  通信交互過(guò)程分析。對(duì)多個(gè)會(huì)話的事務(wù)交互過(guò)程進(jìn)行監(jiān)控分析，包括包長(zhǎng)度、發(fā)送的包數(shù)目等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)業(yè)務(wù)的檢查、監(jiān)控和分析。

該技術(shù)如果進(jìn)行更加詳細(xì)的劃分，還可分為特征字的識(shí)別技術(shù)、應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)、行為模式識(shí)別技術(shù)，這三類(lèi)識(shí)別技術(shù)分別適用于不同類(lèi)型的協(xié)議，相互之間無(wú)法替代，只有綜合地運(yùn)用這三大技術(shù)，才能有效、靈活地識(shí)別網(wǎng)絡(luò)上的各類(lèi)應(yīng)用，從而實(shí)現(xiàn)控制和計(jì)費(fèi)。

DFI技術(shù)  DFI是深度流行為檢測(cè)（Deep Flow Inspection）的簡(jiǎn)稱，也是一種典型的業(yè)務(wù)識(shí)別技術(shù)。DFI技術(shù)是針對(duì)DPl技術(shù)的不足提出的，為了解決DPI技術(shù)的執(zhí)行效率、加密流量識(shí)別和頻繁升級(jí)等問(wèn)題。DFI更關(guān)注于網(wǎng)絡(luò)流量特征的通用性，因此，DFI技術(shù)并不對(duì)網(wǎng)絡(luò)流量進(jìn)行深度的報(bào)文檢測(cè)，而僅通過(guò)對(duì)網(wǎng)絡(luò)流量的狀態(tài)、網(wǎng)絡(luò)層和傳輸層信息、業(yè)務(wù)流持續(xù)時(shí)間、平均流速率、字節(jié)長(zhǎng)度分布等參數(shù)的統(tǒng)計(jì)分析，來(lái)獲取業(yè)務(wù)類(lèi)型、業(yè)務(wù)狀態(tài)。

網(wǎng)絡(luò)流量的統(tǒng)計(jì)分析

通過(guò)流量統(tǒng)計(jì)分析，網(wǎng)絡(luò)管理者能夠知道當(dāng)前網(wǎng)絡(luò)中的業(yè)務(wù)流量的類(lèi)型、帶寬、時(shí)間和空間分布、流向等信息。

在管理的過(guò)程中，管理員可以采用常見(jiàn)的NTOP工具來(lái)協(xié)助完成。NTOP工具與傳統(tǒng)的tcpdump或ethereal等網(wǎng)絡(luò)流量捕捉工具有著極大的差異，它主要是提供網(wǎng)絡(luò)報(bào)文的統(tǒng)計(jì)數(shù)據(jù)，而不是報(bào)文的內(nèi)容。此外，NTOP不需要使用Web服務(wù)器，它自身就支持HTTP協(xié)議。首先，它提供了一種快速容易的方法來(lái)得到網(wǎng)絡(luò)活動(dòng)的準(zhǔn)確信息，并且不使用網(wǎng)絡(luò)探測(cè)或偵聽(tīng)設(shè)備。在大多數(shù)情況下，網(wǎng)絡(luò)探測(cè)器對(duì)追蹤網(wǎng)絡(luò)故障是必需的，而在某些時(shí)候可能因?yàn)樘綔y(cè)器正被使用于監(jiān)測(cè)其他設(shè)備而無(wú)法獲得，就可以使用NTOP工具； 其次，在某些給定的網(wǎng)絡(luò)配置下可能無(wú)法與探測(cè)器連接，比如兩個(gè)通過(guò)WAN互連的Unix系統(tǒng)，在這種情況下，用戶可以應(yīng)用NTOP工具。

一般說(shuō)來(lái)，使用NTOP工具可以輔助網(wǎng)絡(luò)管理員完成以下一些工作： 自動(dòng)從網(wǎng)絡(luò)中識(shí)別有用的信息； 將截獲的數(shù)據(jù)包轉(zhuǎn)換成易于識(shí)別的格式； 對(duì)網(wǎng)絡(luò)環(huán)境中通信失敗的情況進(jìn)行分析； 探測(cè)網(wǎng)絡(luò)環(huán)境中的通信瓶頸； 記錄網(wǎng)絡(luò)通信的時(shí)間和過(guò)程。

NTOP工具可以通過(guò)分析網(wǎng)絡(luò)流量來(lái)確定網(wǎng)絡(luò)上存在的各種問(wèn)題，也可以用來(lái)判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)，還可以很方便地顯示出特定的網(wǎng)絡(luò)協(xié)議、占用大量帶寬的主機(jī)、各次通信的目標(biāo)主機(jī)、數(shù)據(jù)包的發(fā)送時(shí)間、傳遞數(shù)據(jù)包的延時(shí)等詳細(xì)信息。通過(guò)了解這些信息，網(wǎng)管員可以對(duì)故障做出及時(shí)的響應(yīng)，對(duì)網(wǎng)絡(luò)進(jìn)行相應(yīng)的優(yōu)化調(diào)整，以保證網(wǎng)絡(luò)運(yùn)行的效率和安全。

網(wǎng)絡(luò)流量的控制

將流量控制能力添加到網(wǎng)絡(luò)流量管理中，能夠幫助網(wǎng)絡(luò)管理者對(duì)網(wǎng)絡(luò)資源和業(yè)務(wù)資源進(jìn)行帶寬控制和資源調(diào)度，如對(duì)HTTP、FTP、SMTP以及P2P等應(yīng)用進(jìn)行管理，尤其是對(duì)P2P流量進(jìn)行抑制來(lái)提升傳統(tǒng)數(shù)據(jù)業(yè)務(wù)的用戶體驗(yàn)度。

具備流量控制能力的網(wǎng)絡(luò)流量管理還能夠?qū)?yán)重影響業(yè)務(wù)運(yùn)營(yíng)者收入的未經(jīng)許可的其他業(yè)務(wù)進(jìn)行抑制。比如，對(duì)于VoIP業(yè)務(wù)，我們可以通過(guò)對(duì)VoIP信令流量和媒體流量的關(guān)聯(lián)檢測(cè)和統(tǒng)計(jì)分析，以及通過(guò)截?cái)嗝襟w數(shù)據(jù)包、偽裝信令報(bào)文等方式對(duì)流量進(jìn)行管理。還可以通過(guò)綜合使用網(wǎng)絡(luò)層、傳輸層和應(yīng)用層檢測(cè)技術(shù)，對(duì)未經(jīng)許可的寬帶私接用戶采取中斷連接、主動(dòng)告警、分時(shí)控制等多種管理動(dòng)作。

流量控制還能夠幫助網(wǎng)絡(luò)流量管理實(shí)現(xiàn)業(yè)務(wù)資源的調(diào)度，并能夠獲得業(yè)務(wù)資源使用、業(yè)務(wù)狀態(tài)的實(shí)時(shí)情況。當(dāng)某一網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)服務(wù)器負(fù)載較大時(shí)，可以進(jìn)行全局的業(yè)務(wù)資源負(fù)載均衡，以平均地承擔(dān)業(yè)務(wù)請(qǐng)求； 同時(shí)也能夠?qū)τ脩舻臉I(yè)務(wù)請(qǐng)求進(jìn)行調(diào)度，決定是否繼續(xù)響應(yīng)用戶新的業(yè)務(wù)請(qǐng)求，并根據(jù)用戶的優(yōu)先級(jí)優(yōu)先響應(yīng)高優(yōu)先級(jí)用戶的業(yè)務(wù)請(qǐng)求，以提升業(yè)務(wù)運(yùn)營(yíng)效率。

流量控制通常的做法是在輸出端口處建立一個(gè)隊(duì)列進(jìn)行流量控制，控制的方式是基于路由，亦即基于目的IP地址或目的子網(wǎng)的網(wǎng)絡(luò)號(hào)。流量控制器基本的功能模塊為隊(duì)列、分類(lèi)和過(guò)濾器。由于目前網(wǎng)絡(luò)流量種類(lèi)繁多，網(wǎng)絡(luò)管理員在管理時(shí)通常都采用分類(lèi)的方式進(jìn)行。

對(duì)于網(wǎng)絡(luò)流量管理來(lái)說(shuō)，除了應(yīng)具有上述的流量識(shí)別、流量分析和流量控制的功能之外，我們一般還希望其具有和防火墻等網(wǎng)絡(luò)安全設(shè)備協(xié)同構(gòu)建一個(gè)主動(dòng)的安全威脅防御體系的功能，以提升整個(gè)網(wǎng)絡(luò)的安全防護(hù)能力，從而更好地保證網(wǎng)絡(luò)流量。

比如，流量特征識(shí)別分析就是一種必要的流量管理手段。它能夠主動(dòng)發(fā)現(xiàn)諸如DDoS攻擊、病毒和木馬等異常流量，較好地彌補(bǔ)其他網(wǎng)絡(luò)安全設(shè)備如防火墻、入侵防護(hù)系統(tǒng)（IPS）和統(tǒng)一威脅管理（UTM）等的不足，提升其主動(dòng)發(fā)現(xiàn)安全威脅的能力，并能夠及時(shí)向其他網(wǎng)絡(luò)安全設(shè)備發(fā)出告警，從安全威脅源頭開(kāi)始就進(jìn)行主動(dòng)的防御。此外，具備流量識(shí)別能力的網(wǎng)絡(luò)流量管理還能夠獲取并保存網(wǎng)絡(luò)流量的網(wǎng)絡(luò)層信息（例如，源/目的IP地址、應(yīng)用端口、用戶標(biāo)識(shí)ID等信息），通過(guò)這些信息，網(wǎng)絡(luò)管理者能夠?qū)Π踩{進(jìn)行溯源定位。

鏈接一 DFI技術(shù)與DPI技術(shù)比較

DFI與DPI兩種技術(shù)的設(shè)計(jì)基本目標(biāo)都是為了實(shí)現(xiàn)業(yè)務(wù)識(shí)別，但是兩者在實(shí)現(xiàn)的著眼點(diǎn)和技術(shù)細(xì)節(jié)方面還是存在著較大區(qū)別的。從兩種技術(shù)的對(duì)比情況看，兩者互有優(yōu)勢(shì)，也都有短處，DPI技術(shù)適用于需要精細(xì)和準(zhǔn)確識(shí)別、精細(xì)管理的環(huán)境，而DFI技術(shù)適用于需要高效識(shí)別、粗放管理的環(huán)境。

從處理速度來(lái)看： DFI處理速度相對(duì)快，而采用DPI技術(shù)由于要逐包進(jìn)行拆包操作，并與后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行匹配對(duì)比，處理速度會(huì)慢些。由于采用DFI技術(shù)進(jìn)行流量分析僅需將流量特征與后臺(tái)流量模型比較即可，因此，與目前多數(shù)基于DPI的帶寬管理系統(tǒng)的處理能力僅為線速1Gbit/s相比，基于DFI的系統(tǒng)可以達(dá)到線速10Gbit/s，完全可以滿足企業(yè)網(wǎng)絡(luò)流量管理的需求。

從維護(hù)成本來(lái)看： DFI維護(hù)成本相對(duì)較低，而基于DPI技術(shù)的帶寬管理系統(tǒng)總是滯后新應(yīng)用，需要緊跟新協(xié)議和新型應(yīng)用的產(chǎn)生而不斷升級(jí)后臺(tái)應(yīng)用數(shù)據(jù)庫(kù)，否則就不能有效識(shí)別、管理新技術(shù)下的帶寬，影響模式匹配效率； 而基于DFI技術(shù)的系統(tǒng)在管理維護(hù)上的工作量要少于DPI系統(tǒng)，因?yàn)橥活?lèi)型的新應(yīng)用與舊應(yīng)用的流量特征不會(huì)出現(xiàn)大的變化，因此不需要頻繁升級(jí)流量行為模型。

從識(shí)別準(zhǔn)確率來(lái)看： 兩種技術(shù)各有所長(zhǎng)。由于DPI采用逐包分析、模式匹配技術(shù)，因此，可以對(duì)流量中的具體應(yīng)用類(lèi)型和協(xié)議做到比較準(zhǔn)確的識(shí)別； 而DFI僅對(duì)流量行為分析，因此只能對(duì)應(yīng)用類(lèi)型進(jìn)行籠統(tǒng)分類(lèi)，如對(duì)滿足P2P流量模型的應(yīng)用統(tǒng)一識(shí)別為P2P流量，對(duì)符合網(wǎng)絡(luò)語(yǔ)音流量模型的類(lèi)型統(tǒng)一歸類(lèi)為VoIP流量，但是無(wú)法判斷該流量是否采用H.323或其他協(xié)議。如果數(shù)據(jù)包是經(jīng)過(guò)加密傳輸?shù)模捎肈PI方式的流控技術(shù)則不能識(shí)別其具體應(yīng)用，而DFI方式的流控技術(shù)不受影響，因?yàn)閼?yīng)用流的狀態(tài)行為特征不會(huì)因加密而根本改變。

鏈接二 幾種常見(jiàn)的網(wǎng)絡(luò)流量

當(dāng)前隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富和發(fā)展，網(wǎng)絡(luò)流量也隨之變得復(fù)雜和種類(lèi)繁多起來(lái)，下面是最為常見(jiàn)的幾種網(wǎng)絡(luò)流量：

1. HTTP流量： HTTP是互聯(lián)網(wǎng)上使用最為廣泛的協(xié)議，早就已經(jīng)取代傳統(tǒng)文件下載的主要應(yīng)用層協(xié)議FTP，如今，隨著YouTube等視頻共享網(wǎng)站的拉動(dòng)，HTTP協(xié)議的網(wǎng)絡(luò)流量在過(guò)去四年里首次超過(guò)了P2P應(yīng)用的流量。

2. FTP流量： 從互聯(lián)網(wǎng)出現(xiàn)的開(kāi)始，F(xiàn)TP就一直是用戶使用頻率最高的應(yīng)用服務(wù)之一，重要性僅次于HTTP和SMTP。而隨著P2P應(yīng)用的出現(xiàn)，其重要性地位雖然有所降低，但是仍然是用戶們下載文件不可替代的重要應(yīng)用和途徑之一。

3. SMTP流量： 電子郵件是整個(gè)互聯(lián)網(wǎng)業(yè)務(wù)重要的組成部分。據(jù)統(tǒng)計(jì)，3/4以上的用戶上網(wǎng)的主要目的是收發(fā)郵件，每天有十?dāng)?shù)億封電子郵件在全球傳遞。特別是由于電子郵件的廉價(jià)和操作簡(jiǎn)便，誘使有人將它作為大量散發(fā)自己信息的工具，最終導(dǎo)致了互聯(lián)網(wǎng)世界中垃圾郵件的泛濫。

4. VoIP流量： 2006年全球IP電話用戶從1030萬(wàn)增長(zhǎng)到1870萬(wàn)，增幅達(dá)83%。2007年VoIP通話量已達(dá)到全部通話量的75%。因此，互聯(lián)網(wǎng)上VoIP的流量也是非常值得管理員關(guān)注的。

5. P2P流量： 目前網(wǎng)絡(luò)帶寬“消費(fèi)大戶”是P2P文件共享，在中東占據(jù)了49%，東歐地區(qū)占據(jù)了84%。從全球來(lái)看，夜間時(shí)段的網(wǎng)絡(luò)帶寬有95%被P2P占據(jù)。

6. Streaming流量： 隨著諸如PPLive、PPStream等視頻軟件的出現(xiàn)，視頻直播和點(diǎn)播成為廣大互聯(lián)網(wǎng)用戶觀看節(jié)目和網(wǎng)上娛樂(lè)的最佳生活方式，因此其流量也在不斷地增加。（來(lái)自互聯(lián)網(wǎng)）