在企業網絡中，如何合理使用互聯網資源一直都是讓網絡管理部門很頭疼的問題。上期我們提到了如何利用NS-ICG禁止對非法網頁的訪問，從本期開始，后面將會針對各種典型辦公網的業務場景實現相應的客戶網絡活動管理。據一項調查顯示，如果不進行完善管理的話，寶貴的帶寬資源超過70％被文件、視頻下載等占用，盡管帶寬一擴再擴，卻總是很快又擁擠不堪。這不僅造成帶寬資源大量浪費，還使得企業正常業務得不到應有的帶寬保證。由于缺乏有效的識別與控制手段，網絡管理員往往不能及時地定位并管理下載源。如何保證核心業務，比如視頻會議、郵件來往等不受影響？網康科技NS-ICG可通過靈活的基于應用的流量管控來滿足。

技術原理：

基于應用的流量管控策略，前提是在于對數據包的有效識別，數據包除了傳統的五元組信息外，通過結合DPI（深度包檢測）和DFI（深度流檢測）的復合技術，可以挖掘出數據包自身特有的應用特征和行為特征，所謂應用特征，是指在成序列的數據包的應用層信息中，存在有規律的字節特征，它可以唯一地標識某種應用協議，就如同一個人無論穿什么顏色的衣服，其指紋特征不會改變，而且是唯一的。類似地，NS-ICG可以通過特征值準確地識別網絡應用；而行為特征，是指連續多個包或者多個并發的網絡連接表現出來的某種行為模式具有一定規律性，通過這些行為模式可以識別特征值不明顯的應用類型。

配置實戰：

前提條件是NS-ICG通過透明橋接模式部署在運營商辦公網絡中。

第一步實現非核心業務的流量限額功能。所謂限額策略，是通過為用戶和應用指定上網時長限額或上網流量限額，讓指定的用戶對某種應用或者全部應用在指定時間段內只能使用一定的時長，或只能使用一定的流量，實現企業對員工上網時長或流量的控制。

我們點擊【策略管理】→【控制策略設置】進入主頁面，點擊"添加"按鈕，選擇并點擊"應用限額策略"，進入如下圖所示頁面：

該列表以樹狀結構列出了NS-ICG支持的所有應用，目前約600多種。

如果選定全部應用：表示只要1分鐘內有上網流量通過NS-ICG，則認為該用戶使用網絡一分鐘。超過限額后則不能繼續使用網絡。

如果選定部分應用：表示只要1分鐘內有指定協議的流量通過NS-ICG，則認為用戶使用指定的協議一分鐘時間。超過限額后則不能繼續使用該協議，但可以繼續使用其他未指定的協議。

配置完畢后，點擊"確定"按鈕，就配置好了這條策略。若想讓最新的配置立即生效，請點擊右上方"立即生效"按鈕。

上述操作可以保障無關業務的流量不會超過指定額度，節省網絡流量資源。

第二步：實現針對核心業務分配帶寬資源。通過為用戶和應用指定"帶寬通道對象"，讓指定的用戶和應用走指定的通道，實現對用戶和應用的帶寬上下限管理。

先根據需要定義多個帶寬通道，對于每個通道，可以指定其保障上下行速率、突發上下行速率、優先級等參數對數據流近進行整形，可以選擇將通道內流量對策略用戶平均分配，見下圖。

如果對一組用戶設置了總帶寬，為了防止組內個別成員獨占帶寬，可以通過勾選"平均分配"將通道平均分配給每個策略用戶，也可以針對組內每個成員設置平均帶寬上限，實現組內帶寬資源的公平使用。

選擇指定的用戶和指定的時間段（比如上班時間），即可實現核心應用的帶寬保障功能。