如今已是互聯(lián)網(wǎng)時代，每天都有數(shù)不清的新應(yīng)用出現(xiàn)，不斷吞噬著網(wǎng)絡(luò)帶寬。擴容等手段并不能很好地解決問題，反而在一定程度上加劇了應(yīng)用流量失控的局面。在這樣的背景下，流控作為一種獨立產(chǎn)品形態(tài)逐漸走向前臺，被越來越多的用戶所關(guān)注。但它不像防火墻、IPS那樣成熟，許多功能仍處于嘗試、完善的階段，圍繞著產(chǎn)品本身也出現(xiàn)了一些爭議。加上流控市場有點像UTM大潮初起時，混亂且無序，用戶在選型時不免遇到一些困擾。今天就讓我們剝繭抽絲，討論一下流控產(chǎn)品的發(fā)展及選型應(yīng)用之道。

殊途同歸的技術(shù)路線

簡單的說，能對網(wǎng)絡(luò)流量進行應(yīng)用識別，并基于流量的應(yīng)用歸屬提供可視化、管理與優(yōu)化的設(shè)備，就可以叫做流控。滿足條件的產(chǎn)品在市場上有很多，它們基本上可以歸為兩類，即"根正苗紅"的流控和安全網(wǎng)關(guān)剪裁得到的流控。前者一般由傳統(tǒng)流控廠商推出，他們長期專注于流控領(lǐng)域，在技術(shù)積累方面有自己的優(yōu)勢，對市場需求的跟進速度較快。例如基于應(yīng)用的路由功能，就是傳統(tǒng)流控廠商率先在設(shè)備中提供支持。另一類產(chǎn)品則由安全廠商所力推，隨著安全業(yè)務(wù)逐步向應(yīng)用層遷移，應(yīng)用識別已成為新一代安全產(chǎn)品中的基礎(chǔ)功能。無論是UTM、防毒墻還是上網(wǎng)行為管理，都需要優(yōu)秀的應(yīng)用識別引擎做為安全業(yè)務(wù)有效性及性能的保障。在這種情況下，流控成為新一代安全產(chǎn)品剪裁得到的副產(chǎn)品，安全廠商藉此殺入這片藍海。

流控產(chǎn)品背后同時出現(xiàn)網(wǎng)絡(luò)廠商和安全廠商的影子，是技術(shù)發(fā)展的必然結(jié)果。基于DPI實現(xiàn)的應(yīng)用識別功能已經(jīng)成為基礎(chǔ)性的技術(shù)，被廣泛應(yīng)用于不同領(lǐng)域。從網(wǎng)絡(luò)廠商的角度看，路由器、應(yīng)用交付設(shè)備都可以借助應(yīng)用識別掀起新一輪革命，目前的流控產(chǎn)品已可以看做它們的雛形。而站在安全廠商的角度，應(yīng)用識別技術(shù)的運用則更為普及。它既能工作在底層，為所有應(yīng)用層安全業(yè)務(wù)提供支撐，又可以獨當(dāng)一面，以應(yīng)用可視化的功能形態(tài)出現(xiàn)。尤其是在NGFW（下一代防火墻）的概念興起后，應(yīng)用可視化及管理特性儼然成為了安全產(chǎn)品的事實標(biāo)準(zhǔn)。實際上，我們認為未來應(yīng)用層安全產(chǎn)品的軟件結(jié)構(gòu)都會趨于統(tǒng)一，高性能包轉(zhuǎn)發(fā)系統(tǒng)和基于DPI的應(yīng)用識別引擎將成為所有應(yīng)用層安全業(yè)務(wù)的基石。而流控，完全可以看做是前兩者加QoS模塊構(gòu)成的產(chǎn)品形態(tài)。

雖然技術(shù)路線上殊途同歸，不同領(lǐng)域廠商推出的流控產(chǎn)品還是存在一定的差異。安全廠商在流控產(chǎn)品規(guī)格、接口擴展性、性能方面占有一定優(yōu)勢，一些機架式產(chǎn)品已經(jīng)具有上百G的整機性能，且能彈性部署升級。但在應(yīng)用識別率方面，此類產(chǎn)品或多或少地為保障性能做出犧牲。我們曾經(jīng)測試過一款支持應(yīng)用協(xié)議識別的安全網(wǎng)關(guān)，該產(chǎn)品只對連接的前16個數(shù)據(jù)包進行分析。如果16個數(shù)據(jù)包仍未能判斷出協(xié)議類型，則直接歸為未知應(yīng)用。傳統(tǒng)流控廠商推出的產(chǎn)品通常則以更高的應(yīng)用識別率為目標(biāo)，會對數(shù)據(jù)包進行更細致的跟蹤分析，得到的統(tǒng)計數(shù)據(jù)也更全面，缺點是不具有安全業(yè)務(wù)的擴展性，多數(shù)產(chǎn)品在性能指標(biāo)上與主流安全網(wǎng)關(guān)只開啟流控功能時存在差距。

硬件架構(gòu)方面，傳統(tǒng)流控廠商從成本、開發(fā)難度等角度考慮，大多使用了通用的x86平臺；安全廠商則多使用專用的網(wǎng)絡(luò)業(yè)務(wù)處理平臺，在I/O能力上曾占有優(yōu)勢。但隨著近年來英特爾在嵌入式領(lǐng)域的大力投入，新一代x86平臺在計算能力、I/O、功耗、可靠性等方面都有了質(zhì)的飛躍，用做流控時的表現(xiàn)已不弱于專用的網(wǎng)絡(luò)業(yè)務(wù)處理平臺。我們的測試及部分廠商的內(nèi)部測試結(jié)果表明，在最新的Sandy Bridge平臺上，流控產(chǎn)品完全可以達到40G的整機處理能力，可以說目前流控產(chǎn)品的性能已與硬件架構(gòu)無關(guān)。

歸屬權(quán)：新的矛盾

未來的網(wǎng)絡(luò)必定具有應(yīng)用感知特性，而這一特性究竟應(yīng)該由網(wǎng)絡(luò)設(shè)備還是安全設(shè)備實現(xiàn)，是一個非常敏感的問題。畢竟在許多大型用戶的IT部門組織結(jié)構(gòu)中，負責(zé)網(wǎng)絡(luò)和安全的是兩個截然不同的團隊。更有甚至，有用戶處出現(xiàn)了IT部門業(yè)務(wù)保障團隊與安全維護團隊的糾紛，其原因是流控產(chǎn)品實施的某些封禁策略影響到企業(yè)業(yè)務(wù)系統(tǒng)的正常運行，造成了經(jīng)濟損失。應(yīng)用識別與控制特性的歸屬權(quán)，陷入了管理流程與權(quán)限上的灰色地帶，讓CIO們頗為尷尬。悲劇的是，現(xiàn)階段用戶部署流控設(shè)備就必須面對這個問題；而不部署流控，應(yīng)用流量失控對網(wǎng)絡(luò)及業(yè)務(wù)造成的影響，又是IT部門不可承受之重。

除了用戶內(nèi)部的管理矛盾，許多廠商也因流控產(chǎn)品的歸屬問題處于對立面。網(wǎng)絡(luò)廠商（主要是傳統(tǒng)流控廠商）認為流控的網(wǎng)絡(luò)屬性天經(jīng)地義，畢竟這類產(chǎn)品不對應(yīng)用內(nèi)容進行排查；安全廠商則認為有"狀態(tài)"的業(yè)務(wù)都屬安全范疇，并且應(yīng)用流量失控會造成關(guān)鍵業(yè)務(wù)中斷等安全事件。我們認為兩種說法都有一定的道理，因為流控的產(chǎn)品形態(tài)本身正處于網(wǎng)絡(luò)與安全的中間狀態(tài)。需要特別注意的是，千萬不要讓產(chǎn)品歸屬之爭左右了選型意向，除非所處行業(yè)有特殊規(guī)定，否則網(wǎng)絡(luò)產(chǎn)品的入網(wǎng)證和安全產(chǎn)品的銷售許可證在用戶面前只是廠商為不同領(lǐng)域競爭對手設(shè)置的壁壘，不要讓小小貼紙成為好產(chǎn)品的攔路虎。

流控產(chǎn)品的歸屬問題倒是應(yīng)該引起行業(yè)主管部門的注意。相傳國內(nèi)某整體網(wǎng)絡(luò)解決方案提供商之前在海外運營商市場折戟沉沙，就是因為使用了具有應(yīng)用層內(nèi)容過濾功能的產(chǎn)品當(dāng)做流控投標(biāo)（過濾功能沒有通過授權(quán)許可開放）。根據(jù)當(dāng)?shù)胤杉靶袠I(yè)規(guī)范要求，用于運營網(wǎng)絡(luò)的流控產(chǎn)品必須在源代碼中就不能存在任何內(nèi)容過濾相關(guān)的功能（即便沒有通過授權(quán)許可開放）。該公司事后痛定思痛，計劃將產(chǎn)品線進行剝離，在面向運營網(wǎng)絡(luò)的所有產(chǎn)品中徹底刪除所有涉及應(yīng)用層業(yè)務(wù)的代碼。目前我國雖然在行業(yè)信息化建設(shè)方面還沒有類似規(guī)定，但在隱私保護呼聲漸高的今天，這個問題需要得到各行業(yè)主管部門的重視，給出具有前瞻性的指導(dǎo)方案。

認清需求 理智抉擇

面對流控市場的紛紛擾擾，用戶難免在選型時陷入迷茫。在這個時候，不妨再準(zhǔn)確梳理下自己的需求，將其細化到產(chǎn)品對應(yīng)的功能、性能指標(biāo)，制定出理智的招標(biāo)要求。對于應(yīng)標(biāo)產(chǎn)品應(yīng)一視同仁，最好在實驗室環(huán)境測試設(shè)備的真實性能及在功能上的滿足度，再到真實環(huán)境中進行長期的穩(wěn)定性測試。如果未來有計劃購買流控設(shè)備上更多業(yè)務(wù)的授權(quán)許可（例如安全業(yè)務(wù)），最好能預(yù)先開啟相應(yīng)功能進行測試，以免屆時遇到性能瓶頸，讓原有計劃變成紙上談兵。

許多用戶認為，流控的作用就是在網(wǎng)絡(luò)出口做應(yīng)用流量控制，保證關(guān)鍵業(yè)務(wù)、提升內(nèi)網(wǎng)用戶的上網(wǎng)體驗。其實這只是此類設(shè)備的一種應(yīng)用場景，作為網(wǎng)絡(luò)基礎(chǔ)架構(gòu)層面的新面孔，流控有著越來越多的適用領(lǐng)域。我們曾對流控產(chǎn)品在一些大型行業(yè)用戶網(wǎng)絡(luò)中的應(yīng)用情況進行過調(diào)查分析，歸納出3種常見的部署模式，供讀者參考：

" 使用流控對全網(wǎng)流量進行應(yīng)用識別，獲取不同時間段的監(jiān)控結(jié)果及分析報表，為管理決策提供數(shù)據(jù)支撐。

" 使用流控針對不同應(yīng)用設(shè)定流量限速策略，可以用更少的帶寬達到更好的網(wǎng)絡(luò)訪問體驗，在解決問題的同時降低成本。動態(tài)限速是被用戶越來越多提到的需求，例如在網(wǎng)絡(luò)空閑的時候，適當(dāng)允許P2P應(yīng)用占用更多的帶寬。

" 使用流控基于應(yīng)用做分流，例如將郵件、網(wǎng)頁瀏覽路由到質(zhì)量高（通常帶寬低且貴）的鏈路上，將P2P下載、在線視頻等非關(guān)鍵應(yīng)用路由到質(zhì)量低（通常帶寬高且便宜）的鏈路上，在提高可靠性的同時降低成本。

除此之外，流控產(chǎn)品也被大型行業(yè)用戶挖掘出一些新的應(yīng)用場景，其中比較具有代表性的是：

" 使用流控基于應(yīng)用做流量鏡像，將特定應(yīng)用的流量路由或鏡像到其他設(shè)備上，在提高業(yè)務(wù)有效性的同時為下游設(shè)備減負。例如只將需要進行病毒過濾的流量路由/鏡像到防毒墻，不但比基于端口的方式更精準(zhǔn)，也減小了防毒墻在I/O方面的壓力。

" 使用流控在數(shù)據(jù)中心邊緣監(jiān)控/保障特定應(yīng)用，將其當(dāng)做IT合規(guī)的審計工具。例如某些行業(yè)規(guī)范要求，必須保證Web服務(wù)器與數(shù)據(jù)庫服務(wù)器間只有SQL流量。

" 使用流控對WLAN接入的流量進行分析，實施有針對性的管理及優(yōu)化策略。大范圍部署無線網(wǎng)絡(luò)的運營商已經(jīng)提出了這一需求，相信隨著BYOD模式的普及，行業(yè)用戶也有著同樣的需要。流控產(chǎn)品必須與時俱進，加入對移動終端類型及移動互聯(lián)網(wǎng)應(yīng)用的支持。

它山之石：廠商眼中的高校網(wǎng)絡(luò)與流控產(chǎn)品

除了用戶自己，最了解用戶需求的莫過于為其提供產(chǎn)品解決方案的眾多廠商。所以本次我們也采訪了7家有流控產(chǎn)品在售的業(yè)內(nèi)廠商，了解一下他們對流控技術(shù)與產(chǎn)品發(fā)展的看法。廠商所處領(lǐng)域的不同，不免影響到其看待問題的角度。這是件好事，看問題的角度越多，得到的結(jié)論自然也就越全面。

需要說明的是，我們采訪前的調(diào)研對象中有相當(dāng)多的高校信息中心老師，他們無疑是對流控產(chǎn)品最感興趣的一類人。結(jié)合高校網(wǎng)絡(luò)的特點來看，流控在之前提到的所有場景中都有用武之地。尤其是基于應(yīng)用的路由功能，對于大多采用多鏈路接入的高校用戶來說尤為重要。我們也在后續(xù)采訪過程中請廠商針對高校的需求進行了深入的分析，并給出了落地到產(chǎn)品的改善建議。

7家受訪廠商中，靈州網(wǎng)絡(luò)、邁科網(wǎng)絡(luò)、派網(wǎng)科技是長期堅持以流控技術(shù)為核心的廠商，并且目前所售產(chǎn)品也主要以流控為主。這3家廠商對應(yīng)用流量失控造成的影響有著更加細致的解讀，同時提出了一些產(chǎn)品模式及功能上的創(chuàng)新。某種意義上，他們的思路可以看做流控產(chǎn)品形態(tài)變化的風(fēng)向標(biāo)。

迪普科技、山石網(wǎng)科則是國內(nèi)安全領(lǐng)域的新興勢力，均以網(wǎng)絡(luò)安全起家/見長。他們的產(chǎn)品都屬于多功能安全網(wǎng)關(guān)范疇，除流控外還可提供豐富的網(wǎng)絡(luò)基礎(chǔ)功能及多種安全業(yè)務(wù)，在采訪中也更多體現(xiàn)出看問題及產(chǎn)品解決方案的全面性。以應(yīng)用安全起家的深信服科技則是另一種思路，他們似乎在努力把流控的功能做細做深，并且努力與其占據(jù)市場優(yōu)勢地位的上網(wǎng)行為管理產(chǎn)品進行融合。深信服科技也是采訪中唯一將移動終端/移動互聯(lián)網(wǎng)應(yīng)用的識別做為重點的廠商，這應(yīng)是流控產(chǎn)品形態(tài)發(fā)展的一個方向（已經(jīng)有行業(yè)用戶在招標(biāo)中提出這方面要求）。

H3C則是本次采訪中唯一能夠提供整體網(wǎng)絡(luò)解決方案的廠商，所以其強調(diào)流控與網(wǎng)絡(luò)設(shè)備融合的觀點并不令人感到意外。不管流控產(chǎn)品歸屬到網(wǎng)絡(luò)領(lǐng)域還是安全范疇，應(yīng)用識別技術(shù)與網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的融合趨勢都不會受到影響。

采訪內(nèi)容按企業(yè)名稱拼音順序排列

[[104076]]

H3C安全產(chǎn)品部產(chǎn)品經(jīng)理 張東亮

由于資費等原因，高校網(wǎng)絡(luò)出口帶寬一般比較有限。通過流量分析可以看出，占用帶寬較多的主要是迅雷、BT等P2P下載和QQ直播、迅雷看看等在線視頻應(yīng)用，嚴重時會影響到教科研相關(guān)業(yè)務(wù)的使用體驗。擴容并不是解決問題的最好方法，很多情況下，網(wǎng)絡(luò)擁塞不會因為帶寬增加而得到緩解。這就如一條沒有交通規(guī)則的公路，不管擴到多寬，也很快就會被堵死。H3C認為，合理的解決方法是通過在出口處部署流控設(shè)備，實現(xiàn)業(yè)務(wù)流量的可視化，同時針對P2P、視頻流等非關(guān)鍵業(yè)務(wù)在策略上做嚴格限制，將整網(wǎng)流量有序化。考慮到不同時段，校內(nèi)不同區(qū)域網(wǎng)絡(luò)流量模型自身的特點，流量控制策略的配置需要針對時間、IP地址等元素進行更為細致的設(shè)定，方可保證帶寬分配的合理性。

H3C SecPath ACG系列產(chǎn)品是H3C面向運營商、大中型企業(yè)、教育系統(tǒng)開發(fā)的專業(yè)應(yīng)用控制網(wǎng)關(guān)，提供高性能2-7層深度報文檢測、流量統(tǒng)計以及全面的帶寬控制功能，賦予用戶分時段、分區(qū)域進行精細化流量管理的能力，使帶寬資源得到合理、充分的使用。該系列中亦有可用于H3C路由器、交換機的插板形態(tài)產(chǎn)品，讓網(wǎng)絡(luò)基礎(chǔ)設(shè)施也能擁有應(yīng)用的感知與控制能力，符合未來發(fā)展趨勢。

[[98869]]

迪普科技產(chǎn)品部副部長 孫曉明

迪普科技認為，高校網(wǎng)絡(luò)類似于一個小型的運營商網(wǎng)絡(luò)，一般擁有多個帶寬、資費標(biāo)準(zhǔn)不同的互聯(lián)網(wǎng)出口。如何綜合考慮各方面因素，為師生提供最佳的網(wǎng)絡(luò)訪問體驗，成為一個重要課題。大體上，目前高校網(wǎng)絡(luò)出口存在"路徑優(yōu)化"、"大容量NAT""流控"、"法規(guī)遵從"、"惡意代碼抑制"等需求。僅就流控而言，校園網(wǎng)用戶數(shù)量眾多，流量構(gòu)成復(fù)雜，帶寬需求量大，僅采用針對用戶的帶寬及連接數(shù)限制是不夠的，必須輔之以基于應(yīng)用的流控手段。也就是說，網(wǎng)絡(luò)出口設(shè)備不僅要識別傳輸協(xié)議，還要識別到細粒度的應(yīng)用。例如同為P2P模式的應(yīng)用，在線視頻就應(yīng)當(dāng)保證，P2P下載則要被限制。

針對高校網(wǎng)絡(luò)出口的應(yīng)用流量控制需求，迪普科技的UAG3000系列產(chǎn)品及DPX8000上的UAG插卡都可以提供完備的流控能力，在微秒級時延下達到最大200G的整機性能。UAG引擎目前能夠識別超過1600種協(xié)議，可以進行精準(zhǔn)的流量控制，同時提供多維度的、豐富的數(shù)據(jù)分析報表。利用智能阻斷和動態(tài)協(xié)商技術(shù)，該產(chǎn)品將流控的帶寬消耗降低到5%以內(nèi)，實現(xiàn)"零帶寬損失"。UAG還特別支持IPv4/IPv6雙棧的特性，以滿足高校中越來越多的IPv6部署需求。

[[98870]]

靈州網(wǎng)絡(luò)首席技術(shù)官 梁翊

根據(jù)靈州網(wǎng)絡(luò)的統(tǒng)計，目前高校網(wǎng)絡(luò)出口帶寬多在1G-4G左右，而終端接入帶寬則為百兆乃至千兆，且難以采用運營商常用的PPPoE方式對帶寬及安全進行控制。其結(jié)果是出口帶寬相對緊張，百兆接入終端的網(wǎng)絡(luò)攻擊行為就足以威脅校園網(wǎng)出口安全。此外，校園網(wǎng)中應(yīng)用更新速度快、突發(fā)性強（例如時下歐洲杯期間造成的視頻流量激增），流控設(shè)備必須在性能及協(xié)議更新響應(yīng)速度上有所保障，才能實施精準(zhǔn)的流量控制。鑒于高校網(wǎng)絡(luò)普遍采用了多鏈路接入的模式，鏈路負載均衡/NAT也應(yīng)成為評估流控產(chǎn)品的重要指標(biāo)，這不僅可以減少網(wǎng)絡(luò)出口的故障點，也使鏈路質(zhì)量具有更好的優(yōu)化效果。

針對高校網(wǎng)絡(luò)出口的普遍需求，靈州網(wǎng)絡(luò)提供了運營級鏈路出口優(yōu)化解決方案，可實現(xiàn)應(yīng)用流量、鏈路資源及用戶身份的可視可控。作為方案核心，新一代多功能網(wǎng)關(guān)集成了流量分析、帶寬管理、鏈路負載均衡、NAT和應(yīng)用路由等互聯(lián)網(wǎng)出口必需的接入和管控功能，整機最大性能達到雙向20G。該產(chǎn)品還在傳統(tǒng)流控技術(shù)的基礎(chǔ)上，結(jié)合獨有的帶寬巡航及流控損耗優(yōu)化等技術(shù)，在流量優(yōu)化過程中減小帶寬損耗，提升網(wǎng)絡(luò)訪問體驗。

[[98871]]

邁科網(wǎng)絡(luò)產(chǎn)品總監(jiān) 潘月來

根據(jù)邁科網(wǎng)絡(luò)的統(tǒng)計數(shù)據(jù)，高校網(wǎng)絡(luò)出口的承載與運營商相仿但實際壓力更大，部分高校出口帶寬利用率已經(jīng)達到100%，網(wǎng)絡(luò)擁堵情況嚴重。從流量分布來看，視頻類應(yīng)用以超過40%的比例排在首位，P2P下載雖然排在次席，但高并發(fā)會話的協(xié)議特點一直是造成出口壓力的重要原因。Web瀏覽的流量雖呈下降趨勢，其體驗卻是評估網(wǎng)絡(luò)質(zhì)量的重要指標(biāo)。社交類、網(wǎng)游類應(yīng)用的流量也不容小覷，學(xué)生對這類應(yīng)用的延遲非常敏感。這些事實表明，流量控制的焦點已從早期的P2P下載限制漸變?yōu)橛脩趔w驗的保證，履行管理職能的高校網(wǎng)絡(luò)中心也面臨從管理到服務(wù)的角色轉(zhuǎn)變。

面對需求的變化，流控產(chǎn)品必須與時俱進。邁科網(wǎng)絡(luò)目前針對高校用戶主推的AM-6000系列產(chǎn)品可以在多千兆環(huán)境下實現(xiàn)線速處理，整機最大處理能力達到14G；基于Sandy Bridge平臺的新產(chǎn)品能夠達到萬兆線速的處理能力，已在部分高校做開局測試。功能方面，該系列產(chǎn)品解決方案可實現(xiàn)基于用戶身份的精細化管理，能夠根據(jù)應(yīng)用特點動態(tài)優(yōu)化流量，而不僅僅只做控制。對外的帶寬分流功能可以根據(jù)需要將指定應(yīng)用流量分配到不同的鏈路，對內(nèi)的流量配額（Quota）設(shè)定則很可能是未來高校網(wǎng)絡(luò)的最佳管理方式。

[[98872]]

派網(wǎng)科技總經(jīng)理 王濤

高校網(wǎng)絡(luò)與運營商網(wǎng)絡(luò)類似，都難以對終端實行準(zhǔn)入機制，也不可能對上網(wǎng)流量進行嚴格控制，所以不管出口帶寬多大都會被跑滿。流控產(chǎn)品雖然在教育行業(yè)應(yīng)用較早，但在愈發(fā)復(fù)雜的互聯(lián)網(wǎng)應(yīng)用面前，其對流量的管控能力在逐步下降。這歸根結(jié)底是應(yīng)用識別率的問題，沒有準(zhǔn)確的識別結(jié)果為基礎(chǔ)，流量控制乃至應(yīng)用路由都無從實現(xiàn)。

派網(wǎng)科技始終專注于應(yīng)用流量的管理與分析，在提升協(xié)議識別率方面摸索出一套行之有效的方法。自6年前發(fā)布第一代產(chǎn)品時起，Panabit就采用了"小步快跑"的互聯(lián)網(wǎng)模式打造與運營，通過免費發(fā)行的標(biāo)準(zhǔn)版快速積累了一批穩(wěn)定的用戶群體。來自他們的主動反饋促使產(chǎn)品可靠性、易用性與功能覆蓋面逐步提升，也讓Panabit在應(yīng)用識別率及更新速度方面保持領(lǐng)先。針對一些多出口環(huán)境中流量不對稱對協(xié)議識別造成的影響，派網(wǎng)科技率先在產(chǎn)品中集成了智能P2P輔助分析模塊，通過數(shù)據(jù)模型對流量行為進行關(guān)聯(lián)性分析，進一步提升了應(yīng)用識別率，在一些高校測試后得到了非常積極的評價。這一新特性能夠與Panabit完善的應(yīng)用路由功能及高達40G的處理能力相結(jié)合，為高校用戶提供了一站式應(yīng)用流量管理解決方案。

[[104081]]

山石網(wǎng)科首席技術(shù)官 劉向明

高校網(wǎng)絡(luò)出口類似于運營商，存在著多鏈路、高帶寬、海量接入的特點。根據(jù)山石網(wǎng)科的統(tǒng)計，目前高校網(wǎng)絡(luò)中主要分為兩類應(yīng)用：第一類是用戶感知較強的網(wǎng)頁瀏覽、網(wǎng)絡(luò)游戲等，第二類是P2P模式為主的下載、在線視頻等。通常用戶感覺網(wǎng)絡(luò)體驗不佳是因為第二類應(yīng)用搶占了過多資源，這也是需要進行應(yīng)用流量控制的主要原因。山石網(wǎng)科建議，要根據(jù)用戶、應(yīng)用和行為對鏈路資源進行分配與控制，并對一些非關(guān)鍵應(yīng)用進行限制。這種控制應(yīng)是彈性而非靜態(tài)的，即不僅要控制不同應(yīng)用的帶寬，還要根據(jù)總體負載來彈性調(diào)整帶寬的控制力度。鑒于接入鏈路的質(zhì)量與價格存在差異，網(wǎng)關(guān)也應(yīng)提供應(yīng)用引流技術(shù)，將不同優(yōu)先級的流量牽引到不同鏈路，從而更合理地利用鏈路資源。

針對以上需求，山石網(wǎng)科推出了一系列高性能安全網(wǎng)關(guān)，最高可支持百萬級新建連接/NAT及千萬級的并發(fā)訪問，在海量接入時依然可提供可靠的業(yè)務(wù)支撐。該產(chǎn)品具有較強的應(yīng)用識別及控制能力，多鏈路環(huán)境下提供ISP路由和應(yīng)用引流方案，當(dāng)某條鏈路出現(xiàn)故障時，還能將流量分配到其他鏈路。結(jié)合產(chǎn)品本身強大的安全防護特性，為高校網(wǎng)絡(luò)出口提供了高質(zhì)量網(wǎng)絡(luò)接入及安全保障。

[[98873]]

深信服科技市場行銷部技術(shù)總監(jiān) 殷浩

根據(jù)深信服科技了解到的情況，目前國內(nèi)高校出口帶寬在3G-6G的占到總數(shù)的60%，6G以上則占20%，部分高校甚至已完成萬兆接入的部署。出口帶寬的增加帶動了設(shè)備升級，也對流控產(chǎn)品的性能與穩(wěn)定性提出了更高要求。另一方面，隨著移動終端的普及，無線網(wǎng)絡(luò)大量出現(xiàn)在校園中，高校互聯(lián)網(wǎng)出口中來自移動終端的流量有顯著增長。這其中很大一部分是IOS/Android等非Windows設(shè)備，它們的網(wǎng)絡(luò)流量模型及應(yīng)用特征都有很大改變，流控產(chǎn)品須能識別終端類型及應(yīng)用，才能準(zhǔn)確、合理地管理流量。此外，IPv6已在高校率先推廣使用，對IPv6流量的分析與控制能力將成為未來高校的重要需求。

深信服科技推出的融合流控功能在內(nèi)的第二代上網(wǎng)行為管理產(chǎn)品具有萬兆接口及與之匹配的處理能力，支持對IPv6及IPv4封裝IPv6的流量進行分析與控制。該產(chǎn)品內(nèi)置了850種以上的互聯(lián)網(wǎng)應(yīng)用，其中包括了Windows、IOS、Android等平臺上的主流應(yīng)用，可對互聯(lián)網(wǎng)流量做更全面的分析與識別。新增加的動態(tài)流控特性可根據(jù)鏈路帶寬空閑比例自動調(diào)節(jié)流控策略，更好地保證了高校出口帶寬的利用率。