华中科技大学柳斌：流控设备选型分析

    华中科技大学(简称华中科大)校园网目前的情况是：校园网分成办公网、学生网，2G到CERNET，100M到电信。

    根据这样的现状，华中科大对校内的流量情况进行分解分类，采用的策略有基于地址进行流量管理，以及基于应用的流量管理。

    基于地址的管理策略：第一，根据目的地址进行流量分类，将地址控制分成电信地址，网通地址，CERNET地址和其余地址。同时，自动产生地址列表http://bbs.chinaunix.net/viewthread.php?tid=577601，另外，校内采用策略路由+NAT的方式，并建立VPN服务器提供给校外用户访问校内。第二，根据端口进行流量分类。

    基于应用的管理策略有：第一，采用QoS：NBAR，route-map；第二，采用ACL：限制校园网以外的用户对校园网内的用户发起连接；第三，采用路由策略：对Tracker的封杀；第四，采用流控设备。

    针对大规模的流量，必须用流控设备才能达到良好的效果。判断一些流控设备的特点以及优缺点，应当将主要的评判标准锁定在识别率、转发性能、功耗、开发周期、兼容性和可扩展性等方面。目前的校园网内的异常流量产生的原因可能为：第一，大量ICMP及分片数据包挤占了正常的HTTP数据包的带宽；第二，出去有效的请求包减少，所以入流量减少；第三，过滤TCP高端口(如>2000)可以打断很多外出连接，变相扩大通道，增加HTTP流量；第四，过滤ICMP扩大的通道被挤占很多。因此，流量管理和控制在目前的网络中是必须的，即使系统还原，Windows Update也是必须的。

    现在华中科大针对流量管理的一些研究工作有：基于多维聚类的流分析方法；未知P2P流的发现以及特征自动提取等，在分析和管理校园网异常流量方面取得了一些有效的成果。

    总结华中科大的经验，我们归纳出：在带宽一定的情况下，能够识别应用层协议的流控设备必须对异常流量监控，需要在关键点部署捕包设备，可以利用Netflow进行流量长期观测，可以采用DNS的监控等。