上网行为管理流量控制详细分析

 互联网的普及和发展，让很多企业和行政事业单位都实现了网络办公，也极大地提高了办公效率，节省了沟通时间。不过尽管互联网带来了办公自动化革命，但也出现了很多网络管理和信息安全问题，比如流量管理问题。
 

        公司和单位的带宽一升再升，明明有带宽已经很大可是网络还是时常出现拥堵卡顿的状况，关键业务往往无法得到保证。之所以带宽受到严重拥堵，与网络中存在大的P2P软件现在，和大量直播视频流量有很大关系。甚至还包括网购和炒股等情况。如果对这些行为不能做到有效封堵，正常的办公就不能得到顺畅的运转和保障，也会严重影响正常业务的有序进行。

        网域AC-Q上网行为管理强大的流量管理功能：

        1、 流量带宽（ QOS ）管理

网域 AC-Q 上网行为管理使用专业的带宽管理和分配算法，支持流量优先级、流量整形、最大带宽限制、保障带宽、阻断带宽等一系列的应用优化和带宽管理控制功能。

        2、 灵活的、强大的基于策略的上网行为带宽控制

        上网行为流量管理设备基于流量优先级、随机公平队列、令牌桶算法、 TCP 窗口控制算法等技术，提供最大带宽限制、保障带宽、预留带宽的功能，实现灵活、高效、可靠的带宽控制能力。基于策略的流量控制，可以根据线路、IP 地址(组)、用户(组)、协议(组)、时间段等参数配置策略规则，然后再为这些规则分配优先级、带宽、会话数，从而实现对网络中的各种流量进行精细而灵活的控制。最大带宽、保障带宽和预留带宽的详细阐述如下：

        最大带宽：为某些用户或特定应用指定最大带宽。一方面，防止了某些用户疯狂抢占带宽，保证了网络使用的相对公平性。另一方面，限制了非关键应用毫无节制的消耗宝贵的带宽资源，保证了关键应用的服务质量。

        保障带宽：结合最大带宽和流量优先级，根据需要为某些关键应用或者 VIP 客户保障一定带宽。当网络繁忙时，这些关键应用或者 VIP 客户至少可以得到设定的保障带宽，并还可以租借空闲的或低优先级流量的带宽；当网络空闲时，低优先级的流量亦可使用当前空闲带宽。从而保证了带宽的合理、高效的使用。

         预留带宽：为某种特定应用或某些重点客户预留一定带宽，以保证用户在不同时间段 、不同的网络使用环境中都能得到同样的带宽管理服务和网络使用感受。
 

        3、 基于单  IP/ 用户的带宽控制

        上网行为流量管理设备不仅提供由 IP 地址(组)、用户(组)、服务(组)、时间等组合而成的基于策略的带宽控制方式，同时对单 IP/用户使用网络资源也提供精细的控制方法。基于单 IP/用户的控制，可以将内网的用户分为多种等级，对同等级里的用户实现相同的控制策略。这种方式在对单个主机使用的会话和最大带宽(上行/下行) 进行控制的同时，可再对每个主机的多个特定服务(组)的带宽进行精细的控制，再可以结合时间段，可满足不同网络的各种复杂的带宽控制需求。

        4、网络流量识别

        传统流量设备通过 IP 或者端口来封堵各种协议，但这只能局限于网络层和传输层的标准协议，目前 P2P、网络电视等一系列大量占用带宽的应用不再是固定的端口，而是经过协商自动变换端口，而且诸如电驴、SKype 等协议还是加密的，面对这种应用传统流量管理束手无策了。

        NETSYS AC-Q 上网行为流量管理设备以 DPI （Deep Packet Inspect，深度包检测）技术为核心，结合基于报文内容及基于行为特征的技术，实现网络中应用的自动识别和智能分类。NETSYS AC-Q 上网行为流量管理设备可以探测和跟踪动态端口分配，通过比对协议的特征，能够识别精确识别应用流量，并能够对使用同一端口的不同协议进行自动识别。下图就是上网行为流量管理设备识别各种应用采取的方法。

        5、 流量惩罚功能

        管理员可以通过 NETSYS AC-Q 上网行为流量管理设置用户流量惩罚功能，可以给用户实行流量配额、上下行流量阀值设置、阀值超过惩罚时间设置和流量控制设置的功能。对进入流量惩罚黑名单的用户惩罚期限到了之后，该用户又可以正常使用网络。用户一旦进入黑名单，当再次上网时，网页弹出该用户已经进入黑名单、是什么原因进入黑名单的。灵活的黑名单功能可以帮助管理员快速、准确的定位出谁肆意占有网络资源。
 

        黑名单可以同时基于以下几种参数来控制：

        流量配额：控制用户每日、每周、每月使用的流量(上行/下行/双向)总和，防止用户肆意占用带宽。

        速率控制：控制用户速率(上行/下行) 在一段时间不能超过一定阀值。可以防止蠕虫等病毒的突发性、或者防止某个时段某个用户占有大量带宽。

        并发会话控制：控制用户并发会话数(上行/下行) 在一段时间不能超过一定阀值。控制用户滥用 P2P、防止病毒等。

        新建会话控制：控制用户新建会话数(上行/下行) 在一段时间不能超过一定阀值。控制用户滥用 P2P、防止病毒等。

        当用户上网参数的超过以上阀值时，即可将用户加入黑名单进行惩罚一定时长（N 分钟/小时/天），惩罚方式有以下几种：

        强制下线：将用户强制下线，即用户不能上网。

        修改带宽：将用户上网速率修改到一个较小的值。

        修改会话：将用户的并发会话数修改到一个较小的值。

        对流量惩罚黑名单的控制，有一个生效时间，在生效时间内才进行黑名单的控制。在生效时间外，不对用户的速率和会话进行限制，用户产生的流量也不记入黑名单的流量配额。

        通过上面一系列丰富高效的流量管理功能，管理人员可以快速简单有效地对内部网络进行优化管理，保障工作流量畅通无阻，提高工作效率，让网络带宽得到最有效的利用。