锐捷下一代防火墙智能流控技术白皮书（V1.0）

1  流量管控技术背景

1.1 流量管控背景

流量控制，或称带宽管理，一般用QoS（Quality of Service，质量管理）来衡量表示。随着互联网应用、企事业应用的快速发展，爆发出来的新应用种类繁多，正在吞噬着用户网络中的带宽，大部分用户会碰到下面的一些问题：

• 带宽增加了，正常业务访问速度仍然很慢？
• 如何保证重要业务不受到影响？
• 到底是哪些应用在占用我的带宽？

从根本上来讲，流量控制功能能够为特定类型的流量提供更好的服务，特定类型既可以是针对某个角色，比如管理者的流量、不同部门的流量；也可以针对某种应用，比如保证企事业正常运行的关键业务等等。

从技术实现来看，主要是通过提高特定类型的流量优先级和带宽配额，或者降低其他流量的优先级和带宽配额来实现，比如降低P2P下载应用的带宽。

锐捷下一代防火墙流量控制功能，能够保证关键服务的可用性，能够有效管理带宽资源、区分网络应用的优先级；同时，锐捷下一代防火墙流控是建立在多核安全架构之上，可以提供基于深度应用、角色等类型的流量管理。

1.2 传统的流控技术不再适用

随着企业级业务变得愈发复杂、互联网应用变得愈发多变、流控需求变得愈发精细，传统的基础流控技术已不再适用网络的应用，例如：

• 流量管控缺乏层次： 网管希望将所有员工下行带宽限制为1Mbps，限制迅雷速度为300Kbps，同时需要保证邮件500Kbps带宽。配置传统流控技术后，发现使用迅雷下载的员工收邮件时速度只有300K，没有达到最初的预期；
• 流量管控效率低下：使用传统流控策略，在接口上使用队列调度进行丢包。发现所有垃圾流量仍旧全部从互联网转发到接口，背离了节省带宽的初衷；接口丢包占用大量资源，导致设备长期CPU、内存极高，影响关键业务运行；
• 流量管控粒度粗放：对迅雷进行限速，就无法分别控制上传视频、下载视频、在线观看视频；对股票软件进行限速，就无法分别控制查看交易、行情、新闻等等；

使用传统的流量管控技术，已经无法适应最新的互联网发展趋势，新一代流控技术的推出显得迫在眉睫。

2  锐捷下一代防火墙智能流控简介

锐捷下一代防火墙用创新的专有的技术实现强大而灵活的流控解决方案，主要关注以下因素：

• Shaping：延迟发送报文以满足期望的速率；
• Scheduling：对报文进行排序后进行发送；
• Classifying：对报文进行分类，并进入到队列；
• Policing：测量并限制流量能否进入队列；
• Dropping：丢弃报文；
• Marking：标记或者修改报文，例如修改报文的DSCP/TOS值，以便其他路由器能够采取不同的处理。

传统的流量管控功能仅仅是对带宽进行限制， 无法基于应用、服务、用户进行带宽限制，锐捷下一代防火墙的流量管理具有如下特点：

• 使用虚拟线路和管道，实现层次化的流量管理；
• 支持优先级，确保高优先级的应用能够获得带宽；
• 支持保障带宽和最大带宽，支持弹性带宽或带宽借用，充分利用网络资源
• 能够根据应用、服务、用户、地址组进行流量控制
• 能够分别对Ingress/Egress流量进行控制，保障用户公平使用带宽
• 能够自动分辨低时延的特殊应用，避免上行拖垮下载的特殊情况

3  锐捷下一代防火墙智能流控用户价值

3.1 通道化多级流控

下面为锐捷下一代防火墙通道化多级流控的示意图：

锐捷下一代防火墙的智能流控技术将出口物理线路划分为多条逻辑虚拟线路，在父线路内支持二次划分，即将线路划分为通道，从而实现多级流控。

根据流量特征，智能识别应用和服务，然后根据流量特性，识别出配置的虚拟线路和流控管道，计算出管道的带宽使用率，是否需要向父节点借用带宽等信息。在转发过程中，支持流量整形，在接口上缓存报文，并以比较均匀的速度发送出去，避免网络出现丢包。

使用多级流控技术后，可以达到如下示意图实现的流控效果：

从上图可以看出：

1) 市场部和研发部共享10M带宽。其中市场部保障带宽6M，研发部4M。当两边都在使用带宽的时候，市场部和研发部的带宽使用分别为6M和4M；

2) 如果研发部不使用带宽，则市场部可以充分使用10M带宽资源；

3) 即时聊天有较高优先级、P2P有较低优先级；因此即使P2P流量很大，也不会导致即时聊天丢包；

4) 未匹配的流量使用缺省带宽

锐捷下一代防火墙整机最大支持32个虚拟线路、1024个带宽通道，最高可实现4级流控，告别传统流控技术，让带宽管理做到最精细！

3.2 智能阻断技术

相比传统的QoS丢包技术，锐捷下一代防火墙提供的智能阻断技术抛弃了“允许所有流量转发到接口，在接口上区分流量优先级，并在接口上进行缓存和丢包”的技术实现方式，而采用更加优化的阻断方式：一旦流控模块识别出用户设定的垃圾流量，立刻在设备上删除所有与该垃圾应用相关的数据连接，所以垃圾流量从一开始就不会产生，所以宝贵的带宽资源无需被吞噬；同时，设备可以免于接口队列调度丢包，节省大量资源。

锐捷下一代防火墙先进的智能阻断技术，帮助客户节省带宽和设备资源。

3.3 流量管理追根溯源

锐捷下一代防火墙具备强大的终端识别功能，具备以下三种终端识别技术：

• MAC OUI指纹识别：MAC地址信息用来判定设备在网络中的位置，MAC OUI 代表IEEE分配给各个厂商的公司ID，通过MAC OUI，防火墙可以监测到终端设备的生产厂商；
• HTTP 指纹识别：HTTP 是 Web 访问的基础协议，为了提供功能和使用效果，这个协议的定义和实现中加入了很多客户端/服务器端的信息。客户端主动把浏览器版本、操作系统类型、操作系统版本等信息积极主动地告诉服务器端。通过HTTP指纹识别，可以判断接入设备的类型、型号、操作系统等制造信息。
• DHCP 指纹识别：DHCP的所有部分都是以Option字段的方式描述，不同的操作系统在发送 DHCP请求的时候的Option数量、顺序和组合都完全不同，因此因此区分DHCP的参数排列组合就可以进行快捷的操作系统识别。

通过丰富、先进的终端识别技术，锐捷下一代防火墙可做到基于各种终端类型进行流控。

另外，锐捷下一代防火墙产品支持丰富的认证技术，包括Portal认证、802.1x认证，并支持与Radius、LDAP、AD域等联动。通过特色的基于接口、安全域、IP地址、认证用户、时间、服务与应用的安全策略，将七大用户元素与流控技术相结合，可以真正做到追根溯源，流量管控做到最精细！

3.4 带宽利用率更大化

除了高峰时间，用户经常会发现他们的网络带宽并没有被充分利用。锐捷下一代防火墙的弹性流量管控功能可实时探测网络出入带宽的利用率，进而动态调整特定用户的带宽。

弹性流控既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。弹性流控还允许用户进行更加精细的控制，允许某一类的网络使用者享有弹性流控，另外一类不享有。通过此项功能，用户可以为网络使用者提供差异化服务。

3.5 实时流量监控和统计

锐捷下一代防火墙流量控制提供各种灵活报告和监控方法，帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况、不同应用带宽使用情况以及不同IP地址的带宽使用情况。

锐捷下一代防火墙提供带宽使用情况的历史记录，为将来分析提供方便。同时用户还可以自己定制想要的统计数据。

锐捷下一代防火墙还提供配套的集中管理与集中监控平台，利用平台可以提供日、月、时间段、时间点的流量趋势和报表；同时，还支持Syslog和NetFlow流量日志，配合集中平台的流量分析功能，使得流控尽在掌握！

4  结论

锐捷下一代防火墙流量控制解决方案，为用户提供了极为强大的管理网络流量的方法和手段，提供了超越传统流控技术的通道化多级流控、智能阻断、细致的终端及用户识别、全面流量监控和统计等技术，可解决多数应用场景的流控需求，是网络管理者控制和审计流量的更佳选择！