4月13日，在IT168举办的“联合挑战第二期大话流控”视频直播的节目现场，荣新IT培训中心的CEO白璐、东软网络安全电信行业资深技术顾问刘欣宇、网康科技有限公司产品经理李庭芳以及从事系统运维、网络管理、技术开发、用户网站主管等富有代表性的网友们着实“大话”了一把流控。

　　而在本期现场视频直播前，ChinaUnix和IXPUB两大社区已经浮现出很多网友对流控领域的问题和想法，同时本站记者还从一线用户那里听到了真实的市场现状，所有这些也都在当天的直播现场穿插播出。

　　以下是按照现场各环节提炼的各位嘉宾的精彩言论及观点，后附Q/A：

　　一、趣闻趣答：感触一线市场真实应用现状

　　1.视频短片中的高校学生：

　　“在宿舍、实验室、机房、外面网吧都可以上网”，“看看新闻、查查邮件，上校内、开心网什么的”，“是按流量收费的所以没事就挂着”，“大部分时间网速还行，到了晚上就比较慢了”……

　　2.白璐：

　　对于学校网络的带宽吃紧问题，很多时候网管们只是觉得网络能通就可以了，并没有想到在高峰期的时候应该做到一个什么样的带宽分配以及在平常空闲时期应该做什么样的带宽分配，这从整个流量管理的角度来看的话是比较大的问题。

　　3.从事网络管理的网友赵雪飞：

　　我们作为带宽的提供者，平时接触的一些客户虽然需要比较大的带宽，但是购买的带宽可能只是几百兆，而峰值一上来有时候就是150兆，这之间本身就是一个矛盾，比较不好解决。

　　4. 从事系统运维的网友网友梁亚：

　　作为我们很多企业来讲，我们的用户在实际使用过程当中没有那么明确，可能网络在某一个时段保证不了了或者断了，但是作为我们提供服务的时候，不可能会具体到每个人，所以这个也确实比较头疼的事儿。

　　二、 联合挑战：专业技术产品讲解与评析

　　1.李庭芳：

　　回顾一下，流控也不是最近两年才出现的一个话题，它其实是从2000年的时候到现在一直不断发展，从我们感觉来说是分几个阶段：第一个阶段在2000年的时候，那时候是传统的交换机/路由器的厂商，做的流控就是基于QoS的技术;第二个阶段是在2005年的时候，像思科这样做一些基于三层、四层、七层的概念，但总是摆脱不了传统的模式，相当于是把七层跟三层、四层做了一个平滑演进的阶段;第三个阶段是在2007年的时候，有很多的厂商分别开始做面向七层的很专业的流控技术，包括网康，我们不光是基于七层模型，我们更多是把人的行为模式添加进去，这样我们提出来基于八层的一种概念，这个概念是兼容了原来的七层，同时更多是把人的上网行为也考虑进去。

　　现在专业流控它一方面是用了DPI技术，DPI技术是对那些明文的协议有很好的识别，但是对一些加密的，现在用迅雷做下载他会用加密进行传输，这种方式用DPI技术可能就会有一定的限制，就识别不了，怎么办?现在我们还要有DFI，就是动态流检测技术，这样对加密传输的协议我们可以很好的去识别，有一些P2P的应用它可能是藏在协议包里面的，伪造别的端口，但是如果用DPI技术识别不了，用DFI的技术就可以识别。有些是仅仅基于数据流的方式也不能识别，人的行为识别技术是什么样呢?像现在的P2P应用它有一个特征，这个原地址是不变的，但是我的目的地址是可变的，并且时间间隔也是很均匀的，通过整个系列的分析发现它是这种P2P的应用。即使这样，我觉得可能还不够，还要基于有关的行为识别技术，这是三者相结合的，才能有效的满足基于人，基于时间做一个很好的流控。

　　我们网康有一种专利技术，多维非线性的策略引擎，能够使我们在大流量，大的策略的情况下设备性能依然保持高效。在我们网康试验室里面做了一个测试，就是用传统的线性的策略引擎，可能加载六百条策略的时候，性能下降50%，再往上的时候是300条的时候是25%，如果用多维非线性引擎的话性能可能只下降10%。

　　2.刘欣宇：

　　流控这个概念真正成型也是在最近这两年内，2006年~2008年推出的产品，最主要的特点就是基于应用层，即基于七层分析实际的应用。但是像基于P2P这种技术的应用你就分析不出来，还有，P2P的技术可能绑在协议里面。DPI的技术，但这也仅仅是流控第一个步骤，第二个步骤是怎么样控制，像传统的一些网络安全设备，比如说防火墙，我也可以把它理解为流控设备，IDS通过网络监听去分析一个端口，但现在很多的应用，其端口都是不断的变化，而且不同的版本也是不一样的。现在的DPI技术，包括东软的产品，它本身是一个流控设备，就是针对所有应用协议，包括不同版本之间的差异，来了任何一个数据包都可以马上知道它是什么样的应用，包括预制的策略，包括动态加减的策略，还有一部分流量分析设备，也就是我们的产品叫做流量分析设备，基于几个设备的结合就可以提供一个非常详细的流量控制。

　　最主要的一条，我们要做的流量控制你首先要调查控制什么，针对什么样的应用控制到什么样的力度，比如说举一个最简单的例子，对于我们企业角度来讲，我不希望你在上班的时候使用P2P，那么我对他来说就是把这个关掉，但是对于运营商角度来讲，他就是一个链路的提供者，你不可以把这个协议整个中断，但是你又不得不控制，那么就要在一定程度上做控制，我可能给P2P分配30%的流量，超过30%是不可以的，这就是控制的一个灵活性，以后我们做流控就是越来越灵活，这是一个发展方向。

　　为什么说要做网络控制，实际上就是因为来源于网络带宽不够，第一个申请带宽，20兆，30兆，但是没有分析为什么带宽会堵塞，就是通过有效的流量管理和控制，提高带宽的使用的频率，这是我们所要达到的目标，所以说我们要做的就是区分哪些是你真正要使用的流量，哪些是不允许通过的流量，也就是说划分一个层次，比如说业务数据，这是最高的，娱乐肯定是最低的，比如说像MSN聊天的，这类可能是沟通中的一个媒介，但是又不能让大家都去聊天，就是基于这些看法需要一个流量的控制。

　　这种控制就是基于DFI的技术和基于DPI的技术，基于DFI的技术更多可以看到是从宏观的角度去看待，我们所分析的数据来源是基于路由器打出来的数据流，可以说它是一个基于统计模型来做分析，我通过它可以看出整个网络里面点、线、面，这三个层次流量的一个变化，我点可以到单一的IP，面可以看到全网，甚至整个出口的流量都能够看到;DPI的技术是从微观的角度去看，它关心的是真正的原始数据包，你拿一个单一的包我不仅仅是看单一的包，我是要看它详细的数据目录，通过宏观和微观的配合形成了这么一个整个的运维体系，东软实际上是两个产品，一个是流量分析，第二个是基于DPI去做的。

　　三、 挑战结语：总结现阶段技术热点，展望未来发展方向

　　1.白璐：

　　我也是代表使用者，使用者最关心的是价格，现在产品的价格为什么会比较高呢?因为它的目标群体比较小，相对于路由器和交换机的客户比较小一些，所以它的价格会比较高一点。实际上流量控制以后它应该可以像路由器和交换机的价格一样普及，就是用户自己能不能先去认识到我在网络上需要流量管理，流量控制，我需要采取什么样的技术和设备去做，还有提到扩展性，因为企业都是在往前走的，在它一直发展的同时，我们能不能以最低的成本来控制好企业的扩展线，不是说一年之后这个设备就完全用不上了，可不可以用到其他的地方。

　　2.刘欣宇：

　　我的看法是这样的，就是整个流控的体系我们不区分于产品，要向三个方面去发展，第一，就是高性能，现在可能是P2P的应用，以后会越来越多，第二个就是高灵活性，灵活度不够，后续我们是不是可以对技术非常好的用户提供一种策略定制工具，当然这是一种设想，让他自己来定制一个规则，如果他检测的足够准我们就可以检测出来。第三，就是我们企业怎么样把检测规则定的更准确，对应用识别的更准，不同的发展商可能有细微的差异，你要识别不准就会误报。基于这三个方向做的这个流控产品，另外要结合我们现有的应用，用户首要要清楚你做到什么样的控制，结合自己的产品去做。

　　3.李庭芳：

　　从中国目前来看的话，未来中国这种流控产品它更多关注于中国人的上网行为，关注于中国人的上网行为，技术是很重要的方面，只有把中国人的这种上网行为和技术统一结合，我觉得才能更好的满足我们中国人的这种流控的需要。

　　四、 流控Q/A

　　Q1. 传统的路由交换能否解决流量问题?为何必须选购专业流控?

　　 A1.刘欣宇：

　　对于传统的用路由交换设备解决流量问题来说，我看来这是大家的一个误区：第一，它所能控制的力度是比较低的，通过交换机或路由器基本上就是在四层来做控制，比如说拿P2P来举例，你怎么分析它是P2P的哪一类应用呢?是做不到的，一定要分析到七层才能够做到，这是第一个，为什么需要专业的流控设备。第二，当你的路由器如果加载过多的控制策略的时候它的性能会大幅的下降，就是说导致它最主要的业务，也就是说路由转发会延迟非常慢，这一点失去了路由器的意义。所以需要专业的路由设备，而不是在传统的网络设备上去实现。

　　A2.李庭芳：

　　为什么大家要选用流控产品?有几个方面，有一些相关的数据可能让我们感觉到当前的形势比较严峻：第一，P2P的应用有专业的分析机构已经作过统计，就是说在互联网当前流量里面有60%的流量是来自于P2P的应用，而这种P2P里面作为一个领头羊的BT在全球占了40%，这是非常厉害的，在国内有一些差异，国内据最近的一次2009年1月份的统计报告，中国目前来说有78.1%的人就是说使用下载工具进行下载，而迅雷占了中国下载工具里面约占了80%的市场份额，可以这样说，当前迅雷在中国已经有了2.4亿人的用户。这些用户里面每个月下载的流量是30多亿次，所以这个就给我们提出了非常严峻的考验。

　　第二，现在专业流控一方面是用了DPI技术，DPI技术是对那些明文的协议有很好的识别，但是对一些加密的，现在用迅雷做下载他会用加密进行传输，这种方式用DPI技术可能就会有一定的限制，就识别不了，怎么办?现在我们还要有DFI，就是动态流检测技术，这样对加密传输的协议我们可以很好的去识别，有一些P2P的应用它可能是藏在协议包里面的，伪造别的端口，但是如果用DPI技术识别不了，用DFI的技术就可以识别。有些是仅仅基于数据流的方式也不能识别，人的行为识别技术是什么样呢?像现在的P2P应用它有一个特征，这个源地址是不变的，但是我的目的地址是可变的，并且时间间隔也是很均匀的，通过整个系列的分析发现它是这种P2P的应用。实际上我相信像刘总他们的产品里面，他用了DPI技术，我觉得可能还不够，还要基于有关的行为识别技术，这是三者相结合的，才能有效的回到我们前面见到的，怎么样满足客户的需求，现在可能有的设备它不能基于人，基于时间做一个很好的流控。

　　在我们网康有一种专利技术，多维非线性的策略引擎，能够使我们的大流量，大的策略的情况下设备性能依然保持高效。在我们网康试验室里面做了一个测试，就是用传统的线性的策略引擎，可能加载六百条策略的时候，性能下降50%，再往上的时候是300条的时候是25%，如果用多维非线性引擎的话性能可能就是下降10%。

　　Q2.行为识别可能有一个什么问题呢?就是一个误识别的问题，比如有一种行为就是IP同一的问题，这种方式怎么识别。像DFI怎么避免它误识别的问题，怎么样尽量避免误识别的问题?

　　A.李庭芳：

　　DFI的技术是基于一种动态流的检测技术，这种技术如果仅仅从DFI的角度来看，它首先跟DPI相比的话它很高效，但是它又可能难免有不识别的这种行为，但是我们还基于行为模式识别技术，两者相结合，这样尽量去避免这种误识别。

　　Q3.关于Iptables

　　A.白璐：

　　有网友提到用Iptables做网关，我个人是这么一个印象，使用Iptables是一个开源的东西，这个软件本身是不花钱的，但是它也是需要有其他的软件进行配合的，因为网络控制只不过是网络管理的一部分而已，监测都是需要有其他的组成成员的，可能整套的解决方案iptables是做不到的，还要配合一些监管软件做一些事情，还需要手动做一些脚本再进行软件之间的关联。这对于个人管理者他的职业素质要求会比较高一点，所以说应用上的难度也会比较大，但是最主要的是他虽然开源免费，但是没有人给你负责任，一旦遇到比较大的应用故障的时候，这个时候没有售后服务的。

　　Q4.对于新出的一种流量，比如说现在用迅雷以及用P2P的流量，有没有控制这方面的扩展性的路由器。

　　A1. 刘欣宇：

　　提到这个问题是相当于以后的发展方向，就是针对新的供给或者是突发性的供给怎么去识别，从思科的角度来讲我们没法去驱动它，但是对于国内的一些企业，我们其实对用户的反馈是非常非常重视的，哪怕说有用户报我给发现一个什么样的供给，在有可能的条件下我们希望把样本拿过来给我们，就是把我们的库做得越来越全，这是我们的一个发展方向。

　　A2.李庭芳：

　　我补充一点，你提的这个问题，互联网的应用是层出不穷，迅雷有不同的版本，像原来的一些国外的厂商，他在本土怎么样去更好的生存，怎么样去适应本土的一些上网行为的习惯，如果没有很好应用协议库的话很难保证我能封堵最新的想封堵的应用，像我们怎么做的呢?就是说我们有一个实时更新的应用协议库，一旦有新的应用产生的话，我们可以去对它进行实时的更新，同时就可以在我们协议库里面，就是有执行的协议，一旦用户用了的话跟我们的协议库是匹配的，我就可以对它进行相关的控制和管理，是这样的。

　　Q5.流控设备采用什么样的接入方式比较好?

　　A1. 刘欣宇：

　　如果拿流量控制来说，我个人认为是从两个层面去做的，第一层面叫做分析，或者我称之为它叫做识别，第二个层面才是控制，那么如果从分析的角度去讲，我们可以通过一些“旁路镜像”的手段去实现，如果要和控制结合在一起，它的部署方式最好是串行，有很多人会说，我不要你串行，但是需要全路由的方式来实现，这个好处是，如果我的设备一旦出现故障，他会采用P2P的路由来实现，第三种方式叫做单臂，数据送到我这里来处理不了的话，还可以原路打回去，这种方式是比较少见的。

　　A2. 李庭芳：