来源：https://forum.huawei.com/enterprise/zh/thread-237581.html

1 背景

随着互联网的快速发展，互联网网上用户和业务流量都在不断增长，网络电话、网络视频、P2P下载、游戏等新型网络应用使得骨干网络中语音、视频、点到点下载流量、游戏数据在呈几何基数级膨胀增长。由于出口带宽有一定限制，而用户的带宽需求又是无尽的，这样少量在线用户就可能将出口带宽用之殆尽。由于某些应用或用户占用了大量带宽，导致其他用户的基本业务无法给予带宽保障，给用户带来了较差的体验感受。

本技术白皮书中的技术能够较为灵活且高效的实现对网络流量的管理，给用户提供了一种配置简单，功能强大，性能强劲的流量控制方案。

2 流量控制技术

下面前三个章节介绍的是流量的识别，包括基于IP（段）、基于DPI应用、基于用户（组）的识别；后面三个章节介绍的是对流量的特别控制方法，都能够实现基于上面三种对象组合识别后的流量控制策略。

2.1 基于IP地址（地址段）的流量控制

IP（段）的流量控制是指根据报文源地址、源端口、目的地址、目的端口、协议这五元组信息匹配限流策略，如果匹配上了则进行相应的限流，否则不做限流。策略里面可以配置地址或地址的集合，协议或协议的集合，配置起来很方便。

针对IP（段）的流量控制，支持两种方式：

●  每IP限流：对每个内网地址进行限流；

●  总体限流：对命中策略的所有流量进行限流；

比如：某网络要对172.16.1.1-172.16.1.200的用户配置每个IP限制1M，整体限制150M。

2.2 基于DPI应用的流量控制

DPI(Deep Packet Inspection)作为一种较新的包检测技术，除了能够检测P2P、IM，还可以识别包括VOIP（skype、H.323、SIP、RTP、Net2Phone、Vonage），Game（Diablo、Tantra），web_Video（PPlive、QQlive、SopCast），Stock，Attack等20多种大类，以及上千种应用协议，该DPI库支持在线升级，保证DPI库的实时更新。

用户根据DPI应用类型分别采取不同的限流策略，比如对迅雷业务每个用户进行限速1Mbps，整体迅雷业务限制10Mbps，对于http业务则不限制。基于DPI应用的流量控制可采用的控制策略包括：

●  允许通过：即允许该应用流量通过。

●  禁止通过：即禁止该应用流量通过，对于被禁止的流，防火墙对应的会话表会保留一定时间，防止会话老化后重新识别时因为后续包没有特征而无法准确识别出来，致使后续报文而又能通过。

●  带宽限速：对该种类型应用流量进行限速。

●  连接数限制：对该种类型应用的连接数进行限制，防止该类应用占据系统的连接数资源。

例如：某小区网络中迅雷流量占据了很大出口带宽，在业务高峰6:00-22:00时，迅雷业务飙升，占据了大量带宽，使得访问web网页也很慢，为了解决这个问题，可以通过配置对每个用户IP的迅雷限流500Kbps，同时对整体的迅雷做200Mbps限流，防止迅雷业务流量过大对整个网络的冲击。

2.3 基于用户（用户组）的流量控制

随着Web2.0的发展，由于网络结构的分散和网段、地址的不固定性，传统设备基于对IP网段限流策略的固定配置，已经不适合当前网络动态发展的需求，因此，企业存在着对业务流量进行基于用户（组）识别和基于用户（组）配置限流策略的需求。

在流量识别对应用户身份的基础上，防火墙只需要针对用户（组）信息配置限流策略，而不再需要根据复杂多变的IP网段来进行限流配置，这样不同的用户（组）身份可配置不同的流量控制策略，既简化了策略配置，又适应了企业复杂多变的网段规划，方便管理员的管理。

例如：企业总出口带宽10M，部门A和部门B的用户访问外网internet业务时，针对部门A中迅雷业务限制为每员工100Kbps；而部门B中每员工限制http上网业务200Kbps；另外，对于特权用户（如总经理）配置优先带宽2M。

2.4 支持对流量进行双重控制

  双重控制是指可对流量同时进行两种方式的限流：

           ● 每IP/用户限流：域间配置，具有方向性，针对每个IP/用户进行限流。

● 总体限流：域间配置，具有方向性，针对命中匹配策略的流量进行总体限流。

例如：企业总出口带宽10M，部门A和部门B的用户访问外网internet业务时，针对部门A中每个用户的迅雷业务限制100Kbps，同时配置部门A所有员工共享的总出口带宽为2M；而部门B中每个用户限制http上网业务200Kbps，限制部门B所有员工总带宽为6M；另外，对于特权用户（如总经理）配置优先带宽2M。

2.5 支持对流量进行保证带宽控制

   保证带宽：是指每个IP地址保证能够通过的流量，当总体带宽有空余时，则每个IP地址能够通过大于保证带宽值，而小于最大带宽值的流量。对于大于保证带宽的报文，转发还是丢弃是按照报文到达时带宽是否超过总体带宽来决定，超过时则丢弃，否则转发。

   最大带宽：是指配置保证带宽功能后每个IP最大能够通过的带宽，当超过这个最大带宽时，报文直接会被丢弃。

   总体带宽：是指出口整体带宽的值，一般是设置为（保证带宽*用户数）。

   例如：某网吧共有100个用户，出口总带宽为100M，那么每个用户可以保证的带宽值为100M/100 =1M, 最大带宽则可以设置的比保证带宽要大，比如为5M。

当只有10个用户上线时，每个用户至少保证1M能够通过，最大允许通过5M流量。

当100个用户全部上线时，则每个用户至少保证1M流量能够通过。

2.6 支持对流量进行连接数控制

连接数的限制是指对并发连接数进行限制，现网应用P2P等占用了很多连接资源，对连接数进行限制，从而达到对流量进行限制目的。

●  每IP并发连接数限制：针对每个IP地址限制并发连接数个数，对于超过这个规则的连接将会被阻断。

●  整体并发连接数限制：针对命中策略的并发连接数的总和进行限制，对于超过规则的连接将会被阻断。

比如：某公司局域网为了防止个人上网占用连接数太多，下载流量太大，则对每个人的并发连接进行限制100条，整体限制10000条。

2.7 支持对流量进行选路控制

       在一些多出口的网络部署当中，需要对不同的流量进行选路控制。比如：要求P2P识别的流量从A接口发送出去，VOIP的流量从B接口发送出去；或者一开始所有流量都从主接口发送出去，当主接口的流量超过配置的流量阈值时则启动备份链路，使得超过主接口阈值的流量能从B接口发送出去。

3 典型组网

Trust区域中内网用户的是192.168.1.0/24网段，可以访问Internet，同时外网用户可以访问DMZ区域的FTP服务器。

•限制整个Trust区域内的每个用户到Internet的上传/下载带宽为512Kbps/1Mbps;所有用户的总体带宽，到Internet的上传/下载带宽为：10Mbps/20Mbps.

•限制从Untrust区域到DMZ区域FTP服务器的连接数为20个，防止过多外网用户从内网服务器下载文件，造成服务器的拥塞，浪费设备的端口资源。

•为了验证效果，则可以在防火墙上通过命令查看丢包和通过报文的历史统计，并可清晰的看到哪个IP地址占用的访问的业务最大，网络中哪种DPI应用所占的比例最大。