近些年来，互联网及其应用的发展从根本上改变了人们的思想观念和生产生活方式，推动了各行各业的发展，并且成为知识经济时代的一个重要标志之一。今 天，企业员工借助网络可以方便地访问邮件、网页、FTP等服务器，查询信息，也可以登录企业ERP、CRM、SCM等数据库系统，还可以使用VoIP、视 频会议等实时业务。显而易见，一方面互联网缩短了时空的距离，大大加快了信息的传递．使得社会的各种资源得以共享。另一方面，互联网有效地提高了传统产业 的生产效率，有力地拉动了消费需求，从而促进经济增长，推动生产力进步。

互联网的确创造了一个奇迹，但在奇迹背后，也暴露出日益严重的问题，即对带宽资源的无尽需求，现有的互联网带宽资源毕竟是有限的，大量应用对带宽的无秩序、无节制的抢占，给所有网络管理者带来了无法回避的巨大挑战。

特别是随着技术的进步，局域网已经全面实现千兆到桌面，部分甚至达到万兆到桌面的规模，局域网内传输速率的提升意味着传输数据量也极大增长，互联网 出口压力随之增大，对互联网出口带宽资源的挑战愈发严峻。除此之外，随着智能手机、智能移动终端的广泛普及，移动互联网应用也成为一个重要的组成部分，移 动终端通过WIFI、WLAN等各类方法接入传统固网，互联网出口流量中除了PC所使用的各类应用流量，移动互联网应用流量所占比例也在不断增长，出口流 量愈发复杂进一步增大了管理的难度。

 

互联网出口的问题主要集中在带宽资源紧缺、网络拥塞严重、带宽资源使用不合理等方面，对出口网络的管理压力主要表现在如下几个方面：

首先，企业网络不断进行扩容，但网速问题依然无法得到解决，新追加的带宽资源第一时间被无关应用抢占和吞噬，企业的IT 投资得不到任何回报。与此同时，即使目前网络带宽可以满足现有业务的需要，也并不意味着对现有网络资源的使用是合理的。

其次，ERP、CRM、数据库、办公室自动化、物流供应链、视频会议系统等关键业务的应用与日俱增。这些花费了企业大笔预算、本应给企业极大提升价 值的业务却要与无关的应用如P2P下载、网络电视等争夺有限的互联网出口带宽资源，关键业务的无保障应用已经成为令企业管理者们十分头痛的问题。

第三，Web浏览、私人E-mail收发、P2P下载、即时通信及在线购物等与工作无关的网络应用正愈演愈烈，致使网速变慢。著名研究机构 Yankee Group 早前发布的研究报告称：P2P下载业务占用了60%的网络资源；BT作为P2P应用的典型代表，其消耗的网络资源高达40%；下载流量居前5%的用户，占 所有下载流量的50%。

第四，网络病毒、网络攻击、某些活跃用户不定时发起的某种网络应用，形成突发异常流量，使得网络性能急剧下降甚至网络瘫痪。据Gartner统计， 目前对网络的攻击有70%以上是集中在应用层，并且这一数字呈上升趋势。突发异常流量犹如洪水猛兽，给企业网络的稳定运行带来了严峻考验。

 

针对这些网络问题，出现了一些解决的方案或思路，比如扩大带宽、采用QoS机制做保障等，但是，这些方法远不能从根本上解决问题。

互联网出口面临着数据量不断增长、业务种类不断丰富的情况，所以，扩大带宽的方法只能短时间缓解上网慢的问题，带宽的扩展速度远不及数据量的增长速度，不加以管理的网络中，带宽资源紧缺的问题会再次出现。

随着互联网应用的不断丰富，单纯依靠IP、端口等信息识别流量的方式已经不再准确，80端口的流量中可能混杂着网页访问、QQ聊天、迅雷下载多种类 型的流量。而传统的防火墙、路由器等网络层设备，只能根据IP、端口等信息区分流量并做简单的QoS策略，在这样的环境下，这种传统的带宽管理方式将严重 失效，无法达到合理规划带宽资源的目的，无关应用的带宽得不到控制，关键应用的带宽得不到保障。

 

对于多种互联网应用争抢出口带宽的问题，应用层流量控制必不可少，根据应用特征的不同对流量进行精准的识别，根据应用的重要性划分可用带宽，在应用层实现对带宽资源的合理划分和分配，避免带宽争抢带来的拥堵问题。

采用灵活的带宽管理手段，可以针对不同的应用、不同的用户进行合理的带宽划分与分配，有效解决互联网出口带宽争抢所带来的业务质量下降问题。

网康ITM采用多级虚拟通道的方式对带宽进行管理，整体管理思路：采用控制无关应用对带宽的抢占与保障关键业务具备足够带宽相结合的方式进行。

 

4.1三重嵌套的通道结构对流量进行整形

每条物理链路均可划分为三级嵌套（主通道、子通道、微通道）的层次结构，保证各用户、各VLAN的各种网络应用在限定的带宽通道内传输。如管理员可 为企业一级部门设置一个主通道，还可以为二级部门设置子通道，为三级部门设置微通道，也可以对单个用户或单个/某类应用分配一个独立的带宽通道。

通过层次化的管理，管理员将不同部门用户的不同应用分别限制在一定带宽之内，保证了不同用户、不同VLAN、不同应用在预先规定的通道内按照设定的 速率、时间段各行其道。这样既可以保证每个应用的正常使用，避免各部门间的无序带宽争夺，又可以防止某些应用占用带宽过大而造成整个公司网络的拥塞。

3级嵌套的通道结构允许通道之间可存在借用关系：当上级通道的保证带宽有富余时，下级通道可以借用上级通道的剩余带宽。通过对通道内的数据流“削峰 填谷”，抑制突发流量，复用空闲带宽，从而保证通道内数据流能平稳有序地传输。网康ITM的各级带宽通道均可以划分最多8个不同的优先级，优先级高的通道 可以优先使用系统空闲的带宽资源。

 

4.2支持灵活的流量限制手段

在流量限制方面，网康ITM提供了灵活的限制手段，主要包括以下几类：

 

4.2.1应用封堵

对于一些与工作完全无关的应用可以采用严格禁止的方式，如网络游戏、网络炒股等应用，避免对带宽资源占用的同时，也能达到提升员工工作效率的效果。 网康ITM通过每用户的应用封堵和通道整体的应用封堵功能，严格禁止用户使用与工作无关、降低工作效率、甚至有安全风险的网络应用。

每用户的应用封堵功能可基于时间、用户、VLAN、应用等条件设置；通道整体的应用封堵功能可基于时间、VLAN、对从源用户（组）去往目的用户（组）的网络应用进行完全封堵。

 

4.2.2流量限速

网康ITM流量限速功能可以在不封堵某种网络应用的情况下，将其上传、下载带宽限定在某个合理的范围内，这样既可以保持相关网络应用的可用性，又能 够防止这些应用对有限带宽资源的无序抢占。通常来说，不同类型部门的用户的业务流量存在很大的差异，流量限速功能可以根据实际需要，对不同部门和用户所需 的带宽资源进行合理规划和限制，避免不同部门和用户之间对带宽资源的争用。

流量限速功能可以基于时间、VLAN、对从源用户（组）去往目的用户（组）的网络应用上传、下载流速进行限制。

 

4.2.3每用户带宽上限

网康ITM可通过每用户带宽上限功能可以对每个用户的带宽进行管理，具体分为每用户的带宽上限控制和通道内每用户的带宽上限控制。

每用户的带宽上限控制强调每用户的概念，即通过一条策略就能对所有用户中的每个用户设置相同的速率限制，并且某一个用户的速率超过阀值，仅仅这个用 户会被策略控制，不会影响到其他用户；通道内每用户的带宽上线控制只对当前通道内的用户进行速率限制，不会影响到其他通道的用户。

 

4.2.4流量限额

网康ITM还可以从流量的角度对网络应用进行管理，通过每用户的流量限额和通道整体的流量限额功能，为某种网络应用设定流量限额阀值，在预定的周期性时间段范围内，限制此应用的流量总额。

每用户的流量限额通过一条策略就能对所有用户中的每个用户设置相同的流量额度，但是无法区分不同应用；通道整体的流量限额保证在预定的时间周期内为从源用户（组）去往目的用户组（组）的网络应用流量设定一个限额阀值，但是无法区分不同用户。

 

4.2.5连接控制

众所周知，P2P应用就是通过建立大量连接实现高速下载，虽然每个连接的传输流量不大，但大量连接同时新建并存，就会极大地消耗有限的网络带宽资 源。网康ITM的连接控制功能包括控制并发连接数和每秒新建连接数，可以有效地限制每用户和通道整体的并发连接数和每秒新建连接数，从而能够限制诸如 P2P连接和预防病毒的爆发。

每用户的连接控制功能通过一条策略就能对有所用户中的每个用户设置相同的连接数限制；通道整体的连接控制功能可以基于时间、内部用户（组）、外部用户（组）、VLAN等条件，对进入通道内的某（些）应用进行连接数的限制。

 

4.3支持丰富的流量保障手段

在流量保障方面，网康ITM提供了丰富的保障手段，主要包括以下几类：

 

4.3.1带宽保证

网康ITM带宽保证功能可以在带宽资源有限而多种网络应用并存的情况下，通过为关键业务建立并指定带宽通道的方式，从而避免了关键业务应用与非关键业务应用共同争用带宽，有效保障了关键业务应用的正常使用。

由于公司不同部门和用户的重要性存在比较大的差异，网康ITM的带宽保证功能可以基于时间、内部用户（组）、外部用户（组）和某（些）VLAN、应 用等进行最起码的带宽保证，从而实现为某（些）关键业务应用配备相应速率的带宽资源，形成差异化的网络质量服务。对于ERP、邮件、视频会议、视频会议等 对时延及其敏感、影响企业办公效率和商务活动的关键业务应用，网康ITM 通过带宽保证功能，为这些关键应用设定带宽保证值，保证即使在网络繁忙时，关键应用也能获得至少所需的带宽资源。

 

4.3.2带宽预留

在公司中，有一些网络应用（视频会议、OA系统）或网络用户（高层领导）的重要性和优先级永远最高。为了保证这些应用和用户在任何时间都能获得良好的使用效果，必须为其预留专门带宽资源，防止来自别的应用和用户的网络干扰。

网康ITM在保障关键业务应用时，既可以通过通道的带宽保证来实现，也可以通过带宽预留来实现。带宽预留可以对对进入特定通道的某（些）关键业务的 应用架设“带宽专线”，通过划分专门的带宽，使关键业务在任何时候都可以独享该通道全部的带宽资源，彻底避免非关键业务无序抢占此专线带宽资源，从而使关 键业务应用的带宽需求能获得可靠保障。

 

4.3.3带宽平均

在多用户的网络环境中，怎样使网络资源能够得到公平、高效地利用，是每一位网管人员都十分关心和头疼的一件事。每位用户享用的网络带宽资源应该可以根据当前用户数量的多少而进行动态调整。

网康ITM能根据通道里用户数量的动态变化实时调整各用户的带宽分配，保证流经通道里的所有用户动态平均享用该通道的全部带宽资源，实现带宽资源得 到高效与公平地利用。网康ITM既能实现基于内网用户数的带宽平均，又能基于外网用户数的带宽平均。基于内网用户的带宽平均，帮助内网用户间公平地享用出 口带宽资源。基于外网用户的带宽平均，帮助外网用户间公平地享用内网的带宽资源。