摘  要：通过对移动互联网发展过程中出现的问题进行深入剖析，对存在的移动互联网感知慢问题提出了相应对策及解决方案，包括剖析互联网感知慢的三大原因，创新性地在城域网和末端网络加入安全网关技术，对非正常工作应用，比如BT下载等进行流量控制，释放更多带宽资源给正常工作的应用，同时清除病毒，根据关键字过滤色情、暴力、非法等不安全内容，构建了绿色健康安全上网环境。此外还介绍了具体成功案例，提出的安全技术手段还能向客户提供增值服务，从而提高客户满意度，满足客户多样化需求。

关键词：内容控制;流量控制;集团专线;行为管理

中图分类号：TN918      文献标识码：A 文章编号：2096-4706（2020）06-0081-03

Abstract：This paper deeply analyzes the problems in the development of mobile internet，and puts forward the corresponding countermeasures and solutions for the slow perception of mobile internet，including analyzing the three reasons for the slow perception of internet，innovatively adding security gateway technology to man and terminal network，controlling the flow of abnormal working applications such as BT download，releasing more bandwidth resources are provided to normal working applications，virus is removed，and unsafe content such as pornography，violence，and illegality is filtered according to keywords. A green，healthy and safe internet environment is constructed. This paper also introduces the specific successful cases，and proposes that the security technology can also provide value-added services to customers，so as to improve customer satisfaction and meet the diversified needs of customers.

Keywords：content control;flow control;group dedicated line;behavior management

0  引  言

在公司发展过程中，曾接到客户投诉，反映上网速度差，在2M带宽同等条件下，移动下载速度远低于某一运营商，网页打开在繁忙时段感知较差。为提升客户满意度，河源公司对专线质量问题的成因进行了具体分析，从专线的接入层入手，开展数据流量控制与管理，并在此基础上推出集团专线产品“e管家”业务。该业务的推出与数据网核心层的质量提升互为补充，能够“端到端”地提升专线业务的用户感知質量。

1  剖析原因及提出对策

1.1  原因分析

1.1.1  内容资源缺乏

绝大部分互联网内容提供商还与其他运营商进行合作，访问这些网站必然涉及跨网协调问题，客户感知网速慢。集团公司、省公司通过建设IDC、CACHE等办法解决。

1.1.2  互联网出口带宽不足，时延大

骨干网出口带宽利用率达90%以上，明显不足，省公司通过扩容出口带宽，引入第三方互联出口解决。

1.1.3  末端通道拥塞

除了以上原因外，还有末端通道拥塞。在互联网专线客户端中，除了常规的浏览、查询、电子邮件等多种应用类型以外，多线程的FTP下载、在线游戏、P2P应用、P2P下载等多种新型的网络数据应用在网络中大量使用和出现，尤其是P2P应用大量占用带宽资源，严重影响客户的正常使用。

1.2  提出对策

对于内容缺乏、出口带宽不足，集团公司和省公司已采取了多种办法，比如建IDC、DNS缓存、引入第三方互联等等，对提升专线感知质量起到主要作用。末端通道拥塞，可扩容末端传输带宽，但更重要的是在一定带宽下建设流控系统，通过应用程序对所占带宽合理安排，提升核心业务（比如HTTP等）上网感知。

2  解决方案及实施情况

2.1  方案及实施完成情况

2010年河源分公司建设了互联网内容控制管理网关，安装在IP城域网集团专线出口上，对有需求集团专线提供流量控制、防病毒，以及上网行为管理、分析、审计等服务。该网关能对不同应用合理分配带宽，节约带宽资源，大幅度提升核心业务网速，同时提供安全增值业务，在市场上取得了较好效果，受到了客户热烈欢迎。

2.2  网络原理

2.2.1  管控多个公网地址网络结构

在IP城域网汇聚交换机S9312与CR（兼做SR）之间串接一个Web安全网关（型号为A1000），该网关为透明桥接设备，安装简单，即插即用，不会因为其部署而需更改运营商现有网络结构。汇聚交换机VLAN信息直接透传，在CR终结，具体网络结构如图1所示。

安全网关根据透传的专线客户端公网IP地址，对其数据比特流进行解码并有效管控，同时产生日记及报表，保存在设备存储器上。为了更好显现，IP地址可设置成对应客户名称，这样分析报表时一目了然，即可知道对应哪个客户。

2.2.2  管控内部私网地址网络结构

以上加设的设备是管控多条互联网数据专线，配置较高，根据客户需求，也可在客户端网络上加设较小设备。

在客户端交换机和路由器之间加设Web安全网关，型号配置可以较低，客户内部使用私网IP地址，划分为不同的VLAN。Web安全网关直接透传IP地址到路由器上，再由路由器转换成公网地址。与上面功能基本一致，不同的是它能细化管控客户每一台终端。

2.2.3  功能作用

（1）保护企业内网免遭Malware（病毒、木马、后门、间谍软件、诺虫等恶意程序）侵袭，保障企业上网安全性与可靠性;

（2）发现网络内部僵尸机器，避免内部机器成为网络犯罪的傀儡;

（3）为企业生产性网络应用提供带宽保证，非生产性网络应用提供带宽限制，达到网络流量整形与优化，优化企业业务的运营，提高生产效率;

（4）对上网访问行为、邮件、IM聊天内容、论坛/Blog发帖等进行审计与关键字过滤。防止通过网络传播、浏览、搜索非法或不适内容，并防止商业机密信息的泄露;

（5）管控员工上班时间的IM闲聊、网上购物，以及进行网络游戏大战、网上炒股、网上冲浪等行为，规范员工上网行为，提高工作效率;

（6）清除不适当的黄、赌、暴力、自杀、枪支、弹药、成人类等Web内容进入内部网络。

3  应用案例

3.1  案例分析

河源中英文学校是按省一级标准创办的一所集幼儿、小学、初中教育于一体的全新现代化民办学校。该客户使用了我公司100 M带宽互联网集团专线，客户经常反映上网慢，发现有大量老师使用BT下载和流媒体视频，严重霸占了带宽资源，峰值带宽利用率曾一度达到了50%。客户也提出了限制BT、视频需求。

客户专线原接至CMNET，根据客户需求，第一时间内割接到IP城域网，流向Web安全网关。运行一周后，对客户网络使用情况进行了如下分析：

（1）受到病毒威胁，拦截到的病毒中以木马（Trojan）与间谍软件（Spyware）为主，其中间谍软件为2个，木马为7个;

（2）受到恶意网站威胁，在恶意站点统计日志中，拦截到的恶意网址类别都是恶意软件传播的，而且高达8个，当用户访问含有这个恶意脚本的网站时，会自动下载一些指定的恶意软件到客户机。另外还受到僵尸网络安全威胁;

（3）从应用程序流量上来分析，很大部分网络资源被比较大的应用程序占用了，比如视频、P2P的下载。

3.2  应对策略

根据客户确认，实施策略方案如下：

（1）网关防病毒安全方案：病毒库实时升级，查杀木马等流行病毒，每天进行;

（2）P2P下载管控解决方案：P2P（包括迅雷、电驴、网络快车、BT等）限制为400 Kb/s下载速度（设计成一个用户限制为35 Kb/s下载速度，可能同时有10台终端P2P下载），限制时间为周一至周五8：30～17：30，其他时间放开。另外，普通下载正常使用，不受影响;

（3）流媒体管控解决方案：对视频等流媒体播放限制400 Kb/s下载速度（设计成一个用户限制为35 Kb/s下载速度，可能同时有10台终端流媒体播放），限制时间为周一至周五8：30～17：30，其他时间放开;

（4）对网络游戏、网络炒股等的管控解决方案：对游戏、股票类网站内容禁止访问，限制时间为周一至周五8：30～17：30，其他时间放开;

（5）URL过滤方案：含色情、暴力、赌博、反动等字眼不给访问，每天进行;

（6）上网行为管理、监控解决方案：记录用户打开网页、下载、发送邮件等行为，每天进行。

3.3  实施效果

3.3.1  应用程序流控

（1）带宽利用率、特殊下载速率对比：策略实施时间是11月25日开始，取25日前后10天最高峰值带宽利用率做對比。11月15日～24日未实施策略接收峰值带宽利用率曾达到54.37%，11月25日～12月4日实施策略后明显回落至20%左右。

峰值带宽利用率大幅度回落，主要原因是P2P等应用程序得到了流速限制，未实施策略和实施策略P2P下载速率对比如表1所示。

以上测试均选择同一文件，可以看出，实施策略后，P2P下载速率得到明显遏制，其中BT下载速率下降50%，电驴下降42%，快车下降72%，迅雷下降48%。

（2）各应用协议流量占比：随着P2P、流媒体流速限制，核心业务流量随之增大。按未实施策略时的各应用协议所占比例（取一天流量计算），主要应用HTTP占比37%，PPS占比25%，BitTorrent占比21%，UDP占比11%。实施策略后各应用协议所占比（取一天流量计算），HTTP占比64%，PPS占比11%，BitTorrent占比11%，UDP占比6%。

效果对比：实施策略前，BT、视频等应用的几乎占了总流量46%，占用较大带宽。实施策略后，BT、视频等应用占了总流量22%。比实施策略前降低了52%。HTTP等各类协议流量则从37%上升到64%。

（3）普通下载速率对比：普通下载也有鲜明对比，未实施策略普通下载速度为69 Kb/s，实施策略后下载速度为121 Kb/s，速率提高了75%。

3.3.2  网络安全

除了以上P2P流速得到管控外，病毒、恶意网站也得到了阻击。平均每天阻击92个恶意站点。Trojan木马病毒被阻击，保证了内网安全。每天杀毒数量不定，有时12个，有时1个，视客户网络有无感染病毒的情况而定。

3.3.3  上网行为审计

Web安全网关对客户上网轨迹可进行记录，根据设置关键字能控制终端访问不健康内容，关键字可根据客户需求靈活定义。比如阻击了含有“sex”字眼的网页，平均每天阻击766个不健康网页，满足了客户绿色上网安全要求。

4  应用效益

4.1  附加增值业务

互联网内容控制及管理可包装成一种互联网增值业务向客户推广，目前河源分公司初步将其命名为集团“e管家”业务。带来效益可直接提高专线月租收入，也可作为免费赠送方式深度吸引客户，完成保存量，促进发展战略目标的实现。

4.2  提高用户感知

通过合理地控制P2P等工具（如BT、迅雷等）的下载速度，有效避免带宽被滥用，节省带宽资源;为用户使用非P2P下载等应用提供可靠的带宽保证，提高了客户上网速度，有效改善上网速度感知慢现象。

4.3  提高网络安全

能有效防止病毒感染，阻断木马及恶意网站攻击。通过关键字限制，可屏蔽黄色、暴力等非法网站，为用户提供一个健康绿色环境，顺应了国家对互联网安全要求。

5  结  论

文章从以上五个方面进行了充分阐述，希望对改善互联网专线核心业务上网感知能起到抛砖引如玉的作用，集团公司到省公司在核心网络方面都有相应的解决办法，本文论述只是冰山一角，从末端引进了互联网内容控制及管理，即集团“e管家”业务，该业务的推出与数据网核心层的质量提升互为补充，能够“端到端”地提升专线业务的用户感知质量，希望能对移动互联网发展起到一定推动作用。

参考文献：

[1] 刘利剑.现代有线接入网设计 [J].现代信息科技，2019，3（22）：75-76.

[2] 张小勇.集团客户专线接入方式探讨 [J].现代信息科技，2019，3（17）：49-51+54.

[3] 袁竟乘.某地市城域网业务流量模型分析研究 [J].现代信息科技，2019，3（7）：77-79.

作者简介：廖学恺（1974.12-），男，汉族，广东河源人，通信工程师，本科，研究方向：通信、信息技术、互联网产业等。