一種流量控制方法及裝置與流程

本發明涉及互聯網技術領域，特別是涉及一種流量控制方法及裝置。

背景技術：

當前常見的虛擬網絡防火墻一般設置在外網交換機之上，可以直接通過虛擬網絡防火墻對通過外網交換機導入的外網流量進行管理，但有些虛擬網絡防火墻，如下沉式虛擬網絡防火墻，設置在外網交換機之內，外網流量和外網交換機內部的流量混合在一起，管理便會比較復雜。

如圖1所示，下沉式虛擬網絡防火墻包括分流器、分析器以及sdn(softwaredefinednetwork,軟件定義網絡)控制器，其中，外網交換機首先將外網流量導入lb(loadbalance，負載均衡)集群，然后，復制獲得上述外網流量的鏡像流量，并將鏡像流量導入分流器，而分流器則會將外網交換機導入的鏡像流量發送給分析器來進行安全分析，最終，由分析器獲得安全分析的結果，并將該安全分析的結果通過sdn控制器反饋給外網交換機和lb集群，這樣外網交換機和lb集群可以依據上述安全分析的結果控制外網流量對內部業務的訪問。

實際應用中，當外網流量大于分流器的限流總流量時，便會出現數據包丟包的現象，例如，外網流量為30g，而分流器只能允許20g流量通過，那么便會有10g流量被丟棄，在現有技術中，一般是隨機丟棄數據包，即上述所舉示例中需要丟棄的10g是隨機選取的數據包，這樣便可能會導致丟棄一個通信會話的部分數據，如此，在進行安全分析時，針對一個通信會話，很可能只收集到“握手”相關的數據包，而被分析器認為是只“握手”不進行“數據傳遞”來占用服務器的惡意流量，也就是不能用于進行安全分析的無效外網流量，從而減少了用于安全分析的有效外網流量，導致安全分析的準確性低。

技術實現要素：

本發明實施例的目的在于提供一種流量控制方法及裝置，以提高安全分析的準確性。具體技術方案如下：

第一方面，本發明實施例提供了一種流量控制方法，所述方法包括：

獲得目標總流量，其中，所述目標總流量為需要導流到分流器的外網流量的鏡像流量；

判斷所述目標總流量是否大于等于第一預設閾值；

若為是，基于通信會話，從所述目標總流量中確定第一待丟棄流量，并丟棄所述第一待丟棄流量，其中，所述第一待丟棄流量對應的數據為至少一個通信會話所包含的完整數據。

可選地，所述從所述目標總流量中確定第一待丟棄流量的步驟，包括：

確定目標負載均衡集群；

從目標鏡像流量中確定第一待丟棄流量，其中，所述目標鏡像流量為：所述目標總流量中導入所述目標負載均衡集群的外網流量的鏡像流量。

可選地，所述從目標鏡像流量中確定第一待丟棄流量的步驟，包括：

按照預設比例，從目標鏡像流量中確定第一待丟棄流量。

可選地，所述確定目標負載均衡集群的步驟，包括：

將導入的流量最大的負載均衡集群確定為目標負載均衡集群。

可選地，所述預設比例為1/num；其中，num為所述目標負載均衡集群占用的端口數量。

可選地，所述按照預設比例，從目標鏡像流量中確定第一待丟棄流量的步驟，包括：

從所述目標負載均衡集群占用的端口中確定目標端口；

將所述目標總流量中導入所述目標端口的外網流量的鏡像流量確定為第一待丟棄流量。

可選地，所述從所述目標總流量中確定第一待丟棄流量的步驟，包括：

確定目標虛擬網絡地址；

將所述目標總流量中虛擬網絡地址為所述目標虛擬網絡地址的流量確定為第一待丟棄流量。

可選地，本發明實施例所提供的一種流量控制方法，還包括：

確定目標內網接入交換機；

獲得所述目標內網接入交換機對應的上聯帶寬擁塞程度；

根據所述上聯帶寬擁塞程度，確定目標采樣權重值；

根據所述目標采樣權重值，基于通信會話，從目標流量中確定第二待丟棄流量，并丟棄所述第二待丟棄流量；其中，所述目標流量為所述目標總流量或所述目標內網接入交換機對應的分流器導出的流量；所述第二待丟棄流量對應的數據為至少一個通信會話所包含的完整數據。

可選地，所述獲得所述目標內網接入交換機對應的上聯帶寬擁塞程度的步驟，包括：

獲得所述目標內網接入交換機對應的流量延時；

按照以下公式，確定所述目標內網接入交換機對應的上聯帶寬擁塞程度：

其中，l為所述上聯帶寬擁塞程度，n為預設時間窗口內的采樣點數，m為預設平滑點數，rttij為所述流量延時，j為數據包大小的標識信息，rtt為預設初始值，與j相關。

可選地，所述根據所述上聯帶寬擁塞程度，確定目標采樣權重值的步驟，包括：

獲得所述目標內網接入交換機的內網南北上聯口的流量占比；

按照以下公式確定目標采樣權重值：

ws＝max(1-l,b)

其中，ws為所述目標采樣權重值，l為所述上聯帶寬擁塞程度，b為所述流量占比，max(，)為求最大值函數。

第二方面，本發明實施例提供了一種流量控制裝置，所述裝置包括：

第一獲得模塊，用于獲得目標總流量，其中，所述目標總流量為需要導流到分流器的外網流量的鏡像流量；

判斷模塊，用于判斷所述目標總流量是否大于等于第一預設閾值；

第一確定模塊，用于在所述判斷模塊的判斷結果為是的情況下，基于通信會話，從所述目標總流量中確定第一待丟棄流量；

第一丟棄模塊，用于丟棄所述第一待丟棄流量，其中，所述第一待丟棄流量對應的數據為至少一個通信會話所包含的完整數據。

可選地，所述第一確定模塊，包括：

第一確定子模塊，用于確定目標負載均衡集群；

第二確定子模塊，用于從目標鏡像流量中確定第一待丟棄流量，其中，所述目標鏡像流量為：所述目標總流量中導入所述目標負載均衡集群的外網流量的鏡像流量。

可選地，所述第二確定子模塊，具體用于：

按照預設比例，從目標鏡像流量中確定第一待丟棄流量。

可選地，所述第一確定子模塊，具體用于：

將導入的流量最大的負載均衡集群確定為目標負載均衡集群。

可選地，所述預設比例為1/num；其中，num為所述目標負載均衡集群占用的端口數量。

可選地，所述第二確定子模塊，具體用于：

從所述目標負載均衡集群占用的端口中確定目標端口；

將所述目標總流量中導入所述目標端口的外網流量的鏡像流量確定為第一待丟棄流量。

可選地，所述第一確定模塊，具體用于：

確定目標虛擬網絡地址；

將所述目標總流量中虛擬網絡地址為所述目標虛擬網絡地址的流量確定為第一待丟棄流量。

可選地，本發明實施例所提供的一種流量控制裝置，還包括：

第二確定模塊，用于確定目標內網接入交換機；

第二獲得模塊，用于獲得所述目標內網接入交換機對應的上聯帶寬擁塞程度；

第三確定模塊，用于根據所述上聯帶寬擁塞程度，確定目標采樣權重值；

第二丟棄模塊，用于根據所述目標采樣權重值，基于通信會話，從目標流量中確定第二待丟棄流量，并丟棄所述第二待丟棄流量；其中，所述目標流量為所述目標總流量或所述目標內網接入交換機對應的分流器導出的流量；所述第二待丟棄流量對應的數據為至少一個通信會話所包含的完整數據。

可選地，所述第二獲得模塊，具體用于：

獲得所述目標內網接入交換機對應的流量延時；

按照以下公式，確定所述目標內網接入交換機對應的上聯帶寬擁塞程度：

其中，l為所述上聯帶寬擁塞程度，n為預設時間窗口內的采樣點數，m為預設平滑點數，rttij為所述流量延時，j為數據包大小的標識信息，rtt為預設初始值，與j相關。

可選地，所述第三確定模塊，具體用于：

獲得所述目標內網接入交換機的內網南北上聯口的流量占比；

按照以下公式確定目標采樣權重值：

ws＝max(1-l,b)

其中，ws為所述目標采樣權重值，l為所述上聯帶寬擁塞程度，b為所述流量占比，max(，)為求最大值函數。

本發明實施例提供的流量控制方案中，可以先獲得需要導流到分流器的外網流量的鏡像流量，即目標總流量，然后判斷目標總流量是否大于等于第一預設閾值，若為是，便基于通信會話，從目標總流量中確定第一待丟棄流量，并丟棄第一待丟棄流量，其中，第一待丟棄流量對應的數據為至少一個通信會話所包含的完整數據。可以看出，應用本發明實施例提供的技術方案，能夠基于通信會話來丟流量，丟棄的都是一個個通信會話的完整數據包，這樣，在進行安全分析時，針對一個通信會話，不會因為只收集到“握手”相關的數據包，而被分析器誤認為是只“握手”不進行“數據傳遞”來占用服務器的惡意流量，進行丟棄，與現有技術相比，防止了用于安全分析的有效外網流量的進一步減少，提高了安全分析的準確性。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為現有技術中下沉式虛擬網絡防火墻的示意圖；

圖2為本發明實施例提供的流量控制方法的一種流程示意圖；

圖3為現有技術中下沉式虛擬網絡防火墻的網絡架構示意圖；

圖4為本發明實施例提供的流量控制方法的另一種流程示意圖；

圖5為圖4所示發明實施例的具體實現的一種網絡架構示意圖；

圖6為本發明實施例提供的流量控制裝置的一種結構示意圖；

圖7為本發明實施例提供的流量控制裝置的另一種結構示意圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

為了提高安全分析的準確性，本發明實施例提供了一種流量控制方法及裝置。

下面首先對本發明實施例提供的一種流量控制方法進行介紹。

如圖2所示，本發明實施例提供的一種流量控制方法，包括如下步驟：

s201，獲得目標總流量。

其中，目標總流量為需要導流到分流器的外網流量的鏡像流量。可以理解的是，分流器，即網絡分流器(networktap)，是一個硬件設備，通常串接到網絡中，本發明實施例中，分流器用于將外網流量的鏡像流量發送給分析器，而分析器用于對導入的流量進行安全分析。

本申請的一種實現方式中，可以在有外網流量來訪的時候，采用全鏡像的方式把外網流量都導流到分流器，然后，基于sdn控制器動態地獲取分流器端口的所有流量，所獲取到的流量即為目標總流量，可以理解的是，分流器是直接與外網交換機相連接的；隨著外網流量的不斷來訪以及數據包丟棄處理等，目標總流量是動態變化的。其中，sdn控制器是連接底層網絡交換設備與上層應用的橋梁，一方面，sdn控制器通過南向接口協議對底層網絡交換設備進行集中管理，狀態監測、轉發決策以及處理和調度數據平面的流量；另一方面，sdn控制器通過北向接口向上層應用開放多個層次的可編程能力，允許網絡用戶根據特定的應用場景靈活地制定各種網絡策略，需要說明的是，關于sdn控制器以及如何基于sdn控制器獲取分流器端口的所有流量均為現有技術，此處不再贅述。

s202，判斷目標總流量是否大于等于第一預設閾值，若是，執行s203。

其中，可以通過判斷目標總流量是否大于等于第一預設閾值，來確定目標總流量是否能夠正常地傳輸，具體地，若目標總流量大于等于第一預設閾值，則表明目標總流量不能正常傳輸，那么，為保證數據的正常傳輸，避免造成數據擁塞，便可以執行s203，進行丟包處理。

上述第一預設閾值可以是根據分流器的限流大小確定的，還可以是開發人員根據經驗設定的，本申請并不對此進行限定。

s203，基于通信會話，從目標總流量中確定第一待丟棄流量，并丟棄第一待丟棄流量。

需要說明的是，若s202的判斷結果為是，那么，便可以根據目標總流量的大小與第一預設閾值的關系，基于通信會話，確定第一待丟棄流量，并將所確定的第一待丟棄流量丟棄，即實現對目標總流量的采樣限流。

其中，基于通信會話，表明第一待丟棄流量對應的數據為至少一個通信會話所包含的完整數據，即是說，第一待丟棄流量是以通信會話為粒度的數據，那么用以分析的流量數據也是以通信會話為粒度的，與現有技術相比，不會出現某個通信會話的數據不完整的情況。

需要說明的是，目標總流量為導入到負載均衡集群中的外網流量的鏡像流量，與負載均衡集群導入的流量具有對應關系，而導入到同一個負載均衡集群的流量通常都具有某個相同的屬性，比如說目的地址都對應某一特定的內部業務，那么，為了快速簡便地確定待丟棄的流量，便可以直接基于某一個負載均衡集群，根據導入該負載均衡集群的外網流量的特性，直接從目標總流量中確定待丟棄的流量，并且不需采用其他方式跨負載均衡集群確定待丟棄的流量。

在第一種實現方式中，所述從目標總流量中確定第一待丟棄流量的步驟，可以包括：

確定目標負載均衡集群；

從目標鏡像流量中確定第一待丟棄流量，其中，目標鏡像流量為：目標總流量中導入目標負載均衡集群的外網流量的鏡像流量。

為更靈活地實現采樣限流的控制，所述從目標鏡像流量中確定第一待丟棄流量的步驟，可以包括：

按照預設比例，從目標鏡像流量中確定第一待丟棄流量。

可以理解的是，目標總流量是動態變化的，其中由于分流器像漏斗一樣，一般在由于阻塞而丟棄流量的時候，分流器也在不停地導出流量，從而導致目標總流量的相對減少，因此，可以一次只丟棄導入目標負載均衡集群的外網流量的鏡像流量中的一部分，若丟棄后的目標總流量仍大于等于第一預設閾值，可以重復上述步驟，再次丟棄目標總流量中一部分流量，如此能夠減少實際需要丟棄的總流量，即防止了用于安全分析的有效外網流量的進一步減少，提高了安全分析的準確性。

需要說明的是，當目標負載均衡集群是導入的流量最大的負載均衡集群時，相應地，按照預設比例確定的第一待丟棄流量也會較大，如此，可以更快速地將外網流量導入分流器，傳輸至分析器，進行安全分析。因此，所述確定目標負載均衡集群的步驟，可以包括：

將導入的流量最大的負載均衡集群確定為目標負載均衡集群。

將導入流量最大的負載均衡集群確定為目標負載均衡集群，一定程度上可以保證加快流量的丟棄速度，進而加快流量控制過程的收斂速度。

需要說明的是，一個lb集群，在與外網交換機連接的時候，可能會占用多個外網交換機的端口，由于一個端口包括多個vip(virtualip，虛擬網絡地址)，而一個vip對應的是多個完整的通信會話，因此，一個端口對應的也是多個完整的通信會話，那么，基于通信會話確定第一待丟棄流量，可以是基于端口來具體實現。

其中，基于端口來確定第一待丟棄流量時，預設比例可以為1/num；其中，num為目標負載均衡集群占用的端口數量；相應地，所述按照預設比例，從目標鏡像流量中確定第一待丟棄流量的步驟，可以包括：

從目標負載均衡集群占用的端口中確定目標端口；

將目標總流量中導入目標端口的外網流量的鏡像流量確定為第一待丟棄流量。

可以理解的是，由于目標負載均衡集群占用的每一端口對應的流量相同，因此，目標端口可以是目標負載均衡集群占用的端口中的任一端口。

在第二種實現方式中，由于一個vip對應的是多個完整的通信會話，因此，基于通信會話確定第一待丟棄流量，可以是基于vip來具體實現，具體地，所述從目標總流量中確定第一待丟棄流量的步驟，可以包括：

確定目標虛擬網絡地址；

將目標總流量中虛擬網絡地址為目標虛擬網絡地址的流量確定為第一待丟棄流量。

需要說明的是，由于一個vip包含多個通信會話，因此，以vip為粒度，確定的第一待丟棄流量對應的數據包含的都是完整的通信會話數據。

在圖2所示實施例提供的流量控制方案中，可以先獲得需要導流到分流器的外網流量的鏡像流量，即目標總流量，然后判斷目標總流量是否大于等于第一預設閾值，若為是，便基于通信會話，從目標總流量中確定第一待丟棄流量，并丟棄第一待丟棄流量，其中，第一待丟棄流量對應的數據為至少一個通信會話所包含的完整數據。可以看出，應用本發明實施例提供的技術方案，能夠基于通信會話來丟流量，丟棄的都是一個個通信會話的完整數據包，這樣，在進行安全分析時，針對一個通信會話，不會因為只收集到“握手”相關的數據包，而被分析器誤認為是只“握手”不進行“數據傳遞”來占用服務器的惡意流量，進行丟棄，與現有技術相比，防止了用于安全分析的有效外網流量的進一步減少，提高了安全分析的準確性。

在本申請的一種實現方式中，如圖3所示，外網交換機與多個lb集群和分流器連接，來訪的外網流量經過外網交換機導入lb集群，并被復制一份導入分流器，而每一分流器導出的流量，則再經過內網接入交換機導入到對應的分析器上進行安全分析，其中，分析器與內網接入交換機相連接，可以理解的是，分流器導出的流量經過內網接入交換機導入到分析器時，會與該交換機對應的業務流量產生帶寬競爭，若分流器導出的流量過大，便會造成內網交換機上聯端口擁塞，從而影響正常的業務流量傳輸，導致業務訪問超時或者不穩定。

為解決上述問題，在圖2所示實施例的基礎上，如圖4所示，本發明實施例提供的流量控制方法，還可以包括如下步驟：

s204，確定目標內網接入交換機。

其中，目標內網接入交換機可以是任一連接有分析器的內網接入交換機，還可以是需要進行上聯帶寬擁塞程度監控的內網接入交換機，本申請并不對此進行限定。

s205，獲得該目標內網接入交換機對應的上聯帶寬擁塞程度。

在一種實現方式中，可以根據icmp(internetcontrolmessageprotocol，網絡控制報文協議)協議，采用payload方法，來評估目標內網接入交換機對應的內網鏈路的流量延時。由于一般情況下請求的并發程度比較高，并且對于性能有要求的payload(有效載荷)不會超過64個mtu，因此，可以采用1個mtu或者64個mtu來表征傳輸小數據包和大數據包時，目標內網接入交換機對應的上聯帶寬擁塞程度。具體地，所述獲得該目標內網接入交換機對應的上聯帶寬擁塞程度的步驟，可以包括：

獲得該目標內網接入交換機對應的流量延時；

按照以下公式，確定該目標內網接入交換機對應的上聯帶寬擁塞程度：

其中，l為該目標內網接入交換機對應的上聯帶寬擁塞程度，n為預設時間窗口內的采樣點數，m為預設平滑點數，rttij為該目標內網接入交換機對應的流量延時，j為數據包大小的標識信息，rtt為預設初始值，與j相關。

更具體地，n受限于預設時間窗口，j為1mtu或64mtu，分別對應傳輸小數據包或大數據包時的情景，rtt為預設初始值，與j對應。payload方法中，如何獲得目標內網接入交換機對應的流量延時為現有技術，此處不再贅述。

具體的，m一般默認取為3，確保能夠過濾掉網絡抖動的情況。相應地，上述公式為：

需要說明的是，若l≥1，則l＝1，最終，l取值屬于[0,1]，可以理解的是，l的取值越接近0，表示上聯帶寬擁塞程度越重。

s206，根據上聯帶寬擁塞程度，確定目標采樣權重值。

其中，可以根據目標內網接入交換機對應的上聯帶寬擁塞程度，確定目標采樣權重值。

具體地，所述根據上聯帶寬擁塞程度，確定目標采樣權重值的步驟，可以包括：

獲得該目標內網接入交換機的內網南北上聯口的流量占比；

按照以下公式確定目標采樣權重值：

ws＝max(1-l,b)

其中，ws為目標采樣權重值，l為該目標內網接入交換機對應的上聯帶寬擁塞程度，b為流量占比，max(，)為求最大值函數。

其中，b一般是指實際流量與目標內網接入交換機的可用上聯帶寬的比值，舉例而言，若目標內網接入交換機的可用上聯帶寬為40g，實際流量為20g，那么b＝50％，可以理解的是，b可以通過sdn控制器直接從目標內網接入交換機上讀取，此處不再贅述。

s207，根據目標采樣權重值，基于通信會話，從目標流量中確定第二待丟棄流量，并丟棄第二待丟棄流量。

其中，第二待丟棄流量對應的數據為至少一個通信會話所包含的完整數據；目標流量為目標總流量或目標內網接入交換機對應的分流器導出的流量，即是說可以根據目標采樣權重值，基于通信會話，在外網接入交換機上或目標內網接入交換機上對用于安全分析的鏡像流量進行采樣限流，以防止流量過大影響了正常業務，此外，由于在采樣限流時也是基于通信會話的，保證了用以安全分析的流量數據也是以通信會話為粒度的，與現有技術相比，不會出現某個通信會話的數據不完整的情況。

在具體實現過程中，可以首先根據內網接入交換機相關的ip、資產記錄或者機架等信息，確定連接有分析器的內網接入交換機的位置，然后，在圖3的基礎上，如圖5所示，在同位置上添加評估測試服務器，利用該評估測試服務器應用s204至s206的方法，來確定目標采樣權重值，然后反饋給外網接入交換機或對應的內網接入交換機，以執行s207對應的采樣限流的操作。其中，評估測試服務器可以是物理主機，也可以是虛擬機，此處不作限定。

在圖2所示實施例的基礎上，圖4所示實施例提供的流量控制方法中，還可以針對任一與分析器相連接的目標內網接入交換機，獲得該目標內網接入交換機對應的上聯帶寬擁塞程度，然后，根據上聯帶寬擁塞程度，確定目標采樣權重值，再根據目標采樣權重值，基于通信會話，從目標流量中確定第二待丟棄流量，并丟棄第二待丟棄流量。如此，可以在分流器導出的流量經過內網接入交換機導入到分析器時，減少它與該交換機對應的業務流量產生的帶寬競爭，防止由于內網交換機上聯端口擁塞，影響正常的業務流量傳輸，導致業務訪問超時或者不穩定的現象發生。

相應于上述方法實施例，本發明實施例提供了一種流量控制裝置，與圖2所示流程相對應，如圖6所示，包括：

第一獲得模塊601，用于獲得目標總流量，其中，所述目標總流量為需要導流到分流器的外網流量的鏡像流量；

判斷模塊602，用于判斷所述目標總流量是否大于等于第一預設閾值；

第一確定模塊603，用于在所述判斷模塊的判斷結果為是的情況下，基于通信會話，從所述目標總流量中確定第一待丟棄流量；

第一丟棄模塊604，用于丟棄所述第一待丟棄流量，其中，所述第一待丟棄流量對應的數據為至少一個通信會話所包含的完整數據。

在圖6所示發明實施例提供的流量控制裝置中，可以先獲得需要導流到分流器的外網流量的鏡像流量，即目標總流量，然后判斷目標總流量是否大于等于第一預設閾值，若為是，便基于通信會話，從目標總流量中確定第一待丟棄流量，并丟棄第一待丟棄流量，其中，第一待丟棄流量對應的數據為至少一個通信會話所包含的完整數據。可以看出，應用本發明實施例提供的技術方案，能夠基于通信會話來丟流量，丟棄的都是一個個通信會話的完整數據包，這樣，在進行安全分析時，針對一個通信會話，不會因為只收集到“握手”相關的數據包，而被分析器誤認為是只“握手”不進行“數據傳遞”來占用服務器的惡意流量，進行丟棄，與現有技術相比，防止了用于安全分析的有效外網流量的進一步減少，提高了安全分析的準確性。

具體地，所述第一確定模塊603，可以包括：

第一確定子模塊，用于確定目標負載均衡集群；

第二確定子模塊，用于從目標鏡像流量中確定第一待丟棄流量，其中，所述目標鏡像流量為：所述目標總流量中導入所述目標負載均衡集群的外網流量的鏡像流量。

具體地，所述第二確定子模塊，具體可以用于：

按照預設比例，從目標鏡像流量中確定第一待丟棄流量。

具體地，所述第一確定子模塊，具體可以用于：

將導入的流量最大的負載均衡集群確定為目標負載均衡集群。

具體地，所述預設比例可以為1/num；其中，num為所述目標負載均衡集群占用的端口數量。

具體地，所述第二確定子模塊，具體可以用于：

從所述目標負載均衡集群占用的端口中確定目標端口；

將所述目標總流量中導入所述目標端口的外網流量的鏡像流量確定為第一待丟棄流量。

具體地，所述第一確定模塊603，具體可以用于：

確定目標虛擬網絡地址；

將所述目標總流量中虛擬網絡地址為所述目標虛擬網絡地址的流量確定為第一待丟棄流量。

進一步地，在包括第一獲得模塊601、判斷模塊602、第一確定模塊603及第一丟棄模塊604的基礎上，如圖7所示，與圖4所示流程相對應，本發明實施例提供的流量控制裝置，還可以包括：

第二確定模塊605，用于確定目標內網接入交換機；

第二獲得模塊606，用于獲得所述目標內網接入交換機對應的上聯帶寬擁塞程度；

第三確定模塊607，用于根據所述上聯帶寬擁塞程度，確定目標采樣權重值；

第二丟棄模塊608，用于根據所述目標采樣權重值，基于通信會話，從目標流量中確定第二待丟棄流量，并丟棄所述第二待丟棄流量；其中，所述目標流量為所述目標總流量或所述目標內網接入交換機對應的分流器導出的流量；所述第二待丟棄流量對應的數據為至少一個通信會話所包含的完整數據。

在圖6所示發明實施例的基礎上，圖7所示發明實施例提供的流量控制裝置中，還可以針對任一與分析器相連接的目標內網接入交換機，獲得該目標內網接入交換機對應的上聯帶寬擁塞程度，然后，根據上聯帶寬擁塞程度，確定目標采樣權重值，再根據目標采樣權重值，基于通信會話，從目標流量中確定第二待丟棄流量，并丟棄第二待丟棄流量。如此，可以在分流器導出的流量經過內網接入交換機導入到分析器時，減少它與該交換機對應的業務流量產生的帶寬競爭，防止由于內網交換機上聯端口擁塞，影響正常的業務流量傳輸，導致業務訪問超時或者不穩定的現象發生。

具體地，所述第二獲得模塊606，具體可以用于：

獲得所述目標內網接入交換機對應的流量延時；

按照以下公式，確定所述目標內網接入交換機對應的上聯帶寬擁塞程度：

其中，l為所述上聯帶寬擁塞程度，n為預設時間窗口內的采樣點數，m為預設平滑點數，rttij為所述流量延時，j為數據包大小的標識信息，rtt為預設初始值，與j相關。

具體地，所述第三確定模塊607，具體可以用于：

獲得所述目標內網接入交換機的內網南北上聯口的流量占比；

按照以下公式確定目標采樣權重值：

ws＝max(1-l,b)

其中，ws為所述目標采樣權重值，l為所述上聯帶寬擁塞程度，b為所述流量占比，max(，)為求最大值函數。

需要說明的是，在本文中，諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。

本說明書中的各個實施例均采用相關的方式描述，各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于裝置實施例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關之處參見方法實施例的部分說明即可。

以上所述僅為本發明的較佳實施例而已，并非用于限定本發明的保護范圍。凡在本發明的精神和原則之內所作的任何修改、等同替換、改進等，均包含在本發明的保護范圍內。