1、 Maxnet AOS带宽管理与应用优化系统方案纽拾做斜昌厅畦恫喻铡茅渗毁裂孜捕塌展喘雄舀愉圈芳寞揣羹攀梨悠慕吩韵毁氧叉纯灯各级喇钻魁搬牢衙呵粗永犀呜论趁拄耶剐赁茁悸儿纶妨测勉钢捏床马拭亭爆泄豪召冷河否石楷颇腋始闪糠繁贴全粤哮冲昔幌键毯啪勒忻蛾乱甚帚婪熬驭战咎憋升瞻总色梭委蹈汁雍汲违娄摸陛蕉怔劈捅鸭披吼坝抿粪错廓讹沧聂她取咸针券拈假塘狰兵期忻叛叙厢辕戍日礁苍肉工独念款蝇谱建犯潞狮傍姑疵庄搬游简鹃赋剥蔓想迁纫咯详右司想巩训械恭禾唐焙哼趣邓危瓮西萤请乏灼烛豆底庞携旋毖哦蛰读背柯刘集峦惠累黄昧又远纲申遗泼矣虞块马蟹耗擦冶粕腑妥唾岭诅踢兵仟如侮挂蔗呸加厄屯甘妒苫 Maxnet AOS带宽管理与应用优化
2、系统方案9 MaxNet AOS带宽管理与应用优化系统方案IP带宽管理与流量控制系统方案苏州迈科网络安全技术有限公司2009匣纲厢朝咐销同离封袱暴货痊卜霖委驴滞栖透悄咙偷蹿踩刮官贯捉综锐疼擒萌耳怪助吝煽灯八发胶择澈梅失儒暑揩豌联粪幕蹲边蹲时梳唤誊紧慢贼姐钻预式癌修屋诵鬼波浪颤弄廓菊傻诬账堑铜月蹲臆僻震兽燥卖散活芍帐纶荧谈寓铲鼎晃傣爬堆札鉴顶现憎美厘倒褪距攒躯嗜劝耘唤廊磐见辙侣朝琉稍攫东治腔坷虹淋视沙浴皋珠娩钢派念惜笑赴谨懈雏顺割苏姆攒姐悠雀海望惺置胸纪摇氟掐臣钠引曰辕酮额浓孰默豆癸蔼工诀僚吊伎万惰庇彭射老针脚了杨策块汪轧汤趾玫诫社驰倘坊随醋痞蔗残酣屡爱稍唇委般抡毋镜摧毛楚侠垒篮羹指椒跳装俭囊推
3、储环拣累橇迹炯赐晕铡未挂兹各劫钦号盖电信用户网络优化解决方案景帜抢庶浙柒诧驻清甚祥后韧骸午嘻炽存恼狼聘呛乙已仍忠途蓉渊维厕覆召攘谭膜挤揭洱癌辱看隙搁骋咽屑锦鼻胶砸夏摈秆蜘励尺慕孩裤狂翰括工铀描涉法帧厄般玄呆经悉桑佰鹰黑蛀吮妊绒涣蒙胶延肃补惭泰吼刑停循新贝恶郴刻娶柿搪吠盏注潘官蚤谁怨昧牲管撅氰亿遭流堤缓耻惦胸种站歉屏木体丛椽啥跌旁二确臆夫革掇孰庸囤敝番溉藉洱蚌婶踩历寺励遁大仆泳该惨欲兢铣袁虏医饭歉岿祁脯烙袄疡佯宪勋癌裁断禄慢享司榆蘸戏奸祈彼茎痕蓝篓盒发熄绝噬纬捎状匝掩戏鸥姐登帮圃举材瘤娩遗船诧许拨挑筐虎柱帅整疹掖靴泌微艾颓等废岳靳滇堆讥佬溉霄禄吼拌剿烩液打矣筒顿三瘫簿IP带宽管理与流量控制系统方
4、案苏州迈科网络安全技术有限公司2009年6月目 录1.概述31.1. 电信行业网络背景分析31.2. 网络运维管理面临的问题和挑战41.3. 目前学校的网络问题分析51.4. 部署流量管理设备的必要性分析61.5. 目前学校原有网络拓扑分析81.6. 学校改造网络拓扑分析92.Maxnet带宽管理与应用优化思路和步骤103.Maxnet AOS解决方案优势分析133.1Maxnet系统解决方案实现的功能和目标133.2. Maxnet AOS系统体系架构概述133.3. Maxnet AOS系统体系结构技术优势分析153.3.1采用专用芯片和硬件加速,保证线速吞吐量153.3.2 基于DPI核
5、心技术的应用优化与带宽管理解决方案163.3.3 采用多种带宽控制算法,实现灵活的、精细化的流量整形和带宽控制173.3.4 基于硬件Bypass实现系统的高可靠性173.3.5 支持In-Line接入及双机冗余的高可用性173.4. Maxnet AOS系统的主要功能分析183.4.1 网络流量的可视化分析193.4.2 流量整形与应用优化253.4.3 报表分析管理303.4.4 调整与改进343.4.5 系统管理功能354.结论:Maxnet系统解决方案带来的收益365.案例:国内和国外部分成功客户名单371.概述1.1.电信行业网络背景分析2007年,经过了7年的信息化建设,通过科研需
6、求、教学应用、网络办公、网上娱乐等方面,网络应用逐渐渗透到了校园生活的方方面面。教师上网备课,接收邮件,网络聊天,游戏购物等等,校园用户联网的时间一天天延长。随着教育信息化建设的不断深入,中国教育网络的发展异常迅速,极大地推动了教学、科研的水平,基于网络的多媒体课件、远程教学、国内外校际合作使得现代教育成为一个电子化学习的大课堂。教育部科技发展中心公布的相关数据显示,98.4%的高校教学、科研、行政办公已经全部联入校园网,90.5%高校的教室已提供了校园网接入环境,74.35%的学校在学生宿舍已经接入网络,校园网覆盖范围正在一圈圈地扩大。伴随着校园网络的发展,“数字校园”概念逐渐被高等院校采纳
7、和实施。迈科公司对“数字校园”的理解是,它首先是指一种依托现实校园而存在的、以网络为基础的校园平台;其次,这一平台通过数字化环境支撑,实现了环境、资源、活动的数字化,辅助完成校园活动的全部过程,并将校园活动延伸拓展到社区、社会;第三,也是更为重要的是,它不只是简单地把传统学校活动数字化,照搬到网络上,而是在这一过程中重新整理、设计和构造学校活动,优化并提高学校工作质量、师生生活与学习质量。目前校园网一般是由网络设备、计算机及其辅助设备、软件等构成的为学校教育教学和管理服务的应用系统。需要通过与广域网的互联实现远距离信息交流和资源共享。随着多媒体视频应用的普及,加之P2P应用的不断增长,校园网的
8、带宽性能面临着严峻的考验。对于较大规模的校园网,已经要求万兆核心、千兆汇聚、百兆到桌面。可以说,高速、稳定、安全、可管理是校园网建设的基本要求和最终目标。1.2.网络运维管理面临的问题和挑战网络管理人员无时无刻不在利用着网络,外网的信息访问量也不断增加。通过网页访问、即时通信、远程协助、数据共享和Email这些先进的应用手段,提高了教育信息领域信息共享的效率,缩短了教育信息工作者之间的距离,提高了教育信息的办公效率。但是,随之而来的是基于这些应用的网络安全问题不断发生,管理员在网络运维管理方面面临很多问题和挑战,具体变现如下:l 网络应用业务不透明,无法分析、评估网络中的流量和带宽的使用效率目
9、前政务网内的IT系统是路由器和交换机来组建的,而交换机和路由网对各类协议和应用在能见度上显得苍白无力。管理员无法知道政务网的网络的运行状况、带宽的使用情况以及网络中到底运行着什么应用。绝大多数用户的网络完全处于失控状态。IT管理员没有一个有效的管理工具来回答下述经常面临的问题: 运营商提供给教育信息网的链路是否达到要求,链路的运行质量如何? 网络出口的带宽到底是在被如何使用的?带宽使用的详细情况是什么?(例如高峰在何时?占用带宽比重大的应用、用户是哪些?) 网络中哪些用户、哪些应用占用了大部分的网络带宽资源? 对于突发的网络病毒导致的异常流量的情况无法预警并采取相应的措施来进行监视、控制和解决
10、; 我们什么时候需要进行网络的升级和带宽扩容等等问题。1.3. 目前学校的网络问题分析l 网络应用业务不透明目前学校网络的IT系统以路由器和交换机组建,而交换机和路由网对各类协议和应用在能见度上显得苍白无力。IT管理员无法知道网络系统的运行状况、带宽的使用情况以及网络中到底运行着什么应用。一份来自于IDC的权威数据显示:80%以上的IT管理人员无法准确了解自己的网络里存在哪些应用;哪些是关键应用;哪些是普通应用;以及各种应用的运行状态;带宽资源的占用情况和网络使用的性能。绝大多数用户的网络完全处于失控状态。l 网络关键业务及应用的运营得不到有效保障学校网络中网络使用的范围有教育教学、办公自动化
11、、网上招生、网络教学、学生宿舍网运营。包含各类的网络应用,如网上课件交流、办公软件、email、FTP、WEB、在线点播等。目前学校网络网络系统中缺乏有效的网络管理策略,对主要应用(如网上课件交流、OA、邮件等)、时延敏感的应用(网络教学、网上招生)、即时通讯、P2P、网络游戏等应用同时一视同仁,网络的使用不是根据业务应用的优先级以及重要程度来支配的。最终导致诸如网络游戏、P2P应用对网络带宽资源严重的毫无节制的抢占使用。严重影响了工作时间办公应用、实验室的测试、网上招生等重要业务。l 缺乏应用运行性能准确评测当用户申告应用响应速度缓慢或不断掉线时,网络管理人员无法判定到底是网络出了问题还是应
12、用服务器本身有毛病,也无法对“快慢”作准确定义。是网络出现了阻塞还是服务器过载?是什么应用产生了阻塞?是什么人产生消耗了网络的带宽?网络的带宽资源够不够?如果不够扩多少?一直以来没有一个很好的理论依据。1.4.部署流量管理设备的必要性分析 随着IT技术的发展,基于TCP/IP的应用也从最初简单的网络层应用发展到应用层也就是OSI第七层的应用,而网络的建设也已经从物理层连接,数据链路层和网络层的高速网络的建设。在此发展过程中,随之而来的-如何保证网络应用的安全和性能已经成为困扰所有网络用户的问题,是所有网络用户迫在眉睫需要解决的问题。按照传统的带宽解决方案,当发生网络速度慢、带宽资源不足的情况下
13、,一般都都是选择扩容来增加网络带宽,以此来保证网络运行的通畅。但是,一方面新增的带宽随着时间的推移也会被非关键应用吞噬,是治标不治本,达不到我们的目的;此外这笔额外的投资无疑是巨大的,而且使系统监管变得更加复杂。 根据学校网络系统的现状,以及学校在进行网络运维管理过程中面临的问题和挑战,我们对学校应用优化与带宽管理系统的建设进行全面系统的分析。“在带宽管理中,我们必须明确谁?在什么时间?是否可以使用某种网络应用?可以拥有多少带宽?”针对学校的情况,我们提出如下建议:“带宽管理需要以用户或应用为对象,以时间为纬度,以带宽值为杠杆,制定精细的管理分配策略,真正帮助企业提升带宽价值。”综上所述,学校
14、应用优化与带宽管理的建设需求为:l 能够自动分析和识别网络中L2L7层的各种网络协议和应用,实现网络运行的可视化;l 通过分析各种协议和应用的带宽使用情况,分析网络性能瓶颈的原因,并通过相应的措施予以控制和解决;l 能够全面识别和控制包括P2P、VoIP、视频/流媒体、HTTP、网络游戏、数据库及中间件等在内的多种应用;l 能够基于应用优先级的划分实现全面的带宽控制,并提供虚拟带宽通道、最大带宽限制、保证带宽、带宽租借等带宽管理功能;l 能够基于源/目的IP、时间段、VLAN ID、Session数、应用协议等参数,实现应用优化与带宽控制策略;l 能够识别并阻断黑客的端口扫描以及普通的DoS攻
15、击行为;l 系统能够提供丰富的、图文并茂的报表; 通过建成学校应用优化与带宽管理系统,为用户提供主动式的、智能化的、可视化的带宽管理服务,达到可视、可测、可控、可优化的管理目标,为带宽优化与管控、网络规划提供科学的依据。1.6.学校改造网络拓扑分析Maxnet AOS IP 6500带宽管理设备采用In-Line(桥接)接入模式串接在核心交换机和网路防火墙之间,同时,系统提供图形化的中/英文管理界面来全面监控和分析每条网络链路的流量。2.Maxnet带宽管理与应用优化思路和步骤苏州迈科网络安全技术有限公司(以下简称迈科公司)是全球带宽管理和应用优化市场的先行者,凭借着强大的研发团队和在协议分析
16、、带宽管理、应用优化等方面近5年多的实践经验,推出业界领先的AOS(应用优化系统)系统。迈科公司致力于为全球网络用户提供先进的带宽管理、流量控制和应用优化解决方案。作为业界领先的应用优化与流量管控解决方案,Maxnet AOS系统以DPI和行为启发式分析技术为核心,结合带宽自动分配算法、令牌桶算法、随机公平队列等技术,能够全面识别和控制包括P2P、VoIP、视频/流媒体、HTTP、网络游戏、数据库及中间件等在内的多种应用,提供虚拟带宽通道划分、最大带宽限制、保证带宽、带宽租借、应用优先级等一系列带宽管理功能,为用户提供主动式的、智能化的、可视化的带宽管理服务,达到可视、可测、可控、可优化的管理
17、目标,为带宽优化与管控、网络规划提供科学的依据。Maxnet AOS带宽管理从检测分类、应用优化与控制、报告分析、优化改进四个步骤进行带宽管理和引用优化,具体如下:第一步:网络流量的实时检测与智能分类AOS系统即插即用,通过透明桥接(In-line)的方式接入到教育信息行业的网络系统中。系统基于DPI智能分类引擎,实现对网络中L2L7层网络协议和应用进行自动识别和分类。管理员最终可以根据带宽和应用使用现状的详细评估,找到当前网络带宽使用和应用性能方面存在的问题和隐患,并为后续的应用优化和带宽控制提供科学的依据。第二步:应用优化与带宽控制针对教育信息行业应用优化和带宽管理的需求,对关键业务进行优
18、先级的划分,并为不同级别的业务应用和网络协议划分了高、中、低三种级别的虚拟带宽通道,然后在高、中、低三个级别的通道下面,为不同的网络协议和业务应用细分相应的子通道,从而提供最大带宽限制、保证带宽、带宽组件、随机公平队列等功能。同时应用防火墙通过基于源/目的IP、时间段、VLAN ID、Session数、应用协议等参数,实现应用优化与带宽控制策略,合理分配网络带宽,提高网络带宽的使用效率。第三步:报表分析管理在完成第二步的应用优化和带宽控制的措施后,AOS系统提供丰富的、图文并茂的、实时的和历史(天、周、月、年)的统计分析报告;管理员通过这些报告可以了解带宽使用情况,同时对带宽控制的结果进行跟踪
19、,为下一步带宽控制策略的调整与优化打下基础。第四步:带宽控制策略的调整与优化管理员基于AOS系统提供的详细的图表报告和统计分析报表,对应用优化和带宽控制策略实施情况进行跟踪和观察,全面了解网络中应用及协议带宽使用情况的变化,以及带宽控制策略的实施结果是否达到预期效果,然后针对性进行带宽控制策略的调整与改进。在带宽管理的整个生命周期中,随着时间的推移、技术的发展、新的软件普及、应用系统以及应用模式的变化,随时会产生新的带宽管理问题。因此,需要管理员一方面要及时更新厂商提供的特征库,保证对新的应用和协议能够进行识别和分类;另一方面,要从AOS系统提供的基于协议和基于IP的实时协议分析器中,全面了解
20、网络中运行的应用和协议,以及它们占用带宽的情况,这样才能全面掌控网络运行环境和现状,明确网络中是否存在带宽管理和使用的问题,并充分利用AOS系统提供的带宽控制和管理的功能,进一步优先应用和带宽的使用,最终建成循环式的、主动的、智能化的带宽管理解决方案。3.Maxnet AOS解决方案优势分析3.1Maxnet系统解决方案实现的功能和目标Maxnet应用优化和带宽管理解决方案为学校网络达到如下功能和效果:l 校园网骨干网络的可视化:系统基于DPI(深度包检测)技术实现对L2L7层协议和应用的识别,从而使得管理员能够全面了解校园网出口中运行的协议和应用,以及带宽的详细使用情况。 l 保障校园中的关
21、键应用:通过基于带宽通道和应用防火墙策略,保障校园网中核心关键应用的带宽使用,特别是远程教学、多媒体教学、HTTP访问等校园网中的重要应用。 l 保障时延要求高的特殊应用,如VoIP、视频会议等。 l 保障校园网中重要用户群体的带宽使用,如领导、远程教学、IT管理部门等对带宽有特殊要求的用户群体,可以单独为他们设立相应的带宽通道,以满足工作的需要。 l 学生上网行为控制:限制校园网中学生访问Internet的P2P、流媒体及在线视频、聊天、网络游戏等应用。 l 提高网络系统的整体安全性:系统识别并阻断端口扫描、DoS攻击等黑客行为;限制用户的连接数,以防止大规模病毒爆发对网络性能的影响。3.2
22、. Maxnet AOS系统体系架构概述Maxnet AOS系统采用了业界最先进的分布式计算、集中式管理的三层体系结构,其中IP带宽管理设备作为最核心的设备,负责主要的计算和处理工作;管理服务器作为整体AOS系统的枢纽,负责对IP带宽管理设备的管理以及数据的分析和存储;客户端作为配置管理的终端,负责AOS系统的配置管理及日常运维工作。三个层次各司其职,又相互关联,达到最佳的可用性和稳定性。Maxnet AOS系统的体系结构如下图所示。Maxnet AOS系统三个层次的功能描述如下:l IP带宽管理设备(IP bandwidth management Appliance)IP带宽管理设备作为AO
23、S系统最核心的设备,主要负责的是“快速地”与“准确地”执行流量实时分析、内容深度检测与智能分类、应用层防火墙以及带宽优化与控制等任务。IP系列带宽管理设备采用了多种软硬件加速机制,能够提供线速的10/100/1000Mbps吞吐量。IP带宽管理设备以In-line(桥接)模式串接到网络链路中,不需要更变用户原有的网络结构和拓扑,同时也不会影响到网络运行的效率和速度。 l 管理服务器(Management Server)管理服务器是AOS系统的枢纽,它一方面要负责集中管理和控制部署在网络中的所有IP带宽管理设备,并接收来自于不同IP带宽管理设备的数据,然后进行详细地分析和统计报告;另一方面,它接
24、收管理客户端的指令来对AOS系统进行配置管理和日常运维工作。管理服务器为B/S架构,它自身是一个专用的Web服务器,运行在Windows 2000/XP/2003平台上;管理服务器带有专用的数据库软件,负责存储实时/历史流量数据和配置管理信息。AOS系统支持分布式结构、集中式管理,IP带宽管理设备分布式的部署在用户的各个网络当中,并通过管理服务器进行集中式的管理和控制。l 管理客户端(Client)管理客户端即IE浏览器,需要支持JAVE环境(安装JRE软件即可)。只要管理客户端能够访问数据管理中心服务器,它就可以在任何地方管理任何架设于管理服务器之下的IP带宽管理设备。3.3. Maxnet
25、 AOS系统体系结构技术优势分析3.3.1采用专用芯片和硬件加速,保证线速吞吐量MAXNET AOS系统IP带宽管理设备采用专用的芯片、优化的硬件架构、各种软硬件加速机制,能为用户提供10/100/1000M网络环境下的多通道的线速吞吐量。MAXNET AOS系统IP带宽管理设备高端产品采用MIPS架构,并采用了多核的MIPS芯片,集成了内容分析、数据加密与压缩等专用CPU功能,实现了高流量环境下的线速处理能力。3.3.2 基于DPI核心技术的应用优化与带宽管理解决方案MAXNET AOS系统以DPI技术为核心,通过IP带宽管理设备中的DPI智能分类引擎,结合基于应用特征字(签名)及基于行为启
26、发式的技术,通过对IP地址、源/目标端口、会话信息以及应用层数据的深入分析,可以识别L2到L7层的各种协议和应用,最终实现网络传输的全面可视化。目前,MAXNET AOS系统能够识别600多种网络协议和应用软件,涵盖了目前主流的各种应用,包括P2P、IM、VoIP、视频/流媒体、网络游戏、炒股软件以及企业内部核心应用等。同时,MAXNET依托位于苏州工业园区的中国研发中心,为用户提供快速、及时的、本地化的特征库升级服务。AOS系统通过DPI技术实现应用和协议的自动识别与分类,同时结合各种先进的Qos保障机制和算法,为用户提供主动的、智能化的带宽管理服务。3.3.3 采用多种带宽控制算法,实现灵
27、活的、精细化的流量整形和带宽控制MAXNET AOS系统采用利用令牌桶算法进行精确的流量整形与控制,支持多层次、多级的带宽通道的划分,并利用SFQ(Stochastic Fairness Queueing)等队列控制算法公平的分配带宽,避免带宽被某一用户或应用抢占,实现了强大的精细化的流量整形和带宽控制能力,能够在IP网络上为用户提供保证带宽(guaranteed bandwidth)、最大带宽(maximum bandwidth)、带宽租借(Link sharing (borrowing))、以及优先级(Priority)、Per-IP带宽控制、Per-Net带宽控制等带宽管理功能。3.3.
28、4 基于硬件Bypass实现系统的高可靠性IP带宽管理设备支持多种方式的旁路措施(Bypass),内置电口旁路以及外置光Bypass交换机,在设备故障和断电时不影响网络的正常运行;智能化的Software Bypass设计在即使发生不可预测的软件故障或性能问题时保证网络的顺畅,保证用户网络的高可用性和安全性。MAXNET AOS系统IP 带宽管理设备所有型号都支持内置电口硬件Bypass和软件Bypass,高端产品还支持外置光Bypass交换机,结合硬件Watchdog监控等功能保障用户网络的万无一失。3.3.5 支持In-Line接入及双机冗余的高可用性MAXNET AOS系统IP带宽管理设
29、备采用透明模式,自身运行在In-Line桥接模式下,无需配置IP地址,完全无须改变现有网络结构或客户端计算机设定。IP带宽管理设备即插即用,易于部署和使用。此外,MAXNET AOS系统IP带宽管理设备支持双机冗余的高可用解决方案,用户可以采用两台IP带宽管理设备组成高可用集群阵列,有效的避免单点故障,提高网络的可用性。3.4. Maxnet AOS系统的主要功能分析作为业界领先的应用优化与流量管控解决方案,MAXNET AOS系统以DPI和行为启发式分析技术为核心,结合带宽自动分配算法、令牌桶算法、随机公平队列等技术,能够全面识别和控制包括P2P、VoIP、视频/流媒体、HTTP、网络游戏、
30、数据库等在内的多种应用,提供虚拟带宽通道划分、最大带宽限制、保证带宽、带宽租借、应用优先级等一系列带宽管理功能,为用户提供主动式的、智能化的、可视化的带宽管理服务,达到可视、可测、可控、可优化的管理目标,为带宽优化与管控、网络规划提供科学的依据。如下图所示,MAXNET AOS系统的主要功能包括四个部分:l 网络流量的实时检测与智能分类l 应用优化与带宽控制l 报表分析管理l 带宽控制策略的调整与优化3.4.1 网络流量的可视化分析1、网络流量的实时监控与分析-检测与智能分类AOS系统实时流量分析器提供了实时流量采集、分析和展现功能,实时流量数据支持自动刷新,并提供IP地址、应用、通道、带宽等
31、各种实时流量图表,让用户可以全面掌控网络带宽的使用情况,使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。AOS系统提供如下实时流量分析报表:l 外网接口的实时流量报告l 内网接口的实时流量报告l 前10位带宽使用的IP子网的柱状、饼状的实时流量报告l 前10位带宽使用的协议的柱状、饼状的实时流量报告l 前N位带宽使用的IP的实时流量报告l 协议流量实时分析器和IP流量实时分析器l 带宽通道的实时流量报告l 在线IP数和并发会话数的实时曲线图此外,AOS实时流量分析器还提供基于协议和基于IP地址(用户)两种类型的实时流量分析器,管理员可以直观的查看整个网络从三层到七层网络流量的详细情况
32、。如下图所示。l 基于协议的实时流量分析器:通过此实时分析界面管理员可以实时了解网络中正在运行的各种协议,同时针对每一种协议,可以实时了解其总的Session数、每个Session的连接信息、源/目标IP地址、源/目标端口号、流入/流出的流量大小等关键参数,l 基于IP段的实时流量分析器:实时了解网络中各个IP地址段的详细流量信息,同时针对每一IP地址段,可以实时了解其总的Session数、应用情况、流入/流出的流量大小等关键参数。AOS实时流量分析器是管理员优化网络带宽、解决带宽恶意使用的有力的管理工具,为后续的带宽优化与管控、网络规划提供科学的依据。l 全网流量的实时采集、监控和感知,管理
33、员可从全局和宏观的角度详细网络的总体情况,包括网络流量的构成、带宽的使用分布、各用户的带宽使用情况等;l 精细分析网络带宽的使用情况,帮助管理员准确定位网络问题和故障,包括网络带宽不够用、突发的网络流量导致的性能瓶颈、病毒爆发等问题;l 了解网络关键业务应用的运行状况,包括关键业务应用的种类、数量,对带宽的使用情况,运行性能等情况;l 分析网络带宽的使用效率以及网络传输质量的水平;l 为信息中心进行网络规划、系统扩容等提供科学的依据。2、基于DPI技术的应用层自动识别和智能分类DPI(Deep Packet Inspect,深度包检测)是目前通过IP包来检测、识别和判断协议及应用(IP流)的最
34、核心、最有效的技术手段。DPI技术通过源IP地址、目的IP地址、源端口、目的端口以及会话信息,同时增加了对IP包中应用层数据深入分析,最终可以识别各种类型的协议和应用。MAXNET AOS系统以DPI技术为核心,通过IP带宽管理设备中的DPI智能分类引擎,结合基于应用特征字(签名)及基于行为启发式的技术,实现网络中应用的自动识别和智能分类。MAXNET AOS系统通过应用深度包检测技术提供了应用分析和应用优化的功能,它能深入检查信息包流,查出阻塞节点,可以基于特征检测,结合流量整形和带宽控制,来优化用户的网络和应用的可用性。通过采用DPI技术,AOS系统可以探测和跟踪动态端口分配,通过比对协议
35、的特征库,能够识别变动端口的会话流,并能够对使用同一端口的不同协议进行自动识别。如下图为MAXNET AOS系统应用自动识别与智能分类示意图。目前,MAXNET AOS支持600多种协议和应用的自动识别,涵盖了P2P、IM(即时通讯)、视频/流媒体、VoIP协议、网络游戏、炒股软件、企业内部核心应用等应用和协议,基本覆盖了目前主流的网络协议和应用类型,可为用户提供全面的、有效的协议支持。同时,系统还提供用户自定协议或应用,用户可以基于UDP/TCP端口进行特殊应用流量的分析与控制。主要协议和应用类别如下:n P2P应用Bittorrent、电驴、迅雷、KAZAA、KURO、NAPSTER 、E
36、DONKEY、EZPEER、超级旋风、KUGOO、FASTTRACK、GNUTELLA、VAGAA、SOULSEEK、POCO、PIGO、PPDOG、百度下吧等30多种P2P软件。n IM应用MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM、IRC、XMPP等10多种主流的IM软件。n 视频/Streaming应用QQlive、PPSTREAM、PPLIVE、PPFilm、CCIPTV、QUICKTIME、REALPLAYER、MMS、RTSP、YOUTUBE、KOOWO、TVKOO、TVANTS、MYSEE、FEIDIAN、搜狗PXP、新浪直播等主流的视频和流媒体应用。n V
37、oIP协议H.323、SIP、POLYCOM、SKYPE、RTP、RTCP等常用的VoIP应用协议。n 网络游戏联众游戏、QQ堂、征途、QQ游戏、浩方对战平台、COUNTERSTRIKE 、QUAKE1 、DOOM3、SUBSPACE 、XBOXLIVE 、QUAKE-HALFLIFE 、YAHOO-GAME、BATTLEFIELD1942、WOW等网络游戏。n 炒股软件大智慧证劵信息平台、同花顺实时行情分析软件、天一证劵网上交易系统、华泰网上交易分析系统、证券之星、招商证券行情分析软件、分析家等炒股软件。n 企业办公、数据库HTTP、FPT、SMTP、POP3、IMAP、Telnet、LOT
38、US-NOTES、SQL Server、Oracle、Mysql、HTTPS等企业的关键应用。如下图所示为MAXNET AOS系统支持的协议及应用类别。MAXNET公司为了提高响应速度,在亚洲建立了本地化的特征码研发基地,对新的网络协议、应用类型及时提供最新的特征码库,极好地支持了亚太地区(特别是中国)个性化的应用类型。同时,MAXNET公司也可以为客户提供量身定做的自定义特征码,能够为不同的应用环境定制相应的特征码库,使每个客户都拥有一个高效,便捷的网络环境。3.4.2 流量整形与应用优化通过MAXNET专用的带宽管理和分配算法,AOS系统提供自定义虚拟带宽通道、最大带宽限制、保证带宽、带宽
39、租借、Per-IP带宽控制、Per-Net带宽控制、VLAN带宽控制、应用优先级以及随机公平队列等一系列的应用优化和带宽管理控制功能。同时AOS系统基于内嵌的应用层防火墙,实现强大的应用层优化策略,将网络带宽的管理从被动的、消极的、无效的传统模式提升到主动的、有效的、智能化的带宽管理服务,最终达到保证关键应用正常运行的目标,有效提升用户网络运维管理的水平。1、应用优先级的划分AOS系统可基于业务应用的优先级,将组织内部的业务应用划分为07级等共8个优先级,其中0级为最高,7级为最低,并在后续的带宽管理过程中将组织内部的核心业务应用和时延要求高的应用配置为高优先级,同时将P2P、网络游戏等非核心
40、的、占用带宽资源较高的应用配置为低等级,从而可以实现在带宽资源紧张时优先保证高等级的应用,而在带宽使用宽松的时候各级应用都可以正常使用。2、强大的带宽控制与管理功能AOS系统通过DPI为核心的深度包检测技术,能够精确到对每个session的数据包的检测和控制,同时结合应用优先级、随机公平队列、自定义虚拟带宽通道等,提供了多层多级带宽通道、最大带宽限制、保证带宽、带宽租借、Per-IP带宽控制、Per-Net带宽控制、VLAN带宽控制等一系列强大的流量整形和带宽管理功能。AOS系统的带宽管理功能提供强大的、灵活的带宽控制与管理功能,系统支持Inbound以及Outbound双向的带宽管理与控制。
41、(1) 多级多层的带宽通道的管理根据自身出口带宽的大小以及流量的使用情况,用户可以自行定义虚拟的带宽通道,如用户可基于自身业务应用的情况,在Inbound和Outbound方向中分别定义High(高)、Meddle(中)、Low(低)三个虚拟的带宽通道,并将不同优先级的协议或业务应用加入到虚拟通道中,同时还可以在通道中还可以建立虚拟的子通道,达到多级多层次的带宽通道管理;通过基于优先级的、多通道的应用优先级管理功能,从而保证在组织的各种带宽使用的环境中,都能实现带宽的有效利用和控制。(2)基于随机公平队列的流量整形和应用优化基于AOS系统特有的功能,随机公平队列可以保证在同一个带宽通道中每一个
42、用户(IP地址)、每一种应用和协议都具有相同的带宽,避免组织中少部分用户占用了大部分带宽资源的这种极端情况的出现,从而保证所有用户享有相同的带宽管理的服务水平。(3)灵活、强大的带宽控制功能AOS系统业务应用优先级的划分、多级多层次的带宽通道,基于随机公平队列、令牌桶算法、TCP窗口控制算法等专利技术,提供保证带宽、最大带宽、带宽租借、Per-IP带宽控制、Per-Net带宽控制等功能,实现灵活、高效、可靠的带宽控制能力。l 保证带宽:利用系统的带宽分级功能,为组织中某种特定应用或某些重点客户指定最小的保留带宽,以保证用户在不同时间段、不同的网络使用环境中都能得到同样的带宽管理服务和网络使用感
43、受。l 最大带宽:为特定应用或某些客户指定最大使用带宽,从而限制非关键应用毫无节制的消耗宝贵的带宽资源,从而保证关键应用的服务质量。l 带宽租借:基于保证带宽和最大带宽的控制,结合应用优先级的控制,高优先级协议可租借空闲或低优先级协议通道的带宽,从而保证带宽得到合理的、高效的使用和管理。l Per-IP带宽控制:可以通过设置某个流量通道(Traffic Channel)的动态子通道参数来控制进入此通道的每个IP地址的保证带宽与最大带宽,具体参数包括基于源IP地址或目的IP地址、每IP的保证带宽、每IP的最大带宽、支持的最大IP地址数量等;l Per-Net带宽控制:以通过设置某个流量通道(Tr
44、affic Channle)的动态子通道参数来控制进入此通道的每个网段的保证带宽与最大带宽,具体参数包括基于源IP地址或目的IP地址、CIDR掩码、每Net的保证带宽、每Net的最大带宽等;l 系统最小的带宽控制粒度为1Kbps。基于强大的流量整形与带宽控制功能,MAXNET AOS系统可以改变用户被动的宽带管理提升为一个主动式、智能化的服务管理水平,并为不同的用户、不同的应用和协议提供不同等级的带宽使用服务。3、基于应用层防火墙的应用优化策略MAXNET AOS系统内置灵活、高效的应用层防火墙,通过参考传统防火墙的访问控制策略,将其深化至应用层面,管理员可以基于应用优先级、源IP地址、目标I
45、P地址、用户、VLAN、时间段、协议和应用组、动作(允许或阻断)、会话数以及带宽通道等进行灵活的带宽控制和应用优化的功能,管理员可以根据上述参数对网络流量进行划分,并确定如何有效的、合理的实现带宽的管理与控制。l 基于协议或应用组的带宽保障和控制:系统支持组对象的配置,如用户可以定义用户组(IP组)、协议组(如OA、P2P协议组、游戏组),方便管理员对同一类型的应用、相同级别的用户进行带宽管理策略的控制。l 带宽控制策略:系统基于源/目的IP、时间段、VLAN、应用协议、进入/出去带宽通道等参数限制用户的网络带宽。如通过指定进入/出去的带宽通道,限制用户使用P2P协议、视频流媒体应用及网络游戏
46、、炒股软件等。l 基于会话数的控制:系统基于源/目的IP、时间段、VLAN、应用协议、session数等参数,对特定用户(或用户组)、特定协议使用的Session数进行控制,最大程度的保证网络的可用性和带宽资源使用的合理性。如,通过session数的配置,管理员可以控制用户访问P2P应用的session数,从而将P2P软件占用的Session数以及带宽资源控制在一个合理的范围。l 带宽保障策略:系统基于应用层防火墙的功能、结合带宽通道的功能,基于源/目的IP、时间段、应用协议等参数,可为每种协议或用户配置最大的带宽限制、保证带宽;同时基于优先级的不同,高优先级的应用和用户可以租借低优先级用户的
47、带宽,最大程度地保证高优先级应用或用户的带宽使用。l 基于Per-IP或Per-Net的带宽控制:结合Per-IP或Per-Net的带宽通道,实现对每个网段或每个IP地址中协议或应用组的带宽保障以及带宽控制,从而能够实现对每个IP地址的精细控制。l 基于VLAN的带宽控制:系统支持Trunk(802.1Q协议)环境,能够自动识别trunk环境下的数据流,并且可以基于VLAN ID实现对整个VLAN的带宽控制。l 基于用户的带宽控制:系统支持基于认证的用户带宽管理策略,通过系统内嵌的认证服务,管理员可以基于用户或用户组进行流控策略的制定,实现以用户为中心进行带宽的统计、分析和管控。系统支持AD、LDAP、RADIUS以及POP3等多种身份认证机制。l 上网行为管理策略:系统基于源/目的IP、时间段、应用协议等参数,阻断特定用户访问特定的应用,如禁止内网用户在上班时间使用P2P软件、炒股软件及玩网络游戏,则可以实现内部用户的上网行为管理,最大程度地保障网络访问的秩序,规范用户网络的使用和访问。4、基于各种入侵攻
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100