UMP网络管理系统白皮书V20.docx
《UMP网络管理系统白皮书V20.docx》由会员分享,可在线阅读,更多相关《UMP网络管理系统白皮书V20.docx(17页珍藏版)》请在冰豆网上搜索。
UMP网络管理系统白皮书V20
UMP网络管理系统
技术白皮书
北京道驰科技有限公司
2007年6月
目录
一、问题分析1
二、产品概述2
2.1深层内容分析——网络安全发展的趋势3
2.2深层速率控制——网络管理的未来之路3
2.3多层实时监控体系——保证网络的可管理性4
2.4DoS/DDoS攻击防范——网络安全的基本保障4
三、关键技术4
3.1深层速率控制技术4
3.2带宽通道管理技术5
3.3带宽动态分配技术6
3.4带宽交叉控制技术7
3.5TCP速率控制技术8
3.6UDP速率控制技术10
3.7DOS/DDoS攻击防范技术10
四、功能介绍11
4.1网络资源监控11
4.2支持多种网络接口和协议11
4.3提供深度应用分析功能11
4.4支持动态的带宽分配11
4.5部署方式灵活11
4.6详细的数据分析功能12
4.7快捷高效的主机绑定12
4.8人性化的管理界面12
五、产品系列13
六、解决方案14
6.1运营商解决方案14
6.2校园网解决方案16
6.3企事业单位解决方案18
一、问题分析
互联网正飞速改变着全球企业的经营模式,企业能以崭新且有效的方式与客户、雇员、供应商以及业务伙伴进行沟通。
随着互联网的普及,用户对网络的依赖越来越深,同时网络给用户带来的烦恼也日益严重。
总结起来,困扰用户的主要问题有以下几点:
◆带宽有限、需求不断
主干互联网虽然年年升级,但仍然不能满足用户日益增长的需求。
很多企业用户和运营商长期面临带宽需求的烦恼:
申请充足的带宽投入太多,带宽少了又不够用。
造成用户带宽拥塞的原因很多,出口带宽永远低于桌面带宽是最根本的原因。
其次,网络应用的迅猛发展是导致带宽不够用的主要原因,尤其是最近几年出现的P2P应用和网络病毒,极大的消耗了有限的网络资源。
对于那些P2P应用者来说,下载一个文件用5个小时或者10个小时差别并不大,但是对于其他浏览网页的用户,访问一个网页需要5秒钟还是10秒钟还是有很大区别的。
同样,如果某个用户急需下载一个几兆大小的文件或者打开一个电子邮件,也会很在乎当前的网络速度,而此时的网络带宽也许正在被某些P2P应用或者其他一些网络资源消耗较多的用户占用。
因此,解决带宽拥塞的关键问题是如何能够将带宽合理的分配到每个桌面用户,当网络资源紧张的时候限制那些使用量大的普通用户,保障那些使用量小的重要用户。
反之,当网络资源有较大空闲时则取消这些限制,让每个用户都能高效使用网络,有效利用租用的带宽。
◆关键应用难以重点保障
用户对于不同应用的要求也不同,比如对待大文件的下载一般都不会太在乎时间,而对浏览网页和邮件收发则要求时间短,速度快,至于语音和视频等实时通讯稍有时延则无法容忍。
显然,目前网络的现状是:
文件下载、浏览网页、邮件收发和视频通讯都采用相同的带宽处理策略,很多网络资源实际上没有得到有效的利用。
所以,如何保障用户主要应用的正常运行也是网络管理者最关心的问题之一。
◆垃圾会话困扰网络安全
目前,多数用户的桌面操作系统都是Windows家族产品,单一化的桌面环境导致了基于Windows系统的网络病毒大规模流行。
多数病毒都是通过网络进行复制和传播,这些病毒经常针对相邻网段进行大规模的扫描,而病毒的垃圾请求往往会消耗大量的网络带宽,同时可能耗尽出口路由器的NAT会话资源,致使网络的管理者误以为是带宽资源不够从而导致网络的拥塞。
◆用户的网络行为需要审计
内部员工对网络资源的滥用令人触目惊心。
随着互联网的吸引力和互动性与日俱增,网络游戏、网络聊天、网络炒股等活动严重地分散了员工的精力。
据IDC在美国的统计,企业中员工30%至40%的上网活动与工作无关。
而来自色情网站访问统计的分析表明,70%的色情网站访问量发生在工作时间。
类似这些不合理的上网行为,导致美国企业的损失每年高达数千亿美元。
据公布的最新统计显示,中国员工每周上班花在网上处理私人事务的时间高达5.6小时,平均每天超过1小时,这些时间主要用来娱乐和聊天。
不容忽略的是,浏览某些内容违法的网站还可能给员工所在单位带来法律上的麻烦。
同时,根据美国权威机构调查结果显示,连续几年因敏感信息被窃听、破坏所造成的经济损失超过病毒感染和黑客攻击所造成的损失。
其中80%以上的安全威胁来自内部。
同时中国CNCERT也作了相关调查,结果也表明信息安全问题主要来自内部人员泄密和犯罪,而非病毒和外来黑客引起。
网络作为信息时代企业的生产工具,需要适当监控、合理使用。
在美国和欧洲,有80%的企业对员工的互联网活动进行审计,而且这一举措得到了法律条文上的支持。
因此,如何有效地控制员工的上网行为,并避免网络泄密的发生,已成为企业迫在眉睫的紧要任务。
二、产品概述
针对目前困扰用户的网络问题,北京道驰科技有限公司推出了UMP网络管理系统(英文名称:
UMP),率先采用深层内容分析(DeepInspection)、深层速率控制(DeeperRateControl)和智能会话管理等一系列业内领先技术,为这些问题的解决带来曙光。
与传统产品相比,UMP系列产品有下列显著特点:
2.1深层内容分析——网络安全发展的趋势
●基于内容进行会话识别
可以通过高速的深层协议分析,识别每一个网络会话所属的应用,针对某种协议进行控制或者制定相应的带宽分配策略,拦截那些具有攻击意图的会话和连接。
●支持传统的识别技术
可以识别二到四层的网络数据特征,这些特征也可以同时配合内容分析技术一并使用。
2.2深层速率控制——网络管理的未来之路
●智能的带宽调节功能
可以根据网络负载情况,智能调节网内的终端带宽分配方式。
例如:
如果目前网络负载较高则自动限制那些流量较大的终端,保证多数用户的网络应用能够正常、快速的得到响应;当网络负载较低时,则采用宽松的带宽处理策略,以便网络的带宽得到充分的利用;
●基于终端的资源控制
仅需设定一条规则,即可限定每台终端的带宽使用上限,同时系统可以根据当前网络资源的使用状况,动态调整分配给每个用户的带宽资源,保证带宽分配的公平性与合理性。
另外,系统还可以设定每台终端的会话数量,防止由于病毒等原因造成的网络资源耗尽。
●弹性灵活的资源管理机制
UMP系列产品能自动识别、分辨网络第二层到第七层中各种不同的协议、服务和应用。
深层速率控制技术(DeeperRateControl)根据用户IP地址、服务器IP地址、子网、应用端口、应用类型、协议等基本特点及应用的关联性分析,对信息流加以区分,再根据不同的需要给予应有或适当的优先级别(Privilege)和带宽政策(Policy)。
优先级别和带宽政策可以按区间划分,以硬性或弹性的实施方式灵活实施,确保广域网有限资源的按需动态分配。
2.3多层实时监控体系——保证网络的可管理性
●细致周到的监控功能
宏观上,UMP可以实时监测到网络负载、在线主机数量、会话数量等一系列特性参数。
微观上,UMP提供主机、接口、通道、应用、会话等多个层次的实时监控功能,实时掌握网络各个细节的运行状态;
●全面完善的日志机制
UMP的数据汇总到专用的日志服务器内,供网络管理员查询、统计和审计。
同时可以按需生成详细的报表,帮助网络管理员分析网络运行状况,管理者还可以通过日志服务系统审计员工的上网行为和内容。
2.4DoS/DDoS攻击防范——网络安全的基本保障
●SYNCookie防范机制
在TCP确认数据包中插入一个ID号来鉴别SYN请求。
保证合法的请求发送到服务器端,同时终止全部SYNflood攻击,防止SYNflood攻击蔓延到服务器端或UMP自身。
●智能流量识别技术
采用取样和基准流量行为监测机制,识别异常流量,一旦达到了某个潜在攻击的激活阈值,UMP的保护措施将自动启动,拦截那些具有攻击性质的访问。
三、关键技术
3.1深层速率控制技术
深层速率控制技术(DeeperRateControl)通过五个步骤保障网络高效利用,保障关键应用,满足一般应用,避免在广域网接入瓶颈出现阻塞。
步骤如下:
1分类
UMP自动根据网络流量的协议、应用类别、来源域、目标域和其他应用特征,将网络数据流分成不同类别。
UMP不仅是静态地分辨端口、协议、IP地址等网络要素,而且还深入到OSI网络模型的第七层对流量进行应用层和关联性的分类,对各种应用程序进行精确识别。
2分析
根据当前的状况对应用程序的网络效率进行分析,然后生成带宽利用率、应用关联性以及其他信息的数据,通过分析这些数据生成相应的调整参数。
3控制
根据实际的网络管理规则进行带宽分配。
针对用户,系统能够保障多数用户的使用、安置超量占用资源的个别用户;针对应用,系统能够保护关键的应用、快速处理用户的一般应用、限制非关键应用,使有限的广域网接入性能实现最优。
此外,还可以为单个会话(session)、单个应用程序或者某类会话和某类应用指定具体的带宽区间。
系统的深层速率控制技术能够主动地同时控制流出和流入的信息传输以避免阻塞,防止不必要的数据包丢弃和重发,力保平稳、均等的流量,实现网络的吞吐优化。
4调整
根据应用程序的分析结果对当前的网络使用情况进行预估,如果发现当前的处理策略没有达到最优的网络效率,则智能的调整当前的处理策略,实现网络性能的最优化。
5报告
系统可以根据用户的定制,产生图表、数据等管理信息的实时监控,还可以定制监控的对象,从而掌握当前网络性能的真实状态。
3.2带宽通道管理技术
带宽通道(BandwidthPipe),是为某个用户、某个网络应用或某个网络接口、线路自定义的带宽管道,UMP从以下几方面非常灵活的支持带宽通道管理:
●支持带宽通道的上下限带宽
下限带宽指通道的保障带宽,如果空闲可以出租给其他通道;上限带宽是带宽通道可获得的最大带宽,如果通道带宽已经用满,而其他通道空闲,在策略机制的支持下,可以租用其他通道的带宽。
●可以支持带宽通道的优先级
UMP支持带宽通道的优先级定义,优先级决定了哪条带宽通道可以优先被系统处理,优先级越高的带宽通道可以优先占用或共享空闲的带宽通道资源。
●带宽的分配精确到IP地址
UMP的通道管理技术实现的是基于用户地址的动态处理队列,能够精确的控制每个用户端IP地址/地址段的带宽流量。
而传统的Qos技术每个策略定义一个先进先出的队列,带宽的上限只能应用于整个策略。
3.3带宽动态分配技术
用户访问网络的速度很大程度取决于用户终端与网络资源之间建立连接的数量,例如著名的下载软件NetAnts、Flashget以及一些P2P应用(BT、迅雷等)就是通过增加网络会话的数量来加速下载的。
如果用户的网络中没有带宽管理系统,有些用户使用抢占带宽能力强的网络工具打开较多的网络会话,将获得较大的网络带宽资源;而多数用户使用了较少的会话连接,因而访问速度变慢,如下图所示:
传统的QoS技术可以通过定义用户带宽的上限来限制用户的访问速度,但是这种方法在网络资源紧张的时候不能起到缓解的作用,而当网络资源空闲的时候容易造成网络资源浪费。
UMP支持带宽的动态分配技术,可以在用户分配的带宽通道内动态调节、均衡用户使用的带宽,此技术具有如下的优点:
●在网络资源紧张时均衡分配带宽资源,在网络资源空闲时可以充分利用带宽资源;
●可以针对某种应用,确保关键应用的带宽分配;
●可以配合用户带宽限制使用,并且使带宽分配与用户建立的会话数无关。
带宽的动态分配技术可以从根本上解决用户带宽分配不均的问题,防止个别用户过多的占用有限的带宽资源。
如下图所示:
3.4带宽交叉控制技术
很多网络管理员在规划网络带宽分配方式的时候,都有这样一类需求:
每个用户的带宽要控制在一个范围内,同时对某些应用限制一个总的带宽,如下图所示,首先限制了每个用户的带宽上限为256K,然后限制了整个网络的BT带宽上限为10M。
UMP的带宽交叉控制技术,可以在限制每个用户带宽使用的基础上,对某些应用占用的总带宽进行限制,从而有效的提高对网络的控制能力。
3.5TCP速率控制技术
TCP/IP是目前网络传输时使用的主要协议族。
该协议族中,TCP和IP是核心,还包括一些其它协议。
TCP和IP协议分别控制着数据在互联网上的传输和路由选择。
从本质上说,IP是指导网络上的数据包从发方计算机送达收方计算机,TCP则负责确保数据在设备之间进行端到端的可靠交付。
TCP使用基于滑动窗口的流量和拥塞控制方式,通过确认分组流实施控制。
TCP使用基于RTT的自适应时钟来调协重发超时,为完成对数据的确认和避免拥塞,TCP使用了滑动窗口机制,采用了称为“慢启动”的策略。
发方对丢失或损坏数据的重发,要求保留数据副本直至收到数据确认(ACK)。
为避免大量可能丢失的数据副本占用大量存储器并浪费带宽,TCP采用了一个滑动窗口装置来限制传送中的数据数量。
随着确认的返回,TCP在前移窗口的同时,发送不断增加的数据。
一旦窗口被占满,发方必须停止传输数据直至更多的确认到达。
虽然TCP能发现数据没有送达,但重新发送会进一步加剧信道的拥塞,从而进一步导致数据丢失。
为避免网络因拥塞而瘫痪,TCP只能降低传输速率以对数据丢失做出反应。
TCP的窗口大小是网络传输中最重要的参数之一。
动态的调整TCP窗口尺寸的大小,可以很好的控制TCP会话传输的速率。
UMP支持动态的TCP窗口控制技术,可以有效的控制TCP的会话速率。
在没有TCP窗口控制的情况下,发送端和接受端的TCPWinSize由会话的两端决定,这种情况可能会导致两端的通讯带宽无法控制,对于整个网络带宽的利用率不高,而且可能会因为少数用户导致网络的拥塞。
UMP支持动态的TCPWinSize调整,UMP可以根据网络线路的负载状况,动态的调整WinSize的大小,在这种情况下,发送端和接受端的TCPWinSize由UMP动态决定,而不是由传输的两端决定,如下图所示:
UMP的TCP速率控制技术有如下优点:
●通过改变windowsize控制TCP会话速率;
●可以实现双向控制;
●可以减小网络设备的缓冲压力;
●可以针对单个用户动态实施;
3.6UDP速率控制技术
UMP采用基于队列调度算法的流量控制,实现UDP速率控制。
队列调度算法是通过将入端口数据进行排队,赋予每一个队列一定的调度优先级,高优先级的队列较容易获得队列调度,低优先级的队列将延长其缓冲在队列的时间,甚至被强制丢弃。
UMP的队列调度算法主要采用了令牌桶算法和预测丢弃算法(RED)。
在轻负载网络环境中,UMP采用了令牌桶算法来实现对UDP的速率控制。
令牌桶算法综合考虑了报文长度、优先级,同时增加了队列环回机制(低优先级的报文在需要发送的时候如果仍然不能获取令牌,则自动重新从队列尾部开始重新排队),避免了报文丢弃造成的网络重传,因此是较为完善的一种算法。
不过令牌桶算法实现较为复杂,需要占用大量的缓冲区资源,调度算法本身也要占用大量的CPU时间。
在高负载网络环境中,UMP采用了RED算法来实现对UDP的速率控制。
RED算法是根据一定的调度策略,将低优先级的队列在调度过程中如果没有可用的网络资源发送数据,简单地丢弃报文。
这样由于用户端发现报文丢弃,一般都会放缓数据的发送,从另一个角度抑制了数据传送。
但是用户端必然需要重传丢弃的报文,造成了网络资源浪费。
RED算法较为简单,适合在高速网络中实现,同时尽量用延缓报文发送时间的方法而不是直接丢弃,这样能够用一定的设备资源的占用换取网络传送时延增大效应,抑制用户端数据的发送。
3.7DOS/DDoS攻击防范技术
UMP采用多层DoS/DDoS攻击防范体系,确保网络正常运行。
UMP针对各种类型的SYNflood攻击提供了强大的防护能力。
这种被称为SYNCookie防范的机制可以在TCP会话建立之前,在TCP确认数据包中插入一个ID号来鉴别SYN请求。
完成这种三向握手后,UMP仅处理含有在此前插入的ID号的请求。
这种机制可以保证只有合法的请求才会被发送到服务器,而任何SYNflood攻击都将在UMP处被终止,因而不会蔓延到服务器以及UMP自身。
此外,UMP借助额外的取样机制和基准流量行为监测来识别异常流量,提供实时的DoS/DDoS防范。
该机制会对照策略设定的阈值来比较流量样本,一旦达到了某个潜在攻击的激活阈值,该潜在攻击的状态就被激活,这样就会使用该潜在攻击的特征文件来比较各个数据包。
如果发现匹配的特征,相应的数据包就会被丢弃。
如果没有匹配的特征,则会将数据包转发给网络。
四、功能介绍
4.1网络资源监控
UMP能够实时监控各类网络流量和业务,并生成监测数据图表,反映的是网络流量的即时大小和随时间变化的趋势。
4.2支持多种网络接口和协议
UMP支持10/100M以太接口以及1000M以太和光纤接口,支持DHCP、PPP、PPPoE和802.1Q等网络协议。
4.3提供深度应用分析功能
UMP基于会话层的应用分析,实现针对应用层的处理和流量管理功能,高速高效的分析算法,可以在千兆环境下工作。
4.4支持动态的带宽分配
UMP可以根据用户数对每个用户的上限带宽进行动态的调整,可以达到充分利用带宽资源和保障多数用户正常使用的最优状态。
4.5部署方式灵活
UMP支持路由、透明桥接、VLAN、Trunck及路由桥接混合工作模式,部署简便,同时提供多出口负载均衡功能,同样适用于复杂的网络环境。
4.6详细的数据分析功能
专用的数据分析系统可以对各种流量数据进行详细的分析和统计,同时集中式处理的功能可以对多台UMP的状态进行监控并对流量数据进行分析。
4.7快捷高效的主机绑定
在内部网络中,经常会遇到内部网络用户擅自修改IP地址,以获取一个合法IP地址来进行相应的网络应用,这样会使内部网络在地址资源的分配和使用上出现混乱,大大影响内部网络的正常运行,而且在网络事故发生以后,也加大了地址追寻的难度。
UMP所具有的小巧的客户端通过IP、MAC地址、用户名、密码四种元素,根据实际管理需要,采取不同元素组合的绑定模式可以很好地解决这个问题。
通过在用户主机安装小巧简易的客户端软件,能够实现上网实名制,并且不会对用户工作产生任何影响。
UMP提供的这种快捷有效的主机绑定方式,尤其在动态分配主机IP地址的网络中,能够快速实现上网实名制,大大方便了网管对网络用户的管理,加之客户端具备防ARP攻击\欺骗功能,能够免去网管人员的后顾之忧。
4.8人性化的管理界面
UMP产品支持基于HTTPS的WEB管理技术,数据传输过程加密、防窃听,管理起来非常方便,系统的所有设定都在简洁直观的图形界面下完成。
管理人员还可以远程登录UMP进行调试、管理和日志查询。
UMP产品使用了本地化的全中文的设计,使得管理工作更加方便,符合国人的使用习惯,充分体现了以人为本的特点。
五、产品系列
UMP系列产品能够在各种不同网络环境中实现网络资源监控、智能带宽控制、基于应用的带宽管理和用户行为审计。
UMP100是专为中小型企事业单位量身定制的网络管理系统。
UMP200/521/1000/2000适合于小区宽带运营商、中型企业和校园,除了具备UMP100的功能外,还是专业的运营级带宽管理设备。
UMP1000是为大型ISP和IDC运营商设计的带宽管理系统,支持多种网络接口,提供高质量的运营保障。
下表为UMP系列产品详细的信息:
型号
功能
UMP-10
UMP-100
UMP-200
UMP-521
UMP-1000
UMP-2000
吞吐量
100M
200Mbps
400Mbps
2Gbps
2Gbps
4Gbps
网络接口
4*FE电口
4X1000M电口
6X1000M电口
6X1000M电口,2X1000M光口
6X1000M电口,4X1000M光口
5X1000M电口,6X1000M光口
接口类型
RJ-45
RJ-45
RJ-45
RJ-45/SFP
RJ-45/SFP
RJ-45/SFP
用户数
100
5,000
30,000
80,000
150,000
150,000
会话数量
10,000
50,000
150,000
300,000
1,000,000
1,200,000
应用分析
√
√
√
√
√
√
流量分析
√
√
√
√
√
√
带宽管理
√
√
√
√
√
√
WEB管理
√
√
√
√
√
√
对象管理
√
√
√
√
√
√
会话控制
√
√
√
√
√
√
实时监控
√
√
√
√
√
√
Bypass
√
√
√
√
可选
可选
负载均衡
可选
可选
可选
可选
可选
可选
NAT/PAT
可选
可选
可选
可选
可选
可选
双机备份
可选
可选
可选
可选
可选
可选
六、解决方案
6.1运营商解决方案
6.1.1运营商P2P限制解决方案
目前,宽带接入处于快速发展期,运营商不断为用户提供更为优质的接入服务,以寻求新的业务增长点。
随着宽带接入的普及,网络上的应用不断增加,特别是目前非常流行的P2P应用BT已经成为名副其实的带宽杀手。
这类应用的特点是:
⏹通讯流量巨大
⏹种类繁多
⏹无固定的服务端口
⏹协议特征变化迅速
⏹检测困难
UMP系列产品可以有效的解决以上的问题。
在北京某二级运营商的一条100M线路上,采用UMP-200设备作为带宽管理系统。
采用UMP-200前,由于桌面终端太多,并且都是百兆以太网接入,无法有效的控制出口带宽的分配,少数会话较多的用户往往占据了大部分带宽资源,致使网络出口被BT、Edonkey等P2P应用占用。
在上网高峰期,很多接入用户反映网速太慢,令运营商十分头疼。
加载UMP-200后,运营商出口的双向流量压力得到了缓解,BT等P2P应用的流量也得到了有效的控制,每个终端的带宽上限都采用动态分配方式,避免了某些接入用户对网络资源的超量占用,同时动态的分配方式在上网高峰期和空闲期智能调配终端的带宽资源,在保障网络资源合理分配的前提下,使网络带宽的利用更充分。
UMP-200的应用帮助网管部门解决了网络带宽资源管理的难题,得到运营商内部的一致好评。
UMP安装完成后,定义带宽策略为:
上午八点到晚上10点左右限制BT的流量下载12M,上传4M,取得了显著的效果。
6.1.2中小运营商专线解决方案
目前随着互联网和数据网骨干的发展,数据和互联网业务的增长,城域网接入业务、大客户数据业务、写字楼、大厦整体接入ISP业务和宽带社区业务的需求增加,相应的专线接入服务已经成为运营商重要的增值服务之一。
专线用户一般有如下的需求特点:
⏹一般采用专线包月的方式,带宽固定,收费固定;
⏹越来越多的大客户需要超过2M的带宽(4M、10M甚至更高);
⏹用户希望能够确保租用的带宽的QoS;
随着专线接入方式的改变,运营商面临如下的挑战:
⏹需要确保大客户特别是VIP用户的带宽;
⏹需要确保VIP用户的关键应用(如视频会议和VPN等);
⏹限制非VIP用户的带宽不能超出租用带宽的上限;
⏹保障专线用户的关键应用,限制其非关键应用(如P2P应用);
UMP系列产品提供虚拟专线业务功能,能够帮助运营商方便的为专
升级会员 