1、城市交通问题:道路行驶混乱道路行驶混乱 非法车辆行驶非法车辆行驶 交通堵塞交通堵塞 出现交通事故出现交通事故 关键车辆不畅关键车辆不畅 道路效率低下道路效率低下网管的麻烦网管的麻烦 带宽永远不够带宽永远不够 网络总跑了什么?网络总跑了什么?效率低下效率低下 出现网络故障出现网络故障 关键应用(人)上网关键应用(人)上网 无法做到精确管理无法做到精确管理更进一步:网管应对的挑战(更进一步:网管应对的挑战(1 1)网络行为失控网络行为失控 无序的网络行为带来的严重的安全威胁 网络攻击、病毒、非法应用等等 没有节制的上网行为带来的组织效率流失 在线游戏、电影、炒股、P2P下载等等更进一步:网管应对的
2、挑战(2 2)管理与技术挑战管理与技术挑战 带宽被滥用带宽被滥用 网络应用不可视、不明朗。网络应用不可视、不明朗。关键业务及应用得不到保障关键业务及应用得不到保障P2PP2P下载下载IM(QQIM(QQ,MSN.)MSN.)FTP FTP 下载下载VoIP,VoIP,视频会议视频会议,ERP,ERP典型解决方案与技术典型解决方案与技术为什么需要流量管理为什么需要流量管理青莲青莲CTMCTM网络优化之道网络优化之道 About CyanlotusAbout CyanlotusAgendaAgenda消极的解决方案消极的解决方案增加网络带宽增加网络带宽 网络的状况并不会因为带宽的增大而得到改善网络
3、的状况并不会因为带宽的增大而得到改善 与工作无关的应用会随着带宽的增大而增多与工作无关的应用会随着带宽的增大而增多 仍然不能对网络的状况进行控制管理仍然不能对网络的状况进行控制管理 关键性应用仍无法正常运行关键性应用仍无法正常运行结果:花更多钱,根本不解决问题结果:花更多钱,根本不解决问题 消极的解决方案消极的解决方案利用传统设备控制利用传统设备控制 利用利用L2L2设备设备802.1Q 802.1Q 和和VLAN VLAN 利用利用L3/L4L3/L4交换机的访问控制列表进行过滤交换机的访问控制列表进行过滤 挑战是:挑战是:P2PP2P技术的普及技术的普及-伪装端口、跳跃端口、随机端口、伪装
4、端口、跳跃端口、随机端口、UDPUDP包、加密,传统设备无法应对包、加密,传统设备无法应对结果:传统设备对新型应用,如同虚设结果:传统设备对新型应用,如同虚设关于关于P2PP2P挑战挑战不需关照下载方式 增加带宽峰值和峰值持续时间流量对称 导致上行拥塞地理不可知 增加出口成本P2P 应用使用随机端口(port-hopping)不能使用传统技术识别P2P applications are popular 60%-80%P2P问题存在并且日益严重 关于关于P2PP2P挑战挑战第第1 1代集中式的代集中式的P2PP2P应用应用 Napster模式,通常使用一个固定的TCP端口;第第2 2代分布式代分
5、布式P2PP2P应用:应用:规避传统网络设备的“技巧”端口跳跃:随机端口;盗用常用端口号:如HTTP协议的80端口;HTTP隧道:伪装成HTTP流量;HTTP代理隧道:如Socks代理;关于关于P2PP2P挑战挑战第第3代代P2P应用应用 介于集中式和分布式之间的混合折中结构第第4 4代代P2PP2P应用应用 P2P应用最新发展一个趋势,典型代表有Skype、eMule 0.47c和BitComet 0.80。主要有两个特点:-增加无用随机数据和数据进行加密这两个手段使得协议流量特征模糊化,如最新版的eMule、BitComet等软件;-多协议并用(如迅雷,HTTP、FTP专用协议并存),逃避
6、监管关于关于P2PP2P挑战:应对挑战:应对P2PP2P应对的技术方案:应对的技术方案:深层数据包检测(DPI:Deep Packet Inspection)基于流量特征的检测技术(Transport Layer Identification)注:-P2P成为主流,无法控制的上网行为 -只有基于应用层的识别技术才能解决问题 -精确识别不误判,流控的关键青莲青莲CTMCTM网络优化之道网络优化之道为什么需要流量管理为什么需要流量管理典型解决方案与技术典型解决方案与技术 About CyanlotusAbout CyanlotusAgendaAgenda 青莲流量管理系统(CTM),拥有L2-L7
7、层应用流量的全面感知控制能力,是一款基于策略管理 (Policy Based)的高性能网络流量管理设备,全面的提供网络应用的可视性、可管理型,提供关键应用与通讯传输服务质量保障。青莲青莲CTMCTM概述概述 超强P2P管理能力,轻松实现网络带宽“削峰填谷”;细颗粒网络行为管理,保障安全、提升效率 真正基于DPI技术的带宽管理与优化解决方案 前瞻性的自定义协议语言PSD,快捷实现应用协议升级 专用加速硬件与操作系统平台,保证线速处理性能青莲青莲CTMCTM高效的系统架构高效的系统架构青莲青莲CTMCTM高效的系统架构高效的系统架构负责数据包处理,同时提供同控制平面的接口。数据层面直接由硬件驱动,
8、这样避免了传统OS(包括FreeBSD)的网络协议栈带来的开销,使得CyanOS能够充分利用硬件的性能而更快处理数据包,数据平面在CyanOS内核内运行。负责系统管理,包括数据平面的维护、Web管理和命令行管理接口。控制平面运行在CyanOS的应用层。基于网卡硬件驱动优化、专用ASIC硬件加速卡的硬件平台,采用CyanOS精简安全操作系统,使得设备能够达到线速运行数据平面数据平面Data Plane控制平面控制平面Control Plane硬件平台硬件平台青莲青莲CTMCTM高效的系统架构高效的系统架构 PAE(Packet Analysis Engine):负责应用层识别 ACE(Acces
9、s Control Engine):负责访问控制 BME(Bandwidth Management Engine):带宽限制分配 DPI(Data Plane Interface):为PC提供访问数据平面数据 和相关状态信息的接口 MiniWeb:一个轻量级的Web服务器界面管理接口 CLI:命令行接口进程 DataStat:负责数据的收集和统计分析青莲青莲CTMCTM应用识别技术(应用识别技术(1 1)普通协议:基于连接的有状态识别 P2P应用:基于节点的有状态识别 -P2P客户端既是客户又是服务器 -节点:IP服务端口的二元组 -通过“识别节点”的方式去识别P2P流量 -特征识别条件(防止
10、误判)(1)连接建立的过程被监控到(2)并且特征包能够被监控到 节点识别:可以大幅度提高设备性能 青莲青莲CTMCTM应用识别技术(应用识别技术(2 2)基于节点智能技术 -根据连接规律,识别特征模糊或加密P2P协议 -保证性能的同时,提高识别准确性 主动探测技术 服务探测引擎可识别加密协议,eMule 0.47c、Skype 服务伪装探测 如探测迅雷综合了P2P和http,ftp等传输协议的应用青莲青莲CTMCTM主要功能主要功能网络流量分析网络流量分析 传统协议流量 P2P应用的分类,具体到每一个P2P应用的分析 网络游戏、股票等应用分析 实时监视流量曲线策略控制策略控制带宽限制带宽保证青
11、莲青莲CTMCTM识别协议识别协议传统协议传统协议HTTP,HTTPS,FTP,Telnet,SSH,DNS,SMTP,POP3,NetBIOS,CVS,DHCP,NTP,NFS,NNTP,SNMP,TFTP,BGP,HTTP分块传输,伪IE下载,Microsoft-DS,Remote-sync流媒体协议流媒体协议:RTSP,MMS。P2PP2P下载下载BitTorrent,eMule,Gnutella,Kazaa,iMesh,DC,AppleJuice,Ares,Mute,SoulSeek,Poco,酷狗,迅雷(含Web迅雷),百宝,百度下吧,Vagaa,脱兔,PPGou,P8,Foxy即时
12、通信即时通信MSN(MSN视频),YahooMessger,QQ(QQ视频、QQ文件传输),网易泡泡,淘宝旺旺,新浪UC网络电话:网络电话:Skype网络电视网络电视PPStream,PPLive,沸点,Recool,QQLive,TVAnts,TVKoo,PPMate,MySee,UUSee,CCIPTV,SopCast,VJBase,JeBoo,Tomlive网络游戏网络游戏魔兽世界,奇迹世界,热血江湖,征途,跑跑卡丁车,QQ幻想,泡泡游戏,QQ游戏,中国游戏中心。股票类股票类大智慧(大智慧Internet经典版、大智慧新一代),钱龙(经典版、旗舰版),核新(同花顺2007)CTMCTM控制功能控制功能控制对象控制对象 基于时间、源IP/目的IP、IP网段、端口、协议、协议 组等各条件组合进行访问控制
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1