IP網(wǎng)監(jiān)控系統(tǒng)調(diào)研與建議--中國(guó)電信

1 IP網(wǎng)監(jiān)控系統(tǒng)調(diào)研與建議 中國(guó)電信集團(tuán)廣州研究院 2008.9 2 存在問題后續(xù)計(jì)劃 4 目錄 技術(shù)現(xiàn)狀分析 2 系統(tǒng)部署建議 3 調(diào)研情況介紹 1 3 江蘇廣東部署情況 江蘇省 在省出口，采用分光方式部署，可實(shí)現(xiàn)一拖 N監(jiān)控、 P2P監(jiān)控、VOIP監(jiān)控和流量統(tǒng)計(jì)分析功能 廣東省 未在全省統(tǒng)一部署流量監(jiān)控系統(tǒng) 功能模塊部署情況 一拖 N監(jiān)控 1.在廣州、深圳、東莞分光方式部署了監(jiān)控系統(tǒng) 2.只針對(duì)公眾用戶進(jìn)行監(jiān)控，不對(duì)專線用戶實(shí)施監(jiān)控 3. 購(gòu)置了 12臺(tái) “ 網(wǎng)絡(luò)尖兵 ” ，在全省其它地市之間機(jī)動(dòng)部署 P2P監(jiān)控 1.未在全省統(tǒng)一部署 2.深圳全網(wǎng)對(duì) P2P流量進(jìn)行監(jiān)控 3.其它地市選擇了部分 P2P流量較大地區(qū)進(jìn)行了 P2P流量監(jiān)控 VOIP監(jiān)控 1.監(jiān)控范圍為珠三角地區(qū) 9地市，廣州、深圳、東莞、佛山基本實(shí)現(xiàn)全網(wǎng)監(jiān)控，其他 5個(gè)地市不同鏈路之間流動(dòng)監(jiān)控 2.各 地市 主要使用傲天、天訊、信通網(wǎng)聯(lián)的 VoIP監(jiān)控設(shè)備 流量統(tǒng)計(jì)分析 1.采用機(jī)動(dòng)部署方式，只對(duì)個(gè)別用戶 (群 )進(jìn)行流量統(tǒng)計(jì)分析 2.主要基于 Netflow流量進(jìn)行統(tǒng)計(jì)分析 4 江蘇電信監(jiān)控效果 有效打擊了公眾客戶的私接和“黑網(wǎng)吧”現(xiàn)象以及“假接入，真互聯(lián)” 為江蘇省電信公司開展的“網(wǎng)絡(luò)護(hù)航”專項(xiàng)清理工作提供了保障 一拖 N監(jiān)控效果 P2P監(jiān)控效果 通過忙時(shí)削峰的方式降低 P2P流量對(duì)鏈路帶寬的沖擊 緩解了江蘇省出口鏈路帶寬資源緊張的現(xiàn)狀 P2P調(diào)控時(shí)間：每天 15： 00至23： 00。 圖示鏈路在 15： 00的流量已超過 7.3Gbps，通過調(diào)控，鏈路負(fù)荷由 94%降到 85%以下，效果顯著 VOIP監(jiān)控效果 0100000200000300000400000500000600000700000南京 蘇州 無(wú)錫 常州 鎮(zhèn)江 揚(yáng)州 南通 泰州 徐州 淮安 鹽城 連云港 宿遷3月 6月全省呼叫傳統(tǒng)電話網(wǎng) VOIP總時(shí)長(zhǎng)， 6月比 3月下降了 53%，鎮(zhèn)江、泰州、徐州、淮安等分公司 VOIP時(shí)長(zhǎng)顯著下降 5 江西省安徽省部署情況 江西省 安徽省 采用系統(tǒng) 信風(fēng)公司的 IP用戶行為分析系統(tǒng) 部署方式 省網(wǎng)出口，分光方式監(jiān)測(cè) 部署功能 一拖 N、 VoIP 和 P2P監(jiān)控 系統(tǒng)規(guī)模 對(duì) 4 10G上行流量進(jìn)行監(jiān)控 實(shí)施效果 系統(tǒng)正在建設(shè)中，實(shí)際控制效果有待驗(yàn)證 系統(tǒng)于 2006.4正式運(yùn)行，目前效果良好 系統(tǒng)投資 450萬(wàn) 500萬(wàn) 后續(xù)需求 1.希望針對(duì)單個(gè)用戶行為進(jìn)行分析，為針對(duì)性營(yíng)銷提供數(shù)據(jù)基礎(chǔ)。 2.希望系統(tǒng)實(shí)現(xiàn)關(guān)鍵應(yīng)用的流量分析，并通過整合 /二次開發(fā)提供用戶行為分析數(shù)據(jù) 后續(xù)建設(shè)中，考慮部署 P2P監(jiān)控、用戶行為分析和廣告推送等模塊 6 湖北省部署情況 采用系統(tǒng) 信風(fēng)公司的 IP用戶行為分析系統(tǒng) 湖北電信下屬公司綠色網(wǎng)絡(luò)信息公司 部署位置 省網(wǎng)出口，分光方式監(jiān)測(cè) 分別部署在武漢、襄樊、宜昌、黃岡、十堰等地的 BRAS GE接口和GSR 10 GE接口處，分光方式監(jiān)測(cè) 部署功能 一拖 N監(jiān)控， VOIP監(jiān)控 (試用 ) 一拖 N監(jiān)控 、 VoIP 監(jiān)控、 P2P監(jiān)控 、流量統(tǒng)計(jì)分析（部分功能） 系統(tǒng)規(guī)模 可對(duì) 6 10G上行流量進(jìn)行監(jiān)控 可對(duì)上述城域網(wǎng)的大部分 GE鏈路進(jìn)行監(jiān)控 實(shí)施效果 有效打擊一拖 N和非法 VOIP用戶 一拖 N監(jiān)控、非法 VoIP監(jiān)控、 P2P監(jiān)控和流量統(tǒng)計(jì)分析效果明顯 系統(tǒng)投資 553萬(wàn) 后續(xù)需求 希望提高監(jiān)控系統(tǒng)在城域網(wǎng)的覆蓋范圍 7 浙江省部署情況 采用系統(tǒng) 寬廣公司的產(chǎn)品 部署方式 未在全省統(tǒng)一部署，在部分城域網(wǎng)有部署（以某城域網(wǎng)為例） 部署功能 “一拖 N”監(jiān)控、非法 VoIP 監(jiān)控和 P2P監(jiān)控。 系統(tǒng)規(guī)模 可對(duì) 6 10G上行流量進(jìn)行監(jiān)控 實(shí)施效果 實(shí)現(xiàn)了 “ 一拖 N”監(jiān)測(cè)，并可對(duì)主流 VOIP應(yīng)用、 P2P應(yīng)用實(shí)施監(jiān)控 系統(tǒng)投資 360萬(wàn) 相關(guān)建議 目前的 IP網(wǎng)監(jiān)控解決方案還不能實(shí)現(xiàn)網(wǎng)絡(luò)控制、用戶行為分析和業(yè)務(wù)策略的有效耦合 建議通過標(biāo)準(zhǔn)接口引入 SP/CP，實(shí)現(xiàn)各種業(yè)務(wù)的響應(yīng)和靈活加載。 8 海南省部署情況 采用系統(tǒng) 寬廣電信公司的解決方案 部署方式 省網(wǎng)出口， TMA-SSS串行接入， TMA-VOIP和 UA以分光方式監(jiān)測(cè)數(shù)據(jù) 部署功能 非法 VoIP 監(jiān)控、 P2P監(jiān)控和用戶行為分析 (可實(shí)現(xiàn)一拖 N的監(jiān)測(cè) )。 系統(tǒng)規(guī)模 可對(duì) 4 2.5G上行流量進(jìn)行監(jiān)控 實(shí)施效果 1.可有效抑制 P2P流量和打擊非法 VOIP 2.不能控制 skype、 SkypeOut 系統(tǒng)投資 目前系統(tǒng)使用是采用 “ 購(gòu)買技術(shù)服務(wù) ” 的方式，未采用投資方式 存在困難 IP網(wǎng)監(jiān)控系統(tǒng)的部署要與帶寬擴(kuò)容、網(wǎng)絡(luò)優(yōu)化改造等同步考慮，其部署難度和費(fèi)用都較高。 9 陜西省部署情況 采用系統(tǒng) 寬廣 TMA-VOIP Caspin流控設(shè)備 上大雷克 - 網(wǎng)絡(luò)尖兵 部署方式 西安城域網(wǎng)匯接層上行鏈路，分光方式監(jiān)測(cè) 西安城域網(wǎng)出口鏈路，串接方式進(jìn)行流量控制 西安城域網(wǎng)出口鏈路 部署功能 VOIP監(jiān)控 P2P流量控制 一拖 N監(jiān)控 系統(tǒng)規(guī)模 2 OC48 2 OC192 機(jī)動(dòng)部署 實(shí)施效果 有一定效果 正在試用 存在誤檢，目前只用于監(jiān)測(cè) 系統(tǒng)投資 40萬(wàn) 不詳 10 其它運(yùn)營(yíng)商部署情況 中國(guó)網(wǎng)通 1.一拖 N監(jiān)控：山東、東北三省的大部分本地網(wǎng) 2.VOIP監(jiān)控：沈陽(yáng)本地網(wǎng) 3.P2P監(jiān)控：寧波網(wǎng)通信息港 4.分級(jí)接入服務(wù)：哈爾濱網(wǎng)通 中國(guó)聯(lián)通 P2P控制：部署在互聯(lián)互通出口、城域網(wǎng)出口和部分本地網(wǎng)匯聚路由器上聯(lián)出口 中國(guó)鐵通 P2P控制：部署在互聯(lián)互通出口、城域網(wǎng)出口和部分本地網(wǎng)匯聚路由器上聯(lián)出口 英國(guó)電信 差異化服務(wù)和流量分析：部署在局部區(qū)域 法國(guó)電信 流量分析和內(nèi)容計(jì)費(fèi)：試驗(yàn)性部署 韓國(guó)電信 1.P2P總量控制 : 部署在部分網(wǎng)絡(luò)出口 2.內(nèi)容計(jì)費(fèi) : 部署在網(wǎng)絡(luò)局部區(qū)域 11 各典型廠家情況 廠家名稱 公司規(guī)模 市場(chǎng)情況 產(chǎn)品情況 華為 該產(chǎn)品線研發(fā)團(tuán)隊(duì)共 200人 1.電信的部分城域網(wǎng)部署 2.在網(wǎng)通的河北、遼寧等占較大份額 1.華為 SIG系統(tǒng)，分光方式接入，實(shí)施流量監(jiān)控和統(tǒng)計(jì)分析 2.內(nèi)嵌式 DPI板卡，插在 ME60上，主要實(shí)施流量控制 信風(fēng) 36人，注冊(cè)資金100萬(wàn) 1.江蘇、安徽、湖北、江西電信等省出口部署 2.未真正進(jìn)入網(wǎng)通市場(chǎng) 信風(fēng) IP網(wǎng)用戶行為分析系統(tǒng)，分光方式接入，實(shí)施流量監(jiān)控和統(tǒng)計(jì)分析 傲天 200多人，注冊(cè)資金 600萬(wàn) 1.在四川和深圳電信等部署 2.未真正進(jìn)入網(wǎng)通市場(chǎng) 傲天寬帶增值業(yè)務(wù)解決方案，分光方式接入，流量監(jiān)控和統(tǒng)計(jì)分析 寬廣 96人，注冊(cè)資金1500萬(wàn) 1.深圳、海南電信等部署 2.河北網(wǎng)通部署 1.TMA-SSS設(shè)備，串接方式實(shí)施應(yīng)用層流量控制 2.TMA-VOIP設(shè)備，分光方式接入，實(shí)施 VOIP控制 3.TMA-UA設(shè)備，分光方式接入，進(jìn)行用戶行為分析 Allot 以色列公司，全球283人，國(guó)內(nèi) 4人 1.在電信局部區(qū)域有銷售 2.在聯(lián)通、鐵通占有一定份額 NetEnforcer系列產(chǎn)品，串行接入，對(duì)流量實(shí)施控制 Cisco 國(guó)內(nèi) SCE產(chǎn)品團(tuán)隊(duì)50人 1.在電信局部區(qū)域有銷售 2.在鐵通、網(wǎng)通有較大份額 SCE系列產(chǎn)品，串行接入，對(duì)流量實(shí)施控制 Caspin 美國(guó)公司，全球140人，中國(guó) 5人 1.在上海電信城域網(wǎng)出口部署 2.在聯(lián)通和鐵通有部分銷售 Caspin流控服務(wù)器，串行接入，實(shí)施總體流量控制 12 所反映問題 流量識(shí)別效率 每種系統(tǒng)都存在一定的未識(shí)別流量，其中信風(fēng)系統(tǒng)的流量未識(shí)別率占 20% 數(shù)據(jù)單向采集 理論上，數(shù)據(jù)單向采集對(duì)識(shí)別精度會(huì)造成一定影響 若進(jìn)行雙向數(shù)據(jù)采集，硬件成本將翻倍 需要在識(shí)別精度與投資成本之間做平衡 技術(shù)支持力度 IP網(wǎng)監(jiān)控技術(shù)處于發(fā)展中，提供解決方案的廠家大部分規(guī)模較小，系統(tǒng)支持能力和后續(xù)開發(fā)能力有待觀察 系統(tǒng)部署原則 各省市在解決方案選擇、部署方式和部署范圍等方面缺乏相應(yīng)規(guī)劃和原則，造成一定重復(fù)投資 13 存在問題后續(xù)計(jì)劃 4 目錄 技術(shù)現(xiàn)狀分析 2 系統(tǒng)部署建議 3 調(diào)研情況介紹 1 14 監(jiān)控技術(shù)發(fā)展趨勢(shì) 一拖 N技術(shù) 采用多種技術(shù)手段實(shí)現(xiàn)非法共享上網(wǎng)，方式更加隱蔽 P2P技術(shù) 將接入節(jié)點(diǎn)分散化，接入 P2P網(wǎng)絡(luò)的方式更隱蔽 通過改變協(xié)議端口或端口冒充的方式，逃避打擊 采用報(bào)文加密方式，增加識(shí)別難度 VOIP技術(shù) 將信令網(wǎng)關(guān) /媒體網(wǎng)關(guān)分散化，逃避打擊 通過“私有隧道”方式轉(zhuǎn)發(fā)信令和媒體流，方式更隱蔽 通過改變協(xié)議端口或端口冒充的方式，逃避打擊 技術(shù)發(fā)展趨勢(shì) 監(jiān)控技術(shù)發(fā)展趨勢(shì) 綜合多種技術(shù)手段進(jìn)行流量識(shí)別，減少對(duì)一拖 N、 P2P和 VOIP業(yè)務(wù)的誤判現(xiàn)象 通過雙向鏈路采集進(jìn)行流量識(shí)別，提高 P2P和 VOIP的識(shí)別率 通過媒體流和信令流關(guān)聯(lián)檢測(cè)的方式，提高 VOIP識(shí)別率 15 典型解決方案 A類 協(xié)議轉(zhuǎn)換器 前置設(shè)備 網(wǎng)絡(luò)設(shè)備 分光 控制鏈路 統(tǒng)計(jì)管理服務(wù)器群 Internet 通過分光 /旁路方式采集鏈路數(shù)據(jù)，然后通過協(xié)議轉(zhuǎn)換器將數(shù)據(jù)輸入前置設(shè)備進(jìn)行深度分析監(jiān)測(cè)，并依據(jù)監(jiān)測(cè)結(jié)果對(duì)特定流量實(shí)施控制。 代表廠家：華為、信風(fēng)、傲天、寬廣等 支持一拖 N監(jiān)控、 VOIP監(jiān)控、 P2P監(jiān)控和流量統(tǒng)計(jì)分析功能 16 典型解決 方案 B 類 監(jiān)控方式 將監(jiān)控設(shè)備直接串接在物理鏈路上，對(duì)所有流量進(jìn)行深度分析監(jiān)測(cè)，并依據(jù)結(jié)果實(shí)施控制。 監(jiān)控設(shè)備 統(tǒng)計(jì)管理服務(wù)器 代表廠家： Cisco、 Allot、寬廣等 監(jiān)控設(shè)備 統(tǒng)計(jì)管理服務(wù)器 監(jiān)測(cè)方式 支持 VOIP監(jiān)控、 P2P監(jiān)控和流量統(tǒng)計(jì)分析功能 一拖 N監(jiān)控功能支持較弱，不能監(jiān)測(cè)分時(shí)共享上網(wǎng)方式 通過分光方采集流量，對(duì)所有流量通過進(jìn)行深度分析監(jiān)測(cè)，不能進(jìn)行相應(yīng)控制。 支持 VOIP監(jiān)測(cè)、 P2P監(jiān)測(cè)和流量統(tǒng)計(jì)分析功能 對(duì)一拖監(jiān)測(cè)功能支持較弱，不能監(jiān)測(cè)分時(shí)共享上網(wǎng)方式 17 典型解決 方案 C類 直接串接在物理鏈路上，根據(jù)五元組、 VLAN ID、 DSCP/EXP以及流特征信息，識(shí)別各類流量，并通過流量整形和隊(duì)列調(diào)度等方式控制流量。 代表廠家： Caspin等 監(jiān)控設(shè)備 支持 VOIP監(jiān)控、 P2P監(jiān)控，不區(qū)分具體應(yīng)用，不能精細(xì)控制 流量統(tǒng)計(jì)分析功能支持較弱，不對(duì)具體應(yīng)用做統(tǒng)計(jì)分析 不支持一拖 N監(jiān)控功能 18 流量監(jiān)控方案技術(shù)趨勢(shì) A類方案 B類方案 C類方案 對(duì)垃圾流量的抑制能力 不支持 可識(shí)別病毒等流量，并進(jìn)行抑制 較類方案弱 差異化服務(wù) 不支持 支持 較類方案弱 部署靈活性 可部署在網(wǎng)絡(luò)的各個(gè)層面 受到接口類型限制，部署層次較低 主要部署在網(wǎng)絡(luò)出口 功能擴(kuò)展性 可靈活加載各類功能模塊 較類方案弱 基本不支持其它功能模塊的加載 接口類型 系統(tǒng)的接口類型主要取決于協(xié)議轉(zhuǎn)換器，接口類型豐富 系統(tǒng)主要由硬件實(shí)現(xiàn)，開發(fā)周期長(zhǎng)，主要有 GE和 OC48 目前支持的接口類型有 GE、 10GE、OC48和 OC192 技術(shù)能力比較 從技術(shù)發(fā)展方向看， B類方案是未來(lái)的主要方向，但存在端口類型單一、開發(fā)周期較長(zhǎng)和系統(tǒng)可靠性有待進(jìn)一步驗(yàn)證等局限性 A類方案對(duì)現(xiàn)網(wǎng)影響較小，接口類型較為豐富，可部署在網(wǎng)絡(luò)的各個(gè)層次，盡管控制手段具有局限性，可做為目前的主要解決方案 19 存在問題后續(xù)計(jì)劃 4 目錄 技術(shù)現(xiàn)狀分析 2 系統(tǒng)部署建議 3 調(diào)研情況介紹 1 20 IP監(jiān)控系統(tǒng)部署建議 不宜做為 IP網(wǎng)絡(luò)管理和優(yōu)化的主要手段，仍需通過差異化服 務(wù)等手段為 IP網(wǎng)絡(luò)優(yōu)化提供保證 系統(tǒng)定位 部署原則 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 層次部署 IP監(jiān)控系統(tǒng)應(yīng)分不同網(wǎng)絡(luò)層次部署，以保證各個(gè)層次協(xié) 調(diào)一致，避免重復(fù)檢測(cè)，最大限度節(jié)省投資，提高監(jiān)控 效果 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 系統(tǒng)復(fù)用 為節(jié)省投資，在部署系統(tǒng)時(shí)，應(yīng)考慮系統(tǒng)硬件的可復(fù)用 性，以便后續(xù)增加功能模塊時(shí)，不需大規(guī)模增加投 資 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 機(jī)動(dòng)部署 為節(jié)省投資，在不影響系統(tǒng)監(jiān)控效果的前提下，不建議 全面覆蓋特定網(wǎng)絡(luò)區(qū)域。 21 系統(tǒng)綜合部署建議 采用 A類方案，同時(shí)部署 P2P和 VOIP監(jiān)控模塊 考慮到非業(yè)務(wù)省 VOIP模塊的機(jī)動(dòng)部署，存在一定量的 VOIP流量不能控制，因此，在國(guó)際和互聯(lián)互通出口部署 VOIP監(jiān)控模塊 系統(tǒng)應(yīng)至少覆蓋單向鏈路 國(guó)際和互聯(lián)互通出口 省際鏈路業(yè)務(wù)省份 采用 A類方案，同時(shí)部署 P2P、 VOIP和一拖 N監(jiān)控模塊 系統(tǒng)應(yīng)至少覆蓋單向鏈路 省際鏈路非業(yè)務(wù)省份 采用 A類方案，同時(shí)部署 VOIP和一拖 N監(jiān)控模塊，機(jī)動(dòng)方式部署 機(jī)動(dòng)部署原則：在每個(gè)省匯接節(jié)點(diǎn)所在城市以匯接節(jié)點(diǎn)所在機(jī)房為單位，部署一套系統(tǒng)，每套系統(tǒng)應(yīng)至少覆蓋單臺(tái)路由器的單向鏈路 業(yè)務(wù)省份指省際鏈路總帶寬超過 310G的省份 22 系統(tǒng)綜合部署建議 采用 A類方案，在業(yè)務(wù)地市城域網(wǎng)出口部署 P2P監(jiān)控系統(tǒng)，系統(tǒng)應(yīng)至少覆蓋單向鏈路 采用 A類方案，在 VOIP分流嚴(yán)重的城域網(wǎng)出口機(jī)動(dòng)部署 VOIP監(jiān)控系統(tǒng) 機(jī)動(dòng)部署原則：每套系統(tǒng)應(yīng)能覆蓋單臺(tái)城域網(wǎng)出口路由器的單向鏈路 采用 A類方案，在業(yè)務(wù)地市同時(shí) VOIP分流嚴(yán)重的城域網(wǎng)出口，同時(shí)部署 P2P和 VOIP監(jiān)控模塊 系統(tǒng)應(yīng)至少覆蓋單向鏈路 城域網(wǎng)出口鏈路 城域網(wǎng)內(nèi)部鏈路 采用 B類方案，在 P2P流量較為集中的區(qū)域部署 P2P監(jiān)控設(shè)備 對(duì)于 A類方案，目前可采用單向檢測(cè)的方式部署在出方向鏈路上，未來(lái)單向檢測(cè)不能滿足監(jiān)控需求的條件下，可考慮雙向部署 23 國(guó)際和互聯(lián)互通鏈路投資估算 鏈路帶寬 華為 (73.1萬(wàn) /10G) 信風(fēng) (73萬(wàn) /10G) 寬廣 (65萬(wàn) /10G) Caspin (267.6萬(wàn) /10G) 國(guó)際出口 (165G) 1206.2萬(wàn) 1204.5萬(wàn) 1072.5萬(wàn) 4415.4萬(wàn) 互聯(lián)互通出口 (316G) 2310萬(wàn) 2306.8萬(wàn) 2054萬(wàn) 8456.2萬(wàn) 說明： 1.鏈路總帶寬源自規(guī)劃文稿，為 2007規(guī)劃帶寬 2.各系統(tǒng)均按采購(gòu) P2P和 VOIP監(jiān)控模塊計(jì)算 3.信風(fēng)系統(tǒng)折算價(jià)格源自江蘇一期工程合同價(jià)格 4.華為、寬廣和 Caspin的價(jià)格源自各公司針對(duì)中國(guó)電信的報(bào)價(jià) 5.寬廣系統(tǒng)和 Caspin設(shè)備采用串接方式，進(jìn)行雙向監(jiān)測(cè) 6.信風(fēng)和華為系統(tǒng)都是單向監(jiān)測(cè)，若雙向監(jiān)測(cè)，成本應(yīng)在此基 礎(chǔ)上乘以 2 24 省際城域網(wǎng)出口鏈路投資估算 鏈路帶寬 華為 (88.75萬(wàn) /10G) 信風(fēng) (79.2萬(wàn) /10G) 寬廣 (257萬(wàn) /10G) 總帶寬 (5113G) 45377.9萬(wàn) 40495 萬(wàn) 131404.1萬(wàn) 業(yè)務(wù)大省 (3265G) 28976.9萬(wàn) 25858.8萬(wàn) 83910.5萬(wàn) 1. 鏈路總帶寬為源自規(guī)劃文稿，為 2007規(guī)劃帶寬 2. 信風(fēng)系統(tǒng)折算價(jià)格源自江蘇一期工程合同價(jià)格，華為、寬廣， Caspin的價(jià)格源自各公司針對(duì)中國(guó)電信的報(bào)價(jià) 3. 信風(fēng)和華為系統(tǒng)都是單向監(jiān)測(cè)，若雙向監(jiān)測(cè)，成本應(yīng)在基礎(chǔ)上乘以 2 4. 省際鏈路部署的系統(tǒng)，按 P2P、 VOIP和一拖 N監(jiān)控模塊估算 5. 城域網(wǎng)出口鏈路部署的系統(tǒng)，按 P2P和 VOIP監(jiān)控模塊估算 6. 寬廣系統(tǒng)需由 SSS平臺(tái)和 UA平臺(tái)完成 P2P、 VOIP和一拖 N監(jiān)控功能 鏈路帶寬 華為 (73.1萬(wàn) /10G) 信風(fēng) (73萬(wàn) /10G) 寬廣 (65萬(wàn) /10G) Caspin(267.6萬(wàn) /10G) 5300G 38743萬(wàn) 38690萬(wàn) 34450萬(wàn) 141828萬(wàn) 省出口鏈路投資估算 城域網(wǎng)出口鏈路投資估算 說明 25 建議方案總投資估算 國(guó)際互聯(lián)互通城域網(wǎng)出口鏈路投資估算 典型廠家 華為 信風(fēng) 寬廣 Caspin 投資估算 42259.2萬(wàn) 42201.3萬(wàn) 37576.5萬(wàn) 154699.6萬(wàn) 國(guó)際互聯(lián)互通省出口鏈路投資估算 典型廠家 華為 信風(fēng) 寬廣 投資估算 48894.1萬(wàn) 44006.3萬(wàn) 134530.6萬(wàn) 說明 1. 鏈路總帶寬為源自規(guī)劃文稿，為 2007規(guī)劃帶寬 2. 信風(fēng)系統(tǒng)折算價(jià)格源自江蘇一期工程合同價(jià)格，華為、寬廣的價(jià)格源自各公司針對(duì)中國(guó)電信的報(bào)價(jià) 3. 信風(fēng)和華為系統(tǒng)都是單向監(jiān)測(cè)，若雙向監(jiān)測(cè)，成本應(yīng)在基礎(chǔ)上乘以 2 4. Caspin設(shè)備不能實(shí)現(xiàn)一拖 N監(jiān)控，所以總投資估算中，不包括其在省出口鏈路的投資 26 建議方案總投資估算 國(guó)際互聯(lián)互通業(yè)務(wù)大省部分非業(yè)務(wù)省出口鏈路投資估算 典型廠家 華為 信風(fēng) 寬廣 國(guó)際出口估算 1206.2萬(wàn) 1204.5萬(wàn) 1072.5萬(wàn) 互聯(lián)互通出口估算 2310萬(wàn) 2306.8萬(wàn) 2054萬(wàn) 業(yè)務(wù)大省出口估算 28976.9萬(wàn) 25858.8萬(wàn) 83910.5萬(wàn) 部分非業(yè)務(wù)省 VOIP機(jī)動(dòng)監(jiān)控估算 2127.5萬(wàn) 2471.6萬(wàn) 2405萬(wàn) 總投資估算 34620.6萬(wàn) 31841.7萬(wàn) 89442萬(wàn) 說明 1. 鏈路總帶寬為源自規(guī)劃文稿，為 2007規(guī)劃帶寬 2. 信風(fēng)系統(tǒng)折算價(jià)格源自江蘇一期工程合同價(jià)格，華為、寬廣的價(jià)格源自各公司針對(duì)中國(guó)電信的報(bào)價(jià) 3. 信風(fēng)和華為系統(tǒng)都是單向監(jiān)測(cè)，若雙向監(jiān)測(cè)，成本應(yīng)在基礎(chǔ)上乘以 2 4. 非業(yè)務(wù)省機(jī)動(dòng)部署核算按非業(yè)務(wù)省帶寬的 20%估算，非業(yè)務(wù)省帶寬為 1848G，因此，機(jī)動(dòng)部署鏈路帶寬為 369.6G 27 流量統(tǒng)計(jì)分析系統(tǒng)試點(diǎn)部署建議 宜結(jié)合骨干網(wǎng)網(wǎng)管已有設(shè)備能力實(shí)施業(yè)務(wù)流量分析，在準(zhǔn)確性、分析粒度不能達(dá)到要求的情況下，可結(jié)合其他監(jiān)控功能模塊考慮建設(shè) 。 建議充分發(fā)揮 Netflow的功能，實(shí)現(xiàn)初步的業(yè)務(wù)流量分析 建議在國(guó)際和互聯(lián)互通出口、省出口以及城域網(wǎng)出口等各網(wǎng)絡(luò)層次選擇部分節(jié)點(diǎn)，試點(diǎn)部署 可采用類方案和類方案的監(jiān)測(cè)方式部署設(shè)備，進(jìn)行雙向監(jiān)測(cè)；目前優(yōu)先選擇 A類方案 業(yè)務(wù)流量分析模塊 用戶行為分析模塊 鑒于目前需求不明確，投資規(guī)模較大，建議現(xiàn)階段不宜部署，由集團(tuán)統(tǒng)一組織試點(diǎn) 可選擇城域網(wǎng)內(nèi)部分 BRAS/SR的上聯(lián)鏈路，以類方案的監(jiān)測(cè)方式部署設(shè)備，對(duì)鏈路進(jìn)行雙向監(jiān)測(cè)分析 28 用戶行為分析模塊投資估算 估算說明： 1.每用戶的平均帶寬按 0.5M估算 ；寬帶用戶收斂比按 1:3計(jì)算， 2008年規(guī)劃寬帶用戶為 4854萬(wàn)，則同時(shí)在線的用戶為 1618萬(wàn) ,總體帶寬估算為 8090G 3.信風(fēng)系統(tǒng)單臺(tái)前置設(shè)備和服務(wù)器價(jià)格分別為 6.7萬(wàn)和 18萬(wàn)，服務(wù)器 :前置機(jī) =1:10,所以 單臺(tái)價(jià)格 折合為 8.5萬(wàn) 4.華為系統(tǒng)單臺(tái)前置設(shè)備和服務(wù)器價(jià)格分別為 6萬(wàn)和 18萬(wàn)，服務(wù)器 :前置機(jī)=1:10,所以 單臺(tái)價(jià)格 折合為 7.8萬(wàn) 5.寬廣系統(tǒng)單臺(tái)前置設(shè)備和服務(wù)器價(jià)格分別為 23萬(wàn)和 80萬(wàn)，服務(wù)器 :前置機(jī) =1:20,所以 單臺(tái)價(jià)格 折合為 27萬(wàn) 6.總體估價(jià)單臺(tái)價(jià)格 *總體帶寬 /設(shè)備能力 監(jiān)控系統(tǒng) 設(shè)備能力 單臺(tái)價(jià)格 總體估價(jià) 信風(fēng)系統(tǒng) 雙向 1G 8.5萬(wàn) 6.88億 華為系統(tǒng) 雙向 1G 7.8萬(wàn) 6.31億 寬廣系統(tǒng) 雙向 1G 27萬(wàn) 21.84億 29 目錄 技術(shù)現(xiàn)狀分析 2 調(diào)研情況介紹 1 存在問題后續(xù)計(jì)劃 4 系統(tǒng)部署建議 3 30 存在問題后續(xù)計(jì)劃 IP網(wǎng)監(jiān)控技術(shù)處于發(fā)展中，部署現(xiàn)有解決方案，存在一定技術(shù)風(fēng)險(xiǎn) 需要探討收益評(píng)估方法，以便對(duì)系統(tǒng)部署的收益進(jìn)行客觀公正的評(píng)價(jià) 存在問題 后續(xù)計(jì)劃 全面測(cè)試各類解決方案，驗(yàn)證其功能和性能，為集團(tuán)統(tǒng)一組織部署提供依據(jù) 驗(yàn)證系統(tǒng)機(jī)動(dòng)部署的可行性 驗(yàn)證各解決方案的機(jī)動(dòng)部署范圍 探討華為、信風(fēng)、傲天等廠家以服務(wù)器軟件等方式機(jī)動(dòng)部署的原則 探討 Cisco、 Allot等廠家便攜式設(shè)備機(jī)動(dòng)部署的原則 對(duì)用戶行為分析系統(tǒng)做試點(diǎn)驗(yàn)證 31 謝謝！ 32 系統(tǒng)部署建議 4 附件 各類方案其它能力比較 2 監(jiān)控技術(shù)分析 3 江蘇電信部署情況 1 33 江蘇電信部署情況 江蘇電信 IP網(wǎng)用戶行為分析系統(tǒng)由華為公司和南京信風(fēng)公司共同完成 華為公司負(fù)責(zé)硬件部分和系統(tǒng)總集成，信風(fēng)公司負(fù)責(zé)軟件的開發(fā) 一期工程于 2006.1開始部署，二期擴(kuò)容工程于 2006.9完成 硬件投資 軟件投資 投資總額 監(jiān)控鏈路 實(shí)現(xiàn)功能 一期工程 777.5萬(wàn) 315.5萬(wàn) 1093萬(wàn) 16*OC192 一拖 N監(jiān)控、 P2P監(jiān)控、 VOIP監(jiān)控、流量統(tǒng)計(jì)分析 二期工程 2358萬(wàn) 325萬(wàn) 2749萬(wàn) 56*OC192 一拖 N監(jiān)控、 P2P監(jiān)控、 VOIP監(jiān)控、流量統(tǒng)計(jì)分析、廣告推送 34 江蘇一期系統(tǒng)框圖 在南京、無(wú)錫兩地集中部署，采集省出口電路的上行流量 35 江蘇一期系統(tǒng)主要構(gòu)成 網(wǎng)絡(luò)接口轉(zhuǎn)換器 2臺(tái) NE80E，各分光 8條 10G POS線路，進(jìn)行協(xié)議轉(zhuǎn)換，負(fù)載到 62和 66個(gè) GE口。 分別部署在南京、無(wú)錫兩地。 預(yù)處理服務(wù)器 南京、無(wú)錫分別部署 62和 66臺(tái)。 每臺(tái)服務(wù)器 1個(gè) GE接口，可處理 850Mbps流量 (現(xiàn)網(wǎng)監(jiān)測(cè)得到的數(shù)據(jù) )。 二次處理服務(wù)器 南京、無(wú)錫各 2臺(tái)，作為共享接入檢測(cè)的二次驗(yàn)證和處理 統(tǒng)計(jì)管理服務(wù)器 3臺(tái)，部署在南京，完成策略下發(fā)，管理，統(tǒng)計(jì)報(bào)表功能 Radius處理服務(wù)器 2臺(tái)，部署在南京，解析 Radius報(bào)文，實(shí)現(xiàn) IP與帳號(hào)對(duì)應(yīng)。 36 系統(tǒng)部署建議 4 附件 江蘇一期系統(tǒng)構(gòu)成 1 監(jiān)控技術(shù)分析 3 各類方案其它能力比較 2 37 系統(tǒng)部署建議 4 附件 各類方案其它能力比較 2 江蘇一期系統(tǒng)構(gòu)成 1 監(jiān)控技術(shù)分析 3 38 一拖 N常見類型 公眾用戶 以個(gè)人名義申請(qǐng)，實(shí)際為單位、企業(yè)使用； A： 42% 相鄰的多個(gè)家庭接入共享； B： 35% 學(xué)生、職工等集體宿舍共用； C：11% 以個(gè)人名義申請(qǐng)，開展經(jīng)營(yíng)的 “ 黑 ”網(wǎng)吧 D： 3% 專線用戶 假接入，真互聯(lián)：以專線方式在本地或異地接入中國(guó)電信的網(wǎng)絡(luò)，而為其它運(yùn)營(yíng)商提供全部 /部分網(wǎng)絡(luò)互聯(lián)服務(wù)。 說明：公眾用戶一拖 N構(gòu)成比例來(lái)自江蘇電信調(diào)研數(shù)據(jù) 39 “一拖 N”識(shí)別技術(shù) 鏈路層信息 不同主機(jī)所攜帶 MAC地址不同，可識(shí)別 NAT方式的“一拖 N” 網(wǎng)絡(luò)層信息 1.不同主機(jī)所攜帶 IP頭擴(kuò)展屬性如 identification的遞增規(guī)律不同 ； 2.NAT設(shè)備會(huì)對(duì) IP報(bào)文 TTL值減一，若 TTL值與初始值不同，則認(rèn)為“一拖 N” 傳輸層信息 1.分析某源地址的并發(fā) TCP/UDP連接，若超過設(shè)定值則為疑似對(duì)象 2.分析某源地址的 TCP/UDP端口變化范圍 應(yīng)用層信息 1.分析 Email帳號(hào)、 QQ帳號(hào)、 MSN帳號(hào)等信息 2.分析 IE瀏覽器版本信息 3.分析 Windows Update信息 4.分析 Http報(bào)文中的 User Agent、 cookie等信息 操作系統(tǒng)信息 分析 Windows操作系統(tǒng)所攜帶用戶信息、 OS版本等 SNMP掃描 1.掃描主機(jī)或 ADSL Modem的 SNMP信息，提取主機(jī)數(shù)；因?yàn)橛脩舴错戄^大，目前已基本不用 2.典型產(chǎn)品：網(wǎng)絡(luò)尖兵 植入 cookie 1.向用戶電腦植入 COOKIE，同一帳號(hào)下不同電腦有不同的 COOKIE，統(tǒng)計(jì) COOKIE就可知道同一帳號(hào)下掛接多少臺(tái)不同電腦。 2.典型產(chǎn)品：傲天的“一拖 N” 監(jiān)控模塊 被動(dòng)識(shí)別 主動(dòng)識(shí)別 40 “一拖 N”識(shí)別技術(shù)特點(diǎn) 主動(dòng)識(shí)別 被動(dòng)識(shí)別 差異 1.主動(dòng)向用戶發(fā)送數(shù)據(jù)，容易被用戶察覺，招致不滿 2.用戶可通過一些手段躲避監(jiān)測(cè) 3.目前只用作輔助識(shí)別手段 1.被動(dòng)監(jiān)測(cè)用戶的網(wǎng)上流量信息 2.不對(duì)用戶造成影響，不被用戶察覺 3.是目前的主要識(shí)別手段 共性 1.一般需要較長(zhǎng)時(shí)間才能得到較準(zhǔn)確的檢測(cè)結(jié)果，實(shí)時(shí)性不高 2.除 SNMP掃描方式外，主要對(duì)用戶主機(jī)發(fā)出的信息進(jìn)行檢測(cè)，因此只需要監(jiān)測(cè)用戶的上行數(shù)據(jù) 3.識(shí)別設(shè)備不需要串接在網(wǎng)絡(luò)中，不會(huì)影響網(wǎng)絡(luò)的性能 . 41 “假接入，真互聯(lián)”常規(guī)識(shí)別方法 在中國(guó)電信城域網(wǎng)內(nèi)部、省網(wǎng)內(nèi)部、骨干網(wǎng)內(nèi)部搭建 FTP服務(wù)器 在對(duì)方用戶終端上對(duì)國(guó)際站點(diǎn)以及上述 FTP服務(wù)器地址執(zhí)行 Traceroute操作 從電信網(wǎng)內(nèi)執(zhí)行反向traceroute 用戶終端登錄 FTP服務(wù)器 ,在服務(wù)器上用 Netstat查找該用戶登錄到 ftp服務(wù)器的公網(wǎng) IP地址 從服務(wù)器執(zhí)行反向 tracert 根據(jù)接入地址定位接入點(diǎn) 對(duì)方網(wǎng)絡(luò)開啟 Traceroute功能 對(duì)方網(wǎng)絡(luò)關(guān)閉 Traceroute功能 對(duì)方用戶使用公有地址 對(duì)方用戶使用私有地址 逐跳查找接入 IP地址 42 一拖 N控制技術(shù) 阻斷 TCP連接 向用戶發(fā)送 TCP reset報(bào)文，中斷用戶的 TCP連接 WEB頁(yè)面重定向 向用戶發(fā)送 HTTP Redirect報(bào)文，將用戶強(qiáng)制重定向到警告頁(yè)面 1.控制設(shè)備只要與網(wǎng)絡(luò)連通即可，不需要串接在網(wǎng)絡(luò)中，控制設(shè)備不會(huì)成為故障點(diǎn) 2.控制設(shè)備可在網(wǎng)絡(luò)的任何層面接入網(wǎng)絡(luò) 網(wǎng)站 非法接入監(jiān)控 1 http 2 得到警告頁(yè)面 3 4 非法接入用戶 WEB頁(yè)面重定向 43 主要 P2P應(yīng)用類型 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 下載型 通過 Peer(對(duì)等體 )之間的文件片段交換實(shí)現(xiàn)文件下載的應(yīng)用 典型應(yīng)用： BT、迅雷、 Poco、 eMule/eDonkey等 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 流媒體型 通過 Peer(對(duì)等體 ) 之間的流媒體片段交換實(shí)現(xiàn)流媒體播放功能的應(yīng)用。 典型應(yīng)用： PPLive、 PPStream、 QQLive等 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 即時(shí)通信型 通過 Peer(對(duì)等體 )通過語(yǔ)音、視頻和文字等進(jìn)行實(shí)時(shí)在線交流的應(yīng)用。 典型應(yīng)用： QQ、 MSN、 Skype等 44 P2P識(shí)別技術(shù) 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 DPI技術(shù) 深度報(bào)文檢測(cè)技術(shù) (Deep Packet Inspection) 針對(duì)報(bào)文凈荷中的特征字、協(xié)議指紋以及報(bào)文之間的邏輯關(guān)系等因素識(shí)別 P2P流量的技術(shù) 識(shí)別精度較高，但需對(duì)特定協(xié)議的應(yīng)用層特征被動(dòng)跟蹤 對(duì)加密流量識(shí)別較困難 適用于 A類和 B類解決方案 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 DFI技術(shù) 深度流檢測(cè)技術(shù) (Deep Flow Inspection) 針對(duì)報(bào)文頭部的五元組信息、 VLAN ID以及 DSCP/EXP等識(shí)別特定數(shù)據(jù)流，并結(jié)合平均速率，流持續(xù)時(shí)間，字節(jié)數(shù)，包長(zhǎng)等流特征信息，識(shí)別流量的技術(shù) 識(shí)別精度不高，可能出現(xiàn)誤判，但不需要跟蹤特定應(yīng)用的細(xì)節(jié)變化 報(bào)文加密與否不影響其識(shí)別精度 適用于 C類解決方案 45 P2P DPI識(shí)別技術(shù) 特征字識(shí)別 特征字 :報(bào)文凈荷中所包含的用于區(qū)別于其它應(yīng)用的特定字符串 . 每種協(xié)議都有特征字，如 BitTorrent協(xié)議中的 “ User-Agent: BitTorrent”等 協(xié)議指紋識(shí)別 協(xié)議指紋 :P2P報(bào)文的應(yīng)用層格式所呈現(xiàn)的特征。 大多數(shù) P2P協(xié)議應(yīng)用層封裝中都呈現(xiàn)出類似 TLV的格式，而且有些協(xié)議在內(nèi)容凈荷的頭和尾部還有一些特殊的字符，如 |，$等 協(xié)議狀態(tài)機(jī)識(shí)別 協(xié)議狀態(tài)機(jī) :P2P客戶端在 Peer和 Peer的交互過程中所遵循規(guī)律。 大多數(shù) P2P應(yīng)用采用特有 “ 信令 ” 過程，如 BT在 Peer之間存在Handshake過程。在數(shù)據(jù)傳輸階段也有類似的握手過程。 通信特征識(shí)別 通信特征 :特定 P2P