Panaibt協(xié)議流控網(wǎng)關(guān)技術(shù)白皮書(V72).doc

PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 1 Panabit 應(yīng)用層流量控制設(shè)備 技術(shù)白皮書 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 2 目 錄 1 前言 3 2 產(chǎn)品背景 4 2 1 P2P應(yīng)用概況 4 2 2 P2P對(duì)網(wǎng)絡(luò)的影響 5 2 3 P2P應(yīng)用技術(shù)發(fā)展 5 3 處理 P2P 策略 7 4 如何檢測(cè)網(wǎng)絡(luò)中的 P2P 流量 8 5 技術(shù)解決方案 10 6 系統(tǒng)架構(gòu) 11 7 主要功能特色 13 7 1 強(qiáng)大的協(xié)議識(shí)別引擎 14 7 2靈活的帶寬管理 18 7 3 內(nèi)網(wǎng)IP統(tǒng)計(jì)功能 21 7 4簡(jiǎn)單易用的單IP限速 21 7 5豐富的報(bào)表統(tǒng)計(jì) 21 7 6系統(tǒng)高可用性 23 7 7全中文化安全的Web管理 23 7 8靈活方便的部署方案 23 7 9全面的行為日志統(tǒng)計(jì)和查詢 23 附錄一 PANABIT應(yīng)用層流量控制設(shè)備部署方案 24 1 1透明網(wǎng)橋模式 24 1 2旁路監(jiān)聽(tīng)模式 24 附錄二 典型案例 26 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 3 1 前言 當(dāng)前的 IP 網(wǎng)絡(luò) 基于應(yīng)用的分類管理 應(yīng)用可視性和網(wǎng)絡(luò)可管理性的地位比以前 更重要 需求也更加迫切 P2P 應(yīng)用的廣泛流行 已是桌面應(yīng)用和網(wǎng)絡(luò)流量的主流 出于技術(shù)與市場(chǎng)的驅(qū)動(dòng) 唯有專業(yè)的應(yīng)用層流量管理產(chǎn)品 才能跟蹤并分析網(wǎng)絡(luò) 用戶 的流量模式 更加有效的管理網(wǎng)絡(luò)帶寬資源 并加強(qiáng)服務(wù)特色化 管控結(jié)合 提高網(wǎng) 絡(luò)運(yùn)行效率 提升用戶滿意度和忠誠(chéng)度 具有多方面的益處 P2P Peer to Peer 應(yīng)用是不需關(guān)照的下載方式 增加網(wǎng)絡(luò)峰值帶寬和峰值持續(xù)時(shí) 間 使用隨機(jī)端口 port hopping 流量普遍占到網(wǎng)絡(luò)總流量的 60 80 為了 讓用戶更快的體驗(yàn)和暢通無(wú)阻 則極力爭(zhēng)搶帶寬和逃避監(jiān)管 由于使用隨機(jī)端口 傳 統(tǒng)的基于端口來(lái)區(qū)分應(yīng)用的方式就失去了作用 Panabit 應(yīng)用層流量控制設(shè)備是在 P2P 流行時(shí)代 誕生的新一代應(yīng)用層流量管理 產(chǎn)品 支持對(duì) IP 流量的應(yīng)用分類 實(shí)時(shí)控制用戶組 應(yīng)用服務(wù)流量 Panabit 應(yīng)用層 流量控制設(shè)備的解決方案是基于狀態(tài)和特征的檢測(cè) 精確識(shí)別 11 大類 700 余種常用協(xié) 議 并創(chuàng)新地自主開發(fā) 協(xié)議特征描述語(yǔ)言 PSDL Protocol Signature Description Language 使得維護(hù)協(xié)議特征庫(kù)更加方便快捷 應(yīng)用分類中對(duì) P2P 應(yīng)用的分類是關(guān)鍵 主要是由于 P2P 的特性所決定 BT 等 P2P 應(yīng)用由于其獨(dú)特的設(shè)計(jì)理念 在客戶端軟件中加入了大量對(duì)抗網(wǎng)絡(luò)封堵 限制的 技術(shù)手段 識(shí)別 P2P 既不能誤判也不能漏判 否則就不能達(dá)到真正對(duì)應(yīng)用流量的帶 寬限制或保證 很多非專業(yè)產(chǎn)品 通過(guò)限制 TCP 并發(fā)連接數(shù)的方法控制 P2P 并不不 科學(xué) 容易影響其他正常流量的速度 Panabit 應(yīng)用層流量控制設(shè)備經(jīng)過(guò) 6 年的技術(shù)積 累和實(shí)踐 以應(yīng)用特征識(shí)別與控制 是一款真正的應(yīng)用層流量管理產(chǎn)品 處理應(yīng)用分類控制 處理 P2P 識(shí)別和控制 不但要求識(shí)別準(zhǔn)確性 而且要求實(shí)時(shí) 性能 Panabit 應(yīng)用層流量控制設(shè)備一般是作為網(wǎng)關(guān)類設(shè)備部署在網(wǎng)絡(luò)出口 對(duì)時(shí)間延 遲提出了更高的要求 在識(shí)別技術(shù)方面 Panabit 應(yīng)用層流量控制設(shè)備在基于會(huì)話和特 征識(shí)別的基礎(chǔ)上 采用主動(dòng)探測(cè)技術(shù)和智能技術(shù) 識(shí)別特征模糊和被加密的 P2P 協(xié)議 有效提高識(shí)別率 在性能保證方面 利用節(jié)點(diǎn)技術(shù)和硬件處理特性 如定制硬件驅(qū)動(dòng) PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 4 充分發(fā)揮硬件性能 從而達(dá)到整體的高性能 Panabit 應(yīng)用層流量控制設(shè)備從基礎(chǔ)軟件架構(gòu)上 就充分考慮應(yīng)用層處理的特性 專為處理應(yīng)用層識(shí)別與控制設(shè)計(jì)了專用 PANOS Panabit 應(yīng)用層流量控制設(shè)備使用 Intel x86 硬件平臺(tái) 相比起同等級(jí)用 ASIC NP 硬件處理的產(chǎn)品 具有成本低 性能 高 升級(jí)靈活等優(yōu)勢(shì) Panabit 應(yīng)用層流量控制設(shè)備的特色是 專業(yè)的協(xié)議特征庫(kù) 并 有先進(jìn)的更新維護(hù)機(jī)制 同級(jí)硬件的整體性能高 處于國(guó)內(nèi)領(lǐng)先水平 Intel x86 單核 性能完全滿足千兆線速 使用 Intel 架構(gòu)硬件系統(tǒng)和專用軟件引擎 滿足單臺(tái)處理 8G 流量的專業(yè)性能 得 益于 Intel CPU 和 PCI Express 總線技術(shù)發(fā)展 為發(fā)展高端產(chǎn)品帶來(lái)了良好的硬件平 臺(tái) 硬件不再是瓶頸 關(guān)鍵是軟件技術(shù) Panabit 應(yīng)用層流量控制設(shè)備高端產(chǎn)品 通過(guò) 使用多顆多核 CPU 實(shí)現(xiàn) 在成本 性能 產(chǎn)品更新周期方面 具有很強(qiáng)的競(jìng)爭(zhēng)優(yōu)勢(shì) 2 產(chǎn)品背景 2 1 P2P 應(yīng)用概況 P2P 技術(shù) 即端到端對(duì)等網(wǎng)絡(luò)技術(shù) 是指網(wǎng)絡(luò)主機(jī)在充當(dāng)客戶端獲取資源的同時(shí) 充當(dāng)服務(wù)器向其它對(duì)客戶端提供服務(wù) 隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用和多媒體資源的豐富 帶寬消耗越來(lái)越大 在計(jì)算機(jī) 網(wǎng)絡(luò)發(fā)展史上 恐怕沒(méi)有任何一種網(wǎng)絡(luò)應(yīng)用像 P2P Peer to Peer 端到端對(duì)等網(wǎng)絡(luò) 技術(shù)這樣深刻的影響了寬帶網(wǎng)絡(luò)服務(wù)的運(yùn)營(yíng)模式 P2P 使文件下載共享變得簡(jiǎn)單 動(dòng) 輒 GB 級(jí)的電影下載 P2P 應(yīng)用拉動(dòng)的帶寬消耗增長(zhǎng) 據(jù)統(tǒng)計(jì) P2P 數(shù)據(jù)流量占因特 網(wǎng)總流量達(dá) 80 以上 并且在用戶總數(shù)沒(méi)有顯著增長(zhǎng)的情況下 P2P 數(shù)據(jù)流量仍然在 快速持續(xù)增長(zhǎng) 使得寬帶運(yùn)營(yíng)商的成本增加 收益降低 網(wǎng)絡(luò)效率和服務(wù)質(zhì)量下降 甚至沖擊其他業(yè)務(wù)收入 短短幾年 P2P 技術(shù)迅猛發(fā)展 以 P2P 技術(shù)為核心的軟件產(chǎn)品 雨后春筍般的進(jìn) 入了主流計(jì)算機(jī)應(yīng)用 事實(shí)已經(jīng)十分明顯 如基于 P2P 協(xié)議的文件下載共享軟件 典 型的應(yīng)用軟件有 BitTorrent eDonkey PP 點(diǎn)點(diǎn)通 Gnutella FastTrack 酷狗 Kugoo 迅雷 DirectConnect AppleJuice 百寶 百度下吧 百兆等 這是目前被 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 5 廣泛使用 同時(shí)也是頭號(hào)帶寬殺手的應(yīng)用協(xié)議 基于 P2P 的其他應(yīng)用有 即時(shí)信息類 如騰迅 QQ 微軟 MSN YahooMessger 等 網(wǎng)絡(luò)電話類 如 Skype 等 網(wǎng)絡(luò)電視類 如 PPStream PPLive 沸點(diǎn) Recool QQLive 等 運(yùn)營(yíng)商網(wǎng)絡(luò)中 60 80 的帶寬夜以繼日地被這些應(yīng)用占用 由于傳統(tǒng)網(wǎng)絡(luò)監(jiān)控 設(shè)備無(wú)法識(shí)別 P2P 應(yīng)用 處理 P2P 必須是針對(duì) P2P 應(yīng)用的流量管理系統(tǒng) 才能監(jiān) 測(cè)網(wǎng)絡(luò)并找到正在運(yùn)行的 P2P 應(yīng)用以及誰(shuí)正在使用這些應(yīng)用 然后設(shè)定策略以保證所 有用戶的公平性 還可以追蹤使用情況以便于記帳和微調(diào)網(wǎng)絡(luò) 處理過(guò)多的流量并把 昂貴的空閑帶寬分配給那些能夠創(chuàng)造利潤(rùn)的應(yīng)用 2 2 P2P 對(duì)網(wǎng)絡(luò)的影響 P2P 技術(shù)主要提供了分布式交換數(shù)據(jù)的能力 由于個(gè)人用戶 PC 的處理能力和硬 盤空間逐步增大 資源分布存儲(chǔ)已經(jīng)變?yōu)榭赡?P2P 技術(shù)現(xiàn)階段最大的用途就是提供 了在個(gè)人用戶之間交換數(shù)據(jù)文件 通過(guò)集中資源服務(wù)器已經(jīng)不在是資源存放的唯一途 徑 P2P 技術(shù)主要帶來(lái)了如下一些變化 1 Internet 上流量模型的變化 現(xiàn)在 Internet 上 60 80 的流量都是 P2P 的流 量 而傳統(tǒng)的 HTTP 流量已經(jīng)不是 Internet 上的主要流量 2 個(gè)人用戶的流量模型的變化 以前個(gè)人用戶的下行流量 從 Internet 到個(gè)人用 戶 遠(yuǎn)遠(yuǎn)大于上行流量 而由于 P2P 技術(shù)在下載的同時(shí) 也需要上傳 導(dǎo)致個(gè)人用戶 的下行流量和上行流量都很大 3 P2P 應(yīng)用獲取帶寬的方式可謂完美 使用 永遠(yuǎn)在線 的技術(shù)日以繼夜地在進(jìn) 行貪婪的下載和上傳服務(wù) P2P 流量造成網(wǎng)絡(luò)的極度擁塞 2 3 P2P 應(yīng)用技術(shù)發(fā)展 第第 1 代集中式的代集中式的 P2P 應(yīng)用 應(yīng)用 Napster 模式 在對(duì)等計(jì)算機(jī)上運(yùn)行的這類應(yīng)用通常使用一個(gè)固定的 TCP 端口 這種模式從管理員角度來(lái)看 第一代的 P2P 應(yīng)用是比較容易處理的 管理員可以簡(jiǎn)單 地使用可根據(jù)協(xié)議端口監(jiān)測(cè)網(wǎng)絡(luò)的防火墻或者路由器限制 P2P 應(yīng)用的流量 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 6 免費(fèi) Free 文件共享理念被保留下來(lái) 分布式更易于通信 被用戶接受和追捧 在 這個(gè)模式的驅(qū)動(dòng)下 產(chǎn)生了大量新的 難于控制的 P2P 應(yīng)用 第第 2 代分布式代分布式 P2P 應(yīng)用 應(yīng)用 允許計(jì)算機(jī)能夠在任何時(shí)間 任何地點(diǎn)連接到其他計(jì)算機(jī) 而不需要中心服務(wù)器 的干涉 所有的對(duì)等計(jì)算機(jī)直接對(duì)其他的對(duì)等體進(jìn)修響應(yīng)和文件共享 第二代 P2P 應(yīng)用采用的方法中還包括一些用于規(guī)避網(wǎng)絡(luò)安全設(shè)備的 技巧 1 端口跳躍 通過(guò)這種方法 P2P 應(yīng)用將不再使用一個(gè)固定的端口號(hào) 而是采用 隨機(jī)的或者是用戶手工設(shè)定的協(xié)議端口號(hào) 2 常用端口號(hào) 一些 P2P 應(yīng)用使用 80 端口 官方規(guī)定的 HTTP 協(xié)議端口 來(lái) 避開防火墻的限制 獲得對(duì) Internet 的訪問(wèn) 這是一種很狡猾的做法 因?yàn)槠髽I(yè)通常 只開通特定的 常用的端口 如 80 端口 訪問(wèn) Internet 類似地 一些運(yùn)營(yíng)商還對(duì) 80 端 口提供更優(yōu)化的流量 因?yàn)檫@些流量被認(rèn)為是來(lái)自 HTTP 訪問(wèn) Web 的 3 HTTP 隧道 在很多企業(yè)網(wǎng)絡(luò)中 Internet 的訪問(wèn)是通過(guò) HTTP 帶來(lái)完成 對(duì) 于非 HTTP 應(yīng)用或者未經(jīng)過(guò) HTTP 的應(yīng)用將不能訪問(wèn) Internet 于是很多 P2P 應(yīng)用將 HTTP 協(xié)議作為自己基本協(xié)議 這樣就避開了這些限制 使得網(wǎng)管設(shè)備的限制實(shí)效 4 HTTP 代理隧道 P2P 客戶端將要發(fā)給 Web 邊緣的對(duì)等計(jì)算機(jī)的流量使用隧道 技術(shù)進(jìn)行封裝 通過(guò)代理 如 Socks 代理 和一些第三方的隧道應(yīng)用 如 Socks2HTTP 使 P2P 流量看起來(lái)像是標(biāo)準(zhǔn)的代理流量 而這些流量通常是不被限制 從而達(dá)到避開限制 對(duì)于這些應(yīng)用的識(shí)別和控制是非常困難的 除非借助應(yīng)用層可視性檢測(cè)工具 檢 查傳輸協(xié)議 如 TCP 協(xié)議 的載荷 Payload 部分 對(duì)不同的應(yīng)用進(jìn)行更精確的識(shí)別 第第 3 代代 P2P 應(yīng)用 應(yīng)用 第 3 代 P2P 應(yīng)用是一種介于集中式和分布式結(jié)構(gòu)之間的混合折中結(jié)構(gòu) 這一類型 的網(wǎng)絡(luò)使用 超級(jí)對(duì)等體 超級(jí)節(jié)點(diǎn) 來(lái)充當(dāng)中心服務(wù)器的角色 一方面維護(hù)網(wǎng)絡(luò)的 分布式結(jié)構(gòu) 一方面保證良好的搜索點(diǎn)擊率 網(wǎng)絡(luò)速度和可伸縮性 超級(jí)對(duì)等體是從 眾多對(duì)等體中隨機(jī)選擇 甚至被選擇的對(duì)等體自身對(duì)此也不會(huì)有所察覺(jué) 超級(jí)對(duì)等計(jì) PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 7 算機(jī)向?yàn)閿?shù)不多的一組對(duì)等計(jì)算機(jī)提供索引服務(wù) 同時(shí)超級(jí)對(duì)等體之間也彼此進(jìn)行通 信 文件傳輸在對(duì)等計(jì)算機(jī)之間直接傳輸 通過(guò)限制處理搜索的對(duì)等計(jì)算機(jī)的數(shù)量 同時(shí)也消除了使用固定 專用服務(wù)器帶來(lái)的延遲 該類型的網(wǎng)絡(luò)在提供很高的搜索性 能的同時(shí) 也繼承了分布式網(wǎng)絡(luò)的特性 某些第三代 P2P 應(yīng)用使用 SSL 協(xié)議 如 HTTPS 是用于加密 Web 流量的協(xié)議 對(duì)流量進(jìn)行加密保護(hù) 第第 4 代代 P2P 應(yīng)用 應(yīng)用 P2P 應(yīng)用最新發(fā)展的一個(gè)趨勢(shì) 典型代表有 Skype eMule 0 47c 和 BitComet 0 80 這一代的 P2P 應(yīng)用從技術(shù)上看 主要有兩個(gè)特點(diǎn) 1 通過(guò)增加無(wú)用隨機(jī)數(shù)據(jù)和數(shù)據(jù)進(jìn)行加密這兩個(gè)手段使得協(xié)議流量特征模糊化 如最新版的 eMule BitComet 等軟件 2 多協(xié)議并用 如迅雷 HTTP FTP 專用協(xié)議并存 逃避監(jiān)管 日益復(fù)雜精巧的設(shè)計(jì)和開發(fā) P2P 新應(yīng)用不斷涌現(xiàn) 功能更強(qiáng)也更易使用 為了 使 P2P 應(yīng)用運(yùn)行暢通 新一代 P2P 軟件比上一代越來(lái)越智能 其中主要是 P2P 應(yīng)用 由于其獨(dú)特的設(shè)計(jì)理念 在客戶端軟件中加入了大量對(duì)抗網(wǎng)絡(luò)封堵 限制的技術(shù)手段 使得 P2P 流量管理檢測(cè)難度水漲船高 同時(shí)需要不斷升級(jí)協(xié)議特征庫(kù) P2P 應(yīng)用使人 們對(duì)使用 Internet 的方式發(fā)生著革命性的改變 P2P 應(yīng)用的潮流不可阻擋 只能順應(yīng) 潮流 采用有效處理策略 3 處理 P2P 策略 為了能夠控制 P2P 應(yīng)用 企業(yè)與網(wǎng)絡(luò)運(yùn)營(yíng)商都各自嘗試了不同的解決方案 擴(kuò)充帶寬 擴(kuò)充帶寬 最簡(jiǎn)單顯而易見(jiàn)的解決辦法 就是擴(kuò)帶寬 優(yōu)點(diǎn) 增加帶寬可以在短時(shí)間內(nèi)緩解網(wǎng)絡(luò)的擁塞狀況 當(dāng) P2P 應(yīng)用覺(jué)察到網(wǎng)絡(luò)中 有更多的可用帶寬 網(wǎng)絡(luò)帶寬將會(huì)再次被 P2P 應(yīng)用占據(jù) 缺點(diǎn) 增加帶寬和增加帶寬的費(fèi)用將是無(wú)底洞 這樣做只是給 P2P 應(yīng)用提供了更 多可攫取的帶寬資源 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 8 禁止禁止 P2P 全面禁止 P2P 應(yīng)用將會(huì)是擁塞的網(wǎng)絡(luò)恢復(fù)正常狀態(tài) 優(yōu)點(diǎn) 企業(yè)可以禁止 P2P 的使用 提高員工的工作效率 而以往員工卻花費(fèi)時(shí)間 和網(wǎng)絡(luò)帶寬進(jìn)行娛樂(lè)性的網(wǎng)上沖浪 缺點(diǎn) ISP 將會(huì)失去用戶 因?yàn)楹芏嘤脩艟褪菫榱瞬皇芰髁肯拗撇抛庥昧诉\(yùn)營(yíng)商 的線路 限制 而不是禁止限制 而不是禁止 P2P 使用能夠識(shí)別第 7 層應(yīng)用的流量管理解決方案 企業(yè)和運(yùn)營(yíng)商能夠準(zhǔn)確判別 P2P 應(yīng)用并進(jìn)行限制 優(yōu)點(diǎn) 可以通過(guò)多種控制策略進(jìn)行 通過(guò)合理調(diào)配帶寬資源 提高網(wǎng)絡(luò)運(yùn)行效率 如發(fā)生鏈路擁塞的情況下 減少分配給 P2P 應(yīng)用的帶寬或者降低 P2P 應(yīng)用的優(yōu)先級(jí) 保證同一服務(wù)級(jí)別的用戶使用網(wǎng)絡(luò)的公平性 將會(huì)大大改善網(wǎng)絡(luò)響應(yīng)速度質(zhì)量 當(dāng)對(duì) P2P 應(yīng)用流量進(jìn)行限速管理之后 網(wǎng)絡(luò)中的其他應(yīng)用將變得很順暢 僅對(duì)上傳進(jìn)行約束 僅對(duì)上傳進(jìn)行約束 對(duì)于 ISP 來(lái)說(shuō) 這種約束能力顯得更為關(guān)鍵 因?yàn)閷?duì)于那些非線路租戶使用其他 租戶的線路上傳 而并不承擔(dān)相關(guān)費(fèi)用 的情況尤為關(guān)注 運(yùn)營(yíng)商顯然不會(huì)考慮這些非線 路租戶進(jìn)行線路的升級(jí) 這也就是為什么選擇限制上傳流量的原因 優(yōu)點(diǎn) 對(duì)上傳流量進(jìn)行限制并不會(huì)影響到下載流量 如某運(yùn)營(yíng)商對(duì) P2P 應(yīng)用的出 向流量進(jìn)行了限制 而這個(gè)方向的流量主要是由非線路租戶產(chǎn)生 由于他們自己的線 路租戶的 TCP 確認(rèn)信息并不會(huì)受到影響 盡管它們的方向也是向外發(fā)送 就可以繼續(xù) 享受無(wú)限制的下載服務(wù) 通過(guò)這項(xiàng)控制 該運(yùn)營(yíng)商用戶的流量消耗得到了顯著減少 成本大幅度下降 又保證了客戶的滿意度 由于流量管理產(chǎn)品具有足夠的靈活性 可以在不影響下載的前提下限制上傳流量 從而使所有人都能獲益 線路租戶可以根據(jù)自己需要隨意下載 運(yùn)營(yíng)商也得益于需要 支付給骨干網(wǎng)絡(luò)運(yùn)營(yíng)商的成本的大幅度下降 缺點(diǎn) 無(wú) PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 9 4 如何檢測(cè)網(wǎng)絡(luò)中的 P2P 流量 為了能從應(yīng)用中把 P2P 應(yīng)用識(shí)別出來(lái) 網(wǎng)絡(luò)可視性 Network Visibility 是至關(guān) 重要 這種檢測(cè)能力將了解到在當(dāng)前的網(wǎng)絡(luò)中運(yùn)行著哪些 P2P 應(yīng)用 哪些 P2P 應(yīng)用正 在吞噬網(wǎng)絡(luò)中的寶貴資源 哪些用戶占據(jù)了過(guò)多的網(wǎng)絡(luò)資源從而造成了網(wǎng)絡(luò)的擁塞 當(dāng)檢測(cè)和分離這些流量之后 就可以對(duì) P2P 應(yīng)用進(jìn)行限制或者阻止 或者為其他的應(yīng) 用或用戶分配和保證所需的帶寬 或者把 P2P 應(yīng)用的流量避開峰值時(shí)段 合理調(diào)配帶 寬使用 從而利用現(xiàn)有的帶寬資源 最大限度地提高帶寬的效率 深層數(shù)據(jù)包檢測(cè)深層數(shù)據(jù)包檢測(cè) DPI 識(shí)別識(shí)別 P2P 應(yīng)用的唯一可靠辦法 應(yīng)用的唯一可靠辦法 對(duì) P2P 應(yīng)用進(jìn)行判定 需要借助復(fù)雜的第 7 層識(shí)別技術(shù) 使用各種方法來(lái)檢測(cè)這 些難以捉摸的應(yīng)用 由于多數(shù) P2P 應(yīng)用軟件都使用端口跳動(dòng)技術(shù)或者盜用一些常用服 務(wù)的協(xié)議端口進(jìn)行通信傳輸 所以通過(guò)對(duì)端口對(duì)它們進(jìn)行識(shí)別顯然是遠(yuǎn)遠(yuǎn)不夠 傳統(tǒng) 的流量限速設(shè)備無(wú)能為力 因此 所有的數(shù)據(jù)包都必須到應(yīng)用層面 Application Layer 上進(jìn)行檢查 即對(duì)傳輸協(xié)議如 TCP 協(xié)議的載荷 Payload 部分進(jìn)行檢查 以 判斷它們是否符合代表某種應(yīng)用代碼的樣本特征 在很多情況下 對(duì)于某一種應(yīng)用的 識(shí)別需要檢測(cè)它是否多個(gè)代碼樣本的特征 基于會(huì)話的應(yīng)用分類 基于會(huì)話的應(yīng)用分類 標(biāo)準(zhǔn)的協(xié)議頭部 Header 字段如 TCP UDP 的端口號(hào)字段在每一個(gè)數(shù)據(jù)包中都存 在 而第 7 層的協(xié)議代碼樣本通常只能在一次協(xié)議會(huì)話的前幾個(gè)數(shù)據(jù)包中存在 并進(jìn) 行會(huì)話標(biāo)記的請(qǐng)求以標(biāo)識(shí)本次會(huì)話中所有的數(shù)據(jù)包 當(dāng)網(wǎng)絡(luò)中產(chǎn)生了一個(gè)新的會(huì)話 如 P2P 應(yīng)用會(huì)話 那么一個(gè)唯一的協(xié)議簽名 Signature 就必須被找到并能夠與已知的 協(xié)議代碼樣本相匹配 如當(dāng)使用第 7 層的分類方法對(duì)一個(gè) P2P 應(yīng)用進(jìn)行了正確的識(shí)別 那么該會(huì)話中的后續(xù)數(shù)據(jù)包就能夠被正確的判別為該 P2P 應(yīng)用會(huì)話的數(shù)據(jù)流量 有些情況下 一個(gè) P2P 應(yīng)用使用不止一個(gè)會(huì)話 這就需要流量管理系統(tǒng)能夠從兩 個(gè)或多個(gè)會(huì)話中提取信息并進(jìn)行關(guān)聯(lián)以找到能夠匹配的代碼樣本 并非基于端口的分類 并非基于端口的分類 P2P 應(yīng)用通常使用隨機(jī)的端口號(hào)或者借助一些常用的端口號(hào)來(lái)進(jìn)行傳輸 因此在 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 10 進(jìn)行 P2P 應(yīng)用樣本搜尋時(shí) 就不能做任何的假設(shè) 需要對(duì)網(wǎng)絡(luò)中所有數(shù)據(jù)流進(jìn)行第 7 層協(xié)議的探測(cè) 而不管它們是否使用了某個(gè)端口號(hào) 每秒連接數(shù) 每秒連接數(shù) 不尋常的連接數(shù)量可能是在暗示著網(wǎng)絡(luò)中 P2P 應(yīng)用的使用 也可暗示著異常流量 的存在 如病毒 蠕蟲 有害程序等等 P2P 是具有侵略性的應(yīng)用 它可以在短時(shí)間 內(nèi)建立超負(fù)荷的連接 異常的連接數(shù)量在流量管理設(shè)備中可以設(shè)定告警機(jī)制 幫助網(wǎng) 絡(luò)管理員及時(shí)解決問(wèn)題 5 技術(shù)解決方案 針對(duì) P2P 應(yīng)用的流量管理特點(diǎn) 檢測(cè) 性能和系統(tǒng)穩(wěn)定性這三個(gè)因素是至關(guān)重要 不能正確檢測(cè)區(qū)別 P2P 流量 就不能進(jìn)行管理控制 性能不能滿足要求 沒(méi)有足夠的 處理能力 造成網(wǎng)絡(luò)延遲的增大 同樣也是無(wú)效 下面簡(jiǎn)要介紹一下 Panabit 應(yīng)用層流量控制設(shè)備檢測(cè)與控制 P2P 系統(tǒng)所使用的獨(dú) 特的應(yīng)用層識(shí)別技術(shù) 在此之前 我們先介紹一下目前在其它產(chǎn)品中常用的技術(shù) 1 基于數(shù)據(jù)包的無(wú)狀態(tài)識(shí)別技術(shù)基于數(shù)據(jù)包的無(wú)狀態(tài)識(shí)別技術(shù) 這種技術(shù)一般是采取模式匹配的方式 對(duì)每個(gè) 數(shù)據(jù)包進(jìn)行模式匹配 并且不考慮數(shù)據(jù)包之間的邏輯關(guān)系 采取這種方式的系統(tǒng)的好 處是實(shí)現(xiàn)簡(jiǎn)單 但是它的缺點(diǎn)也是很明顯的 就是性能低下 易成為網(wǎng)絡(luò)的瓶頸 2 基于連接的有狀態(tài)識(shí)別技術(shù)基于連接的有狀態(tài)識(shí)別技術(shù) 這種技術(shù)是一般的傳統(tǒng)防火墻所采取的技術(shù) 在 防火墻現(xiàn)有的狀態(tài)表的基礎(chǔ)之上 將連接所產(chǎn)生的所有數(shù)據(jù)包看作一個(gè)整體 如果其 中某個(gè)或某些數(shù)據(jù)包符合指定的特征 那么認(rèn)為這條連接就是符合該特征的連接 所 以 如果該特征是 BT 通信 那么這條連接就是兩個(gè) BT 客戶端或一個(gè) BT 客戶端和一 個(gè) BT 服務(wù)端在通信 在運(yùn)營(yíng)商的網(wǎng)絡(luò)環(huán)境里 由于節(jié)點(diǎn)一般都是網(wǎng)絡(luò)交換節(jié)點(diǎn) 因此許許多多的 P2P 節(jié)點(diǎn)的通信都會(huì)通過(guò)運(yùn)營(yíng)商的交換網(wǎng)絡(luò) 這些節(jié)點(diǎn)以十萬(wàn) 甚至百萬(wàn)計(jì) 如果采取基 于連接的有狀態(tài)識(shí)別技術(shù) 所能控制的 P2P 通信非常有限 這種技術(shù)只適合于小規(guī)模 的網(wǎng)絡(luò) 如中小企業(yè)網(wǎng)絡(luò) Panabit 應(yīng)用層流量控制設(shè)備采用應(yīng)用層流量控制設(shè)備采用 基于節(jié)點(diǎn)的有狀態(tài)識(shí)別技術(shù)基于節(jié)點(diǎn)的有狀態(tài)識(shí)別技術(shù) 可以避免上述可以避免上述 問(wèn)題 問(wèn)題 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 11 一個(gè)典型的 P2P 是由許多節(jié)點(diǎn)構(gòu)成的 每個(gè)節(jié)點(diǎn)都是一個(gè)服務(wù)器 這個(gè)節(jié)點(diǎn)可以 同時(shí)為其它節(jié)點(diǎn)提供服務(wù) 基于節(jié)點(diǎn)的有狀態(tài)識(shí)別技術(shù)的基本思想是從節(jié)點(diǎn)雙方的通 信過(guò)程中尋找特征數(shù)據(jù) 這些特征數(shù)據(jù)不限于某條特定的連接 如果特征匹配 那么 系統(tǒng)將記錄該節(jié)點(diǎn) 而不是某條連接 一旦該接點(diǎn)被識(shí)別出來(lái) 那么后續(xù)同該節(jié)點(diǎn)通 信的數(shù)據(jù)無(wú)須重新驗(yàn)證 因此極大的提高了系統(tǒng)的性能 P2P 應(yīng)用中 客戶端既是客 戶 又是服務(wù)器 在某端口上監(jiān)聽(tīng)為其他客戶提供服務(wù) 根據(jù)這一特性 將 IP 服務(wù) 端口在內(nèi)存中定義一個(gè)二元組 稱之為節(jié)點(diǎn) Panabit 應(yīng)用層流量控制設(shè)備在基于節(jié)點(diǎn)的有狀態(tài)識(shí)別技術(shù)的基礎(chǔ)上向智能方面進(jìn) 一步發(fā)展 該技術(shù)可以從多條連接中自動(dòng)根據(jù)某種統(tǒng)計(jì)規(guī)律來(lái)識(shí)別某些特征不明顯或 者被加密了的通信協(xié)議 如 SkyPe 在保證性能的同時(shí) 提高了系統(tǒng)識(shí)別的準(zhǔn)確性 這種技術(shù)針對(duì) P2P 應(yīng)用尤其有效 此外 Panabit 應(yīng)用層流量控制設(shè)備針對(duì)第 4 代 P2P 應(yīng)用軟件的變化 采用獨(dú)有 主動(dòng)探測(cè)和服務(wù)偽裝技術(shù)保證對(duì) P2P 識(shí)別的準(zhǔn)確性 Panabit 應(yīng)用層流量控制設(shè)備采 用獨(dú)有的服務(wù)探測(cè)引擎可以識(shí)別第四代 P2P 應(yīng)用 如 emule 0 47c 服務(wù)偽裝 對(duì)于 迅雷這樣綜合了 P2P 和 HTTP FTP 等傳輸協(xié)議的應(yīng)用 Panabit 應(yīng)用層流量控制設(shè)備 開發(fā)了獨(dú)有的服務(wù)偽裝引擎 從技術(shù)角度看 P2P 應(yīng)用有如下幾個(gè)特點(diǎn) 1 一個(gè) P2P 節(jié)點(diǎn) 客戶端程序 比如 BitComet 通常與成百上千個(gè)客戶端連接 因此節(jié)點(diǎn)之間的連接數(shù)目巨大 假如一個(gè)節(jié)點(diǎn)有 200 條連接 那么 10000 個(gè)節(jié)點(diǎn)就有 可能達(dá)到 200 萬(wàn)條連接 保守估計(jì)也會(huì)有 100 萬(wàn)條連接 如此大的連接數(shù)將使設(shè)備不 堪負(fù)擔(dān) 2 不像 Web 瀏覽這樣的 HTTP 協(xié)議 HTTP 連接一般持續(xù)的時(shí)間比較短 而 P2P 主要目的是用來(lái)共享大的文件 需要傳送大量的數(shù)據(jù) 因此 P2P 客戶端之間的連 接一般持續(xù)的時(shí)間比較長(zhǎng) 這就意味著系統(tǒng)的資源很長(zhǎng)時(shí)間不能得到釋放 因此大大 增加系統(tǒng)被 DOS Deny Of Service 拒絕攻擊 的機(jī)會(huì) 針對(duì)上述特點(diǎn) Panabit 應(yīng)用層流量控制設(shè)備通過(guò)學(xué)習(xí)的方式 采用連接識(shí)別和節(jié) 點(diǎn)識(shí)別相結(jié)合的方式 大大減少了連接數(shù) 這樣可以用較少的資源監(jiān)控更大的 P2P 應(yīng) 用網(wǎng)絡(luò) 同時(shí)提高了系統(tǒng)的效率 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 12 6 系統(tǒng)架構(gòu) Panabit 應(yīng)用層流量控制設(shè)備核心是專用 OS 基于 FreeBSD 目前最穩(wěn)定的操作 系統(tǒng) 但是在原有 FreeBSD 基礎(chǔ)上做了如下修改和增強(qiáng) 1 對(duì)網(wǎng)絡(luò)協(xié)議棧作了大量的修改和優(yōu)化 使得數(shù)據(jù)平面 Data Plane 見(jiàn)下圖 能 夠以最快速度執(zhí)行 2 去掉內(nèi)核部分代碼 使得核心更小 3 針對(duì)特定的硬件進(jìn)行優(yōu)化 使得在特定的硬件上更快運(yùn)行 4 修改部分中斷處理函數(shù)和網(wǎng)卡驅(qū)動(dòng) 使得數(shù)據(jù)平面 Data Plane 以較高優(yōu)先級(jí) 運(yùn)行 PanaOS 分為數(shù)據(jù)平面 Data Plane 和控制平面 Control Plane 兩個(gè)部分 1 數(shù)據(jù)平面數(shù)據(jù)平面 Data Plane 負(fù)責(zé)數(shù)據(jù)包處理 同時(shí)提供同控制平面的接口 數(shù)據(jù) 層面直接由硬件驅(qū)動(dòng) 這樣避免了傳統(tǒng) OS 包括 FreeBSD 的網(wǎng)絡(luò)協(xié)議棧帶來(lái)的開 銷 使得 PanaOS 能夠充分利用硬件的性能而更快處理數(shù)據(jù)包 數(shù)據(jù)平面在 PanaOS 內(nèi)核內(nèi)運(yùn)行 2 控制平面 控制平面 Control Plane 負(fù)責(zé)系統(tǒng)管理 包括數(shù)據(jù)平面的維護(hù) Web 管 理和命令行管理接口 控制平面運(yùn)行在 PanaOS 的應(yīng)用層 數(shù)據(jù)平面的運(yùn)行優(yōu)先級(jí)高于控制層面 這樣確保數(shù)據(jù)包即時(shí)處理 控制平面控制平面 CP Control Plane PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 13 其中 1 MiniWeb 一個(gè)輕量級(jí)的 Web 服務(wù)器 并提供 Web 管理接口 2 CLI 命令行接口進(jìn)程 3 DataStat 負(fù)責(zé)數(shù)據(jù)的收集和統(tǒng)計(jì)分析 數(shù)據(jù)平面數(shù)據(jù)平面 DP Data Plane 其中 1 PAE Packet Analysis Engine 數(shù)據(jù)包分析引擎 負(fù)責(zé)應(yīng)用層識(shí)別 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 14 2 ACE Access Control Engine 訪問(wèn)控制引擎 負(fù)責(zé)訪問(wèn)控制 3 BME Bandwidth Management Engine 帶寬管理引擎 負(fù)責(zé)帶寬限制和分配 4 DPI Data Plane Interface 數(shù)據(jù)平面接口為 CP 提供訪問(wèn)數(shù)據(jù)平面的數(shù)據(jù)和相 關(guān)狀態(tài)信息的接口 7 主要功能特色 Panabit 應(yīng)用層流量控制設(shè)備主要功能模塊有 1 強(qiáng)大的協(xié)議識(shí)別引擎 2 靈活的帶寬管理 3 內(nèi)網(wǎng) IP 統(tǒng)計(jì)功能 4 簡(jiǎn)單易用的單 IP 限速 5 豐富的報(bào)表統(tǒng)計(jì) 6 系統(tǒng)高可用性 7 全中文化安全的 Web 管理 8 靈活方便的部署方案 9 全面的行為日志統(tǒng)計(jì)和查詢 下面分別詳細(xì)介紹上述模塊 7 1 強(qiáng)大的協(xié)議識(shí)別引擎 Panabit 應(yīng)用層流量控制設(shè)備強(qiáng)大的協(xié)議識(shí)別引擎不但可以識(shí)別各種明文的協(xié)議 如 Bittorrent eDonkey 而且其獨(dú)有的 加密協(xié)議深度識(shí)別 技術(shù)可以識(shí)別經(jīng)過(guò)加密 的 P2P 協(xié)議 如 Skype 和 eMule 0 47c 到目前為止 Panabit 應(yīng)用層流量控制設(shè)備 已經(jīng)支持如下協(xié)議 1 HTTP 協(xié)議協(xié)議 HTTP HTTPS WEB 視頻 WEB 音樂(lè) HTTP 分塊傳輸 偽 IE 下載 Microsoft DS 等 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 15 2 常用協(xié)議常用協(xié)議 電子郵件 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全 等 3 P2P 下載下載 BitTorrent eMule Gnutella Kazaa iMesh DC AppleJuice Ares Mute Sou lSeek Poco 酷狗 迅雷 含 Web 迅雷 百寶 百度下吧 Vagaa 脫兔 PPGou 等 4 即時(shí)通信即時(shí)通信 MSN MSN 視頻 YahooMessger QQ QQ 視頻 QQ 文件傳輸 網(wǎng)易泡泡 淘寶旺旺 新浪 UC 等 5 網(wǎng)絡(luò)電話網(wǎng)絡(luò)電話 Skype 等 6 網(wǎng)絡(luò)電視網(wǎng)絡(luò)電視 PPStream PPLive 沸點(diǎn) Recool QQLive TVAnts TVKoo PPMate MySee UUSee CCIPTV SopCa st VJBase JeBoo 等 7 網(wǎng)絡(luò)游戲網(wǎng)絡(luò)游戲 魔獸世界 奇跡世界 征途 熱血江湖 跑跑卡丁車 QQ 幻想 泡 泡游戲 QQ 游戲 中國(guó)游戲中心 等 8 股票證券股票證券 大智慧 經(jīng)典版 新一代 錢龍 經(jīng)典版 旗艦版 核新 同花 順 等 系統(tǒng)運(yùn)行效果圖系統(tǒng)運(yùn)行效果圖 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 17 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 18 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 19 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 20 日志系統(tǒng) PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 21 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 22 7 2 靈活的帶寬管理 在傳統(tǒng)的 IP 網(wǎng)絡(luò)中 所有的報(bào)文都被無(wú)區(qū)別的等同對(duì)待 每個(gè)路由器都對(duì)所有報(bào) 文采取先進(jìn)先出 FIFO First In First Out 的策略進(jìn)行處理 它盡最大的努力 Best Effort 將報(bào)文送到目的地 但對(duì)報(bào)文傳送的可靠性 傳輸延遲等不做任何保 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 23 證 在一個(gè)網(wǎng)絡(luò)中 不同的人員對(duì)帶寬的使用是不均衡的 有人使用得多 那么留給 別人的帶寬就少 如果某些人員使用 BT 迅雷下載文件或者使用 PPStream PPLive 在線收看網(wǎng)絡(luò)電視 那么這些人員就會(huì)占用大量帶寬 并將持續(xù)占用甚至耗盡出口帶 寬資源 造成網(wǎng)絡(luò)速度和性能明顯下降 使其他用戶的正常網(wǎng)絡(luò)應(yīng)用比如 Web 訪問(wèn) 收發(fā) E mail MSN 聊天 股票查詢 視頻會(huì)議出現(xiàn)延遲 停頓 掉線等現(xiàn)象 與類似產(chǎn)品單純通過(guò)對(duì) P2P 及其他特定流量進(jìn)行帶寬控制來(lái)變相 保障 正常應(yīng) 用的方式不同 Panabit 應(yīng)用層流量控制設(shè)備同時(shí)提供基于應(yīng)用或基于 IP 的 帶寬控 制 帶寬預(yù)留 帶寬保證 三種機(jī)制 為用戶靈活調(diào)控網(wǎng)絡(luò)帶寬資源提供更方便 的功能 在精確識(shí)別應(yīng)用協(xié)議的前提下 在精確識(shí)別應(yīng)用協(xié)議的前提下 Panabit 應(yīng)用層流量控制設(shè)備提供以下三種帶寬應(yīng)用層流量控制設(shè)備提供以下三種帶寬 調(diào)控機(jī)制 調(diào)控機(jī)制 1 帶寬限制 根據(jù)策略對(duì)特定 IP IP 組 應(yīng)用協(xié)議進(jìn)行帶寬限制 避免這些 IP IP 組 應(yīng)用協(xié)議過(guò)度使用帶寬而影響他人和整個(gè)網(wǎng)絡(luò) 特別地 Panabit 應(yīng)用層流量控制設(shè)備支持針對(duì) 未知協(xié)議 的帶寬限制功能 可 將未識(shí)別或尚未支持的協(xié)議流量或異常流量控制在一定的范圍內(nèi) 下圖為某用戶設(shè)定的策略 每天 8 點(diǎn)到 24 點(diǎn)將 P2P 和 NetTV 的上下行帶寬限制 為 10M 其它時(shí)間不限 并使用自定義的圖表定制的實(shí)際效果圖 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 24 2 帶寬預(yù)留 預(yù)留出一定的帶寬給特定的 IP IP 組或應(yīng)用協(xié)議使用 比如 假設(shè) 網(wǎng)絡(luò)出口的總帶寬為 100M 如果為某些 IP IP 網(wǎng)段 應(yīng)用協(xié)議預(yù)留了 10M 帶寬 那 么其他所有 IP 應(yīng)用協(xié)議可使用的總帶寬即為 90M 預(yù)留出的 10M 帶寬始終屬于規(guī) 定的 IP IP 網(wǎng)段 應(yīng)用協(xié)議所有 其他任何 IP 應(yīng)用協(xié)議無(wú)論如何都不能占用 3 帶寬保證 帶寬保證與帶寬預(yù)留類似 所不同的是 帶寬保證在其保證的帶寬 不能滿足要求的時(shí)候 會(huì)從剩余的總帶寬里借用所需帶寬 以上面 2 中提到例子為例 如果做一條帶寬保證策略 分配 10M 帶寬給某 IP 組 那么當(dāng)某個(gè)時(shí)刻該 IP 組所需要 的帶寬大于 10M 比如 15M 那么 Panabit 應(yīng)用層流量控制設(shè)備就會(huì)從其余的 90M 帶寬 中借出 5M 給該 IP 組以滿足其使用 對(duì)于運(yùn)營(yíng)商 在 P2P 應(yīng)用已成潮流的現(xiàn)實(shí)背景下 運(yùn)營(yíng)商已不單純著眼于如何控 制 P2P 流量來(lái)控制帶寬成本和運(yùn)營(yíng)壓力 而是逐步尋求通過(guò) P2P 增值運(yùn)營(yíng)來(lái)實(shí)現(xiàn)收益 在很多地方 運(yùn)營(yíng)商自主開辦的 IPTV 同樣也是依賴于 P2P 技術(shù) 那么對(duì)于運(yùn)營(yíng)商來(lái) 說(shuō) 能對(duì)該 IPTV 進(jìn)行帶寬預(yù)留或帶寬保證就更具現(xiàn)實(shí)意義 對(duì)于企業(yè) 是否可以以及 如何優(yōu)先保障關(guān)鍵業(yè)務(wù) 關(guān)鍵科室 關(guān)鍵 IP 的帶寬使用是他們首要關(guān)注的功能點(diǎn) 而 精細(xì)的統(tǒng)計(jì)分析報(bào)表對(duì)于網(wǎng)絡(luò)管理人員更具有策略上的指導(dǎo)意義 對(duì)于特殊行業(yè) 比 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 25 如網(wǎng)吧 盈利主要來(lái)自于網(wǎng)絡(luò)游戲與 QQ 視頻聊天等消遣娛樂(lè)型應(yīng)用 對(duì)這些盈利性 的應(yīng)用進(jìn)行帶寬保證 同時(shí)對(duì)大量占用帶寬的 P2P 下載進(jìn)行帶寬限制 限制與保證結(jié) 合 可大幅度提升網(wǎng)絡(luò)的整體性能和用戶滿意度 Panabit 應(yīng)用層流量控制設(shè)備的帶寬管理靈活性在具體使用中體現(xiàn)在兩個(gè)方面 1 數(shù)據(jù)通道數(shù)據(jù)通道 定義帶寬管理和調(diào)度方式 上面所說(shuō)的帶寬限制 帶寬預(yù)留和帶寬 保證就是三種不同類型的帶寬對(duì)象 系統(tǒng)根據(jù)帶寬類型和帶寬的大小系統(tǒng)地對(duì)帶寬進(jìn) 行分配和調(diào)度 2 策略策略 策略是用來(lái)將流量進(jìn)行分類的機(jī)制 Panabit 應(yīng)用層流量控制設(shè)備里所 定義的每一條策略可以包含源地址 目標(biāo)地址 數(shù)據(jù)流向 上行還是下行 應(yīng)用協(xié)議 等因素 當(dāng)匹配這些因素后 就會(huì)執(zhí)行某個(gè)動(dòng)作 如阻斷 放行或?qū)⑵渥⑷肽硞€(gè)數(shù)據(jù) 通道 通過(guò)將符合這些條件的數(shù)據(jù)注入通道 實(shí)際上就已經(jīng)對(duì)符合上述條件的數(shù)據(jù)包 實(shí)施了流量管理 7 3 內(nèi)網(wǎng) IP 統(tǒng)計(jì)功能 1 用戶可在 Web 界面中選擇是否打開內(nèi)網(wǎng) IP 統(tǒng)計(jì)功能 2 TOP N 統(tǒng)計(jì)功能 用戶可選擇 TOP 10 20 30 所有 IP 的統(tǒng)計(jì)排名 并可選擇以下三種方式 a 按照累計(jì)流量進(jìn)行排名 b 按照當(dāng)前速率進(jìn)行排名 c 按照在線時(shí)間進(jìn)行排名 3 單個(gè) IP 的應(yīng)用流量 連接明細(xì) 可直觀的列出某個(gè) IP 具體的歷史應(yīng)用明細(xì) 以及目前與該 IP 相關(guān)的連接情況 包括每條連接中對(duì)方的 IP 地址及端口 7 4 簡(jiǎn)單易用的單 IP 限速 得益于其靈活的策略管理功能和帶寬管理能力 Panabit 應(yīng)用層流量控制設(shè)備可以 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 26 對(duì)內(nèi)網(wǎng) IP 進(jìn)行單獨(dú)限速 在 Panabit 應(yīng)用層流量控制設(shè)備中 只需要一條規(guī)則就可以 實(shí)現(xiàn)控制某個(gè)網(wǎng)段內(nèi)的每個(gè) IP 最大可使用帶寬和該網(wǎng)段的總帶寬 7 5 豐富的報(bào)表統(tǒng)計(jì) 1 網(wǎng)卡流量 各應(yīng)用協(xié)議 協(xié)議組的日?qǐng)D表 周圖表 月圖表 2 連接統(tǒng)計(jì) 節(jié)點(diǎn)統(tǒng)計(jì) 協(xié)議統(tǒng)計(jì) PPS 統(tǒng)計(jì) 3 自定義報(bào)表功能 用戶可針對(duì)自己關(guān)心的 IP IP 組 應(yīng)用協(xié)議 協(xié)議組等不同的對(duì)象自定義一個(gè)報(bào)表 將針對(duì)多個(gè)對(duì)象的統(tǒng)計(jì)結(jié)果集中顯示在一個(gè)圖表中 減少日常監(jiān)控的工作量 統(tǒng)計(jì)數(shù) 據(jù)可以指定不同的線形和顏色以絕對(duì)值或疊加的方式顯示 報(bào)表統(tǒng)計(jì)的時(shí)間跨度可以 是當(dāng)天 本周和當(dāng)月 以下兩張截圖是某用戶自定義的只統(tǒng)計(jì) P2P 協(xié)議組 和 網(wǎng)絡(luò)電視協(xié)議組 上 下行流量的圖表 P2P 與 NetTV 網(wǎng)絡(luò)電視 流量的日?qǐng)D表 說(shuō)明 當(dāng)前策略為 08 00 24 00 之間將 P2P 與網(wǎng)絡(luò)電視兩類流量雙方向控制為 PROPRIETARY CONFIDENTIAL 機(jī)密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 27 20M 00 00 08 00 不做限制 可以看到在策略生效的時(shí)間點(diǎn) 流量呈現(xiàn)明顯的瞬間 下降情況 P2P 與 NetTV 網(wǎng)絡(luò)電視 流量的周圖表 說(shuō)明 一周內(nèi)應(yīng)用限速策略時(shí) P2P 與網(wǎng)絡(luò)電視兩種協(xié)議組的流量曲線圖 周五將 策略修改為全天放開網(wǎng)絡(luò)電視流量 只在 08 00 24 00 之間限制 P2P 流量雙向?yàn)?20M 同樣可以看到每天在策略生效的時(shí)間