運(yùn)營(yíng)商FTTx+LAN面向業(yè)務(wù)的網(wǎng)絡(luò)管理整體解決方案

1、網(wǎng)絡(luò)資源安全管理解決方案運(yùn)營(yíng)商fttx+lan面向業(yè)務(wù)的網(wǎng)絡(luò)管理整體解決方案網(wǎng)鼎芯?？萍加邢薰?011年10月目錄一、背景3二、面臨的問(wèn)題4三、greatytec technology能夠幫助解決哪些問(wèn)題？53.1網(wǎng)絡(luò)流量的分析53.2p2p流量控制64.2基于策略的流量管理74.3用戶的認(rèn)證、授權(quán)84.4基于用戶和ip的流量管理和審計(jì)94.5強(qiáng)大的reporter日志軟件11四、部署方式17五、greaty technology解決方案的優(yōu)點(diǎn)18一、背景隨著社會(huì)信息需求的日益增長(zhǎng)，對(duì)接入帶寬的要求越來(lái)越高，傳統(tǒng)的金屬線接入方式只能在一定程度上滿足接入要求，卻不能適應(yīng)帶寬更寬的業(yè)務(wù)。fttx

2、可以提供適合任意需求的接入帶寬。對(duì)電信運(yùn)營(yíng)商來(lái)說(shuō)，只有在寬帶接入的支持下，才可能向用戶提供各種寬帶增值業(yè)務(wù)，提高網(wǎng)絡(luò)運(yùn)行效益。對(duì)用戶而言，可以得到所需要的服務(wù)，尤其是企業(yè)、團(tuán)體用戶，可以在寬帶接入的支持下，加快信息化建設(shè)的步伐，使企業(yè)得到更快發(fā)展。我國(guó)電信運(yùn)營(yíng)商從2007 年底開始的“光進(jìn)銅退”戰(zhàn)略，使我國(guó)光纖寬帶接入fttx 得到快速的發(fā)展，三網(wǎng)融合、智慧城市、移動(dòng)互聯(lián)網(wǎng)等新興業(yè)務(wù)的開展，對(duì)于帶寬、應(yīng)用、網(wǎng)絡(luò)運(yùn)維均提出了更高要求，推動(dòng)了fttx發(fā)展但是，由于fttx缺乏有效的管理和運(yùn)營(yíng)手段，面臨著諸如安全、qos等方面的問(wèn)題，特別是無(wú)法有效支持實(shí)時(shí)業(yè)務(wù)成為限制其發(fā)展的最大障礙。驅(qū)使人們不停地

3、尋找符合電信網(wǎng)絡(luò)要求的新一代ip產(chǎn)品：既具有傳統(tǒng)ip網(wǎng)絡(luò)的靈活性和便利性，又具有電信級(jí)安全的可靠性、多業(yè)務(wù)承載能力和部署能力。這就使得網(wǎng)絡(luò)從單純的公眾數(shù)據(jù)網(wǎng)演變?yōu)槌休d實(shí)時(shí)語(yǔ)音、視頻和數(shù)據(jù)在內(nèi)的多業(yè)務(wù)運(yùn)營(yíng)級(jí)承載網(wǎng)絡(luò)。二、面臨的問(wèn)題目前fttx寬帶接入迫切需要一個(gè)高安全、高可靠、便于管理和高效運(yùn)營(yíng)的承載網(wǎng)絡(luò)，采用ip網(wǎng)的核心技術(shù)（分組交換、不面向連接），結(jié)合電信網(wǎng)的設(shè)計(jì)理念，建立一個(gè)更大、更快、更安全、更靈活、可信度更高的可管理網(wǎng)絡(luò)，為營(yíng)運(yùn)商提供一個(gè)可以達(dá)到電信網(wǎng)服務(wù)質(zhì)量保證的ip網(wǎng)，以建立可贏利的商業(yè)模型。要實(shí)現(xiàn)電信級(jí)運(yùn)營(yíng)，其性能和對(duì)業(yè)務(wù)質(zhì)量的保障顯得越來(lái)越重要。ip網(wǎng)絡(luò)承載著多種業(yè)務(wù)，包括ht

4、tp，mail，vod，ftp，iptv，voip，ppstream等多種傳統(tǒng)業(yè)務(wù)和新型業(yè)務(wù)，這些業(yè)務(wù)越來(lái)越多地對(duì)網(wǎng)絡(luò)的承載性能提出更為苛刻的要求。例如voip語(yǔ)音通話業(yè)務(wù)，其對(duì)時(shí)延、時(shí)延抖動(dòng)以及丟包要求較高，通話質(zhì)量和語(yǔ)音的連續(xù)性都會(huì)因其受到極大影響，使得業(yè)務(wù)的運(yùn)營(yíng)受到很大的限制和挑戰(zhàn)。另外，如目前iptv業(yè)務(wù)正在如火如荼地開展中，用戶的感知、圖像的質(zhì)量是用戶和業(yè)務(wù)運(yùn)營(yíng)商最為關(guān)心的內(nèi)容，而承載網(wǎng)絡(luò)是保障這些的基礎(chǔ)，承載的性能好壞，直接影響著iptv業(yè)務(wù)的開展和運(yùn)營(yíng)商的經(jīng)營(yíng)狀況。另外p2p技術(shù)的相關(guān)應(yīng)用充分利用了分布在網(wǎng)絡(luò)邊緣節(jié)點(diǎn)的處理能力和帶寬，提高了吞吐量，同時(shí)也增加了電信網(wǎng)絡(luò)負(fù)荷。p2p

5、應(yīng)用占用了大量的網(wǎng)絡(luò)資源，對(duì)ip城域網(wǎng)和骨干網(wǎng)產(chǎn)生強(qiáng)有力的沖擊，并導(dǎo)致網(wǎng)絡(luò)擁塞、性能下降，影響到其他網(wǎng)絡(luò)應(yīng)用的使用。按照cachelogic公司的調(diào)查，2006年有近70的帶寬被p2p通信占據(jù)。對(duì)中國(guó)運(yùn)營(yíng)商的調(diào)查進(jìn)一步證實(shí)了上述統(tǒng)計(jì)數(shù)據(jù)。國(guó)內(nèi)p2p應(yīng)用占用了電信運(yùn)營(yíng)商城域網(wǎng)50 70的流量，占用骨干網(wǎng)5080的流量。因此，業(yè)務(wù)的發(fā)展不斷給網(wǎng)絡(luò)提出更多的挑戰(zhàn)，流量的增大致使網(wǎng)絡(luò)負(fù)荷加重，網(wǎng)絡(luò)反應(yīng)慢、擴(kuò)容投資不斷增長(zhǎng)，網(wǎng)絡(luò)規(guī)劃和網(wǎng)絡(luò)質(zhì)量管理缺乏可靠的依據(jù)和手段；評(píng)測(cè)現(xiàn)有網(wǎng)絡(luò)性能對(duì)新業(yè)務(wù)的支撐情況也屬空白?？傊?，基于服務(wù)質(zhì)量的增值運(yùn)營(yíng)難于開展，網(wǎng)絡(luò)承載性能狀況和對(duì)實(shí)時(shí)業(yè)務(wù)的支撐情況迫切需求在不影響業(yè)

6、務(wù)運(yùn)營(yíng)的情況下進(jìn)行測(cè)評(píng)、分析、管理。三、greatytec technology能夠幫助解決哪些問(wèn)題？ 針對(duì)fttx寬帶接入大規(guī)模網(wǎng)絡(luò)的流量監(jiān)控和管理，greatytec technology提供了完善的流量管理解決方案。它融合了強(qiáng)大p2p/im 流量和會(huì)話管理控制，業(yè)務(wù)數(shù)據(jù)流帶寬優(yōu)化，動(dòng)態(tài)qos調(diào)度，多鏈路負(fù)載均衡和，網(wǎng)絡(luò)流量過(guò)濾和監(jiān)控統(tǒng)計(jì)等多種技術(shù)。其中，高性能的網(wǎng)絡(luò)芯片可線速處理網(wǎng)絡(luò)數(shù)據(jù)流的應(yīng)用層分析和過(guò)濾,策略路由和均衡計(jì)算,以及策略（policy）搜索和會(huì)話（session）狀 態(tài)管理，還包括流量控制和統(tǒng)計(jì)等功能。幫助電信更有效、可靠地管理優(yōu)化網(wǎng)絡(luò)流量，提供優(yōu)質(zhì)的服務(wù)保障。3.1 網(wǎng)

7、絡(luò)流量的分析基于 dpi（deep packet inspect，深度包檢測(cè)） 技術(shù)為核心，結(jié)合基于報(bào)文內(nèi)容及基于行為特征的技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)中應(yīng)用的自動(dòng)識(shí)別和智能分類?？梢蕴綔y(cè)和跟蹤動(dòng)態(tài)端口分配，通過(guò)比對(duì)協(xié)議的特征庫(kù)，能夠識(shí)別變動(dòng)端口的流量，并能夠?qū)κ褂猛欢丝诘牟煌瑓f(xié)議進(jìn)行自動(dòng)識(shí)識(shí)別3.2 p2p流量控制為了幫電信客戶應(yīng)對(duì)日益嚴(yán)重的p2p帶來(lái)的問(wèn)題，需要提供完備的p2p的管理功能： p2p全局、組、用戶等的限制與允許。 p2p全局、組、用戶等的帶寬控制。 p2p完善的流量統(tǒng)計(jì)。 p2p全局、組、用戶等的日志記錄。 p2p的日志信息在事件日志中查詢。 p2p的流量信息可以在traffic log

8、中查詢。另外greaty technology產(chǎn)品還可以針對(duì)一些特殊的網(wǎng)絡(luò)應(yīng)用進(jìn)行識(shí)別和管理: rtsp (real time streaming protoco)，mms (multimedia messnfeing service),以及flash get等進(jìn)行識(shí)別和控制。 greaty technology產(chǎn)品對(duì)p2p可以采用組合管理控制的方式，可以制定策略進(jìn)行每個(gè)用戶數(shù)據(jù)帶寬監(jiān)控，每個(gè)用戶會(huì)話數(shù)控制，以及應(yīng)用層的識(shí)別控制。除了對(duì)p2p數(shù)據(jù)流進(jìn)行有效控制外，違反策略的用戶還將直接進(jìn)入黑名單，管理員可以迅速發(fā)現(xiàn)p2p的使用者，提高網(wǎng)絡(luò)的有效利用率，降低安全風(fēng)險(xiǎn)。由于p2p軟件的廣泛應(yīng)用，當(dāng)

9、今網(wǎng)絡(luò)上流行的多媒體業(yè)務(wù)和流媒體軟件也都采用了這個(gè)p2p的形式，這些流量因?yàn)槭菍?shí)時(shí)的而且要求的帶寬更高，所以比p2p更加搶占和濫用網(wǎng)絡(luò)的有效帶寬，根據(jù)這種網(wǎng)絡(luò)應(yīng)用需求，需要可以專門設(shè)定了針對(duì)p2p-tv等p2p流媒體的管理和控制。識(shí)別和控制的流媒體的類型應(yīng)該包括：pplive、qqlive、ppstream等。4.2 基于策略的流量管理通過(guò)greaty technology產(chǎn)品，基于策略的配置,可以實(shí)現(xiàn)基于各種服務(wù)業(yè)務(wù)的帶寬和服務(wù)優(yōu)先級(jí)的控制, 可以根據(jù)每種網(wǎng)絡(luò)應(yīng)用服務(wù)的不同,制定不同的流量管理策略?？梢灾苯俞槍?duì)用戶和用戶組進(jìn)行安全策略定制，這樣可以非常直觀地進(jìn)行基于用戶的安全管理和訪問(wèn)控制。

10、例如：我們可以定制從用戶a到用戶b之間不可以進(jìn)行ping服務(wù)，而從用戶b到用戶a可以進(jìn)行ping服務(wù)，但是帶寬只能是100k。可以任意定制不同類型的用戶組，而且每個(gè)用戶擁有他們自己獨(dú)立的認(rèn)證，授權(quán)，計(jì)費(fèi)和安全策略。在網(wǎng)絡(luò)流量管理的時(shí)候還可以采用群組帶寬管理策略，這樣可以使一個(gè)組內(nèi)的所有用戶都受到一個(gè)總帶寬的限制，然后每個(gè)用戶又可以在此基礎(chǔ)上進(jìn)行各自帶寬的限制。4.3 用戶的認(rèn)證、授權(quán) greaty technology產(chǎn)品可以通過(guò)本地或第三方用戶認(rèn)證和授權(quán)系統(tǒng)，對(duì)用戶使用網(wǎng)絡(luò)的合法性進(jìn)行安全地身份認(rèn)證，支持多種認(rèn)證方式，包括web認(rèn)證、802.1x的認(rèn)證、第三方的radius服務(wù)器認(rèn)證和第三方

11、ldap服務(wù)器認(rèn)證等方式，并通過(guò)授權(quán)用戶的角色決定其訪問(wèn)網(wǎng)絡(luò)的權(quán)限，網(wǎng)絡(luò)服務(wù)質(zhì)量，策略路由等屬性；用戶的身份認(rèn)證的同時(shí)也可以對(duì)用戶做綁定檢查，對(duì)用戶的主機(jī)名，ip地址，mac地址，vlan id，接入的虛擬端口號(hào)，接入的物理端口號(hào)的各種組合進(jìn)行嚴(yán)格檢查；greaty technology產(chǎn)品可以不只是在認(rèn)證的時(shí)刻才對(duì)用戶進(jìn)行綁定檢查，而是在用戶訪問(wèn)網(wǎng)絡(luò)的整個(gè)過(guò)程中，發(fā)出的和接收的每一個(gè)報(bào)文都做綁定檢查，在結(jié)合會(huì)話狀態(tài)檢測(cè)功能后，可以完全杜絕在整個(gè)認(rèn)證和訪問(wèn)過(guò)程中任何非法仿冒用戶的行為。另外greaty technology產(chǎn)品中可以設(shè)置靜態(tài)用戶，該種用戶不需要進(jìn)行認(rèn)證，而是直接可以訪問(wèn)網(wǎng)絡(luò)資源

12、，在所有訪問(wèn)過(guò)程中都會(huì)進(jìn)行嚴(yán)格的終端綁定檢查，以保證用戶的合法性。greaty technology產(chǎn)品支持自動(dòng)綁定功能和用戶自動(dòng)學(xué)習(xí)功能，這樣可以減少管理員手工配置用戶的工作量。4.4 基于用戶和ip的流量管理和審計(jì)greaty technology產(chǎn)品提供強(qiáng)大的用戶信息統(tǒng)計(jì)，不僅是對(duì)認(rèn)證和靜態(tài)用戶統(tǒng)計(jì)，還可以對(duì)不需要認(rèn)證的用戶進(jìn)行統(tǒng)計(jì)，這就需要配置想要統(tǒng)計(jì)的用戶的 ip 地址范圍。同時(shí)可以限制用戶的帶寬和連接數(shù)，也可以為這些用戶綁定黑名單功能。這樣也可以控制不需要認(rèn)證的用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)情況。在greaty technology產(chǎn)品中可以定制以下的基于用戶或者ip流量管理策略: 上行帶寬 下

13、行帶寬 可以實(shí)現(xiàn)基于用戶群組的帶寬管理 網(wǎng)絡(luò)服務(wù)優(yōu)先級(jí) 作為源的連接數(shù) 作為目的的連接數(shù) 基于黑名單管理的單位時(shí)間內(nèi)最大流量 基于黑名單的超出流量的懲罰機(jī)制因?yàn)楫?dāng)今網(wǎng)絡(luò)中存在多種用戶，有些用戶可能會(huì)使用多線程下載工具或者p2p(如bt, emule)等軟件長(zhǎng)時(shí)間占用帶寬，造成網(wǎng)絡(luò)資源的惡意占用，影響其他用戶和業(yè)務(wù)的正常使用。所以我們?cè)诙ㄖ朴脩艄芾聿呗缘臅r(shí)候，會(huì)預(yù)先定制不同的qos:包括用戶的上行帶寬，下行帶寬，優(yōu)先級(jí), 會(huì)話連接數(shù)目等。一旦用戶接入網(wǎng)絡(luò)并通過(guò)認(rèn)證，這時(shí)用戶就會(huì)自動(dòng)獲得這一系列的服務(wù)質(zhì)量屬性。如下圖所示:greaty technology產(chǎn)品能夠支持基于用戶突發(fā)流量,突發(fā)會(huì)話連接

14、和一定時(shí)期內(nèi)總流量的自動(dòng)黑名單管理,一旦發(fā)現(xiàn)用戶的統(tǒng)計(jì)信息超出正常水平,那么自動(dòng)把用戶加入黑名單, 進(jìn)行懲罰, 并產(chǎn)生告警和日志。對(duì)于用戶流量黑名單的管理greaty technology產(chǎn)品提供以下幾種方式: 基于用戶流量的黑名單懲罰機(jī)制，如果發(fā)現(xiàn)在一段時(shí)間內(nèi)用戶的流量速率超過(guò)授權(quán)值，那么就對(duì)用戶進(jìn)行黑名單懲罰。 基于用戶日，月，季度和年總流量的黑名單懲罰機(jī)制, 如果發(fā)現(xiàn)在日，月，季度或者年內(nèi)用戶的總流量超過(guò)授權(quán)值，那么就對(duì)用戶進(jìn)行黑名單懲罰。同時(shí)用戶還可以查詢?cè)敿?xì)用戶或者ip流量信息包括一整年(1月12月)、每個(gè)季度、每個(gè)月和每天的流量統(tǒng)計(jì)信息。4.5 強(qiáng)大的reporter日志軟件nfe

15、設(shè)備本地具備system log 的功能,同時(shí)nfe 還提供自己的一個(gè)report server軟件, 通過(guò)這個(gè)report server 可以更加人性化的分析流量和數(shù)據(jù),并生成相關(guān)報(bào)表.nce reporter日志服務(wù)器可以很方便的查看當(dāng)前的網(wǎng)絡(luò)中使用的各個(gè)端口的流量，總流量，以及cpu利用率，內(nèi)存利用率，當(dāng)前會(huì)話數(shù)，各個(gè)協(xié)議所占的帶寬，流量統(tǒng)計(jì)等等。流量統(tǒng)計(jì)報(bào)告流量的統(tǒng)計(jì)（注：以下所有圖示均是我們?cè)谶^(guò)去的案例中獲取的參考圖）下圖是針對(duì)ip總流量的排名狀態(tài)表：通過(guò)上表可以清楚地查看到每個(gè)地址的總流量，帶寬，接收速率，會(huì)話數(shù)等。同時(shí)還可以看到ip地址中的總流量，上行，下行，會(huì)話數(shù)等的排名。不同

16、區(qū)域的流量統(tǒng)計(jì)為了詳細(xì)統(tǒng)計(jì)不同區(qū)域的流量，通過(guò)reporter可以詳細(xì)的進(jìn)行查詢和統(tǒng)計(jì)。如下圖：如下圖，是從信任到非信任的地址流量統(tǒng)計(jì)分析表：基于端口的統(tǒng)計(jì)分析由下圖可見(jiàn)，acereporter可以純粹根據(jù)tcp/udp的目的或者源端口號(hào)對(duì)各種協(xié)議會(huì)話流量進(jìn)行分析得出分析報(bào)告。從上圖中，可以查看tcp/udp端口的總流量，上行流量，下行流量等。從而為網(wǎng)絡(luò)管理提供詳細(xì)的數(shù)據(jù)，詳細(xì)了解網(wǎng)絡(luò)資源的利用狀況?；诜?wù)的統(tǒng)計(jì)和分析為了詳細(xì)了解網(wǎng)絡(luò)中都有什么網(wǎng)絡(luò)行為，我們可以通過(guò)reporter軟件來(lái)進(jìn)行詳細(xì)的統(tǒng)計(jì)和查看。如下圖，可以進(jìn)行排名，并且以餅圖的方式提供詳細(xì)的報(bào)表分析。從以上餅圖中可以詳細(xì)分析網(wǎng)

17、絡(luò)的使用情況?？梢钥闯鯾t,http等在網(wǎng)絡(luò)中占用網(wǎng)絡(luò)資源比較大。從而對(duì)網(wǎng)絡(luò)管理提供準(zhǔn)確的數(shù)據(jù)分析。日志記錄和審計(jì)系統(tǒng)日志通過(guò)nfe產(chǎn)品我們可以查看系統(tǒng)的會(huì)話日志，事件日志等，從而為了解網(wǎng)絡(luò)中的異?，F(xiàn)象和異常流量的分析提供準(zhǔn)確而豐富的數(shù)據(jù)。應(yīng)用日志通過(guò)reporter軟件可以查詢上網(wǎng)用戶對(duì)網(wǎng)站等的訪問(wèn)記錄等，并且可以查看是哪臺(tái)計(jì)算機(jī)通過(guò)哪個(gè)地址轉(zhuǎn)換出去等記錄。如下圖：四、 部署方式greaty technology產(chǎn)品部署方式靈活多樣，能夠快速部署在網(wǎng)絡(luò)中，實(shí)現(xiàn)全網(wǎng)的流量監(jiān)測(cè)和分析，適用于電信骨干網(wǎng)、城域網(wǎng)以及大型企業(yè)網(wǎng)等大規(guī)模網(wǎng)絡(luò)。1、網(wǎng)絡(luò)環(huán)境說(shuō)明一般來(lái)說(shuō)，寬帶網(wǎng)絡(luò)為多層網(wǎng)絡(luò)架構(gòu)，一般分為三

18、層：核心層、匯聚層、接入層。核心層負(fù)責(zé)業(yè)務(wù)交換處理、業(yè)務(wù)疏通、上連其它骨干網(wǎng)或互聯(lián)網(wǎng)；匯聚層是骨干網(wǎng)的延伸，負(fù)責(zé)區(qū)域內(nèi)各接入點(diǎn)的多種業(yè)務(wù)匯聚，是接入層各種接入方式的終結(jié)點(diǎn)；接入層負(fù)責(zé)綜合的接入，通過(guò)各種接入手段把業(yè)務(wù)匯集到匯接層。核心層和匯聚層主要考慮網(wǎng)絡(luò)結(jié)構(gòu)和技術(shù)體制方面的內(nèi)容；接入層主要考慮業(yè)務(wù)的拓展需要和運(yùn)營(yíng)商的戰(zhàn)略需要，同時(shí)兼顧整體布局上的均衡。作為大規(guī)模網(wǎng)絡(luò)的網(wǎng)絡(luò)管理員，更多關(guān)注全網(wǎng)的安全運(yùn)行，而不是個(gè)別用戶設(shè)備的安全問(wèn)題。2、網(wǎng)絡(luò)部署設(shè)計(jì)在大規(guī)模網(wǎng)絡(luò)部署時(shí)，greaty technology產(chǎn)品用于監(jiān)控全網(wǎng)流量的整體狀況。在電信網(wǎng)絡(luò)的接入各節(jié)點(diǎn)部署，在各節(jié)點(diǎn)把greaty technology產(chǎn)品部署在大樓或者小區(qū)接入設(shè)備與下聯(lián)交換機(jī)之間。 五、 greaty technology