運營商FTTx+LAN面向業(yè)務的網(wǎng)絡管理整體解決方案

1、網(wǎng)絡資源安全管理解決方案運營商fttx+lan面向業(yè)務的網(wǎng)絡管理整體解決方案網(wǎng)鼎芯睿科技有限公司2011年10月目錄一、背景3二、面臨的問題4三、greatytec technology能夠幫助解決哪些問題？53.1網(wǎng)絡流量的分析53.2p2p流量控制64.2基于策略的流量管理74.3用戶的認證、授權84.4基于用戶和ip的流量管理和審計94.5強大的reporter日志軟件11四、部署方式17五、greaty technology解決方案的優(yōu)點18一、背景隨著社會信息需求的日益增長，對接入帶寬的要求越來越高，傳統(tǒng)的金屬線接入方式只能在一定程度上滿足接入要求，卻不能適應帶寬更寬的業(yè)務。fttx

2、可以提供適合任意需求的接入帶寬。對電信運營商來說，只有在寬帶接入的支持下，才可能向用戶提供各種寬帶增值業(yè)務，提高網(wǎng)絡運行效益。對用戶而言，可以得到所需要的服務，尤其是企業(yè)、團體用戶，可以在寬帶接入的支持下，加快信息化建設的步伐，使企業(yè)得到更快發(fā)展。我國電信運營商從2007 年底開始的“光進銅退”戰(zhàn)略，使我國光纖寬帶接入fttx 得到快速的發(fā)展，三網(wǎng)融合、智慧城市、移動互聯(lián)網(wǎng)等新興業(yè)務的開展，對于帶寬、應用、網(wǎng)絡運維均提出了更高要求，推動了fttx發(fā)展但是，由于fttx缺乏有效的管理和運營手段，面臨著諸如安全、qos等方面的問題，特別是無法有效支持實時業(yè)務成為限制其發(fā)展的最大障礙。驅使人們不停地

3、尋找符合電信網(wǎng)絡要求的新一代ip產品：既具有傳統(tǒng)ip網(wǎng)絡的靈活性和便利性，又具有電信級安全的可靠性、多業(yè)務承載能力和部署能力。這就使得網(wǎng)絡從單純的公眾數(shù)據(jù)網(wǎng)演變?yōu)槌休d實時語音、視頻和數(shù)據(jù)在內的多業(yè)務運營級承載網(wǎng)絡。二、面臨的問題目前fttx寬帶接入迫切需要一個高安全、高可靠、便于管理和高效運營的承載網(wǎng)絡，采用ip網(wǎng)的核心技術（分組交換、不面向連接），結合電信網(wǎng)的設計理念，建立一個更大、更快、更安全、更靈活、可信度更高的可管理網(wǎng)絡，為營運商提供一個可以達到電信網(wǎng)服務質量保證的ip網(wǎng)，以建立可贏利的商業(yè)模型。要實現(xiàn)電信級運營，其性能和對業(yè)務質量的保障顯得越來越重要。ip網(wǎng)絡承載著多種業(yè)務，包括ht

4、tp，mail，vod，ftp，iptv，voip，ppstream等多種傳統(tǒng)業(yè)務和新型業(yè)務，這些業(yè)務越來越多地對網(wǎng)絡的承載性能提出更為苛刻的要求。例如voip語音通話業(yè)務，其對時延、時延抖動以及丟包要求較高，通話質量和語音的連續(xù)性都會因其受到極大影響，使得業(yè)務的運營受到很大的限制和挑戰(zhàn)。另外，如目前iptv業(yè)務正在如火如荼地開展中，用戶的感知、圖像的質量是用戶和業(yè)務運營商最為關心的內容，而承載網(wǎng)絡是保障這些的基礎，承載的性能好壞，直接影響著iptv業(yè)務的開展和運營商的經營狀況。另外p2p技術的相關應用充分利用了分布在網(wǎng)絡邊緣節(jié)點的處理能力和帶寬，提高了吞吐量，同時也增加了電信網(wǎng)絡負荷。p2p

5、應用占用了大量的網(wǎng)絡資源，對ip城域網(wǎng)和骨干網(wǎng)產生強有力的沖擊，并導致網(wǎng)絡擁塞、性能下降，影響到其他網(wǎng)絡應用的使用。按照cachelogic公司的調查，2006年有近70的帶寬被p2p通信占據(jù)。對中國運營商的調查進一步證實了上述統(tǒng)計數(shù)據(jù)。國內p2p應用占用了電信運營商城域網(wǎng)50 70的流量，占用骨干網(wǎng)5080的流量。因此，業(yè)務的發(fā)展不斷給網(wǎng)絡提出更多的挑戰(zhàn)，流量的增大致使網(wǎng)絡負荷加重，網(wǎng)絡反應慢、擴容投資不斷增長，網(wǎng)絡規(guī)劃和網(wǎng)絡質量管理缺乏可靠的依據(jù)和手段；評測現(xiàn)有網(wǎng)絡性能對新業(yè)務的支撐情況也屬空白?？傊?，基于服務質量的增值運營難于開展，網(wǎng)絡承載性能狀況和對實時業(yè)務的支撐情況迫切需求在不影響業(yè)

6、務運營的情況下進行測評、分析、管理。三、greatytec technology能夠幫助解決哪些問題？ 針對fttx寬帶接入大規(guī)模網(wǎng)絡的流量監(jiān)控和管理，greatytec technology提供了完善的流量管理解決方案。它融合了強大p2p/im 流量和會話管理控制，業(yè)務數(shù)據(jù)流帶寬優(yōu)化，動態(tài)qos調度，多鏈路負載均衡和，網(wǎng)絡流量過濾和監(jiān)控統(tǒng)計等多種技術。其中，高性能的網(wǎng)絡芯片可線速處理網(wǎng)絡數(shù)據(jù)流的應用層分析和過濾,策略路由和均衡計算,以及策略（policy）搜索和會話（session）狀 態(tài)管理，還包括流量控制和統(tǒng)計等功能。幫助電信更有效、可靠地管理優(yōu)化網(wǎng)絡流量，提供優(yōu)質的服務保障。3.1 網(wǎng)

7、絡流量的分析基于 dpi（deep packet inspect，深度包檢測） 技術為核心，結合基于報文內容及基于行為特征的技術，實現(xiàn)網(wǎng)絡中應用的自動識別和智能分類?？梢蕴綔y和跟蹤動態(tài)端口分配，通過比對協(xié)議的特征庫，能夠識別變動端口的流量，并能夠對使用同一端口的不同協(xié)議進行自動識識別3.2 p2p流量控制為了幫電信客戶應對日益嚴重的p2p帶來的問題，需要提供完備的p2p的管理功能： p2p全局、組、用戶等的限制與允許。 p2p全局、組、用戶等的帶寬控制。 p2p完善的流量統(tǒng)計。 p2p全局、組、用戶等的日志記錄。 p2p的日志信息在事件日志中查詢。 p2p的流量信息可以在traffic log

8、中查詢。另外greaty technology產品還可以針對一些特殊的網(wǎng)絡應用進行識別和管理: rtsp (real time streaming protoco)，mms (multimedia messnfeing service),以及flash get等進行識別和控制。 greaty technology產品對p2p可以采用組合管理控制的方式，可以制定策略進行每個用戶數(shù)據(jù)帶寬監(jiān)控，每個用戶會話數(shù)控制，以及應用層的識別控制。除了對p2p數(shù)據(jù)流進行有效控制外，違反策略的用戶還將直接進入黑名單，管理員可以迅速發(fā)現(xiàn)p2p的使用者，提高網(wǎng)絡的有效利用率，降低安全風險。由于p2p軟件的廣泛應用，當

9、今網(wǎng)絡上流行的多媒體業(yè)務和流媒體軟件也都采用了這個p2p的形式，這些流量因為是實時的而且要求的帶寬更高，所以比p2p更加搶占和濫用網(wǎng)絡的有效帶寬，根據(jù)這種網(wǎng)絡應用需求，需要可以專門設定了針對p2p-tv等p2p流媒體的管理和控制。識別和控制的流媒體的類型應該包括：pplive、qqlive、ppstream等。4.2 基于策略的流量管理通過greaty technology產品，基于策略的配置,可以實現(xiàn)基于各種服務業(yè)務的帶寬和服務優(yōu)先級的控制, 可以根據(jù)每種網(wǎng)絡應用服務的不同,制定不同的流量管理策略?？梢灾苯俞槍τ脩艉陀脩艚M進行安全策略定制，這樣可以非常直觀地進行基于用戶的安全管理和訪問控制。

10、例如：我們可以定制從用戶a到用戶b之間不可以進行ping服務，而從用戶b到用戶a可以進行ping服務，但是帶寬只能是100k?？梢匀我舛ㄖ撇煌愋偷挠脩艚M，而且每個用戶擁有他們自己獨立的認證，授權，計費和安全策略。在網(wǎng)絡流量管理的時候還可以采用群組帶寬管理策略，這樣可以使一個組內的所有用戶都受到一個總帶寬的限制，然后每個用戶又可以在此基礎上進行各自帶寬的限制。4.3 用戶的認證、授權 greaty technology產品可以通過本地或第三方用戶認證和授權系統(tǒng)，對用戶使用網(wǎng)絡的合法性進行安全地身份認證，支持多種認證方式，包括web認證、802.1x的認證、第三方的radius服務器認證和第三方

11、ldap服務器認證等方式，并通過授權用戶的角色決定其訪問網(wǎng)絡的權限，網(wǎng)絡服務質量，策略路由等屬性；用戶的身份認證的同時也可以對用戶做綁定檢查，對用戶的主機名，ip地址，mac地址，vlan id，接入的虛擬端口號，接入的物理端口號的各種組合進行嚴格檢查；greaty technology產品可以不只是在認證的時刻才對用戶進行綁定檢查，而是在用戶訪問網(wǎng)絡的整個過程中，發(fā)出的和接收的每一個報文都做綁定檢查，在結合會話狀態(tài)檢測功能后，可以完全杜絕在整個認證和訪問過程中任何非法仿冒用戶的行為。另外greaty technology產品中可以設置靜態(tài)用戶，該種用戶不需要進行認證，而是直接可以訪問網(wǎng)絡資源

12、，在所有訪問過程中都會進行嚴格的終端綁定檢查，以保證用戶的合法性。greaty technology產品支持自動綁定功能和用戶自動學習功能，這樣可以減少管理員手工配置用戶的工作量。4.4 基于用戶和ip的流量管理和審計greaty technology產品提供強大的用戶信息統(tǒng)計，不僅是對認證和靜態(tài)用戶統(tǒng)計，還可以對不需要認證的用戶進行統(tǒng)計，這就需要配置想要統(tǒng)計的用戶的 ip 地址范圍。同時可以限制用戶的帶寬和連接數(shù)，也可以為這些用戶綁定黑名單功能。這樣也可以控制不需要認證的用戶對網(wǎng)絡的訪問情況。在greaty technology產品中可以定制以下的基于用戶或者ip流量管理策略: 上行帶寬 下

13、行帶寬 可以實現(xiàn)基于用戶群組的帶寬管理 網(wǎng)絡服務優(yōu)先級 作為源的連接數(shù) 作為目的的連接數(shù) 基于黑名單管理的單位時間內最大流量 基于黑名單的超出流量的懲罰機制因為當今網(wǎng)絡中存在多種用戶，有些用戶可能會使用多線程下載工具或者p2p(如bt, emule)等軟件長時間占用帶寬，造成網(wǎng)絡資源的惡意占用，影響其他用戶和業(yè)務的正常使用。所以我們在定制用戶管理策略的時候，會預先定制不同的qos:包括用戶的上行帶寬，下行帶寬，優(yōu)先級, 會話連接數(shù)目等。一旦用戶接入網(wǎng)絡并通過認證，這時用戶就會自動獲得這一系列的服務質量屬性。如下圖所示:greaty technology產品能夠支持基于用戶突發(fā)流量,突發(fā)會話連接

14、和一定時期內總流量的自動黑名單管理,一旦發(fā)現(xiàn)用戶的統(tǒng)計信息超出正常水平,那么自動把用戶加入黑名單, 進行懲罰, 并產生告警和日志。對于用戶流量黑名單的管理greaty technology產品提供以下幾種方式: 基于用戶流量的黑名單懲罰機制，如果發(fā)現(xiàn)在一段時間內用戶的流量速率超過授權值，那么就對用戶進行黑名單懲罰。 基于用戶日，月，季度和年總流量的黑名單懲罰機制, 如果發(fā)現(xiàn)在日，月，季度或者年內用戶的總流量超過授權值，那么就對用戶進行黑名單懲罰。同時用戶還可以查詢詳細用戶或者ip流量信息包括一整年(1月12月)、每個季度、每個月和每天的流量統(tǒng)計信息。4.5 強大的reporter日志軟件nfe

15、設備本地具備system log 的功能,同時nfe 還提供自己的一個report server軟件, 通過這個report server 可以更加人性化的分析流量和數(shù)據(jù),并生成相關報表.nce reporter日志服務器可以很方便的查看當前的網(wǎng)絡中使用的各個端口的流量，總流量，以及cpu利用率，內存利用率，當前會話數(shù)，各個協(xié)議所占的帶寬，流量統(tǒng)計等等。流量統(tǒng)計報告流量的統(tǒng)計（注：以下所有圖示均是我們在過去的案例中獲取的參考圖）下圖是針對ip總流量的排名狀態(tài)表：通過上表可以清楚地查看到每個地址的總流量，帶寬，接收速率，會話數(shù)等。同時還可以看到ip地址中的總流量，上行，下行，會話數(shù)等的排名。不同

16、區(qū)域的流量統(tǒng)計為了詳細統(tǒng)計不同區(qū)域的流量，通過reporter可以詳細的進行查詢和統(tǒng)計。如下圖：如下圖，是從信任到非信任的地址流量統(tǒng)計分析表：基于端口的統(tǒng)計分析由下圖可見，acereporter可以純粹根據(jù)tcp/udp的目的或者源端口號對各種協(xié)議會話流量進行分析得出分析報告。從上圖中，可以查看tcp/udp端口的總流量，上行流量，下行流量等。從而為網(wǎng)絡管理提供詳細的數(shù)據(jù)，詳細了解網(wǎng)絡資源的利用狀況。基于服務的統(tǒng)計和分析為了詳細了解網(wǎng)絡中都有什么網(wǎng)絡行為，我們可以通過reporter軟件來進行詳細的統(tǒng)計和查看。如下圖，可以進行排名，并且以餅圖的方式提供詳細的報表分析。從以上餅圖中可以詳細分析網(wǎng)

17、絡的使用情況?？梢钥闯鯾t,http等在網(wǎng)絡中占用網(wǎng)絡資源比較大。從而對網(wǎng)絡管理提供準確的數(shù)據(jù)分析。日志記錄和審計系統(tǒng)日志通過nfe產品我們可以查看系統(tǒng)的會話日志，事件日志等，從而為了解網(wǎng)絡中的異?，F(xiàn)象和異常流量的分析提供準確而豐富的數(shù)據(jù)。應用日志通過reporter軟件可以查詢上網(wǎng)用戶對網(wǎng)站等的訪問記錄等，并且可以查看是哪臺計算機通過哪個地址轉換出去等記錄。如下圖：四、 部署方式greaty technology產品部署方式靈活多樣，能夠快速部署在網(wǎng)絡中，實現(xiàn)全網(wǎng)的流量監(jiān)測和分析，適用于電信骨干網(wǎng)、城域網(wǎng)以及大型企業(yè)網(wǎng)等大規(guī)模網(wǎng)絡。1、網(wǎng)絡環(huán)境說明一般來說，寬帶網(wǎng)絡為多層網(wǎng)絡架構，一般分為三

18、層：核心層、匯聚層、接入層。核心層負責業(yè)務交換處理、業(yè)務疏通、上連其它骨干網(wǎng)或互聯(lián)網(wǎng)；匯聚層是骨干網(wǎng)的延伸，負責區(qū)域內各接入點的多種業(yè)務匯聚，是接入層各種接入方式的終結點；接入層負責綜合的接入，通過各種接入手段把業(yè)務匯集到匯接層。核心層和匯聚層主要考慮網(wǎng)絡結構和技術體制方面的內容；接入層主要考慮業(yè)務的拓展需要和運營商的戰(zhàn)略需要，同時兼顧整體布局上的均衡。作為大規(guī)模網(wǎng)絡的網(wǎng)絡管理員，更多關注全網(wǎng)的安全運行，而不是個別用戶設備的安全問題。2、網(wǎng)絡部署設計在大規(guī)模網(wǎng)絡部署時，greaty technology產品用于監(jiān)控全網(wǎng)流量的整體狀況。在電信網(wǎng)絡的接入各節(jié)點部署，在各節(jié)點把greaty technology產品部署在大樓或者小區(qū)接入設備與下聯(lián)交換機之間。 五、 greaty technology