《Maxnet应用优化系统AOS技术白皮书》由会员分享,可在线阅读,更多相关《Maxnet应用优化系统AOS技术白皮书(48页珍藏版)》请在金锄头文库上搜索。
1、 Maxnet 应用优化系统技术白皮书 1 Maxnet 应用优化系统(AOS) 技术白皮书 苏州迈科网络安全技术有限公司 2009 年 3 月 Maxnet 应用优化系统技术白皮书 2 目 录 1.后网络时代网络管理面临的挑战3 2.传统的带宽管理解决方案7 3.MAXNET AOS 应用优化系统.9 3.1.MAXNET AOS 系统的体系结构. 10 3.2.MAXNET AOS 系统的主要功能. 12 3.2.1 网络流量的自动识别与智能分类. 13 3.2.2 网络的完全可视化 15 3.2.3 流量整形与应用优化 19 3.2.4 报表分析与日志管理 24 3.2.4.调整与改进.
2、 31 3.2.5.系统管理功能. 32 3.3. MAXNET AOS 系统的技术优势. 33 3.3.1 采用专用芯片和硬件加速,保证线速吞吐量. 33 3.3.2 基于 DPI 和 DFI 核心技术的应用协议识别与分类. 33 3.3.3 基于令牌桶算法的流控技术 35 3.3.4 采用多种带宽控制算法,实现灵活的、精细化的流量整形和带宽控制. 36 3.3.4 基于硬件 BYPASS实现系统的高可靠性 36 3.3.5 支持 IN- LINE接入及双机冗余的高可用性 36 4.MAXNET AOS 产品规格.38 5.MAXNET AOS 系统典型部署方案.40 5.1 网关型部署方式
3、 40 5.2 全网型部署方式 41 5.3 数据中心型部署方式. 42 6.成功用户列表44 Maxnet 应用优化系统技术白皮书 3 1.后网络时代网络管理面临的挑战 随着信息技术的飞速发展和广泛应用, 信息化已经深入到各行各业的核心 业务中;与此同时 Internet的应用也得到了迅速普及,越来越多的人逐渐利用网 络来并通过网络了解世界,在过去的十年中,中国的网络用户已经突破了 1 亿, 而全球互联网用户已经突破了 10 亿。此外,基于互联网的商业和通讯业务也随 之得到快速增长,在为组织带来更多商业机会、提升组织生产效率同时,极大地 降低了组织运营、生产和沟通成本。因此,目前不论政府、学
4、校、企事业单位或 是个人对于互联网的依赖性也日益突出,一旦 Internet出现任何的故障和事故, 都将严重影响组织的商业活动。 回顾近十多年 IT 技术与应用的发展,基于互联网的应用从文件共享、文件 传输(FTP) 、静态网页浏览(HTML)以及 Telnet等内容单一、静态的、简单、 小规模的应用,逐步发展包括 E- Mail、ERP、OA、CRM、视频会议、VoIP、即 时通讯、网络游戏、电子商务、电子政务等等动态的、大规模的、复杂的应用模 式,网络中承载的内容变得日益复杂、多样化和更加丰富。特别是进入二十一世 纪以后,我们已经进入了后网络时代,此时互联网已经逐步成为一个虚拟的真实 社会
5、,新闻信息、电子邮件、文件共享、视频会议、VoIP、办公自动化、数据库、 ERP、物流供应链和我们现在还无法预知的内容和信息。 在组织越来越依赖于 IT 系统的今天,网络管理和操作人员今天都面对一个 严峻的挑战和课题, 就是怎样有效地管理和控制十分有限和昂贵的广域网资源的 使用。而由于对互联网访问缺乏必要的管理措施和手段,组织的网络资源往往得 不到有效、合理的利用,由此引发了一系列安全、效率和法律问题。 ? 网络带宽资源日趋紧张,带宽恶性占用现象严重 不可预知的、突发的性能瓶颈会影响关键应用的运作效率。目前在大部分组 织中,用户数量庞大、网络应用环境复杂,尤其是 P2P 技术的出现,各种 P2
6、P 应用占用了大量网络带宽(如 BitTorrent,Kazza,Emule 等),消耗了网络中的 大量带宽, 随之而来的是, 由网络链路拥塞引发的应用性能下降问题也日益严重, 极大地影响了组织正常业务的开展及用户正常网络应用的服务质量。 Maxnet 应用优化系统技术白皮书 4 如上图所示,为某行业中典型用户的流量监控示意图,由图中可以看出,少 数用户的 PPlive、UUSEE、PPSTREAM、PPFILM、FUNSHION、QVOD 等 P2P、视频软件占用了近 80%的带宽,而大部分的用户的网页浏览只使用了不 到 12%的带宽,由此可以看出,在缺乏控制和有效管理的组织中,宝贵的带宽
7、资源被恶意的、非关键应用所占用,而大部分用户的合法应用则使用一小部分的 带宽资源。 ? 网络应用业务不透明 目前大部分组织的 IT 系统是路由器和交换机来组建的,而交换机和路由网 对各类协议和应用在能见度上显得苍白无力。IT 管理员无法知道组织的网络的 运行状况、带宽的使用情况以及网络中到底运行着什么应用。 一份来自于 IDC 的权威数据显示:80%以上的 IT 管理人员无法准确了解自 己的网络里存在哪些应用;哪些是关键应用;哪些是普通应用;以及各种应用的 运行状态;带宽资源的占用情况和网络使用的性能。绝大多数用户的网络完全处 于失控状态。 ? 网络关键业务及应用的运营得不到有效保障 所谓关键
8、应用是指与用户生产经营、信息安全、关键用户息息相关的各类网 络应用,包括 ERP、数据库、中间件、电子商务、视频会议等。 目前大部分组织中都缺乏有效的网络管理策略,对核心业务应用(如 ERP、 Maxnet 应用优化系统技术白皮书 5 数据库、OA、邮件等) 、时延敏感的应用(VOIP、视频会议) 、即时通讯、P2P、 网络游戏等应用同时一视同仁, 网络的使用不是根据业务应用的优先级以及重要 程度来支配的,最终导致网络带宽被抢占资源比较厉害的诸如网络游戏、P2P 应用毫无节制的使用。 由于 P2P、网络游戏等软件的使用占用了网络至少 50%的带宽资源,并且 仍然在毫无节制地加速吞噬着宝贵的带宽
9、资源,不仅降低了企业至少 30%- 40% 的生产率,并且毫无节制的吞噬着宝贵的带宽资源,带来网络拥塞等严重影响网 络使用的棘手问题,将严重影响组织中关键应用的正常运行和使用,最终会造成 直接的经济损失。 ? 无法有效利用有限的资源 目前大部分管理人员对其网络的带宽使用情况并不了解或无从获知, 更不了 解他的网络上主要有什么应用在运行, 因此也无法采取相应的措施来控制和合理 的使用有限的资源。 当所有的业务应用在网络中进行带宽之争时, 由于没有对应用进行优先级的 划分,因此非关键型应用总是占据上风。巨大的电子邮件附件或高容量文件传输 所消耗的带宽远远超过它们所应享有的, 而组织网络中的关键型应
10、用之间又在相 互竞争仅有的少量的带宽。最容易的解决方法是不断循环扩大广域网带宽,不断 加大广域网资源投资。 但是, 显然这是一种很大的浪费, 不能从根本上解决问题, 因为很快扩充的“ 道路” 依旧会被更多的流媒体、网络游戏和 P2P 下载所吞噬。 ? 网络安全方面存在的隐忧 从网络安全的角度来说,网络蠕虫病毒也是目前大部分组织面临的一大挑 战。蠕虫病毒攻击的特点是,攻击不从网络外部向网络内部发动,而是从内部开 始发作。网络病毒的入侵无处不在,可以通过员工电子邮件、网络文件共享、网 页浏览等渠道进入到网络中,然后发起攻击。攻击发生的时候,可能的情况是网 络内的几台中毒 PC 同时往上游某些服务器
11、发送大量攻击包, 严重阻塞网络骨干 和 Internet出口的通道。面对这种情况,传统的解决方案无能为力。 因此在确保组织正常工作和关键业务的安全、高效运行的同时,如何从根本 上解决上述问题,才能在显著提高企业的生产效率同时来保障 IT 投资的回报率 Maxnet 应用优化系统技术白皮书 6 (ROI),这是大部分组织目前在网络管理和运维中亟待解决一大问题。 Maxnet 应用优化系统技术白皮书 7 2.传统的带宽管理解决方案 随着 IT 技术的发展, 基于 TCP/IP 的应用也从最初简单的网络层应用发展到 应用层也就是 OSI第七层的应用。在此发展过程中,随之而来的- - - - 如何保证
12、网 络应用的安全和性能已经成为困扰所有网络用户的问题, 是所有网络用户迫在眉 睫需要解决的问题。 针对前面所述的,在后网络时代面临的网络管理问题和挑战中,当组织中由 于网络带宽资源不足,而导致网络链路严重堵塞,影响了关键应用的正常运行, 基于传统的思路,有以下的解决措施和方案: 一是进行系统扩容, 增加网络带宽, 这是一种比较消极的、 被动的解决方法。 一方面扩大带宽所带来的成本增加又是组织所必须要面对和解决的问题。此外, 带宽改善和增加总是有限的,不可能无限制地增加下去,而增加的带宽是否能够 得到有效的管理和使用,在这种情况下又如何才能保证 IT 投资的 ROI(投资回 报率) 。 相比较而
13、言,第二种方案可以直接利用数据链路层、网络层甚至传输层已经 比较成熟的技术控制措施来实现性能管理与网络的安全。如 L2 交换机基于 802.1Q 和 VLAN 的控制,L3/L4 交换机的访问控制列表进行过滤、通过防火墙 进行阻断和控制等等,如下图所示。 而防火墙主要是通过对 IP 地址、 TCP/UDP 端口号等要素实现对网络访问的 控制, 控制并封堵非法的网络访问行为。 路由器和 L4 交换机则可以基于 IP 包头、 TCP 包头的参数信息,实现一定服务质量管理。路由器所采取的机制都是通过 所谓的“ 队列” 技术来实现:当路由器通过广域网链路来不及发送的信息包都在路 由器内以不同优先等级来
14、排队。当队列过长时,路由器只好把处理不来的信息包 扔掉,引起 TCP 的大量重发,一些会话(Session)会因此而中断,从而无法实现 有效的、灵活的服务质量管理;此外,对基于 UDP 的应用(如 P2P、视频/流媒 体等)则显得无能为力。 Maxnet 应用优化系统技术白皮书 8 但是,在网络应用日新月异的今天,对所有的应用流量一视同仁,无法区分 延时敏感性和重要性是 TCP/IP 网络的先天不足之处,而组织中现有设备(路由 器、交换机、防火墙等)很难针对特定应用实现带宽保护。 然而在后网络时代,大量的软件(包括 P2P、即时通讯、网络游戏等等) 都具备了跳跃端口、随机端口、自定义端口甚至包
15、伪装等等功能,规避 IT 管理 员的管理与控制。这些软件的端口随时可变,甚至可以在 web 浏览必须的 80 端 口上进行自己的活动。因此传统的交换机、路由器和防火墙对此则毫无办法,形 同虚设。 因此如何实现对目前 P2P 普及、 蠕虫病毒泛滥、 流媒体/视频会议广泛使用、 电子商务、电子政务等环境下,实现智能化的网络带宽管理,达到可见、可测、 可控、可优化的带宽管理和应用优化的目标呢? Maxnet 应用优化系统技术白皮书 9 3.Maxnet AOS 应用优化系统 苏州迈科网络安全技术有限公司(以下简称迈科公司)是致力于为广大网络 用户提供先进的带宽管理、流量控制和应用优化解决方案。迈科公
16、司凭借着强大 的研发团队和在协议分析、带宽管理、应用优化等方面多年的实践经验,推出业 界领先的 Maxnet AOS(Application Optimization System,即应用优化系统) 系统。 Maxnet IP 系列带宽管理设备是一款 In- line(桥接)模式的专用硬件产品, 以 DPI(Deep Packet Inspect,深度包检测)技术和 DFI(Deep/Dynamic Flow Inspection,深度流行为检测)技术为核心,支持软/硬件 Bypass,提供了基于 七层应用的带宽管理和应用优化功能;在带宽管理方面,配合用户自定义的带宽 策略以及 Maxnet 的核心带宽自动分配算法, 可以为网络链路划分多个虚拟带宽 通道,能够实现最大带宽限制、保证带宽、带宽租借、应用优先级、随机公平队 列等一系列带宽管理功能,为客户提供了带宽管理、分析和优化的一体化解决方 案,能够有效的检测和防止不正常应用对网络带宽资源的非正常消耗,保证关键 应用带宽,限制非业务应用带宽,改善和保障了整体网络应用的服务质量。 迈科公司秉持“
