《烽火网络产品解决方案》由会员分享,可在线阅读,更多相关《烽火网络产品解决方案(52页珍藏版)》请在金锄头文库上搜索。
1、陈钊 FiberHome Networks | Great Customers Network Solutions 烽火网络DPI产品及解决方案AC OutlineFiberhome Networks co., LTD *Page 2 提纲 DPI产品概述 DPI关键技术 DPI系统应用 DPI产品介绍Fiberhome Networks co., LTD *Page 3 三网融合运营商进入全业务竞争时代p电信运营商和有线电视运营商业务互相渗透p通过全业务绑定及价格策略互相争夺客户p电信运营商通过铺设FTTH来提供IPTV业务,抢夺有线电视运营商TV业务p有线电视运营商通过自建移动网络或MVN
2、O的方式进入传统电信运营商的移动领域,形成全业务竞争三网融合时代需要利用有限的资源,为用户提供精细化、差异化的服务;对业务实现更进 一步的可管、可控,实现可选择的精细化运营。Fiberhome Networks co., LTD *Page 4 DPI是运营商业务精细化控制的最佳选择Fiberhome Networks co., LTD *Page 5 运营商业务精准管控的需求AC OutlineFiberhome Networks co., LTD *Page 6 提纲 DPI产品概述 DPI关键技术 DPI系统应用 DPI产品介绍Fiberhome Networks co., LTD *P
3、age 7 DPI系统架构DPI软件应用系统采用B/S(浏览器/服务器)架构设计,用户使用网络终端通过浏览器访问软件系统。数据流从网络接口进入系统后,在底层操作系统直接转发,由网络DMA引擎直接将流量信息导入系统中。首先业务驱动模块将包交付给业务分析模块,业务分析模块通过DPI(深层包挖掘)技术将数据包解析、打开,并且根据包内数据识别出相应的协议后转发给策略引擎。策略引擎根据用户设置的不同网络应用的控制方案进行实时控制,最后通过业务转发模块将网络流从端口输出,同时将分析数据分发给数据统计模块,生成图表信息,存储进数据库。Fiberhome Networks co., LTD *Page 8 D
4、PI系统的三代解决方案Fiberhome Networks co., LTD *Page 9 第一代:旁路方式旁路控制系统USERHOST通知主机用户终止传输 数据,连接中断建立连接镜像流量数据分析发现其 为非法流量向用户发送 欺骗信息Fiberhome Networks co., LTD *Page 10 第二代:浅串行方式浅串行控制系统USERHOST浅串行控制系统通过检测网络流 量发现有非法流量,可以直接干 预切断流量,但会造成连接中断建立连接Fiberhome Networks co., LTD *Page 11 第三代:深串行方式USERHOST深串行控 制系统深串行控制系统可以实时
5、对数据流和数据包进行 分析控制,对包操作时不会造成网络流的中断建立连接放行拦截放行另外,深串行控制系统还可以使用队列 缓存,使网络连接的传输速率在合理范 围内减缓,但是不会造成连接中断Fiberhome Networks co., LTD *Page 12 零存储技术用户空间 (处理网络流)IP Stack(IP协议栈)操作系统网络接口网络流复 制复 制内存 空间 零存储技术直接读写内存数据,避免了经过中央处理器的处理,用发送消息的方式代替复制内存的大量数据,可以大大减少系统在复制数据所占用的时钟周期,从而提高处理的速度,增加了设备的数据吞吐量。用户空间(处理网络流)IP Stack( IP协
6、议栈)操作系统网络接口内存空间发送 消息写 入网络流Fiberhome Networks co., LTD *Page 13 精细化控制p 实现网络细节控制 自动策略调整 特殊用户带宽定制 空闲带宽借用 单用户通道 细致图表呈现 异常用户警告 最低带宽保障Fiberhome Networks co., LTD *Page 14 了解网络流量的细节l一个精细化分析单元:一个用户,一个协议,一种策略l多种图表详细呈现,便于洞察、分析作出更合理的商务决策l一目了然谁占用了资源,哪些网站经常被访问Fiberhome Networks co., LTD *Page 15 精细化控制子区域 协议协 议 组
7、用户子区域子区域协 议 组全局区域通 道一个精细化控制单元:一个用户 ,一个协议,一种策略。l根据用户的不同类型,划分了不同的区域分组,而最精细的分类,就是每个用户。l根据协议的种类,划分出不同的通道,最精细的分类,就是就是每个协议。通过在两个维度上进行控制,形成了一个矩阵。我们可以看到,在每个小区域中,也包含有通道,协议等的分类。而每一种通道,可以应用在任何级别的区域中。Fiberhome Networks co., LTD *Page 16 控制矩阵引擎动作 容许/拒绝 限流 弹出警示页面 URL过滤 实施正向/反向NAT 流量复制 双网搭桥 双网双速 行为审计 应用三速 IPV4到IPV
8、6转换 共享上网限制 广告推送 页面重定向触发条件 用户名 源IP地址/目的IP地址 源端口/目的端口 应用类型 时间 VLAN 物理端口Traffic Matrix EngineFiberhome Networks co., LTD *Page 17 策略映射l将策略作为一个单独的控制元素,与区域、通道并列。在控制矩阵中,通过区域、通道确认所控制的对象,从策略引擎中加载预先设定好的控制方案,从而实现了策略引擎与控制目标的分离。协 议 组子区域子区域协 议 组全局区域通 道策略Fiberhome Networks co., LTD *Page 18 QFIFO高速缓存http Thunder
9、stmp PPlive mms ftp emule pop3 http BT QQlive PPstreamQFIFO优先级:1优先级:3优先级:2l网络数据送交到用户行为分析控制系统的业务分析模块处理进入高速缓冲区,在缓冲区内,数据转发模块会按照网络应用的优先级,将这些网络数据送入不同优先级的队列中去。拥有高优先级的队列将优先转发数据,由于http、stmp、pop3这些应用的优先级高,所以系统会将其转发到高优先级的队列中。关键应用就可以在第一时间被系统转发,使得网络用户可以获得更好的体验。Fiberhome Networks co., LTD *Page 19 动态环形数据库l数据库可以根
10、据活跃协议数目调整在数据库中所需的空间大小,其动态存储的方式使数据存储量大量减少,同时具有非常高效的查询速度。由于动态环形数据库的占用存储空间小,处理速度快这个特点,用户行为分析控制系统的网络流量数据可以精确到一分钟以内,并且可以储存无限期的历史数据(受数据库存储空间限制)。AC OutlineFiberhome Networks co., LTD *Page 20 提纲 DPI产品概述 DPI关键技术 DPI系统应用 DPI产品介绍Fiberhome Networks co., LTD *Page 21 运营商DPI市场系统功能Fiberhome Networks co., LTD *Pag
11、e 22 用户行为分析控制永无止境的用户需求Fiberhome Networks co., LTD *Page 23 我们怎样找到问题,怎样控制那些流量?网络运维人员对网络中应用情况没有有效工具进行统计和分析,特别是当运营商网络普遍升级为10GE以上的链路时。大量P2P和视频应用挤占了网络带宽,关键应用无法得到应有的保障。对此我完全不知情用户行为分析控制Fiberhome Networks co., LTD *Page 24 用户行为分析控制-流量统计分析针对网络流量进行深入分析,并根据分析结果,挖掘出有价值的流量统计数据 和用户行为数据等,为优化网络和针对性营销等提供重要依据网络容量 和结构
12、改 造业务 流量 分析p 针对网络中的流量,结合各种技术进行分析挖掘,得出网络中流量构成、流量流 向等有价值的信息。p 可实现的功能包括网络流量构成分析、特定应用分布分析、异常流量分析、特定 业务流量趋势分析等网络容量 和结构改 造用户 行为 分析p 针对具体网络用户或用户群进行的分析和数据挖掘,可得出特定用户或用户群 的网络习惯和应用构成等有价值的信息p 可实现的功能包括用户应用构成分析、特定业务的用户分布分析等Fiberhome Networks co., LTD *Page 25 当网络流量经过系统时,控制矩阵引擎将:首先探测IP包中流信息,如源IP地址、目的IP地址,同时通过探测数据包
13、中的用户名信 息确定用户;然后解开IP包,对第七层应用层协议进行分析,了解流量中包含哪些应用;至此,系统透过两个维度的探测,形成了一个二维矩阵,每一个焦点代表用户是谁、上 网在做什么事情这个焦点就是一个精细的控制点,用户可以对这个精细的控制点任 意的按照时间来调整其大小;对于每一个精细控制点的流量,系统都将予以记录,然后输出图表,便于用户查看。QQpplivehttp迅雷192.168.0.5192.168.0.15192.168.0.105192.168.0.155192.168.0.215精细控制点图形化展现网络应用感知上网用户感知用户行为分析控制-流量控制矩阵Fiberhome Netw
14、orks co., LTD *Page 26 用户行为分析控制-P2P应用类型Fiberhome Networks co., LTD *Page 27 用户行为分析控制-P2P识别技术Fiberhome Networks co., LTD *Page 28 用户行为分析控制-P2P识别技术特征字识别协议指纹 识别协议状态机 识别通信特征 识别Fiberhome Networks co., LTD *Page 29 实现机制 p 采用Traffic shaping的方式限制应用业务流量 p 采用scheduling保证业务流量的优先转发- 高等级业务流量(重要客户、关键业务)优先转发 - 低等级
15、业务按照比例分配带宽资源用户行为分析控制-P2P控制技术(QOS)Fiberhome Networks co., LTD *Page 30 TCP/UDP 连接Drop packt源端目的端p 将TCP/UDP报文全部丢弃,可阻断源端与目的端的TCP/UDP连接p 将TCP报文部分丢弃,可使发送端调整TCP窗口大小,自动降低发送速率 ,从而降低源端到目的端全路径的发送速率用户行为分析控制-P2P控制技术(丢弃/部分丢弃)Fiberhome Networks co., LTD *Page 31 源端目的端建立连接TCP Rst或ICMP UnreachableTCP Rst或ICMP Unreachablep 阻断TCP连接 伪造TCP Reset报文,向源和目的端分别发送p 阻断UDP连接 伪造ICMP Unreachable报文,向源端发送 有可能被用户防火墙拦截而失效用户行为分析控制-P2P控制技术(阻断TCP/UDP连接)Fiberhome Networks co., LTD *Page 32 用户行为分析控制双速网技术校园内网Internet20M4M链路选择与带宽分配能根据源IP地址、目标IP地址划分用户组,能为同一个用户访问不同的目的地址分配多种带宽;能实现正向和反向N
