《dcfs流量整形与接入控制网关产品介绍》由会员分享,可在线阅读,更多相关《dcfs流量整形与接入控制网关产品介绍(50页珍藏版)》请在金锄头文库上搜索。
1、DCFS流量整形与接入控制网关 产品介绍,神州数码网络有限公司 2010年8月7日,产品功能介绍,应用识别及流量分析 系统监控 防火墙功能 带宽管理 接入控制和计费 统计审计,1、应用识别和流量分析,应用识别原理 应用识别精度 整体性能,1.1、流量分析原理,基于DPI的报文分析和识别 标准协议和应用 基于DFI的行为分析识别 加密数据量分析:加密BT、电驴,1.1、流量分析原理,DPI-Deep Packet Inspection 深度包检测 分析IP报文、TCP/UDP报文、应用Data 通过对数据报文内容的分析确定应用类型 基于特征字的识别 (IP Portocol=89 OSPF,TC
2、P Port=23 -Telnet) 基于控制流识别应用流,通过对一个应用的控制层面特征来解析应用行为(TFTP UDP Port=69,而应用数据的端口是通过协商确定的,非特定端口) 行为模式识别,对终端行为进行研究,并建立行为识别模型,根据终端当前行为,判断用户正在进行的应用或即将进行的应用 DFI-Dynamic Flow Inspection动态流检测 基于主机流量行为的识别技术,通过分析主机行为来判断主机应用 网络流量的交互特征 会话连接特征。,1.1、流量分析原理,1.2、流量分析精度,识别率高,识别率保持90%以上 本土设计和开发,常见应用分析细致入微 应用协议库终身免费升级,D
3、PI,DFI,2、系统监控,系统总体实时监控 系统状态实时监控 在线主机实时监控,2.1、系统总体监控信息,2.2、系统状态监控,2.2.1、系统状态-CPU监控,2.2.2、系统状态-内存使用监控数据,2.2.3、系统状态-会话数监控数据,2.2.4、系统状态-在线主机数监控数据,2.2.5、系统状态-接口流量监控数据,2.3、在线主机实时监控-状态,可对接入终端的应用层实时流量进行监控,及时发现内网的病毒等流量问题。如下图:通过双击认为“有问题”的某台主机的地址,可看该主机详细应用情况。,2.3、在线主机实时监控-应用,可对接入终端的应用层实时流量进行监控点击主机IP地址即可监控主机应用信
4、息,2.3、在线主机会话监控-会话,可对接入终端的会话进行监控点击会话数量即可监控会话信息,3、防火墙功能,抵御网络冲击 会话保活 不同安全域的应用控制管理,3.1、抵御网络冲击,识别攻击流量 阻断攻击流量 监控和告警,3.2、会话保护,系统总体会话保护 终端会话的全局控制 特定主机的会话控制,3.3、不同安全域的应用控制管理,防火墙应用控制,4、带宽管理,带宽管理的原理 带宽通道的功能 带宽通道的结构 带宽控制特色策略,4.1、带宽管理的原理,执行的原理: 对象1:将总带宽分成不同的“带宽通道”。 对象2:要控制的IP或IP组。(这里的控制是双向的) 对象3:确定要控制的应用或应用分组。(4
5、00种之外的应用可控制特征进行自定义对可管理的应用进行扩展) 对象4:时间 将上述四种对象进行任意组合。,4.2、带宽通道功能,可定义的带宽通道 带宽上限 带宽下限 带宽使用的优先级 租用、出租空闲带宽 精确灵活的带宽控制 精确到每个IP地址 精确到每个会话 每个地址的带宽均分 TCP速率控制、UDP限速、异步流量保障,4.3、带宽通道结构,树状划分,可继承,4.4、带宽控制特色策略,动态分配带宽策略 带宽均分策略 TCP速率控制策略 二级带宽控制策略,4.4.1、带宽控制策略-动态分配带宽资源,带宽下限:通道的保障带宽,如果空闲可以出租给其他通道 带宽上限:通道的最大带宽,在通道繁忙时,如果
6、其他通道空闲,可以租用,带宽下限,带宽上限,空闲状态,最佳运行状态,繁忙状态,4.4.2、带宽控制策略-终端带宽均分,基于终端的带宽动态分配(带宽均分):,4.4.2、终端带宽均分的原理,带宽分配与会话数无关,1M,750K,250K,500K,500K,均分前,均分后,4.4.2、终端带宽均分优点,在网络资源紧张时均衡的分配带宽资源 在网络资源空闲时可以充分利用带宽资源 可以配合用户带宽限制使用 可以针对某种应用,确保关键应用的带宽分配,4.4.2、带宽均分效果,效果展示,4.4.3、TCP 速率控制技术,决定TCP会话速率的关键因素:WINSIZE,4.4.3、TCP 速率控制的特点,优点
7、 通过改变window size控制TCP会话速率 可以实现双向控制 可以减小设备的缓冲压力 可以针对单个用户动态实施 防止TCP全局同步 缺点 只能应用于TCP协议,视频 256K,P2P 256K,4.4.4、二级带宽限制技术,在限制终端带宽基础上的应用限制,单用户1M,4.4.4、二级带宽控制技术的优点,在基本带宽控制的基础上,可以进行二次深层控制 细化网络的可管理粒度 实现更有效的带宽管理-没有一刀切,让带宽利用更高效 让用户获得更公平的带宽体验普通应用、下载应用均有带宽保障,5、接入认证和计费,业内第一款融合流量整形与用户接入认证计费的网关系统 用户接入控制 本地用户认证 兼容DCB
8、I、DCSM、标准Radius的身份验证 运营管理 计费策略灵活 精确的计费功能 准确丰富的运营报表 不再基于IP而是基于用户的应用管理和控制 用户身份唯一性 用户身份确定性 用户身份可管理性,5、接入认证和计费管理,接入认证功能 计费策略 流量整形与接入认证融合的优点,5.1、接入认证功能,支持Client和Portal两种认证方式 可以与独立Portal Server配合DCSM Portal Server 接入绑定策略丰富 用户名、密码、用户IP、用户MAC、用户终端ID五元绑定 接入控制策略强大 防修改MAC 防代理、防Pc克隆、防小路由 防私设DHCP Server 操作系统自动升级
9、 客户端自动升级 在线管理 上线消息通知 在线消息通知 强制下线 在线升级客户端 在线操作补丁升级,5.2、灵活的计费策略,计费功能 17种计费原型 对特定目标不计流量 对特定源、特定目标组合不计流量 丰富的计费管理策略满足网络运营管理的需求,5.3、流量整形与接入认证计费融合的优点,基于用户的速率控制 基于用户的应用控制,5.3、流量整形与接入认证计费融合的优点,用户管理的可视化 用户速率 用户会话 用户协议分析,6、统计审计,DCFS自身提供实时的系统运行状态、主机状态等信息 DCFS-Analyzer日志系统:配合DCFS对访问Internet进行日志信息收集、统计、分析、处理的综合日志
10、处理系统 详细统计内网主机数量、内网会话数量、上网协议分析数据, 详细记录用户上网会话信息,提供会话级的审计功能 精确统计用户上网流量和协议分析流量 准确分析用户数据协议类型, 方便分析用户的使用习惯、网络负载规律、网络应用特征,方便网络出口的日志收集、分析和挖掘,为网络规划、策略调整提供科学依据。 对网络策略调整提供科学、系统、全面的日志分析,促进网络出口的有效利用和管理,6.1、网络接口流量信息,6.2、主机信息,主机会话、主机流量、主机协议、特定协议流量排名,6.3、应用统计和分析,应用流量、TOP50应用、详细协议分析,6.4、分区流量统计,分区统计、分区排名,6.5、带宽通道使用分析,6.5、主机数、会话数统计,
