UMP網(wǎng)絡(luò)管理系統(tǒng)白皮書V20

UMP網(wǎng)絡(luò)管理系統(tǒng)技術(shù)白皮書道馳IDOTECH北京道馳科技有限公司2007年6月目錄TOC\o"1-5"\h\z\o"CurrentDocument"一、問題分析 1\o"CurrentDocument"二、產(chǎn)品概述 2\o"CurrentDocument"深層內(nèi)容分析——網(wǎng)絡(luò)安全發(fā)展的趨勢(shì) 3\o"CurrentDocument"深層速率控制——網(wǎng)絡(luò)管理的未來之路 3\o"CurrentDocument"多層實(shí)時(shí)監(jiān)控體系——保證網(wǎng)絡(luò)的可管理性 4\o"CurrentDocument"DoS/DDoS攻擊防范——網(wǎng)絡(luò)安全的基本保障 4\o"CurrentDocument"三、關(guān)鍵技術(shù) 4\o"CurrentDocument"深層速率控制技術(shù) 4\o"CurrentDocument"帶寬通道管理技術(shù) 5\o"CurrentDocument"帶寬動(dòng)態(tài)分配技術(shù) 6\o"CurrentDocument"帶寬交叉控制技術(shù) 7TCP速率控制技術(shù) 8\o"CurrentDocument"UDP速率控制技術(shù) 10\o"CurrentDocument"DOS/DDoS攻擊防范技術(shù) 10\o"CurrentDocument"四、功能介紹 11\o"CurrentDocument"網(wǎng)絡(luò)資源監(jiān)控 11\o"CurrentDocument"支持多種網(wǎng)絡(luò)接口和協(xié)議 11\o"CurrentDocument"提供深度應(yīng)用分析功能 11\o"CurrentDocument"支持動(dòng)態(tài)的帶寬分配 11\o"CurrentDocument"部署方式靈活 11\o"CurrentDocument"詳細(xì)的數(shù)據(jù)分析功能 12\o"CurrentDocument"快捷高效的主機(jī)綁定 12\o"CurrentDocument"人性化的管理界面 12\o"CurrentDocument"五、產(chǎn)品系列 13\o"CurrentDocument"六、解決方案 14\o"CurrentDocument"6.1運(yùn)營商解決方案 14\o"CurrentDocument"校園網(wǎng)解決方案 16\o"CurrentDocument"企事業(yè)單位解決方案 18一、問題分析互聯(lián)網(wǎng)正飛速改變著全球企業(yè)的經(jīng)營模式，企業(yè)能以嶄新且有效的方式與客戶、雇員、供應(yīng)商以及業(yè)務(wù)伙伴進(jìn)行溝通。隨著互聯(lián)網(wǎng)的普及，用戶對(duì)網(wǎng)絡(luò)的依賴越來越深，同時(shí)網(wǎng)絡(luò)給用戶帶來的煩惱也日益嚴(yán)重?？偨Y(jié)起來，困擾用戶的主要問題有以下幾點(diǎn)：?帶寬有限、需求不斷主干互聯(lián)網(wǎng)雖然年年升級(jí)，但仍然不能滿足用戶日益增長(zhǎng)的需求。很多企業(yè)用戶和運(yùn)營商長(zhǎng)期面臨帶寬需求的煩惱：申請(qǐng)充足的帶寬投入太多，帶寬少了又不夠用。造成用戶帶寬擁塞的原因很多，出口帶寬永遠(yuǎn)低于桌面帶寬是最根本的原因。其次，網(wǎng)絡(luò)應(yīng)用的迅猛發(fā)展是導(dǎo)致帶寬不夠用的主要原因，尤其是最近幾年出現(xiàn)的P2P應(yīng)用和網(wǎng)絡(luò)病毒，極大的消耗了有限的網(wǎng)絡(luò)資源。對(duì)于那些P2P應(yīng)用者來說，下載一個(gè)文件用5個(gè)小時(shí)或者10個(gè)小時(shí)差別并不大，但是對(duì)于其他瀏覽網(wǎng)頁的用戶，訪問一個(gè)網(wǎng)頁需要5秒鐘還是10秒鐘還是有很大區(qū)別的。同樣，如果某個(gè)用戶急需下載一個(gè)幾兆大小的文件或者打開一個(gè)電子郵件，也會(huì)很在乎當(dāng)前的網(wǎng)絡(luò)速度，而此時(shí)的網(wǎng)絡(luò)帶寬也許正在被某些P2P應(yīng)用或者其他一些網(wǎng)絡(luò)資源消耗較多的用戶占用。因此，解決帶寬擁塞的關(guān)鍵問題是如何能夠?qū)捄侠淼姆峙涞矫總€(gè)桌面用戶，當(dāng)網(wǎng)絡(luò)資源緊張的時(shí)候限制那些使用量大的普通用戶，保障那些使用量小的重要用戶。反之，當(dāng)網(wǎng)絡(luò)資源有較大空閑時(shí)則取消這些限制，讓每個(gè)用戶都能高效使用網(wǎng)絡(luò)，有效利用租用的帶寬。?關(guān)鍵應(yīng)用難以重點(diǎn)保障用戶對(duì)于不同應(yīng)用的要求也不同，比如對(duì)待大文件的下載一般都不會(huì)太在乎時(shí)間，而對(duì)瀏覽網(wǎng)頁和郵件收發(fā)則要求時(shí)間短，速度快，至于語音和視頻等實(shí)時(shí)通訊稍有時(shí)延則無法容忍。顯然，目前網(wǎng)絡(luò)的現(xiàn)狀是：文件下載、瀏覽網(wǎng)頁、郵件收發(fā)和視頻通訊都采用相同的帶寬處理策略，很多網(wǎng)絡(luò)資源實(shí)際上沒有得到有效的利用。所以，如何保障用戶主要應(yīng)用的正常運(yùn)行也是網(wǎng)絡(luò)管理者最關(guān)心的問題之一。?垃圾會(huì)話困擾網(wǎng)絡(luò)安全目前，多數(shù)用戶的桌面操作系統(tǒng)都是Windows家族產(chǎn)品，單一化的桌面環(huán)境導(dǎo)致了基于Windows系統(tǒng)的網(wǎng)絡(luò)病毒大規(guī)模流行。多數(shù)病毒都是通過網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，這些病毒經(jīng)常針對(duì)相鄰網(wǎng)段進(jìn)行大規(guī)模的掃描，而病毒的垃圾請(qǐng)求往往會(huì)消耗大量的網(wǎng)絡(luò)帶寬，同時(shí)可能耗盡出口路由器的NAT會(huì)話資源，致使網(wǎng)絡(luò)的管理者誤以為是帶寬資源不夠從而導(dǎo)致網(wǎng)絡(luò)的擁塞。?用戶的網(wǎng)絡(luò)行為需要審計(jì)內(nèi)部員工對(duì)網(wǎng)絡(luò)資源的濫用令人觸目驚心。隨著互聯(lián)網(wǎng)的吸引力和互動(dòng)性與日俱增，網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)聊天、網(wǎng)絡(luò)炒股等活動(dòng)嚴(yán)重地分散了員工的精力。據(jù)IDC在美國的統(tǒng)計(jì)，企業(yè)中員工30%至40%的上網(wǎng)活動(dòng)與工作無關(guān)。而來自色情網(wǎng)站訪問統(tǒng)計(jì)的分析表明，70%的色情網(wǎng)站訪問量發(fā)生在工作時(shí)間。類似這些不合理的上網(wǎng)行為，導(dǎo)致美國企業(yè)的損失每年高達(dá)數(shù)千億美元。據(jù)公布的最新統(tǒng)計(jì)顯示，中國員工每周上班花在網(wǎng)上處理私人事務(wù)的時(shí)間高達(dá)5.6小時(shí)，平均每天超過1小時(shí)，這些時(shí)間主要用來娛樂和聊天。不容忽略的是，瀏覽某些內(nèi)容違法的網(wǎng)站還可能給員工所在單位帶來法律上的麻煩。同時(shí)，根據(jù)美國權(quán)威機(jī)構(gòu)調(diào)查結(jié)果顯示，連續(xù)幾年因敏感信息被竊聽、破壞所造成的經(jīng)濟(jì)損失超過病毒感染和黑客攻擊所造成的損失。其中80%以上的安全威脅來自內(nèi)部。同時(shí)中國CNCERT也作了相關(guān)調(diào)查，結(jié)果也表明信息安全問題主要來自內(nèi)部人員泄密和犯罪，而非病毒和外來黑客引起。網(wǎng)絡(luò)作為信息時(shí)代企業(yè)的生產(chǎn)工具，需要適當(dāng)監(jiān)控、合理使用。在美國和歐洲，有80%的企業(yè)對(duì)員工的互聯(lián)網(wǎng)活動(dòng)進(jìn)行審計(jì)，而且這一舉措得到了法律條文上的支持。因此，如何有效地控制員工的上網(wǎng)行為，并避免網(wǎng)絡(luò)泄密的發(fā)生，已成為企業(yè)迫在眉睫的緊要任務(wù)。二、產(chǎn)品概述針對(duì)目前困擾用戶的網(wǎng)絡(luò)問題，北京道馳科技有限公司推出了UMP網(wǎng)絡(luò)管理系統(tǒng)(英文名稱：UMP),率先采用深層內(nèi)容分析(DeepInspection)、深層速率控制(DeeperRateControl)和智能會(huì)話管理等一系列業(yè)內(nèi)領(lǐng)先技術(shù)，為這些問題的解決帶來曙光。與傳統(tǒng)產(chǎn)品相比，UMP系列產(chǎn)品有下列顯著特點(diǎn)：深層內(nèi)容分析——網(wǎng)絡(luò)安全發(fā)展的趨勢(shì)?基于內(nèi)容進(jìn)行會(huì)話識(shí)別可以通過高速的深層協(xié)議分析，識(shí)別每一個(gè)網(wǎng)絡(luò)會(huì)話所屬的應(yīng)用，針對(duì)某種協(xié)議進(jìn)行控制或者制定相應(yīng)的帶寬分配策略，攔截那些具有攻擊意圖的會(huì)話和連接。支持傳統(tǒng)的識(shí)別技術(shù)可以識(shí)別二到四層的網(wǎng)絡(luò)數(shù)據(jù)特征，這些特征也可以同時(shí)配合內(nèi)容分析技術(shù)一并使用。深層速率控制——網(wǎng)絡(luò)管理的未來之路智能的帶寬調(diào)節(jié)功能可以根據(jù)網(wǎng)絡(luò)負(fù)載情況，智能調(diào)節(jié)網(wǎng)內(nèi)的終端帶寬分配方式。例如：如果目前網(wǎng)絡(luò)負(fù)載較高則自動(dòng)限制那些流量較大的終端，保證多數(shù)用戶的網(wǎng)絡(luò)應(yīng)用能夠正常、快速的得到響應(yīng)；當(dāng)網(wǎng)絡(luò)負(fù)載較低時(shí)，則采用寬松的帶寬處理策略，以便網(wǎng)絡(luò)的帶寬得到充分的利用；基于終端的資源控制僅需設(shè)定一條規(guī)則，即可限定每臺(tái)終端的帶寬使用上限，同時(shí)系統(tǒng)可以根據(jù)當(dāng)前網(wǎng)絡(luò)資源的使用狀況，動(dòng)態(tài)調(diào)整分配給每個(gè)用戶的帶寬資源，保證帶寬分配的公平性與合理性。另外，系統(tǒng)還可以設(shè)定每臺(tái)終端的會(huì)話數(shù)量，防止由于病毒等原因造成的網(wǎng)絡(luò)資源耗盡。彈性靈活的資源管理機(jī)制UMP系列產(chǎn)品能自動(dòng)識(shí)別、分辨網(wǎng)絡(luò)第二層到第七層中各種不同的協(xié)議、服務(wù)和應(yīng)用。深層速率控制技術(shù)(DeeperRateControl)根據(jù)用戶IP地址、服務(wù)器IP地址、子網(wǎng)、應(yīng)用端口、應(yīng)用類型、協(xié)議等基本特點(diǎn)及應(yīng)用的關(guān)聯(lián)性分析，對(duì)信息流加以區(qū)分，再根據(jù)不同的需要給予應(yīng)有或適當(dāng)?shù)膬?yōu)先級(jí)別(Privilege)和帶寬政策(Policy)。優(yōu)先級(jí)別和帶寬政策可以按區(qū)間劃分，以硬性或彈性的實(shí)施方式靈活實(shí)施，確保廣域網(wǎng)有限資源的按需動(dòng)態(tài)分配。多層實(shí)時(shí)監(jiān)控體系——保證網(wǎng)絡(luò)的可管理性?細(xì)致周到的監(jiān)控功能宏觀上，UMP可以實(shí)時(shí)監(jiān)測(cè)到網(wǎng)絡(luò)負(fù)載、在線主機(jī)數(shù)量、會(huì)話數(shù)量等一系列特性參數(shù)。微觀上，UMP提供主機(jī)、接口、通道、應(yīng)用、會(huì)話等多個(gè)層次的實(shí)時(shí)監(jiān)控功能，實(shí)時(shí)掌握網(wǎng)絡(luò)各個(gè)細(xì)節(jié)的運(yùn)行狀態(tài)；全面完善的日志機(jī)制UMP的數(shù)據(jù)匯總到專用的日志服務(wù)器內(nèi)，供網(wǎng)絡(luò)管理員查詢、統(tǒng)計(jì)和審計(jì)。同時(shí)可以按需生成詳細(xì)的報(bào)表，幫助網(wǎng)絡(luò)管理員分析網(wǎng)絡(luò)運(yùn)行狀況，管理者還可以通過日志服務(wù)系統(tǒng)審計(jì)員工的上網(wǎng)行為和內(nèi)容。DoS/DDoS攻擊防范——網(wǎng)絡(luò)安全的基本保障SYNCookie防范機(jī)制在TCP確認(rèn)數(shù)據(jù)包中插入一個(gè)ID號(hào)來鑒別SYN請(qǐng)求。保證合法的請(qǐng)求發(fā)送到服務(wù)器端，同時(shí)終止全部SYNflood攻擊，防止SYNflood攻擊蔓延到服務(wù)器端或UMP自身。智能流量識(shí)別技術(shù)采用取樣和基準(zhǔn)流量行為監(jiān)測(cè)機(jī)制，識(shí)別異常流量，一旦達(dá)到了某個(gè)潛在攻擊的激活閾值，UMP的保護(hù)措施將自動(dòng)啟動(dòng)，攔截那些具有攻擊性質(zhì)的訪問。三、關(guān)鍵技術(shù)深層速率控制技術(shù)深層速率控制技術(shù)(DeeperRateControl)通過五個(gè)步驟保障網(wǎng)絡(luò)高效利用，保障關(guān)鍵應(yīng)用，滿足一般應(yīng)用，避免在廣域網(wǎng)接入瓶頸出現(xiàn)阻塞。步驟如下：分類UMP自動(dòng)根據(jù)網(wǎng)絡(luò)流量的協(xié)議、應(yīng)用類別、來源域、目標(biāo)域和其他應(yīng)用特征，將網(wǎng)絡(luò)數(shù)據(jù)流分成不同類別。UMP不僅是靜態(tài)地分辨端口、協(xié)議、IP地址等網(wǎng)絡(luò)要素，而且還深入到OSI網(wǎng)絡(luò)模型的第七層對(duì)流量進(jìn)行應(yīng)用層和關(guān)聯(lián)性的分類，對(duì)各種應(yīng)用程序進(jìn)行精確識(shí)別。分析根據(jù)當(dāng)前的狀況對(duì)應(yīng)用程序的網(wǎng)絡(luò)效率進(jìn)行分析，然后生成帶寬利用率、應(yīng)用關(guān)聯(lián)性以及其他信息的數(shù)據(jù)，通過分析這些數(shù)據(jù)生成相應(yīng)的調(diào)整參數(shù)?？刂聘鶕?jù)實(shí)際的網(wǎng)絡(luò)管理規(guī)則進(jìn)行帶寬分配。針對(duì)用戶，系統(tǒng)能夠保障多數(shù)用戶的使用、安置超量占用資源的個(gè)別用戶；針對(duì)應(yīng)用，系統(tǒng)能夠保護(hù)關(guān)鍵的應(yīng)用、快速處理用戶的一般應(yīng)用、限制非關(guān)鍵應(yīng)用，使有限的廣域網(wǎng)接入性能實(shí)現(xiàn)最優(yōu)。此外，還可以為單個(gè)會(huì)話(session)、單個(gè)應(yīng)用程序或者某類會(huì)話和某類應(yīng)用指定具體的帶寬區(qū)間。系統(tǒng)的深層速率控制技術(shù)能夠主動(dòng)地同時(shí)控制流出和流入的信息傳輸以避免阻塞，防止不必要的數(shù)據(jù)包丟棄和重發(fā)，力保平穩(wěn)、均等的流量，實(shí)現(xiàn)網(wǎng)絡(luò)的吞吐優(yōu)化。調(diào)整根據(jù)應(yīng)用程序的分析結(jié)果對(duì)當(dāng)前的網(wǎng)絡(luò)使用情況進(jìn)行預(yù)估，如果發(fā)現(xiàn)當(dāng)前的處理策略沒有達(dá)到最優(yōu)的網(wǎng)絡(luò)效率，則智能的調(diào)整當(dāng)前的處理策略，實(shí)現(xiàn)網(wǎng)絡(luò)性能的最優(yōu)化。報(bào)告系統(tǒng)可以根據(jù)用戶的定制，產(chǎn)生圖表、數(shù)據(jù)等管理信息的實(shí)時(shí)監(jiān)控，還可以定制監(jiān)控的對(duì)象，從而掌握當(dāng)前網(wǎng)絡(luò)性能的真實(shí)狀態(tài)。帶寬通道管理技術(shù)帶寬通道(BandwidthPipe)，是為某個(gè)用戶、某個(gè)網(wǎng)絡(luò)應(yīng)用或某個(gè)網(wǎng)絡(luò)接口、線路自定義的帶寬管道，UMP從以下幾方面非常靈活的支持帶寬通道管理：支持帶寬通道的上下限帶寬下限帶寬指通道的保障帶寬，如果空閑可以出租給其他通道；上限帶寬是帶寬通道可獲得的最大帶寬，如果通道帶寬已經(jīng)用滿，而其他通道空閑，在策略機(jī)制的支持下，可以租用其他通道的帶寬。

?可以支持帶寬通道的優(yōu)先級(jí)UMP支持帶寬通道的優(yōu)先級(jí)定義，優(yōu)先級(jí)決定了哪條帶寬通道可以優(yōu)先被系統(tǒng)處理，優(yōu)先級(jí)越高的帶寬通道可以優(yōu)先占用或共享空閑的帶寬通道資源。?帶寬的分配精確到IP地址UMP的通道管理技術(shù)實(shí)現(xiàn)的是基于用戶地址的動(dòng)態(tài)處理隊(duì)列，能夠精確的控制每個(gè)用戶端IP地址/地址段的帶寬流量。而傳統(tǒng)的Qos技術(shù)每個(gè)策略定義一個(gè)先進(jìn)先出的隊(duì)列，帶寬的上限只能應(yīng)用于整個(gè)策略。帶寬動(dòng)態(tài)分配技術(shù)用戶訪問網(wǎng)絡(luò)的速度很大程度取決于用戶終端與網(wǎng)絡(luò)資源之間建立連接的數(shù)量，例如著名的下載軟件NetAnts、Flashget以及一些P2P應(yīng)用（BT、迅雷等）就是通過增加網(wǎng)絡(luò)會(huì)話的數(shù)量來加速下載的。如果用戶的網(wǎng)絡(luò)中沒有帶寬管理系統(tǒng)，有些用戶使用搶占帶寬能力強(qiáng)的網(wǎng)絡(luò)工具打開較多的網(wǎng)絡(luò)會(huì)話，將獲得較大的網(wǎng)絡(luò)帶寬資源；而多數(shù)用戶使用了較少的會(huì)話連接，因而訪問速度變慢，如下圖所示：1M250K3x250K1M250K3x250K傳統(tǒng)的QoS技術(shù)可以通過定義用戶帶寬的上限來限制用戶的訪問速度，但是這種方法在網(wǎng)絡(luò)資源緊張的時(shí)候不能起到緩解的作用，而當(dāng)網(wǎng)絡(luò)資源空閑的時(shí)候容易造成網(wǎng)絡(luò)資源浪費(fèi)。UMP支持帶寬的動(dòng)態(tài)分配技術(shù)，可以在用戶分配的帶寬通道內(nèi)動(dòng)態(tài)調(diào)節(jié)、均

衡用戶使用的帶寬，此技術(shù)具有如下的優(yōu)點(diǎn)：?在網(wǎng)絡(luò)資源緊張時(shí)均衡分配帶寬資源，在網(wǎng)絡(luò)資源空閑時(shí)可以充分利用帶寬資源；可以針對(duì)某種應(yīng)用，確保關(guān)鍵應(yīng)用的帶寬分配；可以配合用戶帶寬限制使用，并且使帶寬分配與用戶建立的會(huì)話數(shù)無關(guān)。帶寬的動(dòng)態(tài)分配技術(shù)可以從根本上解決用戶帶寬分配不均的問題，防止個(gè)別用戶過多的占用有限的帶寬資源。如下圖所示：1M1M帶寬交叉控制技術(shù)很多網(wǎng)絡(luò)管理員在規(guī)劃網(wǎng)絡(luò)帶寬分配方式的時(shí)候，都有這樣一類需求：每個(gè)用戶的帶寬要控制在一個(gè)范圍內(nèi)，同時(shí)對(duì)某些應(yīng)用限制一個(gè)總的帶寬，如下圖所示，首先限制了每個(gè)用戶的帶寬上限為256K，然后限制了整個(gè)網(wǎng)絡(luò)的BT帶寬上限為10M。UMP的帶寬交叉控制技術(shù)，可以在限制每個(gè)用戶帶寬使用的基礎(chǔ)上，對(duì)某些應(yīng)用占用的總帶寬進(jìn)行限制，從而有效的提高對(duì)網(wǎng)絡(luò)的控制能力。3.5TCP速率控制技術(shù)TCP/IP是目前網(wǎng)絡(luò)傳輸時(shí)使用的主要協(xié)議族。該協(xié)議族中，TCP和IP是核心，還包括一些其它協(xié)議。TCP和IP協(xié)議分別控制著數(shù)據(jù)在互聯(lián)網(wǎng)上的傳輸和路由選擇。從本質(zhì)上說，IP是指導(dǎo)網(wǎng)絡(luò)上的數(shù)據(jù)包從發(fā)方計(jì)算機(jī)送達(dá)收方計(jì)算機(jī)，TCP則負(fù)責(zé)確保數(shù)據(jù)在設(shè)備之間進(jìn)行端到端的可靠交付。TCP使用基于滑動(dòng)窗口的流量和擁塞控制方式，通過確認(rèn)分組流實(shí)施控制。TCP使用基于RTT的自適應(yīng)時(shí)鐘來調(diào)協(xié)重發(fā)超時(shí)，為完成對(duì)數(shù)據(jù)的確認(rèn)和避免擁塞，TCP使用了滑動(dòng)窗口機(jī)制，采用了稱為“慢啟動(dòng)”的策略。發(fā)方對(duì)丟失或損壞數(shù)據(jù)的重發(fā)，要求保留數(shù)據(jù)副本直至收到數(shù)據(jù)確認(rèn)（ACK）。為避免大量可能丟失的數(shù)據(jù)副本占用大量存儲(chǔ)器并浪費(fèi)帶寬，TCP采用了一個(gè)滑動(dòng)窗口裝置來限制傳送中的數(shù)據(jù)數(shù)量。隨著確認(rèn)的返回，TCP在前移窗口的同時(shí)，發(fā)送不斷增加的數(shù)據(jù)。一旦窗口被占滿，發(fā)方必須停止傳輸數(shù)據(jù)直至更多的確認(rèn)到達(dá)。雖然TCP能發(fā)現(xiàn)數(shù)據(jù)沒有送達(dá)，但重新發(fā)送會(huì)進(jìn)一步加劇信道的擁塞，從而進(jìn)一步導(dǎo)致數(shù)據(jù)丟失。為避免網(wǎng)絡(luò)因擁塞而癱瘓，TCP只能降低傳輸速率以對(duì)數(shù)據(jù)丟失做出反應(yīng)。TCP的窗口大小是網(wǎng)絡(luò)傳輸中最重要的參數(shù)之一。動(dòng)態(tài)的調(diào)整TCP窗口尺寸的大小，可以很好的控制TCP會(huì)話傳輸?shù)乃俾?。UMP支持動(dòng)態(tài)的TCP窗口控制技術(shù)，可以有效的控制TCP的會(huì)話速率。在沒有TCP窗口控制的情況下，發(fā)送端和接受端的TCPWinSize由會(huì)話的兩

對(duì)于整個(gè)網(wǎng)絡(luò)帶寬的利端決定，這種情況可能會(huì)導(dǎo)致兩端的通訊帶寬無法控制對(duì)于整個(gè)網(wǎng)絡(luò)帶寬的利用率不高，而且可能會(huì)因?yàn)樯贁?shù)用戶導(dǎo)致網(wǎng)絡(luò)的擁塞。發(fā)送方接收方發(fā)送方接收方UMP支持動(dòng)態(tài)的TCPWinSize調(diào)整，UMP可以根據(jù)網(wǎng)絡(luò)線路的負(fù)載狀況，動(dòng)態(tài)的調(diào)整WinSize的大小，在這種情況下，發(fā)送端和接受端的TCPWinSize由UMP動(dòng)態(tài)決定，而不是由傳輸?shù)膬啥藳Q定，如下圖所示：UMP的TCP發(fā)送方通過改變windowsize鋼詢62曲鋼加UMP的TCP發(fā)送方通過改變windowsize鋼詢62曲鋼加2礙空制技術(shù)有如下優(yōu)9流量管理接收方可以實(shí)現(xiàn)雙向控制；可以減小網(wǎng)絡(luò)設(shè)備的緩沖壓力；可以針對(duì)單個(gè)用戶動(dòng)態(tài)實(shí)施；3.6UDP速率控制技術(shù)UMP采用基于隊(duì)列調(diào)度算法的流量控制，實(shí)現(xiàn)UDP速率控制。隊(duì)列調(diào)度算法是通過將入端口數(shù)據(jù)進(jìn)行排隊(duì)，賦予每一個(gè)隊(duì)列一定的調(diào)度優(yōu)先級(jí)，高優(yōu)先級(jí)的隊(duì)列較容易獲得隊(duì)列調(diào)度，低優(yōu)先級(jí)的隊(duì)列將延長(zhǎng)其緩沖在隊(duì)列的時(shí)間，甚至被強(qiáng)制丟棄。UMP的隊(duì)列調(diào)度算法主要采用了令牌桶算法和預(yù)測(cè)丟棄算法（RED）。在輕負(fù)載網(wǎng)絡(luò)環(huán)境中，UMP采用了令牌桶算法來實(shí)現(xiàn)對(duì)UDP的速率控制。令牌桶算法綜合考慮了報(bào)文長(zhǎng)度、優(yōu)先級(jí)，同時(shí)增加了隊(duì)列環(huán)回機(jī)制（低優(yōu)先級(jí)的報(bào)文在需要發(fā)送的時(shí)候如果仍然不能獲取令牌，則自動(dòng)重新從隊(duì)列尾部開始重新排隊(duì)），避免了報(bào)文丟棄造成的網(wǎng)絡(luò)重傳，因此是較為完善的一種算法。不過令牌桶算法實(shí)現(xiàn)較為復(fù)雜，需要占用大量的緩沖區(qū)資源，調(diào)度算法本身也要占用大量的CPU時(shí)間。在高負(fù)載網(wǎng)絡(luò)環(huán)境中，UMP采用了RED算法來實(shí)現(xiàn)對(duì)UDP的速率控制。RED算法是根據(jù)一定的調(diào)度策略，將低優(yōu)先級(jí)的隊(duì)列在調(diào)度過程中如果沒有可用的網(wǎng)絡(luò)資源發(fā)送數(shù)據(jù)，簡(jiǎn)單地丟棄報(bào)文。這樣由于用戶端發(fā)現(xiàn)報(bào)文丟棄，一般都會(huì)放緩數(shù)據(jù)的發(fā)送，從另一個(gè)角度抑制了數(shù)據(jù)傳送。但是用戶端必然需要重傳丟棄的報(bào)文，造成了網(wǎng)絡(luò)資源浪費(fèi)。RED算法較為簡(jiǎn)單，適合在高速網(wǎng)絡(luò)中實(shí)現(xiàn)，同時(shí)盡量用延緩報(bào)文發(fā)送時(shí)間的方法而不是直接丟棄，這樣能夠用一定的設(shè)備資源的占用換取網(wǎng)絡(luò)傳送時(shí)延增大效應(yīng)，抑制用戶端數(shù)據(jù)的發(fā)送。3.7DOS/DDoS攻擊防范技術(shù)UMP采用多層DoS/DDoS攻擊防范體系，確保網(wǎng)絡(luò)正常運(yùn)行。UMP針對(duì)各種類型的SYNflood攻擊提供了強(qiáng)大的防護(hù)能力。這種被稱為SYNCookie防范的機(jī)制可以在TCP會(huì)話建立之前，在TCP確認(rèn)數(shù)據(jù)包中插入一個(gè)ID號(hào)來鑒別SYN請(qǐng)求。完成這種三向握手后，UMP僅處理含有在此前插入的ID號(hào)的請(qǐng)求。這種機(jī)制可以保證只有合法的請(qǐng)求才會(huì)被發(fā)送到服務(wù)器，而任何SYNflood攻擊都將在UMP處被終止，因而不會(huì)蔓延到服務(wù)器以及UMP自身。此外，UMP借助額外的取樣機(jī)制和基準(zhǔn)流量行為監(jiān)測(cè)來識(shí)別異常流量，提供實(shí)時(shí)的DoS/DDoS防范。該機(jī)制會(huì)對(duì)照策略設(shè)定的閾值來比較流量樣本，一旦達(dá)到了某個(gè)潛在攻擊的激活閾值，該潛在攻擊的狀態(tài)就被激活，這樣就會(huì)使用該潛在攻擊的特征文件來比較各個(gè)數(shù)據(jù)包。如果發(fā)現(xiàn)匹配的特征，相應(yīng)的數(shù)據(jù)包就會(huì)被丟棄。如果沒有匹配的特征，則會(huì)將數(shù)據(jù)包轉(zhuǎn)發(fā)給網(wǎng)絡(luò)。四、功能介紹網(wǎng)絡(luò)資源監(jiān)控UMP能夠?qū)崟r(shí)監(jiān)控各類網(wǎng)絡(luò)流量和業(yè)務(wù)，并生成監(jiān)測(cè)數(shù)據(jù)圖表，反映的是網(wǎng)絡(luò)流量的即時(shí)大小和隨時(shí)間變化的趨勢(shì)。支持多種網(wǎng)絡(luò)接口和協(xié)議UMP支持10/100M以太接口以及1000M以太和光纖接口，支持DHCP、PPP、PPPoE和802.1Q等網(wǎng)絡(luò)協(xié)議。提供深度應(yīng)用分析功能UMP基于會(huì)話層的應(yīng)用分析，實(shí)現(xiàn)針對(duì)應(yīng)用層的處理和流量管理功能，高速高效的分析算法，可以在千兆環(huán)境下工作。支持動(dòng)態(tài)的帶寬分配UMP可以根據(jù)用戶數(shù)對(duì)每個(gè)用戶的上限帶寬進(jìn)行動(dòng)態(tài)的調(diào)整，可以達(dá)到充分利用帶寬資源和保障多數(shù)用戶正常使用的最優(yōu)狀態(tài)。部署方式靈活UMP支持路由、透明橋接、VLAN、Trunck及路由橋接混合工作模式，部署簡(jiǎn)便，同時(shí)提供多出口負(fù)載均衡功能，同樣適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境。詳細(xì)的數(shù)據(jù)分析功能專用的數(shù)據(jù)分析系統(tǒng)可以對(duì)各種流量數(shù)據(jù)進(jìn)行詳細(xì)的分析和統(tǒng)計(jì)，同時(shí)集中式處理的功能可以對(duì)多臺(tái)UMP的狀態(tài)進(jìn)行監(jiān)控并對(duì)流量數(shù)據(jù)進(jìn)行分析。?? ■■■:-■■?瑕分祈列:名稱蜃大平均值(胡)量?。納M)堆新值(M)TOTAL31.326.940.0031L32XUNLEI10.391.460.0010.11BT6.791.220.006.78P2P226.391.180.002.73HTTP7.671.040.004.96EDonkey/EmuleD.900.180.000.63SSH1.010.070.000.00VAGAAD.700.060.000.16FTP0.580.050.000.00RTSP1.040.030.000.00P2P170.420.030.000.39快捷高效的主機(jī)綁定在內(nèi)部網(wǎng)絡(luò)中，經(jīng)常會(huì)遇到內(nèi)部網(wǎng)絡(luò)用戶擅自修改IP地址，以獲取一個(gè)合法IP地址來進(jìn)行相應(yīng)的網(wǎng)絡(luò)應(yīng)用，這樣會(huì)使內(nèi)部網(wǎng)絡(luò)在地址資源的分配和使用上出現(xiàn)混亂，大大影響內(nèi)部網(wǎng)絡(luò)的正常運(yùn)行，而且在網(wǎng)絡(luò)事故發(fā)生以后，也加大了地址追尋的難度。UMP所具有的小巧的客戶端通過IP、MAC地址、用戶名、密碼四種元素，根據(jù)實(shí)際管理需要，采取不同元素組合的綁定模式可以很好地解決這個(gè)問題。通過在用戶主機(jī)安裝小巧簡(jiǎn)易的客戶端軟件，能夠?qū)崿F(xiàn)上網(wǎng)實(shí)名制，并且不會(huì)對(duì)用戶工作產(chǎn)生任何影響。UMP提供的這種快捷有效的主機(jī)綁定方式，尤其在動(dòng)態(tài)分配主機(jī)IP地址的網(wǎng)絡(luò)中，能夠快速實(shí)現(xiàn)上網(wǎng)實(shí)名制，大大方便了網(wǎng)管對(duì)網(wǎng)絡(luò)用戶的管理，加之客戶端具備防ARP攻擊\欺騙功能，能夠免去網(wǎng)管人員的后顧之憂。人性化的管理界面UMP產(chǎn)品支持基于HTTPS的WEB管理技術(shù)，數(shù)據(jù)傳輸過程加密、防竊聽，管理起來非常方便，系統(tǒng)的所有設(shè)定都在簡(jiǎn)潔直觀的圖形界面下完成。管理人員還可以遠(yuǎn)程登錄UMP進(jìn)行調(diào)試、管理和日志查詢。UMP產(chǎn)品使用了本地化的全中文的設(shè)計(jì)，使得管理工作更加方便，符合國人的使用習(xí)慣，充分體現(xiàn)了以人為本的特點(diǎn)。五、產(chǎn)品系列UMP系列產(chǎn)品能夠在各種不同網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)網(wǎng)絡(luò)資源監(jiān)控、智能帶寬控制、基于應(yīng)用的帶寬管理和用戶行為審計(jì)。UMP100是專為中小型企事業(yè)單位量身定制的網(wǎng)絡(luò)管理系統(tǒng)。UMP200/521/1000/2000適合于小區(qū)寬帶運(yùn)營商、中型企業(yè)和校園，除了具備UMP100的功能外，還是專業(yè)的運(yùn)營級(jí)帶寬管理設(shè)備。UMP1000是為大型ISP和IDC運(yùn)營商設(shè)計(jì)的帶寬管理系統(tǒng)，支持多種網(wǎng)絡(luò)接口，提供高質(zhì)量的運(yùn)營保障。表為UMP系列產(chǎn)品詳細(xì)的信息：\型號(hào)功能兀、\UMP-10UMP-100UMP-200UMP-521UMP-1000UMP-2000吞吐量100M200Mbps400Mbps2Gbps2Gbps4Gbps網(wǎng)絡(luò)接口4*FE電口4X1000M電口6X1000M電口6X1000M電口,2X1000M光口6X1000M電口,4X1000M光口5X1000M電口,6X1000M光口接口類型RJ-45RJ-45RJ-45RJ-45/SFPRJ-45/SFPRJ-45/SFP用戶數(shù)1005,00030,00080,000150,000150,000會(huì)話數(shù)量10,00050,000150,000300,0001,000,0001,200,000應(yīng)用分析VVVVVV流量分析VVVVVV帶寬管理VVVVVVWEB管理VVVVVV對(duì)象管理VVVVVV會(huì)話控制VVVVVV實(shí)時(shí)監(jiān)控VVVVVVBypassVVVV可選可選負(fù)載均衡可選可選可選可選可選可選NAT/PAT可選可選可選可選可選可選雙機(jī)備份可選可選可選可選可選可選六、解決方案6.1運(yùn)營商解決方案6.1.1運(yùn)營商P2P限制解決方案目前，寬帶接入處于快速發(fā)展期，運(yùn)營商不斷為用戶提供更為優(yōu)質(zhì)的接入服務(wù)，以尋求新的業(yè)務(wù)增長(zhǎng)點(diǎn)。隨著寬帶接入的普及，網(wǎng)絡(luò)上的應(yīng)用不斷增加，特別是目前非常流行的P2P應(yīng)用BT已經(jīng)成為名副其實(shí)的帶寬殺手。這類應(yīng)用的特點(diǎn)是：■通訊流量巨大■種類繁多無固定的服務(wù)端口協(xié)議特征變化迅速檢測(cè)困難UMP系列產(chǎn)品可以有效的解決以上的問題。在北京某二級(jí)運(yùn)營商的一條100M線路上，采用UMP-200設(shè)備作為帶寬管理系統(tǒng)。采用UMP-200前，由于桌面終端太多，并且都是百兆以太網(wǎng)接入，無法有效的控制出口帶寬的分配，少數(shù)會(huì)話較多的用戶往往占據(jù)了大部分帶寬資源，致使網(wǎng)絡(luò)出口被BT、Edonkey等P2P應(yīng)用占用。在上網(wǎng)高峰期，很多接入用戶反映網(wǎng)速太慢，令運(yùn)營商十分頭疼。加載UMP-200后，運(yùn)營商出口的雙向流量壓力得到了緩解，BT等P2P應(yīng)用的流量也得到了有效的控制，每個(gè)終端的帶寬上限都采用動(dòng)態(tài)分配方式，避免了某些接入用戶對(duì)網(wǎng)絡(luò)資源的超量占用，同時(shí)動(dòng)態(tài)的分配方式在上網(wǎng)高峰期和空閑期智能調(diào)配終端的帶寬資源，在保障網(wǎng)絡(luò)資源合理分配的前提下，使網(wǎng)絡(luò)帶寬的利用更充分。UMP-200的應(yīng)用幫助網(wǎng)管部門解決了網(wǎng)絡(luò)帶寬資源管理的難題，得到運(yùn)營商內(nèi)部的一致好評(píng)。UMP安裝完成后，定義帶寬策略為：上午八點(diǎn)到晚上10點(diǎn)左右限制BT的流量下載12M,上傳4M,取得了顯著的效果。中小運(yùn)營商專線解決方案目前隨著互聯(lián)網(wǎng)和數(shù)據(jù)網(wǎng)骨干的發(fā)展，數(shù)據(jù)和互聯(lián)網(wǎng)業(yè)務(wù)的增長(zhǎng)，城域網(wǎng)接入業(yè)務(wù)、大客戶數(shù)據(jù)業(yè)務(wù)、寫字樓、大廈整體接入ISP業(yè)務(wù)和寬帶社區(qū)業(yè)務(wù)的需求增加，相應(yīng)的專線接入服務(wù)已經(jīng)成為運(yùn)營商重要的增值服務(wù)之一。專線用戶一般有如下的需求特點(diǎn)：一般采用專線包月的方式，帶寬固定，收費(fèi)固定；越來越多的大客戶需要超過2M的帶寬（4M、10M甚至更高）；用戶希望能夠確保租用的帶寬的QoS；隨著專線接入方式的改變，運(yùn)營商面臨如下的挑戰(zhàn)：需要確保大客戶特別是VIP用戶的帶寬；需要確保VIP用戶的關(guān)鍵應(yīng)用（如視頻會(huì)議和VPN等）；限制非VIP用戶的帶寬不能超出租用帶寬的上限；保障專線用戶的關(guān)鍵應(yīng)用，限制其非關(guān)鍵應(yīng)用（如P2P應(yīng)用）；UMP系列產(chǎn)品提供虛擬專線業(yè)務(wù)功能，能夠幫助運(yùn)營商方便的為專線用戶分配帶寬、保障VIP用戶的帶寬，同時(shí)還具備雙重帶寬控制的功能，即在控制用戶虛擬專線帶寬的基礎(chǔ)上，同時(shí)控制在這些專線上的某些應(yīng)用或者其他特征的某類流量的帶寬分配?？臻e帶寬何以供A/B搶占）如上圖所示，UMP能夠提供不同服務(wù)級(jí)別的帶寬保障，A專線具有保障帶寬,但是A專線可以在整個(gè)線路空閑的情況下?lián)屨际Ｓ嗟目臻e帶寬，適合于VIP用戶的服務(wù)要求，B專線也有保障帶寬，但是策略限制了B專線的上限帶寬。UMP的雙重帶寬控制功能可以在專線帶寬分配的基礎(chǔ)上同時(shí)控制應(yīng)用的帶寬，這樣可以降低運(yùn)營商網(wǎng)絡(luò)出口的負(fù)載，大大提高帶寬的有效利用，如下圖所示，系統(tǒng)定義的策略在分配專線帶寬的基礎(chǔ)上，限制了P2P帶寬在圖示的范圍內(nèi)。二制校園網(wǎng)解決方案隨著網(wǎng)絡(luò)需求的不斷增加和技術(shù)的不斷進(jìn)步，校園網(wǎng)無論是規(guī)模還是容量都發(fā)生了巨大的變化。目前校園網(wǎng)的用戶類型和應(yīng)用類型比過去更加復(fù)雜，在辦公教學(xué)區(qū)，屬于典型的企業(yè)網(wǎng)應(yīng)用范疇，從業(yè)務(wù)類型的角度大致包括三種：一、學(xué)校職能管理業(yè)務(wù)，如校長(zhǎng)辦公決策支持系統(tǒng)、教務(wù)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)以及人事管理系統(tǒng)等；二、電子教學(xué)業(yè)務(wù)，主要體現(xiàn)在多媒體教室以及電子圖書館系統(tǒng)的網(wǎng)絡(luò)應(yīng)用，該部分業(yè)務(wù)流量集中在校園網(wǎng)內(nèi)部；三、教研室、實(shí)驗(yàn)室科研、教學(xué)需求，如各科研室內(nèi)部資源的共享、科技工作者在INTERNET上查詢資料和信息等。而在學(xué)生宿舍區(qū)則是企業(yè)網(wǎng)和商業(yè)網(wǎng)的混合應(yīng)用模式，學(xué)生宿舍區(qū)主要以收發(fā)電子郵件、聊天、視頻點(diǎn)播、互動(dòng)游戲和P2P下載為主，這部分用戶有著區(qū)別于傳統(tǒng)校園網(wǎng)教學(xué)區(qū)用戶的需求，他們類似于商業(yè)用戶群，對(duì)網(wǎng)絡(luò)提出高可靠與高穩(wěn)定、便于維護(hù)管理、區(qū)分內(nèi)外網(wǎng)計(jì)費(fèi)等要求。教工家屬區(qū)則屬于典型的商業(yè)網(wǎng)應(yīng)用，業(yè)務(wù)流量主要為訪問INTERNET，與運(yùn)營商開展的寬帶小區(qū)業(yè)務(wù)沒有任何本質(zhì)區(qū)別。基于以上多層次的用戶需求，合理而有效的利用出口帶寬的資源，是建立“可運(yùn)營”校園網(wǎng)絡(luò)的基本要求之一，校園網(wǎng)的出口帶寬管理面臨以下挑戰(zhàn)：■如何給關(guān)鍵的科研教學(xué)的網(wǎng)絡(luò)需求以可靠的帶寬保障？■如何有效的控制非關(guān)鍵的應(yīng)用（如P2P下載、音樂/視頻文件共享等）所耗費(fèi)的大量帶寬？■如何針對(duì)不同的內(nèi)部網(wǎng)絡(luò)（如學(xué)生宿舍區(qū)和辦公區(qū)）和外部網(wǎng)絡(luò)（如教育網(wǎng)內(nèi)外）要求實(shí)施不同的帶寬策略？UMP系列產(chǎn)品的解決方案對(duì)于以上問題具有很好的針對(duì)性。因?yàn)樾@網(wǎng)內(nèi)部的帶寬一般是不需要管理、控制的，因此，需要把UMP安裝到校園網(wǎng)出口處，有效的管理出口的帶寬資源。部