搜索
DCFS流量整形与接入控制网关产品介绍神州数码网络有限公司2010年8月7日产品功能介绍•应用识别及流量分析•系统监控•防火墙功能•带宽管理•接入控制和计费•统计审计1、应用识别和流量分析•应用识别原理•应用识别精度•整体性能1.1、流量分析原理•基于DPI的报文分析和识别–标准协议和应用•基于DFI的行为分析识别–加密数据量分析:加密BT、电驴1.1、流量分析原理•DPI-DeepPacketInspection深度包检测–分析IP报文、TCP/UDP报文、应用Data–通过对数据报文内容的分析确定应用类型•基于特征字的识别(IPPortocol=89–OSPF,TCPPort=23--Telnet)•基于控制流识别应用流,通过对一个应用的控制层面特征来解析应用行为(TFTPUDPPort=69,而应用数据的端口是通过协商确定的,非特定端口)•行为模式识别,对终端行为进行研究,并建立行为识别模型,根据终端当前行为,判断用户正在进行的应用或即将进行的应用•DFI-DynamicFlowInspection动态流检测–基于主机流量行为的识别技术,通过分析主机行为来判断主机应用•网络流量的交互特征•会话连接特征。1.1、流量分析原理DPIDFI分析方式逐包分析行为模式识别报文交互特征会话特征识别效率低高识别准确率高低协议库升级频度高需及时跟踪新协议和新应用低同一应用升级或变种的报文交互特征、协议状态机迁移、会话特征变化不大1.2、流量分析精度•识别率高,识别率保持90%以上•本土设计和开发,常见应用分析细致入微•应用协议库终身免费升级DPIDFI2、系统监控•系统总体实时监控•系统状态实时监控•在线主机实时监控2.1、系统总体监控信息2.2、系统状态监控2.2.1、系统状态--CPU监控2.2.2、系统状态-内存使用监控数据2.2.3、系统状态-会话数监控数据2.2.4、系统状态-在线主机数监控数据2.2.5、系统状态-接口流量监控数据2.3、在线主机实时监控--状态–可对接入终端的应用层实时流量进行监控,及时发现内网的病毒等流量问题。如下图:通过双击认为“有问题”的某台主机的地址,可看该主机详细应用情况。2.3、在线主机实时监控--应用•可对接入终端的应用层实时流量进行监控—点击主机IP地址即可监控主机应用信息2.3、在线主机会话监控--会话•可对接入终端的会话进行监控—点击会话数量即可监控会话信息3、防火墙功能•抵御网络冲击•会话保活•不同安全域的应用控制管理3.1、抵御网络冲击•识别攻击流量•阻断攻击流量•监控和告警3.2、会话保护•系统总体会话保护•终端会话的全局控制•特定主机的会话控制3.3、不同安全域的应用控制管理•防火墙应用控制4、带宽管理•带宽管理的原理•带宽通道的功能•带宽通道的结构•带宽控制特色策略4.1、带宽管理的原理•执行的原理:–对象1:将总带宽分成不同的“带宽通道”。–对象2:要控制的IP或IP组。(这里的控制是双向的)–对象3:确定要控制的应用或应用分组。(400种之外的应用可控制特征进行自定义对可管理的应用进行扩展)–对象4:时间–将上述四种对象进行任意组合。4.2、带宽通道功能•可定义的带宽通道–带宽上限–带宽下限–带宽使用的优先级–租用、出租空闲带宽•精确灵活的带宽控制–精确到每个IP地址–精确到每个会话–每个地址的带宽均分–TCP速率控制、UDP限速、异步流量保障4.3、带宽通道结构•树状划分,可继承4.4、带宽控制特色策略•动态分配带宽策略•带宽均分策略•TCP速率控制策略•二级带宽控制策略4.4.1、带宽控制策略--动态分配带宽资源•带宽下限:通道的保障带宽,如果空闲可以出租给其他通道•带宽上限:通道的最大带宽,在通道繁忙时,如果其他通道空闲,可以租用带宽下限带宽上限空闲状态最佳运行状态繁忙状态4.4.2、带宽控制策略--终端带宽均分•基于终端的带宽动态分配(带宽均分):4.4.2、终端带宽均分的原理•带宽分配与会话数无关User`User`1M750K250K500K500K均分前均分后4.4.2、终端带宽均分优点•在网络资源紧张时均衡的分配带宽资源•在网络资源空闲时可以充分利用带宽资源•可以配合用户带宽限制使用•可以针对某种应用,确保关键应用的带宽分配4.4.2、带宽均分效果•效果展示4.4.3、TCP速率控制技术•决定TCP会话速率的关键因素:WINSIZE发送方接收方Win6144Data1-1024Data1025-2048Data5121-6144Data2049-3072Data3173-4096Data4097-5120Ack,Win6144Data1-1024Data1025-2048流量管理Win6144Win2048AckWin6144AckWin20484.4.3、TCP速率控制的特点•优点–通过改变windowsize控制TCP会话速率–可以实现双向控制–可以减小设备的缓冲压力–可以针对单个用户动态实施–防止TCP全局同步•缺点–只能应用于TCP协议视频256KP2P256K4.4.4、二级带宽限制技术•在限制终端带宽基础上的应用限制单用户1M4.4.4、二级带宽控制技术的优点•在基本带宽控制的基础上,可以进行二次深层控制•细化网络的可管理粒度•实现更有效的带宽管理--没有一刀切,让带宽利用更高效•让用户获得更公平的带宽体验—普通应用、下载应用均有带宽保障5、接入认证和计费•业内第一款融合流量整形与用户接入认证计费的网关系统•用户接入控制–本地用户认证–兼容DCBI、DCSM、标准Radius的身份验证•运营管理–计费策略灵活–精确的计费功能–准确丰富的运营报表•不再基于IP而是基于用户的应用管理和控制–用户身份唯一性–用户身份确定性–用户身份可管理性5、接入认证和计费管理•接入认证功能•计费策略•流量整形与接入认证融合的优点5.1、接入认证功能•支持Client和Portal两种认证方式•可以与独立PortalServer配合—DCSMPortalServer•接入绑定策略丰富–用户名、密码、用户IP、用户MAC、用户终端ID五元绑定•接入控制策略强大–防修改MAC–防代理、防Pc克隆、防小路由–防私设DHCPServer–操作系统自动升级–客户端自动升级•在线管理–上线消息通知–在线消息通知–强制下线–在线升级客户端–在线操作补丁升级5.2、灵活的计费策略•计费功能–17种计费原型–对特定目标不计流量–对特定源、特定目标组合不计流量–丰富的计费管理策略满足网络运营管理的需求5.3、流量整形与接入认证计费融合的优点•基于用户的速率控制•基于用户的应用控制5.3、流量整形与接入认证计费融合的优点•用户管理的可视化–用户速率–用户会话–用户协议分析6、统计审计•DCFS自身提供实时的系统运行状态、主机状态等信息•DCFS-Analyzer日志系统:配合DCFS对访问Internet进行日志信息收集、统计、分析、处理的综合日志处理系统–详细统计内网主机数量、内网会话数量、上网协议分析数据,–详细记录用户上网会话信息,提供会话级的审计功能–精确统计用户上网流量和协议分析流量–准确分析用户数据协议类型,•方便分析用户的使用习惯、网络负载规律、网络应用特征,方便网络出口的日志收集、分析和挖掘,为网络规划、策略调整提供科学依据。•对网络策略调整提供科学、系统、全面的日志分析,促进网络出口的有效利用和管理6.1、网络接口流量信息6.2、主机信息•主机会话、主机流量、主机协议、特定协议流量排名6.3、应用统计和分析•应用流量、TOP50应用、详细协议分析6.4、分区流量统计•分区统计、分区排名6.5、带宽通道使用分析6.5、主机数、会话数统计