流量系统控制方案

Allot-流量系统控制方案1流量系统控制方案Allot NetEnforcerAllot-流量系统控制方案2Allot Communications2012 年 11 月目录第 1 章 Allot 设备工作原理 31.1 Allot NetEnforcer Bypass 的容错技术详解 41.2 DPI 技术 .61.3 Allot PFQ 技术 91.3.1 PFQ 技术原理 91.3.2 DART 机制的优点 101.3.3 对比 DART 和其它 QoS 方法 11第 2 章 Allot 解决方案在运营商网中的应用 142.1 构建 Allot 在运营商的透明网络 .142.2 网络运维新手段 高级网络使用分析 142.3 网络资源控制和流量优化 172.4 服务安全 .22第 3 章 Allot NetXplorer 集中管理平台 .233.1 产品概述 .263.2 丰富的产品特性 .27Allot-流量系统控制方案33.2.1 监控与分析 273.2.2 报表功能 273.2.3 配置与策略的部署 283.2.4 网络安全性 283.2.5 智能的告警机制 283.2.6 可伸缩性数据采集方式 293.2.7 NetXplorer 软件对服务器系统的要求 .29第 4 章 Allot 产品在此工程中的优势 304.1 出色的性能 .304.2 专业的网管功能 .304.3 “固若金汤 ”的容错和旁路技术 .314.4 丰富的应用识别和分类 .314.5 “实时而长期的” 网络流量监控 .324.6 Allot 与 MRTG 的集成 .334.7 完善的控制能力 .344.8 非对称路由的完美支持 .354.9 区分用户等级，提高 ROI384.10 “不知疲倦” 的告警功能（Alert） .394.11 强大的 DOS/DDOS 防御功能 41Allot-流量系统控制方案4第 1 章 Allot 设备工作原理由于Internet服务的日益普及，音乐、游戏、网络电视（IPTV）、多媒体语音通信（VolP）、即时消息和其它多媒体IP网络服务领域的蓬勃发展。为了传输这类内容，需要更为智能化的网络这个网络有很强的应用性，能让他们对带宽的使用状况一目了然，而且能够对这种使用状况进行控制，从而确保网络的服务质量。对于企业、政府部门和教育部门这些宽带接入与IP网络服务的使用者而言，这样网络控制非常必要。Allot通信公司基于深度包检测(DPI)技术的解决方案，可以对网络流量进行直观监控并加以控制。Allot通信公司的 NetEnforcer设备和NetXplorer管理软件能够使企业、企业在不增加成本的情况下调控网络运行状况，并且能使他们按照自己的需求效率高、可信赖而且控制成本等方面进行IP网络服务。Allot通信公司基于深度包检测技术的解决方案覆盖电信运营商、DSL 、移动网络、WiFi、WiMAX、有线网络与企业网络。DPI技术和PFQ技术是Allot公司的专利技术。直观监控 Allot公司基于深度包检测(DPI)技术的解决方案可进行实时监控，并直接从网络数据流量中收集数据且对其加以处理。NetEnforcer在第7层中可对数据包进行检查并加以分类，而NetXplorer则将这些关键数据输入软件中，并形成详细有效的“网络商业智能解决方案” 报告。 Allot-流量系统控制方案5服务控制 Allot公司的NetEnforcer利用PFQ技术可区分数大量的应用信息、网络协议与用户使用情况的纪录文档，因此网络运营商可按照预设的网络服务质量（QoS）策略动态地调整宽带数据流量。 P2P控制 Allot公司基于策略对网络流量进行的调整也适用P2P协议和特定的P2P网络流量，这样就能使网络运营商完全控制带宽资源的分配。它可以防止网络堵塞、降低成本及提高网络服务质量，这对于任何一位用户来说都是关键所在。 保护服务 Allot公司的NetEnforcer处在网络的关键位置，它可以确认恶意的蠕虫病毒、其它病毒、特洛伊木马病毒，并自动将染毒数据隔离开，在可疑数据影响网络服务的性能之前清除病毒。 服务区分 应用Allot公司的技术可将简单的网络通路转换成应用性很强的网络，它支持分级化的网络服务计划与服务等级协议（SLA）。同时，Allot在电信运营商的解决方案中将现有的电信运营支撑系统（OSS）与电信业务支撑系统（BSS）整合在一起，以支持差异化网络服务以及大量不同的基于使用与基于内容的计费模式。 Allot-流量系统控制方案61.1 Allot NetEnforcer Bypass 的容错技术详解在此方案中我们提供的每一台设备分别由主设备和旁路单元组成，快速的故障切换实现网络的高可靠性。为了消除用户的后顾之忧，我们详细讲解Allot 的容错技术。Allot设备结构组成：当NetEnforcer 主设备出现故障后， NetEnforcer立刻切换到 Bypass模式；此时，Bypass单元相当于一条直通的光纤连接，整个过程不会对网络造成影响.以其中一条链路为例，的具体过程如下：1. Bypass模块提供2组GE接口分别与网络中两端GSR的4个GE 口链路连接，另外4条GE 接口用于Bypss 模块与 NetEnforcer主单元之间的连接，控制线连接在主单元和Bypass 模块之间（如上图所以）。2. Bypass有2种状态：Allot-流量系统控制方案7“旁路 ”状态 -1号端口与另外一个1号端口连接（流量不通过NetEnforcer主单元）“活跃 ”状态 -1号端口与2号端口连接。（流量不经过主单元）.Bypass模块可以单独连接到网络中，所以客户可以只将Bypass模块接入他们的网络。这就需要Bypass 是无源的，并可以作为光纤线直接转发。控制Bypass模块并将他从活跃状态切换到旁路状态需要NetEnforcer主单元的允许。3. 当Allot主单元工作时，控制线将维持发送一个保持信号（通过硬件比特信号）并且Bypass将处于“活跃 ”状态。所有的流量从内部GSR路由器出口流出首先到达Bypass 模块。4. 所有流量沿着Bypass和NetEnforcer 相连的光纤流入NetEnforcer 主设备。5. NetEnforcer根据已经预先定义好的策略对流经的所有流量进行分析、归类、策略控制等的流量管理6. 管理后的流量经NetEnforcer流出到网络。7. Bypass模块使用光学反射原理将光直接反射到接收的链路上，这意味着从“活跃”状态切换到“旁路”状态是瞬时生效的。8. ALLOT支持手动控制Bypass状态的切换，通过主单元的命令行/图形界面都可以实现。主单元的告警功能也可以在其针对某些条件的反应动作中切换Bypass的工作状态。9. 冗余备份-Bypass也可用于ALLOT 设备的冗余备份配置（两台NetEnforcer设置为主设备和备份设备）。当主设备出现故障，“ 监控狗（WatchDog）“的工作机制可以命令备份设备保持在活跃状态，只有在备份设备停止发送保持信号的时候，备份设备才会切换到旁路状态。Allot-流量系统控制方案81.2 DPI 技术下面以识别P2P应用为例子介绍 Allot公司的专利技术DPI。为了能够将百般伪装自己的P2P 应用流量从网络中识别出来，网络可视性（Network Visibility ）是至关重要的。这种能力将使我们能够了解到在当前的网络中运行着哪些P2P 应用、哪些 P2P 应用正在吞噬网络中的宝贵资源、哪些用户占据了过多的网络资源从而造成了网络的拥塞。当了解了这些以后，我们就可以或者对P2P 应用进行限制或者阻止、或者为其他的应用或用户分配和保证所需要的带宽，从而利用现有的带宽资源最大限度地提高流量的效率。深层数据包检测（DPI ）：识别P2P 应用的唯一可靠办法对P2P 应用进行判定需要借助复杂的第 7 层识别技术，使用各种方法来判断这些难以捉摸的应用。Allot 的流量管理设备使用第 7 层的识别技术来准确的判别各种P2P 应用流量。由于大多数P2P 文件共享应用都使用端口跳动技术或者盗用一些常用的协议端口进行传输，所以通过端口对它们进行识别显然是远远不够的。因此，所有的数据包都必须在应用层面（Application Layer ）上进行检查，即对传输协议如TCP 协议的载荷（payload ）部分进行检查，以判断它们是否符合代表某些应用代码的样本特征。在很多情况下，对于某一种应用的识别需要检测它是否匹配多个代码样本的特征。Allot-流量系统控制方案9只有复杂的第7 层检测系统才能够通过检查TCP 协议的载荷部分，正确的判别应用的类型。例如，在上面的图例中，显示了一个数据包的结构，如果只是通过常见的HTTP 应用特征进行判断，就很容易将它误判为一个Web 访问的应用。因为如果我们只观察第一个特征样本（例如HTTP/1.1），那么它看上去很像是一个标准的HTTP 协议。然而通过对数据包的载荷部分的进一步深入考察，我们发现了该数据包具有的第二个代码样本特征，即KaZaA ，这样我们就能够了解这个数据包的真实身份和目的。有时候，不同的代码样本特征是分散在一次协议会话的多个数据包之中的。为了能够准确的对应用进行识别，就必须使用精密的第7 层协议侦测系统对往来的数据包进行分析，从而实现与应用代码样本匹配。基于会话的应用分类标准的协议头部（Header ）字段例如TCP/UDP 的端口号字段在每一个数据包中都存在。而第7 层的协议代码样本通常只能在一次协议会话的前几个数据包中存在，并进行会话标记的请求以标识本次会话中所有的数据包。当网络中产生了一个新的会话，如P2P 应用会话，那么一个唯一的协议签名（Signature）就必须被找到并能够与已知的协议代码样本相匹配。例如当我们使用第7 层的分类方法对一个P2P 应用进行了正确的识别，那么该会话中的后续数据包就能够被正确的判别为该P2P 应用会话的数据流量。在一些情况下，一个P2P 应用使用不止一个会话，这就需要流量管理系统能够从两个或多个会话中提取信息并进行关联以找到能够匹配的代码样本。并非基于端口的分类因为P2P 应用通常使用随机的端口号或者借助一些常用的端口号来进行传输，因此在进行p2p 应用样本的搜寻时，就不能做任何的假设。我们需要对网络中所有的数据流进行第7 层协议的探测，而不管它们是否使用了某个端口号。Allot-流量系统控制方案10每秒连接数对连接数视图的监测可以在P2P 协议泛滥之时警告管理员。不寻常的连接数量可能是在暗示着网络中P2P 应用的使用，也可能暗示着其他不受欢迎的东西的存在，如病毒、蠕虫、有害程序等等。正如一家企业所抱怨的：“我们的防火墙设备、出口路由设备正在超负荷运行，这不仅是因为数据的流量，而且也是由于每秒新增的连接数量所造成的。造成这个问题的原因就是：P2P 是具有侵略性的应用，它可以在一小时之内建立多达1020 万个连接。”异常的连接数量可以使用具有可设定告警机制的流量管理设备进行定义。这些告警信息可以在网络受到P2P 应用或者其他有害应用的威胁时，帮助网络管理员以最快的速度建立起第一道防线。告警功能，通常在专用的流量控制解决方案中提供，它还包括定义多个事件和应对措施的能力。总之，DPI作为Allot PFQ的组成部分发挥着巨大作用，并作为识别每一个数据流以及控制每一个数据流的技术前提。是Allot PFQ技术的前提保障。Allot-流量系统控制方案111.3 Allot PFQ 技术1.3.1 PFQ 技术原理Allot是一款基于七层识别的流量管理，使用专有的DPI（深入数据包检测）技术对网络中的应用进行深入分析和识别。识别后的各种应用进入各自的队列中，然后根据Allot的流量管理技术进行 QoS策略管理。Allot的流量管理技术是PFQ（Per-Flow Queuing），这是一种经过优化了的队列技术。PFQ，每个流获得其自身的队列，并且NetEnforcer 单独对其进行处理。这样就使得NetEnforcer 可以提供非常准确的流量调整。PFQ 法是执行QoS 的一种直接方法。不像间接方法是通过改变数据包/流中的不同参数（例如改变TCP 窗口大小）来设法管理可用的带宽，PFQ 法利用TCP 固有的流量控制程序来实现带宽使用最大化及使用效率最高。PFQ 法利用了TCP 的两个重要的内部机制，即缓慢起动与拥塞回避。这些机制可以渐进增加数据流动的速度，直到它们确认两个端点之间的连接已经饱和。PFQ 法利用这些机制，通过动态地为每个流分配适当的传输速度（带宽），既可以满足策略的需求又可以避免冲突。而后传输TCP 将会与NetEnforcer 提供的速度同步。因此，强迫每个流满足用户所定义的策略的速度来传输数据包，该策略包括最小、最大带宽以及优先级定义。其基本实现的方式是：1. 先把网络划分成PIPE （通道），在每一个通道内再细分成不同的VC（Virtual Channel）。细分过的 VC内可以针对每一个不同的应用、IP地址、或者其他不同的事务。Allot-流量系统控制方案122. 利用策略模式，即当每一个数据流（如：P2P 、Http等）进入预先设定好的VC内部时，先确定是否预先设定好了策略。3. 如果已经预先设定策略，Allot就马上按照预先设定好的带宽策略执行，如果没有就等待下一次询问是否填入策略。4. 区分好不同的应用后，Allot就要对带宽进行有效的管理，控制特殊的数据流（音频流、视频流），保证最小带宽、最大带宽、突发值，从而不会丢弃数据，真正做到端到端的控制策略；同时，为所有流量，按优先权（7个级别）保证最小带宽的访问；5. 利用观察和预测模式可以很方便地随时填入所需要的策略而及时改变网络的应用状况。1.3.2 DART 机制的优点DART机制是一种直接实现QoS 的方法，它利用TCP 固有的流控制程序来实Allot-流量系统控制方案13现带宽使用的最大化和最高效率。DART的另外一些功能及特点是：最大限度地使用可用带宽只要有可用带宽，这种调度机制就将传输数据包。这确保了链接的使用率达到最高，从而可获得最高的应用性能。非常精确地实施策略调度机制可以以极高的分辨率执行策略的定义。可以根据数据包的数量管理带宽。流量畅通作为精确调度的一部分，NetEnforcer 可以使带宽畅通，消耗速度更稳定/连续，这有助于避免冲突和数据包丢失。连接之间的公平性DART 法的一个重要优点就是所有连接之间都是公平的。两个具有相同优先级的连接将会得到同样的带宽，即使其中的一个试图以较高的速度传输。这是流量修整期望拥有的一个基本要求。独立的流控制（端点处的TCP/IP 堆栈）和其它进行流量调整的方法不同，NetEnforcer 不受端点处流控制机制的制约。这使得 NetEnforcer 可以对TCP 应用流量和 UDP 应用流量使用同样的算法，而这两种应用的速度控制之间是不相关的。按连接实施通过精确控制每个流的数据包的传输速度，NetEnforcer 降低了不稳定性，改善了终端用户的感受。对于流应用（例如VoIP 和视频会议），降低不稳定性是实现可接受性能水平的关键。1.3.3 对比 DART 和其它 QoS 方法当今的许多产品都使用了各种不同的排队方法，例如WFQ（加权公平队列）或CBQ（基于类的队列）。这些排队算法使得不同的流量类别或流量优先级之间是平等的。但是，同样优先级别的流量却没有统一的公平性策略。如果接入一个具有特定优先级或保证带宽的连接，将它放入某个队列中。当路由器上的流量排队等候并且有更多拥有同样级别优先级的连接到来时，新来的连接总是排在队列的后部，并Allot-流量系统控制方案14等待所有排在前面的数据包发送完毕。最终的结果就是：流量传输不一致并且不可预测。1. 基于类的排队法(CBQ) DART法（基于流的队列）与CBQ 法（基于类的队列）之间的最大区别在于：采用CBQ 法，连接之间没有公平性。与某一类别相匹配的所有连接都共享该级别的带宽，这些连接之间没有公平性。CBQ 不能按连接提供CBR（固定位率），因为它不是单个处理连接的。CBQ 通常应用于仅有一个分级水平、类的数量有限或固定的情况。2. 加权公平排队法(WFQ) 加权公平排队法(WFQ) 的局限性和 CBQ 的类似。WFQ 与CBQ 只是区分优先级的方法，并没有为每个连接或每种类别规定最小和最大的带宽级别。在已知的调度机制中，按流WFQ 法与 Allot 的PFQ 机制是最相似的区分优先级的方法。按流WFQ 法被认为是最精确的调度方法之一。按流WFQ 与Allot 的PFQ 机制之间的主要区别在于，在几乎相同的精确度下，Allot 方法提供的性能更佳。3. TCP 速度控制TCP 速度控制主要利用两种机制来实现带宽管理：更改TCP 包头中的窗口大小域（滑窗口）；故意产生延迟；Allot-流量系统控制方案15这种间接管理带宽的方法已被证明有几个重要的缺陷：实施的QoS 不精确。TCP 速率控制通过改变窗口大小来确定每个连接的速度，而不是直接采用传输信息通过带宽管理装置时的速度。这样相对来说不够精确。现实中的窗口大小不是静态不变的。实际中的网络本质上是极富有动态性的。给每个连接定义的窗口大小取决于用户定义的策略以及所有其它连接的实际速度（而不是窗口大小）。没有人能够精确地预测所有其它连接的实际传输速度，因此只能通过适当的推测来设置窗口大小。研究表明，这种方法获得的流量调整不够精确。实施的CBR 不精确。使用TCP速率控制时，不能够精确地实施CBR。通过利用流队列来控制来自NetEnforcer 的数据包的传输速度， PFQ 法可以很轻松地实施CBR。由于 TCP 速度控制不对数据包排队，因此就不具有这种能力。减缓的连接恢复缓慢。TCP 速率控制导致了先前减缓的连接速度恢复缓慢。当检测到有另外的可用带宽时，速度控制程序将更新该连接的窗口大小。只有在下次传输时，才会增加传输数据的速度。同时，也就浪费了宝贵的带宽和时间。与两端的TCP 堆栈有关。 TCP 速率控制极度依赖于两端点的TCP 堆栈。TCP 堆栈不是一成不变的，在过去的几年中也在变化。PFQ 法与实现流控制（速度控制）的特定方法无关，而仅仅要求两端点中有一端有速度控制机制。短连接性能差。当使用短连接（一次会话期间只传输少量数据包的连接）时，TCP 速度控制的性能极差。当前的网络中，大部分的传输信息由短Allot-流量系统控制方案16HTTP (web) 连接构成。这些连接在完成传输数据之前不可能扩大或减小它们的窗口大小。对于这些连接，更改窗口大小与之无关，必须运用直接的方法来管理这些连接。不支持广播与多点传输。速率控制方法不支持广播和多点传输信息。不支持UDP 流量。利用TCP 速率控制，不能用于管理UDP 流量的QoS，而只适用于TCP 信息传输。PFQ 法与协议无关，它要求在端点有某些流速度控制机制。利用UDP 实现速度控制的应用位于应用层。（例如，RTP 利用RTCP 达此目的）。第 2 章 Allot 解决方案在运营商网中的应用2.1 构建 Allot 在运营商的透明网络此方案部分我们将围绕运营商将来的建设目标为中心，详细讲解Allot在构建运营商新一代网络的新思想、新思路。2.2 网络运维新手段高级网络使用分析1、“应用感知网”对高级网络使用分析的意义提倡应用感知网的建设对用户更能透彻的了解单个应用/用户的状态情况，英国电信（BT）在21世纪网络项目中帅先提出“Application Assured Network”，即“应用感知网”。网络的感知性，是对于网络中每时每刻变化的数据流和用户行为进行分析管理，能够主动判别明显具有攻击性的异常数据并进行拦截。对于敏感和关键业务（例如核心数据、语音、视频等）能够按照预定策略进行管理。能够在风险发生之前调整安全策略和行为，避免网络阻塞和瘫痪，例如目前很多用户对于大量占用网络带宽的行为深恶痛决，如P2P下载等。”Allot-流量系统控制方案17我们认为，对于网络来说，作为运营商的运维中心必须准确了解用户的使用情况，才能很好的对其规划和管理。因此需要Allot的流量技术来帮助实现应用感知分析。Allot的流量控制技术能够提供高性能的应用和用户感知的流量分类，从而为网络提供无可比拟的网络活动透视镜。通过跟踪全部IP数据流，进行状态数据包检测，该解决方案能够收集单个用户使用应用和服务的统计数据。而且用户统计数据更加详细，因此该解决方案能够帮助用户建立整个网络的流量模式。2、应用感知的实现方式然而，从IP网络中获得有用的使用数据是一项非常困难的工作。IP网络传输设备无法提供使用信息，以便我们采集传输流量的详细细节，从而导致我们很难了解网络活动。为了更好地了解用户的使用模式，经常需要依靠猜测或者不准确的采样技术。因此，要想正确感知网络中的应用，必须使用强大的数据包检测技术。ALLOT公司已经取得专利的DPI（深入数据包检测又称“状态数据包监测”）技术，基于应用和内容分析数据包，全状态地跟踪所有用户的数据流状态，并且能够快速的建立一个完善的业务感知模型。只有具备第七层深入数据包检测功能的Allot解决方案，才能帮助XX维持应用状态，同时线速追踪网络数据流，最大程度地减少对总体性能的影响。特别说明的是，利用强大的DPI引擎，ALLOT已经全面支持最新的互联网应用，包括（P2PTV、基于Tunnel的P2P文件共享、MPLS VPN等）3、实时的应用分析报告（实时监视、MRTG等）和数据的长期统计对于用户来说，需要一个平台来展现DPI引擎检测到的数据，帮助用户观察、分析网络中的应用（例如MRTG）。这个平台就是功能完善的实时和长期的报表统计系统。特别说明的是，实时的监视和实时的控制对于用户及时分析应用、发现问题、Allot-流量系统控制方案18优化网络有着极其重要的意义。Allot的NetEnforcer提供实时监控和长期监控的功能。实时监控功能实时显示当前网络的即时流量状况, Allot的图形管理系统基于Java技术设计，所有的监控数据都是“实时的”，并且每30秒自动刷新。长期监控功能可将实时监控中的视图累计存储，便于网管人员对网络的历史流量情况进行回顾。使用实时监控, 用户可同时监控多达100种视图, 内容包括带宽、流量、协议和应用、连接数、最活跃的IP地址, 数据包大小及利用率等，监控对象可以是系统、Pipe、VC或主机，监控方向可以是出站、入站或双向，均能够按照图形和数据两种方式显示，为网管人员提供了最为灵活和丰富的监控手段。同时，为了方便网络运行维护人员的工作，ALLOT还全面支持与客户MRTG监测系统的整合。Allot NetEnforcer1设备通过SNMP协议来支持MRTG进行系统集成管理。许多大型网络系统都使用MRTG来监测路由器端口数据流量. 用户通过下载Allot NetEnforcer中的MIB来实时读取其内部的数据流量信息。 Allot的流量报告可以详细到每一个预先设定好的VC中，因为每个VC都有其单独的QID, 这样用户可以方便地应用MRTG软件从NetEnforcer中直接实时地读取网络数据, 可精细到每个协议或应用的流量状况。ALLOT支持对监控数据的长期监控（Long Term Monitoring）功能,长期监控功能可将实时监控中的视图累计存储，便于网管人员对网络的历史流量情况进行回顾。Allot-流量系统控制方案19对于长期监控数据的展现，LTM支持快速、细化的展现历史数据。几分钟内就可以展示出全年的流量分布图。同时支持细化到1分钟的图象显示粒度，最大显示跨度没有限制。4、NetXplorer-Allot集中化的动态网络流量管理使用NetXplorer 获得对网络的完全可视性与控制能力当今的网络管理已经不仅仅是追求传输速度的提高与带宽容量的扩充。网络管理需要提供对网络使用情况、网络应用与用户行为的可见性。Allot 通信公司的NetXplorer与NetEnforcer 设备协同工作，集成了全网可见性、动态控制与深层数据检测（DPI ），保证了最佳的网络性能、安全性与管理，实现了网络智能服务，满足了应用、用户与线路租用者的需求。将业务目标与网络流量管理紧密结合NetXplorer提供了对网络的深入监测与分析，从而将业务目标同网络流量与行为紧密联系在一起。加速决策进程并使网络更加稳定、高效。NetXplorer是一个高可扩展性的系统，它使用一个集中式的、易于使用的图形化界面来提供强大的网络分析功能，包括短期的监测与故障排除以及长期的趋势分析与使用情况报告。控制能力包括在所有受管理的Allot NetEnforcer设备间进行策略部署与配置管理、数据更新与分发等。对用户而言，NetXplorer提供了网络可见性与流量、用户信息，并对网络中的流量进行管理。这对于降低运营成本、提高（线路租用）用户的满意度、增加平均用户收入（ARPU）以及开拓新的服务类型是至关重要的。对于企业级用户而言，NetXplorer提供的全局网络可见性将企业的业务目标与特定的网络行为紧密联系在一起，这对于帮助企业网络的管理者保证企业关键业务应用的性能与服务质量、降低企业网络运营成本是不可或缺的。Allot-流量系统控制方案202.3 网络资源控制和流量优化Allot的解决方案为IP传输网络创建了一个可以感知应用和用户的服务重叠。通过Allot的NP（Network Processor）阵列技术达到线速分析流量，确保服务提供商现在能够提供“尽力而为”服务以外的其它更多服务，保证那些对服务质量敏感的IP应用的性能，如IP 语音(VoIP)和视频点播(VoD)。Allot解决方案可在全局、单个用户或单个流量水平层次上，对网络流量应用进行带宽管理，使用户能够对网络资源进行自由的分配。这样就能够改善用户体验（QoE），获得用户对网络性能的总体满意度，降低传输费用，减少成本昂贵的网络升级。Allot的优秀的QOS算法机制使传输中的网络应用流量得到了优化，同时Allot设备强大的性能优势和功能优势使管理应用流量得到了保证，具体表现为：可以支持80000条并发策略，极大地满足XX目前以及将来的业务需求；可以根据单个应用、单个用户及用户组、优先级、时间段等多种条件进行流量控制，已经有同时配置2000条并发策略的运营商成功案例，而且随着运营商签约用户数量的增加，Allot均能精确的控制。严格意义上讲，Allot对无限大的用户数的接入；具有强大的告警功能Allot NetEnforcer设备提供了强大的告警管理功能，使之成为完善的流量管理平台。用户可以基于System级、NetEnforcer级、Pipe级、和VC级设置告警策略。在每个级别内部，又有不同的对象可以被监控。监控行为根据相关事件的严重程度使用不同的颜色表示不同的级别。便于管理员进行识别和管理。当出现紧急情况时，用户还可以根据规则，执行许多控制指令。Allot-流量系统控制方案21基于行为控制的有: 发送SNMP trap 发送email (up to two addresses) 发送SMS 改变访问控制(通过、拒绝、丢弃等) 改变优先权 切换到bypass模式 重新启动Allot-流量系统控制方案22根据预先设定好的报警级别和内容，Allot设备可以对紧急情况进行自行处理，从而解放管理人员，实现管理的智能化。Allot的深入数据包检测功能可以确保服务质量（QoS），同时还可以大大简化信令要求。而这种功能正是基于Allot先进的状态业务感知功能。凭借这种功能，可以确保为所有网段的应用流量分配适当的优先级和带宽。同时，它还可以监视网络资源的可用性，确保在网络资源过度使用的情况下采取必要的措施。因而，一系列基于应用的服务能够在质量、可靠性和性能方面脱颖而出。另外，对于P2P应用的控制，我们有成熟的经验可以推荐给用户采用：业务控制系统的流量控制和带宽管理功能提供使用方便、却非常有效的途径，缓解P2P流量和“abusive subscribers ”导致的网络压力，同时还支持智能控制策略防止用户流失。下面列举业务控制系统部分流量控制功能，以简化这些“智能策略”的创建。聚合速率限制Allot-流量系统控制方案23将所有P2P流量限制为已有带宽的某个百分比。虽然这不能确保每个用户的公平，却能够限制过多的P2P 流量，避免导致其它网络操作（如VPN、浏览和流式应用）性能的降低。举例：将P2P的总流量限制为链路容量的 20%。这样就可以为其它应用和用法提供80%的带宽。下图为将P2P控制到100Mbps后的效果图：上行控制限制上行（文件上载）P2P 流量，同时继续保持下行（文件下载）的畅通，这样既能缓解上行链路太过拥挤的状况，又不会造成文件下载中断（因而用户限制也有所降低）。在该战略中，ALLOT 特别隔离和控制 P2P上载的功能具有重要作用，因为仅仅限制上行数据会对所有文件传输者，包括上载和下载造成负面影响（以降低TCP连接速度的方式）。举例：将每个用户的P2P文件下载带宽限制为 10kbpsAllot-流量系统控制方案24这样就可以保留有限的上行资源，同时不会限制P2P文件的下载（P2P 用户的重要流量）。基于目的地的分类限制使用费用高或者特别拥挤的链路的流量、对等点或中继（如费用很高的国际链路），从而减少由于在昂贵的连接上保留P2P 流量产生的费用。举例：将通过对等点XYZ，离开ISP域的P2P流量限制为10mbps 。将每个用户的上网P2P流量限制为 64kbps。对不上网P2P流量不进行限制。这样就有助于减少对等和中继成本。此外，由于OnNET 和较便宜的OffNET流量限制更少，P2P应用将自动从下载转换到使用这些连接，进一步减少P2P 流量产生的费用。时间（每天几点）策略可以配置业务控制系统，对每天或每周不同时间的P2P使用进行不同限制。这样就可以减少这些时段由P2P 导致的拥塞，保证其它关键任务和带宽敏感应用（如电子邮件和VPN ）的继续使用，还能鼓励 P2P开发商和用户自动改变使用网络的时间。举例：将工作时间的P2P流量限制为链路容量的 5% 。在工作时间期间，远程工作者和公司用户可以获得高级别的服务质量，因为这时的P2P流量不会造成网络拥塞。P2P应用根据时间段的MRTG监控图表（一天和一周展现）：Allot-流量系统控制方案25用户应用限额业务控制系统不是简单地限制用户在给定时间内能够接收的带宽，而是通过增加特定时段的字节上限（如每天份额），将完全拦截或限制接入降到最小值。这样就可以让用户感到更公平，因为他们不必再争夺某个时间点的可用资源，而是每人都可以平分到一块“蛋糕”。注意，该平台能够在应用级别实施限制，这表明可以特别针对P2P流量设立字节上限。这种方法比在用户级别（如对每个用户的日常流量进行限制）限制字节上限要先进，因为它能更好地为用户提供基于应用的隔离，从而打消用户的顾虑：无论P2P 使用多少字节，他或她都不会丢失其它关键应用（如VPN和电子邮件）的接入。举例：无限制的P2P流量每日最高可达 1GB，之后减速到64kbps。用户接收的P2P流量被设定在一定限额。超过该值后，其它网络操作不会中断，但P2P流量会受到限制。2.4 服务安全由于用户缺乏安全意识，互联网具有开放性特征，这些因素为网络安全威胁的Allot-流量系统控制方案26滋生提供了温床，对服务提供商和用户造成了很大影响。用户经常处于拒绝服务(DoS)攻击、蠕虫和病毒的威胁之下。最近出现的一系列安全威胁，包括震荡波、myDoom、Slammer或冲击波等流行病毒，掀起了一场“安全风暴”。此外，随着更多“支持IP”的手机和PDA成为黑客的目标，服务安全已经成为用户在各方面的重大问题。由于感染主机的倍增效应，致使网络流量不断增加，由于用户要设法跟踪、禁止和拦截病毒攻击的传播，进而还会导致管理成本和技术支持电话增加。被感染的机器总是试图传播病毒，从而造成网络拥塞，最终导致所有用户性能降低。支持业务控制的网络能够阻止和主动消除安全威胁，这些威胁会产生多余流量，导致网络阻塞，提高提供商的成本。Allot首先是专业的流量管理产品，不是一款专业的防火墙产品，但是它能够帮助XX用户实时的分析网络中的流量情况，包括流量分布、连接数情况等。还有强大的告警功能，当网络攻击到来时，Allot能够快速定位攻击源和目标，可以协助专业的防护墙产品一起抵御来势汹汹的各种攻击。其次，Allot的Net Enforcer本身也是一个强大的DoS/DDoS防御设备。利用其独特的DoS算法库，可以及时发现大量的DoS攻击手段。一旦被判明是DOS行为，则立即按照预先用户设定好的方式进行网络干预。例如：可以把攻击者的IP压制到一个合理的流量，并释放其他被影响者的资源。或者更加强大到压制TCP会话的连接数量、和连接速率等参数。Allot-流量系统控制方案27为了防范于未然，当DoS的攻击已经开始的时候，再进行防范可能灾难就已经造成了。对于Allot而言，用户通常可以利用告警功能，通过监控网络中活跃的最大connection数量和每秒新增connection数量来让系统自动判断DoS攻击是否将会或者已经到来。当Allot预测攻击要发生了，防范手段立即就启动了，因此可以做到防患于未然。当攻击停止了以后，Allot可以自动判断诸如：当连接速度下降、或者连接总数下降到一个安全的范围后，自动打开对数据包通过的权限，重新恢复某个网络的通讯。利用Allot 内置的CLI模式可以实时追查是那个IP地址发生了异常的攻击行为，并利用ARP Track功能再深入发现是那个MAC地址，进而可以帮助锁定是那一台PC出了问题。在预测和防范DoS 攻击或者病毒攻击的功能上，由于目前Allot对手只能做到限制IP的整体流量，而无法干预会话的连接数量和连接速率。所以做不到预测和防范DoS和病毒攻击的到来，只能等到攻击开始灾难形成后，通过压缩带宽来实现对DoS的控制。而这通常是用户所无法安心接受的。第 3 章 Allot NetXplorer 集中管理平台Allot通信公司不仅提供了全系列的NetEnforcer流量管理设备，而且提供了业界最为先进的集中式管理控制平台NetXplorer。对于拥有多条链路或者多个网络出口的用户来说，部署多台Allot NetEnforcer流量管理设备对所有网络出口或者上联链路进行监测与管理，对于了Allot-流量系统控制方案28解全网流量与用户上网行为、控制整体成本、监测和控制全网范围的流量异常与安全隐患，都具有很大的意义。当用户网络中配备了多台流量管理设备后，如何对这些设备进行统一的管理，包括设备状态监控、策略和软件版本的更新与维护等等都给流量管理设备