Packeteer校园网解决方案.doc

百科迪校园网解决方案2005年10月百科迪（Packeteer）亚太公司北京朝阳区工体北路盈科中心IBM大厦14层 电话021-62882192传真RL: 目 录1 校园网络现存的问题21.1网络安全的威胁31.2如何识别网上的各种应用31.3如何限制个别用户大量占用带宽41.4如何提高WAN链路使用效率42 Peer to Peer流量的原理其对网络的危害52. 1人人为我，我为人人的机理53 百科迪校园网流量管理解决方案73.1 分类网络流量73.2 分析行为73.3 控制性能83.4 控制效果83.5 安全机制93. 6 产品性能参数104 案例分析报告-华东师范大学111 校园网络现存的问题当今网络上流量的数量与多样性常常地淹没了校园网的 WAN 与因特网链路资源。难以管理的繁重流量负载会减损应用性能，削弱生产力。为解决这些问题，网络管理员将大部分预算花费在带宽升级上，而结果却发现问题还是不断出现就目前来说，在路由器和LAN（局域网）交换机上使用的带宽管理或高水准服务(Qualify of Service QoS)型的解决办法不能满足今日校园网各种不同流量所要求的灵活性和准确度。而另一方面，专用的带宽管理应用程序在功能和可伸缩性方面又不能跟上今日不断增长的流量。对现有的IP网络提出更加严格的要求。这些要求包括：1.1 网络安全的威胁网络面临的安全威胁大体可分为两种：一是对网络数据的威胁；二是对网络设备的威胁。这些威胁可能来源于各种各样的因素： 可能是有意的，也可能是无意的；可能是来源于企业外部的， 也可能是内部人员造成的；可能是人为的，也可能是自然力造成的。 总结起来，大致有下面几种主要威胁： (1)非人为、自然力造成的数据丢失、设备失效、线路阻断 (2)人为但属于操作人员无意的失误造成的数据丢失 (3)来自外部和内部人员的恶意攻击和入侵 前面两种的预防与传统电信网络基本相同，不在本文讨论范围之内。 最后一种是当前Internet网络所面临的最大威胁，是校园网顺利发展的最大障碍，也是校园网络安全策略最需要解决的问题。1.2 如何识别网上的各种应用在IP网络中运行的应用有几百种，要想分别认识他们，这是一个极大的挑战。Packeteer公司就提供了这种解决方案。Packeteer的PacketShaper能自动识别出500种以上的应用，并且了解各种应用占用了多少带宽。1.3 如何限制个别用户大量占用带宽由于TCP协议的突发特性,个别用户的应用可以轻易地占用大量超出他们所付费用的资源。需要有效和温和的手段以控制这种行为但同时不希望引起这些应用的中断。对应于现今的多业务平台，必须在保证了关键应用的基本带宽要求的前提下，如何实现对其他应用的公平对待，以及实现对所有用户带宽分配的公平性，也是目前网络需要解决的问题。1.4 如何提高WAN链路使用效率由于WAN资源的有限性，以及其较为昂贵的使用费。如果提高WAN链路的使用效率也是目前网络需要解决的问题。2 Peer to Peer流量的原理其对网络的危害 P2P是一种多点共享协议，P2P可在下载的同时，也为其他用户提供上传，所以不会随着用户数的增加而降低下载速度。使用非常方便，很适合新发布的热门下载。其特点简单的说就是：下载的人越多，速度越快。2. 1人人为我，我为人人的机理通常情况下，下载的工作原理是把文件由服务器端传送到客户端，例如FTP，HTTP，PUB等等。这样就产生了一个问题，随着用户的增多，对带宽的要求也随之增多，用户过多就会造成瓶颈，而且搞不好还会把服务器挂掉，所以很多的服务器会都有用户人数的限制，下载速度的限制，这样就给用户造成了诸多不便 但P2P应用就不同，用P2P软件反而是用户越多，下载越快，这是为什么呢？因为P2P用的是一种传销的方式来达到共享的。其工作原理如下：P2P软件首先在上传者端把一个文件分成了很多部分，用户甲随机下载了其中的一些部分，而用户乙则随机下载了另外一些部分。这样甲的P2P软件就会根据情况(根据与不同电脑之间的网络连接速度自动选择最快的一端)到乙的电脑上去拿乙已经下载好的部分，同样乙的P2P软件就会根据情况到甲的电脑上去拿甲已经下载好的部分，这样不但减轻了服务器端的负荷，加快了双方的下载速度，更减少了地域之间的限制。比如说，丙直接连到服务器上去下载与丙分别到甲和乙的电脑上去拿相比，速度会快很多。所以说用的人越多，下载的人越多，大家也就越快，P2P软件的优越性就在这里。在用户下载的同时，用户也在上传（别人从你的电脑上拿那个文件的某个部分），所以说在享受别人提供的下载的同时，你也在贡献。这些P2P软件以其独特的优势受到广大用户的喜爱，不过，麻烦也随之而来：如果多个用户同时使用P2P软件进行传输，会占用大量网络带宽，严重影响其他用户的正常工作。因此，在一些环境下完全有必要严格限制用户的P2P流量或完全禁止P2P流量。3 百科迪校园网流量管理解决方案3.1 分类网络流量如果您无法将应用从其它类型的流量中区别出来，则很难对该应用进行保护。Packeteer可检测并识别上千种类型的流量。您可以根据应用、协议、子网、web 页面、用户及其它方面将流量隔离开来。您还可以识别您的内部网应用；语音与 VoIP；P2P 流量，例如 BitTorrent、Edonkey 和 Skype；识别来自于某浏览器种类或特定服务器的web 流量，多种即时讯息发送(MSN，QQ)、游戏和 MP3 音乐下载；以及其它类型流量。与网络流量有关的复杂性不断增加，因此应运而生的高级分类技术变得重要。而简单的 IP 地址或静态端口方案相形见绌。Packeteer分类可检测动态或变动式端口分配的变化，区别使用同一端口的应用，并采用第七层应用标识来识别不同应用。 3.2 分析行为有限带宽是如何消耗的？为什么关键型应用的发展如此缓慢？谁使用的资源最多？哪一台服务器上的应用性能最差？Packeteer 将会对网络与应用行为进行详细分析。Packeteer可评估带宽利用，发现顶级带宽消费者，提供可识别连接趋势的详细诊断，提供大量的测量数据，并且有时甚至可替代探测器和分析仪。此外，Packeteer 可测量用户的应用响应时间；将响应时间分成服务器与网络部分；识别性能最低的客户机与服务器；使您制定服务水平协议；跟踪一致性。 3.3 控制性能分析性能问题是一个良好的开端，但这并不足够。Packeteer 还赋予您解决问题的能力。Packeteer 利用一个双向方案可同时处理有限链路访问及其大小，以便控制应用性能。管理应用性能准确地包含了根据用户需求和应用自身需求进行的带宽分配。Packeteer 能够控制所有类型的流量：稳定的语音或视频流速率；针对如DNS等对延迟敏感的小型流量,保障快速通过；针对持续性访问的应用, 如BitTorrent等对带宽又贪婪且非常重要的应用,在带宽限制和允许占用带宽之间作出平衡。Packeteer 能够以每用户、每会话、每流、每地点或每应用为基础实施带宽使用的保护、调整、限制或提供。3.4 控制效果通过对网络流量的精确控制，达到了对流量突发特性的调控。这个技术对网络中每对对话的信息源进行流量监听、跟踪、计算和干预，对信息源向网络所发送信息量的多少、发送时间和频率进行控制，从根本上解决网络的阻塞问题。如下图所示：3.5 安全机制Packeteer特有的设备链路硬件Bypass功能，可以在设备发生故障的时候，仍然能够保持链路畅通，而不会造成网络故障。以及完善的系统负载侦测，保持设备不会出现过载现象3. 6 产品性能参数系列10000容量最大吞吐量1Gbps最大分类数5,000最大动态分区20,000最大静态分区5,000最大策略数5,000最大IP主机数*400,000最大IP流量*1,400,000可选功能及升级只可监视是整形链路大小100M,200M,310M,620M,1G压缩155M接口网络接口(内和外)2 x 10/100/1000M Base-T接口；2x1000M光纤SFP-SX(275m)或LX(5km或20km)扩展端口(有两个插槽)2 x 10/100/1000M Base-T接口；2x1000M光纤SFP-SX(275m)或LX(5km或20km)控制端口均兼容AT标准的RS232 DB9 接口尺寸均为19吋机架高度2U或3.5英寸(8.89厘米)重量33磅(14.97公斤)宽度17.31英寸（43.97厘米）深度20.3英寸（51.43 厘米）电源电源100/240 伏特交流电源; 50/60赫兹, 6安培双电源冗余负载共享可热插拔其他特性互操作性XML、XML 和 CGI APIs、 SNMP MIB, SNMP 事件触发、 HP OpenView、InfoVista、Concord eHealth、Aprisma Spectrum、Micromuse Netcool设备管理支持DB-9 控制端口、 web 浏览器界面、 Telnet命令行界面、, SNMP Packeteer MIB 和MIB-II机构认可安全性CAN/CSA-C22.2 No.1950-95/UL 1950, IEC 60950, EN 60950辐射AS/NZS 3548 Class A; AS/NZS 4252.1; ICES-003, Class A; EMC Directive 89/336/EEC; EMC Directive 73/23/EEC; EMC Directive 93/68/EEC; EN 55022;1998 Class A; EN 61000-3-2:1995_A1(98) + A2(98), & prA14(00); EN 61000-3-3:1995; EN 55024:1998; VCCI:2002, Class A; KN55022 Class A KN6100-4-2,3,4,5,6,8,11; GOST-R 60950-2002; GOST-R 51318.22-99,.24-99; CNC 13438:1997 Class A; FCC 47 CFR part 15, subpart B, Class a抗干扰度IEC 60950:1999 3rd Edition; EN 60950:2000; UL 60950:2000; CAN/CSA C22.2 No.60950-00; EN 60825-1,-2 Class I Laser4 案例分析报告-华东师范大学经过多年的网络建设，华东师范大学早已形成了多种网络应用、异构系统共存的复杂环境，网络管理问题一直困扰着网络中心管理人员。对网络资源的使用限制只能通过行政手段和监测软件来实现，以Internet访问为例，如不准在工作时间使用Bt下载大文件、不准使用QQ、ICQ，不准看网络电影等，因为监测软件不具备访问控制能力，所以网络管理越来越无法满足实际需要。 华东师范大学网络中心需要在目前的路由网上敷设新的一层网络应用流量管理基础设施以满足网络中心的战略发展需要。这套基础设施可以从容面对网络中心在新环境中多业务，新业务，新服务的提供所带来的巨大压力，排除多种网络今天存在的隐忧，为教育行业的信息化发展敷设现代化的管理机制，确保中心今后的关键应用与关键用户在需要使用网络资源时随时得到保障。新一层的设施不但能满足今天的需要，还能为将来未雨绸缪，只要有必要随时为网络马上提供大幅度的广域网资源增幅，节省大笔链路开销。 Packeteer通过提高网络的透明度，为网络管理人员带来极高能见度，把网络控制权重新夺回手中，从此以后，整个网络里的任何一种协议和应用，任何个人、部门、任何一台机器、任何应用的每一对会话、任何一位教师或学生PC上的任何应用、领导的每次视频会议的质量都在一只鼠标的控制和掌握之中。 Packeteer系统为华东师大带来的不是“又一个产品”，而是崭新的管理技术、概念、设施和系统，将目前的“网管”系统延伸到OSI第七层，帮助教育行业面对新环境的挑战，迎接后WTO时代的机遇。 将来，网络中心在这个专门为保障业务和关键应用运行性能而铺设的基础设施上可以承载任何新业务环境所需的新服务和业务。 网络中心使用了Pac