华为业务控制方案-PtoP业务的可运营.ppt

1,华为业务控制方案PtoP业务的可运营,华为技术有限公司数据通信产品部,2,汇报提纲,PtoP业务简介华为PtoP业务解决方案网络拓扑布置,3,Peer-to-Peer(P2P)技术概述,Peer间以对等互动的方式，直接交换资讯与服务，来达到彼此的需求有别于过去client/server模型，可以直接从网络上数以亿计的电脑中下载资料，PC可同时扮演client与server角色对等网络（P2P）技术是目前国际计算机网络技术领域研究的一个热点，被财富杂志誉为将改变互联网未来的四大新技术之一,个人用户,个人用户,个人用户,个人用户,资源服务器,传统流量模型,个人用户,个人用户,个人用户,个人用户,资源服务器,P2P流量模型,4,P2P模型的特点,该系统基于对等体间的直接通信资源无需集中管理每个节点的地位是相同的，具备客户端和服务器双重特性，可以同时作为服务使用者和服务提供者改变Internet现在的以大网站为中心的状态，重返“非中心化”扩展性强可管理性较弱,由于P2P技术的飞速发展，互联网的存储模式将由目前的“内容位于中心”模式转变为“内容分散存储”模式，改变了Internet现在的以大网站为中心的流量状态，对网络流量模型带来了巨大的变化。,5,P2P技术的发展过程,集中式对等网文件搜索服务器集中放置，以Napster为代表提供的MP3下载服务就是最早的P2P实践。由于版权、搜索服务器瓶颈等问题，现在集中式对等网的P2P软件已经没有了。分布式对等网每个客户端都承担文件搜索服务器的功能。Edonkey、Emule是分布式对等网的代表。文件下载不受控。混合式对等网利用种子发布的方式提供搜索引擎的方式，“种子”通过HTTP等协议发布，种子中包含了文件发布的信息。BT是混合式对等网的代表。文件发布通过种子管理。,P2P业务也逐步向可管理方面发展，BTChina联盟网站是P2P业务运营获得成功的一个典范。,6,P2P对运营商带来的影响,收入影响宽带用户量不但上升，用户在线时间上升，流量不断增加网络不断扩容，投资不断增加消耗了90的带宽，带来的却是10%的利润网络流量模型影响网络流量模型难以建立，升级缺乏严格依据现有网络结构为不对称结构，而P2P流量为对称架构业务控制弥补现有基础设施的不足区分业务、区分用户加以控制不同的资费策略，让运营商可以收到高额利润,P2P技术也是宽带发展的一个驱动力，因此单纯的禁止是绝对不可取的,7,网络时代的机遇和现状,数据摘自CNNIC中国互联网络发展状况统计报告2005年1月,8,业务的发展趋势,9,一个实际的P2P现状分析,各类P2P应用产生的流量消耗了大量的网络带宽，P2P占用带宽占所有业务使用带宽总量的50（忙时）80（闲时）；P2P应用和其它应用全天的最忙时不一致；在所有P2P流量中，需要出网的占9198；在所有已知的P2P应用中，BT应用是主流，其流量占到P2P总流量的80；如对P2P带宽不加以限制，BT用户基本都是使用到ADSL速率的最大限度；,10,P2P用户数量的估算,估算方法：对每个用户到外网的P2P应用的流量限制带宽为400Kb/s，P2P应用的总带宽和其它应用的带宽均不做限制；选取不同的时段，在城域网出口总带宽未饱和时即可估算出使用P2P的用户数量；再除以同时间内并发的用户总数，即可推算出使用P2P的用户在所有用户中所占的比例；估算结果：小于用户总数的10；结合前述对流量成分现状的分析，可得出如下结论：在全部宽带用户中，目前有约10的用户较为经常使用P2P类应用，消耗了网络带宽的5080；,11,P2P技术带来的变化,P2P软件的流行带来了如下的一些变化：1)Internet上流量模型的变化，现在Internet上70的流量都是P2P的流量，而传统的HTTP流量已经不是Internet上的主要流量。2)个人用户的流量模型的变化。以前个人用户的下行流量（从Internet到个人用户）远远大于上行流量。而由于P2P技术在下载的同时，也需要上传。导致个人用户的下行流量和上行流量都很大。3)P2P流量造成网络的极度拥塞，大部分用户的上网体验下降。,24小时在线，网络拥塞，是P2P下载业务对运营商最大的冲击。,12,BT工作原理,下载BitTorrent内容：安装BitTorrent下载软件；通过WEB等形式下载.torrent文件；运行BitTorrent下载软件；连接Tracker服务器，注册并获得下载用户列表；连接其他的下载用户，开始数据交互过程；,13,BBS,下载者,Tracker,.torrent,下载.torrent文件,注册,返回下载用户列表,开始下载,BT工作原理,14,目前最流行的一种P2P应用：下载的人越多，下载速度越快；非常适合交换尺寸较大的文件；无限占用带宽，直至到达链路极限；国内互联网存活60,000个文件内容；TRACKER服务器约有30-50个；大部分下载集中在很少的文件，符合原则；业务上具有双重性,是盗版传播的渠道,但很多正版大型文件也采用BT发布,以减少下载服务器投资；下载文件实际上是可控的，通过BT很难下载到一些非法文件。,BT现状分析,BT业务代表了P2P业务的发展方向提供可管理的P2P业务,15,汇报提纲,PtoP业务简介华为PtoP业务解决方案网络拓扑布置,16,华为公司的解决方案,高可靠的硬件平台深度检测业务状态维护层次化监管分级别监管灵活的QOS监管体系业务运营管理灵活的报表输出接口,精确识别、持续监控、硬件检测、灵活的策略监管使得华为公司可以提供对以P2P为代表的新型宽带业务的精细化运营，对网络带宽的优化和带宽的高效利用提供了坚实的保证。,17,深度检测技术,基于深度检测的精确识别是实现P2P流量控制的前提。基于五元组的简单分析方式无法精确的区分P2P的流量，只有针对报文的深度分析才可以准确识别P2P流量。,P2P都是采用TCP/UDP做为传输协议，其TCP/UDP端口不固定，因此采用简单的五元组分析是无法精确识别P2P流量，这也正是对P2P业务很难监控的一个原因。,18,业务的状态维护,五元组纪录状态表，通过对少量带有特征字的报文进行精确识别，依据五元组纪录P2P流量。减少匹配工作量，对无特征连接的数据报文也可以进行依据状态处理。,在P2P传输过程中，只有少量报文携带特征字，如何根据这些少量报文判断出大量的P2P报文？,19,层次化流量监管技术,采用层次化的流量监管技术可以限定总的P2P流量可以根据IP设定不同的流量模型基于用户的P2P带宽管理可以根据IP限制对等连接数目基于用户的连接数监管,宽带用户,宽带用户,网吧,ISP,每个用户的P2P流量不超过100K保证用户的下载体验不会过分降低,宽带用户,宽带用户,P2P总流量不超过100Mbps保证其它业务不会被P2P带宽过分挤占,20,用户1提供100K的P2P带宽用户2提供200K的P2P带宽,分级别的流量监管技术,采用层次化的流量监管技术可以分级别限定不同的P2P流量疏导P2P流量优先使用通过ISP的网络资源可以对上传和下载流量分别限定针对不同的用户群提供不同的服务,地市骨干网,到自己ISP的P2P总流量不超过100Mbps到其它ISP的P2P总流量不超过20Mbps,自己ISP骨干网,BAS,宽带用户,宽带用户,21,基于时间设定流量模型,GE,GE,城域网骨干,ISP,白天8:0024:00P2P总流量不超过100MBPS晚上0:008:00P2P总流量不超过400MBPS,可以根据时间范围设备不同的流量范围，例如在晚间的时候可以把P2P流量的带宽放大，白天的时候把P2P的流量带宽放小。,22,流状态信息快速同步，保证了多出口环境，P2P限流也可以很好的工作。,多出口的负载分担环境,对于多出口的环境：可以采用2台设备分别在不同的路径上进行P2P限流两台设备的P2P信息可以互相备份，即使流量路径不一致也可以准确识别流量。,地市骨干网,骨干出口1,BAS,23,降低P2P连接的带宽占用,TCP窗口不断增大，导致整个网络带宽极度拥挤。丢弃P2P流量报文，可以快速的降低TCP滑动窗口。使用TCP慢启动机制平衡网络带宽。P2P依然可以使用，但是占用的网络带宽可以控制。正常的WEB访问等高优先级业务可以畅通无阻。,个人用户,个人用户,P2P流量TCP滑动窗口自动调整。,资源服务器,其它合法业务TCP滑动窗口保持畅通。,24,基于用户身份的流量监控,Eudemon防火墙可以对Radius报文进行解析，配合后台服务器输出基于用户身份的行为分析报表。可以将策略从IP扩展到ID，为后续开展精细化运营服务打下坚实的基础,省干Radius,BAS,账号-IP解析模块，可以用来解析ADSL账号和IP地址的对应关系,宽带用户,BAS,P2P流量过滤,日志报表,输出基于ADSL账号的用户行为分析报表,25,直观的图形化日志分析界面,历史流量分析对历史任何时刻的流量查询按照年、月、日等时间精度输出流量报告实时流量分析直观的分析各种应用流量的占用带宽对P2P流量的限流效果分析实时监控防火墙的接口流量以及流量分布,26,实现P2P流量监管的好处,提高网络流量的管理业务可控制，流量可管理不同资费，提供不同的业务服务质量改善了网络降低传输链路成本充分利用了网络带宽资源对业务实现了策略控制新的盈利模式少量的投资，获得很高的效果确保重要客户的服务保证,27,技术方案总结,基于硬件的探测技术，不会成为网络的瓶颈，可以达到3Gbps的吞吐量。基于深度感知的状态检测技术，可以准确的发现P2P流量，并可以灵活的限制流量。集成防火墙功能，可以带来额外的安全保障。基于ACL标识监管范围，可以只对部分主机进行P2P流量监管。可以基于时间段设定规则，满足不同时段的流量要求。,28,华为产品形态Eudemon系列防火墙,华为公司系列电信级硬件防火墙产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障。,Eudemon500,Eudemon1000,29,高可靠的硬件机构：基于NP逻辑结构,全模块化、基于NP硬件集中式转发、电信级可靠性深度检测功能都是NP进行处理，保证了每秒新建连接100,000条/秒，充分保证网络安全性。NP转发方式保证了Eudmeon500和1000在64字节报文下分别超过1G和2G。基于硬件ACL保证了配置大量规则情况，性能不受影响。,Eudemon500/1000：基于NP的集中式多业务平台,NP,高速交换转发,2GPCI共享数据总线,2GD_bus交换总线,30,先进的体系架构,Eudemon防火墙完全自主开发。软件采用专有操作系统，安全/高性能并重。Eudemon500/1000防火墙采用网络处理器技术，高性能、可扩展性兼顾。Eudemon系列硬件平台具备高可靠性。,CPU功能灵活，可不断升级，弱点是性能低。,ASIC性能高，弱点是过于固化，无法升级,NP,CPU,ASIC,基于软件的CPU的灵活性和基于ASIC的高速转发的结合NP（网络处理器）,优秀的硬件设计保证了高效的检测的性能。,31,Eudemon系列防火墙性能,Eudemon系列防火墙业界领先每秒新建连接能力保证了防火墙性能充分发挥。,32,汇报提纲,PtoP业务简介华为PtoP业务解决方案网络拓扑布置,33,网络部放位置,支持模式三层模式透明模式（二层模式）常用部署位置宽带接入/汇聚层中插入BAS或L3交换机之后靠近网络边缘的汇聚点,34,部署原则,城域网,INTERNET,省网/骨干网,透明接入，可以适合接入到网络的各个层面,35,小城市部署方案,BAS,GE,城域网骨干,省干,对于小型城域网可以部署在网络的出口。可以提供3G的吞吐量，不会成为网络的瓶颈,GE,36,大中城市的部署,核心网,汇聚层,阻挡DOS等攻击控制P2P流量,BAS,BAS,部署在汇聚边缘提供对核心网的额外保护分析城域网内的P2P流量,37,xDSL部署方案,BAS,省干,直接在BAS旁部署也可以在BAS设备增加业务插板P2P的流量精细运营,38,10G接口的解决方案,10G接口可以通过分光平台，将流量镜像到多个Eudemon平台上。每个Eudemon防火墙分担不同的检测流量。对于TCP形式的BT连接，可以通过发送RST报文干扰连接。,39,华为P2P关键特性路标,2006/10,2006/05,10G吞吐量2.5G接口卡,2005/06,3G吞吐量1GE接口卡,100G整机交换容量10G接口卡,以业务为中心，从技术、管理和服务三方面为用户提供端到端解决方案。,40,汇报提纲,PtoP业务简介华为PtoP业务解决方案网络拓扑布置应用案例,41,155MPOS,核心层,汇聚层,接入层,NE16路由器,GE,FE,FE,GE,FE,FE,GE,FE,FE,GE,FE,GE,湘潭铁通网络P2P流量控制,Eudemon500,Eudemon防火墙应用于湘潭铁通：1、采用路由模式接入。2、同时启用策略路由功能，增加两条出口路径。3、采用P2P流量分级限制，到铁通骨干网的P2P流量为80M，到其它运营商的流量为10M。,到其它运营商,42,Eudemon1000采用混杂模式（混杂模式下，没有配置IP地址的接口工作在透明模式，二层转发；配置IP地址的接口工作在路由模式，三层转发）。Eudemon1000直接接入到网运7609和天津电信之间链路，对网络的拓扑、IP地址等均不会产生影响。为了远程管理防火墙和通过远程日志服务器观察流量变化，可以单独将Eudemon1000的管理FE接口连接到网运7609上。远程可以telnet到防火墙上，进行配置和管理；另外，防火墙还可以定期