圣淘沙流量整形方案.doc

武汉圣淘沙酒店公寓网络流量控制解决方案神州数码网络有限公司2010年4月一、 用户现状和需求武汉圣淘沙酒店公寓有近800间客房，包括28间行政楼层房间。酒店网络原先由武汉电信负责提供40M带宽并实施系统集成。近年来随着网络上P2P资源和多媒体影音内容的丰富，导致酒店现在的出口也不能满足用户的实际上网需求。为了避免客人的投诉，酒店希望能对房间的带宽进行精细化的流量整形控制。二、 神州数码网络有限公司出口流量整形解决方案经对酒店网络进行深入的调查和分析后，建议在酒店出口链路上串联一台神州数码DCFS-1000流量整形网关，对住客的总带宽、单人带宽和协议带宽进行精细化的流量整形策略设置，保证整个酒店网络的畅通。三、 流量整形技术介绍3.1灵活带宽通道的管理神州数码DCFS-1000支持非常灵活的带宽通道管理（带宽通道：Bandwidth Pipe，是用户自定义的为某个用户、某个网络应用或者是某个网络接口、线路定义的带宽管道）：3.1.1、可以支持带宽通道的上限带宽和下限带宽下限带宽指通道的保障带宽，如果空闲可以出租给其他通道，上限带宽是带宽通道的最大带宽，如果通道带宽已经用满，而其他通道空闲，可以租用其他通道的带宽。3.1.2、可以支持带宽通道的优先级神州数码DCFS-1000支持带宽通道的优先级定义，优先级决定了哪条带宽通道可以优先被系统处理，优先级越高的带宽通道可以优先占用共享/空闲的带宽通道资源。3.1.3、带宽的分配精确到IP地址传统的Qos技术每个策略定义一个先进先出的队列，带宽的上限只能应用于整个策略，而神州数码DCFS-1000的通道管理技术实现的是基于用户地址的动态处理队列，能够精确的控制每个用户端IP地址/地址段的带宽流量。3.2动态的带宽分配技术用户访问网络的速度很大程度取决于用户终端与网络资源之间建立连接的数量，例如著名的下载软件NetAnts、Flashget以及一些P2P软件就是通过增加网络会话的数量来加速的。传统的Qos技术可以通过定义用户带宽的上限来限制用户的访问速度，但是这种方法在网络资源紧张的时候不能起到缓解的作用，而当网络资源空闲的时候容易造成网络资源的浪费。神州数码DCFS-1000支持动态的带宽分配技术，可以在用户分配的带宽通道内动态的调节、均衡用户带宽的使用，此技术具有如下的优点：n 在网络资源紧张时均衡的分配带宽资源；n 在网络资源空闲时可以充分利用带宽资源；n 可以配合用户带宽限制使用；n 可以针对某种应用，确保关键应用的带宽分配；n 带宽分配与用户建立的会话数无关。动态的带宽分配技术可以从根本上解决用户带宽分配不均的问题，防止个别用户过多的占用有限的带宽资源。3.3双重带宽控制技术很多网络管理员在规划网络带宽分配方式的时候，都有这样一类需求：每个用户的带宽要控制在一个范围内，同时对某些应用限制一个总的带宽，如下图：以前，这种规划需要两台设备才能实现：一台设备控制每个用户的接入带宽，另一台设备控制应用的带宽分配。这样虽然可以解决问题，但是却增加了设备投入的成本。使用神州数码DCFS-1000的双重带宽控制技术，即可轻松的解决这一难题，双重带宽控制技术可以在限制每个用户带宽使用的基础上，对某些应用占用的总带宽进行限制。这项技术不仅可以有效的提高管理员对网络的控制能力，同时还降低了网络建设的投入成本。3.4 TCP速率控制技术TCPIP是目前网络传输时使用的主要协议族。该协议族中，TCP和IP是核心，还包括一些其它协议。TCP和IP协议分别控制着数据在互联网上的传输和路由选择。从本质上说，IP是指导网络上的数据包从发方计算机送达收方计算机。TCP则负责确保数据在设备之间进行端到端的可靠交付。神州数码DCFS-1000的TCP速率控制技术有如下优点：n 通过改变window size控制TCP会话速率；n 可以实现双向控制；n 可以减小设备的缓冲压力；n 可以针对单个用户动态实施；3.5 DOS/DDoS攻击防范技术TCPIP是目前网络传输时使用的主要协议族。该协议族中，TCP和IP是核心，还包括一些其它协议。TCP和IP协议分别控制着数据在互联网上的传输和路由选择。从本质上说，IP是引导网络上的数据包从发方计算机送达收方计算机。TCP则负责确保数据在不同的设备之间进行端到端的可靠传输。神州数码DCFS-1000采用多层DoS/DDoS攻击防范体系，确保网络服务的正常。此外，神州数码DCFS-1000借助额外的取样机制和基准流量行为监测来识别异常流量，提供了实时的DoS 防范。该机制会对照策略设定的阈值来比较流量样本。一旦达到了某个潜在攻击的激活阈值，该潜在攻击的状态就被激活，这样就会使用该潜在攻击的特征文件来比较各个数据包。如果发现匹配的特征，相应的数据包就会被丢弃。如果没有匹配的特征，则会将数据包转发给网络。3.6 应用级别的入侵防范黑客在发起攻击之前，通常都会设法确定打开的TCP 和UDP 端口。一个打开的端口可能意味着一种服务、应用或者一个后门。如果端口不是用户特意打开的，则可能导致严重的安全问题。神州数码DCFS-1000的应用安全模块通过应用层分析技术提供了旨在阻止黑客获取该信息的全面机制，方法是拦截并修改发送给黑客的服务器应答。对网络化应用的依赖性不断增强也使得公司网络要面临病毒、入侵、特洛伊木马和其它攻击的威胁。据2003年8月刊的Network World 报道，77% 的应用级别攻击都是通过80端口发动的。这些攻击会使用80端口和其它打开的应用端口（如139、445等）穿越防火墙而进入公司网络中。神州数码DCFS-1000入侵防范功能采用高速检测引擎和拦截多种病毒、蠕虫和特洛伊木马，从而快速而全面地清除所有恶意入侵。四、 神州数码流量整形网关功能介绍神州数码DCFS-1000可以实现：u 网络资源监控：监控各类网络流量，生成监控图表；图1. 流量监控图表u 支持多种网络接口和协议：支持10/100M以太接口以及1000M以太和光纤接口，支持DHCP、PPP、PPPoE和802.1Q等网络协议；u 提供深度应用分析功能：基于会话层的应用分析，实现针对应用层的处理和流量管理功能，高速高效的分析算法，可以在千兆环境下线速工作；图2. 应用带宽分配策略u 支持动态的带宽分配，可以根据用户数对每个用户的上限带宽进行动态的调整，可以达到充分利用带宽资源和保障多数用户正常使用的最优状态；u TCP速率控制技术，神州数码DCFS-1000部署在两个通讯者之间，可以获取并且修改TCP连接握手时的缓冲尺寸，在数据一发生就控制了带宽，从数据的源头起做控制，基于接入用户的速率控制技术可以有效的控制那些占用带宽资源较多的接入用户；u 可以部署在各种网络环境下：支持路由、透明桥接、VLA