8月26日培训rg-ace流控技术学习

1、RG-ACE流控技术学习目 录 Contents整体架构DPI、DFIQOS调度机制整机综述新版本ACEv5.0与V3.0相比内存增加至6GCF卡更换至512M固化Bypass Card，可提供3个PS/2接口，用于连接外置OBS交换机由原32位操作系统升级为64位操作系统ACE2000为4核CPU，ACE3000为8核CPU。每个核绑定某几个接口，并可灵活动态调配依靠传统SNMP与Agentx完成内部通信与配置下发问题：通过WEB界面下发的策略是否在底层先生成命令行，再输入？WEBUI与CLI命令行属于并行模式，优先级相同两者都可以直接调用SNMP，所以，通过WEB界面下发的命令不触发命令行

2、Page3数据通过ACE是否有延迟？数据通过一台设备，经过一系列处理，肯定会比直接传输延迟更高。一条流（非一个包），经过ACE，如果开启基于主机的报表，需要消耗大约4000条CPU指令。如果不开启主机报表，需要消耗大约3000条CPU指令假设CPU主频为2GHz，4000条指令，一个核的处理时间为0.002msPage4流量在ACE中到底是怎么跑的？PIPE（通道）：属于某个桥（也可以说链路）VC（容器）：属于某个PIPE流量进入管道后，先进入PIPE，在进入VC带宽嵌套：一个桥包含2个PIPE每个PIPE包含3个VC带宽租用：PIPE1和PIPE2属于同一个Share PIPEVC2和VC3

3、属于同一个Share VCVC5和VC6属于同一个Share VCPage5VC 1 Rate PoolVC 2 Rate PoolVC 3 Rate PoolPipe 1 Rate PoolVC 4 Rate PoolVC 5 Rate PoolVC 6 Rate PoolPipe 2 Rate PoolShareVCLine Rate PoolSharePipeShareVC数据流处理流程，ACE是否也有流表？Page6收包L2-L4SITFTActionQOSRMON发包查找4层表查找Source IP table查找Flow table匹配通道等QOS+报表+日志匹配匹配不匹配加入SI

4、T加入FT不匹配Global策略一级策略DPI二级策略基于源地址的全局策略PIPE策略（不能基于应用）查找7层表VC策略（可以基于应用）如果策略有修改，ACE重新计算流表（有部分厂商等待流表超时）目 录 Contents整体架构DPI、DFIQOS调度机制DPI的来源DPI（Deep Packet Inspection）：深度包检测源于电信运营商的需要：实行精细化管理分析用户行为开展增值业务，构建更好的盈利模式真正让DPI广泛使用源于P2P、网络游戏、IPTV等应用的发展P2P的出现，打破了传统的C/S模型，消除了服务器性能瓶颈。网络游戏、IPTV等应用对网络时延要求很高。运营商带宽的扩容速度

5、无法赶上应用的发展传统报文识别的缺陷传统方式如何识别报文五元组：源IP、目的IP、源端口、目的端口、协议特殊字段在ACE中，如果通过L2-L4特征库查找后，“fixed”字段=1（明确这个特征只通过L2-L4就可以识别），则不用在查L7表。DNS协议，端口号是53，fixed=1HTTP协议，端口号是80.但是其他大量协议有时也会占用80端口。所以，仅判断L2-L4信息，无法识别，fixed=0缺陷多数应用已经没有特定的端口，如：BT、迅雷部分应用使用其他传统端口，如：QQ某些应用使用80端口结论单纯的传统4层识别方式已经无法满足需求需要2-7层应用识别技术DPI综述DPI是包含2-7层的流量

6、识别技术DPI将网络上的数据报文根据五元组分为一个个的应用流，并通过识别技术对应用流中的特定数据报文进行探测，从而确定应用流对应的应用或者用户的动作。基于特征字的识别每个应用往往都包括他的“指纹”这个“指纹”可以是端口号、特定的字符串或bit序列以Bittorrent为例：应用由客户端发起的一条握手信息开始后面是循环的信息流，每一条流中都包含一个长度字段每个握手流中都会包含“19bittorrent protocol”所以，可以确定“19bittorrent protocol”就是Bittorrent的指纹字符串是特征字的其中一种方式，但其具有一定的局限性。目前，主流的DPI技术采用的是字符串

7、+正则式的形式正则表达式正则表达式是指一个用来描述或者匹配一系列符合某个句法规则的字符串的单个字符串正则表达式可以用来检查一个串是否含有某种子串、将匹配的子串做替换或者从某个串中取出符合某个条件的子串等举例1：如果你想查找某个目录下的所有的Word文档的话，你会搜索*.doc。在这里*会被解释成任意的字符串。举例2：查找所有电话号码b0ddd?-dddddddd?b以0开头，然后是两或三个数字，然后是一个连字号“-”，最后是7或8个数字性能与准确度的取舍正则表达式灵活性高，识别准确，但需要CPU来计算普通的特征码+mask识别的方式，可以通过硬件计算，性能高，但协议识别准确率低什么是特征码+m

8、ask？Mask跟IP的反掩码类似，用以确认哪几个字段是必须匹配，哪几个字段可以忽略如：匹配ABC*12*2*1，这就是一个特征，可以匹配；但上页举的“查找所有电话号码”的例子，这种方式无法满足正则表达式的性能真的很低吗？其实不然。Page13正则表达式特征码+mask识别准确度与灵活性高低性能中高应用识别性能与特征库大小无关数据流与特征库的匹配方式包括：逐条查找或按图查找（DFA）逐条查找顾名思义，特征库越大，效率越低ACE采用DFA，举例：识别“abc是QQ的特征码”将特征码分配到连续的内存中，每个内存区域存储特征码的不同部分由此可见，识别效率跟特征库数量是无关的，只跟特征本身长度有关Pa

9、ge14abcQQHTTP流量识别锐捷网络DPI技术将HTTP流量分为正常HTTP浏览通过DPI识别HTTP单线程下载单个GET或POST所请求的资源大小超过界限HTTP多线程下载查看range：bytes字段，看是否分片HTTP镜像判断协议返回状态请求分片的某个部分206表示有镜像其他应用识别技术应用网关识别技术某些应用的控制流与数据流是分开的，如FTP。只分析数据流无法判断流量类别需要先识别控制流，在根据控制流种类，识别数据流行为模式分析技术（ACE暂不支持）此种应用识别方式用于识别目前无法识别的流量，这种流量没有特征字，如：垃圾邮件通过垃圾邮件的行为，如：邮件的速率、目的邮件地址数目、变

10、化频率、源邮件地址数目、变化频率、邮件被拒绝的频率等参数等，建立行为模式库，以识别此类流量此技术可识别一些非法流量，但需对非法行为进行数据分析DFI简述DFI（Deep Flow Inspection）：深度流识别与DPI相比，由于只比较流的特征（DPI需要每个包都与特征库相比）性能较高与DPI相比，识别率较低，只能大致识别此应用是P2P或是HTTPDPI的特征库总是落后于应用，但DFI不会 DFI主要用于识别加密P2P流量目 录 Contents整体架构DPI、DFIQOS调度机制流属性继承Page19链路PIPE2PIPE3PIPE4PIPE1vc1vc2全局属性PIPEVC数据流属性OK

11、属性继承顺序为：全局-PIPE-VC流量进入链路后，首先寻找可匹配的PIPE。如果没有，则进入Default PIPE。如上图，如果流量匹配PIPE1，则进入；每个PIPE之间有优先级，数据按顺序匹配，匹配成功后，不会继续向下查询。如果没有任何PIPE可匹配，则进入Default PIPE（图中链路除PIPE1-4之外，其余部分是Default PIPE）进入PIPE后（包括Default PIPE），寻找可以匹配的VC。如果没有，则进入Default VC。规则同PIPE流属性继承Page20宿舍网IP办公网IP迅雷视频宿舍网迅雷宿舍网视频宿舍网HTTP宿舍网QQ办公网QQHTTP视频视频迅

12、雷办公网办公网实验室图书馆共享池同属一个桥的几个PIPE之间可以共用共享池同属同一个PIPE的几个VC之间可以共用共享池跨桥的PIPE不能共享跨PIPE的VC不能共享权重：共享池里面的VC或PIPE通过权重分配可共享的带宽。假设A、B、C三个VC，每个VC有1M带宽，三个VC用一个共享池A、B、C的权重分别为1、2、3当C不在线的时候，A和B可以租用C的带宽根据权重计算，最终A的最大带宽为（1+1/3）MB的最大带宽为（1+2/3）MPage21数据入栈一条流确认自己的属性后（属于哪个PIPE和VC），先检查PIPE中是否有per IP属性。有per IP属性（假设每个IP不能超过1M），则先

13、检查自己是否流量超过1M超过1M，则不能入栈，丢弃；不超过1MVC没满可以入栈VC满，丢弃没有per IP属性VC没满可以入栈VC满，丢弃Page22数据出栈数据流入栈后进行排队，准备转发出栈算法类似WRR（Weighted Round Robin），基于权重轮询发包如：2个队列，他们的权重比为2:1第一个队列先发2M字节第二个队列再发1M字节之后从头循环ACE的QOS算法与WRR的区别？WRR是按包轮询，每个队列发几个包ACE是按流量轮询，每个队列发多少流量为保证通道不被相同数据流占满，ACE采用了PFQ（per Flow queue），不同的流有更高的优先级占用其他通道。迅雷有2个流要出栈，这时候，HTTP数据流也要出栈，则优先发送1个迅雷流和HTTP，等HTTP流发送后在发送剩下的1个迅雷流Page23报表（RMON）RMON为RFC标准，用于各种报表的生成ACE的RMON是基于接口的，只有当接口打开RMON，才有报表生成ACE有两种接口，物理接口和