多拨和Panabit策略V2教程范本.pptxVIP

2014-03-25 账号多拨和Panabit策略 账号多拨 账号多拨的定义 账号多拨的害处 如何防范 方案的选择 账号多拨的定义 有用户通过ROS或其他方式实现账号同时拨号上线 账号多拨在BOSS系统上的截图 账号多拨的害处 多拨用户多吃多占，实现带宽叠加，例如4M用户拨20次实际带宽达到80M，一旦被用户利用并推广将对现有大带宽产品形成冲击； IP资源占用，现有的IPV4地址资源已经枯竭，多拨造成单用户占用更多的地址资源； 潜在客户流失； 如何防范 方案一：在pppoe的context里面新建一个（地址池）profile，定期组织人员在高峰期将多拨用户筛选出来后，在boss里将这类用户放入这个地址池，配置如下： subscriber profile limit1 ip address pool port-limit 1 如何防范 方案二：将现有的默认profile直接添加命令port-limit 1，从而实现所有用户防止多拨，配置如下： subscriber default ip address pool port-limit 1 方案选择-推荐方案二 方案一缺点是较为被动，如果每天操作工作量较大； 方案一优点是比较灵活，如果boss里面的允许多个信息点的用户较多比较适合用这种方法； 方案二的缺点是一旦使用，在该BAS下的所有用户都不能成功拨号2次及以上，即使在boss里允许这个用户有2个信息点； 方案二的优点是方法简单有效，再结合防止用户漫游的VLAN绑定，就能很好的防止资源流失 Panabit策略 限流策略 DNS管控 限流策略 基本限流策略 1、设置伪IP策略 为防止非用户地址穿过PANABIT，占用连接数。 限流策略 在策略管理中添加一条，对内网IP伪装应用阻断的策略。但需要注意，在伪IP防护的地址段中需加入PANABIT内网口与外网口对接设备的接口地址，不然两设备间是无法PING通的。（所有需要经过PANABIT内网口的源IP地址都必须放行） 限流策略 2、游戏类应用放行 由于游戏类应用流量较小，但对用户质量及满意度有较大影响，建议出口不是特别紧张的城市，可以放开对网络游戏应用的限制。 限流策略 3、网络电视类限流 对网络电视应用类型进行限流，需要根据各地出口带宽情况，及用户 使用习惯进行分时段，分数据通道值进行限流。 网络电视的整体限流，对WEB类学习视频有一定的影响，许多识别 为网络电视中的V2视频会议、netitv、SopCast等，这类视频流量比 较小，但部分用户对此类的需求比较强烈，建议可以适当放开，该放 行策略需放在网络电视限流策略之前。（建 一个协议组，把需要放开 的小视频加入进去） 限流策略 4、P2P下载类限流 P2P下载是非常占用出口带宽的应用，需要对其进行较大强度的限 流，但由于部分P2P类软件在用户登录的时候，也会被识别成P2P 下载中的应用类别，如果完全限制，对此类登录有影响，例如迅雷 会员登录，同时也会造成该类软件无法检测到部分服务器而反复进 行发包重连，导致请求连接数过多，影响PANABIT限流性能。建 议给于较小的通道值，避免该类情况的发生。（P2P类限制上行） 限流策略 5、误识别应用 PANABIT不同版本的特征库更新不同，会导致一些网页或其他小 应用出现访问不了，或慢的情况。 使用抓包软件抓取出现问题的目标IP，模拟用户访问故障应用，在 PANABIT上对应源与目标地址查看对应识别是否正确。 如识别为被限制应用，则可在对象管理中，选择正确应用协议，例如目标地址为80端口的网页应用，归类应属于WWW协议，可在对应WWW协议的节点管理中进行添加。 限流策略 添加后用户再次访问时，可被正确识别为WWW协议，而不受限流类略 影响。 限流策略 游戏代理策略 游戏应用分为WEB类、客户端类，WEB类多使用80端口，识别多为WWW协议，腾讯游戏较为复杂，可能会出现QQ相关的识别。客户端类由于游戏机制的不同，识别不是很统一，尤其是大型的客户端类游戏，例如英雄联盟，根据游戏机制分为三部分，登录、聊天、房间