Panabit产品交流(毛工).ppt

大家流控和NAT是怎么做的？ Linux：TC+NetFilter FreeBSD：ALTQ+PacketFilter Dummynet+IPFW 出来混，总是要还的 性能四大挑战 新建 并发 吞吐 规则数 最有中国特色的NAT 性能：单板40G吞吐、1500万并发、新建65万/秒、65535条策略 ALG的中国国情：照搬来的ALG不灵了 应用层特性信息隐藏 最平凡的功能是NAT？ Page * 功能配置以策略和策略调度驱动 简洁如智能手机 强大如变形金刚 面向应用的多类对象实体 策略、策略组 IP群组、域名群组、文件类型 协议组、自定义协议组 流量代理、数据镜像 三个维度，多级策略嵌套 不同应用总带宽分配 每用户总带宽分配 同一用户不同应用带宽分配 时间与用户数二维策略调度 简洁与强大并重的策略引擎 Page * 智能DNS Page * 重定向 丢弃 劫持 DNS是最脆弱的互联网基础设施 缺乏基础认证校验机制 节点分散，难于管理 对HTTP影响巨大 镜像缓存 无需另外增加DNS服务器 对客户完全透明 多IP服务器 多运营商入口地址智能解析 负载均衡 缓解DNS服务器压力 形成类CDN机制 无需修改用户客户端配置 应急恢复网络 规范DNS设置 信息推送 封锁域名 保护服务器安全 检测目标 IPID检测：内网终端数量 应用层复合检测：内网IP地址 应对动作 通断：允许、阻断 限制：流量、连接数 提示：Web提示、重定向 一拖N检测 Page * NAT特性信息隐藏与一拖N检测的战斗 运营商利益与用户利益冲突点 矛与盾 答案已经明确，一拖N检测必胜 就像斯诺登所描述的一样，它游走在政府和民间的博弈中间，没人会承认，但是没人能拒绝它的存在。 虚拟身份定位 Page * + 防火墙日志 + 虚拟身份信息库 + IP位置信息库 = （张三在某酒店某房间登录了某种应用） 为什么是Panabit？ 部署位置位于通信主干，无需改变连接拓扑 有足够性能处理关键要素审计，不需要增加设备 对应用协议分析透彻，分析协议可以涵盖邮件、即时通信、社交应用和游戏等 典型大数据应用 移动应用支持 Page * 网络/协议 业务识别 终端识别 在GGSN与SGSN之间旁路或串行接入 GTP-U GTP-C IMEI和 IMSI等手机信息和IP信息关联 Panabit吐出话单 应用商店（安卓市场、手机报） 移动浏览器 （Safari、Chrome、UCWeb、移动QQ浏览器等） 移动游戏 （手机游戏、iPad游戏） 移动QQ iPhone/iPad HTC 三星 摩托罗拉 诺基亚 小米 魅族 小辣椒 世界已步入移动互联网时代 认证是接入管理的必选要素，当前三大主流认证方式 Web认证：无需附加部署，业界主流形式 PPPoE认证：产生广播流量，需要部署BAS 802.1x认证：需客户端软件，需交换支持 认证数据源 本地数据 LDAP服务器 RADIUS服务器 扩展认证方式 第三方Web认证 短信认证：大数据应用 Web认证 Page * 本地认证 短信认证 RADIUS认证 第三方Web认证 LDAP认证 用户上网 Web认证 Panabit内置性能评测工具 纯软件工具，无需特殊硬件 千兆线速 万兆线速 64-1518全字节范围测试 设计目标 评估Panabit所用硬件性能和稳定性 评估其他应用系统性能和稳定性 用途 产线测试 提供合作伙伴评估硬件和网络环境 性能测试工具-NCPBench Page * 保证设备性能是内嵌报表第一准则 报表形态 饼图 面积图 折线图 信息表 数据种类 实时流量 历史流量 分类比例 信息记录 PanaLogger 离线报表系统 报表可以是一门艺术 Page * 应用排行与用户排行 Page * 上下行流量趋势图 Page * 迅雷的流量故事 Page * 自定义报表 Page * 目录 Page * QA？ 典型案例 客户价值 点点卓越 网关乱弹 流量管理：按策略调度，分时采取不同流量控制策略，保证高峰时期关键应用畅通 增强用户感受 提高接入容量 应用分流：基于应用和目标地址结合，按时间调度，保证应用实时性，最大程度发挥带宽潜力 交互手段：DSCP、NAT 应用与目标地址相结合 Cache牵引 要素审计：实时提供用户ID等信息 特殊行业需求 骨干网流量控制、分流与要素审计 Page * 目标地址为联通的实时应用 目标地址为电信的实时应用 所有非实时及目标地址为移动的应用 一体化是大势所趋 接入：路由、地址转换 管理：防火墙、认证、流控 优化：负载均衡 审计：要素审计 接入是基本需求 适应能力是关键 管理优化是当务之急 降低出口