应用层流量整形.doc

DCFS-500/1000/2000/8000 随着新网络应用的不断出现，传统的网络设备已经不能满足对各种网络应用的管理。例如：如何通过流量分析方法发现网络不稳定的原因和网络安全、稳定问题，如何让网络在某时间段内BT下载的流量小些，以保证http、ERP、VoIP、oracle数据库的流量大些？如何在运营网络上限制非法的VoIP以保证运营商的利益？如何解决网络多出口链路情况下的流量自动负载均衡问题？ 　　神州数码针对诸如此类的用户需求，适时推出了基于各处应用的流量整形网关 DCFS-1000/2000/8000(V2)，提供网络的应用层流量整形和多出口链路负载均衡功能。 应用层流量整形与多出口链路负载均衡的功能，可通过相互更换软件实现。 主要特性： DCFS系列流量整形网关具有以下特性： ? 精确识别各种应用，识别率高 系统可以根据二到七层对流量分类，支持行为识别技术，可以识别加密的、无特征的P2P协议以及其他协议，识别准确率在85%以上； ? 流量分类方式灵活 可以基于应用、端口、时间、地址或地址组、VLAN、方向、IP属性、TCP属性、UDP属性进行流量分类；并且可以随意组合；流量分类策略可以基于应用、地址组、时间等因素制定，支持混合策略； ? TCP速率控制技术 ? 支持支持多级带宽分配策略，能够满足复杂应用需求 ? 支持动态带宽分配 可以限制每个用户以及地址组的带宽，并且可以精细的限制每个用户某种服务/应用协议的带宽，支持动态带宽分配技术，可以根据当前出口带宽的拥塞状态动态的分配用户的带宽，提高带宽使用效率和合理性； 支持HTTP协议的分类，能够深入分析HTTP协议 能根据URL、站点、MIME、浏览器以及下载将HTTP协议细分，根据细分的对象定义带宽管理策略； ? 支持分区策略 支持1024条以上的分区策略，可以根据每个分区单独统计分区的协议流量状况以及分区的会话数、主机数等等； 支持安全告警和会话阻断 可以对超过域值的可疑会话进行告警，可以对超过域值的半开链接进行告警；可对超限会话进行阻断； ? 支持光/电bypass保护技术 ? 支持协议的特征库升级 ? 支持实时流量统计 支持实时流量图表、应用分析图表、分区流量统计、双向流量应用分析图表、主机流量监控、用户会话监控、用户会话查询等多种监控手段； ? 支持实时查看TOP N用户、应用 可以根据流量、协议对内网的IP地址以及访问外网的IP地址进行排名，使网络管理员可以更清楚的了解本网用户的使用情况及访问热点 ? 支持流量、性能和告警日志 设备本身带有实时的流量管理和系统性能日志，另外，支持外挂的日志管理软件，日志软件对网络应用、网络流量、系统资源和网络带宽使用状况进行统计和分析； ? 支持用户访问记录 可以将接入用户上网的访问会话记录（安全日志）实时传送给外部的日志服务器，日志服务器将安全日志存储、压缩，安全日志支持搜索功能，为运营网络管理者追溯安全事故提供依据； ? 支持日志导出 日志数据支持导出，可以导出为Excel的csv数据格式； 支持报表功能 支持扩展功能：如计费、负载均衡等 组网部署方案： 园区网/局域网的部署方案 主要解决园区网/局域网内部用户访问外网的应用层流量控制。可干路组网、也可旁路方式组网。但推荐采用效果最好的干路方式。 如果只做应用层流量整形，一般将DCFS设备做为二层桥模式接在核心交换机与出口设备（例如：防火墙、路由器）之间。 如果即做应和层流量整形，又做出品多链路负载均衡功能，就相当代替了出口设备功能，需要直接连到外网出口线路上。支持NAT、端口过滤等功能。 行业纵向网/广域网的部署方案 主要解决行业纵向网/广域网上的关键应用业务的流量问题，例如：保证行业纵向网内的视频会议系统的质量、防止图像马赛克，防止VoIP音质抖动，保证远程访问SAP/数据库的通畅等，也用于分析行业纵向网/广域网的应用层流量。 一般部署在总部与各个分支机构的链路上。 成功案例： 　　成功案例所做方案介绍――武汉科技大学中南分校。 　　武汉科技大学中南分校共有学生18000多人，并发上网人数稳定在30%左右，即并发人数经常在5000人以上，总出口带宽200M，经常有学生挂在网上做BT、讯雷、 EDonkey、哇嘎等P2P下载，这些应用占用了大部分出口带宽，导致网络上大多数人无法访问http、教育网资源等，炒股软件也时断时续。后来该学校在核心交换机与出口网关之间部署了一台DCFS-8000，并配置如下网络应用的控制策略： 在每天上午8:00-晚上23:00之间，将全校所有P2P下载类应用的总带宽限制在30M之内。 同时当网络流量过大时，将每个学生所有应用的带宽限制在512K之内。 保证http、VoIP等重要业务的带宽不低于100