隨著互聯網的的高速發展���,信息交流和共享變得觸手可及��。自由暢通的網絡極大地改變了人們獲得信息和交流信息的習慣,給我們的工作���、學習和生活等各個方面帶來了高效和便捷。
如同生活中可能出現交通堵塞一樣���,網絡世界中也會存在著類似的“擁堵”。下面這些場景����,您是否感到似曾相識呢?
這就是流量(帶寬)問題給我們帶來的困擾���。隨著互聯網用戶數量和網絡應用種類的激增,互聯網上流量的管理正變得越來越迫切。
根據谷歌公司(Google)的統計,如今網絡上的網址數量已超過1萬億����;ヂ摼W網站和網址的高速攀升意味著互聯網提供的信息和內容在不斷豐富�。
同時��,中國互聯網絡信息中心在2009年1月發布的《中國互聯網絡發展狀況統計報告》也顯示��,截至2008年12月31日,中國網民規模達到2.98億人,普及率達到22.6%��,超過全球平均水平;網民規模較2007年增長8800萬人��,年增長率為41.9%�。在網絡娛樂類應用用戶的對比中��,我們可以看到網絡娛樂類應用用戶無論從用戶數量還是增長率都在顯著提高��。
2007-2008年網絡娛樂類應用用戶對比
2007年底2008年底變化
使用率網民規模
(萬人)使用率網民規模
(萬人)增長量
(萬人)增長率
網絡游戲59.3%12,50062.8%18,7006,20049.6%
網絡音樂86.6%18,20083.7%24,9006,70036.8%
網絡視頻76.9%16,10067.7%20,2004,10025.5%
數據來源: CNNIC 2009年1月發布的《中國互聯網絡發展狀況統計報告》
此外��,Yankee Group 在2007年的研究報告表明:目前P2P流量占據了互聯網流量的60%;作為P2P協議的代表者,BT下載消耗的網絡資源高達40%;同時��,在下載流量中���,下載量居前5%的用戶占用了50%的網絡帶寬����。
由此不難看出,一方面��,互聯網提供的信息和內容在逐年豐富和顯著增加;另一方面�����,互聯網的使用者和互聯網應用也在高速增長。怎樣保證不同人群的不同的互聯網應用,以及如何解決少數的用戶產生了大量的網絡流量��,導致大多數用戶的非敏感應用的業務性能降低����,這是擺在運營商、ISP以及企業CIO面前的兩個頭痛的問題����。對互聯網和企業內部進行流量管理����,已經成為當下迫在眉睫的事情�。
我們知道,傳統的流量和帶寬管理是基于OSI L2-L4層�,通過IP包頭的五元組(包括源地址����、目的地址�、源端口、目的端口以及協議類型)信息進行分析,通常我們稱此為“普通報文檢測”���。“普通報文檢測”僅分析IP包的4層以下的內容,通過端口號來識別應用類型����。而當前網絡上的一些應用會采用隱藏或假冒端口號的方式躲避檢測和監管���,造成仿冒合法報文的數據流侵蝕著網絡(例如P2P下載軟件大多采用動態協商端口機制)����,此時采用L2-L4層的傳統檢測方法就無能為力了�����。
為了識別諸如基于開放端口、隨機端口甚至采用加密方式等進行傳輸的應用類型�����,DPI���、DFI技術應運而生�。DPI全稱為“Deep Packet Inspection”,稱為“深度包檢測”����。DPI技術在分析包頭的基礎上��,增加了對應用層的分析,是一種基于應用層的流量檢測和控制技術��。當IP數據包�����、TCP或UDP數據流經過基于DPI技術的流量管理系統時��,該系統通過深入讀取IP包載荷的內容來對OSI 7層協議中的應用層信息進行重組,從而得到整個應用程序的內容����,然后按照系統定義的管理策略對流量進行整形操作����。
針對不同的協議類型,DPI識別技術可劃分為以下三類:
(1) 基于“特征字”的識別技術:不同的應用通常依賴于不同的協議�����,而不同的協議都有其特殊的“指紋”��,這些“指紋”可能是特定的端口、特定的字符串或者特定的bit 序列��。
(2) 應用層網關識別技術:某些業務的控制流和業務流是分離的���,業務流沒有任何特征�。應用層網關需要先識別出控制流,并根據控制流的協議通過特定的應用層網關對其進行解析�,從協議內容中識別出相應的業務流�。
(3) 行為模式識別技術:行為模式識別技術基于對終端已經實施的行為進行分析����,判斷出用戶正在進行的動作或者即將實施的動作。
DFI(Deep/Dynamic Flow Inspection��,深度/動態流檢測)與DPI進行應用層的載荷匹配不同����,采用的是一種基于流量行為的應用識別技術,即不同的應用類型體現在會話連接或數據流上的狀態各有不同�。
圖一:DPI與DFI技術
由于DPI技術與DFI技術實現機制不同�,故它們在實現效果上各有優點�,表現在如下幾個方面:
(1) DFI處理速度相對快:采用DPI技術由于要逐包進行拆包操作,并與后臺數據庫進行匹配對比;采用DFI技術進行流量分析僅需將流量特征與后臺流量模型比較即可���。
(2) DFI維護成本相對較低:基于DPI技術的帶寬管理系統,總是滯后新應用����,需要緊跟新協議和新型應用的產生而不斷升級后臺應用數據庫����,否則就不能有效識別�����、管理新技術下的帶寬�����,提高模式匹配效率;而基于DFI技術的系統在管理維護上的工作量要少于DPI系統�,因為同一類型的新應用與舊應用的流量特征不會出現大的變化,因此不需要頻繁升級流量行為模型�。
(3) 識別準確率方面各有千秋:由于DPI采用逐包分析���、模式匹配技術�����,因此,可以對流量中的具體應用類型和協議做到比較準確的識別;而DFI僅對流量行為分析,因此只能對應用類型進行籠統分類���,如對滿足P2P流量模型的應用統一識別為P2P流量。如果數據包是經過加密傳輸的,則采用DPI方式的流控技術則不能識別其具體應用�����,而DFI方式的流控技術則不受影響���,因為應用流的狀態行為特征不會因加密而根本改變�。
在網絡帶寬資源日益寶貴的今天,那些諸如P2P下載的應用正在迅速吞噬企業有限的帶寬資源,少數的不良應用消耗著大部分的網絡帶寬����,導致企業辦公效率急劇下降��。為了幫助企業解決日益嚴峻的帶寬危機,北京網康科技有限公司推出了智能流量管理系統(Intelligent Traffic Manager,簡稱網康NS-ITM)�。
網康NS-ITM產品是一款專業的L7應用層流量管理產品��,適用于大中型企業����、校園網��、城域網等流量大、應用復雜的網絡化境;通過監控網絡流量��,分析流量行為�,設置流控策略,分時段�、按用戶�、按應用實現流量控制和帶寬保障��,幫助企業減少帶寬濫用��,優化帶寬資源,降低運營成本,保障工作效率��,降低安全風險�����,全面提升帶寬利用價值��。
圖二:網康NS-ITM
圖三:網康NS-ITM的價值
據悉,網康NS-ITM產品融合了DPI和DFI兩種技術,有如下四個顯著特點:
(1) 精確而廣泛的應用識別能力
對應用的識別是進行流量控制的基礎,網康NS-ITM應用識別庫能覆蓋各種主流應用,特別是結合國內網絡應用的實際情況,提供對迅雷、QQ等本土應用的識別����。另外�����,網康NS-ITM能夠對諸如QQ這種具有及時消息、文件傳輸�����、音頻視頻����、游戲等多種子協議的網絡應用,提供精細化的子應用識別��。
圖四:網康NS-ITM應用界面截圖1
(2) 優異的產品性能及安全性保障
網康NS-ITM對用戶網絡中的所有流量進行處理��,能夠承受巨大的流量壓力,特別是在配置復雜策略情況下�,不會造成設備性能的下降�����。另外,網康ITM是以串接方式接入用戶網絡�,具有良好的安全性���,在設備出現運行斷電或異常情況時�,能夠保障用戶業務的暢通��。
(3) 強大的控制能力
網康NS-ITM能夠根據用戶的實際需求�,提供強大而完善的控制手段�����。通過不同時間段�����、不同用戶、不同網絡應用����、不同控制動作等條件,實現不同情景下的策略配置�����。我們知道任何網絡流量的使用都和人的因素密不可分,網康ITM能夠對用戶進行靈活的分類管理����,從而使控制策略更加符合實際需要。
(4) 清晰而全面的信息查詢
網康NS-ITM產品不僅能實現對網絡流量的控制,而且能幫助網絡管理者對異常問題進行定位,以及通過網絡應用現狀的分析實現對網絡的優化。網康ITM產品可通過柱狀圖���、餅狀圖�、走勢圖等圖表�,以及從不同的分析角度,可向用戶提供清晰而全面的實時信息查詢����、歷史日志查詢��、以及自動生成報表等功能。
圖五:網康NS-ITM應用界面截圖2
圖六:網康NS-ITM應用界面截圖3
綜上所述��,網康NS-ITM是一檔面向企業級用戶(企事業單位���、學校�、政府、小型運營商)的��、專業的流量管理產品����,通過實時監控、帶寬保障�、帶寬限制����、流量限額�����、應用封堵等策略�,真正幫助企業做到對任何用戶�����、任何時間、任何應用的流量進行全方位的管理,為徹底化解企業的帶寬危機提供強有力的保障。
圖七:網康NS-ITM的部署方式
