运营商FTTx+LAN面向业务的网络管理整体解决方案

1、网络资源安全管理解决方案运营商fttx+lan面向业务的网络管理整体解决方案网鼎芯睿科技有限公司2011年10月目录一、背景3二、面临的问题4三、greatytec technology能够帮助解决哪些问题？53.1网络流量的分析53.2p2p流量控制64.2基于策略的流量管理74.3用户的认证、授权84.4基于用户和ip的流量管理和审计94.5强大的reporter日志软件11四、部署方式17五、greaty technology解决方案的优点18一、背景随着社会信息需求的日益增长，对接入带宽的要求越来越高，传统的金属线接入方式只能在一定程度上满足接入要求，却不能适应带宽更宽的业务。fttx

2、可以提供适合任意需求的接入带宽。对电信运营商来说，只有在宽带接入的支持下，才可能向用户提供各种宽带增值业务，提高网络运行效益。对用户而言，可以得到所需要的服务，尤其是企业、团体用户，可以在宽带接入的支持下，加快信息化建设的步伐，使企业得到更快发展。我国电信运营商从2007 年底开始的“光进铜退”战略，使我国光纤宽带接入fttx 得到快速的发展，三网融合、智慧城市、移动互联网等新兴业务的开展，对于带宽、应用、网络运维均提出了更高要求，推动了fttx发展但是，由于fttx缺乏有效的管理和运营手段，面临着诸如安全、qos等方面的问题，特别是无法有效支持实时业务成为限制其发展的最大障碍。驱使人们不停地

3、寻找符合电信网络要求的新一代ip产品：既具有传统ip网络的灵活性和便利性，又具有电信级安全的可靠性、多业务承载能力和部署能力。这就使得网络从单纯的公众数据网演变为承载实时语音、视频和数据在内的多业务运营级承载网络。二、面临的问题目前fttx宽带接入迫切需要一个高安全、高可靠、便于管理和高效运营的承载网络，采用ip网的核心技术（分组交换、不面向连接），结合电信网的设计理念，建立一个更大、更快、更安全、更灵活、可信度更高的可管理网络，为营运商提供一个可以达到电信网服务质量保证的ip网，以建立可赢利的商业模型。要实现电信级运营，其性能和对业务质量的保障显得越来越重要。ip网络承载着多种业务，包括ht

4、tp，mail，vod，ftp，iptv，voip，ppstream等多种传统业务和新型业务，这些业务越来越多地对网络的承载性能提出更为苛刻的要求。例如voip语音通话业务，其对时延、时延抖动以及丢包要求较高，通话质量和语音的连续性都会因其受到极大影响，使得业务的运营受到很大的限制和挑战。另外，如目前iptv业务正在如火如荼地开展中，用户的感知、图像的质量是用户和业务运营商最为关心的内容，而承载网络是保障这些的基础，承载的性能好坏，直接影响着iptv业务的开展和运营商的经营状况。另外p2p技术的相关应用充分利用了分布在网络边缘节点的处理能力和带宽，提高了吞吐量，同时也增加了电信网络负荷。p2p

5、应用占用了大量的网络资源，对ip城域网和骨干网产生强有力的冲击，并导致网络拥塞、性能下降，影响到其他网络应用的使用。按照cachelogic公司的调查，2006年有近70的带宽被p2p通信占据。对中国运营商的调查进一步证实了上述统计数据。国内p2p应用占用了电信运营商城域网50 70的流量，占用骨干网5080的流量。因此，业务的发展不断给网络提出更多的挑战，流量的增大致使网络负荷加重，网络反应慢、扩容投资不断增长，网络规划和网络质量管理缺乏可靠的依据和手段；评测现有网络性能对新业务的支撑情况也属空白。总之，基于服务质量的增值运营难于开展，网络承载性能状况和对实时业务的支撑情况迫切需求在不影响业

6、务运营的情况下进行测评、分析、管理。三、greatytec technology能够帮助解决哪些问题？ 针对fttx宽带接入大规模网络的流量监控和管理，greatytec technology提供了完善的流量管理解决方案。它融合了强大p2p/im 流量和会话管理控制，业务数据流带宽优化，动态qos调度，多链路负载均衡和，网络流量过滤和监控统计等多种技术。其中，高性能的网络芯片可线速处理网络数据流的应用层分析和过滤,策略路由和均衡计算,以及策略（policy）搜索和会话（session）状 态管理，还包括流量控制和统计等功能。帮助电信更有效、可靠地管理优化网络流量，提供优质的服务保障。3.1 网

7、络流量的分析基于 dpi（deep packet inspect，深度包检测） 技术为核心，结合基于报文内容及基于行为特征的技术，实现网络中应用的自动识别和智能分类。可以探测和跟踪动态端口分配，通过比对协议的特征库，能够识别变动端口的流量，并能够对使用同一端口的不同协议进行自动识识别3.2 p2p流量控制为了帮电信客户应对日益严重的p2p带来的问题，需要提供完备的p2p的管理功能： p2p全局、组、用户等的限制与允许。 p2p全局、组、用户等的带宽控制。 p2p完善的流量统计。 p2p全局、组、用户等的日志记录。 p2p的日志信息在事件日志中查询。 p2p的流量信息可以在traffic log

8、中查询。另外greaty technology产品还可以针对一些特殊的网络应用进行识别和管理: rtsp (real time streaming protoco)，mms (multimedia messnfeing service),以及flash get等进行识别和控制。 greaty technology产品对p2p可以采用组合管理控制的方式，可以制定策略进行每个用户数据带宽监控，每个用户会话数控制，以及应用层的识别控制。除了对p2p数据流进行有效控制外，违反策略的用户还将直接进入黑名单，管理员可以迅速发现p2p的使用者，提高网络的有效利用率，降低安全风险。由于p2p软件的广泛应用，当

9、今网络上流行的多媒体业务和流媒体软件也都采用了这个p2p的形式，这些流量因为是实时的而且要求的带宽更高，所以比p2p更加抢占和滥用网络的有效带宽，根据这种网络应用需求，需要可以专门设定了针对p2p-tv等p2p流媒体的管理和控制。识别和控制的流媒体的类型应该包括：pplive、qqlive、ppstream等。4.2 基于策略的流量管理通过greaty technology产品，基于策略的配置,可以实现基于各种服务业务的带宽和服务优先级的控制, 可以根据每种网络应用服务的不同,制定不同的流量管理策略。可以直接针对用户和用户组进行安全策略定制，这样可以非常直观地进行基于用户的安全管理和访问控制。

10、例如：我们可以定制从用户a到用户b之间不可以进行ping服务，而从用户b到用户a可以进行ping服务，但是带宽只能是100k。可以任意定制不同类型的用户组，而且每个用户拥有他们自己独立的认证，授权，计费和安全策略。在网络流量管理的时候还可以采用群组带宽管理策略，这样可以使一个组内的所有用户都受到一个总带宽的限制，然后每个用户又可以在此基础上进行各自带宽的限制。4.3 用户的认证、授权 greaty technology产品可以通过本地或第三方用户认证和授权系统，对用户使用网络的合法性进行安全地身份认证，支持多种认证方式，包括web认证、802.1x的认证、第三方的radius服务器认证和第三方

11、ldap服务器认证等方式，并通过授权用户的角色决定其访问网络的权限，网络服务质量，策略路由等属性；用户的身份认证的同时也可以对用户做绑定检查，对用户的主机名，ip地址，mac地址，vlan id，接入的虚拟端口号，接入的物理端口号的各种组合进行严格检查；greaty technology产品可以不只是在认证的时刻才对用户进行绑定检查，而是在用户访问网络的整个过程中，发出的和接收的每一个报文都做绑定检查，在结合会话状态检测功能后，可以完全杜绝在整个认证和访问过程中任何非法仿冒用户的行为。另外greaty technology产品中可以设置静态用户，该种用户不需要进行认证，而是直接可以访问网络资源

12、，在所有访问过程中都会进行严格的终端绑定检查，以保证用户的合法性。greaty technology产品支持自动绑定功能和用户自动学习功能，这样可以减少管理员手工配置用户的工作量。4.4 基于用户和ip的流量管理和审计greaty technology产品提供强大的用户信息统计，不仅是对认证和静态用户统计，还可以对不需要认证的用户进行统计，这就需要配置想要统计的用户的 ip 地址范围。同时可以限制用户的带宽和连接数，也可以为这些用户绑定黑名单功能。这样也可以控制不需要认证的用户对网络的访问情况。在greaty technology产品中可以定制以下的基于用户或者ip流量管理策略: 上行带宽 下

13、行带宽 可以实现基于用户群组的带宽管理 网络服务优先级 作为源的连接数 作为目的的连接数 基于黑名单管理的单位时间内最大流量 基于黑名单的超出流量的惩罚机制因为当今网络中存在多种用户，有些用户可能会使用多线程下载工具或者p2p(如bt, emule)等软件长时间占用带宽，造成网络资源的恶意占用，影响其他用户和业务的正常使用。所以我们在定制用户管理策略的时候，会预先定制不同的qos:包括用户的上行带宽，下行带宽，优先级, 会话连接数目等。一旦用户接入网络并通过认证，这时用户就会自动获得这一系列的服务质量属性。如下图所示:greaty technology产品能够支持基于用户突发流量,突发会话连接

14、和一定时期内总流量的自动黑名单管理,一旦发现用户的统计信息超出正常水平,那么自动把用户加入黑名单, 进行惩罚, 并产生告警和日志。对于用户流量黑名单的管理greaty technology产品提供以下几种方式: 基于用户流量的黑名单惩罚机制，如果发现在一段时间内用户的流量速率超过授权值，那么就对用户进行黑名单惩罚。 基于用户日，月，季度和年总流量的黑名单惩罚机制, 如果发现在日，月，季度或者年内用户的总流量超过授权值，那么就对用户进行黑名单惩罚。同时用户还可以查询详细用户或者ip流量信息包括一整年(1月12月)、每个季度、每个月和每天的流量统计信息。4.5 强大的reporter日志软件nfe

15、设备本地具备system log 的功能,同时nfe 还提供自己的一个report server软件, 通过这个report server 可以更加人性化的分析流量和数据,并生成相关报表.nce reporter日志服务器可以很方便的查看当前的网络中使用的各个端口的流量，总流量，以及cpu利用率，内存利用率，当前会话数，各个协议所占的带宽，流量统计等等。流量统计报告流量的统计（注：以下所有图示均是我们在过去的案例中获取的参考图）下图是针对ip总流量的排名状态表：通过上表可以清楚地查看到每个地址的总流量，带宽，接收速率，会话数等。同时还可以看到ip地址中的总流量，上行，下行，会话数等的排名。不同

16、区域的流量统计为了详细统计不同区域的流量，通过reporter可以详细的进行查询和统计。如下图：如下图，是从信任到非信任的地址流量统计分析表：基于端口的统计分析由下图可见，acereporter可以纯粹根据tcp/udp的目的或者源端口号对各种协议会话流量进行分析得出分析报告。从上图中，可以查看tcp/udp端口的总流量，上行流量，下行流量等。从而为网络管理提供详细的数据，详细了解网络资源的利用状况。基于服务的统计和分析为了详细了解网络中都有什么网络行为，我们可以通过reporter软件来进行详细的统计和查看。如下图，可以进行排名，并且以饼图的方式提供详细的报表分析。从以上饼图中可以详细分析网

17、络的使用情况。可以看出bt,http等在网络中占用网络资源比较大。从而对网络管理提供准确的数据分析。日志记录和审计系统日志通过nfe产品我们可以查看系统的会话日志，事件日志等，从而为了解网络中的异常现象和异常流量的分析提供准确而丰富的数据。应用日志通过reporter软件可以查询上网用户对网站等的访问记录等，并且可以查看是哪台计算机通过哪个地址转换出去等记录。如下图：四、 部署方式greaty technology产品部署方式灵活多样，能够快速部署在网络中，实现全网的流量监测和分析，适用于电信骨干网、城域网以及大型企业网等大规模网络。1、网络环境说明一般来说，宽带网络为多层网络架构，一般分为三

18、层：核心层、汇聚层、接入层。核心层负责业务交换处理、业务疏通、上连其它骨干网或互联网；汇聚层是骨干网的延伸，负责区域内各接入点的多种业务汇聚，是接入层各种接入方式的终结点；接入层负责综合的接入，通过各种接入手段把业务汇集到汇接层。核心层和汇聚层主要考虑网络结构和技术体制方面的内容；接入层主要考虑业务的拓展需要和运营商的战略需要，同时兼顾整体布局上的均衡。作为大规模网络的网络管理员，更多关注全网的安全运行，而不是个别用户设备的安全问题。2、网络部署设计在大规模网络部署时，greaty technology产品用于监控全网流量的整体状况。在电信网络的接入各节点部署，在各节点把greaty technology产品部署在大楼或者小区接入设备与下联交换机之间。 五、 greaty technology