h3cacg1000应用控制网关产品介绍

式的互联网应用占据了流量

，越来越多的应用使用非知名端口号，导致正常的

无法通过端

来正确识别具体的应用内容。在大数据时代，企业得到用户数据后需要进行数据挖掘分析，以便针对性地进行用户管理、策略调整和信息推送，提升用户体验，让数据产生价值。ACG1000能够全面详细地识别应用并进行阻断、审计、流控等管理控制行为，同时能够提供丰富的数据日志供用户分析。引入学习完本课程，您应该能够：了解ACG1000产品价值了解ACG1000产品的原理及特点课程目标ACG1000产品概述ACG1000功能及原理ACG1000典型部署场景ACG1000典型应用案例应用识别

的应用采用知名和随机端

（阿里 使用TCP16000、80、8080和443端口，只要任一可达即可通讯）应用采取QSR

加密和干扰码技术（大量P2P

，防止报文内容识别）应用采取特征（迅雷），模拟HTTP/FTP等普通应用行为躲避识别互联网时代带宽新的互联网应用层出不穷带宽

从桌面终端转向移动终端如何还工作环境一个“清静”?传统出口设备难以精细化带宽保障Internet出口带宽上行速率：XX

M/S下行速率：XX

M/S合理的办公应用如何保障？审计、流控、内容过滤等应用需求爆发审计用户浏览 日志审计用户社区发帖日志审计用户收发邮件日志审计用户IM聊天日志......保证内网FTP100M保证内网收发邮件2M互联网P2P和 小于50M用户每IP限速5M......

对于审计的要求越来越高，要求全方位识别用户内容级别行为日志，留存超过90天教育行业等用户对于应用流控提出大量需求，包含带宽保障、带宽限制、带宽借用、每IP限速等为了 安全，各类单位和公共上网场所要求进行外发内容过滤，阻断敏感内容外发和不仅需要应用识别，识别后的一系列处理特性也是应用控制网关产品需要提供的网络ACG互联网阻断外发关键字内容阻断

敏感URL分类阻断

特定APPURL黑白名单......网络合规后的数据之痛面对大量此类日志记录，找到有用的的很难“”数据不光白白消耗空间，反而使网络管理者感到迷茫记录应用流量记录搜索

记录即时通讯记录发帖记录记录外发邮件记录社交记录虚拟

记录82审计后的数据挖掘如何通过互联网的流量

抓取到感

的信息？高价

的审计设备，收集到了海量的日志，难道只是为了合规检查？音乐、美团网等应用挖掘用户

，推送感

的信息，其他用户是否需要？网络行为管理需求多样or合理管控

制度上班时间、下班时间能否不同管理要求？高危网页

能否及时阻断？能否给 、员工定制网络行为权限？纸面管理制度如何通过技术

？H3C

ACG1000产品解决方案认证动态路由应用识别二层特性HA数据挖掘分析IPSecIPSBRAS1G500M200M30M10M2002000500020000适用带宽适用用户规模

1004Combo+16ACG10GE（4核）00-E4Combo+16GEACG1（双核）000-A2Combo+10GEACG1（双核）000-M12GE（单核）

ACG1000-SACG1000-C4Combo+3插槽(4Combo/1XFP/4XFP)（8核）H3C

ACG1000产品系列ACG1000产品概述ACG1000功能及原理ACG1000典型部署场景ACG1000典型应用案例多种接口模块千兆光、电模块万兆光模块3G/4G扩展支持外置上网卡多链路备份Bypass设备异常时业务不中断关键件冗余灵活扩展高可靠业务运行更稳定升级成本更低稳定灵活可扩展的硬件平台支撑H3C

ACG1000网关硬件架构CPU

n控制CPU

防IPSDPIDFIQoS...会话处理NAT/包转发CPU1会话处理NAT/包转发CPU2会话处理NAT/包转发CPU

n防IPSCPU1防IPSCPU2防IPS管理CPU传统架构：转发核只转发，控制核成为性能瓶颈并行多核架构：管理core(core0)处理control-plane控制core处理dplane单核设备一个core同时处理CP和DP典型的CP和DP分离架构，易于稳定扩展OS

kenerl支持SMPDP进行无锁化设计，性能随核数增长呈基本线性增长DPIDFIQoS...DPIDFIQoS...DPIDFIQoS...H3CACG1000网关CPU分配H3C

ACG1000#

show

cpu

usageName

Current

1Min

5Min

15MinAverage18171616CPU027282727CPU122202020CPU215141313CPU310877对于多核的ACG1000设备，CP和DP的分配如下CPU0只运行CP，其中CP主要跑用户交互任务，例如：

net、升级、syslog、PHP（Web界面）、Vtysh(CLI)等进程其他核均运行DP参与转发H3C

ACG1000网关内存分配Total

4096M

818.73M

3277.27M

19.99%对于ACG1000设备，内存分配如下

ACG1000-C：1G内存，CP分配512M，其余DPACG1000-S/M：2G内存，CP分配800M，其余DPACG1000-A：4G内存，CP分配1G，其余DPACG1000-E：8G内存，CP分配1G，其余DPH3C

ACG1000#

show

memoryname

total

used

free

percentControlFlow1006.18M2967.41M122.42M396.37M

609.81M39.39%10.11%100.00%299.95M122.42M2667.46M0.00MH3C

ACG1000网关内存分配对于ACG1000设备，内存分配给一些不同的模块，上述标注了一些比较常见占用较大内存的模块，

时可关注模块对内存的占用是否过高。主要关注MOD_MATCH_TREE这个模块，一般在单核设备中占用为30%-45%左右处于正常范围，在多核设备中一般占用5%-20%左右处于正常范围其他模块占用率正常情况下不会接近MOD_MATCH_TREE的占用率，一旦接近或超过则为异常，需要特殊排查和处理H3C

ACG1000#

show

dp

memory

topMemory

total:

3111550976

BytesNo

MID/Module

AllocUsingSize

FullUsingSize

Percent18/MOD_MATCH_TREE

104485224

176665984

5.68%//匹配树，应用识别匹配0.69%0.47%//审计//流检测21/MOD_AUDIT

21117349

2148380050/MOD_DFI

8837492

1469657636/MOD_CONNTRACK59456169119232

0.29%//系统会话表26/MOD_DECODE46542135952704

0.19%//应用解析15746802099328

0.07%

//泛洪49/MOD_FLOOD_ATTACK37/MOD_CONNTRACK_EXTEND1043524

15018560.05%//申请另外流表内存给其他模块使用（如防

）62/MOD_ARP_FLOOD......47/MOD_SCAN455584612480

0.02//扫描24/MOD_QOS134488266432

0.01%//流控197760263872

0.01%

//防ARPH3C

ACG1000网关转发流程图用户

发现员工办公区办公区员工区无法上网用 的电脑还是不能上网用iPad也不能上网iPad互联网可以上网不再依托IP和接入位置，真正基于用户的上网行为管理不同用户分配不同权限，即使位置和权限依然随上网设备发生变化，行支持本地Web认证、第Portal认证、扩展

认证，满足多种业务环境需求可实现多种认证方式混合使用更简单方便的有线无线终端

用户认证！全网

认证应用精准识别精

准DPI/DFI融合识别802.1Q、MPLS、QinQ等特殊封装报文解析多流关联及用户流量模型分析特征库实时升级及云端分析同步实名

管控定位到人细

致超过八百种主流应用类别识别单应用高达12种行为动作控制近60种分类URL审计过滤桌面及移动终端均可审计控制用精细化管控，促进业务效率提升可实现在只允许、正常的通信行为，但限制刷朋友圈、空间等分散工作业务注意力动作网络ACG互联网ACG更可实现同一用户在不同时间地点、

相同目标对象，给予不同的内容及行为控制，通过和IMC及第

认证服务器对接，实现以“人”为

不同维度的便捷管理在浏览、搜索、发布、邮件、文件传输等多途径控制基础上，阻断敏感内容传递和高风险行为IMC服务器业务服务器业务系统服务器文件

外发敏感内容邮件、发布非法信息指定业务系统受限文件对发到

邮件、上传

的文件进行安全过滤平衡安全和快捷，解决移动办公网络管理难题精细应用H3C

ACG1000网关应用识别和审计方法（DPI）报文内容识别报文payload中可能会含有一些固定的url、banner

信息和版本信息，通过这些内容作为特征可以进行识别，此类应用主要用于识别HTTP等payload为明文的基于TCP的协议，例如下图为Yahoo

message的报文，协议特征为“YMSG”。报文内容审计对于提交表单类报文（常见如HTTPPOST报文），很多特征是使用明文传输数据，通过在

、msgbody和URL中获取，可审计到用户名和内容，例

如下图东方 发帖的标题和内容：H3C

ACG1000网关应用识别和审计方法（DFI）应用动作识别和主动探测（以加密无固定内容的迅雷为例）如下图所示，采用以下

识别此类应用：→

根据报文的协议、大小、方向→

检测报文的首或尾固定占位符、长度信息和重复字节→

怀疑某报文为迅雷后，获取该报文的目的IP和端口，主动构造类迅雷报文发起连接，如果该IP/端口响应报文且符合迅雷响应报文特征，则识别该条会话为迅雷→

一旦

到某个IP/端口为迅雷，则在一定时间内将此IP/端口定义为迅雷处理，定时器超时后再重新识别H3C

ACG1000网关应用识别和审计方法有限自动状态机（DFA算法）识别的过程是不是一个一个匹配是不是某个应用程序？如果有n个应用的话，那么算法的时间复杂度为O(n),必须对时间复杂度进行优化为了优化匹配过程的时间复杂度，引入了有限状态自

的概念，使时间复杂度变为O(1)确定有限状态自 （deterministic

finiteautomaton；简称：DFA）是一个能实现状态转移的自

。对于一个给定的属于该自 的状态和一个属于该自 字母表Σ的字符，它都能根据事先给定的转移函数转移到下一个状态（这个状态有可能就是先前那个状态）。确定有限自

，状态机的一种，可以在对数据流一次处理中匹配所有特征，速度和特征数量无关。迅雷/迅雷看看和旋风/腾讯

应用的识别说明的“工具”，而非单独的“

”。P2P

已经发展为一类当用户开始使用P2P

进行时，P2P

一般情况下会首先尝试使用标准的P2P协议（如BT、 、KAD等）连接资源和

，此时引擎会将此种流量识别为具体协议，而非使用这种协议的应用，这是因为此类P2P协议是多种P2P软件通用的。当P2P

使用标准P2P协议

失败时，一般情况下会尝试使用标准协议进行

（标准HTTPdownload、FTP），此时引擎会将此种流量识别为正常的文件传输协议，这是因为P2P

使用标准协议 时，其行为与浏览器无异，没有大幅抢夺带宽的P2P行为；用户实际使用时，在限制P2P的情况下一般会允许正常的文件传输，如果将此部分流量识别做P2P则会影响正常业务。实际应用中，建议对整个P2P类（或P2P类+流

类）进行阻断或流控，配合HTTP文件 、FTP文件 、点对点上传 、BT等特征进行阻断。后期可能会添加“ 类”等预置模板供

，可取得较好的带宽控制效果。由于迅雷/迅雷看看均为迅雷旗下应用，两者共用了P2P

引擎的相关技术，因此迅雷在 某些特定资源时，会通过迅雷看看的资源进行获取；同样的，迅雷看看的某些特定资源也会从迅雷资源获取。因此，这两款

会出现一些误报，基于类似的原因 旋风和腾讯 也会出现一些误报。如果需要进行流控/阻断，建议将两个应用一起选择。网络流量子部门1子部门2子部门3用户XXIP组XXIP

XXW

b迅雷线路通道1

通道2通道3

通道4IP/用户

应用超过4级通道带宽嵌套，满足大型网络管理要求基于地址、用户、服务、应用、时间等新五元组

策略的上下行带宽及多优先级控制，流量管理无死角多级嵌套通道，匹配行政架构需求全局流量管控通道线路高中低基于用户、应用等元素的最小带宽策略保障不同优先级应用置于不同通道智能控制弹性限度控制，网络闲时可突破最大带宽限制，根据各通道带宽使用情况动态调整即时通讯|文件传输|升级P2P||有效提升带宽利用率最大化客户投资收益全局流量管控事后行为审计-IM聊天

日志事后行为审计-搜索引擎日志事后行为审计-日志事后行为审计-社交行为和发帖内容日志事后行为审计-其他应用审计，p2p

，

等日志NEW

ACG桥模式路由模式旁路模式混合模式静态IP、DHCP、PPPoE静态路由、动态路由、策略路由NAT、

、聚合链路IPv4/IPv6认证系统（IMC\Radius等）计费系统Portal平台平台

本地管理集中管理扩展云管理适用各种复杂场景，更符合业务需要丰富的基础网络功能ACG

1000日志分析与管理平台ACG1000日志分析与管理平台主要支持以下特性→设备管理和→设备 情况 、性能利用率 、流量趋势 、设备 升级版本和特征库集中策略下发→在集中

上配置集中的对象和策略， 下发给所有ACG产品，策略过期后支持 删除日志 收集和分析→将所有管理的ACG产品日志 上收到集中管理平台，可对所有日志进行

的搜索、查询和分析统计报表→可输出设备流量、上网行为、用户分析、应用审计等丰富的报表，可通过邮件的方式发送或保存到本地流量日志展示，通过基于用户和应用流量取向分析为网络业务发展提供参考多元素详尽日志基于用户流量分析基于应用流量分析丰富日志报表对数据信息进行 度整合，像用“搜索引擎”一样简单快捷从用户出发智能关联分析，形成“日志轨迹”，方便对网络中主体的“人”进行风险控制和业务优化网上购物事件时间交易旅行事件地址社交搜索电子邮件文件传输WhoWhen

什么人在什么时间什么地点做了什么事Where

挖掘分析其想做什么、喜欢做什么What

给出建议能做什么、怎么做HowACG1000日志分析与管理平台深度数据挖掘ISP2Switch网络ACGISP1根据地址，自动选择所属运营商，提高速度和稳定性根据不同应用和用户组选择不同的出口，将非关键应用分流到低成本链路按业务需要各行其道让最优质的链路承载最关键业务特色功能—运营商智能选路分支总部日志分析与数据中心ACGACGACGACG特色功能—极速上线①

连线将连接广域网的网线接入设备WAN接口将PC机连设备LAN接口②

配 址信息打开浏览器输入任意填入PPPoE账号自动弹出配置页面（分配的IP地址）和集中 服务器地址③

完成配置集中 将配置自动下发到设备端设备配置完成正常运行到场，大幅节约总分型客无需专业户部署成本网络就绪时间更短，业务开展更快认证第平台终端互联网

“扫一扫”

关注商家订阅号

点击

上网ACG简化终端客户上网摆脱繁琐用户名、

验证更优的用户体验助力商家无需大量费用投入吸引关注客户上网即自然成为精准推广目标上网合规满足

82

要求无线访客上网安全可控规避商家自身风险OpenID/

ID特色功能—

认证网络互联网第一次

某应用ACG其他人再次此应用自定义的应用下发页面自定义的加速业务应用快速结合

请求智能分析和缓存加速技术，消除网络出口

瓶颈自定义应用下发页面及方便，外部客户体验更佳，也便于推广节约网络出口带宽业务应用部署更快特色功能—应用快速下发ACG1000产品概述ACG1000功能及原理ACG1000典型部署场景ACG1000典型应用案例背景：中小企业网络少，受限于资金投入等因素，出口带宽相对较小，在上网应用日趋复杂r的情况下，有限带宽在使用上争抢严重，也影响了企业正常业务开展设备支持PPPoE、静态IP、光纤等多种接入三层部署，支持NAT、防火墙、出口选路等网络关键业务带宽保障，限制P2P、线视频、等带宽针对、邮件、社区、

等网络应用进行审计和控制根据业务需要开启

认证

功能网络ACG1000互联网价值：兼容多种网络接入：支持光口、电口接入，ADSL、静态IP、DHCP、等多种接入方式，方便部署和后续网络扩展升级关键务保障：精准应用控制和弹性带宽管理充分保障有限带宽得到充分合理利用，关键业务不受影响82

要求，结合认证和应用管控方案，防止企业安全合规：满足内关键资料助力业务发展：认证

方案帮助企业拓展潜在客户，助力业务发展中小企业网络出口典型部署背景：大型园区网，一般均有多个Internet出口、内网已有认证系统，庞大的网络势必充斥着异常复杂的流量，出口流量拥挤现象屡次发生。优势：易部署：业务接口业内最多，利于支持多路出口

，未来易扩容；透明部署、不影响网络拓扑基于“人”的流量管理：支持与标准Radius/LDAP、IMC

EIA组件等联动，避免动态IP地址难以定位用户的问题高性能、高可靠性在管理区部署日志分析与管理平台，实现对应用流量的ACG1000日志分析服务器某企业园区网在

下行

透明部署

ACG设备，实现对网络、业务、用户/服务器的流量控制联动认证日志收集丰富报表EIA/Radius/AAA认证服务器大型园区网出口典型部署背景：一个总部，多个区域网络的广域网结构，或国家-省-地市的分级网络结构。部署分散，管理难度大。分支单位通过专线或

连接总部，需要

针对网络流量和设备进行可视化管理和数据分析价值：快速部署：极速上线功能大幅降低分支机构设备部署难度，同时兼容多种组网环境，适应性更强，业务上线更快。关键业务保障：多级流控策略满足大型网络分级管理需要；精准应用控制和弹性带宽管理充分保障分支和总部间关键业务的有效带宽业务可视化：

全网上网行为及流量并进行日志分析挖掘，为优化业务提供参考。总部分支机构小型分支机构中型分支机构ACG1000日志本地EIA/Radius/AAA认证服务器日志分析管理服务器联动认证集中管理日志收集丰富报表ACG1000网关部署日志本地ACG1000二层串接部署日志本地专线网络/

组网实现全网的可视化流量监管及日志分析，针对全网ACG1000设备下发策略和系统升级广域网全网典型部署背景：教育城域网中多个高职、中小学等汇聚，采用

互联网、Cer

net等多个出口，流量异常高且复杂城域网出口通过SecBlade

ACG实现全局流量控制教育局内网小学/中学/职中ACG1000实名制认证服务器日志分析管理服务器联动认证集中管理日志收集丰富报表ACG1000网关部署日志本地小型教育单位以三层网关部署，实现

出口功能ACG1000二层串接部署日志本地存储教育专线电信移动SecBlade

ACG优势：易部署：全网极速上线，部署工作量小，出错几率小高性价比：全网梯次选型部署中，小型教育机构实现高性价比集中管理：支持对分布式ACG设备的集中管理，支持管理平台的分布式部署、分权分域管理，审计日志本地的同时上送

审计教育城域网典型部署实名制认证服务器管理服务器认证集中管理门店1门店2门店3....门店N总部网络ACG1000旁挂部署互联背景：门店连锁型企业往往着门店上报财务数据、库存数据问题，门店办公的权限控制、门店为顾客提供的无线网络

、合规也在近期成为新的问题优势：集成：免费

功能，实现全网拉通数据上报：结合

认证系统，可实现到店用户的推广，实现移动集中管理：支持对分布式ACG设备的