流量控制

流量管理产品主要功能对比： 功能 深信服BM H3C流量管理产品 锐捷流量管理产品 识别率 智能P2P流量识别，可管理已知和未知的P2P应用 只能识别已知的P2P应用，有识别风险 只能识别已知的P2P应，有识别风险 精确的流量管理 可以设置2048管理通道，做到对用户/用户组，IP/IP组、应用类型、时间等流控。 管理策略设置较复杂，不能精细管理。 流量管理功能模块简单，无法做到细致管理。 流量监控报 实时查看和导出各种流量报表；方便管理员监控，为流量管理决策提供依据。 报表不够细致。 不能识别未知P2P等流量，导致盲点。 产品形态 专业的流量管理产品，提供专业的流量管理解决。 功能模块，功能/性能受到影响 附带的功能模块，不专业 深信服流量管理产品优势 1、最丰富的流量管理手段 ◆可基于用户/用户组、IP/IP组、应用类型/网站类型/文件类型、时间段等进行流量控制； ◆支持按照物理线路—〉虚拟线路—〉虚拟通道—〉用户通道的多级流量分类与带宽分配； ◆支持基于外网IP的流量管理策略； 2、强大的用户管理系统 ◆基于用户身份的流量管理功能，使得用户与流量管理策略完美绑定，为动态IP环境下基于用户名的流量管理提供了有效的解决方案； ◆支持与第三方用户管理服务器（ LADP、RADIUS 、POP3、PROXY）无缝结合管理； 3、实时的流量监控与报表统计 ◆支持实时流量、会话数监控、异常流量冻结，流量应用排名、用户带宽使用情况显示； ◆支持基于用户/用户组、IP/IP组、网络应用的流量统计及趋势分析； ◆提供丰富、多样化的报表系统，包括统计报表、趋势报表、对比报表、历史报表，支持用户自定义报表，同时支持报表的绘图与导出； 由于带宽滥用，流量泛滥主要给组织单位带来如下威胁： 1. 联网速度慢。 2. 关键应用、关键用户受影响。 无论互联网出口带宽资源，还是组织内部的运营商专线，当有限的带宽资源遭受P2P等带宽杀手应用的抢占后，留给领导等关键用户、ERP等关键应用的带宽资源自然变少。 很多组织对外提供WWW主页网站、电子商务网站等以供互联网公众用户访问，而且通常此类服务器所需的互联网带宽与内网用户的上网共享同一条物理带宽，这就导致内网用户的上网流量极易抢占以上服务器所需的带宽资源，进而导致互联网公众用户访问组织主页、电子商务网站非常缓慢，甚至很多用户将不再访问。 另外不少组织机构基于互联网构建了从总部到分支的VPN链接，同样遇到了上网流量抢占VPN带宽需求的问题。 而组织内网专线上传输巨额部署的视频会议、VOIP等核心应用时，此类应用对带宽、延时、转发效率有更高的要求，此时缺乏流量管理方案将使得此类应用效果难以保证。 3. 网络部门绩效受影响。 网络部门是网络建设、维护的主要负责方，一旦网速慢、网络出现问题用户首先会向网络部门求助；当业务系统缓慢、且系统部排除了应用系统本身原因后，网络部门也成了最后的责任人；由此可见网络部门责任之重。 但网络部门通常却遭受误解。当网速快、网络流畅时往往用户并未想到这是网络部门工作的结果。而一旦网速慢、网络故障，用户第一时间即会推断这是网络部门工作不足导致的。从而导致网络部门绩效往往难以得到良好体现。 在遇到P2P等应用抢占带宽，导致网速慢、专线带宽占用居高不下的问题时，来自用户的持续的抱怨，着实让不少网络部门为之头痛。 4. 带宽扩容成本被浪费。 在缺乏对网络和流量清晰了解前，有的组织单位已经投入很多资金用于扩容带宽，包括扩容互联网出口带宽和运营商专线带宽。但他们很快发现带宽又不足，是否要再次投资扩容带宽这个问题成为网络部门主管与组织单位领导争议的焦点问题之一。 显然通过对网络和流量的详细掌握，通过专业流量管理设备实现带宽的合理划分与分配能够很大程度上解决网速慢、系统慢的问题，降低成本，提升用户满意度，同时改善网络部门的绩效评价。 那么如何选择一款合适的流量管理设备？或者说选择流量管理设备应该考虑哪些因素？ 流量管理产品的主要挑战 纷繁复杂、快速发展的互联网给流量管理产品提出了诸多挑战，而能否有效应对这些挑战也就成为各产品的核心所在，也是用户选择专业流量管理产品时必然要考虑的。 1. 网络应用种类繁多，如何有效识别？ 下载、看电影、炒股、网游、聊天等各种互联网应用软件层出不穷；Lotus Notes、用友NC、金蝶EAS、华为视频会议、中兴VOIP系统等组织业务应用系统充斥着企业内部网络的各个角落。面对如此众多种类的网络应用软件，如果不能识别，如何实现流量限制、带宽保障？显然识别是流控的基础。 路由器、交换机等只要识别IP、端口即可，所以无论国内、海外厂商的路由交换设备，国内用户都是用良好。但显然在识别国内用户所使用的互联网应用协议、以及国内厂商生产的应用系统时，国外流量管理产品具有先天不足。一方面是由于国外流控产品对中国市场的不重视，二来国外流控厂商很难在短期内实现对国内丰富网络应用的有效识别，从而导致几乎所有国外流控产品都遇到“水土不服”的问题。选择国内厂商的流控产品会更有保障。 2. P2P种类多、版本杂、更新快，如何应对？ 迅雷、BT、QQLive、PPStream等P2P工具对带宽的吞噬能力有目共睹，流量管理能否成功有效的最大因素取决于是否能对P2P的有效管理。所有大部分流量管理产品都内置了对常见P2P应用的识别规则。 但P2P软件也在不断发展，互联网上P2P软件种类不下百种，而且还在不断增加中，同时几乎每天都有新版本、变种版本出现，如何应对P2P软件种类多、版本杂、更新快的挑战？ 显然依赖于对某P2P软件采用“深度包检测DPI”手段很难将所有种类、所有版本一一进行DPI分析，这就导致很多流量管理产品对P2P的管理和流控效果并不理想。其中尤其国外流控产品很多都不能对国内常见的P2P协议进行识别和流控。 但“魔高一尺、道高一丈”，基于对P2P软件行为特征的分析，融合统计学算法，从人工智能的角度是有对所有P2P应用进行统一识别和管理的。基于行为特征而非基于应用数据包的识别，是当前有效应对P2P软件种类多、版本杂、更新快的最佳方案。 3. 网络应用和流量纷繁复杂，如何流控才更细致？ 由于网络资源的丰富性决定了内网用户必然发起各种网络访问行为，包括访问各种互联网资源，以及内部专线也存在多种网络访问行为。而流量管理设备应该能清晰掌控各种协议、会话、流量、数据包进行差异化的带宽划分与分配。 传统流量管理设备都能实现基于应用协议的带宽划分与分配策略，如为OA、ERP、迅雷等分配带宽，但网络中依然存在访问网站、访问B/S架构应用系统、传输CAD、MP3等文件，这些行为也在挤占大量带宽资源，用户也需要对此类行为进行流量管理。但大部分流量管理设备却无法实现基于网站类型、URL、文件类型的流量管理效果。 4. 高性能！ 通常IT设备的更新周期为三到五年，所以组织在采购流量管理设备时至少要考虑未来三年网络改造后对设备性能的预期要求。但对性能的追求并非越高越好，因为性能越高必然导致购买成本更高，性能应该是适度冗余，合适就好。 流控产品性能与设备硬件架构体系有关，通常网络设备硬件架构体系分为ASIC、NP、X86三大类，它们各有优缺点： ASIC架构基于纯硬件芯片实现业务处理能力，而且它对厂商的技术能力要求很高，往往需要三年左右的研发、、和测试周期后才能上市，这导致只有大型厂商才有精力、财力投入。但三年的产品推出周期往往会给该产品是否具有前瞻性、领先型提出了极高的挑战，需要厂商避免三年后产品推出后即落伍的风险。另外由于ASIC纯硬件虽然性能强，但其灵活性较差，通常只能完成TCP/IP四层以下的相关处理，即常用作IP、端口、传统网络协议的处理，如路由器、交换机等，对于丰富的网络协议、OA、ERP、IM、炒股等应用协议的识别、管理，ASIC显然不适合。 由于ASIC灵活性差，所以近年来有厂商通过NP架构实现，即通过微代码控制硬件弥补灵活性不足的问题，NP架构常用于路由器交换机，依然是主要用作IP、端口等TCP/IP四层以下的业务处理。因为微代码较难操作，同时亦不适合处理丰富的网络协议，加之近年来Intel对NP架构CPU投入的削减，导致NP架构前景不容乐观。 X86架构。说到X86架构，很多用户都认为其性能很差，但这是停留在05、06年的认识。随着Intel公司推出多线程、多核、更大的二级缓存、更高的前端总线的CPU，X86架构的网络设备其性能也在不断提升。业界已经有厂商可以提供吞吐量在6Gbps以上的X86架构的流量管理设备，而且尚未使用Intel最高端的CPU。所以从性能角度看X86能够适应吞吐量在6Gbps以下的用户网络环境。选择X86架构的另一个原因是：只有X86架构的网络设备才能实现对泛滥网络协议的有效识别、快速更新、持续跟进。面对快速发展、甚至爆炸式膨胀的网络资源和流量，X86架构是最理想的解决方案之一。 深信服BM产品已成功应用与多家高端客户，所有产品已应用于1.4万多家高端客户