Panaibt協(xié)議流控網(wǎng)關(guān)技術(shù)白皮書(V72).doc

PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 1 Panabit 應(yīng)用層流量控制設(shè)備 技術(shù)白皮書 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 2 目 錄 1 前言 3 2 產(chǎn)品背景 4 2 1 P2P應(yīng)用概況 4 2 2 P2P對網(wǎng)絡(luò)的影響 5 2 3 P2P應(yīng)用技術(shù)發(fā)展 5 3 處理 P2P 策略 7 4 如何檢測網(wǎng)絡(luò)中的 P2P 流量 8 5 技術(shù)解決方案 10 6 系統(tǒng)架構(gòu) 11 7 主要功能特色 13 7 1 強大的協(xié)議識別引擎 14 7 2靈活的帶寬管理 18 7 3 內(nèi)網(wǎng)IP統(tǒng)計功能 21 7 4簡單易用的單IP限速 21 7 5豐富的報表統(tǒng)計 21 7 6系統(tǒng)高可用性 23 7 7全中文化安全的Web管理 23 7 8靈活方便的部署方案 23 7 9全面的行為日志統(tǒng)計和查詢 23 附錄一 PANABIT應(yīng)用層流量控制設(shè)備部署方案 24 1 1透明網(wǎng)橋模式 24 1 2旁路監(jiān)聽模式 24 附錄二 典型案例 26 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 3 1 前言 當(dāng)前的 IP 網(wǎng)絡(luò) 基于應(yīng)用的分類管理 應(yīng)用可視性和網(wǎng)絡(luò)可管理性的地位比以前 更重要 需求也更加迫切 P2P 應(yīng)用的廣泛流行 已是桌面應(yīng)用和網(wǎng)絡(luò)流量的主流 出于技術(shù)與市場的驅(qū)動 唯有專業(yè)的應(yīng)用層流量管理產(chǎn)品 才能跟蹤并分析網(wǎng)絡(luò) 用戶 的流量模式 更加有效的管理網(wǎng)絡(luò)帶寬資源 并加強服務(wù)特色化 管控結(jié)合 提高網(wǎng) 絡(luò)運行效率 提升用戶滿意度和忠誠度 具有多方面的益處 P2P Peer to Peer 應(yīng)用是不需關(guān)照的下載方式 增加網(wǎng)絡(luò)峰值帶寬和峰值持續(xù)時 間 使用隨機端口 port hopping 流量普遍占到網(wǎng)絡(luò)總流量的 60 80 為了 讓用戶更快的體驗和暢通無阻 則極力爭搶帶寬和逃避監(jiān)管 由于使用隨機端口 傳 統(tǒng)的基于端口來區(qū)分應(yīng)用的方式就失去了作用 Panabit 應(yīng)用層流量控制設(shè)備是在 P2P 流行時代 誕生的新一代應(yīng)用層流量管理 產(chǎn)品 支持對 IP 流量的應(yīng)用分類 實時控制用戶組 應(yīng)用服務(wù)流量 Panabit 應(yīng)用層 流量控制設(shè)備的解決方案是基于狀態(tài)和特征的檢測 精確識別 11 大類 700 余種常用協(xié) 議 并創(chuàng)新地自主開發(fā) 協(xié)議特征描述語言 PSDL Protocol Signature Description Language 使得維護協(xié)議特征庫更加方便快捷 應(yīng)用分類中對 P2P 應(yīng)用的分類是關(guān)鍵 主要是由于 P2P 的特性所決定 BT 等 P2P 應(yīng)用由于其獨特的設(shè)計理念 在客戶端軟件中加入了大量對抗網(wǎng)絡(luò)封堵 限制的 技術(shù)手段 識別 P2P 既不能誤判也不能漏判 否則就不能達到真正對應(yīng)用流量的帶 寬限制或保證 很多非專業(yè)產(chǎn)品 通過限制 TCP 并發(fā)連接數(shù)的方法控制 P2P 并不不 科學(xué) 容易影響其他正常流量的速度 Panabit 應(yīng)用層流量控制設(shè)備經(jīng)過 6 年的技術(shù)積 累和實踐 以應(yīng)用特征識別與控制 是一款真正的應(yīng)用層流量管理產(chǎn)品 處理應(yīng)用分類控制 處理 P2P 識別和控制 不但要求識別準(zhǔn)確性 而且要求實時 性能 Panabit 應(yīng)用層流量控制設(shè)備一般是作為網(wǎng)關(guān)類設(shè)備部署在網(wǎng)絡(luò)出口 對時間延 遲提出了更高的要求 在識別技術(shù)方面 Panabit 應(yīng)用層流量控制設(shè)備在基于會話和特 征識別的基礎(chǔ)上 采用主動探測技術(shù)和智能技術(shù) 識別特征模糊和被加密的 P2P 協(xié)議 有效提高識別率 在性能保證方面 利用節(jié)點技術(shù)和硬件處理特性 如定制硬件驅(qū)動 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 4 充分發(fā)揮硬件性能 從而達到整體的高性能 Panabit 應(yīng)用層流量控制設(shè)備從基礎(chǔ)軟件架構(gòu)上 就充分考慮應(yīng)用層處理的特性 專為處理應(yīng)用層識別與控制設(shè)計了專用 PANOS Panabit 應(yīng)用層流量控制設(shè)備使用 Intel x86 硬件平臺 相比起同等級用 ASIC NP 硬件處理的產(chǎn)品 具有成本低 性能 高 升級靈活等優(yōu)勢 Panabit 應(yīng)用層流量控制設(shè)備的特色是 專業(yè)的協(xié)議特征庫 并 有先進的更新維護機制 同級硬件的整體性能高 處于國內(nèi)領(lǐng)先水平 Intel x86 單核 性能完全滿足千兆線速 使用 Intel 架構(gòu)硬件系統(tǒng)和專用軟件引擎 滿足單臺處理 8G 流量的專業(yè)性能 得 益于 Intel CPU 和 PCI Express 總線技術(shù)發(fā)展 為發(fā)展高端產(chǎn)品帶來了良好的硬件平 臺 硬件不再是瓶頸 關(guān)鍵是軟件技術(shù) Panabit 應(yīng)用層流量控制設(shè)備高端產(chǎn)品 通過 使用多顆多核 CPU 實現(xiàn) 在成本 性能 產(chǎn)品更新周期方面 具有很強的競爭優(yōu)勢 2 產(chǎn)品背景 2 1 P2P 應(yīng)用概況 P2P 技術(shù) 即端到端對等網(wǎng)絡(luò)技術(shù) 是指網(wǎng)絡(luò)主機在充當(dāng)客戶端獲取資源的同時 充當(dāng)服務(wù)器向其它對客戶端提供服務(wù) 隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用和多媒體資源的豐富 帶寬消耗越來越大 在計算機 網(wǎng)絡(luò)發(fā)展史上 恐怕沒有任何一種網(wǎng)絡(luò)應(yīng)用像 P2P Peer to Peer 端到端對等網(wǎng)絡(luò) 技術(shù)這樣深刻的影響了寬帶網(wǎng)絡(luò)服務(wù)的運營模式 P2P 使文件下載共享變得簡單 動 輒 GB 級的電影下載 P2P 應(yīng)用拉動的帶寬消耗增長 據(jù)統(tǒng)計 P2P 數(shù)據(jù)流量占因特 網(wǎng)總流量達 80 以上 并且在用戶總數(shù)沒有顯著增長的情況下 P2P 數(shù)據(jù)流量仍然在 快速持續(xù)增長 使得寬帶運營商的成本增加 收益降低 網(wǎng)絡(luò)效率和服務(wù)質(zhì)量下降 甚至沖擊其他業(yè)務(wù)收入 短短幾年 P2P 技術(shù)迅猛發(fā)展 以 P2P 技術(shù)為核心的軟件產(chǎn)品 雨后春筍般的進 入了主流計算機應(yīng)用 事實已經(jīng)十分明顯 如基于 P2P 協(xié)議的文件下載共享軟件 典 型的應(yīng)用軟件有 BitTorrent eDonkey PP 點點通 Gnutella FastTrack 酷狗 Kugoo 迅雷 DirectConnect AppleJuice 百寶 百度下吧 百兆等 這是目前被 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 5 廣泛使用 同時也是頭號帶寬殺手的應(yīng)用協(xié)議 基于 P2P 的其他應(yīng)用有 即時信息類 如騰迅 QQ 微軟 MSN YahooMessger 等 網(wǎng)絡(luò)電話類 如 Skype 等 網(wǎng)絡(luò)電視類 如 PPStream PPLive 沸點 Recool QQLive 等 運營商網(wǎng)絡(luò)中 60 80 的帶寬夜以繼日地被這些應(yīng)用占用 由于傳統(tǒng)網(wǎng)絡(luò)監(jiān)控 設(shè)備無法識別 P2P 應(yīng)用 處理 P2P 必須是針對 P2P 應(yīng)用的流量管理系統(tǒng) 才能監(jiān) 測網(wǎng)絡(luò)并找到正在運行的 P2P 應(yīng)用以及誰正在使用這些應(yīng)用 然后設(shè)定策略以保證所 有用戶的公平性 還可以追蹤使用情況以便于記帳和微調(diào)網(wǎng)絡(luò) 處理過多的流量并把 昂貴的空閑帶寬分配給那些能夠創(chuàng)造利潤的應(yīng)用 2 2 P2P 對網(wǎng)絡(luò)的影響 P2P 技術(shù)主要提供了分布式交換數(shù)據(jù)的能力 由于個人用戶 PC 的處理能力和硬 盤空間逐步增大 資源分布存儲已經(jīng)變?yōu)榭赡?P2P 技術(shù)現(xiàn)階段最大的用途就是提供 了在個人用戶之間交換數(shù)據(jù)文件 通過集中資源服務(wù)器已經(jīng)不在是資源存放的唯一途 徑 P2P 技術(shù)主要帶來了如下一些變化 1 Internet 上流量模型的變化 現(xiàn)在 Internet 上 60 80 的流量都是 P2P 的流 量 而傳統(tǒng)的 HTTP 流量已經(jīng)不是 Internet 上的主要流量 2 個人用戶的流量模型的變化 以前個人用戶的下行流量 從 Internet 到個人用 戶 遠(yuǎn)遠(yuǎn)大于上行流量 而由于 P2P 技術(shù)在下載的同時 也需要上傳 導(dǎo)致個人用戶 的下行流量和上行流量都很大 3 P2P 應(yīng)用獲取帶寬的方式可謂完美 使用 永遠(yuǎn)在線 的技術(shù)日以繼夜地在進 行貪婪的下載和上傳服務(wù) P2P 流量造成網(wǎng)絡(luò)的極度擁塞 2 3 P2P 應(yīng)用技術(shù)發(fā)展 第第 1 代集中式的代集中式的 P2P 應(yīng)用 應(yīng)用 Napster 模式 在對等計算機上運行的這類應(yīng)用通常使用一個固定的 TCP 端口 這種模式從管理員角度來看 第一代的 P2P 應(yīng)用是比較容易處理的 管理員可以簡單 地使用可根據(jù)協(xié)議端口監(jiān)測網(wǎng)絡(luò)的防火墻或者路由器限制 P2P 應(yīng)用的流量 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 6 免費 Free 文件共享理念被保留下來 分布式更易于通信 被用戶接受和追捧 在 這個模式的驅(qū)動下 產(chǎn)生了大量新的 難于控制的 P2P 應(yīng)用 第第 2 代分布式代分布式 P2P 應(yīng)用 應(yīng)用 允許計算機能夠在任何時間 任何地點連接到其他計算機 而不需要中心服務(wù)器 的干涉 所有的對等計算機直接對其他的對等體進修響應(yīng)和文件共享 第二代 P2P 應(yīng)用采用的方法中還包括一些用于規(guī)避網(wǎng)絡(luò)安全設(shè)備的 技巧 1 端口跳躍 通過這種方法 P2P 應(yīng)用將不再使用一個固定的端口號 而是采用 隨機的或者是用戶手工設(shè)定的協(xié)議端口號 2 常用端口號 一些 P2P 應(yīng)用使用 80 端口 官方規(guī)定的 HTTP 協(xié)議端口 來 避開防火墻的限制 獲得對 Internet 的訪問 這是一種很狡猾的做法 因為企業(yè)通常 只開通特定的 常用的端口 如 80 端口 訪問 Internet 類似地 一些運營商還對 80 端 口提供更優(yōu)化的流量 因為這些流量被認(rèn)為是來自 HTTP 訪問 Web 的 3 HTTP 隧道 在很多企業(yè)網(wǎng)絡(luò)中 Internet 的訪問是通過 HTTP 帶來完成 對 于非 HTTP 應(yīng)用或者未經(jīng)過 HTTP 的應(yīng)用將不能訪問 Internet 于是很多 P2P 應(yīng)用將 HTTP 協(xié)議作為自己基本協(xié)議 這樣就避開了這些限制 使得網(wǎng)管設(shè)備的限制實效 4 HTTP 代理隧道 P2P 客戶端將要發(fā)給 Web 邊緣的對等計算機的流量使用隧道 技術(shù)進行封裝 通過代理 如 Socks 代理 和一些第三方的隧道應(yīng)用 如 Socks2HTTP 使 P2P 流量看起來像是標(biāo)準(zhǔn)的代理流量 而這些流量通常是不被限制 從而達到避開限制 對于這些應(yīng)用的識別和控制是非常困難的 除非借助應(yīng)用層可視性檢測工具 檢 查傳輸協(xié)議 如 TCP 協(xié)議 的載荷 Payload 部分 對不同的應(yīng)用進行更精確的識別 第第 3 代代 P2P 應(yīng)用 應(yīng)用 第 3 代 P2P 應(yīng)用是一種介于集中式和分布式結(jié)構(gòu)之間的混合折中結(jié)構(gòu) 這一類型 的網(wǎng)絡(luò)使用 超級對等體 超級節(jié)點 來充當(dāng)中心服務(wù)器的角色 一方面維護網(wǎng)絡(luò)的 分布式結(jié)構(gòu) 一方面保證良好的搜索點擊率 網(wǎng)絡(luò)速度和可伸縮性 超級對等體是從 眾多對等體中隨機選擇 甚至被選擇的對等體自身對此也不會有所察覺 超級對等計 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 7 算機向為數(shù)不多的一組對等計算機提供索引服務(wù) 同時超級對等體之間也彼此進行通 信 文件傳輸在對等計算機之間直接傳輸 通過限制處理搜索的對等計算機的數(shù)量 同時也消除了使用固定 專用服務(wù)器帶來的延遲 該類型的網(wǎng)絡(luò)在提供很高的搜索性 能的同時 也繼承了分布式網(wǎng)絡(luò)的特性 某些第三代 P2P 應(yīng)用使用 SSL 協(xié)議 如 HTTPS 是用于加密 Web 流量的協(xié)議 對流量進行加密保護 第第 4 代代 P2P 應(yīng)用 應(yīng)用 P2P 應(yīng)用最新發(fā)展的一個趨勢 典型代表有 Skype eMule 0 47c 和 BitComet 0 80 這一代的 P2P 應(yīng)用從技術(shù)上看 主要有兩個特點 1 通過增加無用隨機數(shù)據(jù)和數(shù)據(jù)進行加密這兩個手段使得協(xié)議流量特征模糊化 如最新版的 eMule BitComet 等軟件 2 多協(xié)議并用 如迅雷 HTTP FTP 專用協(xié)議并存 逃避監(jiān)管 日益復(fù)雜精巧的設(shè)計和開發(fā) P2P 新應(yīng)用不斷涌現(xiàn) 功能更強也更易使用 為了 使 P2P 應(yīng)用運行暢通 新一代 P2P 軟件比上一代越來越智能 其中主要是 P2P 應(yīng)用 由于其獨特的設(shè)計理念 在客戶端軟件中加入了大量對抗網(wǎng)絡(luò)封堵 限制的技術(shù)手段 使得 P2P 流量管理檢測難度水漲船高 同時需要不斷升級協(xié)議特征庫 P2P 應(yīng)用使人 們對使用 Internet 的方式發(fā)生著革命性的改變 P2P 應(yīng)用的潮流不可阻擋 只能順應(yīng) 潮流 采用有效處理策略 3 處理 P2P 策略 為了能夠控制 P2P 應(yīng)用 企業(yè)與網(wǎng)絡(luò)運營商都各自嘗試了不同的解決方案 擴充帶寬 擴充帶寬 最簡單顯而易見的解決辦法 就是擴帶寬 優(yōu)點 增加帶寬可以在短時間內(nèi)緩解網(wǎng)絡(luò)的擁塞狀況 當(dāng) P2P 應(yīng)用覺察到網(wǎng)絡(luò)中 有更多的可用帶寬 網(wǎng)絡(luò)帶寬將會再次被 P2P 應(yīng)用占據(jù) 缺點 增加帶寬和增加帶寬的費用將是無底洞 這樣做只是給 P2P 應(yīng)用提供了更 多可攫取的帶寬資源 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 8 禁止禁止 P2P 全面禁止 P2P 應(yīng)用將會是擁塞的網(wǎng)絡(luò)恢復(fù)正常狀態(tài) 優(yōu)點 企業(yè)可以禁止 P2P 的使用 提高員工的工作效率 而以往員工卻花費時間 和網(wǎng)絡(luò)帶寬進行娛樂性的網(wǎng)上沖浪 缺點 ISP 將會失去用戶 因為很多用戶就是為了不受流量限制才租用了運營商 的線路 限制 而不是禁止限制 而不是禁止 P2P 使用能夠識別第 7 層應(yīng)用的流量管理解決方案 企業(yè)和運營商能夠準(zhǔn)確判別 P2P 應(yīng)用并進行限制 優(yōu)點 可以通過多種控制策略進行 通過合理調(diào)配帶寬資源 提高網(wǎng)絡(luò)運行效率 如發(fā)生鏈路擁塞的情況下 減少分配給 P2P 應(yīng)用的帶寬或者降低 P2P 應(yīng)用的優(yōu)先級 保證同一服務(wù)級別的用戶使用網(wǎng)絡(luò)的公平性 將會大大改善網(wǎng)絡(luò)響應(yīng)速度質(zhì)量 當(dāng)對 P2P 應(yīng)用流量進行限速管理之后 網(wǎng)絡(luò)中的其他應(yīng)用將變得很順暢 僅對上傳進行約束 僅對上傳進行約束 對于 ISP 來說 這種約束能力顯得更為關(guān)鍵 因為對于那些非線路租戶使用其他 租戶的線路上傳 而并不承擔(dān)相關(guān)費用 的情況尤為關(guān)注 運營商顯然不會考慮這些非線 路租戶進行線路的升級 這也就是為什么選擇限制上傳流量的原因 優(yōu)點 對上傳流量進行限制并不會影響到下載流量 如某運營商對 P2P 應(yīng)用的出 向流量進行了限制 而這個方向的流量主要是由非線路租戶產(chǎn)生 由于他們自己的線 路租戶的 TCP 確認(rèn)信息并不會受到影響 盡管它們的方向也是向外發(fā)送 就可以繼續(xù) 享受無限制的下載服務(wù) 通過這項控制 該運營商用戶的流量消耗得到了顯著減少 成本大幅度下降 又保證了客戶的滿意度 由于流量管理產(chǎn)品具有足夠的靈活性 可以在不影響下載的前提下限制上傳流量 從而使所有人都能獲益 線路租戶可以根據(jù)自己需要隨意下載 運營商也得益于需要 支付給骨干網(wǎng)絡(luò)運營商的成本的大幅度下降 缺點 無 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 9 4 如何檢測網(wǎng)絡(luò)中的 P2P 流量 為了能從應(yīng)用中把 P2P 應(yīng)用識別出來 網(wǎng)絡(luò)可視性 Network Visibility 是至關(guān) 重要 這種檢測能力將了解到在當(dāng)前的網(wǎng)絡(luò)中運行著哪些 P2P 應(yīng)用 哪些 P2P 應(yīng)用正 在吞噬網(wǎng)絡(luò)中的寶貴資源 哪些用戶占據(jù)了過多的網(wǎng)絡(luò)資源從而造成了網(wǎng)絡(luò)的擁塞 當(dāng)檢測和分離這些流量之后 就可以對 P2P 應(yīng)用進行限制或者阻止 或者為其他的應(yīng) 用或用戶分配和保證所需的帶寬 或者把 P2P 應(yīng)用的流量避開峰值時段 合理調(diào)配帶 寬使用 從而利用現(xiàn)有的帶寬資源 最大限度地提高帶寬的效率 深層數(shù)據(jù)包檢測深層數(shù)據(jù)包檢測 DPI 識別識別 P2P 應(yīng)用的唯一可靠辦法 應(yīng)用的唯一可靠辦法 對 P2P 應(yīng)用進行判定 需要借助復(fù)雜的第 7 層識別技術(shù) 使用各種方法來檢測這 些難以捉摸的應(yīng)用 由于多數(shù) P2P 應(yīng)用軟件都使用端口跳動技術(shù)或者盜用一些常用服 務(wù)的協(xié)議端口進行通信傳輸 所以通過對端口對它們進行識別顯然是遠(yuǎn)遠(yuǎn)不夠 傳統(tǒng) 的流量限速設(shè)備無能為力 因此 所有的數(shù)據(jù)包都必須到應(yīng)用層面 Application Layer 上進行檢查 即對傳輸協(xié)議如 TCP 協(xié)議的載荷 Payload 部分進行檢查 以 判斷它們是否符合代表某種應(yīng)用代碼的樣本特征 在很多情況下 對于某一種應(yīng)用的 識別需要檢測它是否多個代碼樣本的特征 基于會話的應(yīng)用分類 基于會話的應(yīng)用分類 標(biāo)準(zhǔn)的協(xié)議頭部 Header 字段如 TCP UDP 的端口號字段在每一個數(shù)據(jù)包中都存 在 而第 7 層的協(xié)議代碼樣本通常只能在一次協(xié)議會話的前幾個數(shù)據(jù)包中存在 并進 行會話標(biāo)記的請求以標(biāo)識本次會話中所有的數(shù)據(jù)包 當(dāng)網(wǎng)絡(luò)中產(chǎn)生了一個新的會話 如 P2P 應(yīng)用會話 那么一個唯一的協(xié)議簽名 Signature 就必須被找到并能夠與已知的 協(xié)議代碼樣本相匹配 如當(dāng)使用第 7 層的分類方法對一個 P2P 應(yīng)用進行了正確的識別 那么該會話中的后續(xù)數(shù)據(jù)包就能夠被正確的判別為該 P2P 應(yīng)用會話的數(shù)據(jù)流量 有些情況下 一個 P2P 應(yīng)用使用不止一個會話 這就需要流量管理系統(tǒng)能夠從兩 個或多個會話中提取信息并進行關(guān)聯(lián)以找到能夠匹配的代碼樣本 并非基于端口的分類 并非基于端口的分類 P2P 應(yīng)用通常使用隨機的端口號或者借助一些常用的端口號來進行傳輸 因此在 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 10 進行 P2P 應(yīng)用樣本搜尋時 就不能做任何的假設(shè) 需要對網(wǎng)絡(luò)中所有數(shù)據(jù)流進行第 7 層協(xié)議的探測 而不管它們是否使用了某個端口號 每秒連接數(shù) 每秒連接數(shù) 不尋常的連接數(shù)量可能是在暗示著網(wǎng)絡(luò)中 P2P 應(yīng)用的使用 也可暗示著異常流量 的存在 如病毒 蠕蟲 有害程序等等 P2P 是具有侵略性的應(yīng)用 它可以在短時間 內(nèi)建立超負(fù)荷的連接 異常的連接數(shù)量在流量管理設(shè)備中可以設(shè)定告警機制 幫助網(wǎng) 絡(luò)管理員及時解決問題 5 技術(shù)解決方案 針對 P2P 應(yīng)用的流量管理特點 檢測 性能和系統(tǒng)穩(wěn)定性這三個因素是至關(guān)重要 不能正確檢測區(qū)別 P2P 流量 就不能進行管理控制 性能不能滿足要求 沒有足夠的 處理能力 造成網(wǎng)絡(luò)延遲的增大 同樣也是無效 下面簡要介紹一下 Panabit 應(yīng)用層流量控制設(shè)備檢測與控制 P2P 系統(tǒng)所使用的獨 特的應(yīng)用層識別技術(shù) 在此之前 我們先介紹一下目前在其它產(chǎn)品中常用的技術(shù) 1 基于數(shù)據(jù)包的無狀態(tài)識別技術(shù)基于數(shù)據(jù)包的無狀態(tài)識別技術(shù) 這種技術(shù)一般是采取模式匹配的方式 對每個 數(shù)據(jù)包進行模式匹配 并且不考慮數(shù)據(jù)包之間的邏輯關(guān)系 采取這種方式的系統(tǒng)的好 處是實現(xiàn)簡單 但是它的缺點也是很明顯的 就是性能低下 易成為網(wǎng)絡(luò)的瓶頸 2 基于連接的有狀態(tài)識別技術(shù)基于連接的有狀態(tài)識別技術(shù) 這種技術(shù)是一般的傳統(tǒng)防火墻所采取的技術(shù) 在 防火墻現(xiàn)有的狀態(tài)表的基礎(chǔ)之上 將連接所產(chǎn)生的所有數(shù)據(jù)包看作一個整體 如果其 中某個或某些數(shù)據(jù)包符合指定的特征 那么認(rèn)為這條連接就是符合該特征的連接 所 以 如果該特征是 BT 通信 那么這條連接就是兩個 BT 客戶端或一個 BT 客戶端和一 個 BT 服務(wù)端在通信 在運營商的網(wǎng)絡(luò)環(huán)境里 由于節(jié)點一般都是網(wǎng)絡(luò)交換節(jié)點 因此許許多多的 P2P 節(jié)點的通信都會通過運營商的交換網(wǎng)絡(luò) 這些節(jié)點以十萬 甚至百萬計 如果采取基 于連接的有狀態(tài)識別技術(shù) 所能控制的 P2P 通信非常有限 這種技術(shù)只適合于小規(guī)模 的網(wǎng)絡(luò) 如中小企業(yè)網(wǎng)絡(luò) Panabit 應(yīng)用層流量控制設(shè)備采用應(yīng)用層流量控制設(shè)備采用 基于節(jié)點的有狀態(tài)識別技術(shù)基于節(jié)點的有狀態(tài)識別技術(shù) 可以避免上述可以避免上述 問題 問題 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 11 一個典型的 P2P 是由許多節(jié)點構(gòu)成的 每個節(jié)點都是一個服務(wù)器 這個節(jié)點可以 同時為其它節(jié)點提供服務(wù) 基于節(jié)點的有狀態(tài)識別技術(shù)的基本思想是從節(jié)點雙方的通 信過程中尋找特征數(shù)據(jù) 這些特征數(shù)據(jù)不限于某條特定的連接 如果特征匹配 那么 系統(tǒng)將記錄該節(jié)點 而不是某條連接 一旦該接點被識別出來 那么后續(xù)同該節(jié)點通 信的數(shù)據(jù)無須重新驗證 因此極大的提高了系統(tǒng)的性能 P2P 應(yīng)用中 客戶端既是客 戶 又是服務(wù)器 在某端口上監(jiān)聽為其他客戶提供服務(wù) 根據(jù)這一特性 將 IP 服務(wù) 端口在內(nèi)存中定義一個二元組 稱之為節(jié)點 Panabit 應(yīng)用層流量控制設(shè)備在基于節(jié)點的有狀態(tài)識別技術(shù)的基礎(chǔ)上向智能方面進 一步發(fā)展 該技術(shù)可以從多條連接中自動根據(jù)某種統(tǒng)計規(guī)律來識別某些特征不明顯或 者被加密了的通信協(xié)議 如 SkyPe 在保證性能的同時 提高了系統(tǒng)識別的準(zhǔn)確性 這種技術(shù)針對 P2P 應(yīng)用尤其有效 此外 Panabit 應(yīng)用層流量控制設(shè)備針對第 4 代 P2P 應(yīng)用軟件的變化 采用獨有 主動探測和服務(wù)偽裝技術(shù)保證對 P2P 識別的準(zhǔn)確性 Panabit 應(yīng)用層流量控制設(shè)備采 用獨有的服務(wù)探測引擎可以識別第四代 P2P 應(yīng)用 如 emule 0 47c 服務(wù)偽裝 對于 迅雷這樣綜合了 P2P 和 HTTP FTP 等傳輸協(xié)議的應(yīng)用 Panabit 應(yīng)用層流量控制設(shè)備 開發(fā)了獨有的服務(wù)偽裝引擎 從技術(shù)角度看 P2P 應(yīng)用有如下幾個特點 1 一個 P2P 節(jié)點 客戶端程序 比如 BitComet 通常與成百上千個客戶端連接 因此節(jié)點之間的連接數(shù)目巨大 假如一個節(jié)點有 200 條連接 那么 10000 個節(jié)點就有 可能達到 200 萬條連接 保守估計也會有 100 萬條連接 如此大的連接數(shù)將使設(shè)備不 堪負(fù)擔(dān) 2 不像 Web 瀏覽這樣的 HTTP 協(xié)議 HTTP 連接一般持續(xù)的時間比較短 而 P2P 主要目的是用來共享大的文件 需要傳送大量的數(shù)據(jù) 因此 P2P 客戶端之間的連 接一般持續(xù)的時間比較長 這就意味著系統(tǒng)的資源很長時間不能得到釋放 因此大大 增加系統(tǒng)被 DOS Deny Of Service 拒絕攻擊 的機會 針對上述特點 Panabit 應(yīng)用層流量控制設(shè)備通過學(xué)習(xí)的方式 采用連接識別和節(jié) 點識別相結(jié)合的方式 大大減少了連接數(shù) 這樣可以用較少的資源監(jiān)控更大的 P2P 應(yīng) 用網(wǎng)絡(luò) 同時提高了系統(tǒng)的效率 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 12 6 系統(tǒng)架構(gòu) Panabit 應(yīng)用層流量控制設(shè)備核心是專用 OS 基于 FreeBSD 目前最穩(wěn)定的操作 系統(tǒng) 但是在原有 FreeBSD 基礎(chǔ)上做了如下修改和增強 1 對網(wǎng)絡(luò)協(xié)議棧作了大量的修改和優(yōu)化 使得數(shù)據(jù)平面 Data Plane 見下圖 能 夠以最快速度執(zhí)行 2 去掉內(nèi)核部分代碼 使得核心更小 3 針對特定的硬件進行優(yōu)化 使得在特定的硬件上更快運行 4 修改部分中斷處理函數(shù)和網(wǎng)卡驅(qū)動 使得數(shù)據(jù)平面 Data Plane 以較高優(yōu)先級 運行 PanaOS 分為數(shù)據(jù)平面 Data Plane 和控制平面 Control Plane 兩個部分 1 數(shù)據(jù)平面數(shù)據(jù)平面 Data Plane 負(fù)責(zé)數(shù)據(jù)包處理 同時提供同控制平面的接口 數(shù)據(jù) 層面直接由硬件驅(qū)動 這樣避免了傳統(tǒng) OS 包括 FreeBSD 的網(wǎng)絡(luò)協(xié)議棧帶來的開 銷 使得 PanaOS 能夠充分利用硬件的性能而更快處理數(shù)據(jù)包 數(shù)據(jù)平面在 PanaOS 內(nèi)核內(nèi)運行 2 控制平面 控制平面 Control Plane 負(fù)責(zé)系統(tǒng)管理 包括數(shù)據(jù)平面的維護 Web 管 理和命令行管理接口 控制平面運行在 PanaOS 的應(yīng)用層 數(shù)據(jù)平面的運行優(yōu)先級高于控制層面 這樣確保數(shù)據(jù)包即時處理 控制平面控制平面 CP Control Plane PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 13 其中 1 MiniWeb 一個輕量級的 Web 服務(wù)器 并提供 Web 管理接口 2 CLI 命令行接口進程 3 DataStat 負(fù)責(zé)數(shù)據(jù)的收集和統(tǒng)計分析 數(shù)據(jù)平面數(shù)據(jù)平面 DP Data Plane 其中 1 PAE Packet Analysis Engine 數(shù)據(jù)包分析引擎 負(fù)責(zé)應(yīng)用層識別 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 14 2 ACE Access Control Engine 訪問控制引擎 負(fù)責(zé)訪問控制 3 BME Bandwidth Management Engine 帶寬管理引擎 負(fù)責(zé)帶寬限制和分配 4 DPI Data Plane Interface 數(shù)據(jù)平面接口為 CP 提供訪問數(shù)據(jù)平面的數(shù)據(jù)和相 關(guān)狀態(tài)信息的接口 7 主要功能特色 Panabit 應(yīng)用層流量控制設(shè)備主要功能模塊有 1 強大的協(xié)議識別引擎 2 靈活的帶寬管理 3 內(nèi)網(wǎng) IP 統(tǒng)計功能 4 簡單易用的單 IP 限速 5 豐富的報表統(tǒng)計 6 系統(tǒng)高可用性 7 全中文化安全的 Web 管理 8 靈活方便的部署方案 9 全面的行為日志統(tǒng)計和查詢 下面分別詳細(xì)介紹上述模塊 7 1 強大的協(xié)議識別引擎 Panabit 應(yīng)用層流量控制設(shè)備強大的協(xié)議識別引擎不但可以識別各種明文的協(xié)議 如 Bittorrent eDonkey 而且其獨有的 加密協(xié)議深度識別 技術(shù)可以識別經(jīng)過加密 的 P2P 協(xié)議 如 Skype 和 eMule 0 47c 到目前為止 Panabit 應(yīng)用層流量控制設(shè)備 已經(jīng)支持如下協(xié)議 1 HTTP 協(xié)議協(xié)議 HTTP HTTPS WEB 視頻 WEB 音樂 HTTP 分塊傳輸 偽 IE 下載 Microsoft DS 等 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 15 2 常用協(xié)議常用協(xié)議 電子郵件 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全 等 3 P2P 下載下載 BitTorrent eMule Gnutella Kazaa iMesh DC AppleJuice Ares Mute Sou lSeek Poco 酷狗 迅雷 含 Web 迅雷 百寶 百度下吧 Vagaa 脫兔 PPGou 等 4 即時通信即時通信 MSN MSN 視頻 YahooMessger QQ QQ 視頻 QQ 文件傳輸 網(wǎng)易泡泡 淘寶旺旺 新浪 UC 等 5 網(wǎng)絡(luò)電話網(wǎng)絡(luò)電話 Skype 等 6 網(wǎng)絡(luò)電視網(wǎng)絡(luò)電視 PPStream PPLive 沸點 Recool QQLive TVAnts TVKoo PPMate MySee UUSee CCIPTV SopCa st VJBase JeBoo 等 7 網(wǎng)絡(luò)游戲網(wǎng)絡(luò)游戲 魔獸世界 奇跡世界 征途 熱血江湖 跑跑卡丁車 QQ 幻想 泡 泡游戲 QQ 游戲 中國游戲中心 等 8 股票證券股票證券 大智慧 經(jīng)典版 新一代 錢龍 經(jīng)典版 旗艦版 核新 同花 順 等 系統(tǒng)運行效果圖系統(tǒng)運行效果圖 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 17 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 18 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 19 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 20 日志系統(tǒng) PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 21 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 22 7 2 靈活的帶寬管理 在傳統(tǒng)的 IP 網(wǎng)絡(luò)中 所有的報文都被無區(qū)別的等同對待 每個路由器都對所有報 文采取先進先出 FIFO First In First Out 的策略進行處理 它盡最大的努力 Best Effort 將報文送到目的地 但對報文傳送的可靠性 傳輸延遲等不做任何保 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 23 證 在一個網(wǎng)絡(luò)中 不同的人員對帶寬的使用是不均衡的 有人使用得多 那么留給 別人的帶寬就少 如果某些人員使用 BT 迅雷下載文件或者使用 PPStream PPLive 在線收看網(wǎng)絡(luò)電視 那么這些人員就會占用大量帶寬 并將持續(xù)占用甚至耗盡出口帶 寬資源 造成網(wǎng)絡(luò)速度和性能明顯下降 使其他用戶的正常網(wǎng)絡(luò)應(yīng)用比如 Web 訪問 收發(fā) E mail MSN 聊天 股票查詢 視頻會議出現(xiàn)延遲 停頓 掉線等現(xiàn)象 與類似產(chǎn)品單純通過對 P2P 及其他特定流量進行帶寬控制來變相 保障 正常應(yīng) 用的方式不同 Panabit 應(yīng)用層流量控制設(shè)備同時提供基于應(yīng)用或基于 IP 的 帶寬控 制 帶寬預(yù)留 帶寬保證 三種機制 為用戶靈活調(diào)控網(wǎng)絡(luò)帶寬資源提供更方便 的功能 在精確識別應(yīng)用協(xié)議的前提下 在精確識別應(yīng)用協(xié)議的前提下 Panabit 應(yīng)用層流量控制設(shè)備提供以下三種帶寬應(yīng)用層流量控制設(shè)備提供以下三種帶寬 調(diào)控機制 調(diào)控機制 1 帶寬限制 根據(jù)策略對特定 IP IP 組 應(yīng)用協(xié)議進行帶寬限制 避免這些 IP IP 組 應(yīng)用協(xié)議過度使用帶寬而影響他人和整個網(wǎng)絡(luò) 特別地 Panabit 應(yīng)用層流量控制設(shè)備支持針對 未知協(xié)議 的帶寬限制功能 可 將未識別或尚未支持的協(xié)議流量或異常流量控制在一定的范圍內(nèi) 下圖為某用戶設(shè)定的策略 每天 8 點到 24 點將 P2P 和 NetTV 的上下行帶寬限制 為 10M 其它時間不限 并使用自定義的圖表定制的實際效果圖 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 24 2 帶寬預(yù)留 預(yù)留出一定的帶寬給特定的 IP IP 組或應(yīng)用協(xié)議使用 比如 假設(shè) 網(wǎng)絡(luò)出口的總帶寬為 100M 如果為某些 IP IP 網(wǎng)段 應(yīng)用協(xié)議預(yù)留了 10M 帶寬 那 么其他所有 IP 應(yīng)用協(xié)議可使用的總帶寬即為 90M 預(yù)留出的 10M 帶寬始終屬于規(guī) 定的 IP IP 網(wǎng)段 應(yīng)用協(xié)議所有 其他任何 IP 應(yīng)用協(xié)議無論如何都不能占用 3 帶寬保證 帶寬保證與帶寬預(yù)留類似 所不同的是 帶寬保證在其保證的帶寬 不能滿足要求的時候 會從剩余的總帶寬里借用所需帶寬 以上面 2 中提到例子為例 如果做一條帶寬保證策略 分配 10M 帶寬給某 IP 組 那么當(dāng)某個時刻該 IP 組所需要 的帶寬大于 10M 比如 15M 那么 Panabit 應(yīng)用層流量控制設(shè)備就會從其余的 90M 帶寬 中借出 5M 給該 IP 組以滿足其使用 對于運營商 在 P2P 應(yīng)用已成潮流的現(xiàn)實背景下 運營商已不單純著眼于如何控 制 P2P 流量來控制帶寬成本和運營壓力 而是逐步尋求通過 P2P 增值運營來實現(xiàn)收益 在很多地方 運營商自主開辦的 IPTV 同樣也是依賴于 P2P 技術(shù) 那么對于運營商來 說 能對該 IPTV 進行帶寬預(yù)留或帶寬保證就更具現(xiàn)實意義 對于企業(yè) 是否可以以及 如何優(yōu)先保障關(guān)鍵業(yè)務(wù) 關(guān)鍵科室 關(guān)鍵 IP 的帶寬使用是他們首要關(guān)注的功能點 而 精細(xì)的統(tǒng)計分析報表對于網(wǎng)絡(luò)管理人員更具有策略上的指導(dǎo)意義 對于特殊行業(yè) 比 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 25 如網(wǎng)吧 盈利主要來自于網(wǎng)絡(luò)游戲與 QQ 視頻聊天等消遣娛樂型應(yīng)用 對這些盈利性 的應(yīng)用進行帶寬保證 同時對大量占用帶寬的 P2P 下載進行帶寬限制 限制與保證結(jié) 合 可大幅度提升網(wǎng)絡(luò)的整體性能和用戶滿意度 Panabit 應(yīng)用層流量控制設(shè)備的帶寬管理靈活性在具體使用中體現(xiàn)在兩個方面 1 數(shù)據(jù)通道數(shù)據(jù)通道 定義帶寬管理和調(diào)度方式 上面所說的帶寬限制 帶寬預(yù)留和帶寬 保證就是三種不同類型的帶寬對象 系統(tǒng)根據(jù)帶寬類型和帶寬的大小系統(tǒng)地對帶寬進 行分配和調(diào)度 2 策略策略 策略是用來將流量進行分類的機制 Panabit 應(yīng)用層流量控制設(shè)備里所 定義的每一條策略可以包含源地址 目標(biāo)地址 數(shù)據(jù)流向 上行還是下行 應(yīng)用協(xié)議 等因素 當(dāng)匹配這些因素后 就會執(zhí)行某個動作 如阻斷 放行或?qū)⑵渥⑷肽硞€數(shù)據(jù) 通道 通過將符合這些條件的數(shù)據(jù)注入通道 實際上就已經(jīng)對符合上述條件的數(shù)據(jù)包 實施了流量管理 7 3 內(nèi)網(wǎng) IP 統(tǒng)計功能 1 用戶可在 Web 界面中選擇是否打開內(nèi)網(wǎng) IP 統(tǒng)計功能 2 TOP N 統(tǒng)計功能 用戶可選擇 TOP 10 20 30 所有 IP 的統(tǒng)計排名 并可選擇以下三種方式 a 按照累計流量進行排名 b 按照當(dāng)前速率進行排名 c 按照在線時間進行排名 3 單個 IP 的應(yīng)用流量 連接明細(xì) 可直觀的列出某個 IP 具體的歷史應(yīng)用明細(xì) 以及目前與該 IP 相關(guān)的連接情況 包括每條連接中對方的 IP 地址及端口 7 4 簡單易用的單 IP 限速 得益于其靈活的策略管理功能和帶寬管理能力 Panabit 應(yīng)用層流量控制設(shè)備可以 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 26 對內(nèi)網(wǎng) IP 進行單獨限速 在 Panabit 應(yīng)用層流量控制設(shè)備中 只需要一條規(guī)則就可以 實現(xiàn)控制某個網(wǎng)段內(nèi)的每個 IP 最大可使用帶寬和該網(wǎng)段的總帶寬 7 5 豐富的報表統(tǒng)計 1 網(wǎng)卡流量 各應(yīng)用協(xié)議 協(xié)議組的日圖表 周圖表 月圖表 2 連接統(tǒng)計 節(jié)點統(tǒng)計 協(xié)議統(tǒng)計 PPS 統(tǒng)計 3 自定義報表功能 用戶可針對自己關(guān)心的 IP IP 組 應(yīng)用協(xié)議 協(xié)議組等不同的對象自定義一個報表 將針對多個對象的統(tǒng)計結(jié)果集中顯示在一個圖表中 減少日常監(jiān)控的工作量 統(tǒng)計數(shù) 據(jù)可以指定不同的線形和顏色以絕對值或疊加的方式顯示 報表統(tǒng)計的時間跨度可以 是當(dāng)天 本周和當(dāng)月 以下兩張截圖是某用戶自定義的只統(tǒng)計 P2P 協(xié)議組 和 網(wǎng)絡(luò)電視協(xié)議組 上 下行流量的圖表 P2P 與 NetTV 網(wǎng)絡(luò)電視 流量的日圖表 說明 當(dāng)前策略為 08 00 24 00 之間將 P2P 與網(wǎng)絡(luò)電視兩類流量雙方向控制為 PROPRIETARY CONFIDENTIAL 機密及專有 ALL RIGHTS RESERVED 版權(quán)所有 未經(jīng)書面同意 不得轉(zhuǎn)載 FOR REFERENCE ONLY 僅供參考 北京派網(wǎng)軟件有限公司 27 20M 00 00 08 00 不做限制 可以看到在策略生效的時間點 流量呈現(xiàn)明顯的瞬間 下降情況 P2P 與 NetTV 網(wǎng)絡(luò)電視 流量的周圖表 說明 一周內(nèi)應(yīng)用限速策略時 P2P 與網(wǎng)絡(luò)電視兩種協(xié)議組的流量曲線圖 周五將 策略修改為全天放開網(wǎng)絡(luò)電視流量 只在 08 00 24 00 之間限制 P2P 流量雙向為 20M 同樣可以看到每天在策略生效的時間