深度業(yè)務(wù)感知型移動(dòng)園區(qū)網(wǎng)

深度業(yè)務(wù)感知型移動(dòng)園區(qū)網(wǎng)隨著國(guó)內(nèi)3G+WLAN網(wǎng)絡(luò)建設(shè)的不斷深入，無線上網(wǎng)本、iPad等便攜式終端的不斷發(fā)布，以WLAN技術(shù)為核心的移動(dòng)寬帶互聯(lián)應(yīng)用呈爆炸式增長(zhǎng)。與此同時(shí)，大量基于物聯(lián)網(wǎng)、云計(jì)算而生的企業(yè)級(jí)移動(dòng)業(yè)務(wù)在園區(qū)網(wǎng)內(nèi)得到廣泛應(yīng)用，如智能電網(wǎng)、物流定位、無線語音、P2P共享等等。以辦公OA為目的的無線園區(qū)接入網(wǎng)絡(luò)建設(shè)思路逐漸轉(zhuǎn)變?yōu)橐匀轿惶嵘W(wǎng)絡(luò)業(yè)務(wù)感知能力為目的的部署策略?！捌锤兄?、“重業(yè)務(wù)”成為移動(dòng)園區(qū)網(wǎng)品質(zhì)建設(shè)的不二選擇。深度業(yè)務(wù)感知型移動(dòng)園區(qū)網(wǎng)文/繆炎從企業(yè)園區(qū)網(wǎng)的發(fā)展進(jìn)程可以看出，網(wǎng)絡(luò)的建設(shè)者和管理者正在嘗試以業(yè)務(wù)為核心將網(wǎng)絡(luò)的各個(gè)邏輯層級(jí)涉及的相關(guān)技術(shù)進(jìn)行分離，各個(gè)層級(jí)獨(dú)立發(fā)展，同時(shí)大量使用已經(jīng)獲得認(rèn)可的現(xiàn)有技術(shù)，降低整個(gè)網(wǎng)絡(luò)的部署成本。作為一體化園區(qū)網(wǎng)絡(luò)融合的重點(diǎn)，“隨人而動(dòng)”的移動(dòng)園區(qū)網(wǎng)通過實(shí)現(xiàn)網(wǎng)絡(luò)架構(gòu)的模塊化、簡(jiǎn)單化，各個(gè)層級(jí)精細(xì)化，讓用戶集中精力于自己所關(guān)注的業(yè)務(wù)，使網(wǎng)絡(luò)也因?yàn)橐粋€(gè)個(gè)精致的業(yè)務(wù)而獲得更好的發(fā)展。因此，如何建設(shè)并部署深度業(yè)務(wù)感知型移動(dòng)園區(qū)網(wǎng)是需要重點(diǎn)考慮的內(nèi)容。1.移動(dòng)接入下的園區(qū)網(wǎng)絡(luò)承載需求圖1移動(dòng)園區(qū)網(wǎng)業(yè)務(wù)承載邏輯圖1.1.移動(dòng)VoIP業(yè)務(wù)WLAN的園區(qū)全覆蓋帶來的最大增值業(yè)務(wù)之一，就是FMC（固定移動(dòng)融合）的企業(yè)統(tǒng)一通信，這也是未來智能建筑的準(zhǔn)入標(biāo)準(zhǔn)規(guī)格之一。如果無線控制層缺乏一定的業(yè)務(wù)感知能力，將無法對(duì)通過相關(guān)語音協(xié)議進(jìn)行傳輸?shù)臄?shù)據(jù)進(jìn)行內(nèi)容和行為的監(jiān)控，則會(huì)發(fā)生大量的數(shù)據(jù)移動(dòng)傳輸內(nèi)容不可控而可能帶來安全問題，特別是給大企業(yè)的網(wǎng)絡(luò)帶來安全問題。1.2.移動(dòng)P2P共享傳輸應(yīng)用P2P技術(shù)在一定程度上實(shí)現(xiàn)了IP網(wǎng)絡(luò)帶寬資源的合理分配，使一些對(duì)于帶寬要求高的業(yè)務(wù)（如視頻流媒體業(yè)務(wù)）有望得以規(guī)?；瘧?yīng)用。同時(shí)，大量P2P應(yīng)用也在瘋狂的搶占網(wǎng)絡(luò)帶寬資源，有數(shù)據(jù)顯示在晚上高峰時(shí)段大約有90％的流量為P2P應(yīng)用。通過觀察，大多數(shù)P2P傳輸中小報(bào)文比例超過60%，遠(yuǎn)遠(yuǎn)超過普通網(wǎng)絡(luò)應(yīng)用中的小報(bào)文比例。并且，大量的上行流量，也成為P2P共享傳輸應(yīng)用中重要的組成部分。雖然802.11-->802.11b-->802.11a/g-->802.11n協(xié)議主要致力于提高無線局域網(wǎng)的傳輸性能，實(shí)現(xiàn)了從2M-->11M-->54M-->300M理論傳輸能力的飛躍。但WLAN網(wǎng)絡(luò)的性能實(shí)際是指一個(gè)共享的空間媒質(zhì)所能夠支持的報(bào)文傳輸能力。所有的在這個(gè)空間媒質(zhì)中（這里還是指同信道）的所有設(shè)備都將共享空間媒質(zhì)的性能，也就是共同搶占空間媒質(zhì)。WLAN通過這個(gè)機(jī)制實(shí)現(xiàn)了設(shè)備在空間媒質(zhì)的報(bào)文的分時(shí)傳輸，也在一定程度上同樣會(huì)消耗空口資源，降低空口的傳輸能力。因此，有效地對(duì)移動(dòng)業(yè)務(wù)中的P2P應(yīng)用進(jìn)行感知控制，是移動(dòng)網(wǎng)絡(luò)需要具備的新特點(diǎn)之一。1.3.無處不在的實(shí)時(shí)移動(dòng)應(yīng)用隨著終端，特別是以MID（MobileInternetDevices）形式出現(xiàn)具備WLAN等多通道接入能力的移動(dòng)互聯(lián)網(wǎng)終端不斷優(yōu)化和普及，無處不在的實(shí)時(shí)移動(dòng)應(yīng)用成為移動(dòng)園區(qū)網(wǎng)重要的業(yè)務(wù)組成和接入延伸。但是，以MSN、QQ、SNS社區(qū)、微博等為代表的實(shí)時(shí)移動(dòng)應(yīng)用，往往也是雙刃劍。在提高溝通效率的同時(shí)，也會(huì)帶給企業(yè)管理者對(duì)工作效率的擔(dān)憂。從WiFi到智能手機(jī)，無線技術(shù)在企業(yè)中已經(jīng)無所不在，其地位越來越重要.但對(duì)企業(yè)IT部門而言，所面臨的挑戰(zhàn)也越來越復(fù)雜。針對(duì)實(shí)時(shí)移動(dòng)應(yīng)用的感知與控制，在有限的接入資源內(nèi)如何平衡關(guān)鍵業(yè)務(wù)（如ERP、視頻會(huì)議系統(tǒng)、數(shù)據(jù)庫、辦公室自動(dòng)化及VPN等）與非關(guān)鍵應(yīng)用（如P2P、移動(dòng)炒股、在線購物、SNS、網(wǎng)絡(luò)電視等），成為移動(dòng)園區(qū)網(wǎng)中業(yè)務(wù)與性能并重的核心關(guān)注點(diǎn)。2.傳統(tǒng)無線管理設(shè)備業(yè)務(wù)流量控制的局限性傳統(tǒng)無線管理設(shè)備的流量識(shí)別和QoS控制技術(shù)，是基于IP報(bào)文四層以下的內(nèi)容進(jìn)行流量分析，例如IP報(bào)文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口以及協(xié)議類型，存在以下局限性：

無法準(zhǔn)確識(shí)別TCP/UDP以上的應(yīng)用層協(xié)議，導(dǎo)致基于應(yīng)用的QoS控制失去作用。隨著新網(wǎng)絡(luò)應(yīng)用不斷出現(xiàn)，諸如基于IP報(bào)文的四層信息等傳統(tǒng)分析手段已經(jīng)不能準(zhǔn)確判斷流量中的應(yīng)用類型。例如，P2P類應(yīng)用的端口是隨機(jī)變化的，并且流量是加密傳輸?shù)?，傳統(tǒng)的技術(shù)無法對(duì)這類應(yīng)用的流量進(jìn)行識(shí)別和控制。

無法基于協(xié)議的應(yīng)用種類進(jìn)行QoS控制。隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，基于TCP或UDP的應(yīng)用協(xié)議種類繁多，可以達(dá)到成百上千種，基于協(xié)議對(duì)流量進(jìn)行管理將非常困難的。如果能夠按照所提供的服務(wù)對(duì)這些應(yīng)用協(xié)議進(jìn)行分類，然后針對(duì)這些服務(wù)進(jìn)行管理，那么對(duì)網(wǎng)絡(luò)流量的管理工作就會(huì)變得非常輕松。

無法對(duì)每用戶、每應(yīng)用實(shí)施細(xì)粒度、差異化的QoS控制。為了控制濫用帶寬，一些企業(yè)不僅期望能夠按照不同用戶或用戶組、不同應(yīng)用和不同時(shí)間段進(jìn)行帶寬控制，而且期望能夠精確地控制每個(gè)用戶的帶寬、細(xì)分每個(gè)用戶的每種應(yīng)用，并針對(duì)不同應(yīng)用實(shí)施差異化的帶寬控制。但由于用戶規(guī)模的擴(kuò)大、業(yè)務(wù)種類的增多，傳統(tǒng)設(shè)備無法輕松完成對(duì)每用戶、每應(yīng)用實(shí)施細(xì)粒度、差異化的QoS控制。

無法及時(shí)有效地監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況。網(wǎng)絡(luò)管理員由于缺乏對(duì)網(wǎng)絡(luò)內(nèi)部流量的深入分析，無法了解各種應(yīng)用所占帶寬比例，也就無法對(duì)園區(qū)出口帶寬進(jìn)行有效的控制。3.基于深度業(yè)務(wù)感知的移動(dòng)園區(qū)網(wǎng)解決方案針對(duì)園區(qū)網(wǎng)中移動(dòng)互聯(lián)的新特點(diǎn)，實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)應(yīng)用協(xié)議甚至加密應(yīng)用協(xié)議的精確識(shí)別，從而保障園區(qū)網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量，成為移動(dòng)園區(qū)網(wǎng)解決方案的核心關(guān)注點(diǎn)（如圖2所示）。業(yè)務(wù)感知型流量控制技術(shù)的優(yōu)點(diǎn)主要表現(xiàn)在以下幾個(gè)方面：

及時(shí)而有效地對(duì)網(wǎng)絡(luò)運(yùn)行狀況進(jìn)行實(shí)時(shí)、長(zhǎng)期的監(jiān)控，同時(shí)對(duì)網(wǎng)絡(luò)內(nèi)部的流量進(jìn)行深入的應(yīng)用分析，了解各種應(yīng)用所占帶寬比例。

通過設(shè)置相應(yīng)的流量控制策略，分時(shí)間段、按用戶和應(yīng)用實(shí)現(xiàn)流量控制和帶寬保證，幫助企業(yè)減少帶寬濫用，優(yōu)化現(xiàn)有帶寬資源，降低安全風(fēng)險(xiǎn)。

可以深入到每個(gè)單獨(dú)的用戶進(jìn)行相應(yīng)的策略管理?；陟`活的用戶、應(yīng)用、時(shí)間段等定義通道，針對(duì)每通道設(shè)置相應(yīng)的通道策略，真正實(shí)現(xiàn)差異化的智能流量控制。

當(dāng)網(wǎng)絡(luò)出現(xiàn)異常情況時(shí)，如DoS/DDoS攻擊，可以迅速的發(fā)現(xiàn)并及時(shí)地加以制止，可以有效地控制突發(fā)流量的并發(fā)連接數(shù)、新建連接速率和每連接最大帶寬。圖2深度業(yè)務(wù)感知型移動(dòng)園區(qū)接入網(wǎng)通過對(duì)應(yīng)用識(shí)別、應(yīng)用控制、行為審計(jì)的智能結(jié)合，移動(dòng)園區(qū)網(wǎng)的核心控制設(shè)備——無線控制器在協(xié)議識(shí)別、協(xié)議解析、應(yīng)用環(huán)境分析、狀態(tài)跟蹤和深度內(nèi)容檢測(cè)等方面具備了基于策略的業(yè)務(wù)承載能力，傳統(tǒng)的無線控制器（AC）向智能感知型無線控制器（i-AC）轉(zhuǎn)變3.1.i-AC應(yīng)用協(xié)議識(shí)別·固定端口協(xié)議。一些協(xié)議（如OSPF、BGP等）的端口是相對(duì)穩(wěn)定的，可以根據(jù)端口快速預(yù)識(shí)別它們；另外，由于用戶明確其網(wǎng)絡(luò)應(yīng)用布局，用戶也可以快速定義其對(duì)網(wǎng)絡(luò)中特定端口下的應(yīng)用協(xié)議。i-AC提供快速的固定端口協(xié)議預(yù)識(shí)別模型，同時(shí)會(huì)用協(xié)議智能決策來修正固定端口上誤報(bào)的協(xié)議，從而兼顧了識(shí)別系統(tǒng)的效率和準(zhǔn)確度?！ぬ卣鳡顟B(tài)機(jī)發(fā)現(xiàn)協(xié)議。絕大部分P2P協(xié)議的端口是不固定的，有的（如BT、Emule、迅雷、skype、UUCALL等）甚至有意使用一些標(biāo)準(zhǔn)協(xié)議的知名端口。對(duì)于這些協(xié)議的識(shí)別，必須依靠深入的數(shù)據(jù)分析。和其他應(yīng)用識(shí)別系統(tǒng)不同，i-AC不僅僅依靠單個(gè)報(bào)文的握手特征進(jìn)行應(yīng)用協(xié)議識(shí)別，還通過有狀態(tài)的特征狀態(tài)機(jī)進(jìn)行更精確的識(shí)別。·協(xié)商協(xié)議。目前越來越多的協(xié)議采用控制通道和數(shù)據(jù)通道配合的模型，控制通道用于交互登陸、建鏈和命令交互等，它會(huì)協(xié)商出一個(gè)或多個(gè)數(shù)據(jù)通道進(jìn)行數(shù)據(jù)交互。傳統(tǒng)的FTP屬于這種模型，絕大部分VOIP應(yīng)用也屬于這種模型，如skype、UUCALL等。i-AC針對(duì)這類協(xié)議，采用專門的識(shí)別技術(shù)，能有效地解決多通道關(guān)聯(lián)協(xié)議的識(shí)別問題?！に淼绤f(xié)議。防火墻和NAT設(shè)備的部署，造就了很多應(yīng)用層隧道的出現(xiàn)，這些隧道是應(yīng)用協(xié)議層次之間發(fā)生了嵌套。如HTTPTunne·，表面是一個(gè)80端口的連接，但實(shí)際上可能承載任何應(yīng)用數(shù)據(jù)。i-AC有專門的隧道識(shí)別模型，能夠識(shí)別象HTTPTunnel這類隧道內(nèi)的應(yīng)用協(xié)議。·協(xié)議插件確認(rèn)。i-AC是一個(gè)可擴(kuò)展、可插入的架構(gòu)，對(duì)于特定協(xié)議，i-AC將智能的結(jié)合協(xié)議插件的確認(rèn)結(jié)果進(jìn)行完全精確的協(xié)議識(shí)別。3.2.i-AC無線業(yè)務(wù)控制平臺(tái)作為園區(qū)網(wǎng)移動(dòng)接入的終結(jié)點(diǎn)，i-AC應(yīng)具備安全防護(hù)、P2P限流、流量監(jiān)控、用戶行為分析等多業(yè)務(wù)支持能力，對(duì)無線流量進(jìn)行集中管控和過濾，滿足大規(guī)模WLAN網(wǎng)絡(luò)可管、可控、安全等業(yè)務(wù)需求。圖3i-AC無線業(yè)務(wù)控制平臺(tái)如圖3所示，i-AC無線業(yè)務(wù)控制平臺(tái)采用基于通道的流量控制策略，能夠根據(jù)用戶的實(shí)際需求，提供強(qiáng)大而完善的控制手段。通過不同時(shí)間段、不同用戶、不同網(wǎng)絡(luò)應(yīng)用、不同控制動(dòng)作等條件實(shí)現(xiàn)不同情景下的策略配置，使策略應(yīng)用更加符合實(shí)際需要：

基于段、用戶、應(yīng)用、時(shí)間、控制動(dòng)作等條件，設(shè)置靈活的策略組合，實(shí)現(xiàn)按照部門、用戶和應(yīng)用設(shè)置差異化的流量控制策略；

提供應(yīng)用封堵、帶寬保證、帶寬限制、連接限制、優(yōu)先級(jí)改寫等多種手段，實(shí)現(xiàn)流量控制的多種效果；

通過通道的三重嵌套管理機(jī)制，實(shí)現(xiàn)層次化的流量整形，滿足用戶細(xì)粒度的帶寬管理要求；

支持通道帶寬的動(dòng)態(tài)分配，并根據(jù)用戶數(shù)量的變化動(dòng)態(tài)調(diào)整帶寬分配，保證帶寬資源高效與公平利用。與此同時(shí)，i-AC無線業(yè)務(wù)控制平臺(tái)還通過三重嵌套的通道機(jī)制，實(shí)現(xiàn)層次化的流量管理。網(wǎng)絡(luò)管理員可根據(jù)需要，對(duì)每個(gè)通道獨(dú)立設(shè)定保證帶寬、最大帶寬、優(yōu)先級(jí)。當(dāng)本通道中的流量超過基本保證帶寬而上級(jí)通道存在帶寬閑置時(shí)，可以允許優(yōu)先級(jí)高的通道借用閑置資源，從而最大限度的對(duì)無線接入的流量實(shí)現(xiàn)智能感知、識(shí)別、控制、管理。4.結(jié)束語進(jìn)入到虛擬園區(qū)網(wǎng)2.0時(shí)代，在一個(gè)應(yīng)用膨脹的網(wǎng)絡(luò)內(nèi)，當(dāng)上層應(yīng)用架構(gòu)固定終端向多樣化終端、固定空間向靈活空間、低效串行處理向高效實(shí)時(shí)并發(fā)處理的方式轉(zhuǎn)變的時(shí)候，網(wǎng)絡(luò)的接入模式必須得到充分的重視?；谏疃葮I(yè)務(wù)感知技術(shù)的移動(dòng)園區(qū)網(wǎng)解決方案，必將有效提高園區(qū)網(wǎng)的整體移動(dòng)業(yè)務(wù)承載能力，滿足園區(qū)網(wǎng)絡(luò)建設(shè)業(yè)務(wù)為先的實(shí)際需求。H3Ci-AC（intelligenceAccessController）智能感知型無線控制器。區(qū)別于傳統(tǒng)的WLAN無線控制器，i-AC智能融合了H3C獨(dú)有的深度業(yè)務(wù)感知處理引擎UAAE。