电信用户网络优化解决方案

MaxNet AOS带宽管理与应用优化系统方案
IP带宽管理与流量控制
系统方案
苏州迈科网络安全技术有限公司
2009年6月
目录
1.概述 (3)
1.1. 电信行业网络背景分析 (3)
1.2. 网络运维管理面临的问题和挑战 (4)
1.3. 目前学校的网络问题分析 (5)
1.4. 部署流量管理设备的必要性分析 (6)
1.5. 目前学校原有网络拓扑分析.................................................. 错误！未定义书签。

1.6. 学校改造网络拓扑分析 (8)
2.Maxnet带宽管理与应用优化思路和步骤 (9)
3.Maxnet AOS解决方案优势分析 (12)
3.1．Maxnet系统解决方案实现的功能和目标 (12)
3.2. Maxnet AOS系统体系架构概述 (12)
3.3. Maxnet AOS系统体系结构技术优势分析 (14)
3.3.1采用专用芯片和硬件加速，保证线速吞吐量 (14)
3.3.2 基于DPI核心技术的应用优化与带宽管理解决方案 (15)
3.3.3 采用多种带宽控制算法，实现灵活的、精细化的流量整形和带宽控制 (16)
3.3.4 基于硬件Bypass实现系统的高可靠性 (16)
3.3.5 支持In-Line接入及双机冗余的高可用性 (16)
3.4. Maxnet AOS系统的主要功能分析 (17)
3.4.1 网络流量的可视化分析 (18)
3.4.2 流量整形与应用优化 (24)
3.4.3 报表分析管理 (29)
3.4.4 调整与改进 (33)
3.4.5 系统管理功能 (34)
4.结论：Maxnet系统解决方案带来的收益 (35)
5.案例：国内和国外部分成功客户名单 (36)
1.概述
1.1.电信行业网络背景分析
2007年，经过了7年的信息化建设，通过科研需求、教学应用、网络办公、网上娱乐等方面，网络应用逐渐渗透到了校园生活的方方面面。

教师上网备课，接收邮件，网络聊天，游戏购物等等，校园用户联网的时间一天天延长。

随着教育信息化建设的不断深入，中国教育网络的发展异常迅速，极大地推动了教学、科研的水平，基于网络的多媒体课件、远程教学、国内外校际合作使得现代教育成为一个电子化学习的大课堂。

教育部科技发展中心公布的相关数据显示，98.4%的高校教学、科研、行政办公已经全部联入校园网，90.5%高校的教室已提供了校园网接入环境，74.35%的学校在学生宿舍已经接入网络，校园网覆盖范围正在一圈圈地扩大。

伴随着校园网络的发展，“数字校园”概念逐渐被高等院校采纳和实施。

迈科公司对“数字校园”的理解是，它首先是指一种依托现实校园而存在的、以网络为基础的校园平台；其次，这一平台通过数字化环境支撑，实现了环境、资源、活动的数字化，辅助完成校园活动的全部过程，并将校园活动延伸拓展到社区、社会；第三，也是更为重要的是，它不只是简单地把传统学校活动数字化，照搬到网络上，而是在这一过程中重新整理、设计和构造学校活动，优化并提高学校工作质量、师生生活与学习质量。

目前校园网一般是由网络设备、计算机及其辅助设备、软件等构成的为学校教育教学和管理服务的应用系统。

需要通过与广域网的互联实现远距离信息交流和资源共享。

随着多媒体视频应用的普及，加之P2P应用的不断增长，校园网的带宽性能面临着严峻的考验。

对于较大规模的校园网，已经要求万兆核心、千兆汇聚、百兆到桌面。

可以说，高速、稳定、安全、可管理是校园网建设的基本要求和最终目标。

1.2.网络运维管理面临的问题和挑战
网络管理人员无时无刻不在利用着网络，外网的信息访问量也不断增加。

通过网页访问、即时通信、远程协助、数据共享和Email这些先进的应用手段，提高了教育信息领域信息共享的效率，缩短了教育信息工作者之间的距离，提高了教育信息的办公效率。

但是，随之而来的是基于这些应用的网络安全问题不断发生，管理员在网络运维管理方面面临很多问题和挑战，具体变现如下：
●网络应用业务不透明，无法分析、评估网络中的流量和带宽的使用效率
目前政务网内的IT系统是路由器和交换机来组建的，而交换机和路由网对各类协议和应用在能见度上显得苍白无力。

管理员无法知道政务网的网络的运行状况、带宽的使用情况以及网络中到底运行着什么应用。

绝大多数用户的网络完全处于失控状态。

IT管理员没有一个有效的管理工具来回答下述经常面临的问题：
✓运营商提供给教育信息网的链路是否达到要求，链路的运行质量如何？
✓网络出口的带宽到底是在被如何使用的？带宽使用的详细情况是什么？（例如高峰在何时？占用带宽比重大的应用、用户是哪些？）✓网络中哪些用户、哪些应用占用了大部分的网络带宽资源？
✓对于突发的网络病毒导致的异常流量的情况无法预警并采取相应的措施来进行监视、控制和解决；
✓我们什么时候需要进行网络的升级和带宽扩容等等问题。

1.3. 目前学校的网络问题分析
●网络应用业务不透明
目前学校网络的IT系统以路由器和交换机组建，而交换机和路由网对各类协议和应用在能见度上显得苍白无力。

IT管理员无法知道网络系统的运行状况、带宽的使用情况以及网络中到底运行着什么应用。

一份来自于IDC的权威数据显示：80%以上的IT管理人员无法准确了解自己的网络里存在哪些应用；哪些是关键应用；哪些是普通应用；以及各种应用的运行状态；带宽资源的占用情况和网络使用的性能。

绝大多数用户的网络完全处于失控状态。

●网络关键业务及应用的运营得不到有效保障
学校网络中网络使用的范围有教育教学、办公自动化、网上招生、网络教学、学生宿舍网运营。

包含各类的网络应用，如网上课件交流、办公软件、email、FTP、WEB、在线点播等。

目前学校网络网络系统中缺乏有效的网络管理策略，对主要应用（如网上课件交流、OA、邮件等）、时延敏感的应用（网络教学、网上招生）、即时通讯、P2P、网络游戏等应用同时一视同仁，网络的使用不是根据业务应用的优先级以及重要程度来支配的。

最终导致诸如网络游戏、P2P应用对网络带宽资源严重的毫无节制的抢占使用。

严重影响了工作时间办公应用、实验室的测试、网上招生等重要业务。

●缺乏应用运行性能准确评测
当用户申告应用响应速度缓慢或不断掉线时，网络管理人员无法判定到底是网络出了问题还是应用服务器本身有毛病，也无法对“快慢”作准确定义。

是网络出现了阻塞还是服务器过载？是什么应用产生了阻塞？是什么人产生消耗了网络的带宽？
网络的带宽资源够不够？如果不够扩多少？一直以来没有一个很好的理论依据。

1.4.部署流量管理设备的必要性分析
随着IT技术的发展，基于TCP/IP的应用也从最初简单的网络层应用发展到应用层也就是OSI第七层的应用，而网络的建设也已经从物理层连接，数据链路层和网络层的高速网络的建设。

在此发展过程中，随之而来的----如何保证网络应用的安全和性能已经成为困扰所有网络用户的问题，是所有网络用户迫在眉睫需要解决的问题。

按照传统的带宽解决方案，当发生网络速度慢、带宽资源不足的情况下，一般都都是选择扩容来增加网络带宽，以此来保证网络运行的通畅。

但是，一方面新增的带宽随着时间的推移也会被非关键应用吞噬，是治标不治本，达不到我们的目的；此外这笔额外的投资无疑是巨大的，而且使系统监管变得更加复杂。

根据学校网络系统的现状，以及学校在进行网络运维管理过程中面临的问题和挑战，我们对学校应用优化与带宽管理系统的建设进行全面系统的分析。

“在带宽管理中，我们必须明确谁？在什么时间？是否可以使用某种网络应用？可以拥有多少带宽？”针对学校的情况，我们提出如下建议：“带宽管理需要以用户或应用为对象，以时间为纬度，以带宽值为杠杆，制定精细的管理分配策略，真正帮助企业提升带宽价值。

”
综上所述，学校应用优化与带宽管理的建设需求为：
●能够自动分析和识别网络中L2～L7层的各种网络协议和应用，实现网
络运行的可视化；
●通过分析各种协议和应用的带宽使用情况，分析网络性能瓶颈的原因，
并通过相应的措施予以控制和解决；
●能够全面识别和控制包括P2P、V oIP、视频/流媒体、HTTP、网络游戏、
数据库及中间件等在内的多种应用；
●能够基于应用优先级的划分实现全面的带宽控制，并提供虚拟带宽通
道、最大带宽限制、保证带宽、带宽租借等带宽管理功能；
●能够基于源/目的IP、时间段、VLAN ID、Session数、应用协议等参数，
实现应用优化与带宽控制策略；
●能够识别并阻断黑客的端口扫描以及普通的DoS攻击行为；
系统能够提供丰富的、图文并茂的报表；
通过建成学校应用优化与带宽管理系统，为用户提供主动式的、智能化的、可视化的带宽管理服务，达到可视、可测、可控、可优化的管理目标，为带宽优化与管控、网络规划提供科学的依据。

1.6.学校改造网络拓扑分析
Maxnet AOS IP 6500带宽管理设备采用In-Line（桥接）接入模式串接在核心交换机和网路防火墙之间，同时，系统提供图形化的中/英文管理界面来全面监控和分析每条网络链路的流量。

2.Maxnet带宽管理与应用优化思路和步骤
苏州迈科网络安全技术有限公司（以下简称迈科公司）是全球带宽管理和应用优化市场的先行者，凭借着强大的研发团队和在协议分析、带宽管理、应用优化等方面近5年多的实践经验，推出业界领先的AOS（应用优化系统）系统。

迈科公司致力于为全球网络用户提供先进的带宽管理、流量控制和应用优化解决方案。

作为业界领先的应用优化与流量管控解决方案，Maxnet AOS系统以DPI和行为启发式分析技术为核心，结合带宽自动分配算法、令牌桶算法、随机公平队列等技术，能够全面识别和控制包括P2P、VoIP、视频/流媒体、HTTP、网络游戏、数据库及中间件等在内的多种应用，提供虚拟带宽通道划分、最大带宽限制、保证带宽、带宽租借、应用优先级等一系列带宽管理功能，为用户提供主动式的、智能化的、可视化的带宽管理服务，达到可视、可测、可控、可优化的管理目标，为带宽优化与管控、网络规划提供科学的依据。

Maxnet AOS带宽管理从检测分类、应用优化与控制、报告分析、优化改进四个步骤进行带宽管理和引用优化，具体如下：
第一步：网络流量的实时检测与智能分类
AOS系统即插即用，通过透明桥接（In-line）的方式接入到教育信息行业
的网络系统中。

系统基于DPI智能分类引擎，实现对网络中L2～L7层网络协议和应用进行自动识别和分类。

管理员最终可以根据带宽和应用使用现状的详细评估，找到当前网络带宽使用和应用性能方面存在的问题和隐患，并为后续的应用优化和带宽控制提供科学的依据。

第二步：应用优化与带宽控制
针对教育信息行业应用优化和带宽管理的需求，对关键业务进行优先级的划分，并为不同级别的业务应用和网络协议划分了高、中、低三种级别的虚拟带宽通道，然后在高、中、低三个级别的通道下面，为不同的网络协议和业务应用细分相应的子通道，从而提供最大带宽限制、保证带宽、带宽组件、随机公平队列等功能。

同时应用防火墙通过基于源/目的IP、时间段、VLAN ID、Session数、应用协议等参数，实现应用优化与带宽控制策略，合理分配网络带宽，提高网络带宽的使用效率。

第三步：报表分析管理
在完成第二步的应用优化和带宽控制的措施后，AOS系统提供丰富的、图文并茂的、实时的和历史（天、周、月、年）的统计分析报告；管理员通过这些报告可以了解带宽使用情况，同时对带宽控制的结果进行跟踪，为下一步带宽控制策略的调整与优化打下基础。

第四步：带宽控制策略的调整与优化
管理员基于AOS系统提供的详细的图表报告和统计分析报表，对应用优化和带宽控制策略实施情况进行跟踪和观察，全面了解网络中应用及协议带宽使用情况的变化，以及带宽控制策略的实施结果是否达到预期效果，然后针对性进行带宽控制策略的调整与改进。

在带宽管理的整个生命周期中，随着时间的推移、技术的发展、新的软件普及、应用系统以及应用模式的变化，随时会产生新的带宽管理问题。

因此，需要
管理员一方面要及时更新厂商提供的特征库，保证对新的应用和协议能够进行识别和分类；另一方面，要从AOS系统提供的基于协议和基于IP的实时协议分析器中，全面了解网络中运行的应用和协议，以及它们占用带宽的情况，这样才能全面掌控网络运行环境和现状，明确网络中是否存在带宽管理和使用的问题，并充分利用AOS系统提供的带宽控制和管理的功能，进一步优先应用和带宽的使用，最终建成循环式的、主动的、智能化的带宽管理解决方案。

3.Maxnet AOS解决方案优势分析
3.1．Maxnet系统解决方案实现的功能和目标
Maxnet应用优化和带宽管理解决方案为学校网络达到如下功能和效果：
●校园网骨干网络的可视化：系统基于DPI（深度包检测）技术实现对
L2~L7层协议和应用的识别，从而使得管理员能够全面了解校园网出口
中运行的协议和应用，以及带宽的详细使用情况。

●保障校园中的关键应用：通过基于带宽通道和应用防火墙策略，保障校
园网中核心关键应用的带宽使用，特别是远程教学、多媒体教学、HTTP
访问等校园网中的重要应用。

●保障时延要求高的特殊应用，如V oIP、视频会议等。

●保障校园网中重要用户群体的带宽使用，如领导、远程教学、IT管理部
门等对带宽有特殊要求的用户群体，可以单独为他们设立相应的带宽通
道，以满足工作的需要。

●学生上网行为控制：限制校园网中学生访问Internet的P2P、流媒体及
在线视频、聊天、网络游戏等应用。

●提高网络系统的整体安全性：系统识别并阻断端口扫描、DoS攻击等黑
客行为；限制用户的连接数，以防止大规模病毒爆发对网络性能的影响。

3.2. Maxnet AOS系统体系架构概述
Maxnet AOS系统采用了业界最先进的分布式计算、集中式管理的三层体系结构，其中IP带宽管理设备作为最核心的设备，负责主要的计算和处理工作；管理服务器作为整体AOS系统的枢纽，负责对IP带宽管理设备的管理以及数据的分析和存储；客户端作为配置管理的终端，负责AOS系统的配置管理及日常运维工作。

三个层次各司其职，又相互关联，达到最佳的可用性和稳定性。

Maxnet AOS系统的体系结构如下图所示。

Maxnet AOS系统三个层次的功能描述如下：
●IP带宽管理设备（IP bandwidth management Appliance）
IP带宽管理设备作为AOS系统最核心的设备，主要负责的是“快速地”与“准确地”执行流量实时分析、内容深度检测与智能分类、应用层防火墙以及带宽优化与控制等任务。

IP系列带宽管理设备采用了多种软硬件加速机制，能够提供线速的10/100/1000Mbps吞吐量。

IP带宽管理设备以In-line（桥接）模式串接到网络链路中，不需要更变用户原有的网络结构和拓扑，同时也不会影响到网络运行的效率和速度。

●管理服务器（Management Server）
管理服务器是AOS系统的枢纽，它一方面要负责集中管理和控制部署在网络中的所有IP带宽管理设备，并接收来自于不同IP带宽管理设备的数据，然后进行详细地分析和统计报告；另一方面，它接收管理客户端的指令来对AOS系统进行配置管理和日常运维工作。

管理服务器为B/S架构，它自身是一个专用的Web服务器，运行在Windows
2000/XP/2003平台上；管理服务器带有专用的数据库软件，负责存储实时/历史流量数据和配置管理信息。

AOS系统支持分布式结构、集中式管理，IP带宽管理设备分布式的部署在用户的各个网络当中，并通过管理服务器进行集中式的管理和控制。

管理客户端（Client）
管理客户端即IE浏览器，需要支持JAVE环境（安装JRE软件即可）。

只要管理客户端能够访问数据管理中心服务器，它就可以在任何地方管理任何架设于管理服务器之下的IP带宽管理设备。

3.3. Maxnet AOS系统体系结构技术优势分析
3.3.1采用专用芯片和硬件加速，保证线速吞吐量
MAXNET AOS系统IP带宽管理设备采用专用的芯片、优化的硬件架构、各种软硬件加速机制，能为用户提供10/100/1000M网络环境下的多通道的线速吞吐量。

MAXNET AOS系统IP带宽管理设备高端产品采用MIPS架构，并采用了多核的MIPS芯片，集成了内容分析、数据加密与压缩等专用CPU功能，实现
了高流量环境下的线速处理能力。

3.3.2 基于DPI核心技术的应用优化与带宽管理解决方案
MAXNET AOS系统以DPI技术为核心，通过IP带宽管理设备中的DPI智能分类引擎，结合基于应用特征字（签名）及基于行为启发式的技术，通过对IP 地址、源/目标端口、会话信息以及应用层数据的深入分析，可以识别L2到L7层的各种协议和应用，最终实现网络传输的全面可视化。

目前，MAXNET AOS系统能够识别600多种网络协议和应用软件，涵盖了
目前主流的各种应用，包括P2P、IM、V oIP、视频/流媒体、网络游戏、炒股软件以及企业内部核心应用等。

同时，MAXNET依托位于苏州工业园区的中国研发中心，为用户提供快速、及时的、本地化的特征库升级服务。

AOS系统通过DPI技术实现应用和协议的自动识别与分类，同时结合各种先进的Qos保障机制和算法，为用户提供主动的、智能化的带宽管理服务。

3.3.3 采用多种带宽控制算法，实现灵活的、精细化的流量整形和带宽控制
MAXNET AOS系统采用利用令牌桶算法进行精确的流量整形与控制，支持多层次、多级的带宽通道的划分，并利用SFQ（Stochastic Fairness Queueing）等队列控制算法公平的分配带宽，避免带宽被某一用户或应用抢占，实现了强大的精细化的流量整形和带宽控制能力，能够在IP网络上为用户提供保证带宽（guaranteed bandwidth）、最大带宽（maximum bandwidth）、带宽租借（Link sharing (borrowing)）、以及优先级（Priority）、Per-IP带宽控制、Per-Net带宽控制等带宽管理功能。

3.3.4 基于硬件Bypass实现系统的高可靠性
IP带宽管理设备支持多种方式的旁路措施（Bypass），内置电口旁路以及外置光Bypass交换机，在设备故障和断电时不影响网络的正常运行；智能化的Software Bypass设计在即使发生不可预测的软件故障或性能问题时保证网络的顺畅，保证用户网络的高可用性和安全性。

MAXNET AOS系统IP 带宽管理设备所有型号都支持内置电口硬件Bypass 和软件Bypass，高端产品还支持外置光Bypass交换机，结合硬件Watchdog监控等功能保障用户网络的万无一失。

3.3.5 支持In-Line接入及双机冗余的高可用性
MAXNET AOS系统IP带宽管理设备采用透明模式，自身运行在In-Line桥接模式下，无需配置IP地址，完全无须改变现有网络结构或客户端计算机设定。

IP带宽管理设备即插即用，易于部署和使用。

此外，MAXNET AOS系统IP带宽管理设备支持双机冗余的高可用解决方案，用户可以采用两台IP带宽管理设备组成高可用集群阵列，有效的避免单点故障，提高网络的可用性。

3.4. Maxnet AOS系统的主要功能分析
作为业界领先的应用优化与流量管控解决方案，MAXNET AOS系统以DPI 和行为启发式分析技术为核心，结合带宽自动分配算法、令牌桶算法、随机公平队列等技术，能够全面识别和控制包括P2P、V oIP、视频/流媒体、HTTP、网络游戏、数据库等在内的多种应用，提供虚拟带宽通道划分、最大带宽限制、保证带宽、带宽租借、应用优先级等一系列带宽管理功能，为用户提供主动式的、智能化的、可视化的带宽管理服务，达到可视、可测、可控、可优化的管理目标，为带宽优化与管控、网络规划提供科学的依据。

如下图所示，MAXNET AOS系统的主要功能包括四个部分：
●网络流量的实时检测与智能分类
●应用优化与带宽控制
●报表分析管理
●带宽控制策略的调整与优化
3.4.1 网络流量的可视化分析
1、网络流量的实时监控与分析---检测与智能分类
AOS系统实时流量分析器提供了实时流量采集、分析和展现功能，实时流量数据支持自动刷新，并提供IP地址、应用、通道、带宽等各种实时流量图表，让用户可以全面掌控网络带宽的使用情况，使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。

AOS系统提供如下实时流量分析报表：
●外网接口的实时流量报告
●内网接口的实时流量报告
●前10位带宽使用的IP子网的柱状、饼状的实时流量报告
●前10位带宽使用的协议的柱状、饼状的实时流量报告
●前N位带宽使用的IP的实时流量报告
●协议流量实时分析器和IP流量实时分析器
●带宽通道的实时流量报告
在线IP数和并发会话数的实时曲线图
此外，AOS实时流量分析器还提供基于协议和基于IP地址（用户）两种类型的实时流量分析器，管理员可以直观的查看整个网络从三层到七层网络流量的详细情况。

如下图所示。

●基于协议的实时流量分析器：通过此实时分析界面管理员可以实时了解
网络中正在运行的各种协议，同时针对每一种协议，可以实时了解其总
的Session数、每个Session的连接信息、源/目标IP地址、源/目标
端口号、流入/流出的流量大小等关键参数，
●基于IP段的实时流量分析器：实时了解网络中各个IP地址段的详细流
量信息，同时针对每一IP地址段，可以实时了解其总的Session数、
应用情况、流入/流出的流量大小等关键参数。

AOS实时流量分析器是管理员优化网络带宽、解决带宽恶意使用的有力的管理工具，为后续的带宽优化与管控、网络规划提供科学的依据。

●全网流量的实时采集、监控和感知，管理员可从全局和宏观的角度详细
网络的总体情况，包括网络流量的构成、带宽的使用分布、各用户的带
宽使用情况等；
●精细分析网络带宽的使用情况，帮助管理员准确定位网络问题和故障，
包括网络带宽不够用、突发的网络流量导致的性能瓶颈、病毒爆发等问
题；
●了解网络关键业务应用的运行状况，包括关键业务应用的种类、数量，
对带宽的使用情况，运行性能等情况；
●分析网络带宽的使用效率以及网络传输质量的水平；
●为信息中心进行网络规划、系统扩容等提供科学的依据。

2、基于DPI技术的应用层自动识别和智能分类
DPI（Deep Packet Inspect，深度包检测）是目前通过IP包来检测、识别和判断协议及应用（IP流）的最核心、最有效的技术手段。

DPI技术通过源IP地址、目的IP地址、源端口、目的端口以及会话信息，同时增加了对IP包中应用层数据深入分析，最终可以识别各种类型的协议和应用。

MAXNET AOS系统以DPI技术为核心，通过IP带宽管理设备中的DPI智能分类引擎，结合基于应用特征字（签名）及基于行为启发式的技术，实现网络中应用的自动识别和智能分类。

MAXNET AOS系统通过应用深度包检测技术提供了应用分析和应用优化的功能，它能深入检查信息包流，查出阻塞节点，可以基于特征检测，结合流量整形和带宽控制，来优化用户的网络和应用的可用性。

通过采用DPI技术，AOS系统可以探测和跟踪动态端口分配，通过比对协议的特征库，能够识别变动端口的会话流，并能够对使用同一端口的不同协议进行自动识别。

如下图为MAXNET AOS系统应用自动识别与智能分类示意图。