《ACS应用分类系统》PPT课件.ppt

Company LOGO AQS -基于应用分类系统 -ACS的 企业网 QoS解决方案 深圳市大秦信息技术有限公司 AQS AQS:基于应用分类系统 -ACS的企业网 QoS解决方案 -ACS -Based Enterprise Network QoS Solution 提纲 1 应用分类系统 -ACS介绍 2 AQS-基于应用分类系统 -ACS企 业网 QoS 解决方案 3 AQS应用 5 AQS实例 4 ACS产品清单 1.应用分类系统 ACS介绍 ACS-Application Classification System ACS系统介绍 1. ACS工作原理 2. ACS系统结构 ACS功能介绍 1. 对任意指定应用程序识别 : 2. 可实现集中策略定制管理 -对任意指定应用程序数据预先设定 DSCP 优先级策略 3. 对任意指定应用程序双向传输数据进行 DSCP优先级标记 4. 对指定的应用程序数据进行加密传输处理 5. 基于应用程序数据包的分析统计功能 ACS优势 -与 CISCO NBAR比较 ACS系统介绍 -ACS工作原理 ACS工作原理 应用程序识别 应用程序数据包 DSCP标识 分等级传输网络 客 户 端 应 用 程 序 应 用 服 务 器 应用 DSCP优 先级策略设定 应用程序识别 应用程序数据包 DSCP标识 分等级传输 网络 注 : 红色为 ACS组成部分 ACS系统介绍 - ACS系统结构 ACS系统结构 ACA 应用分类代理（ ACS Agent） 对客户端应用程序发送数据包进行识别并根据其 DSCP 优先级策略作 DSCP优先级标识处理；并将处理后的数 据发送到具有优先级分类传输网络 . ACB 应用分类检测桥（ ACS Bridge） 对服务器端发送数据包进行识别并根据其 DSCP优先级 策略作 DSCP优先级标识处理 ,并将处理后的数据发送到 具有优先级分类传输网络 . ACC 应用分类控制中心（ ACS Control Center） 实现垮平台的集中策略定制管理 .依据预先对指定应用 程序定制的优先级 ,设定其 DSCP值 . ACS功能介绍 -对任意指定应用程序识别 能够对企业网应用程序按照第 3 层到 7 层 协议对分组 进行分类， 即可以通过应用程序行为、源 IP地址 /目的 IP地址、 TCP/UDP 端口号（称为子端口分类）分类也 对有效负载的内容进行分类 (如 URL 等 )； 能够识别单客户端多个不同应用程序 能够识别单服务器端多个不同应用程序 ACS功能介绍 -可实现集中策略定制管理 集中策略定制管理 : 1. 能够针对每个应用 （ ,即 WEB应用规则、 , 即程序应用规则） 设定优先级策略 2. 对任意指定应用程序预先设定 DSCP优先级策略 -即设 定 DSCP值 3. 对需要进行加密传输的应用程序设定网络传输安全策 略 . ACS功能介绍 -对指定的应用程序数 据进行加密传输处理 对指定应用进行网络传输保护 用户可能需要对个别应用 ,比如财务、人事系统敏感数 据进行网络传输保护，防止从网络中被人为截取。 ACS功能介绍 -基于应用程序数据包 的分析统计功能 对网络中每个应用程序的数据包进行统计 对指定应用程序的数据包进行统计 多种分类查询功能 ACS优势 -与 CISCO NBAR比较 NBAR (Network-Based Application Recognition 基于网络的应用识别 ) CISCO NBAR协议分类器 ACS应用软件分类器 特点 基于网络的应用程序识别 (NBAR)；可以对使用动态分配 TCP/UDP端口号的应用程序和 HTTP流量等进行分类 . NBAR 可以基于第 4 层到 7 层 协议对分组进行分类。 NBAR 不查看分组的 TCP/UDP 端口号（称为子端口分 类）， 而是检测分组本身的有效负载， 并对有效负载 的内容进行分类； 基于应用程序分类。 可以对第 3 层到 7 层 协议 对分组进行分类， 即可以通过应用程序行为、 源 IP地址 /目的 IP地址、 TCP/UDP 端口号（称为子 端口分类）分类也对有效负载的内容进行分类 (如 URL 等 )； 操作系统 CISCO 路由器 IOS Windows XP/NT/2003 Unix/Linux 协议分类方式 通过有效负载与协议描述语言 模块 （ PDLM）进行匹配来区分协议 . 通过应用程序行为、源 IP地址 /目的 IP地址、TCP/UDP 端口号以及有效负载的内容进行分类 (如 URL 等 ) 逻辑接口限制 NBAR 不能在下列逻辑接口上使用： 1.快速以太网信道 . 2.使用了隧道或加密技术的接口 . 3.SVI. 4.拨号接口 . 5.多链路 PPP(MLP). 所有基于 IP 的应用 其他限制： 1.不支持多于 24个的并发 URL,HOST或 MINE的匹配类型 . 2.不支持超过 400字节的 URL匹配 . 3.不支持非 IP流量 . 4.不支持组播或其他非 CEF的交换模式 . 5.不支持被分片的数据包 . 6.不支持源自或去往运行 NBAR的路由器的 IP流量 . 1.支持多于 24个的并发 URL,HOST 2.支持超过 400字节的 URL匹配 . 3.不支持非 IP流量 . 4.支持组播 . 5.支持被分片的数据包 . 6.支持源自或去往运行任意的路由器的 IP流量 . 识别能力 依赖协议描述语言 模块 （ PDLM）协议数量， 没在 PDLM 中描述的协议不支持 基于 IP应用基本无限制 , 能够识别单客户端不同应用程序 ,单服务器端不同应用程序 . 扩展能力 由 CISCO PDLM 限制 无限制 2. AQS-基于应用分类系统 -ACS企业网 QoS 解决方案 AQS组成 AQS=ACS+具有 QoS功能的网络 AQS优势 1. ACS更高精确度的应用识别 ,更适用于专用企业网络应用 . 2. 集中策略管理 3. 通用性强 4. 使用简单 5. 成本低 AQS应用 1. 局域网应用 2. 广域网应用 3. VPN应用 AQS组成 AQS=ACS+具有 QoS功能的网络 AQS (基于 ACS的网络 QoS解决方案 ) = ACS 具有 QoS 功能 的网 络系 统 分类和标记工具 管制和整型工具 拥塞避免 (有选择丢弃 )工具 拥塞管理 (排队 )工具 链路相关工具 + AQS应用原理图 R 3 A C C A C B 2 A C B 1 策 略 控 制 中 心 业 务 应 用 目 的 服 务 器 群 R 4 R 5 低 带 宽 链 路 启 用 L L Q 服 务 低 带 宽 链 路 启 用 L L Q 服 务 低 带 宽 链 路 启 用 L L Q 服 务 低 带 宽 链 路 启 用 L L Q 服 务 R 2 R 1 低 带 宽 链 路 启 用 L L Q 服 务 A C A U s e r AQS优势 1. ACS具有更高精确度的应用识别 :相对目前其它识别技 术 ,ACS具有更高精确度的应用识别能力 2. 集中策略管理 :在策略控制中心 ACC即可集中设定指定 应用策略 . 3. 通用性强 :各类企业网用户 4. 使用简单 :傻瓜型参数配置 5. 成本低 :相对其它方案 6. 应用范围广 :由于没有应用识别特征库 ,基本上能够满足 基于 IP的所有应用 7. 采用中兴通讯的技术体系和高性能稳定的硬件平台 根据用户使用规模， 灵活定制解决方案； 专用的 QoA检测代理 客户端软件，具有高 安 全防范性功能； AQS 系统 采用中兴通讯的技术体系和 高性能稳定的硬件平台； 与路由器 QoS策略服务进行联动。 支持 QoB检测桥双机热备， 提高系统传输数据的稳定性 ； 支持操作系统 WINDOWS XP/NT/2003 Unix/Linux。 通过应用程序行为、源 /目的 IP地址、 TCP/UDP 端口号以及有效负载的 内容进行分类； 可为每一个应用设定是否加密； 可以从 3层到 7层协议进行 分组分类； 制定每个指定应用（、） 的 IP QoS策略； 每个应用都能够获得相应 的优先级。 AQS系统产品优势 QoA检测代理客户端软 件， 防篡改防注入。 基于服务器接入的身份认证： 电子证书 +信任检测技术 (TDS)； AQS应用 1. 局域网应用 2. 广域网应用 3. VPN应用 4. 电信增值服务应用 AQS-专网或互联网应用示意图 路由器 路由器 业务分类检测桥 ACB 业务分类控制中心 ACC IP AQS系统设定应用优先权 ： DSCP:CS4 DSCP:CS3 DSCP:AF21 DCSP:BE 流应用媒体 办公业务应用 业务管理应用 IP语音应用 ACA V 流媒体 办公业务 业务管理 IP语音 应用服务器群 专网或互联网 AQS-企业网应用示意图 多 应 用 终 端 1 A C A 单 应 用 终 端 2 A C A 多 应 用 终 端 3 A C A M u l t i A p l i c a t i o n S e r v e r F T P S e r v e r M u l t i W E B S e r v e r A C C C o n t r o l T e r m i n a l A C C A C B 单 应 用 终 端 4 A C A 交 换 机 交 换 机 防 火 墙 路 由 器 路 由 器 2 M B P S / S D H VPN应用 GRE VPN MPLS VPN IP SEC VPN A C S 在 G R E V P N 环 境 应 用 示 意 图 T A 1 : 语 音 ( A C A ) T A 2 : 应 用 2 T A 3 : 应 用 3 T A 4 : 应 用 4 T A 5 : 应 用 5 ( A C A ) 港 湾 2 4 2 A C B B a n d : 2 M B P S T u n n e l : 1 M B P S 港 湾 2 4 2 T A 1 : 语 音 服 务 器 T A 2 , T A 3 , T A 4 , T A 5 应 用 服 务 器 A : F T P 服 务 器 A : F T P G R E T u n n e l 1 E T H 0 / 0 E T H 0 / 1 E T H 0 / 0 E T H 0 / 1 A C C 电信增值服务应用 为企业提供 QoS增值服务 控制用户滥用优先级资源 电信增值服务应用 -为企业提供 QoS增值服务 电信营运商利用自身传输平台 ,并将该传输平台在配置 上升级为一个具有 QoS功能的传输平台就能够为企业提 供优先级增值服务 ,为电信带来新的利润增长点 ,要实现 这一目标 ,就必须能够对企业的应用进行分类 ,而企业的 应用千变万化 ,这就需要有更高精度的通用应用识别分 类系统 ;无疑 ACS正是业界目前应用识别能力最强的应 用识别分类系统 . 电信增值服务应用 -控制用户滥用优先级资源 电信在为企业提供优先级增值服务的同时 ,必然带来用 户可能滥用电信优先级的情况 ,特别是在互联网传输平 台 .ACS的应用可以控制这种情况的发生 . ACS如何控制用户滥用高优先级 资源 T D C T D B 2 T D B 1 策 略 控 制 中 心 T D A U s e r 普 通 用 户 增 值 服 务 用 户 业 务 应 用 目 的 服 务 器 群 I n t e r n e t 传 输 平 台 A D S L / V D S L 接 入 接 入 服 务 器 A D S L / V D S L 接 入 增 值 服 务 用 户 群 ACS产品清单 软件 A ACA ACS Agent ACC 100 ACC 500 ACC 1000 ACC 5000 ACC 10000 MORE C ACC ACS Control Center ACB 10 ACB 100 ACB 1000 B ACB ACS Bridge ACS产品清单说明 ACA-安装在客户端软件包 ACB ACB 10(10M流量 ) ACB 100(100M流量 ) ACB 1000(1000M流量 ) ACC ACC 100 （ 100用户数） ACC 500 （ 500用户数） ACC 1000 （ 1000用户数） ACC 5000 （ 5000用户数） ACC 10000 （ 10000用户数） MORE 更高用户数 AQS实例 海关总署业务管理网 AQS实例示意图 多 应 用 终 端 1 A C A 单 应 用 终 端 2 A C A 多 应 用 终 端 3 A C A 多 业 务 服 务 器 人 事 系 统 财 务 系 统 A C C C o n t r o l T e r m i n a l A C C A C B 单 应 用 终 端 4 A C A 交 换 机 交 换 机 防 火 墙 路 由 器 路 由 器 2 M B P S / S D H Company LOGO