10 元
下载资源

烽火网络DPI产品解决方案

上传人:仙*** 文档编号:241575095 上传时间:2024-07-05 格式:PPT 页数:52 大小:2.21MB
返回 下载 相关 举报
烽火网络DPI产品解决方案_第1页
第1页 / 共52页
烽火网络DPI产品解决方案_第2页
第2页 / 共52页
烽火网络DPI产品解决方案_第3页
第3页 / 共52页
点击查看更多>>
资源描述
烽火网络DPI产品解决方案AC OutlineFiberhome Networks co.,LTD 2024年7月5日Page 2 提纲DPI产品概述DPI关键技术DPI系统应用DPI产品介绍Fiberhome Networks co.,LTD 2024年7月5日Page 3 三网融合运营商进入全业务竞争时代p电信运营商和有线电视运营商业务互相渗透p通过全业务绑定及价格策略互相争夺客户p电信运营商通过铺设FTTH来提供IPTV业务,抢夺有线电视运营商TV业务p有线电视运营商通过自建移动网络或MVNO的方式进入传统电信运营商的移动领域,形成全业务竞争三网融合时代需要利用有限的资源,为用户提供精细化、差异化的服务;对业务实现更进一步的可管、可控,实现可选择的精细化运营。Fiberhome Networks co.,LTD 2024年7月5日Page 4 DPI是运营商业务精细化控制的最佳选择Fiberhome Networks co.,LTD 2024年7月5日Page 5 运营商业务精准管控的需求AC OutlineFiberhome Networks co.,LTD 2024年7月5日Page 6 提纲DPI产品概述DPI关键技术DPI系统应用DPI产品介绍Fiberhome Networks co.,LTD 2024年7月5日Page 7 DPI系统架构DPI软件应用系统采用B/S(浏览器/服务器)架构设计,用户使用网络终端通过浏览器访问软件系统。数据流从网络接口进入系统后,在底层操作系统直接转发,由网络DMA引擎直接将流量信息导入系统中。首先业务驱动模块将包交付给业务分析模块,业务分析模块通过DPI(深层包挖掘)技术将数据包解析、打开,并且根据包内数据识别出相应的协议后转发给策略引擎。策略引擎根据用户设置的不同网络应用的控制方案进行实时控制,最后通过业务转发模块将网络流从端口输出,同时将分析数据分发给数据统计模块,生成图表信息,存储进数据库。Fiberhome Networks co.,LTD 2024年7月5日Page 8 DPI系统的三代解决方案Fiberhome Networks co.,LTD 2024年7月5日Page 9 第一代:旁路方式旁路控制系统USERHOST通知主机用户终止传输数据,连接中断建立连接镜像流量数据分析发现其为非法流量向用户发送欺骗信息Fiberhome Networks co.,LTD 2024年7月5日Page 10 第二代:浅串行方式浅串行控制系统USERHOST浅串行控制系统通过检测网络流量发现有非法流量,可以直接干预切断流量,但会造成连接中断建立连接Fiberhome Networks co.,LTD 2024年7月5日Page 11 第三代:深串行方式USERHOST深串行控制系统深串行控制系统可以实时对数据流和数据包进行分析控制,对包操作时不会造成网络流的中断建立连接放行拦截放行另外,深串行控制系统还可以使用队列缓存,使网络连接的传输速率在合理范围内减缓,但是不会造成连接中断Fiberhome Networks co.,LTD 2024年7月5日Page 12 零存储技术用户空间(处理网络流)IPStack(IP协议栈)操作系统网络接口网络流复制复制内存空间零存储技术直接读写内存数据,避免了经过中央处理器的处理,用发送消息的方式代替复制内存的大量数据,可以大大减少系统在复制数据所占用的时钟周期,从而提高处理的速度,增加了设备的数据吞吐量。用户空间(处理网络流)IPStack(IP协议栈)操作系统网络接口内存空间发送消息写入网络流Fiberhome Networks co.,LTD 2024年7月5日Page 13 精细化控制p实现网络细节控制自动策略调整特殊用户带宽定制空闲带宽借用单用户通道细致图表呈现异常用户警告最低带宽保障Fiberhome Networks co.,LTD 2024年7月5日Page 14 了解网络流量的细节l一个精细化分析单元:一个用户,一个协议,一种策略l多种图表详细呈现,便于洞察、分析多种图表详细呈现,便于洞察、分析作出更合理的商务决策作出更合理的商务决策l一目了然一目了然谁占用了资源,哪些网站经常被访问谁占用了资源,哪些网站经常被访问Fiberhome Networks co.,LTD 2024年7月5日Page 15 精细化控制子区域协议协议协议组用用户户子区域子区域协议组全局区域通道一个精细化控制单元:一个用户,一个协议,一种策略。l根据用户的不同类型,划分了不同的区域分组,而最精细的分类,就是每个用户。l根据协议的种类,划分出不同的通道,最精细的分类,就是就是每个协议。通过在两个维度上进行控制,形成了一个矩阵。我们可以看到,在每个小区域中,也包含有通道,协议等的分类。而每一种通道,可以应用在任何级别的区域中。Fiberhome Networks co.,LTD 2024年7月5日Page 16 控制矩阵引擎动作容许/拒绝限流弹出警示页面URL过滤实施正向/反向NAT流量复制双网搭桥双网双速行为审计应用三速IPV4到IPV6转换共享上网限制广告推送页面重定向触发条件用户名源IP地址/目的IP地址源端口/目的端口应用类型时间VLAN物理端口TrafficMatrixEngineFiberhome Networks co.,LTD 2024年7月5日Page 17 策略映射l将策略作为一个单独的控制元素,与区域、通道并列。在控制矩阵中,通过区域、通道确认所控制的对象,从策略引擎中加载预先设定好的控制方案,从而实现了策略引擎与控制目标的分离。协议组子区域子区域协议组全局区域通道策略Fiberhome Networks co.,LTD 2024年7月5日Page 18 QFIFO高速缓存httpThunderstmpPPlivemmsftpemulepop3httpBTQQlivePPstreamQFIFO优先级:1优先级:3优先级:2l网络数据送交到用户行为分析控制系统的业务分析模块处理进入高速缓冲区,在缓冲区内,数据转发模块会按照网络应用的优先级,将这些网络数据送入不同优先级的队列中去。拥有高优先级的队列将优先转发数据,由于http、stmp、pop3这些应用的优先级高,所以系统会将其转发到高优先级的队列中。关键应用就可以在第一时间被系统转发,使得网络用户可以获得更好的体验。Fiberhome Networks co.,LTD 2024年7月5日Page 19 动态环形数据库l数据库可以根据活跃协议数目调整在数据库中所需的空间大小,其动态存储的方式使数据存储量大量减少,同时具有非常高效的查询速度。由于动态环形数据库的占用存储空间小,处理速度快这个特点,用户行为分析控制系统的网络流量数据可以精确到一分钟以内,并且可以储存无限期的历史数据(受数据库存储空间限制)。AC OutlineFiberhome Networks co.,LTD 2024年7月5日Page 20 提纲DPI产品概述DPI关键技术DPI系统应用DPI产品介绍Fiberhome Networks co.,LTD 2024年7月5日Page 21 运营商DPI市场系统功能Fiberhome Networks co.,LTD 2024年7月5日Page 22 用户行为分析控制永无止境的用户需求没有流控技术,路修的再宽也不能保证效率!Fiberhome Networks co.,LTD 2024年7月5日Page 23 我们怎样找到问题,怎样控制那些流量?网络运维人员对网络中应用情况没有有效工具进行统计和分析,特别是当运营商网络普遍升级为10GE以上的链路时。大量P2P和视频应用挤占了网络带宽,关键应用无法得到应有的保障。对此我完全不知情用户行为分析控制Fiberhome Networks co.,LTD 2024年7月5日Page 24 用户行为分析控制-流量统计分析针对网络流量进行深入分析,并根据分析结果,挖掘出有价值的流量统计数据和用户行为数据等,为优化网络和针对性营销等提供重要依据网络容量网络容量和结构改和结构改造造业务流量分析p针对网络中的流量,结合各种技术进行分析挖掘,得出网络中流量构成、流量流向等有价值的信息。p可实现的功能包括网络流量构成分析、特定应用分布分析、异常流量分析、特定业务流量趋势分析等网络容量网络容量和结构改和结构改造造用户行为分析p针对具体网络用户或用户群进行的分析和数据挖掘,可得出特定用户或用户群的网络习惯和应用构成等有价值的信息p可实现的功能包括用户应用构成分析、特定业务的用户分布分析等Fiberhome Networks co.,LTD 2024年7月5日Page 25 当网络流量经过系统时,控制矩阵引擎将:首先探测IP包中流信息,如源IP地址、目的IP地址,同时通过探测数据包中的用户名信息确定用户;然后解开IP包,对第七层应用层协议进行分析,了解流量中包含哪些应用;至此,系统透过两个维度的探测,形成了一个二维矩阵,每一个焦点代表用户是谁、上网在做什么事情这个焦点就是一个精细的控制点,用户可以对这个精细的控制点任意的按照时间来调整其大小;对于每一个精细控制点的流量,系统都将予以记录,然后输出图表,便于用户查看。QQpplivehttp迅雷迅雷192.168.0.5192.168.0.15192.168.0.105192.168.0.155192.168.0.215精细控制点图形化展现网络应用感知上网用户感知用户行为分析控制-流量控制矩阵Fiberhome Networks co.,LTD 2024年7月5日Page 26 用户行为分析控制-P2P应用类型Fiberhome Networks co.,LTD 2024年7月5日Page 27 用户行为分析控制-P2P识别技术Fiberhome Networks co.,LTD 2024年7月5日Page 28 用户行为分析控制-P2P识别技术特征字识别协议指纹识别协议状态机识别通信特征识别Fiberhome Networks co.,LTD 2024年7月5日Page 29 实现机制p采用Trafficshaping的方式限制应用业务流量p采用scheduling保证业务流量的优先转发-高等级业务流量(重要客户、关键业务)优先转发-低等级业务按照比例分配带宽资源用户行为分析控制-P2P控制技术(QOS)Fiberhome Networks co.,LTD 2024年7月5日Page 30 TCP/UDP连接Droppackt源端目的端p将TCP/UDP报文全部丢弃,可阻断源端与目的端的TCP/UDP连接p将TCP报文部分丢弃,可使发送端调整TCP窗口大小,自动降低发送速率,从而降低源端到目的端全路径的发送速率用户行为分析控制-P2P控制技术(丢弃/部分丢弃)Fiberhome Networks co.,LTD 2024年7月5日Page 31 源端目的端建立连接TCPRst或ICMPUnreachableTCPRst或ICMPUnreachablep阻断TCP连接伪造TCPReset报文,向源和目的端分别发送p阻断UDP连接伪造ICMPUnreachable报文,向源端发送有可能被用户防火墙拦截而失效用户行为分析控制-P2P控制技术(阻断TCP/UDP连接)Fiberhome Networks co.,LTD 2024年7月5日Page 32 用户行为分析控制双速网技术校园内网Internet20M4M链路选择与带宽分配能根据源IP地址、目标IP地址划分用户组,能为同一个用户访问不同的目的地址分配多种带宽;能实现正向和反向NAT功能,实现多网搭桥功能;能为不同的网络应用设置优先级,从而充分利用宝贵的带宽,减缓核心网的扩容压力能分时段进行不同策略进行控制,便于为不同的用户提供差异化的功能;Fiberhome Networks co.,LTD 2024年7月5日Page 33 管控精细高精度的三维矩阵控制:最小控制颗粒度可精细到四个“一”,即:一个IP(网络用户)、一种协议、一个时间段内、一个策略。全面灵活的用户分组:可以支持多种方式单独划分控制对象,也支持混合方式划分控制对象。划分条件可以是源/目标IP信息(地址段、地址范围、单个地址)、链路、用户组、用户ID、源/目标MAC地址、物理端口地址等。灵活的协议分组:用户可以自行定义协议的分组,并且可以根据协议特征字、协议端口自行添加协议,创建用户自己规划的协议分组进行相应的流量控制或者保护。支持将同类协议设置为协议组,支持将协议或协议组划分成通道(即虚拟的网络流量通道VC),虚拟通道可以应用各种控制策略。并且支持单个IP多个微通道,自定义微通道协议组,微通道带宽限制。极强的协议识别能力,协议库长期更新可保证90%以上的识别率,现网测试情况下,识别率可达95%-97%。用户行为分析控制-产品优势及特点Fiberhome Networks co.,LTD 2024年7月5日Page 34 高安全性用户行为分析控制主要以透明网桥形式部署,无需增加其他设备,不会改变现网结构。支持Bypass旁路保护系统,满足安全性要求高的用户需求。扩展时,按照线路进行设备的增加即可,对于多设备应用的情况,提供统一的管理平台,方便用户进行管理。用户行为分析控制-产品优势及特点Fiberhome Networks co.,LTD 2024年7月5日Page 35 互联网访问控制-产品优势及特点l提供与OSS系统、帐务系统、RADIUS系统的通信接口;l支持radius数据的采集;l可按用户账号、IP地址、网络协议、端口、URL进行过滤;l支持用户自定义URL黑白名单功能;l支持上网时段控制(最小单位为半小时);l用户可选择定制访问非法URL时的阻止界面;l可对搜索引擎进行关键字搜索过滤;Fiberhome Networks co.,LTD 2024年7月5日Page 36 l管理员可管理URL库;l用户自助服务及帐号身份认证;l管理员可管理要过滤的关键字,实时监视记录用户的上网访问行为,可对URL库进行分类管理;l管理员可定制多种套餐提供给用户自己选择;l支持网络游戏、即时通信工具的控制;l为管理员提供用户上网行为记录查询;l管理员可定制端口、IP地址控制策略;互联网访问控制-功能特点Fiberhome Networks co.,LTD 2024年7月5日Page 37 互联网访问控制系统一般放置在ISP网络的中心交换机或与接入服务器连接的交换机上。将路由器或接入服务器与交换机连接端口的数据流量镜像(PortMirroring)到访问控制系统与交换机连接的端口,使访问控制系统能监听到网内所有用户的访问请求包。这种工作方式不会影响网络现有流量,无需改动现有网络结构。当ISP网内的某一用户发起访问Internet的请求后,该请求经过中心交换机时,访问控制系统将会监听到该请求。一方面,路由器会将收到的请求发送到Internet,另一方面,DPI会将请求与用户的控制策略进行查询匹配;如果请求的URL是合法的,访问控制系统不做出任何处理;如果要请求的URL是非法的,访问控制系统将向客户端发送一个屏蔽网页,提示用户刚才的操作是属于非法操作,同时结束该会话。对其它类型的Internet访问,除了没有屏蔽页面外,控制的原理基本相同。互联网访问控制-工作原理Fiberhome Networks co.,LTD 2024年7月5日Page 38 互联网访问控制-系统结构访问控制系统的一个节点逻辑上分为两个部分:业务管理机和系统运营设备。核心的分发和过滤功能比较单一,节点的管理涉及面广,包括下面几个部分:l用户个人服务平台:位于业务管理机上,供最终用户使用,用户可在此完成开停服务、转换套餐等;l节点业务管理控制台:位于业务管理机,负责处理本地的业务,如用户的管理、套餐修改、本地库管理、计费等;l节点系统管理控制台:位于系统运营设备上,负责DPI设备的系统维护和配置等。Fiberhome Networks co.,LTD 2024年7月5日Page 39 信息发布-背景关注信息关注增值关注互联网中国电信正在努力实现从“综合电信服务提供商”向“综合信息服务提供商”的转变。互联网营销方式正悄悄互联网营销方式正悄悄向精确营销发展向精确营销发展窄告(窄告(NarrowADNarrowAD)本地搜索本地搜索用户行为分析用户行为分析数据挖掘数据挖掘各种各样的互联网增值业务正在创造各种各样的互联网增值业务正在创造巨大的价值,并以令人惊讶的速度高速增巨大的价值,并以令人惊讶的速度高速增长。长。例如互联网广告市场;例如互联网广告市场;微软的微软的“下一个方向下一个方向”。Fiberhome Networks co.,LTD 2024年7月5日Page 40 信息发布-发布方式互联网信息(广告或公益信息)推送,是根据采集到的用户信息(用户在搜索引擎上键入的关键字、用户正在浏览的网页内容、用户IP地址所属区域等)向用户推送事先编辑好的信息。可以有多种信息推送方式实时方式、非实时方式通栏广告、弹出页面无差别随机推送、内容关联推送信息推送的覆盖面和强度,可以灵活控制,随时调整。Fiberhome Networks co.,LTD 2024年7月5日Page 41 信息发布-推送方式对比我们的推送方式门户网站的广告方式(Sina,Sohu,163等)可以在所有网站上同时推送只能在本网站上放广告可以智能化的投放广告(例如看汽车文章就投汽车广告、看房产就投房子广告)只能在固定版面、固定方法地投放广告可以根据用户搜索的关键词,根据用户正在浏览的网页内容推送广告无法自动捕捉用户搜索的关键词,无法针对用户关心内容只能在安装我们系统的区域推送,但可以选择投放区域只要登陆到它的网站上就能推送,但无法选择投放区域Fiberhome Networks co.,LTD 2024年7月5日Page 42 信息发布-与搜索引擎对比我们的推送方式我们的推送方式搜索引擎的广告方式搜索引擎的广告方式(Googel、Baidu、Yahoo等)等)不管是用什么搜索引擎,都推送自己的广告只有当用户在使用自己的搜索引擎时才能出现自己的广告不需要架设数量庞大的服务器需要架设数量庞大的服务器可以根据用户搜索的关键词,也根据用户正在浏览的网页内容推送广告能与关键字捆绑,但不能和动态网页关联只能在安装我们系统的区域推送,但可以选择投放区域只要登陆到它的网站上就能推送,但无法选择投放区域Fiberhome Networks co.,LTD 2024年7月5日Page 43 信息发布-系统构成与部署方式整个系统可划分为前端、后端和管理运营中心三部分其中前端和后端系统根据当地骨干链路出口情况部署;管理中心与前端后端系统可部署在不同的地理位置;管理中心和后端系统之间远程通信。例如,假设某地区共12个10G出口链路,分布在3个不同地理位置的机房,每个机房4条链路需在三个局各部署一套前端/后端系统,每个局处理4条10G链路流量。选择一个局的机房部署管理中心,或另建管理中心。Fiberhome Networks co.,LTD 2024年7月5日Page 44 前端系统不对骨干链路引入任何干扰的前提下接入骨干链路全流量(地市出口流量);采集和捕获用户HTTP符合特征的流量;将特征数据分发到后端系统。后端系统后端系统为多机负载均衡和备份;后端系统通过千兆GE口直接接入网络;关键字/URL与推送信息的关联数据库,存储在后端系统;从前端分发的特征数据,提取关键字、URL等,向用户推送信息;统计各项数据,推送次数、点击次数等。管理运营中心整个系统管理和运营的界面;机器人程序;维护和更新广告信息关联数据库,并更新给远程后端系统;从后端系统接收各项统计和报告,形成报表。信息发布-系统构成与部署方式Fiberhome Networks co.,LTD 2024年7月5日Page 45 应用场景-DPIAC OutlineFiberhome Networks co.,LTD 2024年7月5日Page 46 提纲DPI产品概述DPI关键技术DPI系统应用DPI产品介绍Fiberhome Networks co.,LTD 2024年7月5日Page 47 产品介绍产品型号产品型号适用领域适用领域吞吐量吞吐量最大可承载接入带宽最大可承载接入带宽PL-202入门级400M200M(双向)PL-302中小型运营商及高校8000M4条满负荷双向GE链路PL-502运营商20000M4条满负荷双向GE链路或1条满负荷双向XGE链路PL-302pL-202PL-502Fiberhome Networks co.,LTD 2024年7月5日Page 48 1.网络连接指示灯网络连接指示灯2.电源指示灯电源指示灯3.硬盘指示灯硬盘指示灯4.串行端口串行端口5.USB接口接口6.管理通讯口管理通讯口7.广域网端口广域网端口8.局域网端口局域网端口9.主机开关主机开关10.复位键复位键11.电源接口电源接口12.电源开关电源开关产品介绍Fiberhome Networks co.,LTD 2024年7月5日Page 49 产品介绍-运营级设备Fiberhome Networks co.,LTD 2024年7月5日Page 50 产品介绍-Bypass设备Fiberhome Networks co.,LTD 2024年7月5日Page 51 产品介绍-Bypass设备组网架构THANK YOU!Fiberhome Networks co.,LTD 2024年7月5日Page 52
展开阅读全文
相关资源
相关搜索

最新文档


当前位置:首页 > 管理文书 > 施工组织


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!