Panabit产品交流(毛工)11390

,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Page,*,Copyright 2013 Panabit and/or its affiliates. All rights reserved.,Copyright 2013 Panabit and/or its affiliates. All rights reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Copyright 2013 Panabit and/or its affiliates. All rights reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Page,*,Copyright 2013 Panabit and/or its affiliates. All rights reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Page,*,Copyright 2013 Panabit and/or its affiliates. All rights reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Copyright 2013 Panabit and/or its affiliates. All rights reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Copyright 2013 Panabit and/or its affiliates. All rights reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Page,*,Copyright 2013 Panabit and/or its affiliates. All rights reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Page,*,Copyright 2013 Panabit and/or its affiliates. All rights reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Page,*,Copyright 2013 Panabit and/or its affiliates. All rights reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Page,*,Copyright 2013 Panabit and/or its affiliates. All rights reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Page,*,网关的终极未来,北京派网软件有限公司,公司大事记,Page,2,着手,DPI,和高速数据面操作系统关键技术研发,2004,年,发布,Panabit,，以卓越性能和准确率占领,70%,流控市场,2007,年,网吧版发布，全新商业模式占领几乎全部市场,2010,年,发布,PANAOS,，定义路由网关类产品新生态,2013,年,创立,崛起,辉煌,涅磐,目录,Page,3,Q&A,？,典型案例,客户价值,点点卓越,网关乱弹,网关编年史,Cisco,Fortinet,Panabit,永不能被业界忘记的,2600,路由器和,PIX,防火墙,统一威胁管理产品的缔造者，一体化应用安全领袖,互联网打造的中国产品神话，应用路由的提出和实践者,Router Firewall UTM NGFW App Router,Netscreen,Paloalto,3,个,ID,打天下，应用识别管控成为核心，,IPS,和,AV,走下神坛,ASIC,防火墙产品的创造者，华人工程师的硅谷传奇,Page,4,向互联网致敬,Page,5,网关核心需求定位,Page,6,接入,审计,管理,优化,安全管理,防火墙,入侵检测与防御,防病毒,访问控制,应用管理,识别与阻断,流量整形,连接管理,性能管理,行为审计,内容审计,路由,地址转换,VPN,应用路由,负载均衡,缓存,广域网加速,协议定向优化,数据挖掘与运营,黄金功能组合,Page,7,应用识别引擎,App,虚拟化引擎,快速,IP,协议栈,控制整形引擎,WAF,APM,缓存,广域网加速,App,开放平台,应用路由,应用,负载均衡,应用,防火墙,应用,流量管理,目录,Page,8,Q&A,？,典型案例,客户价值,点点卓越,网关乱弹,点点卓越是我们不变的梦想,客户对产品的信任如同一张白纸 ，一旦揉皱就再也无法回到原来的样子。,Page,9,Page,10,应用路由,基于应用的牵引分流,应用防火墙,高速,NAT,和复杂,ALG,应用均衡,负载以应用为标尺,免费流控版本,率先采用互联网模式,超高性能,单板,20G,处理能力,DPI,引擎,业界识别率最高,技术路线图,国内网关类产品一直停留在使用,Linux/FreeBSD,等通用操作系统直接修改内核充当数据平面，致使产品的稳定性、性能和可扩展性一直不能满足高层次需求。因此，低层次重复无法从根本上解决这些关键矛盾。,PANAOS-专用数据面操作系统,Page,11,PANAOS,解决的核心问题,驱动、内存管理等,OS,要素全部自行完成，专为数据面功能定制；,数据面与控制面完全分离，数据面采用独立快速,IP,协议栈和驱动，提供超乎寻常的性能；,双,OS,系统备份，提供超高的稳定性；,路由、,NAT,、负载均衡、应用识别与控制等关键基础设施内置，提供一体化解决方案；,为扩展第三方应用，提供,App,虚拟化引擎，可内嵌第三方模块。,Intel所不知道的Intel,Page,12,001CC4CF0747,202.104.21.57,BT,、电驴、迅雷、超级旋风、优酷、爱奇艺、,Skype,等,HTTP,、,SMTP,、,QQ,、,MSN,、,POP3,、,IMAP,、,Oracle,等,Link Layer,IP,TCP/UDP,静态端口,动态端口,Applications,路由器,防火墙,专业七层设备,UTM/NGFW,状态检测与,ALG,明文模式匹配,加密分析、节点跟踪、主动探测,X86/,多核,/,协处理器,硬匹配,ASIC/NP,ASIC/NP/X86/,多核,X86/,多核,/,协处理器,比对计算需求,网关类设备数据面的变化,PANAOS,是专用数据面操作系统，在,DPDK,之前就解决了,X86,吞吐问题，在打开七层功能情况下，可以顺畅工作在,40G,网络环境。,Intel,已经意识到,X86,的相关问题，投入研发力量开发,DPDK,，弥补数据面的不足，转发能力有了相当提高，,64,字节小包转发能力超过,20G,，并积极发展合作软件厂商提供协议栈和应用软件。,Intel所不知道的Intel,Page,13,与,Cavium/RMI,等多核方案相比，,Intel,的短板是无专用数据面操作系统，造成,IO,能力弱。,Intel,用,DPDK,结合,Cave Creek,，推出新一代的网络设备解决方案，试图夺回被,Cavium/RMI,蚕食的通信市场，,PANAOS,比,Intel,更了解自己的芯片如何用在七层网络设备。,网关性能的一些典型误区,转发性能不能混同业务性能,256,字节包做吞吐指标标识,性能瓶颈：,CPU,、网卡、驱动、业务软件,PANAOS,究竟可以跑多快？,Page,14,我们在哪里？,吞吐量双向,40Gbps,最大并发连接数,1500,万,最大并发,IP,数,50,万,新建会话数大于,65,万,/,秒,业务转发处理时延小于,100,微秒,应用识别引擎关键技术,Page,15,L2-L4,L7,IP,TCP,UDP,网络视频,P2P,P2P,即时通信,网页浏览,游戏,网络电话,网络视频,基于签名的深度包检测,DPI,最普通最行之有效的识别技术,进一步演进为深度流检测,DFI,节点跟踪,共享识别信息,提高识别准确率和性能,主动探测,探测源目的端状态,辅助分析节点特性,加密分析,HTTPS/SSL,成为常态,明文签名无法应对,连接相关性分析,识别,13,大类，超过,800,种应用,不以签名数论英雄,现网识别率超过,95%,识别准确率相关因素,应用识别能力现状,Page,16,在移动某分公司实际测试时，测试对,P2P,进行每,IP,限速，客户端迅雷下载限制为每,IP 90Kb/s,，,WEB,迅雷下载限制为每,IP 100Kb/s,，实际测试精确度是相当高的。众所周知，迅雷、,WEB,迅雷是最难识别和对它进行限速的协议。,（大多数应用层网关产品还无法作到针对应用层协议的每,IP,限速，精确度就更谈不上了）,挑战应用识别与控制精度,Page,17,应用路由,Page,18,问问英雄出处,以网络应用协议为调度实体，将数据流量转发到指定的链路和目标地址,Panabit,原始创新，一直被模仿，从未被超越,技术壁垒,DPI,识别能力：识别早、识别准,应用层协议重建：提高牵引比例,性能：路由是在线设备，而用途大多是在重载线路,主要用途,让路由设备配置逻辑易于理解和使用，避免使用者去研究网络协议细节,应用分流：将应用按照特性路由到不同质量的出口，达到保证关键实时应用，降低带宽使用成本的目的,应用牵引：配合不同的应用层优化手段，按照应用把需要的流量导向特殊链路或者目标地址，例如：缓存、审计,应用路由,Page,19,应用负载均衡,Page,20,按照连接均分,按照源地址目的地址均分,按照连接均分,各种应用可以拥有独立的均衡策略，,互不干扰，以应用为标尺，达到均衡,负载，充分利用带宽目标。,按照源地址均分,应用路由升华之作,以网络应用协议为调度实体，将网络负载按调度策略均衡分布在不同的链路组,Panabit,原始创新，欢迎模仿,技术壁垒,DPI,识别能力、应用层协议重建、性能,协议完整性维护：均衡过程中不破坏协议完整性，保证均衡过的所有业务可以正常使用，做到对终端用户完全透明,不同策略相融共生：均衡组重叠、协议策略交叉,主要用途,让负载均衡设备配置逻辑易于理解和使用，避免使用者去研究网络协议细节,应用路由扩展，链路分组调度,低成本链路聚合：将众多低成本链路聚合为一条或多条虚拟的高速链路，节约费用同时做到物尽其用，充分发挥每一条链路的潜力,应用负载均衡,Page,21,大家流控和,NAT,是怎么做的？,Linux,：,TC+NetFilter,FreeBSD,：,ALTQ+PacketFilter Dummynet+IPFW,出来混，总是要还的,性能四大挑战,新建,并发,吞吐,规则数,最有中国特色的,NAT,性能：单板,40G,吞吐、,1500,万并发、新建,65,万,/,秒、,65535,条策略,ALG,的中国国情：照搬来的,ALG,不灵了,应用层特性信息隐藏,最平凡的功能是NAT？,Page,22,功能配置以策略和策略调度驱动,简洁如智能手机,强大如变形金刚,面向应用的多类对象实体,策略、策略组,IP,群组、域名群组、文件类型,协议组、自定义协议组,流量代理、数据镜像,三个维度，多级策略嵌套,不同应用总带宽分配,每用户总带宽分配,同一用户不同应用带宽分配,时间与用户数二维策略调度,简洁与强大并重的策略引擎,Page,23,智能DNS,Page,24,重定向,丢弃,劫持,DNS,是最脆弱的互联网基础设施,缺乏基础认证校验机制,节点分散，难于管理,对,HTTP,影响巨大,镜像缓存,无需另外增加,DNS,服务器,对客户完全透明,多,IP,服务器,多运营商入口地址智能解析,负载均衡,缓解,DNS,服务器压力,形成类,CDN,机制,无需修改用户客户端配置,应急恢复网络,规范,DNS,设置,信息推送,封锁域名,保护服务器安全,检测目标,IPID,检测：内网终端数量,应用层复合检测：内网,IP,地址,应对动作,通断：允许、阻断,限制：流量、连接数,提示：,Web,提示、重定向,一拖N检测,Page,25,NAT,特性信息隐藏与一拖,N,检测的战斗,运营商利益与用户利益冲突点,矛与盾,答案已经明确，一拖,N,检测必胜,就像斯诺登所描述的一样，它游走在政府和民间的博弈中间，没人会承认，但是没人能拒绝它的存在。,虚拟身份定位,Page,26,+,防火墙日志,+,虚拟身份信息库,+ IP,位置信息库,=,（张三在某酒店某房间登录了某种应用）,为什么是,Panabit,？,部署位置位于通信主干，无需改变连接拓扑,有足够性能处理关键要素审计，不需要增加设备,对应用协议分析透彻，分析协议可以涵盖邮件、即时通信、社交应用和游戏等,典型大数据应用,移动应用支持,Page,27,网络,/,协议,业务识别,终端识别,在,GGSN,与,SGSN,之间旁路或串行接入,GTP-U,GTP-C,IMEI,和,IMSI,等手机信息和,IP,信息关联,Panabit,吐出话单,应用商店（安卓市场、手机报）,移动浏览器 （,Safari,、,Chrome,、,UCWeb,、移动,QQ,浏览器等）,移动游戏 （手机游戏、,iPad,游戏）,移动,QQ,iPhone/iPad,HTC,三星,摩托罗拉,诺基亚,小米,魅族,小辣椒,世界已步入移动互联网时代,认证是接入管理的必选要素，当前三大主流认证方式,Web,认证：无需附加部署，业界主流形式,PPPoE,认证：产生广播流量，需要部署,BAS,802.1x,认证：需客户端软件，需交换支持,认证数据源,本地数据,LDAP,服务器,RADIUS,服务器,扩展认证方式,第三方,Web,认证,短信认证：大数据应用,Web认证,Page,28,本地认证,短信认证,RADIUS,认证,第三方,Web,认证,LDAP,认证,用户上网,Web,认证,Panabit,内置性能评测工具,纯软件工具，无需特殊硬件,千兆线速,万兆线速,64-1518,全字节范围测试,设计目标,评估,Panabit,所用硬件性能和稳定性,评估其他应用系统性能和稳定性,用途,产线测试,提供合作伙伴评估硬件和网络环境,性能测试工具-NCPBench,Page,29,保证设备性能是内嵌报表第一准则,报表形态,饼图,面积图,折线图,信息表,数据种类,实时流量,历史流量,分类比例,信息记录,PanaLogger,离线报表系统,报表可以是一门艺术,Page,30,应用排行与用户排行,Page,31,上下行流量趋势图,Page,32,迅雷的流量故事,Page,33,自定义报表,Page,34,目录,Page,35,Q&A,？,典型案例,客户价值,点点卓越,网关乱弹,流量管理：按策略调度，分时采取不同流量控制策略，保证高峰时期关键应用畅通,增强用户感受,提高接入容量,应用分流：基于应用和目标地址结合，按时间调度，保证应用实时性，最大程度发挥带宽潜力,交互手段：,DSCP,、,NAT,应用与目标地址相结合,Cache,牵引,要素审计：实时提供用户,ID,等信息,特殊行业需求,骨干网流量控制、分流与要素审计,Page,36,目标地址为联通的实时应用,目标地址为电信的实时应用,所有非实时及目标地址为移动的应用,一体化是大势所趋,接入：路由、地址转换,管理：防火墙、认证、流控,优化：负载均衡,审计：要素审计,接入是基本需求,适应能力是关键,管理优化是当务之急,降低出口链路使用成本，提高带宽使用效率,实时了解网使用状况，疏堵结合,无线优化与,BYOD,管控,企业网络出口优化,Page,37,分析对象,应用分布：应用连接、吞吐的历史数据,要素审计：,URL,、帐号、终端类型,内容审计：配合,Web,、邮件、,IM,审计集群,主要用途,流量精细化运营分析：运营商业务分析与,KPI,应用镜像分流：把需要的数据按应用分流，分别镜像到不同的出口给后端审计服务器集群处理，节约服务器资源,大数据：用户行为分析，关键要素采集,特殊行业需求：虚拟身份定位,接入方式,串行接入：以太光口、以太电口,旁路接入：分流器、镜像口、分光器,应用探针,Page,38,目录,Page,39,Q&A,？,典型案例,客户价值,点点卓越,网关乱弹,荣誉客户,Page,40,每时每刻,Panabit,为,5TB,互联网带宽提供流量优化,为,1700,万,用户提供优质服务,长城宽带网络服务有限公司,(,简称,:,长城宽带,),，成立于,2000,年,4,月，总部设于北京，并在全国,30,个大中城市设有分支机构。作为二级运营商，出口带宽不足一直是长宽的核心技术问题之一。自,2008,年首台,Panabit,服务长宽城域网出口，目前全国所有省份长宽都采用,Panabit,为流量优化手段，成为支撑长宽业务的最重要技术基石之一。,优化三部曲,限速：对,P2P,下载、流媒体等应用在高峰期合理限速，用户投诉量明显减少，且退网率呈连续下降趋势。,疏导：利用,Panabit,的应用路由功能，将,P2P,下载、流媒体等重载应用牵引到相对低廉的线路，空出优质线路给实时业务，有效提高了网页、游戏、邮件等应用的用户感受，在出口不变情况下大幅度提高带机数目。,提速：随着流量从,P2P,向,Web,应用回归，网络视频和网络音乐成为带宽的最大消耗者，结合,Panabit,应用路由和,Web,缓存，虚拟扩大主干出口带宽，在提高用户感受同时避免盲目扩充出口带宽。,长城宽带,Page,41,在被中国移动收购后，铁通一直是移动固网业务的主要支撑。由于网间结算、,IDC,缺乏和基础设施薄弱，铁通的宽带效果一直为人诟病，而集团也一直在下大力气提高“带宽精细化运营”能力。在大量集采,DPI,设备无能为力情况下，北京铁通率先开始以,Panabit,为基础构建新的流量优化和分析体系，取得了意想不到的效果，成功推向十多个省公司。,核心价值,应用加速：,将网络游戏流量精确区分、并定向分流到最优质的专用出口链路，一举解决了多年来用户诟病“铁通网络玩游戏卡”的老问题，摆脱了游戏用户不愿入网、入网即投诉直至退网的桎梏。,精准分析：,现网识别率高达,95%,，提供的细粒度报表更加符合铁通对网络运营“实时、精确、细粒度把握”的统计需求，为带宽扩容，业务引导提供了有力的技术支撑。,虚拟身份定位：在骨干网设备不明显增加成本前提下，配合相关部门完成网络扫黄、扫诈骗、扫赌、追逃、敏感事件追查的日志审计需求（如,QQ,事件日志、新浪微博帐号登陆日志等）。,中国铁通,Page,42,某省输变电工程公司是省电力公司的合资子公司，隶属于国家电网公司。其办公网络主要是,WIFI,为主，自建成之日起，无线网络一直存在稳定性差，可管理性弱的问题。引入,Panabit,产品之后，有效改善了无线网络服务质量，大大提高了带机能力和可管理性，取得了很好的经济效益。,核心价值,应用控制：对存在于,STA,的多种应用作出精确识别，对大带宽、大并发和高上传的应用作出策略性限制，提高整个,WIFI,网络的带机能力，降低时延。,关键业务保障：对公司内部业务使用的,OA,、,ERP,、网络电话和视频会议等应用作出带宽保障，保证业务的顺畅运行。,网络使用审计：对个人使用网络的关键信息进行留存，应对主管部门对网络使用情况的检查和问题追溯。,BYOD,检测与限制：识别无线网络中的各种,BYOD,设备，并通过认证、带宽管理等对其使用作出一定限制，做到“公网公用”。,某省输变电工程公司,Page,43,中国国际问题研究所（,CIIS,）成立于,1956,年，是新中国第一个专门从事外交和国际问题研究的机构，也是唯一直属中国外交部的专门研究机构，内网在线用户数约,200,人。由于,P2P,下载和在线视频影响，虽然网络带宽多次扩容，但日常办公期间频繁出现网速缓慢、出口拥堵的现象，影响了网页浏览、邮件和视频会议等关键业务。在测试多种防火墙和行为管理类产品无效后找到,Panabit,，以我们精准识别率和细粒度控制迅速为客户解决了问题。,核心价值,关键应用保障：研究人员实时网上浏览、与境外相关机构来往的邮件和视频会议带宽得到充分保障，,P2P,下载、网络视频和网络音乐等流量控制在一定范围之内，使得整个网络变得“可视、可控”，一切尽在掌握中。,丰富日志：协助,CIIS,解决了长期以来对内网用户缺乏流量统计、应用统计、上网行为事件日志和特定事件审计问题，多次在上次单位的内部检查中获得褒奖。,中国国际问题研究所,Page,44,目录,Page,45,Q&A,？,典型案例,客户价值,点点卓越,网关乱弹,Q&A,？,Page,46,演讲完毕，谢谢观看！,