基于DPI技术带宽管理实践

2014-01-09 03:11刘晓晖杨波李桂伦
科技致富向导 2013年23期
关键词:检测法端口局域网

刘晓晖 杨波 李桂伦

当前,在对现有信息资源合理配置、有效利用的基础上,办公方式实现了从传统型向现代化的转变。利用局域网,在企业管理、网络办公、业务学习、资料查询、信息交流、资源共享等方面受益匪浅。但有的单位由于办公网络规模庞大、用户数量众多、网络应用环境复杂等因素,局域网年年升级还是满足不了要求。这是因为P2P下载、网络游戏、网络视频等应用,以及网络病毒传播,占用了巨大的网络带宽,使得局域网的带宽无法承受,甚至造成网络拥塞或瘫痪。因此,必须进行有效的带宽规划,采取科学的管理策略,基于DPI技术的局域网带宽管理就是一种选择方法。

1.主流带宽管理技术介绍

目前常用的流量带宽管理技术有常用端口检测法、深度流检测法(DFI)和深度包检测法(DPI)。

常用端口检测法是通过四层处理完成检测,它是基于开放端口、随机端口甚至采用加密方式进行传输的应用类型,在目前网络中广泛使用,通过常用端口方式能够识别的协议类型非常有限。

深度流检测法是基于流量行为的应用识别技术,根据各种应用的连接数、单IP地址的连接模式、上(下)行流量比例关系、数据包发送频率等数据流行为特征指标的不同,与DFI检测模型进行匹配,从中区分出流量的应用类型。由于它粒度较粗,只能对应用类型进行笼统分类。

深度包检测法的深度是和普通报文分析层次相比较而言的,普通报文检测只限于分析IP包的层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI除了对前面的层次分析外,还增加了应用层分析,识别各种应用及其内容。

DPI技术的关键是高效地识别出网络中的各种应用, 当IP数据包、TCP或UDP数据流经过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷,对OSI7层协议中的应用层信息进行重组,从而得到整个应用程序的内容,对流量中的具体应用类型和协议做到比较准确的识别,然后按照系统定义的管理策略对流量进行整形操作,从而有效管理网络带宽。

由于DPI应用识别的准确度、可控性等方面具有优势,局域网采用基于DPI技术的流量带宽设备来对流量带宽进行管理,并综合运用以上三种识别技术,在检测效率和灵活性方面均达到最优。

2.局域网带宽管理的实现

2.1局域网带宽管理网络结构

对广域网的带宽管理,可在局域网与广域网交界处配备一台带宽管理设备来实现;对互联网出口的带宽管理,可在网络出口防火墙和核心交换机之间配备一台带宽管理设备。我单位使用双核心交换机,需要两条链路冗余,基于端口的考虑, 将带宽管理设备前移到防火墙与路由器之间来实现带宽流量管理,对所有经过网络出口的数据包进行特征码分析,从而实现外网出口带宽的优化。

2.2局域网带宽监控与分析

对所有流经带宽设备的流量实时产生各种统计分析报表,包括对网络流向的监控,对网络协议的监控和对用户的监控。通过一定时间内的历史数据报表统计,获取网络总体流量水平、流量波动、流量跳变等参数,分析异常流量与正常流量的偏差,可以有效防止异常流量对网络运行的影响。同时,网络管理员可以更准确、详细地了解各类带宽的占用情况,及时做出合理的网络资源分配决策。

我单位局域网出口中基于协议和应用进行的带宽使用情况统计,PPLive、HTTP以及BT等应用占用了近 60% 的带宽。分析发现 P2P 软件、网络电视、网络游戏毫无节制的应用,占用了大量宝贵的带宽资源,严重影响局域网的其他应用。

2.3局域网带宽管理策略

带宽管理策略需要以用户或应用为对象,以时间为纬度,以带宽值为杠杆,制定精细的管理分配策略,帮助企业提升带宽应用效益。

2.3.1保障关键应用的网络带宽及优先权策略

在局域网中,网络办公、行政管理、图书资料管理、视频会议和资源共享是我单位的关键应用。利用分级管理功能,指定局域网为Web应用和办公应用为关键应用,把这些关键应用分配在一个较大的逻辑通道中,从而确保这些应用能高效运行和服务高质量。例如,在带宽管理设备设立HTTP、RSTP、POP3、SMTP的子通道,把办公网络、会议厅、办公大楼网络划归到设立的子通道中,服务优先级设置到最高的7级,保证带宽和最大使用带宽根据需要设置大小。

2.3.2按区域合理分配网络带宽策略

固定分配每个子网的带宽,不会因为个别用户的过量下载而导致某个网段内部甚至整个网络出现重大问题,对用户相对密集和网络使用率高的子网,适当加大分配的带宽。例如,按办公区、宿舍区等子网分类,对个别特殊区域继续细分子网带宽。

2.3.3按时间段合理分配网络带宽策略

在不同的时间段进行自动策略分配,满足不同时间段内不同用户、不同应用的带宽需求。当网络带宽资源紧张的时候,限制那些使用量大的用户,保障那些使用量小且急用的用户;反之,当网络资源有较大空闲时,则取消这些限制,让每个用户都能进行高速下载,从而实现灵活、高效、可靠使用有限的网络带宽。结合按区域合理分配网络带宽策略,在上班时间段,对宿舍区网络进行适当的限制,保证正常的办公区网络使用需求;在下班时间段,则取消对办公区网络的优先策略。

2.3.4限制或禁止非学习工作网络流量带宽策略

非学习工作的流量主要是与办公工作无关的非业务流量。对于那些 P2P软件的使用者来说,下载一个文件花5个小时或者10个小时差别并不大,但对于其他浏览网页的用户,访问一个网页需要5秒钟还是10秒钟,其感觉是不一样的。同样,如果某个用户急需下载一个几兆大小的文件或者电子邮件,他会很关注当前的网络速度,而此时的网络带宽也许正在被某些P2P软件或者其他一些网络资源消耗较多的用户占用。因此,对P2P下载、网络游戏等网络应用,采取限制或禁止这类流量带宽的策略。

2.3.5控制异常网络流量带宽策略

异常流量包括DoS(拒绝服务攻击)、DDoS(分布式拒绝服务攻击)、病毒、垃圾邮件、P2P应用、非法VoIP等。根据异常流量呈现的各种特征,深度检测应用业务,以区别异常流量, 结合协议、端口、IP地址、病毒、攻击报文等模式的统计报表,通过控制会话数、源地址端口、目标地址端口、应用协议等参数,控制和预防异常流量。我部局域网采取相应流量带宽策略后,HTTP等主要应用比例占据流量的大部分,而BT、PPLive等应用比例明显减少,提高了网络运行安全可靠性。 [科]

猜你喜欢
检测法端口局域网
一种端口故障的解决方案
用AFP、LDH、GGT、ALP和CA19-9联合检测法诊断肝癌的临床价值分析
土壤环境监测法存在的问题及对策思考
计算机局域网组建及管理探讨
用无线路由器共享单位局域网
有源滤波器单次谐波正负序统一检测法
为程序或设备在路由器上打开端口
嗓音类型的鉴定方法与特点
局域网存在的安全隐患及其防治策略