流量管理系统产品选型常见问答(FAQ)
Q1:哪些客戶需要流量管理系統(tǒng)?它能夠解決什么問題?達到什么目的?
答:用戶數(shù)在300人以上的校園網(wǎng)、小區(qū)寬帶網(wǎng)、企業(yè)網(wǎng)及運營商網(wǎng)等客戶都需要流量管理系統(tǒng)。它能夠解決內(nèi)網(wǎng)用戶對帶寬的渴求及有限的接入帶寬之間的矛盾,可以防止網(wǎng)絡(luò)病毒、***、蠕蟲的大面積傳播,阻止SYN洪水***、DDoS***,防止用戶私改IP、私設(shè)代理逃費以及減緩BT、P2P、迅雷、P2SP等應(yīng)用對網(wǎng)絡(luò)運營造成的不良影響。應(yīng)用流量管理系統(tǒng)后應(yīng)該能夠達到合理利用帶寬、保障關(guān)鍵應(yīng)用的目的。
Q2:如何判斷網(wǎng)絡(luò)是否需要馬上部署流量控制系統(tǒng)?
答:可以通過觀察出口流量的24小時帶寬趨勢圖來確認(詳見Q16),如果40%以上的時間帶寬占用率都是100%,則需要馬上部署流量控制系統(tǒng),否則表明帶寬還夠用,無需立即部署流量控制系統(tǒng)。相反,如果100%的時間帶寬占用率都低于50%,則應(yīng)該考慮降低租用的出口帶寬以節(jié)省支出。在部署流量控制系統(tǒng)前,起碼要升級一次接入帶寬。對于企事業(yè)單位來說,應(yīng)該先考慮升級接入帶寬,只有無法再增加帶寬時才要考慮做流控,如果先買了流控設(shè)備,以后就不好申請升級接入帶寬了,或者升級接入帶寬后流控設(shè)備性能又跟不上了。而ISP為了能用有限的接入帶寬接入更多的用戶,會比企事業(yè)單位更優(yōu)先考慮做流控。
Q3:流量管理系統(tǒng)由哪些設(shè)備組成?包含哪些技術(shù)?
答:流量管理系統(tǒng)由流量控制網(wǎng)關(guān)和流量分析工作站組成,主要包括流量控制和流量監(jiān)測兩大核心技術(shù),流量控制技術(shù)包括:帶寬控制、會話控制、總流量控制、應(yīng)用控制,流量監(jiān)測技術(shù)包括帶寬監(jiān)測、會話監(jiān)測、總流量統(tǒng)計、SNMP流量監(jiān)測、Netflow流量監(jiān)測、設(shè)備狀態(tài)監(jiān)測,其它技術(shù)還有流量清洗、流量復(fù)制等。
Q4:流量控制網(wǎng)關(guān)應(yīng)該部署到什么位置?是否會改變已有的網(wǎng)絡(luò)拓撲結(jié)構(gòu)?是否影響性能?
答:流量控制網(wǎng)關(guān)可以部署在網(wǎng)絡(luò)中任一子網(wǎng)的出口處,具體位置有:
1)串聯(lián)在出口路由器或防火墻以及核心交換機之間;
2)串聯(lián)在出口路由器或防火墻之前;
3)接在核心交換機的鏡像端口處。
控制力度大小依次為1)、2)、3),一般不會改變已有的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。
只要流量控制網(wǎng)關(guān)的性能指標(吞吐率、延時、會話數(shù)等)優(yōu)于網(wǎng)絡(luò)的狀態(tài)參數(shù)(帶寬、用戶數(shù)等)就不會對網(wǎng)絡(luò)產(chǎn)生負面影響(丟包、延時等)。具體設(shè)備的性能及穩(wěn)定性需現(xiàn)場測試。
Q5:怎么確定流量控制網(wǎng)關(guān)和NAT設(shè)備的位置關(guān)系?
答:流量控制網(wǎng)關(guān)應(yīng)該部署在NAT設(shè)備之后。如果流量控制網(wǎng)關(guān)部署在NAT設(shè)備之前,其控制的源IP只是一個或幾個NAT轉(zhuǎn)換后的公網(wǎng)IP,而不是眾多內(nèi)網(wǎng)IP,因此只能做出口應(yīng)用控制,而不能做內(nèi)網(wǎng)用戶控制,審計日志也將不包括內(nèi)網(wǎng)IP,這樣的做法實際上是花自己的錢替ISP做流控,性價比極低,正確的做法應(yīng)該是將流控網(wǎng)關(guān)放在NAT設(shè)備之后,這樣才能做內(nèi)網(wǎng)用戶的管理,才能最大程度的體現(xiàn)流量控制網(wǎng)關(guān)的作用。
Q6:封殺BT、P2P、非法網(wǎng)站、聊天、炒股、游戲、網(wǎng)絡(luò)電視等流量是否可以達到保障關(guān)鍵應(yīng)用的目的?
答:不一定。單獨封殺這些流量并不足以保證關(guān)鍵應(yīng)用的帶寬,因為其它正常流量以及未知流量一樣可以占用關(guān)鍵應(yīng)用的帶寬,而且這種做法不適用于收費網(wǎng)絡(luò)的管理,因為這樣做會導(dǎo)致付費用戶的投訴。需要指出的是,這種技術(shù)應(yīng)該叫***阻攔(IPS)或上網(wǎng)行為管理而不是流量管理(Traffic Management),前者注重對非法流量的攔截,后者注重對合法流量的分級管理。
Q7:限制P2P流量的總帶寬為某一固定值是否可以達到保障關(guān)鍵應(yīng)用的目的?
答:不一定。其它正常流量及未知流量一樣可以占用關(guān)鍵應(yīng)用的帶寬,這種做法本末倒置,既缺乏效率又缺乏準確性。另外,多年以后P2P特征碼能否持續(xù)獲得并升級也是個不確定的因素。
Q8:設(shè)定關(guān)鍵應(yīng)用流量的總帶寬為某一固定值是否可以達到保障關(guān)鍵應(yīng)用的目的?
答:不一定。這種做法無法保障所有人都可以同時使用關(guān)鍵應(yīng)用,例如:一個用戶可以同時占用大量的關(guān)鍵應(yīng)用的帶寬,由此會導(dǎo)致其他用戶不能正常使用關(guān)鍵應(yīng)用。這種方法是一種層次比較低的控制方法。
Q9:只設(shè)定每個源IP一個固定的帶寬(例如:512Kb/s)是否可以達到流量控制的目的?
答:不一定。P2P流量及未知流量可以在用戶不知情的情況下把所有分配的帶寬占滿,使得用戶無法使用關(guān)鍵應(yīng)用或其它應(yīng)用(例如:ping等),進而導(dǎo)致用戶的投訴。另一方面,當同時在線用戶少、帶寬充裕時,固定的個人帶寬又會導(dǎo)致總帶寬不能得到充分的利用。還有一種情況是,用戶雖然占用帶寬不多,但是短時間內(nèi)發(fā)出了很多的連接(例如:10000以上),同樣會導(dǎo)致網(wǎng)絡(luò)阻塞。對每個源IP設(shè)定一個固定的帶寬最好在接入交換機上設(shè)置,而不要在網(wǎng)關(guān)處設(shè)置,以避免產(chǎn)生性能瓶頸。
Q10:只設(shè)定每個源IP一個固定的會話數(shù)(例如:200個)是否可以達到流量控制的目的?
答:不一定。P2P流量及未知流量可以在用戶不知情的情況下把所有分配的會話數(shù)占滿,使得用戶無法使用關(guān)鍵應(yīng)用或其它應(yīng)用(例如:ping等),進而導(dǎo)致用戶的投訴。另一方面,即使每個用戶的會話數(shù)很少,但每個會話的帶寬很大,同樣可以把網(wǎng)絡(luò)出口帶寬占滿,最終導(dǎo)致流控失敗。
Q11:設(shè)定每個源IP一個固定的帶寬及會話數(shù)是否可以達到流量控制的目的?
答:不一定。P2P流量及未知流量可以在用戶不知情的情況下把所有分配的帶寬及會話數(shù)的配額占滿,使得用戶無法使用關(guān)鍵應(yīng)用或其它應(yīng)用(例如:ping等),進而導(dǎo)致用戶的投訴。
Q12:設(shè)定最大TCP/UDP會話速度(例如:100個/秒),超過這個標準的IP就被阻攔,這種方法是否可以達到流量控制的目的?
答:不能。由于這種方法是針對所有TCP、UDP協(xié)議的應(yīng)用,無法區(qū)分正常應(yīng)用和非正常應(yīng)用,因此會導(dǎo)致正常應(yīng)用被阻攔。另一方面,非正常應(yīng)用的會話速度即使低于設(shè)定值,仍然會積累很多的同時會話數(shù)(例如:10000以上),最終還是會導(dǎo)致網(wǎng)絡(luò)阻塞。
Q13:基于應(yīng)用層的P2P控制技術(shù)是否是最有效的P2P控制技術(shù)?
答:不一定。P2P通訊協(xié)議經(jīng)歷了3個發(fā)展階段:1)固定端口階段、2)隨機端口階段、3)加密流量階段,基于應(yīng)用層的P2P控制技術(shù)可以很好地控制處于1、2階段的P2P軟件,但隨著P2P軟件(例如:新的BT)將通訊協(xié)議加密,這種技術(shù)就會失效。
Q14:基于應(yīng)用層的帶寬分析與控制技術(shù)是否是最有效的分析與控制技術(shù)?
答:不一定。首先,因為它的工作原理和防病毒一樣屬于事后起作用,所以其優(yōu)點是精準,其缺點是:1)總有部分(10~30%)流量不可識別,例如IP碎片、加密流量等;2)性能會持續(xù)下降,當特征碼越來越多時,性能就會越來越低,這種趨勢發(fā)展到一定程度就會使流控設(shè)備成為網(wǎng)絡(luò)中新的性能瓶頸;3)由于要頻繁更新特征碼,因此一、設(shè)備后期維護難度大,總體擁有成本高;二、對廠家的依賴程度高,廠家停產(chǎn)、倒閉等不可抗力因素使得購買其產(chǎn)品成為一種***行為。其次,要區(qū)別對待基于應(yīng)用層的帶寬分析技術(shù)和控制技術(shù),確定有未知流量的存在對于7層帶寬分析技術(shù)來說是一種間接的成果,但是對于基于其上的帶寬控制技術(shù)來說就是現(xiàn)實的噩夢,因為它要先識別再做控制,所以這部分流量永遠無法得到有效的控制,當某種未知流量短期內(nèi)突然增大時,流控措施就會馬上失效,例如,08年新版迅雷的快速普及就導(dǎo)致了不少流控設(shè)備失效,特別是一些國外的設(shè)備。
Q15:是否必須依靠流控特征庫升級才能保證流控效果,是否存在不依賴流控特征庫的流控系統(tǒng)?
答:不一定必須依靠流控特征庫升級才能保證流控效果,當然存在不依賴流控特征庫的流控系統(tǒng),不是所有網(wǎng)絡(luò)環(huán)境都適用于依賴流控特征庫的流控系統(tǒng)。流控系統(tǒng)大致分為出口應(yīng)用控制和來源用戶控制兩大類,依賴流控特征庫的流控系統(tǒng)適用于出口應(yīng)用控制。
Q16:如何查看本單位網(wǎng)絡(luò)出口帶寬值?
答:可以查看流量管理設(shè)備WAN口的24小時流量趨勢圖,即查看上下載帶寬(即發(fā)送、接收流量)在一段時間內(nèi)的使用情況。上測速網(wǎng)站做實時測試可以驗證出口帶寬值,但不宜作為正式的證據(jù)。同時,為了提高效率、方便管理,ISP一般只限制下載帶寬,上傳帶寬可能沒有做限制。PPPoE撥號用戶的下載帶寬大而上傳帶寬小。如果下載帶寬沒有滿,但上傳帶寬滿了,一樣會引起網(wǎng)絡(luò)擁堵,因為用戶發(fā)出的請求無法及時傳輸出去。
Q17:在出口網(wǎng)關(guān)處的流量分布圖中,發(fā)送(Transmit)流量很大是怎么回事?
答:發(fā)送(Transmit)流量是客戶端主動向服務(wù)器發(fā)送的流量,包括P2P上傳流量、用戶發(fā)出的URL請求等。普通情況下,用戶發(fā)出的流量比接收(Receive)的流量小,但當網(wǎng)絡(luò)內(nèi)存在大量的P2P、P2SP使用者或病毒、***、蠕蟲時,就會產(chǎn)生大量的搜索及上傳流量,而且由于是后臺流量用戶一般還察覺不到。
Q18:使用流控設(shè)備后,從流量分布圖上看,BT流量下降了,HTTP流量上升了,是否意味著流控成功?
答:不一定。首先,看未知流量是否也跟著上升了,如果是這樣,那意味著還有未知的、不可控的P2P、P2SP流量;其次,即使未知流量沒有上升,也有可能存在非瀏覽器(迅雷、dudu等)產(chǎn)生的HTTP下載流量,它會占用用戶瀏覽網(wǎng)頁的帶寬,導(dǎo)致普通用戶覺得打開網(wǎng)頁慢。
Q19:用戶反映BT、迅雷下載速度很快,這是否意味著流控失敗?
答:不一定。如果BT、迅雷下載的同時,關(guān)鍵應(yīng)用或用戶瀏覽網(wǎng)頁的速度不受影響,那么表明流控策略是有效的,至于是否封殺BT、迅雷其實是無關(guān)緊要的,因為它們不會影響到網(wǎng)絡(luò)的整體性能。
Q20:如何判斷流控效果的好壞?
答:內(nèi)外兼顧。既要看出口網(wǎng)關(guān)處的流量分布圖,看是否有非受控的流量,又要看用戶網(wǎng)段、IP的流量分布圖,看每一受控網(wǎng)段、IP的不同應(yīng)用占用的帶寬是否超出設(shè)定的值。
Q21:客戶如何選擇流量分析設(shè)備?
答:首先,看監(jiān)控協(xié)議,好的設(shè)備至少有SNMP和Netflow兩種協(xié)議;其次,看是否有應(yīng)用層流量分析的功能;第三,看監(jiān)控對象,好的設(shè)備既可以監(jiān)控出口網(wǎng)關(guān)處的流量又可以監(jiān)控來源網(wǎng)絡(luò)的流量分布;第四,看流量數(shù)據(jù)存儲及處理方式,好的設(shè)備可以將流量數(shù)據(jù)輸出到專門的流量分析工作站,將流量存儲、分析、統(tǒng)計、查詢功能和流量捕捉功能分開,保證了流量分析設(shè)備的運行效率和流量數(shù)據(jù)存儲的可持續(xù)性。
Q22:客戶如何選擇流量控制設(shè)備?
答:首先,要了解客戶的網(wǎng)絡(luò)環(huán)境:
1)是收費網(wǎng)絡(luò)還是免費網(wǎng)絡(luò)?
如果是收費網(wǎng)絡(luò)就不能隨意封殺應(yīng)用,而只能做帶寬、會話數(shù)控制。
2)是運營商網(wǎng)絡(luò)還是用戶接入網(wǎng)絡(luò)?
前者只管出口應(yīng)用的流量控制,而不管內(nèi)網(wǎng)用戶的流控,后者則必須對內(nèi)網(wǎng)用戶做流控,因此對流控設(shè)備的功能要求比前者更高。
3)接入帶寬是多少??
流控網(wǎng)關(guān)的吞吐率應(yīng)該至少超過接入帶寬的30%以上,才能保證3~5年內(nèi)不會出現(xiàn)性能瓶頸。
4)是否有雙線或多線接入?
多線接入就需要流控網(wǎng)關(guān)同時具備多個流控網(wǎng)橋,它決定了流控網(wǎng)關(guān)的擴展性是否足夠。
其次,要比較流控策略:
1)流控策略的全面性
普通設(shè)備的只對P2P應(yīng)用做控制,好的設(shè)備對所有流量的帶寬、會話數(shù)、總流量和應(yīng)用做控制。由于流量的多樣性,單靠一兩種策略是不能管理好的,必須實行全面的流控策略才能達到流量管理的目的。
2)流控策略的精細度
普通設(shè)備的控制精度只能達到IP一級或網(wǎng)關(guān)一級,好的設(shè)備可以對每一源IP的不同應(yīng)用分別做帶寬及會話數(shù)的控制,而且只有這樣才能保障關(guān)鍵應(yīng)用及其它應(yīng)用的服務(wù)質(zhì)量以及相同等級用戶上網(wǎng)體驗的一致性。
3)流控策略的普適性及長效性
有些通過應(yīng)用層特征碼來控制P2P的流控策略,如果不能及時更新特征碼或特征碼變得不可知,就可能導(dǎo)致流控失敗,一個近期的例子:BT通訊協(xié)議加密及迅雷通訊協(xié)議發(fā)生變化導(dǎo)致專門的P2P流控設(shè)備失效。好的流控設(shè)備不依賴于應(yīng)用的特征碼,因此可以經(jīng)得起時間及應(yīng)用軟件協(xié)議變化的考驗。
Q23:網(wǎng)吧、企事業(yè)單位、ISP網(wǎng)絡(luò)的流控各有什么不同點?
答:網(wǎng)吧可以100%控制客戶端,因此可以完全不需要在網(wǎng)關(guān)處做基于應(yīng)用特征值的流 控,就可以做到普適性及長效性。企事業(yè)單位可以100%確定關(guān)鍵應(yīng)用,因此也可以完全不需要在網(wǎng)關(guān)處做基于應(yīng)用特征值的流控,就可以做到普適性及長效性。 ISP網(wǎng)絡(luò)無法控制客戶端,也無法確定關(guān)鍵應(yīng)用,只能確定哪些是優(yōu)先級低的應(yīng)用(例如P2P等),因此必須在網(wǎng)關(guān)處做基于應(yīng)用特征值的流控。
事實上,基于應(yīng)用特征值的流控應(yīng)該稱作“出口流量識別和控制系統(tǒng)”,它不適用于網(wǎng)吧、企事業(yè)單位的流控需求。
Q24:如何做到基于動態(tài)用戶的帶寬分配?
答:以學(xué)校為例,老師、學(xué)生動態(tài)地分布在網(wǎng)絡(luò)內(nèi),除了臺式機還有筆記本、手機、平板等移動上網(wǎng)設(shè)備,無法以固定的IP地址作為判別標準,為此必須使用用戶認證的方式來動態(tài)識別,具體來說需要具備以下幾個功能:1)流控策略中必須包括用戶組選項,以區(qū)別對待不同的用戶,單純的用戶認證功能而沒有與流控策略相關(guān)聯(lián),將無法做到區(qū)別對待用戶;2)要具備流量統(tǒng)計功能,對登陸后空閑的用戶自動讓其退出,以防他人占用該IP地址;3)要提供用戶自服務(wù)門戶,方便用戶登錄、退出、修改口令、查看日志,手機、平板用戶也可以使用;4)要提供用戶管理功能及用戶認證日志。
轉(zhuǎn)載于:https://blog.51cto.com/70365/1569600
總結(jié)
以上是生活随笔為你收集整理的流量管理系统产品选型常见问答(FAQ)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
