流量管理系统产品选型常见问答
Q1:哪些客户需要流量管理系统?它能够解决什么问题?达到什么目的?
答:用户数在300人以上的校园网、小区宽带网、企业网及运营商网等客户都需要流量管理系统。它能够解决内网用户对带宽的渴求及有限的接入带宽之间的矛盾,可以防止网络病毒、木马、蠕虫的大面积传播,阻止SYN洪水攻击、DDoS攻击,防止用户私改IP、私设代理逃费以及减缓BT、P2P、迅雷、P2SP等应用对网络运营造成的不良影响。应用流量管理系统后应该能够达到合理利用带宽、保障关键应用的目的。
Q2:如何判断网络是否需要马上部署流量控制系统?
答:可以通过观察出口流量的24小时带宽趋势图来确认(详见Q16),如果40%以上的时间带宽占用率都是100%,则需要马上部署流量控制系统,否则表明带宽还够用,无需立即部署流量控制系统。相反,如果100%的时间带宽占用率都低于50%,则应该考虑降低租用的出口带宽以节省支出。在部署流量控制系统前,起码要升级一次接入带宽。对于企事业单位来说,应该先考虑升级接入带宽,只有无法再增加带宽时才要考虑做流控,如果先买了流控设备,以后就不好申请升级接入带宽了,或者升级接入带宽后流控设备性能又跟不上了。而ISP为了能用有限的接入带宽接入更多的用户,会比企事业单位更优先考虑做流控。
Q3:流量管理系统由哪些设备组成?包含哪些技术?
答:流量管理系统由流量控制网关和流量分析工作站组成,主要包括流量控制和流量监测两大核心技术,流量控制技术包括:带宽控制、会话控制、总流量控制、应用控制,流量监测技术包括带宽监测、会话监测、总流量统计、SNMP流量监测、Netflow流量监测、设备状态监测,其它技术还有流量清洗、流量复制等。
Q4:流量控制网关应该部署到什么位置?是否会改变已有的网络拓扑结构?是否影响性能?
答:流量控制网关可以部署在网络中任一子网的出口处,具体位置有:
1)串联在出口路由器或防火墙以及核心交换机之间;
2)串联在出口路由器或防火墙之前;
3)接在核心交换机的镜像端口处。
控制力度大小依次为1)、2)、3),一般不会改变已有的网络拓扑结构。
只要流量控制网关的性能指标(吞吐率、延时、会话数等)优于网络的状态参数(带宽、用户数等)就不会对网络产生负面影响(丢包、延时等)。具体设备的性能及稳定性需现场测试。
Q5:怎么确定流量控制网关和NAT设备的位置关系?
答:流量控制网关应该部署在NAT设备之后。如果流量控制网关部署在NAT设备之前,其控制的源IP只是一个或几个NAT转换后的公网IP,而不是众多内网IP,因此只能做出口应用控制,而不能做内网用户控制,审计日志也将不包括内网IP,这样的做法实际上是花自己的钱替ISP做流控,性价比极低,正确的做法应该是将流控网关放在NAT设备之后,这样才能做内网用户的管理,才能最大程度的体现流量控制网关的作用。
Q6:封杀BT、P2P、非法网站、聊天、炒股、游戏、网络电视等流量是否可以达到保障关键应用的目的?
答:不一定。单独封杀这些流量并不足以保证关键应用的带宽,因为其它正常流量以及未知流量一样可以占用关键应用的带宽,而且这种做法不适用于收费网络的管理,因为这样做会导致付费用户的投诉。需要指出的是,这种技术应该叫入侵阻拦(IPS)或上网行为管理而不是流量管理(Traffic Management),前者注重对非法流量的拦截,后者注重对合法流量的分级管理。
Q7:限制P2P流量的总带宽为某一固定值是否可以达到保障关键应用的目的?
答:不一定。其它正常流量及未知流量一样可以占用关键应用的带宽,这种做法本末倒置,既缺乏效率又缺乏准确性。另外,多年以后P2P特征码能否持续获得并升级也是个不确定的因素。
Q8:设定关键应用流量的总带宽为某一固定值是否可以达到保障关键应用的目的?
答:不一定。这种做法无法保障所有人都可以同时使用关键应用,例如:一个用户可以同时占用大量的关键应用的带宽,由此会导致其他用户不能正常使用关键应用。这种方法是一种层次比较低的控制方法。
Q9:只设定每个源IP一个固定的带宽(例如:512Kb/s)是否可以达到流量控制的目的?
答:不一定。P2P流量及未知流量可以在用户不知情的情况下把所有分配的带宽占满,使得用户无法使用关键应用或其它应用(例如:ping等),进而导致用户的投诉。另一方面,当同时在线用户少、带宽充裕时,固定的个人带宽又会导致总带宽不能得到充分的利用。还有一种情况是,用户虽然占用带宽不多,但是短时间内发出了很多的连接(例如:10000以上),同样会导致网络阻塞。对每个源IP设定一个固定的带宽最好在接入交换机上设置,而不要在网关处设置,以避免产生性能瓶颈。
Q10:只设定每个源IP一个固定的会话数(例如:200个)是否可以达到流量控制的目的?
答:不一定。P2P流量及未知流量可以在用户不知情的情况下把所有分配的会话数占满,使得用户无法使用关键应用或其它应用(例如:ping等),进而导致用户的投诉。另一方面,即使每个用户的会话数很少,但每个会话的带宽很大,同样可以把网络出口带宽占满,最终导致流控失败。
Q11:设定每个源IP一个固定的带宽及会话数是否可以达到流量控制的目的?
答:不一定。P2P流量及未知流量可以在用户不知情的情况下把所有分配的带宽及会话数的配额占满,使得用户无法使用关键应用或其它应用(例如:ping等),进而导致用户的投诉。
Q12:设定最大TCP/UDP会话速度(例如:100个/秒),超过这个标准的IP就被阻拦,这种方法是否可以达到流量控制的目的?
答:不能。由于这种方法是针对所有TCP、UDP协议的应用,无法区分正常应用和非正常应用,因此会导致正常应用被阻拦。另一方面,非正常应用的会话速度即使低于设定值,仍然会积累很多的同时会话数(例如:10000以上),最终还是会导致网络阻塞。
Q13:基于应用层的P2P控制技术是否是最有效的P2P控制技术?
答:不一定。P2P通讯协议经历了3个发展阶段:1)固定端口阶段、2)随机端口阶段、3)加密流量阶段,基于应用层的P2P控制技术可以很好地控制处于1、2阶段的P2P软件,但随着P2P软件(例如:新的BT)将通讯协议加密,这种技术就会失效。
Q14:基于应用层的带宽分析与控制技术是否是最有效的分析与控制技术?
答:不一定。首先,因为它的工作原理和防病毒一样属于事后起作用,所以其优点是精准,其缺点是:1)总有部分(10~30%)流量不可识别,例如IP碎片、加密流量等;2)性能会持续下降,当特征码越来越多时,性能就会越来越低,这种趋势发展到一定程度就会使流控设备成为网络中新的性能瓶颈;3)由于要频繁更新特征码,因此一、设备后期维护难度大,总体拥有成本高;二、对厂家的依赖程度高,厂家停产、倒闭等不可抗力因素使得购买其产品成为一种赌博行为。其次,要区别对待基于应用层的带宽分析技术和控制技术,确定有未知流量的存在对于7层带宽分析技术来说是一种间接的成果,但是对于基于其上的带宽控制技术来说就是现实的噩梦,因为它要先识别再做控制,所以这部分流量永远无法得到有效的控制,当某种未知流量短期内突然增大时,流控措施就会马上失效,例如,08年新版迅雷的快速普及就导致了不少流控设备失效,特别是一些国外的设备。
Q15:是否必须依靠流控特征库升级才能保证流控效果,是否存在不依赖流控特征库的流控系统?
答:不一定必须依靠流控特征库升级才能保证流控效果,当然存在不依赖流控特征库的流控系统,不是所有网络环境都适用于依赖流控特征库的流控系统。流控系统大致分为出口应用控制和来源用户控制两大类,依赖流控特征库的流控系统适用于出口应用控制。
Q16:如何查看本单位网络出口带宽值?
答:可以查看流量管理设备WAN口的24小时流量趋势图,即查看上下载带宽(即发送、接收流量)在一段时间内的使用情况。上测速网站做实时测试可以验证出口带宽值,但不宜作为正式的证据。同时,为了提高效率、方便管理,ISP一般只限制下载带宽,上传带宽可能没有做限制。PPPoE拨号用户的下载带宽大而上传带宽小。如果下载带宽没有满,但上传带宽满了,一样会引起网络拥堵,因为用户发出的请求无法及时传输出去。
Q17:在出口网关处的流量分布图中,发送(Transmit)流量很大是怎么回事?
答:发送(Transmit)流量是客户端主动向服务器发送的流量,包括P2P上传流量、用户发出的URL请求等。普通情况下,用户发出的流量比接收(Receive)的流量小,但当网络内存在大量的P2P、P2SP使用者或病毒、木马、蠕虫时,就会产生大量的搜索及上传流量,而且由于是后台流量用户一般还察觉不到。
Q18:使用流控设备后,从流量分布图上看,BT流量下降了,HTTP流量上升了,是否意味着流控成功?
答:不一定。首先,看未知流量是否也跟着上升了,如果是这样,那意味着还有未知的、不可控的P2P、P2SP流量;其次,即使未知流量没有上升,也有可能存在非浏览器(迅雷、dudu等)产生的HTTP下载流量,它会占用用户浏览网页的带宽,导致普通用户觉得打开网页慢。
Q19:用户反映BT、迅雷下载速度很快,这是否意味着流控失败?
答:不一定。如果BT、迅雷下载的同时,关键应用或用户浏览网页的速度不受影响,那么表明流控策略是有效的,至于是否封杀BT、迅雷其实是无关紧要的,因为它们不会影响到网络的整体性能。
Q20:如何判断流控效果的好坏?
答:内外兼顾。既要看出口网关处的流量分布图,看是否有非受控的流量,又要看用户网段、IP的流量分布图,看每一受控网段、IP的不同应用占用的带宽是否超出设定的值。
Q21:客户如何选择流量分析设备?
答:首先,看监控协议,好的设备至少有SNMP和Netflow两种协议;其次,看是否有应用层流量分析的功能;第三,看监控对象,好的设备既可以监控出口网关处的流量又可以监控来源网络的流量分布;第四,看流量数据存储及处理方式,好的设备可以将流量数据输出到专门的流量分析工作站,将流量存储、分析、统计、查询功能和流量捕捉功能分开,保证了流量分析设备的运行效率和流量数据存储的可持续性。
Q22:客户如何选择流量控制设备?
答:首先,要了解客户的网络环境:
1)是收费网络还是免费网络?
如果是收费网络就不能随意封杀应用,而只能做带宽、会话数控制。
2)是运营商网络还是用户接入网络?
前者只管出口应用的流量控制,而不管内网用户的流控,后者则必须对内网用户做流控,因此对流控设备的功能要求比前者更高。
3)接入带宽是多少?
流控网关的吞吐率应该至少超过接入带宽的30%以上,才能保证3~5年内不会出现性能瓶颈。
4)是否有双线或多线接入?
多线接入就需要流控网关同时具备多个流控网桥,它决定了流控网关的扩展性是否足够。
其次,要比较流控策略:
1)流控策略的全面性
普通设备的只对P2P应用做控制,好的设备对所有流量的带宽、会话数、总流量和应用做控制。由于流量的多样性,单靠一两种策略是不能管理好的,必须实行全面的流控策略才能达到流量管理的目的。
2)流控策略的精细度
普通设备的控制精度只能达到IP一级或网关一级,好的设备可以对每一源IP的不同应用分别做带宽及会话数的控制,而且只有这样才能保障关键应用及其它应用的服务质量以及相同等级用户上网体验的一致性。
3)流控策略的普适性及长效性
有些通过应用层特征码来控制P2P的流控策略,如果不能及时更新特征码或特征码变得不可知,就可能导致流控失败,一个近期的例子:BT通讯协议加密及迅雷通讯协议发生变化导致专门的P2P流控设备失效。好的流控设备不依赖于应用的特征码,因此可以经得起时间及应用软件协议变化的考验。
Q23:网吧、企事业单位、ISP网络的流控各有什么不同点?
答:网吧可以100%控制客户端,因此可以完全不需要在网关处做基于应用特征值的流 控,就可以做到普适性及长效性。企事业单位可以100%确定关键应用,因此也可以完全不需要在网关处做基于应用特征值的流控,就可以做到普适性及长效性。 ISP网络无法控制客户端,也无法确定关键应用,只能确定哪些是优先级低的应用(例如P2P等),因此必须在网关处做基于应用特征值的流控。
事实上,基于应用特征值的流控应该称作“出口流量识别和控制系统”,它不适用于网吧、企事业单位的流控需求。
Q24:如何做到基于动态用户的带宽分配?
答:以学校为例,老师、学生动态地分布在网络内,除了台式机还有笔记本、手机、平板等移动上网设备,无法以固定的IP地址作为判别标准,为此必须使用用户认证的方式来动态识别,具体来说需要具备以下几个功能:1)流控策略中必须包括用户组选项,以区别对待不同的用户,单纯的用户认证功能而没有与流控策略相关联,将无法做到区别对待用户;2)要具备流量统计功能,对登陆后空闲的用户自动让其退出,以防他人占用该IP地址;3)要提供用户自服务门户,方便用户登录、退出、修改口令、查看日志,手机、平板用户也可以使用;4)要提供用户管理功能及用户认证日志。
[ 本帖最后由 Zeus 于 2014-10-30 11:31 编辑 ]
搜索更多相关主题的帖子:
流量控制 p2p