DPI技术及解决方案.ppt

用户行为分析控制--P2P识别技术 用户行为分析控制--P2P识别技术 特征字识别 协议指纹 识别 协议状态机 识别 通信特征 识别 实现机制 采用Traffic shaping的方式限制应用业务流量 采用scheduling保证业务流量的优先转发 高等级业务流量（重要客户、关键业务）优先转发 低等级业务按照比例分配带宽资源 用户行为分析控制--P2P控制技术（QOS） TCP/UDP连接 Drop packt 源端 目的端 将TCP/UDP报文全部丢弃，可阻断源端与目的端的TCP/UDP连接 将TCP报文部分丢弃，可使发送端调整TCP窗口大小，自动降低发送速率，从而降低源端到目的端全路径的发送速率 用户行为分析控制--P2P控制技术（丢弃/部分丢弃） 源端 目的端 建立连接 TCP Rst或ICMP Unreachable TCP Rst或ICMP Unreachable 阻断TCP连接 伪造TCP Reset报文，向源和目的端分别发送 阻断UDP连接 伪造ICMP Unreachable报文，向源端发送 有可能被用户防火墙拦截而失效 用户行为分析控制--P2P控制技术（阻断TCP/UDP连接） 用户行为分析控制—双速网技术 校园内网 Internet 20M 4M 链路选择与带宽分配 能根据源IP地址、目标IP地址划分用户组，能为同一个用户访问不同的目的地址分配多种带宽； 能实现正向和反向NAT功能，实现多网搭桥功能； 能为不同的网络应用设置优先级，从而充分利用宝贵的带宽，减缓核心网的扩容压力 能分时段进行不同策略进行控制，便于为不同的用户提供差异化的功能； 管控精细 高精度的三维矩阵控制：最小控制颗粒度可精细到四个“一”，即：一个IP（网络用户）、一种协议、一个时间段内、一个策略。 全面灵活的用户分组：可以支持多种方式单独划分控制对象，也支持混合方式划分控制对象。划分条件可以是源/目标IP信息（地址段、地址范围、单个地址）、链路、用户组、用户ID、源/目标MAC地址、物理端口地址等。 灵活的协议分组：用户可以自行定义协议的分组，并且可以根据协议特征字、协议端口自行添加协议，创建用户自己规划的协议分组进行相应的流量控制或者保护。支持将同类协议设置为协议组，支持将协议或协议组划分成通道（即虚拟的网络流量通道——VC），虚拟通道可以应用各种控制策略。并且支持单个IP多个微通道，自定义微通道协议组，微通道带宽限制。 极强的协议识别能力，协议库长期更新可保证90%以上的识别率，现网测试情况下，识别率可达95%-97%。 用户行为分析控制--产品优势及特点 高安全性 用户行为分析控制主要以透明网桥形式部署，无需增加其他设备，不会改变现网结构。支持Bypass旁路保护系统，满足安全性要求高的用户需求。扩展时，按照线路进行设备的增加即可，对于多设备应用的情况，提供统一的管理平台，方便用户进行管理。 用户行为分析控制--产品优势及特点 AC Outline Fiberhome Networks co., LTD ? *? Page * ? Fiberhome Networks co., LTD ? *? Page * ? THANK YOU！ Fiberhome Networks co., LTD ? *? Page * ? 一般的网络数据处理，网络接口发送的网络流数据首先要在IP协议栈中进行处理，然后再复制副本转发入用户空间进行处理，同样，用户空间发回的数据同样要到IP协议栈中复制然后处理。 这个过程需要进行两次网络流的复制拷贝，使得系统需要使用较多的时钟周期用于数据的复制和存储。例如，在处理1Gbps的网络流量时，两次拷贝（相当于瞬时处理4Gbps的数据），会造成较大的延迟时间，会对网络应用造成非常大的影响。 有时候，尽管已经采用了流量控制的方案，仍然会感到网络很卡，甚至浏览网页、收发电子邮件都不能正常进行。原因就是流控设备无差别的对不同类别的网络应用流量进行处理，如果数据量比较大的时候，部分网络应用需要等待的时间就会变长。 FiberHome Networks | Great Customers Network Solutions DPI技术及解决方案 提纲 ■ DPI产品概述 ■ DPI关键技术 ■ DPI系统应用 ■ DPI组网介绍 三网融合运营商进入全业务竞争时代 电信运营商和有线电视运营商业务互相渗透 通过全业务绑定及价格策略互相争夺客户 电信运营商通过铺设FTTH来提供IPTV业务，抢夺有线电视运营商TV业务 有线电视运营商通过自建移动网络或MVNO的方式进入传统电信运营商的移动领域，形成全业务竞争 三网融合时代需要利用有限的资源，为用户提供精细化、差异化的服务；对业务实现更进