Cisco 校园网流量监控解决方案.ppt

会议日程 校园网运营管理所面临的挑战 现有的网络流量监控手段 MRTG – 基于物理/逻辑接口的流量监控 网管软件 – 基于物理端口、RMON、 SMON Sniffer, Ethereal 等抓包软件 – 性能很差 Netflow – 性能好、网络三层和四层流量监控 校园网络现状 流量模型无法建立，网络升级没有科学依据 网络升级频繁，却赶不上流量增长的速度 无法了解宽带网络应用和用户习惯 无法避免带宽滥用，成本高昂 P2P、病毒和垃圾邮件及不良信息充斥网络 非重要应用消耗了70%的带宽 无法实现差异化服务 无法提供和细化SLA 无法提供满足不同层面客户需求的网络接入产品 用户对网络的评价 校园网络的流量杀手 P2P 软件 垃圾邮件 网络攻击、病毒泛滥 传统的网络访问模型 – Client / Server Peer to Peer - 对等计算 上传者把一个文件分成了Z个部分 甲从服务器随机下载了第N各部分 乙从服务器随机下载了第M个部分 甲根据情况到乙的电脑上去拿乙已经下载好的M部分 乙根据情况去到甲的电脑上去拿甲已经下载好的N部分 甲、乙在下载的同时也在上传 所以下载的人越多，传送就越快 我们生活中的对等计算 (1) 即时消息传递 ICQ – I Seek~You! OICQ/QQ Yahoo! Pager MSN Messenger AOL IM … 聊天、文件传递、网上视频… 我们生活中的对等计算 (2) BitTorrent原理 BitTorrent原理 Peer-to-Peer 引发的问题 P2P 剧烈的改变了目前的网络流量 P2P 流量导致网络拥塞 并恶化用户上网体验 P2P 显著地增加了校园网出口设备投资成本和出口费用 P2P 使网络规划工作进一步复杂化 P2P 阻碍 QoS 敏感业务的部署 (VoIP, 视频会议…) Peer-to-Peer 的特点 不需关照的下载方式 – 增加网络峰值带宽和峰值持续时间 流量对称 – 导致上行拥塞 地理不可知 – 增加出口成本 P2P 应用能够动态变更端口 (port-hopping) 不能使用传统技术识别 P2P 应用日益流行 – 60% - 80% P2P问题存在并且日益严重 垃圾邮件的定义 垃圾邮件：普通意义上的垃圾邮件指的是未经主动请求的大量的电子邮件, SPAM, UBE(Unsolicited Bulk Email), UCE (Unsolicited Commercial Email) 收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件; 收件人无法拒收的电子邮件； 隐藏发件人身份、地址、标题等信息的电子邮件； 含有虚假的信息源、发件人、路由等信息的电子邮件。 现状分析-数据统计 我国垃圾邮件形势严峻 现状分析—危害 蠕虫病毒大量侵占网络带宽 网络流量监控的关键 思科校园网流量监控解决方案 思科校园网流量监控的解决方案 产品简介--Service Control Engine（SCE） 面向电信运营商的解决方案: Deep-packet-inspection Stateful 应用程序识别 动态策略控制 面向7层应用分析控制的特制平台: 模块化，可扩展 硬件加速应用分析和控制 易于使用，可扩展和开放的 APIs接口 透明连接，不要求改变现有网络设备的配置，不增加IP层面的拓扑复杂性 业界领先的性能指标 — 专用硬件平台 200万个并发数据流 10万个在线用户( IP ) 3.6Gbps 数据吞吐量 4个PPCs 负载分担 每个包完全处理,不是抽样 可编程的包识别和策略制定 产品理念 “Bump-on-a-Wire” Stateful Analysis Engine 识别应用— 双向包分析 Analysis Engine基于每用户实施商业规则 和 动态控制策略 (ex. rate policing, packet drop or header rewrite actions) 数据包不被路由也不被交换; 数据包从 subscriber interface 进入并总是从对应的 network interface出去, 反向亦如此。 重要特性—分类/策略引擎 重要特性—用户识别 网络带宽控制 – BWC (Bandwidth Controller) 业务带宽控制器 ( GBWC ) 每个业务的总带宽控制 用户带宽控制器 ( SBWC ) 适用于每用户的带宽控制 全局带宽控制器 总带宽控制 带宽控制和服务优化 多级带宽管理 每个链路或端口 每业务 (GBWC - Global Bandwidth controller) 每用户 (SBWC- Subscriber