转帖: 流量管理系统产品选型常见问答(FAQ)
注:本文转自http://www.trustcomputing.com.cn/ch/index.php/content/view/56/25/流量管理系统产品选型常见问答(FAQ)
作者: Administrator
Q1:哪些客户需要流量管理系统?它能够解决什么问题?达到什么目的?
答:用户数在300人以上的校园网、小区宽带网、企业网及运营商网等客户都需要流量管理系统。它能够解决内网用户对带宽的渴求及有限的接入带宽之间的矛盾,可以防止网络病毒、木马、蠕虫的大面积传播,阻止SYN洪水攻击、DDoS攻击,防止用户私改IP、私设代理逃费以及减缓BT、P2P、迅雷、P2SP等应用对网络运营造成的不良影响。应用流量管理系统后应该能够达到合理利用带宽、保障关键应用的目的。
Q2:流量管理系统由哪些设备组成?包含哪些技术?
答:流量管理系统由流量控制网关和流量分析工作站组成,主要包括流量控制和流量监测两大核心技术,流量控制技术包括:带宽控制、会话控制、总流量控制、应用控制,流量监测技术包括带宽监测、会话监测、总流量统计、SNMP流量监测、Netflow流量监测、设备状态监测,其它技术还有流量清洗、流量复制等。
Q3:流量控制网关应该部署到什么位置?是否会改变已有的网络拓扑结构?是否影响性能?
答:流量控制网关可以部署在网络中任一子网的出口处,具体位置有1)串联在出口路由器或防火墙以及核心交换机之间,2)串联在出口路由器或防火墙之前,3)接在核心交换机的镜像端口处,可以部署在网络中任一子网的出口处,控制力度大小依次为1)、2)、3),一般不会改变已有的网络拓扑结构。只要流量控制网关的性能指标(吞吐率、会话数等)大于网络的状态参数(带宽、用户数等)就不会对网络产生负面影响(丢包、延时等)。具体设备的性能及稳定性需现场测试。
Q4:封杀BT、P2P、非法网站、聊天、炒股、游戏、网络电视等流量是否可以达到保障关键应用的目的?
答:不一定。单独封杀这些流量并不足以保证关键应用的带宽,因为其它正常流量以及未知流量一样可以占用关键应用的带宽,而且这种做法不适用于收费网络的管理,因为这样做会导致付费用户的投诉。需要指出的是,这种做法应该叫入侵阻拦(IPS)或上网行为管理而不是流量管理,前者注重对非法流量的拦截,后者注重对合法流量的分级管理。
Q5:限制P2P流量的总带宽为某一固定值是否可以达到保障关键应用的目的?
答:不一定。其它正常流量及未知流量一样可以占用关键应用的带宽,这种做法本末倒置,既缺乏准确性又缺乏效率。另外,多年以后P2P特征码能否持续获得并升级也是个不确定的因素。
Q6:设定关键应用流量的总带宽为某一固定值是否可以达到保障关键应用的目的?
答:不一定。这种做法无法保障所有人都可以同时使用关键应用,例如:一个用户可以同时占用大量的关键应用的带宽,由此会导致其他用户不能正常使用关键应用。这种方法是一种层次比较低的控制方法。
Q7:只设定每个源IP一个固定的带宽(例如:512Kb/s)是否可以达到流量控制的目的?
答:不一定。P2P流量及未知流量可以在用户不知情的情况下把所有分配的带宽占满,使得用户无法使用关键应用或其它应用(例如:ping等),进而导致用户的投诉。另一方面,当同时在线用户少、带宽充裕时,固定的个人带宽又会导致总带宽不能得到充分的利用。还有一种情况是,用户虽然占用带宽不多,但是短时间内发出了很多的连接(例如:10000以上),同样会导致网络阻塞。
Q8:只设定每个源IP一个固定的会话数(例如:100个)是否可以达到流量控制的目的?
答:不一定。P2P流量及未知流量可以在用户不知情的情况下把所有分配的会话数占满,使得用户无法使用关键应用或其它应用(例如:ping等),进而导致用户的投诉。另一方面,即使每个用户的会话数很少,但每个会话的带宽很大,同样可以把网络出口带宽占满,最终导致流控失败。
Q9:设定每个源IP一个固定的带宽及会话数是否可以达到流量控制的目的?
答:不一定。P2P流量及未知流量可以在用户不知情的情况下把所有分配的带宽及会话数的配额占满,使得用户无法使用关键应用或其它应用(例如:ping等),进而导致用户的投诉。
Q10:设定最大TCP/UDP会话速度(例如:100个/秒),超过这个标准的IP就被阻拦,这种方法是否可以达到流量控制的目的?
答:不能。由于这种方法是针对所有TCP、UDP协议的应用,无法区分正常应用和非正常应用,因此会导致正常应用被阻拦。另一方面,非正常应用的会话速度即使低于设定值,仍然会积累很多的同时会话数(例如:10000以上),最终还是会导致网络阻塞。
Q11:基于应用层的P2P控制技术是否是最有效的P2P控制技术?
答:不一定。P2P通讯协议经历了3个发展阶段:1)固定端口阶段、2)随机端口阶段、3)加密流量阶段,基于应用层的P2P控制技术可以很好地控制处于1、2阶段的P2P软件,但随着P2P软件(例如:新的BT)将通讯协议加密,这种技术就没有用武之地了。
Q12:基于应用层的带宽分析与控制技术是否是最有效的分析与控制技术?
答:不一定。基于应用层的带宽分析技术是比较好的带宽分析技术,但是基于应用层的带宽控制技术却不一定是最有效的控制技术,由于技术及性能问题,目前只能做到流量封杀而无法精确控制相应流量的带宽。衡量基于应用层的带宽控制技术的最好办法是观察受控流量及未知流量是否和设定的带宽值一致。
Q13:如何查看上级ISP提供的带宽的使用情况?
答:可以查看流量管理设备WAN口的24小时流量趋势图,可以查看上下载带宽(即发送、接收流量)随时间分布的情况。为了方便管理,上级ISP一般只限制下载带宽,上传带宽不做限制,只做测量用。
Q14:在出口网关处的流量分布图中,发送(Transmit)流量很大是怎么回事?
答:发送(Transmit)流量是客户端主动向服务器发送的流量,包括P2P上传流量、用户发出的URL请求等。普通情况下,用户发出的流量比接收(Receive)的流量小,但当网络内存在大量的P2P、P2SP使用者或病毒、蠕虫时,就会产生大量的搜索及上传流量,而且由于是后台流量用户一般还察觉不到。
Q15:使用流控设备后,从流量分布图上看,BT流量下降了,HTTP流量上升了,是否意味着流控成功?
答:不一定。首先,看未知流量是否也跟着上升了,如果是这样,那意味着还有未知的、不可控的P2P、P2SP流量;其次,即使未知流量没有上升,也有可能存在非浏览器(迅雷、dudu等)产生的HTTP下载流量,它会占用用户浏览网页的带宽,导致普通用户觉得打开网页慢。
Q16:用户反映BT、迅雷下载速度很快,这是否意味着流控失败?
答:不一定。如果BT、迅雷下载的同时,关键应用或用户浏览网页的速度不受影响,那么表明流控策略是有效的,至于是否封杀BT、迅雷其实是无关紧要的,因为它们不会影响到网络的整体性能。
Q17:如何判断流控效果的好坏?
答:内外兼顾。既要看出口网关处的流量分布图,看是否有非受控的流量,又要看用户网段、IP的流量分布图,看每一受控网段、IP的不同应用占用的带宽是否超出设定的值。
Q18:客户如何选择流量分析设备?
答:首先,看监控协议,好的设备至少有SNMP和Netflow两种协议;其次,看是否有应用层流量分析的功能;第三,看监控对象,好的设备既可以监控出口网关处的流量又可以监控来源网络的流量分布;第四,看流量数据存储及处理方式,好的设备可以将流量数据输出到专门的流量分析工作站,将流量存储、分析、统计、查询功能和流量捕捉功能分开,保证了流量分析设备的运行效率和流量数据存储的可持续性。
Q19:客户如何选择流控设备?
答:首先,要了解客户的网络环境:
1)是收费网络还是免费网络
如果是收费网络就不能随意封杀应用,而只能做带宽、会话数控制。
2)是运营商网络还是用户接入网络
前者只管网络里应用的流量控制,而不管最终用户的流控,后者则必须对最终用户做流控,因此对流控设备的功能要求比前者更高。
其次,要比较流控策略:
1)流控策略的全面性
普通设备的只对P2P应用做控制,好的设备对所有流量的带宽、会话数、总流量和应用做控制。由于流量的多样性,单靠一两种策略是不能管理好的,必须实行全面的流控策略才能达到流量管理的目的。
2)流控策略的精细度
普通设备的来源控制精度只能达到IP一级或网关一级,好的设备可以对每一源IP的不同应用分别做带宽及会话数的控制,而且只有这样才能保障关键应用及其它应用的服务质量以及相同等级用户上网体验的一致性。
3)流控策略的普适性及长效性
有些通过应用层特征码来控制P2P的流控策略,如果不能及时更新特征码或特征码变得不可知,就可能导致流控失败,一个近期的例子:BT通讯协议加密及迅雷通讯协议发生变化导致专门的P2P流控设备失效。好的流控设备不依赖于应用的特征码,因此可以经得起时间及应用软件协议变化的考验。
感谢
不错的文档,虽然比较口语化,但是接近实践,希望能有更多的类似文章帮助大家。回复 2# 的帖子
转来的,其他厂家的文档。仅做参考,呵呵。
页:
[1]