流量管理系统产品选型常见问答(FAQ)
Q1:哪些客戶需要流量管理系統?它能夠解決什么問題?達到什么目的?
答:用戶數在300人以上的校園網、小區寬帶網、企業網及運營商網等客戶都需要流量管理系統。它能夠解決內網用戶對帶寬的渴求及有限的接入帶寬之間的矛盾,可以防止網絡病毒、***、蠕蟲的大面積傳播,阻止SYN洪水***、DDoS***,防止用戶私改IP、私設代理逃費以及減緩BT、P2P、迅雷、P2SP等應用對網絡運營造成的不良影響。應用流量管理系統后應該能夠達到合理利用帶寬、保障關鍵應用的目的。
Q2:如何判斷網絡是否需要馬上部署流量控制系統?
答:可以通過觀察出口流量的24小時帶寬趨勢圖來確認(詳見Q16),如果40%以上的時間帶寬占用率都是100%,則需要馬上部署流量控制系統,否則表明帶寬還夠用,無需立即部署流量控制系統。相反,如果100%的時間帶寬占用率都低于50%,則應該考慮降低租用的出口帶寬以節省支出。在部署流量控制系統前,起碼要升級一次接入帶寬。對于企事業單位來說,應該先考慮升級接入帶寬,只有無法再增加帶寬時才要考慮做流控,如果先買了流控設備,以后就不好申請升級接入帶寬了,或者升級接入帶寬后流控設備性能又跟不上了。而ISP為了能用有限的接入帶寬接入更多的用戶,會比企事業單位更優先考慮做流控。
Q3:流量管理系統由哪些設備組成?包含哪些技術?
答:流量管理系統由流量控制網關和流量分析工作站組成,主要包括流量控制和流量監測兩大核心技術,流量控制技術包括:帶寬控制、會話控制、總流量控制、應用控制,流量監測技術包括帶寬監測、會話監測、總流量統計、SNMP流量監測、Netflow流量監測、設備狀態監測,其它技術還有流量清洗、流量復制等。
Q4:流量控制網關應該部署到什么位置?是否會改變已有的網絡拓撲結構?是否影響性能?
答:流量控制網關可以部署在網絡中任一子網的出口處,具體位置有:
1)串聯在出口路由器或防火墻以及核心交換機之間;
2)串聯在出口路由器或防火墻之前;
3)接在核心交換機的鏡像端口處。
控制力度大小依次為1)、2)、3),一般不會改變已有的網絡拓撲結構。
只要流量控制網關的性能指標(吞吐率、延時、會話數等)優于網絡的狀態參數(帶寬、用戶數等)就不會對網絡產生負面影響(丟包、延時等)。具體設備的性能及穩定性需現場測試。
Q5:怎么確定流量控制網關和NAT設備的位置關系?
答:流量控制網關應該部署在NAT設備之后。如果流量控制網關部署在NAT設備之前,其控制的源IP只是一個或幾個NAT轉換后的公網IP,而不是眾多內網IP,因此只能做出口應用控制,而不能做內網用戶控制,審計日志也將不包括內網IP,這樣的做法實際上是花自己的錢替ISP做流控,性價比極低,正確的做法應該是將流控網關放在NAT設備之后,這樣才能做內網用戶的管理,才能最大程度的體現流量控制網關的作用。
Q6:封殺BT、P2P、非法網站、聊天、炒股、游戲、網絡電視等流量是否可以達到保障關鍵應用的目的?
答:不一定。單獨封殺這些流量并不足以保證關鍵應用的帶寬,因為其它正常流量以及未知流量一樣可以占用關鍵應用的帶寬,而且這種做法不適用于收費網絡的管理,因為這樣做會導致付費用戶的投訴。需要指出的是,這種技術應該叫***阻攔(IPS)或上網行為管理而不是流量管理(Traffic Management),前者注重對非法流量的攔截,后者注重對合法流量的分級管理。
Q7:限制P2P流量的總帶寬為某一固定值是否可以達到保障關鍵應用的目的?
答:不一定。其它正常流量及未知流量一樣可以占用關鍵應用的帶寬,這種做法本末倒置,既缺乏效率又缺乏準確性。另外,多年以后P2P特征碼能否持續獲得并升級也是個不確定的因素。
Q8:設定關鍵應用流量的總帶寬為某一固定值是否可以達到保障關鍵應用的目的?
答:不一定。這種做法無法保障所有人都可以同時使用關鍵應用,例如:一個用戶可以同時占用大量的關鍵應用的帶寬,由此會導致其他用戶不能正常使用關鍵應用。這種方法是一種層次比較低的控制方法。
Q9:只設定每個源IP一個固定的帶寬(例如:512Kb/s)是否可以達到流量控制的目的?
答:不一定。P2P流量及未知流量可以在用戶不知情的情況下把所有分配的帶寬占滿,使得用戶無法使用關鍵應用或其它應用(例如:ping等),進而導致用戶的投訴。另一方面,當同時在線用戶少、帶寬充裕時,固定的個人帶寬又會導致總帶寬不能得到充分的利用。還有一種情況是,用戶雖然占用帶寬不多,但是短時間內發出了很多的連接(例如:10000以上),同樣會導致網絡阻塞。對每個源IP設定一個固定的帶寬最好在接入交換機上設置,而不要在網關處設置,以避免產生性能瓶頸。
Q10:只設定每個源IP一個固定的會話數(例如:200個)是否可以達到流量控制的目的?
答:不一定。P2P流量及未知流量可以在用戶不知情的情況下把所有分配的會話數占滿,使得用戶無法使用關鍵應用或其它應用(例如:ping等),進而導致用戶的投訴。另一方面,即使每個用戶的會話數很少,但每個會話的帶寬很大,同樣可以把網絡出口帶寬占滿,最終導致流控失敗。
Q11:設定每個源IP一個固定的帶寬及會話數是否可以達到流量控制的目的?
答:不一定。P2P流量及未知流量可以在用戶不知情的情況下把所有分配的帶寬及會話數的配額占滿,使得用戶無法使用關鍵應用或其它應用(例如:ping等),進而導致用戶的投訴。
Q12:設定最大TCP/UDP會話速度(例如:100個/秒),超過這個標準的IP就被阻攔,這種方法是否可以達到流量控制的目的?
答:不能。由于這種方法是針對所有TCP、UDP協議的應用,無法區分正常應用和非正常應用,因此會導致正常應用被阻攔。另一方面,非正常應用的會話速度即使低于設定值,仍然會積累很多的同時會話數(例如:10000以上),最終還是會導致網絡阻塞。
Q13:基于應用層的P2P控制技術是否是最有效的P2P控制技術?
答:不一定。P2P通訊協議經歷了3個發展階段:1)固定端口階段、2)隨機端口階段、3)加密流量階段,基于應用層的P2P控制技術可以很好地控制處于1、2階段的P2P軟件,但隨著P2P軟件(例如:新的BT)將通訊協議加密,這種技術就會失效。
Q14:基于應用層的帶寬分析與控制技術是否是最有效的分析與控制技術?
答:不一定。首先,因為它的工作原理和防病毒一樣屬于事后起作用,所以其優點是精準,其缺點是:1)總有部分(10~30%)流量不可識別,例如IP碎片、加密流量等;2)性能會持續下降,當特征碼越來越多時,性能就會越來越低,這種趨勢發展到一定程度就會使流控設備成為網絡中新的性能瓶頸;3)由于要頻繁更新特征碼,因此一、設備后期維護難度大,總體擁有成本高;二、對廠家的依賴程度高,廠家停產、倒閉等不可抗力因素使得購買其產品成為一種***行為。其次,要區別對待基于應用層的帶寬分析技術和控制技術,確定有未知流量的存在對于7層帶寬分析技術來說是一種間接的成果,但是對于基于其上的帶寬控制技術來說就是現實的噩夢,因為它要先識別再做控制,所以這部分流量永遠無法得到有效的控制,當某種未知流量短期內突然增大時,流控措施就會馬上失效,例如,08年新版迅雷的快速普及就導致了不少流控設備失效,特別是一些國外的設備。
Q15:是否必須依靠流控特征庫升級才能保證流控效果,是否存在不依賴流控特征庫的流控系統?
答:不一定必須依靠流控特征庫升級才能保證流控效果,當然存在不依賴流控特征庫的流控系統,不是所有網絡環境都適用于依賴流控特征庫的流控系統。流控系統大致分為出口應用控制和來源用戶控制兩大類,依賴流控特征庫的流控系統適用于出口應用控制。
Q16:如何查看本單位網絡出口帶寬值?
答:可以查看流量管理設備WAN口的24小時流量趨勢圖,即查看上下載帶寬(即發送、接收流量)在一段時間內的使用情況。上測速網站做實時測試可以驗證出口帶寬值,但不宜作為正式的證據。同時,為了提高效率、方便管理,ISP一般只限制下載帶寬,上傳帶寬可能沒有做限制。PPPoE撥號用戶的下載帶寬大而上傳帶寬小。如果下載帶寬沒有滿,但上傳帶寬滿了,一樣會引起網絡擁堵,因為用戶發出的請求無法及時傳輸出去。
Q17:在出口網關處的流量分布圖中,發送(Transmit)流量很大是怎么回事?
答:發送(Transmit)流量是客戶端主動向服務器發送的流量,包括P2P上傳流量、用戶發出的URL請求等。普通情況下,用戶發出的流量比接收(Receive)的流量小,但當網絡內存在大量的P2P、P2SP使用者或病毒、***、蠕蟲時,就會產生大量的搜索及上傳流量,而且由于是后臺流量用戶一般還察覺不到。
Q18:使用流控設備后,從流量分布圖上看,BT流量下降了,HTTP流量上升了,是否意味著流控成功?
答:不一定。首先,看未知流量是否也跟著上升了,如果是這樣,那意味著還有未知的、不可控的P2P、P2SP流量;其次,即使未知流量沒有上升,也有可能存在非瀏覽器(迅雷、dudu等)產生的HTTP下載流量,它會占用用戶瀏覽網頁的帶寬,導致普通用戶覺得打開網頁慢。
Q19:用戶反映BT、迅雷下載速度很快,這是否意味著流控失敗?
答:不一定。如果BT、迅雷下載的同時,關鍵應用或用戶瀏覽網頁的速度不受影響,那么表明流控策略是有效的,至于是否封殺BT、迅雷其實是無關緊要的,因為它們不會影響到網絡的整體性能。
Q20:如何判斷流控效果的好壞?
答:內外兼顧。既要看出口網關處的流量分布圖,看是否有非受控的流量,又要看用戶網段、IP的流量分布圖,看每一受控網段、IP的不同應用占用的帶寬是否超出設定的值。
Q21:客戶如何選擇流量分析設備?
答:首先,看監控協議,好的設備至少有SNMP和Netflow兩種協議;其次,看是否有應用層流量分析的功能;第三,看監控對象,好的設備既可以監控出口網關處的流量又可以監控來源網絡的流量分布;第四,看流量數據存儲及處理方式,好的設備可以將流量數據輸出到專門的流量分析工作站,將流量存儲、分析、統計、查詢功能和流量捕捉功能分開,保證了流量分析設備的運行效率和流量數據存儲的可持續性。
Q22:客戶如何選擇流量控制設備?
答:首先,要了解客戶的網絡環境:
1)是收費網絡還是免費網絡?
如果是收費網絡就不能隨意封殺應用,而只能做帶寬、會話數控制。
2)是運營商網絡還是用戶接入網絡?
前者只管出口應用的流量控制,而不管內網用戶的流控,后者則必須對內網用戶做流控,因此對流控設備的功能要求比前者更高。
3)接入帶寬是多少??
流控網關的吞吐率應該至少超過接入帶寬的30%以上,才能保證3~5年內不會出現性能瓶頸。
4)是否有雙線或多線接入?
多線接入就需要流控網關同時具備多個流控網橋,它決定了流控網關的擴展性是否足夠。
其次,要比較流控策略:
1)流控策略的全面性
普通設備的只對P2P應用做控制,好的設備對所有流量的帶寬、會話數、總流量和應用做控制。由于流量的多樣性,單靠一兩種策略是不能管理好的,必須實行全面的流控策略才能達到流量管理的目的。
2)流控策略的精細度
普通設備的控制精度只能達到IP一級或網關一級,好的設備可以對每一源IP的不同應用分別做帶寬及會話數的控制,而且只有這樣才能保障關鍵應用及其它應用的服務質量以及相同等級用戶上網體驗的一致性。
3)流控策略的普適性及長效性
有些通過應用層特征碼來控制P2P的流控策略,如果不能及時更新特征碼或特征碼變得不可知,就可能導致流控失敗,一個近期的例子:BT通訊協議加密及迅雷通訊協議發生變化導致專門的P2P流控設備失效。好的流控設備不依賴于應用的特征碼,因此可以經得起時間及應用軟件協議變化的考驗。
Q23:網吧、企事業單位、ISP網絡的流控各有什么不同點?
答:網吧可以100%控制客戶端,因此可以完全不需要在網關處做基于應用特征值的流 控,就可以做到普適性及長效性。企事業單位可以100%確定關鍵應用,因此也可以完全不需要在網關處做基于應用特征值的流控,就可以做到普適性及長效性。 ISP網絡無法控制客戶端,也無法確定關鍵應用,只能確定哪些是優先級低的應用(例如P2P等),因此必須在網關處做基于應用特征值的流控。
事實上,基于應用特征值的流控應該稱作“出口流量識別和控制系統”,它不適用于網吧、企事業單位的流控需求。
Q24:如何做到基于動態用戶的帶寬分配?
答:以學校為例,老師、學生動態地分布在網絡內,除了臺式機還有筆記本、手機、平板等移動上網設備,無法以固定的IP地址作為判別標準,為此必須使用用戶認證的方式來動態識別,具體來說需要具備以下幾個功能:1)流控策略中必須包括用戶組選項,以區別對待不同的用戶,單純的用戶認證功能而沒有與流控策略相關聯,將無法做到區別對待用戶;2)要具備流量統計功能,對登陸后空閑的用戶自動讓其退出,以防他人占用該IP地址;3)要提供用戶自服務門戶,方便用戶登錄、退出、修改口令、查看日志,手機、平板用戶也可以使用;4)要提供用戶管理功能及用戶認證日志。
轉載于:https://blog.51cto.com/70365/1569600
總結
以上是生活随笔為你收集整理的流量管理系统产品选型常见问答(FAQ)的全部內容,希望文章能夠幫你解決所遇到的問題。
