后知悉®带宽控制器
准确的第七层带宽管理技术
|
当管理网络流量时,除了具备第七层的封包分类引擎外,能准确地控制带宽更是最核心必备条件。当管理TCP流量时,经过的TCP session可能造成巨大的缓冲空间负荷,以致造成大的延迟时间、经常性的缓冲区溢位,甚至是session间在抢同一缓冲区时不公平的共享带宽。所以,如何控制TCP的带宽并避免以上的缺点,是非常重要的问题点。已获得专利的「后知悉®」控制技术,是一项创新的方法,可同时解决TCP带宽准确性与以上缺点。相较之下,许多公司侵权使用Packeteer公司的TCP Rate Control(TCR®)专利技术,虽对TCP流量有显着的效果,却也已被发现有以下缺点: |
|
在封包漏失环境下,效能易受损害(达10%损失) |
 
| |
|
|
相较之下,后知悉®控制技术可以保有TCR®的好处,却避免了他造成的坏处。后知悉®技术利用模拟per-flow queuing技术的行为,但将排队的数据封包搬移到反方向的知悉封包,因此达成缩小缓冲区(达96%)的任务。由于不更改TCP封包的Window Size,后知悉®技术在封包漏失的环境下,能胜过TCR®技术达10%的效能。经进一步地与CBQ整合,利用CBQ的触发事件驱动后知悉®引擎时,可用Pentium 4的机器达到750Mbps的效能。这些数据都可以经由公开的交换式实验环境(搭载RTT/loss/jitter人工变因)达成,并获国际电机电子期刊登载。 |
| |
|
| |
L7 Networks已经在IEEE的杂志上登载了多篇有关于带宽管理的技术论文,并实际应用于InstantQoS的带宽功能中: |
|
IEEE Transactions on Computers, Vol.53, No.3, March 2004: Assessing and Improving TCP Rate Shaping over Enterprise Edges |
|
IEEE Communications Surveys and Tutorials, Vol.5, No.2, 2003: A Measurement-Based Survey and Evaluation of Bandwidth Management Systems |
|
IEEE Global Telecommunications Conference 2004 (IEEE Globecom 2004), Dallas, Texas USA, Nov. 2004: On Shaping TCP Traffic at Edge Gateways |
|
IEEE Symposium on Computers and Communications (IEEE ISCC 2003), Kemer - Antalya, Turkey, Jun. 2003: Co-DRR: An Integrated Uplink and Downlink Scheduler for Bandwidth Management over Wireless LANs |
软芯片加速®第七层封包分类器:
Classify Once Switch Many (COSM)加速
|
因为当今的网络应用除了固定端口号外,常使用「乱跳埠号」或「伪装于HTTP/HTTPS/SOCKS等代理服务器地道」里面,第四层分类器早已不堪使用。L7 Networks的专利软芯片®加速器,配备于InstantQoS上时,可以在两个步骤内: |
|
第一步 — 固定步数的联机特征码比对既然第四层封包表头已经不敷使用,第七层的封包分类当然应该着重在网络应用的协议与内容里。软芯片®可以在固定步数内分类出每一条联机。理论上最惨的情况是12个封包,但通常只要在两个封包以内就可以比对出特征码。最惨的情况通常是出现在InstantQoS不认识该联机的情况下,如此一来,软芯片®就得在每个联机的第12个封包时才停止判断。这比对的过程是以状态更新器,于全域DFA (Deterministic Finite Automata)中移动。全域DFA是在InstantQoS开机时编译好的执行码,得以一次比对所有的特征码,而非线性比对(一个特征码一个特征码顺序比对)。 |
|
第二步 — 分一次转送多次 (Classify Once Switch Many):在第一步分类出来以后,后来的该联机的所有封包都会无条件被转送,不需要再被检查特征码。他们都会被转送到对的网络,并且享受到应得的服务。例如,在某一联机已经被认出来是KaZaA伪装成埠号80的HTTP后,剩下的所有该联机的封包都会被直接认成KaZaA,并且被放到对的队列中作进阶的带宽管理,不会需要更进一步的特征码比对那些后来的封包,达成加速的目的。 |
三层式架构:
效能、可用性、功能最大化
|
第七层网络设备通常要做「非常多的计算功夫」和「较好的分散架构」,以最大化效能、可用性、功能性。InstantQoS采用了业界最先进的三层式架构来增加效能,让各层各司其职,完成每一个目的。 |
|
第一层 — 第七层设备:第七层设备应该要专注的是「快速地」与「准确地」执行内容检测。如此,第七层设备装在网络进出口在线,才不会影响到网络的效能。 |
|
第二层 — 管理服务器:管理服务器要负责的是中央集中控管第七层设备,并接收来自于不同第七层设备的事件,整理于数据库中更进一步制作报表分析。在管理服务器上制作报表,不会影响第七层设备的效能。 |
|
第三层 — 管理客户端:管理客户端可用任何具备JAVA功能的浏览器连到管理服务器。只要他连得到管理服务器,他就可以连得到任何架设于管理服务器之下的第七层设备。 |
带宽管理五步骤:
生产力/安全性最大化, 威胁/总持有成本最小化
|
现今许多因特网使用者已经安装了实时通讯(IM)与点对点传输(P2P)应用软件。这些软件会自动随机跳端口,或把自己伪装在HTTP的地道里,以规避管理者的检查。为了让管理者克服这个问题,「带宽管理五步骤」可用来最大化生产力/安全性,并最小化威胁性与总持有成本。 |
|
第一步 — 实时流量侦测:为了帮助管理者解决上述问题,InstantQoS提供了随差及用流量侦测来当作第一步。只需要把网络线接起来,InstantQoS就回现场把网络流量展现在你面前。您可以看到有多少MSN是用HTTP地道来伪装的,也可以看到有多少IM正在聊天。 |
|
第二步 — 将第七层流量打回第四层:在流量侦测过后,若开始决定要管理流量了,你可以开使用第七层防火墙来档掉某些应用。在此图中,InstantQoS会把在第七层乱窜的流量过滤,让其乖乖地以第四层流量方式运行,帮助你原有的第四层防火墙得以用埠号作最基本的控制。非但如此,InstantQoS可帮助你阻挡非标准的IM联机。例如MSN会自动侦测防火墙设定,若MSN无法从标准的1860埠号连出去登入,则会开始用HTTP代理服务器联机出去。更有甚者,任何人都可以手动设定他要连到哪一台HTTP/SOCKS4/SOCKS5代理服务器(包括你公司里的HTTP代理服务器)。最惨的是,员工还可以使用浏览器连到各种不同提供MSN服务的网页,继续跟外面的人聊天。这些InstantQoS都可以帮助你解决。 |
|
第三步 — 依行为管理带宽:接下来,网管人员可能会开始想作个人化的政策。既然InstantQoS可以认得应用程序的各种细部行为,网管人员可以针对每个使用者给予不同的行为权限。例如Skype的传档、通话、SkypeOut、QQ档案分享等应用,虽都透过加密方式进行,却都可以被InstantQoS侦测出来,并给予限制或保障带宽。使用者的信息可以整合企业现有的使用者数据库,例如LDAP、Active Directory、POP3(S)、IMAP(S)、RADIUS。 |
|
第四步 — 过滤网络攻击:因特网其实一直不断地遭受一定量的攻击,而且许多住宅型的用户,由于不知道网络威胁,或不知道如何简单防护威胁,仍然毫无戒心地暴露出他们系统的弱点。所以,自己内网的用户反而是网络运营商最大的攻击流量来源,导致运营商提供的线路租赁服务品质受到影响。因此,运营商的客服中心承受了逐渐升高的客诉,并间接导致因客服专线无法解决问题而引发的民怨。在此图中,InstantQoS可有效侦测/阻挡DoS/DDoS。 |
|
第五步 — 详细报表分析:最后,报表分析可以帮网管人员找出问题。数十种的图形报表,包括每天/每周/每月/每季/每年的带宽报表、application使用行为、违反政策情况。报表可以客制化、搜寻,且得以用PDF/HTML的格式,在设定的时间周期下以附加文件寄出。 |
|
