行业产品与方案 -- 首信网优先锋产品

来源：作者：时间：2019-11-13

产品概述

互联网正飞速改变着全球企业的经营模式，企业能以崭新且有效的方式与客户、雇员、供应商及业务伙伴进行沟通。随着互联网的普及，用户对网络的依赖越来越深，同时网络给用户带来的烦恼也日益严重，总结起来，困扰用户的主要问题有以下几个：

● 在企业网络带宽一定的情况下，在出现网络拥塞时如何能够将带宽合理的分配到每个桌面用户：即当网络资源紧张的时候限制那些使用量大的用户（比如那些使用P2P等软件下载大文件的用户），保障那些使用量小的用户（比如在进行网页浏览、邮件收发等活动的用户）；反之，当网络资源有较大空闲时则取消这些限制，让每个用户都能进行高速下载，有效利用租用的线路。

● 在企业网络带宽一定的情况下，如何保障用户所关心的敏感应用的正常使用，也就是说，能否针对不同的服务（比如文件下载、浏览网页、邮件收发和视频通讯等）采用不同的带宽处理策略。

● 如何避免日新月异的病毒为了传播而对相邻网段进行大规模扫描所导致的网络带宽的损耗及对出口路由器的NAT会话资源的消耗。

● 如何防止由于DoS/DDoS等的网络攻击制造大量的无效访问或者垃圾访问，从而严重影响正常的网络服务，导致网络服务中断，甚至导致整个运营网络瘫痪。

北京首信科技股份有限公司是国内网络安全和网络管理领域的开拓者，我们致力于解决企业网络的管理问题和安全问题。我们推出的网优先锋（英文名称：CNET）系列产品，率先采用深层内容分析（Deep Inspection）、深层速率控制（Deeper Rate Control）和智能会话管理等一系列业内领先技术，为上述问题的解决带来曙光。

技术特点

与传统技术相比，网优先锋系列产品所使用的几项专有技术有几个显著的特点：

● 深层内容分析和速率控制技术 — 网络安全发展的趋势。

CNET系列产品可以通过高速的深层协议分析，识别每一个网络会话所属的应用，针对某种协议进行控制或者制定相应的带宽分配策略，拦截那些具有攻击意图的会话和连接。

利用CNET的双重带宽控制技术，可以在限制每个用户带宽使用的基础上实现对某些应用占用的总带宽的限制。

● 灵活的带宽通道管理和动态的带宽分配 — 网络管理的未来之路。

CNET系列产品支持非常灵活的带宽通道管理（带宽通道：Bandwidth Pipe，是用户自定义的为某个用户、某个网络应用或者是某个网络接口、线路定义的带宽管道）：

- 支持带宽通道的上限带宽和下限带宽：下限带宽指通道的保障带宽，如果通道空闲则可以出租给其他通道，上限带宽是带宽通道的最大带宽，如果通道带宽已经用满，而其他通道空闲，可以租用其他通道的带宽。

- 支持带宽通道的优先级：优先级决定了哪条带宽通道可以优先被系统处理，优先级越高的带宽通道可以优先占用共享/空闲的带宽通道资源。

- 带宽的分配精确到IP地址：基于用户地址的动态处理队列，能够精确的控制每个用户端IP地址/地址段的带宽流量。

CNET系列产品支持动态的带宽分配技术，可以在用户分配的带宽通道内动态的调节、均衡用户带宽的使用，这样就从根本上解决了用户带宽分配不均的问题，避免了个别用户过多的占用有限的带宽资源的问题。利用动态的带宽分配技术，可以做到：

- 在网络资源紧张时均衡分配带宽资源；

- 在网络资源空闲时可以充分利用带宽资源；

- 可以配合用户带宽限制使用；

- 可以针对某种应用，确保关键应用的带宽分配；

-带宽分配与用户建立的会话数无关。

● DoS/DDoS攻击防范 — 网络安全的基本保障。

CNET系列产品采用了下面的机制和技术，保证了企业网络的安全：

- SYN Cookie 防范的机制：在TCP 确认数据包中插入一个ID号来鉴别SYN请求，保证合法的请求发送到服务器，同时终止全部 SYN flood 攻击，防止 SYN flood 攻击蔓延到服务器或 CNET 自身。

- 智能的流量识别技术：采用取样机制和基准流量行为监测来识别异常流量，一旦达到了某个潜在攻击的激活阈值，保护措施将自动启用，拦截那些具有攻击性质的访问，保障服务系统的正常运行。

● 多层实时监控体系 — 保证网络的可管理性。

细致周到的监控功能：在宏观层面上，CNET提供接口、通道、应用、主机、会话等多个层次的实时监控功能，随时掌握网络各个方面的运行状态；在微观层面上，CNET可以观察到流量、报文数量、会话数量等一系列特性参数。

全面完善的日志机制：通过专用的日志服务器，CNET的数据汇总到日志服务器内，以报表和图表的方式帮助管理员分析网络运行状况以及监控多台CNET的运行状况。

● TCP速率控制技术 — TCP传输技术的革命。

通过动态的TCP WinSize调整，CNET可以根据网络线路的负载状况动态地调整WinSize的大小。在这种情况下，发送端和接受端的TCP WinSize由CNET动态决定，而不是由传输的两端决定，如下图所示：

● CNET的TCP速率控制技术有如下优点：

- 通过改变window size控制TCP会话速率；

- 可以实现发送端和接收端的双向控制；

- 可以减小设备的缓冲压力；

- 可以针对单个用户动态实施。

产品系列

网优先锋系列产品能够在各种不同网络环境中实现网络资源监控、用户级的智能带宽控制和基于应用程序的带宽管理。CNET 100系列是专门为200人左右的小公司量身定制的网络管理平台。CNET 200系统适合于小区宽带运营商、中型企业和校园。CNET 500系列和2000系列是为大中型专业ISP和IDC运营商设计的带宽管理平台，可以提供高质量的运营保障。Access Monitor是为运营商设计的流量分析系统，可以支持多种网络接口，提供线速应用流量分析功能。

案例分享

● 运营商P2P限制解决方案

某运营商租用了一条1000M线路，采用CNET 500设备作为带宽管理平台，网络拓扑图如下图所示：

采用CNET 500前，由于内网用户太多，并且都是百兆以太网接入，因此无法有效的控制出口带宽的分配情况，少数会话较多的用户往往占据了大部分带宽资源，网络出口被BT、Edonkey等P2P应用占用，在上网高峰时期，很多接入用户反映网速太慢，令运营商十分头疼。加载CNET 500后，运营商出口的双向流量压力得到了缓解，BT等P2P软件的流量也得到了有效的控制，每个终端的带宽上限都采用动态分配方式，避免了某些接入用户对网络资源的超量占用，同时动态的分配方式在上网高峰期和低谷期间智能调配终端的带宽资源，在保障网络资源合理分配的前提下，使网络带宽的利用更充分。

如下图是在CNET上定义策略上午7:00到晚上23:00限制BT、Edonkey、Maze等P2P的流量上传/下载各30Mbps，流量分析图如下所示：
● 中小运营商专线解决方案

目前随着互联网和数据网骨干的发展，数据和互联网业务的增长，城域网接入业务、大客户数据业务、写字楼、大厦整体接入ISP业务和宽带社区业务的需求增加，相应的专线接入服务已经成为运营商重要的增值服务之一。

专线用户一般有如下的需求特点：

- 一般采用专线包月的方式，带宽固定，收费固定；

- 越来越多的大客户需要超过2M的带宽（4M、10M甚至更高）；

- 用户希望能够确保租用的带宽的QoS；

随着专线接入方式的改变，运营商面临如下的挑战：

- 需要确保大客户特别是VIP用户的带宽；

- 需要确保VIP用户的关键应用（如视频会议和VPN等）；

- 限制非VIP用户的带宽不能超出租用带宽的上限；

- 保障专线用户的关键应用，限制其非关键应用（如P2P应用）；

CNET系列产品提供虚拟专线业务功能，能够帮助运营商方便的为专线用户分配带宽、保障VIP用户的带宽，同时还具备双重带宽控制的功能，即在控制用户虚拟专线带宽的基础上，同时控制在这些专线上的某些应用或者其他特征的某类流量的带宽分配；

如上图所示，CNET能够提供不同服务级别的带宽保障，A专线具有保障带宽，但是A专线可以在整个线路空闲的情况下抢占剩余的空闲带宽，适合于VIP用户的服务等级，B专线也有保障带宽，但是策略限制了B专线的上限带宽。

CNET的双重带宽控制功能可以在专线带宽分配的基础上同时控制应用的带宽，这样可以降低运营商网络出口的负载，大大提高带宽的有效利用，如下图所示，系统定义的策略在分配专线带宽的基础上，限制了P2P带宽在图示的范围内。

● 校园网解决方案

随着网络需求的不断增加和技术的不断进步，校园网无论是规模还是容量都发生了巨大的变化。目前校园网的用户类型和应用类型比过去更加复杂，在办公教学区，属于典型的企业网应用范畴，从业务类型的角度大致包括三种：一、学校职能管理业务，如校长办公决策支持系统、教务管理系统、财务管理系统以及人事管理系统等；二、电子教学业务，主要体现在多媒体教室以及电子图书馆系统的网络应用，该部分业务流量集中在校园网内部；三、教研室、实验室科研、教学需求，如各科研室内部资源的共享、科学家们在INTERNET上查获有用的资料信息等。在学生宿舍区则是企业网和商业网的混合应用模式，学生宿舍区主要以收发电子邮件、聊天、视频点播、互动游戏和P2P下载为主，这部分用户有着区别于传统校园网教学区用户的需求，他们类似于商业用户群，对网络提出高可靠与高稳定、便于维护管理、区分内外网计费等要求；教工家属区则属于典型的商业网应用，业务流量主要为访问INTERNET，与运营商开展的宽带小区业务没有任何本质区别；

基于以上多层次的用户需求，合理而有效德利用出口带宽的资源是建立“可运营”校园网络的基本要求之一，校园网的出口带宽管理面临以下挑战：

- 如何给关键的科研教学的网络需求可靠的带宽保障？

- 如何有效的控制非关键的应用（如P2P下载、音乐/视频文件共享等）大量的耗费带宽？

- 如何针对不同的内部网络（如学生宿舍区和办公区）和外部网络（如教育网内外）实施不同的带宽策略？

CNET系列产品的解决方案对于以上问题的解决具有很好的针对性，如下图所示，因为校园网内部的带宽一般是不需要管理、控制的，因此，需要把CNET安装到校园网出口处，有效的管理出口的带宽资源。

CNET可以有效限制学生宿舍区和家属区的音/视下载和P2P应用；

CNET可以保障关键应用的带宽；

CNET可以保障VOIP和远程教育应用的带宽资源，降低语音、视频等应用的延迟；

一个典型的流量分析和BT限制的案例图如下所示：

总之，CNET可以让校园网络管理者即时的获得网络出口资源的利用情况，从而制定相应的带宽策略，使校园网真正成为“可运营”的网络。

● 企事业单位解决方案

随着中国大力推进政府信息化和企业信息化建设，企事业单位用户的网络建设越来越完善，目前大部分政府机构和大中型企事业单位都具有独立的专线接入和独立的网站服务器、邮件服务器。网站是企事业单位宣传自己形象与产品的重要窗口，也是企业用户给用户提供服务的重要渠道，而邮件服务器是企事业单位相互交流以及与客户沟通的重要工具，此外，企业的关键应用如ERP、CRM、 eCommerce、VOIP等也依赖于企业网和互联网。

随着企事业单位的网络应用复杂性日益增加，企事业单位的网络管理者也面临着越来越大的挑战，用户迫切需要知道目前网络中存在哪些应用，每种应用所占的比例是多少，如何保障目前企业中最关键的应用。而且同一种应用在不同企业中有可能承担的责任不一样，不同的应用在网络中的行为也不一样，举例说，一家企业不希望上班时间上网浏览总流量超过2兆线路中的50kbps带宽；又比如说用户需要保障所有SAP应用数据流都不能超过200毫秒时延；或者说我们要保障每对IP电话要有不少于24kbps的通道以确保语音质量；因此，用户需要一种灵活多样和强有力的带宽分析和控管能力的解决方案。

CNET的解决方案可以完全满足以上企事业单位的需求，CNET强大的深层速率控制技术可以快速的分析企业网络中的各种应用，将网络数据流分成为不同类别，根据分析的结果，网络管理者可以针对不同的应用快速的制定策略，保护关键的应用、快速处理用户的一般应用、限制非关键网络流，实现良好的有限广域网接入性能。

CNET可以实现：

- 自动分析和监控网络内部的应用和带宽的分配；

- 保障企业的关键服务，如对外的WWW服务、邮件服务的带宽；

- 保障企业的关键应用，如ERP、CRM等，提高关键应用的优先级；

- 限制非关键应用的带宽，降低非关键应用的优先级；

- 加速一些对延时敏感的应用，如VOIP、视频会议等。

其典型的应用如下图所示：

典型客户

● 运营商（部署在出口链路位置或者核心网位置）：

杭州华数上海东方有线

重庆艾普、武汉艾普、昆明艾普、成都艾普重庆网通

中电华通光环新网

青岛网通宽带大庆油田通信公司

大港油田通信公司沈阳广电

济南广电辽阳广电

湛江有线网珠海有线网

赛尔网络湖北分公司

● 政府：

交通部信息中心北京市宣武区政府

北京市顺义区政府北京市西城区政府

北京市顺义区教委北京市大兴区教委

宁波市教委宁波市江东区教委

南京市玄武区政府

● 企业：

中国通用集团中国空间技术研究院

国电集团硅谷动力（ENET）

皓辰机构（IT168）北京建筑设计研究院

北京城建设计研究总院哈尔滨市烟草公司

● 部队：

总装备部司令部总参某部

● 学校：

华中科技大学中央民族大学

中央戏剧学院河南理工大学

宁波城市学院北京工商大学嘉华学院

武汉科技大学

联系人：刘先生

电话：010-84798576