docurl=/cn/Solution/Big_Network/Wired_and_wireless_integrated/Catalog/Expert_Viewpoint/201008/800544_30004_0.htm

深度业务感知型移动园区网

【发布时间:2010-08-27】

随着国内3G+WLAN网络建设的不断深入,无线上网本、iPad等便携式终端的不断发布,以WLAN技术为核心的移动宽带互联应用呈爆炸式增长。与此同时,大量基于物联网、云计算而生的企业级移动业务在园区网内得到广泛应用,如智能电网、物流定位、无线语音、P2P共享等等。以办公OA为目的的无线园区接入网络建设思路逐渐转变为以全方位提升网络业务感知能力为目的的部署策略。“拼感知”、“重业务”成为移动园区网品质建设的不二选择。

深度业务感知型移动园区网

文/缪炎

从企业园区网的发展进程可以看出,网络的建设者和管理者正在尝试以业务为核心将网络的各个逻辑层级涉及的相关技术进行分离,各个层级独立发展,同时大量使用已经获得认可的现有技术,降低整个网络的部署成本。作为一体化园区网络融合的重点,“随人而动”的移动园区网通过实现网络架构的模块化、简单化,各个层级精细化,让用户集中精力于自己所关注的业务,使网络也因为一个个精致的业务而获得更好的发展。因此,如何建设并部署深度业务感知型移动园区网是需要重点考虑的内容。

1. 移动接入下的园区网络承载需求

图1 移动园区网业务承载逻辑图

1.1. 移动VoIP业务

WLAN的园区全覆盖带来的最大增值业务之一,就是FMC(固定移动融合)的企业统一通信,这也是未来智能建筑的准入标准规格之一。如果无线控制层缺乏一定的业务感知能力,将无法对通过相关语音协议进行传输的数据进行内容和行为的监控,则会发生大量的数据移动传输内容不可控而可能带来安全问题,特别是给大企业的网络带来安全问题。

1.2. 移动P2P共享传输应用

P2P技术在一定程度上实现了IP网络带宽资源的合理分配,使一些对于带宽要求高的业务(如视频流媒体业务)有望得以规模化应用。同时,大量P2P应用也在疯狂的抢占网络带宽资源,有数据显示在晚上高峰时段大约有90%的流量为P2P应用。

通过观察,大多数P2P传输中小报文比例超过60%,远远超过普通网络应用中的小报文比例。并且,大量的上行流量,也成为P2P共享传输应用中重要的组成部分。

虽然802.11-->802.11b-->802.11a/g-->802.11n协议主要致力于提高无线局域网的传输性能,实现了从2M-->11M-->54M-->300M理论传输能力的飞跃。但WLAN网络的性能实际是指一个共享的空间媒质所能够支持的报文传输能力。所有的在这个空间媒质中(这里还是指同信道)的所有设备都将共享空间媒质的性能,也就是共同抢占空间媒质。WLAN通过这个机制实现了设备在空间媒质的报文的分时传输,也在一定程度上同样会消耗空口资源,降低空口的传输能力。

因此,有效地对移动业务中的P2P应用进行感知控制,是移动网络需要具备的新特点之一。

1.3. 无处不在的实时移动应用

随着终端,特别是以MID(Mobile Internet Devices)形式出现具备WLAN等多通道接入能力的移动互联网终端不断优化和普及,无处不在的实时移动应用成为移动园区网重要的业务组成和接入延伸。但是,以MSN、QQ、SNS社区、微博等为代表的实时移动应用,往往也是双刃剑。在提高沟通效率的同时,也会带给企业管理者对工作效率的担忧。

从WiFi到智能手机,无线技术在企业中已经无所不在,其地位越来越重要.但对企业IT部门而言,所面临的挑战也越来越复杂。针对实时移动应用的感知与控制,在有限的接入资源内如何平衡关键业务(如ERP、视频会议系统、数据库、办公室自动化及VPN等)与非关键应用(如P2P、移动炒股、在线购物、SNS、网络电视等),成为移动园区网中业务与性能并重的核心关注点。

2. 传统无线管理设备业务流量控制的局限性

传统无线管理设备的流量识别和QoS控制技术,是基于IP报文四层以下的内容进行流量分析,例如IP报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口以及协议类型,存在以下局限性:

无法准确识别TCP/UDP以上的应用层协议,导致基于应用的QoS控制失去作用。

随着新网络应用不断出现,诸如基于IP报文的四层信息等传统分析手段已经不能准确判断流量中的应用类型。例如,P2P类应用的端口是随机变化的,并且流量是加密传输的,传统的技术无法对这类应用的流量进行识别和控制。

无法基于协议的应用种类进行QoS控制。

随着网络应用的不断发展,基于TCP或UDP的应用协议种类繁多,可以达到成百上千种,基于协议对流量进行管理将非常困难的。如果能够按照所提供的服务对这些应用协议进行分类,然后针对这些服务进行管理,那么对网络流量的管理工作就会变得非常轻松。

无法对每用户、每应用实施细粒度、差异化的QoS控制。

为了控制滥用带宽,一些企业不仅期望能够按照不同用户或用户组、不同应用和不同时间段进行带宽控制,而且期望能够精确地控制每个用户的带宽、细分每个用户的每种应用,并针对不同应用实施差异化的带宽控制。但由于用户规模的扩大、业务种类的增多,传统设备无法轻松完成对每用户、每应用实施细粒度、差异化的QoS控制。

无法及时有效地监控网络运行状况。

网络管理员由于缺乏对网络内部流量的深入分析,无法了解各种应用所占带宽比例,也就无法对园区出口带宽进行有效的控制。

3. 基于深度业务感知的移动园区网解决方案

针对园区网中移动互联的新特点,实现对各种网络应用协议甚至加密应用协议的精确识别,从而保障园区网络应用的服务质量,成为移动园区网解决方案的核心关注点(如图2所示)。业务感知型流量控制技术的优点主要表现在以下几个方面:

◇ 及时而有效地对网络运行状况进行实时、长期的监控,同时对网络内部的流量进行深入的应用分析,了解各种应用所占带宽比例。

◇ 通过设置相应的流量控制策略,分时间段、按用户和应用实现流量控制和带宽保证,帮助企业减少带宽滥用,优化现有带宽资源,降低安全风险。

◇ 可以深入到每个单独的用户进行相应的策略管理。基于灵活的用户、应用、时间段等定义通道,针对每通道设置相应的通道策略,真正实现差异化的智能流量控制。

◇ 当网络出现异常情况时,如DoS/DDoS攻击,可以迅速的发现并及时地加以制止,可以有效地控制突发流量的并发连接数、新建连接速率和每连接最大带宽。

图2 深度业务感知型移动园区接入网

通过对应用识别、应用控制、行为审计的智能结合,移动园区网的核心控制设备——无线控制器在协议识别、协议解析、应用环境分析、状态跟踪和深度内容检测等方面具备了基于策略的业务承载能力,传统的无线控制器(AC)向智能感知型无线控制器(i-AC)转变

3.1. i-AC应用协议识别

·固定端口协议。一些协议(如OSPF、BGP等)的端口是相对稳定的,可以根据端口快速预识别它们;另外,由于用户明确其网络应用布局,用户也可以快速定义其对网络中特定端口下的应用协议。i-AC提供快速的固定端口协议预识别模型,同时会用协议智能决策来修正固定端口上误报的协议,从而兼顾了识别系统的效率和准确度。

·特征状态机发现协议。绝大部分P2P协议的端口是不固定的,有的(如BT、Emule、迅雷、skype、UUCALL等)甚至有意使用一些标准协议的知名端口。对于这些协议的识别,必须依靠深入的数据分析。和其他应用识别系统不同,i-AC不仅仅依靠单个报文的握手特征进行应用协议识别,还通过有状态的特征状态机进行更精确的识别。

·协商协议。目前越来越多的协议采用控制通道和数据通道配合的模型,控制通道用于交互登陆、建链和命令交互等,它会协商出一个或多个数据通道进行数据交互。传统的FTP属于这种模型,绝大部分VOIP应用也属于这种模型,如skype、UUCALL等。i-AC针对这类协议,采用专门的识别技术,能有效地解决多通道关联协议的识别问题。

·隧道协议。防火墙和NAT设备的部署,造就了很多应用层隧道的出现,这些隧道是应用协议层次之间发生了嵌套。如HTTP Tunne·,表面是一个80端口的连接,但实际上可能承载任何应用数据。i-AC有专门的隧道识别模型,能够识别象HTTP Tunnel这类隧道内的应用协议。

·协议插件确认。i-AC是一个可扩展、可插入的架构,对于特定协议,i-AC将智能的结合协议插件的确认结果进行完全精确的协议识别。

3.2. i-AC无线业务控制平台

作为园区网移动接入的终结点,i-AC 应具备安全防护、P2P限流、流量监控、用户行为分析等多业务支持能力,对无线流量进行集中管控和过滤,满足大规模WLAN网络可管、可控、安全等业务需求。

图3 i-AC无线业务控制平台

如图3所示,i-AC无线业务控制平台采用基于通道的流量控制策略,能够根据用户的实际需求,提供强大而完善的控制手段。通过不同时间段、不同用户、不同网络应用、不同控制动作等条件实现不同情景下的策略配置,使策略应用更加符合实际需要:

◇ 基于段、用户、应用、时间、控制动作等条件,设置灵活的策略组合,实现按照部门、用户和应用设置差异化的流量控制策略;

◇ 提供应用封堵、带宽保证、带宽限制、连接限制、优先级改写等多种手段,实现流量控制的多种效果;

◇ 通过通道的三重嵌套管理机制,实现层次化的流量整形,满足用户细粒度的带宽管理要求;

◇ 支持通道带宽的动态分配,并根据用户数量的变化动态调整带宽分配,保证带宽资源高效与公平利用。

与此同时,i-AC无线业务控制平台还通过三重嵌套的通道机制,实现层次化的流量管理。网络管理员可根据需要,对每个通道独立设定保证带宽、最大带宽、优先级。当本通道中的流量超过基本保证带宽而上级通道存在带宽闲置时,可以允许优先级高的通道借用闲置资源,从而最大限度的对无线接入的流量实现智能感知、识别、控制、管理。

4. 结束语

进入到虚拟园区网2.0时代,在一个应用膨胀的网络内,当上层应用架构固定终端向多样化终端、固定空间向灵活空间、低效串行处理向高效实时并发处理的方式转变的时候,网络的接入模式必须得到充分的重视。基于深度业务感知技术的移动园区网解决方案,必将有效提高园区网的整体移动业务承载能力,满足园区网络建设业务为先的实际需求。

H3C i-ACintelligence Access Controller)智能感知型无线控制器。

区别于传统的WLAN无线控制器,i-AC智能融合了H3C独有的深度业务感知处理引擎UAAE。通过模型化、层次化、可扩展的架构,i-AC支持固定端口(用户可定义)、特征发现、协商、隧道等多种协议模型和智能的决策机制,采用同时协议发现和行为检测中采用特征和状态相结合的方法,很好地解决了传统无线园区网和无线城域网部署中,L2-L7层感知割裂,分离处理的问题。

以i-AC为核心的H3C一体化移动网解决方案,已经应用于国家大剧院、首都国际机场T3航站楼、湘雅医院、上海世博会、广州国际金融中心、青藏铁路那曲物流中心等移动宽带接入网的建设和使用。

联系我们