论文部分内容阅读
伴随着互联网应用的快速发展,众多企事业单位与政府部门都着手进行信息化系统升级,建设更高速的网络与基于云计算模型的数据中心。但基础架构的拓展并不能解决一直以来存在的管理难题,用户依然要在缺乏足够可视化能力的前提下,与网络滥用、关键业务中断等情况作斗争。传统的流控产品虽然可以在一定程度上解决这个问题,却难以满足部署灵活性、数据挖掘深度和统一管理方面的要求,并不适用于以数据中心为代表的新型应用场景。针对这种情况,国内专业应用流量优化解决方案提供商之一的苏州迈科网络安全技术股份有限公司(以下简称“苏州迈科”)凭借着在协议分析、应用优化等领域多年的实践经验,推出了全新的Matrix分布式网络应用性能管理解决方案,完成了从产品向应用交付的彻底转型。
苏州迈科将Matrix诠释为一种全网基础架构下的安全评估与流量控制平台,该平台以DPI(Deep Packet Inspect,深度包检测)、DFI(Deep/Dynamic Flow Inspection,深度流行为检测)、PFQ(Per-Flow Queuing,基于流的队列)、RED(Random Early Detective,随机尾部丢弃)和CPD(Common Performance Database,通用性能数据库)技术为核心,提供了包括网络性能分析、应用优化、流量缓存功能在内的一体化解决方案。用户可以在统一平台上完成对整网的应用流量优化、用户身份认证、网络性能分析等工作,实现应用优先级划分、带宽控制与综合管理的目的。
流控新生
在方案架构上,Matrix平台由应用管理器(Application Manager,AM)、性能管理器(Performance Manager,PM)与客户端三大模块组成,其中AM以分布式部署方式对网络流量进行采集与处理;PM做为系统枢纽,负责对AM采集的数据进行集中分析与存储;客户端则将PM得到的各类统计信息以多种形式展示给用户。这种控管分离的设计思路,可以让工作在不同层面的设备各司其职,化解了单一流控产品在性能与管理上的矛盾。
对于AM来说,可以认为是苏州迈科上一代AOS流控设备的升级版本。该系列产品可基于应用、IP、VLAN、用户、时间、会话数等元素进行流控策略的设置,在物理链路、虚拟链路、虚拟通道下实现各类带宽调配功能,提升网络资源的利用率。通过内嵌的DPI和DFI智能分类引擎,AM能够精准分析随机或动态变化端口的应用,并对使用同一端口的不同应用协议进行识别。我们在该产品的配置界面中看到,AM能够识别的网络及应用协议数量已超过1000种,基本涵盖了当前所有主流2-7层应用协议。
在AM系列产品中,我们还看到一些具有创新意义的功能。用户认证是目前需求比较广泛的一类应用,AM可基于用户身份设定流量管理和应用优化策略,为动态IP环境下的流量管控提供行之有效的解决方案。基于应用协议的数据缓存则是未来一段时间内被普遍看好的功能特性,在高速发展的互联网应用面前,传统缓存设备的有效性已经大不如前。而AM允许用户将已被甄别出的P2P与在线视频请求转发至缓存设备,在大幅节省网络开销的同时提升客户端的应用体验。对于一些运营商与行业用户来说,IPv6的部署已经成为现在进行时,AM系列产品也很及时地加入了对IPv6环境的支持,并通过了IPv6 Ready认证,可正常工作在下一代网络环境中。
产品规格方面,AM系列目前包含多个型号,处理能力从20Mbps拓展至12Gbps,覆盖了由SMB到运营商在内的所有用户群体。我们对其中AM-6000这款产品进行了测试,在使用8个千兆接口的情况下,该产品可以对测试仪生成的全部4Gbps HTTP流量进行分析处理,每秒最大HTTP新建连接数超过50000,同时可维护最大400万个并发连接。需要说明的是,受到测试环境的限制,我们取得的数据并不是AM-6000的极限处理能力。从测试中设备上的资源占用情况看,AM-6000的处理能力仍有很大的提升空间。
管理的可视化革命
流控产品的出现满足了用户对应用流量的分析与优化需求,但作为一款独立的硬件产品,其处理能力总是有限的,同时开启的功能越多,每个模块分配到的资源就越少。所以虽然用户对网络资源可视化方面的需求不断增长,流控厂商却不得不将系统资源优先用来换取性能上的提升。而苏州迈科则选择了更为彻底的解决思路,在Matrix方案中将应用流量的分析优化与数据挖掘工作进行了剥离,由不同的硬件设备去实现更加专业的功能特性。
如果将Matrix方案比作分工明确的神经系统,那么诸多AM就是分布在不同位置的神经元。它时刻感知着网络应用流量的变化,统一分析、管控后再将信息传递给PM。PM可以接收SNMP、NetFlow、sFlow、cFlow、Netstream等格式的流量数据,做为数据汇总与挖掘分析的核心,在方案中有着大脑一样的重要地位。Matrix方案使用了在SNMP基础上增强的RMON及RMON Ⅱ标准进行数据传递,可以还原2-7层流量信息,提供内外网IP与主机对应用的详细使用情况,赋予用户完整的网络可视化的能力。如果Matrix感知到异常情况,还可根据预先设定的阈值进行告警,便于管理者做出快速响应和准确定位,从而简化排查过程。此外,全网信息在理论上也可以与其他安全设备或方案进行共享,对诸如DDoS攻击等事件做出智能化的联动处理。
随着用户应用系统的日趋复杂,应用性能的监测评估也应得到足够多的重视,以满足对服务水平协议(SLAs)的要求。Matrix方案可以从终端用户体验的角度管理基于TCP/UDP的应用性能,测量Web应用的传输延时、网络延时、服务器延时,VoIP应用的丢包、抖动等关键性能指标。在更高的层面上,该方案还提供了基于Java和.NET的应用性能监测,结合其他监控管理手段,可以快速准确地评估应用系统的运行效能,判断出瓶颈发生在于服务器、第三方供应商、ISP还是用户的浏览器或设备上。
众所周知,海量数据的深度挖掘须有大容量、高性能的存储子系统做支撑。PM使用了苏州迈科自主研发的CPD数据库来存储历史数据,在缩小磁盘空间占用的基础上提升了性能与扩展性。不过对于大型企业、高校、园区乃至运营商的网络环境来说,数据的挖掘分析工作会面临更大、更复杂的压力。考虑到单台PM设备可能出现的瓶颈,该公司借用化整为零的思路,又构建了一个分布式数据分析系统。在这个系统中,PM被分为“本地”与“全局”两个角色,由多台本地PM共同完成海量数据的分析与存储工作,再汇总到全局PM,从而避免了网络带宽与设备性能方面的瓶颈。用户也可以真正做到按需部署,根据自身网络规模选择合适的方案,且在升级时无缝拓展应用流量控制与分析的能力。
利用分析得到的数据,Matrix为用户提供了强大的监控管理与报表系统,实时更新网络流量和设备状态信息数据,并且做到了实时流量报表和历史流量报表在同一界面内进行查看,实用性大为增强。该报表系统还支持基于Mac地址、IP地址/IP地址段、对象组、应用/应用组进行查询,由于引入了主机对的概念,所有主机对的源和目的也都可以作为报表查询的对象,方便管理者分析每个用户、每个应用对网络资源的使用情况。
苏州迈科将Matrix诠释为一种全网基础架构下的安全评估与流量控制平台,该平台以DPI(Deep Packet Inspect,深度包检测)、DFI(Deep/Dynamic Flow Inspection,深度流行为检测)、PFQ(Per-Flow Queuing,基于流的队列)、RED(Random Early Detective,随机尾部丢弃)和CPD(Common Performance Database,通用性能数据库)技术为核心,提供了包括网络性能分析、应用优化、流量缓存功能在内的一体化解决方案。用户可以在统一平台上完成对整网的应用流量优化、用户身份认证、网络性能分析等工作,实现应用优先级划分、带宽控制与综合管理的目的。
流控新生
在方案架构上,Matrix平台由应用管理器(Application Manager,AM)、性能管理器(Performance Manager,PM)与客户端三大模块组成,其中AM以分布式部署方式对网络流量进行采集与处理;PM做为系统枢纽,负责对AM采集的数据进行集中分析与存储;客户端则将PM得到的各类统计信息以多种形式展示给用户。这种控管分离的设计思路,可以让工作在不同层面的设备各司其职,化解了单一流控产品在性能与管理上的矛盾。
对于AM来说,可以认为是苏州迈科上一代AOS流控设备的升级版本。该系列产品可基于应用、IP、VLAN、用户、时间、会话数等元素进行流控策略的设置,在物理链路、虚拟链路、虚拟通道下实现各类带宽调配功能,提升网络资源的利用率。通过内嵌的DPI和DFI智能分类引擎,AM能够精准分析随机或动态变化端口的应用,并对使用同一端口的不同应用协议进行识别。我们在该产品的配置界面中看到,AM能够识别的网络及应用协议数量已超过1000种,基本涵盖了当前所有主流2-7层应用协议。
在AM系列产品中,我们还看到一些具有创新意义的功能。用户认证是目前需求比较广泛的一类应用,AM可基于用户身份设定流量管理和应用优化策略,为动态IP环境下的流量管控提供行之有效的解决方案。基于应用协议的数据缓存则是未来一段时间内被普遍看好的功能特性,在高速发展的互联网应用面前,传统缓存设备的有效性已经大不如前。而AM允许用户将已被甄别出的P2P与在线视频请求转发至缓存设备,在大幅节省网络开销的同时提升客户端的应用体验。对于一些运营商与行业用户来说,IPv6的部署已经成为现在进行时,AM系列产品也很及时地加入了对IPv6环境的支持,并通过了IPv6 Ready认证,可正常工作在下一代网络环境中。
产品规格方面,AM系列目前包含多个型号,处理能力从20Mbps拓展至12Gbps,覆盖了由SMB到运营商在内的所有用户群体。我们对其中AM-6000这款产品进行了测试,在使用8个千兆接口的情况下,该产品可以对测试仪生成的全部4Gbps HTTP流量进行分析处理,每秒最大HTTP新建连接数超过50000,同时可维护最大400万个并发连接。需要说明的是,受到测试环境的限制,我们取得的数据并不是AM-6000的极限处理能力。从测试中设备上的资源占用情况看,AM-6000的处理能力仍有很大的提升空间。
管理的可视化革命
流控产品的出现满足了用户对应用流量的分析与优化需求,但作为一款独立的硬件产品,其处理能力总是有限的,同时开启的功能越多,每个模块分配到的资源就越少。所以虽然用户对网络资源可视化方面的需求不断增长,流控厂商却不得不将系统资源优先用来换取性能上的提升。而苏州迈科则选择了更为彻底的解决思路,在Matrix方案中将应用流量的分析优化与数据挖掘工作进行了剥离,由不同的硬件设备去实现更加专业的功能特性。
如果将Matrix方案比作分工明确的神经系统,那么诸多AM就是分布在不同位置的神经元。它时刻感知着网络应用流量的变化,统一分析、管控后再将信息传递给PM。PM可以接收SNMP、NetFlow、sFlow、cFlow、Netstream等格式的流量数据,做为数据汇总与挖掘分析的核心,在方案中有着大脑一样的重要地位。Matrix方案使用了在SNMP基础上增强的RMON及RMON Ⅱ标准进行数据传递,可以还原2-7层流量信息,提供内外网IP与主机对应用的详细使用情况,赋予用户完整的网络可视化的能力。如果Matrix感知到异常情况,还可根据预先设定的阈值进行告警,便于管理者做出快速响应和准确定位,从而简化排查过程。此外,全网信息在理论上也可以与其他安全设备或方案进行共享,对诸如DDoS攻击等事件做出智能化的联动处理。
随着用户应用系统的日趋复杂,应用性能的监测评估也应得到足够多的重视,以满足对服务水平协议(SLAs)的要求。Matrix方案可以从终端用户体验的角度管理基于TCP/UDP的应用性能,测量Web应用的传输延时、网络延时、服务器延时,VoIP应用的丢包、抖动等关键性能指标。在更高的层面上,该方案还提供了基于Java和.NET的应用性能监测,结合其他监控管理手段,可以快速准确地评估应用系统的运行效能,判断出瓶颈发生在于服务器、第三方供应商、ISP还是用户的浏览器或设备上。
众所周知,海量数据的深度挖掘须有大容量、高性能的存储子系统做支撑。PM使用了苏州迈科自主研发的CPD数据库来存储历史数据,在缩小磁盘空间占用的基础上提升了性能与扩展性。不过对于大型企业、高校、园区乃至运营商的网络环境来说,数据的挖掘分析工作会面临更大、更复杂的压力。考虑到单台PM设备可能出现的瓶颈,该公司借用化整为零的思路,又构建了一个分布式数据分析系统。在这个系统中,PM被分为“本地”与“全局”两个角色,由多台本地PM共同完成海量数据的分析与存储工作,再汇总到全局PM,从而避免了网络带宽与设备性能方面的瓶颈。用户也可以真正做到按需部署,根据自身网络规模选择合适的方案,且在升级时无缝拓展应用流量控制与分析的能力。
利用分析得到的数据,Matrix为用户提供了强大的监控管理与报表系统,实时更新网络流量和设备状态信息数据,并且做到了实时流量报表和历史流量报表在同一界面内进行查看,实用性大为增强。该报表系统还支持基于Mac地址、IP地址/IP地址段、对象组、应用/应用组进行查询,由于引入了主机对的概念,所有主机对的源和目的也都可以作为报表查询的对象,方便管理者分析每个用户、每个应用对网络资源的使用情况。