Panabit 技术白皮书
1、前言
当前的IP网络,基于应用的分类管理,应用可视性和网络可管理性的地位比以前更重要,需求也更加迫切。P2P应用的广泛流行,已是桌面应用和网络流量的主流。出于技术与市场的驱动,唯有专业的应用层流量管理产品,才能跟踪并分析网络/用户的流量模式,更加有效的管理网络带宽资源,并加强服务特色化,管控结合,提高网络运行效率,提升用户满意度和忠诚度,具有多方面的益处。
P2P(Peer-to-Peer)应用是不需关照的下载方式,增加网络峰值带宽和峰值持续时间,使用随机端口(port-hopping) ,流量普遍占到网络总流量的60% — 80%,为了让用户更快的体验和畅通无阻,则极力争抢带宽和逃避监管。由于使用随机端口,传统的基于端口来区分应用的方式就失去了作用。
Panabit是在P2P流行时代,诞生的新一代应用层流量管理产品,支持对IP流量的应用分类,实时控制用户组、应用服务流量。Panabit的解决方案是基于状态和特征的检测,精确识别9大类80余种常用协议,并创新地自主开发“协议特征描述语言”——PSDL(Protocol Signature Description Language),使得维护协议特征库更加方便快捷。
应用分类中对P2P应用的分类是关键,主要是由于P2P的特性所决定,BT等P2P应用由于其独特的设计理念,在客户端软件中加入了大量对抗网络封堵、限制的技术手段;识别P2P,既不能误判也不能漏判,否则就不能达到真正对应用流量的带宽限制或保证。很多非专业产品,通过限制TCP并发连接数的方法控制P2P并不不科学,容易影响其他正常流量的速度。Panabit经过3年的技术积累和实践,以应用特征识别与控制,是一款真正的应用层流量管理产品。
处理应用分类控制,处理P2P识别和控制,不但要求识别准确性,而且要求实时性能,Panabit 一般是作为网关类设备部署在网络出口,对时间延迟提出了更高的要求。在识别技术方面,
Panabit在基于会话和特征识别的基础上,采用主动探测技术和智能技术,识别特征模糊和被加密的P2P协议,有效提高识别率;在性能保证方面,利用节点技术和硬件处理特性,如定制硬件驱动,充分发挥硬件性能,从而达到整体的高性能。
Panabit从基础软件架构上,就充分考虑应用层处理的特性,专为处理应用层识别与控制设计了PanaOS,Panabit使用Intel x86硬件平台,相比起同等级用ASIC、NP硬件处理的产品,具有成本低、性能高、升级灵活等优势。Panabit的特色是:专业的协议特征库,并有先进的更新维护机制,同级硬件的整体性能高,处于国内领先水平,Intel x86单核性能完全满足千兆线速。
使用Intel架构硬件系统和Panabit软件引擎,满足单台处理2G流量的专业性能,得益于Intel CPU和PCI Express总线技术发展,为发展高端产品带来了良好的硬件平台,硬件不再是瓶颈,关键是软件技术。Panabit高端产品,通过使用多颗多核CPU实现,在成本、性能、产品更新周期方面,具有很强的竞争优势。
2、产品背景
2.1 P2P应用概况
P2P技术,即端到端对等网络技术,是指网络主机在充当客户端获取资源的同时充当服务器向其它对客户端提供服务。
随着计算机网络的广泛应用和多媒体资源的丰富,带宽消耗越来越大。在计算机网络发展史上,恐怕没有任何一种网络应用像P2P(Peer-to-Peer,端到端对等网络)技术这样深刻的影响了宽带网络服务的运营模式。P2P使文件下载共享变得简单,动辄GB级的电影下载,P2P应用拉动的带宽消耗增长,据统计,P2P数据流量占因特网总流量达80%以上,并且在用户总数没有显著增长的情况下,P2P数据流量仍然在快速持续增长,使得宽带运营商的成本增加,收益降低,网络效率和服务质量下降,甚至冲击其他业务收入。
短短几年,P2P技术迅猛发展,以P2P技术为核心的软件产品,雨后春笋般的进入了主流计算机应用,事实已经十分明显。如基于P2P协议的文件下载共享软件,典型的应用软件
有BitTorrent、eDonkey、PP点点通、Gnutella、FastTrack、酷狗(Kugoo)、迅雷、DirectConnect、AppleJuice、百宝、百度下吧、百兆等。这是目前被广泛使用,同时也是头号带宽杀手的应用协议。基于P2P的其他应用有:即时信息类,如腾迅QQ、微软MSN、YahooMessger等,网络电话类,如Skype等,网络电视类,如PPStream、PPLive、沸点、Recool、QQLive等。
运营商网络中60%-80%的带宽夜以继日地被这些应用占用。由于传统网络监控设备无法识别P2P应用,处理P2P,必须是针对P2P应用的流量管理系统,才能监测网络并找到正在运行的P2P应用以及谁正在使用这些应用,然后设定策略以保证所有用户的公平性,还可以追踪使用情况以便于记帐和微调网络,处理过多的流量并把昂贵的空闲带宽分配给那些能够创造利润的应用。
2.2 P2P对网络的影响
P2P技术主要提供了分布式交换数据的能力,由于个人用户PC的处理能力和硬盘空间逐步增大,资源分布存储已经变为可能。P2P技术现阶段最大的用途就是提供了在个人用户之间交换数据文件,通过集中资源服务器已经不在是资源存放的唯一途径。P2P技术主要带来了如下一些变化:
(1)Internet上流量模型的变化:现在Internet上60%-80%的流量都是P2P的流量,而传统的HTTP流量已经不是Internet上的主要流量。
(2)个人用户的流量模型的变化:以前个人用户的下行流量(从Internet到个人用户)远远大于上行流量。而由于P2P技术在下载的同时,也需要上传。导致个人用户的下行流量和上行流量都很大。
(3)P2P应用获取带宽的方式可谓完美:使用“永远在线”的技术日以继夜地在进行贪婪的下载和上传服务,P2P流量造成网络的极度拥塞。
2.3 P2P应用技术发展
第1代集中式的P2P应用:
Napster模式,在对等计算机上运行的这类应用通常使用一个固定的TCP端口,这种模式从管理员角度来看,第一代的P2P应用是比较容易处理的,管理员可以简单地使用可根据协议端口监测网络的防火墙或者路由器限制P2P应用的流量。
免费(Free)文件共享理念被保留下来,分布式更易于通信,被用户接受和追捧,在这个模式的驱动下,产生了大量新的、难于控制的P2P应用。
第2代分布式P2P应用:
允许计算机能够在任何时间、任何地点连接到其他计算机,而不需要中心服务器的干涉,所有的对等计算机直接对其他的对等体进修响应和文件共享。
第二代P2P应用采用的方法中还包括一些用于规避网络安全设备的“技巧”:
(1)端口跳跃:通过这种方法,P2P应用将不再使用一个固定的端口号,而是采用随机的或者是用户手工设定的协议端口号。
(2)常用端口号:一些P2P应用使用80端口——官方规定的HTTP协议端口,来避开防火墙的限制,获得对Internet的访问。这是一种很狡猾的做法,因为企业通常只开通特定的、常用的端口(如80端口)访问Internet;类似地,一些运营商还对80端口提供更优化的流量,因为这些流量被认为是来自HTTP访问Web的。
(3)HTTP隧道:在很多企业网络中,Internet的访问是通过HTTP带来完成,对于非HTTP 应用或者未经过HTTP的应用将不能访问Internet。于是很多P2P应用将HTTP协议作为自己基本协议,这样就避开了这些限制,使得网管设备的限制实效。
(4)HTTP代理隧道:P2P客户端将要发给Web边缘的对等计算机的流量使用隧道技术进行封装,通过代理(如Socks代理)和一些第三方的隧道应用(如Socks2HTTP),使P2P 流量看起来像是标准的代理流量,而这些流量通常是不被限制,从而达到避开限制。
对于这些应用的识别和控制是非常困难的,除非借助应用层可视性检测工具,检查传输协议(如TCP协议)的载荷(Payload)部分,对不同的应用进行更精确的识别。
第3代P2P应用:
第3代P2P应用是一种介于集中式和分布式结构之间的混合折中结构。这一类型的网络使用“超级对等体”(超级节点)来充当中心服务器的角色,一方面维护网络的分布式结构,一方面保证良好的搜索点击率、网络速度和可伸缩性。超级对等体是从众多对等体中随机选择,甚至被选择的对等体自身对此也不会有所察觉。超级对等计算机向为数不多的一组对等计算机提供索引服务,同时超级对等体之间也彼此进行通信,文件传输在对等计算机之间直接传输。通过限制处理搜索的对等计算机的数量,同时也消除了使用固定、专用服务器带来的延
迟,该类型的网络在提供很高的搜索性能的同时,也继承了分布式网络的特性。某些第三代P2P应用使用SSL协议(如HTTPS,是用于加密Web流量的协议)对流量进行加密保护。
第4代P2P应用:
P2P应用最新发展的一个趋势,典型代表有Skype、eMule 0.47c和BitComet 0.80。这一代的P2P应用从技术上看,主要有两个特点:
(1) 通过增加无用随机数据和数据进行加密这两个手段使得协议流量特征模糊化,如最新版的eMule、BitComet等软件。
(2) 多协议并用(如迅雷,HTTP、FTP、专用协议并存),逃避监管。
日益复杂精巧的设计和开发,P2P新应用不断涌现,功能更强也更易使用,为了使P2P应用运行畅通,新一代P2P软件比上一代越来越智能,其中主要是P2P应用由于其独特的设计理念,在客户端软件中加入了大量对抗网络封堵、限制的技术手段,使得P2P流量管理检测难度水涨船高,同时需要不断升级协议特征库。P2P应用使人们对使用Internet的方式发生着革命性的改变,P2P应用的潮流不可阻挡,只能顺应潮流,采用有效处理策略。
3、处理P2P策略
为了能够控制P2P应用,企业与网络运营商都各自尝试了不同的解决方案:
扩充带宽:
最简单显而易见的解决办法,就是扩带宽。
优点:增加带宽可以在短时间内缓解网络的拥塞状况,当P2P应用觉察到网络中有更多的可用带宽,网络带宽将会再次被P2P应用占据。
缺点:增加带宽和增加带宽的费用将是无底洞,这样做只是给P2P应用提供了更多可攫取的带宽资源。
禁止P2P:
全面禁止P2P应用将会是拥塞的网络恢复正常状态。
优点:企业可以禁止P2P的使用,提高员工的工作效率,而以往员工却花费时间和网络带宽进行娱乐性的网上冲浪。
缺点:ISP将会失去用户,因为很多用户就是为了不受流量限制才租用了运营商的线路。限制,而不是禁止P2P:
使用能够识别第7层应用的流量管理解决方案,企业和运营商能够准确判别P2P应用并进行限制。
优点:可以通过多种控制策略进行,通过合理调配带宽资源,提高网络运行效率,如发生链路拥塞的情况下,减少分配给P2P应用的带宽或者降低P2P应用的优先级,保证同一服务级别的用户使用网络的公平性,将会大大改善网络响应速度质量。当对P2P应用流量进行限速管理之后,网络中的其他应用将变得很顺畅。
仅对上传进行约束:
对于ISP来说,这种约束能力显得更为关键,因为对于那些非线路租户使用其他租户的线路上传(而并不承担相关费用)的情况尤为关注。运营商显然不会考虑这些非线路租户进行线路的升级,这也就是为什么选择限制上传流量的原因。
优点:对上传流量进行限制并不会影响到下载流量。如某运营商对P2P应用的出向流量进行了限制,而这个方向的流量主要是由非线路租户产生,由于他们自己的线路租户的TCP 确认信息并不会受到影响(尽管它们的方向也是向外发送),就可以继续享受无限制的下载服务。通过这项控制,该运营商用户的流量消耗得到了显著减少,成本大幅度下降,又保证了客户的满意度。
由于流量管理产品具有足够的灵活性,可以在不影响下载的前提下限制上传流量,从而使所有人都能获益:线路租户可以根据自己需要随意下载,运营商也得益于需要支付给骨干网络运营商的成本的大幅度下降。
缺点:无。
4、如何检测网络中的P2P流量
为了能从应用中把P2P应用识别出来,网络可视性(Network Visibility)是至关重要。这种检测能力将了解到在当前的网络中运行着哪些P2P应用、哪些P2P应用正在吞噬网络中的宝贵资源、哪些用户占据了过多的网络资源从而造成了网络的拥塞。当检测和分离这些流量之后,就可以对P2P应用进行限制或者阻止、或者为其他的应用或用户分配和保证所需的带宽,或者把P2P应用的流量避开峰值时段,合理调配带宽使用,从而利用现有的带宽资源,最大限度地提高带宽的效率。
深层数据包检测(DPI):识别P2P应用的唯一可靠办法:
对P2P应用进行判定,需要借助复杂的第7层识别技术,使用各种方法来检测这些难以捉
摸的应用。由于多数P2P应用软件都使用端口跳动技术或者盗用一些常用服务的协议端口进行通信传输,所以通过对端口对它们进行识别显然是远远不够,传统的流量限速设备无能为力。因此,所有的数据包都必须到应用层面(Application Layer)上进行检查,即对传输协议如TCP协议的载荷(Payload)部分进行检查,以判断它们是否符合代表某种应用代码的样本特征,在很多情况下,对于某一种应用的识别需要检测它是否多个代码样本的特征。
基于会话的应用分类:
标准的协议头部(Header)字段如TCP/UDP的端口号字段在每一个数据包中都存在,而第7层的协议代码样本通常只能在一次协议会话的前几个数据包中存在,并进行会话标记的请求以标识本次会话中所有的数据包。当网络中产生了一个新的会话,如P2P应用会话,那么一个唯一的协议签名(Signature)就必须被找到并能够与已知的协议代码样本相匹配,如当使用第7层的分类方法对一个P2P应用进行了正确的识别,那么该会话中的后续数据包就能够被正确的判别为该P2P应用会话的数据流量。
有些情况下,一个P2P应用使用不止一个会话,这就需要流量管理系统能够从两个或多个会话中提取信息并进行关联以找到能够匹配的代码样本。
并非基于端口的分类:
P2P应用通常使用随机的端口号或者借助一些常用的端口号来进行传输,因此在进行P2P 应用样本搜寻时,就不能做任何的假设,需要对网络中所有数据流进行第7层协议的探测,而不管它们是否使用了某个端口号。
每秒连接数:
不寻常的连接数量可能是在暗示着网络中P2P应用的使用,也可暗示着异常流量的存在,如病毒、蠕虫、有害程序等等。P2P是具有侵略性的应用,它可以在短时间内建立超负荷的连接,异常的连接数量在流量管理设备中可以设定告警机制,帮助网络管理员及时解决问题。
5、技术解决方案
针对P2P应用的流量管理特点,检测、性能和系统稳定性这三个因素是至关重要。不能正确检测区别P2P流量,就不能进行管理控制。性能不能满足要求,没有足够的处理能力,造成网络延迟的增大,同样也是无效。
下面简要介绍一下Panabit检测与控制P2P系统所使用的独特的应用层识别技术,在此之前,我们先介绍一下目前在其它产品中常用的技术:
(1)基于数据包的无状态识别技术。这种技术一般是采取模式匹配的方式,对每个数据包进行模式匹配,并且不考虑数据包之间的逻辑关系,采取这种方式的系统的好处是实现简单,但是它的缺点也是很明显的,就是性能低下,易成为网络的瓶颈。
(2)基于连接的有状态识别技术。这种技术是一般的传统防火墙所采取的技术。在防火墙现有的状态表的基础之上,将连接所产生的所有数据包看作一个整体,如果其中某个或某些数据包符合指定的特征,那么认为这条连接就是符合该特征的连接。所以,如果该特征是BT 通信,那么这条连接就是两个BT客户端或一个BT客户端和一个BT服务端在通信。
在运营商的网络环境里,由于节点一般都是网络交换节点,因此许许多多的P2P节点的通信都会通过运营商的交换网络,这些节点以十万,甚至百万计。如果采取基于连接的有状态识别技术,所能控制的P2P通信非常有限,这种技术只适合于小规模的网络,如中小企业网络。
Panabit采用“基于节点的有状态识别技术”可以避免上述问题。
一个典型的P2P是由许多节点构成的,每个节点都是一个服务器,这个节点可以同时为其它节点提供服务。基于节点的有状态识别技术的基本思想是从节点双方的通信过程中寻找特征数据,这些特征数据不限于某条特定的连接,如果特征匹配,那么系统将记录该节点,而不是某条连接。一旦该接点被识别出来,那么后续同该节点通信的数据无须重新验证,因此极大的提高了系统的性能。P2P应用中,客户端既是客户,又是服务器,在某端口上监听为其他客户提供服务,根据这一特性,将IP+服务端口在内存中定义一个二元组,称之为节点。
Panabit在基于节点的有状态识别技术的基础上向智能方面进一步发展,该技术可以从多条连接中自动根据某种统计规律来识别某些特征不明显或者被加密了的通信协议(如SkyPe),在保证性能的同时,提高了系统识别的准确性。这种技术针对P2P应用尤其有效。
此外,Panabit针对第4代P2P应用软件的变化,采用独有主动探测和服务伪装技术保证对P2P识别的准确性。Panabit采用独有的服务探测引擎可以识别第四代P2P应用,如emule 0.47c。服务伪装,对于迅雷这样综合了P2P和HTTP,FTP等传输协议的应用,Panabit开发了独有的服务伪装引擎。
从技术角度看,P2P应用有如下几个特点:
(1)一个P2P节点(客户端程序,比如BitComet)通常与成百上千个客户端连接,因此节点
之间的连接数目巨大。假如一个节点有200条连接,那么10000个节点就有可能达到200万条连接,保守估计也会有100万条连接,如此大的连接数将使设备不堪负担。
(2)不像Web浏览这样的HTTP协议,HTTP连接一般持续的时间比较短,而P2P主要目的是用来共享大的文件,需要传送大量的数据,因此P2P客户端之间的连接一般持续的时间比较长,这就意味着系统的资源很长时间不能得到释放,因此大大增加系统被DOS(Deny Of Service,拒绝攻击)的机会。
针对上述特点,Panabit通过学习的方式,采用连接识别和节点识别相结合的方式,大大减少了连接数,这样可以用较少的资源监控更大的P2P应用网络,同时提高了系统的效率。
6、系统架构
Panabit核心是PanaOS(Panabit Operating System),PanaOS基于FreeBSD(目前最稳定的操作系统),但是在原有FreeBSD基础上做了如下修改和增强:
(1)对网络协议栈作了大量的修改和优化,使得数据平面(Data Plane,见下图)能够以最快速度执行。
(2)去掉内核部分代码,使得核心更小。
(3)针对特定的硬件进行优化,使得在特定的硬件上更快运行。
(4)修改部分中断处理函数和网卡驱动,使得数据平面(Data Plane)以较高优先级运行。
PanaOS分为数据平面(Data Plane)和控制平面(Control Plane)两个部分:
(1)数据平面(Data Plane):负责数据包处理,同时提供同控制平面的接口。数据层面直接由硬件驱动,这样避免了传统OS(包括FreeBSD)的网络协议栈带来的开销,使得PanaOS 能够充分利用硬件的性能而更快处理数据包。数据平面在PanaOS内核内运行。
(2)控制平面(Control Plane):负责系统管理,包括数据平面的维护、Web管理和命令行管理接口。控制平面运行在PanaOS的应用层。
数据平面的运行优先级高于控制层面,这样确保数据包即时处理。
控制平面(CP,Control Plane)
其中:
(1)MiniWeb:一个轻量级的Web服务器,并提供Web管理接口。
(2)CLI:命令行接口进程。
(3)DataStat:负责数据的收集和统计分析。
数据平面(DP,Data Plane)
其中:
(1)PAE(Packet Analysis Engine):数据包分析引擎,负责应用层识别。
(2)ACE(Access Control Engine):访问控制引擎,负责访问控制。
(3)BME(Bandwidth Management Engine):带宽管理引擎,负责带宽限制和分配。
(4)DPI(Data Plane Interface):数据平面接口为CP提供访问数据平面的数据和相关状态信息的接口。
7、主要功能特色
Panabit主要功能模块有:
(1) 强大的协议识别引擎
(2) 灵活的带宽管理
(3) 内网IP统计功能
(4) 简单易用的单IP限速
(5) 丰富的报表统计
(6) 系统高可用性
(7) 全中文化安全的Web管理
(8) 灵活方便的部署方案
下面分别详细介绍上述模块:
7.1 强大的协议识别引擎
Panabit强大的协议识别引擎不但可以识别各种明文的协议,如Bittorrent,eDonkey,而且其独有的“加密协议深度识别”技术可以识别经过加密的P2P协议,如Skype和eMule 0.47c。到目前为止,Panabit已经支持如下协议:
1)传统协议:HTTP,HTTPS,FTP,Telnet,SSH,DNS,SMTP,POP3,NetBIOS,CVS,DHCP,NTP,NFS,NNTP,SNMP,TFTP,BGP,HTTP分块传输,伪IE下载,Microsoft-DS,Remote-sync。
2)流媒体协议:RTSP,MMS。
3)P2P下载:BitTorrent,eMule,Gnutella,Kazaa,iMesh,DC,AppleJuice,Ares,Mute,SoulSeek,Poco,酷狗,迅雷(含Web迅雷),百宝,百度下吧,Vagaa,脱兔,PPGou。
4)即时通信:MSN,MSN视频,YahooMessger,QQ,QQ视频,QQ文件传输,网易泡泡,淘宝旺旺,新浪UC。
5)网络电话:Skype。
6)网络电视:PPStream,PPLive,沸点,Recool,QQLive,TVAnts,TVKoo,PPMate,MySee,UUSee,CCIPTV,SopCast,VJBase,JeBoo。
7)网络游戏:魔兽世界,奇迹世界,征途,热血江湖,跑跑卡丁车,QQ幻想,泡泡游戏,QQ游戏,,中国游戏中心。
8)股票证券:大智慧(经典版、新一代)、钱龙(经典版、旗舰版)、核新(同花顺2007)注:应用协议的支持更新,请参考https://www.doczj.com/doc/6a12072547.html, 首页支持协议更新列表。
系统运行效果图:
7.2灵活的带宽管理
在传统的IP网络中,所有的报文都被无区别的等同对待。每个路由器都对所有报文采取先进先出(FIFO,First In First Out)的策略进行处理,它尽最大的努力(Best-Effort)将报文送到目的地,但对报文传送的可靠性、传输延迟等不做任何保证。在一个网络中,不同的人员对带宽的使用是不均衡的,有人使用得多,那么留给别人的带宽就少,如果某些人员使用BT、迅雷下载文件或者使用PPStream、PPLive在线收看网络电视,那么这些人员就会占用大量带宽,并将持续占用甚至耗尽出口带宽资源,造成网络速度和性能明显下降,使其他用户的正常网络应用比如Web访问、收发E-mail、MSN聊天、股票查询、视频会议出现延迟、停顿、掉线等现象。
与类似产品单纯通过对P2P及其他特定流量进行带宽控制来变相“保障”正常应用的方式不同,Panabit同时提供基于应用或基于IP的“带宽控制”、“带宽预留”、“带宽保证”三种机制,为用户灵活调控网络带宽资源提供更方便的功能。
在精确识别应用协议的前提下,Panabit提供以下三种带宽调控机制:
(1)带宽限制:根据策略对特定IP/IP组、应用协议进行带宽限制,避免这些IP/IP组、应用协议过度使用带宽而影响他人和整个网络。
特别地,Panabit支持针对“未知协议”的带宽限制功能,可将未识别或尚未支持的协议流量或异常流量控制在一定的范围内。
下图为某用户设定的策略:每天8点到24点将P2P和NetTV的上下行带宽限制为10M,其它时间不限,并使用自定义的图表定制的实际效果图。
(2)带宽预留:预留出一定的带宽给特定的IP/IP组或应用协议使用。比如:假设网络出口的总带宽为100M,如果为某些IP、IP网段、应用协议预留了10M带宽,那么其他所有IP、应用协议可使用的总带宽即为90M。预留出的10M带宽始终属于规定的IP、IP网段、应用协议所有,其他任何IP、应用协议无论如何都不能占用。
(3)带宽保证:带宽保证与带宽预留类似。所不同的是,带宽保证在其保证的带宽不能满足要求的时候,会从剩余的总带宽里借用所需带宽。以上面(2)中提到例子为例,如果做一条带宽保证策略,分配10M带宽给某IP组,那么当某个时刻该IP组所需要的带宽大于10M,比如15M,那么Panabit就会从其余的90M带宽中借出5M给该IP组以满足其使用。
对于运营商,在P2P应用已成潮流的现实背景下,运营商已不单纯着眼于如何控制P2P流量来控制带宽成本和运营压力,而是逐步寻求通过P2P增值运营来实现收益。在很多地方,运营商自主开办的IPTV同样也是依赖于P2P技术,那么对于运营商来说,能对该IPTV进行带宽预留或带宽保证就更具现实意义;对于企业,是否可以以及如何优先保障关键业务、关键科室、关键IP的带宽使用是他们首要关注的功能点,而精细的统计分析报表对于网络管理人员更具有策略上的指导意义;对于特殊行业(比如网吧),盈利主要来自于网络游戏与QQ视频聊天等消遣娱乐型应用,对这些盈利性的应用进行带宽保证,同时对大量占用带宽的P2P下载进行带宽限制,限制与保证结合,可大幅度提升网络的整体性能和用户满意度。
Panabit的带宽管理灵活性在具体使用中体现在两个方面:
(1)数据通道:定义带宽管理和调度方式。上面所说的带宽限制、带宽预留和带宽保证就是
三种不同类型的带宽对象。系统根据带宽类型和带宽的大小系统地对带宽进行分配和调度。
(2)策略:策略是用来将流量进行分类的机制。Panabit里所定义的每一条策略可以包含源地址、目标地址、数据流向(上行还是下行)、应用协议等因素。当匹配这些因素后,就会执行某个动作,如阻断、放行或将其注入某个数据通道。通过将符合这些条件的数据注入通道,实际上就已经对符合上述条件的数据包实施了流量管理。
7.3 内网IP统计功能
(1) 用户可在Web界面中选择是否打开内网IP统计功能。
(2) TOP N统计功能
用户可选择TOP 10 、20、30、所有IP的统计排名,并可选择以下三种方式:
a、按照累计流量进行排名
b、按照当前速率进行排名
c、按照在线时间进行排名
(3) 单个IP的应用流量、连接明细
可直观的列出某个IP具体的历史应用明细,以及目前与该IP相关的连接情况,包括每条连接中对方的IP地址及端口。
7.4简单易用的单IP限速
得益于其灵活的策略管理功能和带宽管理能力,Panabit可以对内网IP进行单独限速。在Panabit中,只需要一条规则就可以实现控制某个网段内的每个IP最大可使用带宽和该网段的总带宽。
7.5丰富的报表统计
(1) 网卡流量、各应用协议/协议组的日图表、周图表、月图表
(2) 连接统计、节点统计、协议统计、PPS统计
(3) 自定义报表功能
用户可针对自己关心的IP/IP组、应用协议/协议组等不同的对象自定义一个报表,将针对多个对象的统计结果集中显示在一个图表中,减少日常监控的工作量。统计数据可以指定不同的线形和颜色以绝对值或叠加的方式显示。报表统计的时间跨度可以是当天、本周和当月。
以下两张截图是某用户自定义的只统计“P2P协议组”和“网络电视协议组”上、下行流量的图表。
P2P与NetTV(网络电视)流量的日图表
说明:当前策略为08:00-24:00之间将P2P与网络电视两类流量双方向控制为20M;00:00-08:00不做限制。可以看到在策略生效的时间点,流量呈现明显的瞬间下降情况。
P2P与NetTV(网络电视)流量的周图表
说明:一周内应用限速策略时P2P与网络电视两种协议组的流量曲线图。(周五将策略修改为全天放开网络电视流量,只在08:00-24:00之间限制P2P流量双向为20M),同样可以看到每天在策略生效的时间段,被限速的流量始终被严格控制在20M以内。
7.6系统高可用性
支持硬件Lan Bypass功能,当断电、硬件故障、系统死机等,系统自动切换到Lan Bypass 状态,保持网络连通。
7.7全中文化安全的Web管理
所有配置管理都通过HTTPS方式的Web界面进行,使得管理员可以随时随地安全的管理系统。
7.8灵活方便的部署方案
Panabit支持两种接入和部署方案:
(1)旁路监听;(2)透明网桥。
附录一Panabit部署方案
1.1透明网桥模式
Panabit以透明网桥方式部署在出口链路上,对出口链路上的双向流量进行协议分析、统计,同时根据所设定的规则对流量进行灵活的限制和分配。
为避免Panabit遭受扫描、攻击,网桥上无需配置IP地址,用户可通过专门的管理端口对Panabit进行配置管理。
典型的部署方式如下图所示:
使用透明网桥模式接入,用户既可以统计流量,又可以做访问控制和带宽管理。
1.2旁路监听模式
Panabit设备以旁路方式部署在交换机或路由器旁,通过交换机或路由器的“Port Mirror” (端口镜像)技术对经过交换机和路由器的上下行端口的流量进行协议分析、统计。(注:旁路监听模式下,Panabit只能对流量做分析统计,而不能做控制。)
典型的部署方式如下图所示:
数据中心交换机 buffer 需求分析白皮书
目录 1引言 (3) 1.1DC 的网络性能要求 (3) 1.2国内OTT 厂商对设备Buffer 的困惑 (4) 1.3白皮书的目标 (4) 2Buffer 需求的经典理论 (5) 2.11BDP 理论 (5) 2.2Nick Mckeown 理论 (6) 2.3经典理论的适用性 (6) 3基于尾丢弃的buffer 需求 (9) 3.1丢包的影响 (9) 3.1.2丢包对带宽利用率的影响 (9) 3.1.3丢包对FCT 的影响 (12) 3.2大buffer 的作用 (13) 3.2.1吸收突发,减少丢包,保护吞吐 (13) 3.2.2带宽分配均匀 (14) 3.2.3优化FCT (15) 3.3DC 内哪需要大buffer (15) 3.4需要多大buffer (17) 3.5带宽升级后,buffer 需求的变化 (19) 3.6 小结 (19) 4基于ECN 的buffer 需求 (21) 4.1ECN 的作用 (21) 4.2ECN 水线设置 (23) 4.3基于ECN 的buffer 需要多大 (24) 5基于大小流区分调度的buffer 需求 (27) 5.1大小流差异化调度 (27) 5.2大小流差异化调度如何实现大buffer 相当甚至更优的性能 (27) 5.3基于大小流差异化调度的buffer 需要多大 (28) 6 总结 (28) 7 缩略语 (29)
1 引言 1.1DC 的网络性能要求 近几年,大数据、云计算、社交网络、物联网等应用和服务高速发展,DC 已经成为承 载这些服务的重要基础设施。 随着信息化水平的提高,移动互联网产业快速发展,尤其是视频、网络直播、游戏等行业的爆 发式增长,用户对访问体验提出了更高的要求;云计算技术的广泛应用带动数据存储规模、 计算能力以及网络流量的大幅增加;此外,物联网、智慧城市以及人工智能的发展也都对DC 提出了更多的诉求。 为了满足不断增长的网络需求,DC 内的网络性能要求主要体现在: ?低时延。随着深度学习、分布式计算等技术的兴起和发展,人工智能、高性能计算等时延敏感型业务增长迅速。计算机硬件的快速发展,使得这些应用的瓶颈已经逐渐由计 算能力转移到网络,低时延已经成为影响集群计算性能的关键指标。因此,时延敏感型 应用对DC 网络时延提出了更高的要求。目前DC 内,端到端5-10 微秒时延已经成为 主流的目标要求。 ?高带宽高吞吐。数据时代的到来,产生了海量的数据,如图1-1。基于数据的应用(如图像识别)的推广,使得网络数据呈爆发式增长,小带宽已经无法满足应用对传输 速率的需求。部分应用场景下,带宽成为制约用户体验的瓶颈。高带宽高吞吐对于提升大 数据量传输的应用性能有着至关重要的影响。为了应对大数据量传输的 应用需求,目前,百度、腾讯、阿里巴巴等互联网企业的DC 都已经全面部署100GE 网络,阿里巴巴更是规划2020 年部署400GE 网络。 图1-1 数据中心内存储的实际数据 数据来源:中国IDC 圈
神州数码易安-文件保密系统技术白皮书 本文阐述神州数码易安-文件保密系统的技术要领及功能,如果您是神州数码易安-文件保密系统技术服务人员或企业内部的神州数码系统管理人员,您可以从本文中得到技术上的参考和帮助。神州数码Digital China拥有所有版权。
一、神州数码易安-文件保密系统实现原理 I、原理图 II、神州数码易安-文件保密系统原理 (1)实现原理 通过“神州数码易安-文件保密系统”加载到Windows的内核,我们可以监控Windows 的所有与文件读写、打印机输出及数据通讯等相关的执行过程,从而对非法访问进行控
制,并对敏感的数据进行实时的加密。 (2)安全性 神州数码易安-文件保密系统是加载在Windows内核中的软件监控系统,当安装了神州数码易安-文件保密系统后,用户无法看到神州数码易安-文件保密系统在运行,但用户的任何动作,如保存文件、读文件等都在神州数码易安-文件保密系统的监控之下。 用户试图关闭神州数码易安-文件保密系统是不可能的,就象Windows运行时您不可能关闭Windows内核一样,除非您关闭计算机。 (3)稳定性 神州数码易安-文件保密系统的实现采用了32位(并可以支持64位系统)软件代码,并在Windows内核执行前实现监控并触发少量必要的加密动作,因此,该系统在运行时,并不损耗系统资源,且能“安静而忠诚”的工作着。只有当指定的应用软件如Pro/E 访问数据文件如ASM后缀的文件时才触发加密动作。安装完神州数码易安-文件保密系统后,对系统的影响就象多加装了一个USB接口的硬件设备及其驱动程序。 III、实时强制加密 神州数码易安-文件保密系统采用的加密方式为实时加密。即操作人员在文件写入或修改完成时,易安-文件保密系统会实时对文件进行加密,确保文件的安全性。 神州数码易安-文件保密系统可对不同客户端进行不同的加密策略配置。即对于客户的特殊要求,例如,对不同的客户端的加密应用程序有不同的要求(有的客户端控制Office 应用程序所产生的文件,而有的客户端则控制AutoCAD应用程序所产生的文件),我们可以根据客户的不同需求,通过不同的加密策略的配置来达到客户要求的控制效果 即使不同企业都采用神州数码易安-文件保密系统,不同的企业也不能打开其它企业的图文档。因为易安-文件保密系统是通过软件加硬件的方式进行加密,不同的硬件网络有不同的加密格式。图文档一旦离开了本公司的办公网络就会失效。
以太环网解决方案技术白皮书 关键词:RRPP 摘要:以太环网解决方案主要以RRPP为核心的成本低高可靠性的解决方案。 缩略语清单: 1介绍 在数据通信的二层网络中,一般采用生成树(STP)协议来对网络的拓扑进行保护。STP协议族是由IEEE实现了标准化,主要包括STP、RSTP和MSTP等几种协议。STP最初发明的是目的是为了避免网络中形成环路,出现广播风暴而导致网络不可用,并没有对网络出现拓扑变化时候的业务收敛时间做出很高的要求。实践经验表明,采用STP协议作为拓扑保护的网络,业务收敛时间在几十秒的数量级;后来的RSTP对STP机制进行了改进,业务收敛时间在理想情况下可以控制在秒级左右;MSTP主要是RSTP的多实例化,网络收敛时间与RSTP基本相同。 近几年,随着以太网技术在企业LAN网络里面得到广泛应用的同时,以太网技术开始在运营商城域网络发展;特别是在数据,语音,视频等业务向IP融合的趋势下,增强以太网本身的可靠性,缩短网络的故障收敛时间,对语音业务,视频等业务提供满意的用户体验,无论对运营商客户,还是对于广大的企业用户,都是一个根本的需求。 为了缩短网络故障收敛时间,H3C推出了革新性的以太环网技术——RRPP(Rapid Ring Protection Protocol,快速环网保护协议)。RRPP技术是一种专门应用于以太网环的链路层协议,它在以太网环中能够防止数据环路引起的广播风暴,当以太网环上链路或设备故障时,能迅速切换到备份链路,保证业务快速恢复。与STP协议相比,RRPP协议具有算法简单、拓扑收敛速度快和收敛时间与环网上节点数无关等显著优势。 H3C基于RRPP的以太环网解决方案可对数据,语音,视频等业务做出快速的保护倒换,协同高中低端交换机推出整体的环网解决方案,为不同的应用场景提供不同的解决方案。 2技术应用背景 当前多数现有网络中采用星形或双归属组网模型,多会存在缺乏有效保护和浪费网络资源等诸多问题,如下图所示:
智慧科技-计划管理系统 技术白皮书 1产品定位 各级科委目前对科技计划的管理主要采用电子文档化的管理模式。随着业务工作发展与政府服务职能的深化,业务信息的数据量也不断积累和扩大,现有的管理方式对业务工作的支撑力度开始显得不足,主要体现在信息记录的格式缺乏统一性、信息由多人管理较为分散、对信息的查阅和利用不够便捷等。因此,建设科技计划管理系统,利用更为有效的信息化管理手段变得十分必要。 计划管理系统的建设将以实际业务需求为导向,实现科技计划的全生命周期管理,通过信息化手段规范计划管理业务的管理要素和日常工作,并对收集到的各类要素信息进行更为有效的分析利用,为业务人员在计划管理中的综合处理、高效配置、科学决策提供更为有效的支撑。 凭借多年在信息化系统建设领域的丰富实践经验,我们在方案总体设计方面,周密考虑,充分部署,力争在方案的总体架构方面体现先进性、扩展性和实用性。 一方面,根据各级科委具体需求,采用BS应用结构作为整体应用架构,实现安全的信息交换与业务处理; 其次,采用模块化设计的思想,将各个管理环节标准化和规范化,实现业务开展过程的全面推进; 第三,通过完善的后台管理功能,提供灵活的定制服务,满足业务处理的需求。 整个系统设计在考虑了现有信息系统的使用特点以及现阶段的业务需求的同时,还充分考虑了系统的潜在需求,具有先进性和较高的可扩展性。 系统总体框架如下图:
2主要功能 ●计划可研 计划可行性研究阶段,根据计划指南,部门推荐,完成计划科研报告编写(Word和在线),在计划申报系统中进行填报。 可研报告包含企业信息,计划可研书要求的信息等 ●立项管理: 计划管理最关键过程,根据可研报告,进行立项管理过程。 计划立项审查,和全省市计划库中原有计划进行对比,从计划名称、计划建设内容、考核指标、承担单位、计划负责人等各个方面进行比对, 形成相应的客观报告。 专家根据立项审查结果,进行再次审核,最终形成结果,专家随机取自专家系统库,同时各自打分可以网上网下结合进行,保证其公平透明。 ●计划申报: 计划可研和立项管理结束后,将发放计划正式立项通知书。
社会医疗保险数据中心管理平台 技术白皮书 创智和宇
目录 1简介 (4) 1.1应用背景 (4) 1.2范围 (4) 1.3参考资料 (4) 2系统概述 (5) 2.1医疗保险数据中心管理平台概述 (5) 2.2总体结构图 (5) 2.2.1医疗保险数据中心管理平台的的总体结构 (6) 2.2.2医疗保险数据中心管理平台的逻辑结构 (6) 2.2.3医疗保险数据中心管理平台的的网络拓扑结构 (7) 2.3.1数据库内部组成 (7) 2.3.2生产库定义(地市级) (7) 2.3.3交换库定义(地市级) (7) 2.3.4决策分析库(地市级) (8) 2.3.5决策分析库(省级) (8) 2.4 医疗保险数据中心管理平台与其他系统关系 (8) 2.4.1与本公司开发的社保产品关系及实现接口 (8) 2.4.2与其它公司开发的社保产品关系及实现接口 (8) 2.4.3与全国联网软件关系 (9) 3业务逻辑的总体设计 (9) 3.1数据抽取建立交换数据库 (9) 3.2数据分析与决策 (9) 3.3数据交换服务 (10) 4系统采用的关键技术 (11) 4.1数据抽取 (11) 4.2增量更新 (11) 4.2.1增量更新实现步骤 (11) 4.2.3 历史数据变化情况记录 (12) 4.3数据展现 (12) 4.4数据传输 (12) 4.4.1数据传输涉及的三大元素及关系 (12) 4.4.2数据传输策略总体设计思路. (12) 4.4.3数据传输策略总体设计方案图 (12) 4.4.4数据传输策略实现概要. (14) 4.4.5打包数据的来源 (14) 4.4.6传输策略的维护 (14) 5系统开发平台和运行平台 (14) 5.1开发平台 (14) 5.2运行平台 (14) 6医疗保险数据中心管理平台功能介绍 (15) 6.1参保情况管理 (16)
IT可视化综合运维管理解决方案 SmartView产品 技术白皮书V1.61 目录
一、导论 1.1. 产品背景 IT行业技术突飞猛进地发展,设备集成度不断提高,使各种网络设备之间的界限逐渐模糊,主设备、传输系统、支撑系统之间相互融合,互相渗透,已经逐步向一体化的解决方案迈进。 首先,机房内由设施数量众多,特别是当企业存在分支机构,由于分布范围广,机房内走线将非常复杂,尤其是老机房,如何理清楚设备与设备、设备与系统的拓扑关系,通常是机房维护人员的最为头疼的难题。 其次,对于办公区域,存在大量固定资产、移动办公类设备,这些设备资产的管理常常具有移动性,且各种人为情况较多。办公区域工位与网络也有一定的对应关系,如何找出工位与设备资产、工位与网络端口的对应关系,将能够很大程度上提升并规范企业的IT水平。 此外,当设备出现故障的时候,在相同类型的设备中,如何能快速定位出故障设备,如何真实的通过系统反应出设备环境及周边情况;如何通过系统以往解决过程和系统知识库,提供可参考的解决思路,将能够显着提高运维的自动化程度。 因此,有必要建立一套“集中监控、集中维护、集中管理”的监控系统,实现对企业IT资产实现远程集中监控,实时动态呈现设备告警信息及设备参数;快速定位出故障设备,使维护和管理从人工被动看守的方式向计算机集中控制和管理的模式转变;通过标准的ITIL流程提升企业IT服务效率。 3D仿真是企业IT数字化管理信息化建设的一个重要的组成部分,全三维可视化资源管理与运维监控平台,形象化的虚拟场景和真实数据相结合,通过3维场景能显着增强机房查看与监控,企业办公区域监控,提高设备、设施、资产与流程的直观可视性、可管理型,真正提高企业IT运维管理的效率,让IT真正服务于企业运营。 神州数码针对以上问题推出一套基于生产实景的全3D可视化IT资源管理与运维监控管理平台,形象化的虚拟场景和真实数据相结合,用户在显示屏幕前即可查看到机房中的所有设备,对于日常维护人员对设备的运行监控管理,资产审核人员对设备的盘点
附件二十九:产品方案技术白皮书 一、背景概述 (2) 1、研发背景 (2) 2、产品定位 (2) 二、产品方案功能介绍 (2) 1、设计理念 (2) 2、系统拓扑图 (2) 3、系统构架描述 (2) 4、系统功能介绍 (2) 5、产品方案规格 (2) 四、产品方案应用介绍 (3) 1、应用模式 (3) 2、应用流程 (3) 3、应用环境 (3) 五、产品方案特性介绍 (3) 1、技术特性 (3) 2、应用特性 (3) 3、系统特性 (3) 六、产品方案技术介绍 (3) 1、相关技术 (3) 2、技术指标 (4) 七、产品方案测评数据 (4) 八、实施运维方式说明 (4) 4.................................................................................................................. . 九、售后服务方式说明 一、背景概述 1、研发背景 介绍用户需求背景、该产品所在行业信息化建设背景、产品所涉及的相关政策简述等,以说明该产品的研发背景,以及满足的客户需求。 2、产品定位 为了满足客户以上需求,该产品具有什么功能,能够解决什么问题。 二、产品方案功能介绍 1、设计理念 该产品方案的设计思路。 2、系统拓扑图 使用统一的图标,制作系统拓扑图。 3、系统构架描述 按照系统的构成,分类对系统进行描述。 4、系统功能介绍
详细阐述系统的主要功能。 5、产品方案规格 产品方案不同的规格介绍,或者对产品方案技术规格的介绍。. 四、产品方案应用介绍 1、应用模式 该产品方案包括的应用模式类型,或者针对不同类型客户的解决方案。 2、应用流程 该产品方案的应用流程。 3、应用环境 描述该产品所运行的应用环境。 五、产品方案特性介绍 1、技术特性 主要是性能先进性、功能齐全性、系统兼容性、技术稳定性等。 2、应用特性 主要是部署灵活性、可扩展性、管理方便性、易用性等。 3、系统特性 对系统的主要特性进行描述,根据产品不同和竞争优势的不同而不同。 六、产品方案技术介绍 1、相关技术 主要应用技术的介绍,以及该技术的优势。. 2、技术指标 针对技术参数进行描述。 七、产品方案测评数据 产品方案主要测评数据,可以是内部测评数据,也可以是第三方的测评数据。 八、实施运维方式说明 该产品方案的实施运营方式,以及实施运营需要注意问题的说明。 九、售后服务方式说明 该产品方案的售后服务方式、服务标准、服务内容说明,以及不同服务方式的报价。.
华为F u s i o n S p h e r e6.0 云套件安全技术白皮书(云 数据中心) -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
华为FusionSphere 云套件 安全技术白皮书(云数据中心) 文档版本 发布日期 2016-04-30 华为技术有限公司
华为FusionSphere 云套件安全技术白皮书 (云数据中心) Doc Number:OFFE00019187_PMD966ZH Revision:A 拟制/Prepared by: chenfujun ; 评审/Reviewed by: huangdenghui 00283052;zouxiaowei 00348656;pengzhao jun 00286002;youwenwei 00176512;yanzhongwei 00232184 批准/Approved by: youwenwei 00176512 2015-12-29 Huawei Technologies Co., Ltd. 华为技术有限公司 All rights reserved 版权所有侵权必究
版权所有 ?华为技术有限公司 2016。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:
一、背景概述 (2) 1、研发背景 (2) 2、产品定位 (2) 二、产品方案功能介绍 (2) 1、设计理念 (2) 2、系统拓扑图 (2) 3、系统构架描述 (2) 4、系统功能介绍 (2) 5、产品方案规格 (2) 四、产品方案应用介绍 (3) 1、应用模式 (3) 2、应用流程 (3) 3、应用环境 (3) 五、产品方案特性介绍 (3) 1、技术特性 (3) 2、应用特性 (3) 3、系统特性 (3) 六、产品方案技术介绍 (3) 1、相关技术 (3) 2、技术指标 (4) 七、产品方案测评数据 (4) 八、实施运维方式说明 (4) 九、售后服务方式说明 (4)
一、背景概述 1、研发背景 介绍用户需求背景、该产品所在行业信息化建设背景、产品所涉及的相关政策简述等,以说明该产品的研发背景,以及满足的客户需求。 2、产品定位 为了满足客户以上需求,该产品具有什么功能,能够解决什么问题。 二、产品方案功能介绍 1、设计理念 该产品方案的设计思路。 2、系统拓扑图 使用统一的图标,制作系统拓扑图。 3、系统构架描述 按照系统的构成,分类对系统进行描述。 4、系统功能介绍 详细阐述系统的主要功能。 5、产品方案规格 产品方案不同的规格介绍,或者对产品方案技术规格的介绍。
四、产品方案应用介绍 1、应用模式 该产品方案包括的应用模式类型,或者针对不同类型客户的解决方案。 2、应用流程 该产品方案的应用流程。 3、应用环境 描述该产品所运行的应用环境。 五、产品方案特性介绍 1、技术特性 主要是性能先进性、功能齐全性、系统兼容性、技术稳定性等。 2、应用特性 主要是部署灵活性、可扩展性、管理方便性、易用性等。 3、系统特性 对系统的主要特性进行描述,根据产品不同和竞争优势的不同而不同。 六、产品方案技术介绍 1、相关技术 主要应用技术的介绍,以及该技术的优势。
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
互联网数据中心交换网络的设计 1 引言 互联网数据中心(internet data center,IDC)是指拥有包括高速宽带互联网接入、高性能局域网络、提供安全可靠的机房环境的设备系统、专业化管理和完善的应用级服务的服务平台。在这个平台上,IDC服务商为企业、ISP、ICP和ASP等客户提供互联网基础平台服务以及各种增值服务。 作为业务承载与分发的基础网络系统,就成为IDC平台的动脉。随着中国IDC产业不断发展和业务需求多样化,基础网络逐步发展出一套相对比较通用和开放的方案架构。 2 当前主要的IDC基础网络架构 虽然各IDC机房各有度身定制的业务需求,网络设计也有各自的关于带宽、规模、安全和投资的考虑因素,但最基本的关注点仍然集中在高可靠、高性能、高安全和可扩展性上。 2.1 通用的IDC架构 在整体设计上,层次化和模块化是IDC架构的特征,如图1,这种架构设计带来了整体网络安全和服务部署的灵活性,给上层应用系统的部署也提供了良好的支撑。 图1IDC层次化&模块化设计架构 分区结构采用模块化的设计方法,它将数据中心划分为不同的功能区域,用于部署不同的应用,使得整个数据中心的架构具备可伸缩性、灵活性和高可用性。数据中心的服务器根据用户的访问特性和核心应用功能,分成不同组,并部署在不同的区域中。由于整个数据中心的很多服务是统一提供的,例如数据备份和系统管理,因此为保持架构的统一性,避免不必要的资源浪费,功能相似的服务将统一部署在特定的功能区域内,例如与管理相关的服务器将被部署在管理区。 分区结构另一个特点是以IDC的客户群为单位进行划分,将具体客户应用集中在一个物理或逻辑范围内,便于以区域模块为单位,提供管理和其它增值服务。 层次化是将IDC具体功能分布到相应网络层、计算层和存储层,分为数据中心前端网络和后端管理等。网络本身根据不同的IDC规模,可以有接入层、汇聚层和核心层。一般情况下,数据中心网络分成标准的核心层、汇聚层和接入层三层结构。1)核心层:提供多个数据中心汇聚模块互联,并连接园区网核心;要求其具有高交换能力和突发流量适应能力;大型数据中心核心要求多汇聚模块扩展能力,中小型数据中心共用园区核心;当前以10G 接口为主,高性能的将要求4到8个10GE端口捆绑。2)汇聚层:为服务器群(server farm)提供高带宽出口;要求提供大密度GE/10GE 端口,实现接入层互联;具有较多槽位数提供增值业务模块部署。3)接入层:支持高密度千兆接入和万兆接入;接入总带宽和上行带宽存在收敛比和线速两种模式;基于机架考虑,1RU 更具灵活部署能力;支持堆叠,更具扩展能力;上行双链路冗余能力。
网络协同办公系统 产 品 白 皮 书 金蝶软件武汉分公司 2006年7月
引言 从目前国内的OA 市场上来看近几年国内的OA 市场取得了十分明显的进步,OA 产品种类日趋繁多,OA 产品应用到了国民经济的每一个角落。但是在繁荣的背后还有许多不尽如人意的地方,软件开发商的水平参差不齐,对组织管理及OA 产品本身定位的理解不够,缺乏对用户必要的实施指导使得很多OA 系统没有发挥应有的作用,造成极大的浪费。 办公自动化是一个过程,面临的最大问题是如何利用办公自动化与组织管理相结合,解决组织管理中存在问题、办公软件如何适应组织日益变化的需求、如何能推动组织上至高层下至普通员工的应用。这就需要软件供应商既要懂得如何开发一个优秀的、适应组织管理变化需要的软件,又要懂得如何用这样的软件解决组织管理中的问题,并给予用户实施上的指导。 从技术实现上看很多开发商采用“群件平台+适当定制”的模式,开发周期较短,由于群件平台本身复杂度太高,供应商可发挥的空间较小,软件本身的适用性较差,对于定制复杂应用及与其它系统集成性较差。 从软件适用性上来说由于很多供应商是就功能而开发功能,对其它的应用集成较少,对于用户需求的变化考虑较少,而办公软件又不同于其它管理软件,用户的需求经常发生改变,这就导致用户的软件永远处于需要升级的状态,完全依赖于软件供应商! 金蝶协同网络办公系统是金蝶技术依据九年来为用户实施OA方案的经验、多年来对国内OA市场的洞悉及对目前市场上OA产品存在的问题进行分析后利用Web和Java技术设计开发的新一代跨平台、功能细致而齐全、人性化、分布式和具有强大自定义功能的协同办公平台。尤其是金蝶协同网络办公系统产品提供了一个强大的自定义平台,在产品实施中可根据对用户需求的分析,快速为用户搭建个性化的功能,最重要的是用户自己完全可以在产品使用中针对自身需求的变化随时调整各项功能,做到自我维护,自我管理。金蝶协同网络办公系统适用于政府部门、职能机关、社会团体、各种企业、金融机构、医院、学校、科研机构等各类单位。
EVPN解决方案技术白皮书关键词:EVPN ,VTEP, L3VNI,IRB 摘要:本文介绍了EVPN的基本技术和典型应用。 缩略语:
目录 1 概述 (3) 2 EVPN技术 (4) 2.1 概念介绍 (4) 2.2 EVPN控制面 (5) 2.2.1 自动建立隧道、关联隧道 (5) 2.2.2 地址同步 (6) 2.2.3 外部路由同步 (7) 2.2.4 VM迁移 (8) 2.2.5 ARP抑制 (9) 2.3 EVPN数据面 (10) 2.3.1 VXLAN报文: (10) 2.3.2 EVPN组网模型 (10) 2.3.3 二层转发 (12) 2.3.4 三层转发 (14) 3 EVPN部署 (19) 3.1 EVPN组网应用模型 (19) 3.1.1 EVPN方案主推组网: (19) 3.1.2 EVPN方案可选组网: (20) 3.1.3 EVPN组网配置 (22) 4总结 (27)
1 概述 随着企业业务的快速扩展需求,IT作为基础设施,快速部署和减少投入成为主要需求,云计算可以提供可用的、便捷的、按需的资源提供,成为当前企业IT建设的常规形态,而在云计算中大量采用和部署的计算虚拟化几乎成为一个基本的技术模式。部署虚机需要在网络中无限制地迁移到目的物理位置,虚机增长的快速性以及虚机迁移成为一个常态性业务。 VxLAN网络技术是在传统物理网络基础上构建了逻辑的二层网络,是网络支持云业务发展的理想选择,是传统网络向网络虚拟化的深度延伸,提供了网络资源池化的最佳解决方式。它克服了基于 VLAN 的传统限制,可为处于任何位置的用户带 来最高的可扩展性和灵活性、以及优化的性能。 传统自学习方式构建VxLAN需要人工手动配置隧道,配置复杂。地址同步需要依赖数据报文泛洪方式实现,产生大量泛洪报文,不适合大规模组网。EVPN通过 MP-BGP自动建立VxLAN隧道,自动同步MAC和IP地址,很好的解决了这些问 题。EVPN(Ethernet Virtual Private Network,以太网虚拟专用网络)是一种二层VPN技术,控制平面采用MP-BGP通告EVPN路由信息,数据平面支持采用VxLAN 封装方式转发报文。租户的物理站点分散在不同位置时,EVPN可以基于已有的服 务提供商或企业IP网络,为同一租户的相同子网提供二层互联;通过EVPN网关为 同一租户的不同子网提供三层互联,并为其提供与外部网络的三层互联。 当前EVPN有正式的RFC以及相关草案,基于MPLS架构的已经有RFC7432。 EVPN定义了一套通用的控制面,但数据面可以使用不同的封装技术,他们的关系 如下图: EVPN不仅继承了MP-BGP和VxLAN的优势,还提供了新的功能。EVPN具有如下 特点:
EPS档案信息管理系统V3.0 技术白皮书 南京科海智博信息技术有限公司 2013年
目录 1.产品简介 (4) 1.1 文档信息化发展趋势 (4) 1.2 产品研发背景 (4) 1.3系统特点 (5) 2.总体架构 (5) 2.1 产品技术架构 (5) 2.2 产品业务架构 (6) 3.运行环境 (6) 3.1 硬件环境 (6) 3.1.1 服务器配置 (6) 3.1.2客户端配置 (6) 3.1.3存储设备 (7) 3.1.4网络环境 (7) 3.2软件环境 (7) 3.2.1 数据库支持 (7) 3.2.2中间件支持 (7) 3.2.3浏览器支持 (7) 3.2.4 容灾支持 (7) 4.基本功能 (7) 4.1系统管理 (8) 4.2业务管理 (13) 4.3文件收集 (13) 4.4文件整编 (14) 4.5档案管理 (15) 4.6库房管理 (16) 4.7统计信息 (16) 4.8档案利用 (17) 4.9档案编研 (18) 4.10光盘打包 (18)
5.扩展功能 (19) 5.1 企业档案门户集成 (19) 5.2企业年鉴展示 (19) 5.3照片档案展示 (20) 5.4 数据安全控制 (20) 5.5数据一体化接口 (20) 5.6信息提醒接口 (20) 6.技术创新 (21) 6.1文档安全控制 (21) 6.2 全文检索技术 (22) 6.3 光盘打包技术 (23) 6.4工作流技术 (23) 6.5 海量存储技术 (24) 6.6异构数据接口 (24) 6.7系统的可扩展性 (24) 6.8档案管理平台综合业务管理 (24) 7.公司简介 (24)
数据中心空调系统节能技术白皮书目录 1. 自然冷却节能应用 3 概述 3 直接自然冷却 3 中国一些城市可用于直接自然冷却的气候数据: 8间接自然冷却 8 中国一些城市可用于间接自然冷却的气候数据: 16 2. 机房空调节能设计 17 动态部件 17 压缩机 17 风机 18 节流部件 19 加湿器 19 结构设计 21 冷冻水下送风机组超大面积盘管设计 21 DX型下送风机组高效后背板设计 22 控制节能 22
主备智能管理 22 EC风机转速控制 23 压差控制管理 23 冷水机组节能控制管理 26 1.自然冷却节能应用 概述 随着数据中心规模的不断扩大,服务器热密度的不断增大,数据中心的能耗在能源消耗中所占的比例不断增加。制冷系统在数据中心的能耗高达40%,而制冷系统中压缩机能耗的比例高达50%。因此将自然冷却技术引入到数据中心应用,可大幅降低制冷能耗。 自然冷却技术根据应用冷源的方式有可以分为直接自然冷却和间接自然冷却。直接自然冷却又称为新风自然冷却,直接利用室外低温冷风,作为冷源,引入室内,为数据中心提供免费的冷量;间接自然冷却,利用水(乙二醇水溶液)为媒介,用水泵作为动力,利用水的循环,将数据中心的热量带出到室外侧。 自然冷却技术科根据数据中心规模、所在地理位置、气候条件、周围环境、建筑结构等选择自然冷却方式。 直接自然冷却 直接自然冷却系统根据风箱的结构,一般可分为简易新风自然冷却新风系统和新风自然冷却系统。 简易新风直接自然冷却系统主要由普通下送风室内机组和新风自然冷却节能风帽模块组成。节能风帽配置有外部空气过滤器,过滤器上应装配有压差开关,并可以传递信号至控制器,当过滤器发生阻塞时,开关会提示过滤器报警。该节能风帽应具备新风阀及回风阀,可比例调节风阀开度,调节新风比例。 该系统根据检测到的室外温度、室内温度以及系统设定等控制自然冷却的启动与停止。
IP网络运维经管系统 为企业的网络和关键应用保驾护航 “网络预警”系统产品技术 白皮书
嘉锐世新科技(北京)有限公司 目录
1、概述 “网络”的迅速发展已经成为人们办公、日常生活中不可缺少的一部分,一旦网络出现问题将导致无法正常办公,甚至网站内容被篡改等将产生不良影响等。 网络机房,作为企业或政府“网络心脏”,网络机房的重要性越来越被信息部门重视,在以往的建设中网络中心领导注重外网的攻击,内网的经管等部分,设立防火墙,上网行为经管等设备保证网络的正常运行,往往忽视了网络运维中的网络预警。 预警,听到这个名词大多会理解为,消防、公安、天气、山体滑坡等,非专业人士很少人知道网络也可以“预警”,网络预警是建立在正常网络运行状态下所占用的网络带宽,CPU的使用率、温度,内存的使用率等,根据常规值设定阀值,一但产生大的变化超过阀值将产生报警,自动通知网络经管人员,及时准确的定位到某台设备、某个端口出现故障,网络经管人员免去繁琐的检查工作,一免影响网络的正常运行。 现在市场上以有众多的网络预警产品,各家都有相应的优缺点,我公司所提供的产品相比其他家的优势为: 1.专业硬件系统,没有纯软件产品的部署和维护烦恼;
集网络设备、服务器、应用系统监控经管、机房环境监控、内网流量分析经管于一身,不需单独投资各个系统; 2.网络日志服务子系统,可收集所有网络设备的运行log,易于查询,永久保存; 3.独创的集成VPN功能,轻松监控和经管远端局域网内的服务器; 4.监控历史记录、性能曲线、报表等非常详尽; 5.全中文web经管方式,智能式向导配置,更易于使用和符合国内网络经管人员使用习惯; 6.独创远程协助功能,轻松获取专业技术服务; 7.同比其它的国际品牌有较高的性价比。 2、“网络预警”产品结构及主要功能 “网络预警”系统由IP网络监控报警主系统和流量分析经管、VPN和防火墙、日志储存服务等多个子系统组成。 系统以实用设计为原则,运行于安全可靠的Linux操作系统,采用多层高性能架构设计,可经管上万个监控对象。采用中文WEB架构,全面支持SNMP、WMI 和IPMI协议,提供昂贵的高端网管产品才具有的丰富功能,操作简单,是追求实用和高性价比的企业用户、政府、事业单位以及IDC服务提供商为用户提供增值服务的首选产品。 IP网络监控预警主系统
终端安全配置管理系统 技术白皮书 国家信息中心
目录 第一章终端安全配置管理系统简介 (1) 1.1 为什么要做终端安全配置 (1) 1.2 机构如何实现机构高效的终端安全配置管理 (2) 1.3 终端安全配置管理系统技术优势 (3) 第二章终端安全配置管理系统逻辑结构 (5) 第三章终端安全配置管理系统功能 (7) 第四章终端安全配置基线介绍 (9) 4.1 基线概述 (9) 4.2 终端硬件安全配置 (9) 4.3 终端软件安全配置 (10) 4.4 终端核心安全配置 (11) 第五章系统应用方案 (14) 5.1 应用架构 (14) 5.2 实施流程 (16) 5.3 运行环境要求 (16) 第六章技术支持服务 (18) 附录一W INDOW7操作系统安全配置清单(示例) (19) 附录二国家信息中心简介 (24) i
第一章终端安全配置管理系统简介 1.1 为什么要做终端安全配置 在构成信息系统的网络、服务器和终端三要素中,对终端的攻击和利用终端实施的窃密事件急剧增多,终端安全问题日益突显。攻击和窃密是终端安全的外部原因,计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用,内因是决定因素。据调查,针对系统核心的攻击中,5%是零日攻击,30%是没有打补丁,65%是由于错误的配置。因此正确的安全配置才是保障终端安全性的必要条件。 计算机终端核心配置最早由美国联邦政府提出,称为联邦桌面核心配置计划(FDCC)。该计划由美国联邦预算管理办公室(OMB)负责推动,旨在提高美国联邦政府计算机终端的安全性,并实现计算机管理的统一化和标准化。美国空军最先实施桌面标准配置并取得了良好的应用效果。2007年,美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。 近年来,我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重要作用,对美国联邦政府实施的桌面核心配置进行了跟踪研究,并开展了我国终端安全配置标准的研制工作。多家科研院所和安全厂商参与了相关研究工作,其中,国家信息中心是国内最早开展终端安全配置研究的单位之一,目前已编制完成政务终端安全核心配置标准草案,并开发出一整套标准应用支撑工具—终端安全配置管理系统。该系统在各地方的试点应用取得了明显的成效。 终端安全配置分为硬件安全配置、软件安全配置和核心安全配置,如图1所示。分别介绍如下: 硬件安全配置:根据计算机硬件列装的安全要求,仅可安装符合规定的硬件和外联设备,关闭存在安全隐患的接口以及驱动,以满足政府机构和大型企业对硬件环境的安全需求。包括计算机部件清单、外联设备清单、外联接口安全配置和硬件驱动安全配置; 软件安全配置:根据计算机软件安装的安全要求,仅可安装符合规定的操作系统和软件,禁止非法软件安装,以满足政府机构和大型机构对软件环境的安全需求。包括应安装软件列表、可安装软件列表和禁止安装软件列表; 核心安全配置:对终端操作系统、办公软件和浏览器、邮件系统软件、其它常用软件等与安全有关的可选项进行参数设置,限制或禁止存在安全隐患或漏洞的功能,启用
实用标准文档 全渠道运营 解决方案 白皮书
目录 1. 背景 (3) 2. 现状 (3) 3. 业务概述(核心业务场景介绍) (4) 4. 方案介绍(方案落地的方法论,体系组成的特点) (5) 5. 方案架构(产品组成图,总体架构,技术体系等) (8) 5.1 总体架构 (8) 5.2 产品组成 (8) 5.3 技术体系 (10) 6. 方案特性和价值 (12)
1. 背景 背景一:移动互联网环境下的消费行为模型转变 背景二:品牌企业运营模式及管理要求的转变 单纯以渠道批发为主的运营模式正在产生深刻变革,批发流通转向零售运营的格局正在进一步深化,从面对渠道到面对消费者,品牌企业需要更多的了解商品的销售情况,更好的收集需求,更好服务于最终用户。 背景三:全渠道运营模式被越来越多的企业重视并开始实施 企业变革加剧,线上线下融合进一步加强,全渠道运营模式被越来越多的企业重视并开始实施,企业泛渠道经营成为重要的销售抓手。 全渠道运营就是批发转零售的转型,即以商品为中心的批发运作流程转为以消费者为中心的零售运作流程。顾客决定着商品的设计与流动,决定着渠道的拓展,决定着品牌的定位与发展。 2. 现状 传统的分销零售系统就是为批发模式而生的,它无法承载现在要为消费者提供全方位服务的职能,同时库存无法在线下线上渠道自由共享流通,导致货品不能货通天下,无法快速去库存,消费者需要的商品无法迅速通过内部自由调拨满足消费者的及时需求,补单不能在有效时间内迅速生产并供给门店消费者。 随着技术和行业业务的不断发展,品牌企业的零售系统在建设、运营和管理等方面不断发展并走向成熟和完善,主要呈现以下发展趋势: 批发转零售,零售渠道融合,让品牌企业为渠道服务,为会员服务。 通过变革赢得消费者,提高效率,获得更高的盈利能力。 快速供应链,提升周转率,降低库存成本,提升资金盈利能力。 品牌企业提升自身管理能力,完善全渠道基础设施平台: 1. 向下管控能力更强。各个品牌公司定制开发或购买产品软件,通过无偿推广给自己 的渠道商使用软件,通过软件全面收集终端数据,为实时决策打下基础。通过零售系统的搭建,强化对渠道和终端的支持和管控。 传统消费模型(AIDMA ) 注意(A ) 兴趣(I ) 需求(D ) 记住(M ) 行动(A ) 移动互联网消费模型(SICAS ) 感知(S ) 兴趣(I ) 联系(C ) 行动(A ) 分享(S )
机房线路管理系统 -CVMS 一、当前现状 机房线路及设备管理现状 ?采用手工记录管理现有线缆标识、线路连接关系 ?缺乏统一的资料管理平台 ?网络物理线路查询困难 ?人员变更交接资料繁琐 ?缺乏规范的管理流程 ?无法清楚的了解网络设备的配置和资源使用状况 ?维护效率低,增加维护成本 为什么我们推出软件形式的机房线路管理系统? ?提高企业/政府/教育/金融IT管理部门的效 率 ?解脱繁琐的传统文档管理工序 ?迅速诊断和定位网络问题 ?提升内部安全性能 ?极为合理的投资成本 ?实现管理图形化和数字化 ?纯软件系统对线路及网络硬件没有任何不良影响 智邦(知微?)机房线路管理系统是对机房系统中设备的维护信息和连接信息进行图形化管理,把图形、数据和连接关系三种对象紧密的结合,为管理员提供一个直观、易用的图形化管理平台。
二、系统特点 CVMS 是一套专业的机房线路管理软件,通过创建“可视化数据库”,将信息和图形有机结合,能帮助企业更好地规划、管理和维护其物理网络、通信、视频、监控及布线基础设施。 基于B/S(浏览器/服务器)结构模型,客户端以浏览器的web 页面形式运行; 系统后台采用SQL Server数据库; 纯软件架构,不需要对现有的网络和硬件进行任何改动; 管理界面友好、精美、简单、功能强大、操作灵活; 可实行跨地域管理和分工管理; 数据和图形相结合; 图形定位快捷; 设备、线缆、终端链路关联处理; 文档、设备、线路连接统一管理,建立完整的技术管理平台; 通过操作日志、管理权限、角色管理来实现对操作人员的管理; 线缆线标的管理使您的管理能精确到每一根线缆; 通过派工单管理,规范机房线路系统的维护工作流程。 三、应用范围 广泛应用于政府、军队、金融、税务、烟草、交通、教育、医疗、能源、电信、广电、司法、电力等多个行业 四、功能模块 1.数据采集 该模块的主要功能是对整个项目的内容进行录入,建立项目数据库。 模块特点: 以目录树的形式自上而下对项目内容进行逐步录入 上传楼层或区域平面图,使每个端口或信息点都可以在楼层平面图上的准确物理位 置以闪烁的形式标明 由机柜信息自动生成机柜和设备模拟图,并确定设备在机柜中的位置 定义信息点、终端设备的类型和内容 建立设备之间的连接关系,生成链路关系模拟图 支持数据批量录入,支持多人同时分工录入 支持线缆线标的批量录入