1、項 目 技術方 案與創(chuàng) 新性、工程的技術原理工程的技術原理1、技術依托本工程產品的研發(fā)是在本公司研發(fā)團隊在綜合比擬國內外相關產品技術情況的根底上,充 分借鑒國內外先進技術成果,并緊跟技術開展趨勢而開發(fā)的具有自主知識產權的產品,該工程3國內外的立項依托了： 1國內外同類的產品先進技術；2國內外相關技術成果；相關論文及專利.具體參考了以下材料：123456789孫瑋,無線充電,經濟學人,2021馬勇,無線充電,龍源電子期刊,2021魏坤、王衛(wèi)潔,自制無線充電器,無線電,2021王傳亮,無線充電技術簡介及其監(jiān)管機制思考,人民郵電出版社,黃潔琳,無線充電器設計,山西電子技術,2021郭言平,無線充電的

2、關鍵技術和研究,合肥學院學報,20212021白旭,基于無線充電的無線傳感網 LEACHT法改良,武漢理工大學學報, 肖志堅,關于便攜式電子設備新型無線充電系統(tǒng)的研究,自動化技術和應用,郭言平,無線充電技術持續(xù)開展,數字通訊,20212021200710洪枚,無線充電-未來的充電模式,電動自行車, 202111謝利濤,無線充電技術及其應用,河南科技, 202112劉陽春,無線充電設備 WILD CHARGE電世界,202113韓霜,無線充電,開啟移動設備充電新紀元,世界電子元器件,202114大秋,無線充電解決方案,軍民兩用技術與產品,20212、技術原理s工程總體技術原理網絡流量限制與應用優(yōu)

3、化產品可以限制網絡中s所有網絡應用和優(yōu)化網絡中的關鍵業(yè)務,能在復雜的網絡環(huán)境中,限制不同的業(yè)務流走不同的通道,關鍵的業(yè)務走可靠的通道并保證服 務質量,并且在網絡擁塞的情況下,動態(tài)調整數據傳輸,使得網絡資源得以優(yōu)化運用.本工程正是基于這種思想而實施的,其操作系統(tǒng)體系構架框圖如下：其產品功能實現的具體步驟為：第一步：對網絡報文進行流限制,分類到每個session議號、源端口、目的端口五元組,為每個第二步：對報文進行應用層協(xié)議識別,session 的 key.數據展現模塊中,即：根據源IP、目的IP、協(xié)A即用DPI技術,對應用層報文進行叱務的識別工作.通過這兩步可以將報文根寸戶、應用和業(yè)務進行分類,

4、利用網絡流量限制中的策略1用戶、應用、vlan、時間等條件進行流量的治理.再次通過B分工QoS來時帶寬的,化工作,主要包括限速和流量整形兩心分工作VW速見對不同類別的流量根據用戶設置進行保產用了的六鍵注 口制非關鍵業(yè)務對網絡的影響；整形：為了讓網絡瓶頸的備翎赫務流量占用的帶寬,t的注入主干網,減少數據配的邊緣網關排隊等待時間,從而減少了邊緣網關緩存的大小據包的喪失率.整形能夠降步!朋展現,給用戶提供圖形化E以下為各模塊功1 $劇封:本模塊典g協(xié)議號、源林iP i保咪絡的穩(wěn)定性.最后流量統(tǒng)計和數也分方海冢疏夠泗!戶對自己的網絡完全了解.f IQI_ip協(xié)議規(guī)QoS流量U限制模塊口匚二二江IP報根

5、扼械IpTW笑抵拗J傳播方向,我麗用RBTree支術將五元組相同的報文歸屬于同一個流的報文,利用Session將這些報文聯系起來,為數據分流提供依據.(2) DPI協(xié)議識別模塊本模塊利用深度數據包檢測DPI技術,DPI技術在分析包頭的根底上,增加了對應用層的分析,是一種基于應用層的流量檢測和限制技術,當 IP數據包、TCP或UDP數據流經過基于 DPI技術的網絡設備時,DPI引擎通過深入讀取IP包載荷的內容來對 OSI 7層協(xié)議中的應用層信息進行重組,從識別出IP包的應用層協(xié)議.這是通過對一系列數據包的包頭以及負載中的簽名/I征(Signature)進行分析,同時 DPI提供了對網絡的利用率的

6、分析,為網絡性能優(yōu)化提 供了手段.例如下列圖,顯示了一個數據包的結構；如果只是通過常見的HTTP應用簽名特征進行判斷,就很容易將它誤判為一個Web訪問的應用.由于如果我們只觀察第一個簽名特征樣本(例如HTTP/),那么它看上去很像是一個標準的HTTP協(xié)議.然而通過對數據包的負載局部的進一步深入考察,我們發(fā)現了該數據包具有的第二個代碼樣本簽名特征,即KaZaA這樣我們就能夠了解這個數據包的真實身份和目的.有時候,不同的代碼樣本簽名特征是分散在一次協(xié)議會話 的多個數據包之中的.為了能夠準確的對應用進行識別,就必須使用精密的第7層協(xié)議偵測系統(tǒng)對往來的數據包進行分析,從而實現與應用代碼樣本匹配.(3)

7、 策略限制模塊本模塊利用多維樹算法實現了內置靈活的、高效的應用層防火墻策略限制方法.應用層 防火墻通過將傳統(tǒng)防火墻的訪問限制策略深化到應用層面,治理員可以實現基于應用優(yōu)先級、 源IP地址、目標IP地址、VLAN時間段、協(xié)議或協(xié)議組、動作、會話數、帶寬的進出通道等 靈活的帶寬流量限制和應用優(yōu)化功能,治理員可以根據上述參數對網絡流量進行劃分,并確定 如何有效、合理地進行帶寬的治理與限制.(4) QoS流量限制模塊本模塊采用令牌桶(tocken bucket) 機制實現的一種流量限制方法.帶寬限制和應用優(yōu)化 系統(tǒng)使用的流量整形對 CAR 中需要丟棄的報文進行緩存一一當令牌桶中的令牌少到報文不能發(fā) 送

8、時,報文將被緩存入流量整形隊列中.當流量整形隊列中有報文的時候,流量整形按一定的 周期從隊列中取出報文來發(fā)送,每次發(fā)送都會與令牌桶中的令牌數作比擬,直到令牌桶總的令 牌數減少到隊列中的報文不能再發(fā)送或者是隊列中的報文全部發(fā)送完畢為止.該產品使用的帶寬流量治理和分配算法,提供自定義的虛擬帶寬通道、最大帶寬限制、保 證帶寬、帶寬租借、 Per-IP帶寬限制、Vlan帶寬限制、時間、應用優(yōu)先級以及隨機公平隊列 等一系列的應用優(yōu)化和帶寬治理限制功能.強大的應用層優(yōu)化策略將網絡帶寬的治理從被動 的、消極的、無效的傳統(tǒng)模式提升到主動的、有效的、智能化的帶寬治理效勞,最終到達保證 關鍵應用正常運行的目標,有

9、效地提升用戶網絡的運維、治理水平.基于協(xié)議或應用組的帶寬保證和限制：流量限制和應用優(yōu)化系統(tǒng)支持組對象的配置,如： 用戶可以自定義組(IP組)、協(xié)議組、時間組,方便用戶根據不同類型的應用、IP、時間等帶寬治理策略的限制.帶寬限制策略：流量限制和應用優(yōu)化系統(tǒng)基于源/目的IP、時間段、VLAN應用協(xié)議、進入/出去帶寬通道等參數治理和限制用戶的網絡帶寬流量.(5)統(tǒng)計分析和實時數據展現模塊統(tǒng)計分析模塊利用了 hash、樹、鏈表等算法的結合,能夠利用報文中IP信息,一次性定位到需要統(tǒng)計的單元數據中,實現高效的查詢統(tǒng)計功能.實時數據展現模塊采用應用實時系統(tǒng)(Application Real-Time An

10、alyzer System )實現網絡的可視化. ARAS采用Java Swing構架,提供了實時流量采集、分析和展現功能.本產品使用一套自主分析算法實現網絡信息的實時統(tǒng)計.基于對網絡報文的分析方法,即以網絡層分 析和傳輸層分析為根底,可以實現以IP、網段、端口、連接信息的實時統(tǒng)計和實時速率展現；基于以應用協(xié)議分析為根底,可以提供給用、應用組的各類實時報表.將多種分析方法相互結 合,可以展現出應用、應用組、網段、IP等相互組合的實時分析數據,通道流量、設備運行的實時數據,讓用戶可以全面的掌控網絡帶寬的使用情況,使網絡運行狀況、應用使用情況、帶 寬使用情況等完全可視化.二、工程國內外研究開發(fā)現狀

11、工程國內外研究開發(fā)現狀一、國內外技術開發(fā)總表達狀網絡數據流量監(jiān)控及優(yōu)化技術經過近幾年的開展,技術越來越成熟,已經到達實用的地步.目前,國內外已經有多種產品面世,但總體表現出國外產品質量、性能明顯優(yōu)于國內產品,高端市 場皿國外產品占據,國內生產廠家完全是低端品牌,一直處于弱勢地位.造成這種結果主要的原因在 于：國內外生產廠家對于技術的開發(fā)采取了完全不同的態(tài)度,國外廠家注重對相關技術的全面研究,注 重自主創(chuàng)新,因而始終處于技術開展前沿；反觀國內產品生產廠家很少重視技術研發(fā),主要采取的是技 術跟進、技術模仿和 OEMJ方式,因而產品質量、性能均無法與國外同類產品比擬.雖然國內一些公司做了很大的努力,

12、但在技術上仍然無法取得突破.1、國外技術現狀國外相關產品研究、開發(fā)、使用的時間相對較長,先后開展了幾代產品,有著豐富的研發(fā)和產業(yè)化 經驗,具有較高的技術水平,代表著行業(yè)技術開展的水平,引領著技術開展方向.目前,在網絡流控設 備行業(yè)中領先的有 ALLOT Sandvine等公司,他們生產的相關產品性能不錯,但價格很高、國內協(xié)議 識別率較低、用戶界面不太友好、功能偏少、難以調試,不太符合國內客戶的需求,另一方面,基于國 內信息平安的考慮,國外產品也受到了較大的限制.2、國內技術現狀我國研發(fā)、制造和使用網絡數據流量監(jiān)控及優(yōu)化產品的時間比擬短,其產品主要采用OE肥式生產,因而核心技術不能被自己所掌握,

13、產品質量和功能都比國外差,不能滿足眾多客戶的需求,只能應用于 要求不高的場合,因而無法得到眾多客戶的認可,無法實現大規(guī)模的市場銷售.目前,國內僅有北京網康科技和深圳深信服科技等幾家公司展開了相關的研究和 開發(fā),然而其技術水平還處于較低的階段,短時間無法取得技術上的突破,因而其產品質量和功能也無 法得到較大的提升,仍屬于低端產品,市場認可度也不高,因而市場表現不佳.3、技術開展趨勢國內外網絡數據流量監(jiān)控及優(yōu)化技術開展現狀說明,研究具有網絡資源利用率高、識別率高、處理 流量大的網絡流控治理與優(yōu)化產品是未來產品開展的方向,其所依托技術的主要算法也向著更加簡介、 快速、高效、適用范圍更廣、可靠性和穩(wěn)定

14、性都更高的方向開展,以便適應高速網絡開展的需求.二、本工程已有技術根底及現狀本工程技術是在充分比擬借鑒國內外相關技術的根底上提出來的,通過全體技術人員的協(xié)同攻關和創(chuàng)新而開發(fā)出來的,完全具有自主知識產權,產品到達國內領先、國際先進的技術水平見查新報告 目前公司申請了一項與本工程相關的軟件著作權,與之配套的相關技術算法根本解決.目前,該工程已經制造出樣品,正在做各項測試和改良,從各項數據的檢測結果和用戶試用的情況 來看,該產品質量可靠,可以滿足各種復雜條件下的網絡數據流量的監(jiān)控及網絡數據傳輸優(yōu)化,產品具 有智能化程度高、適應水平強、處理速度快、處理水平強等特點,產品質量到達并局部超過國外同類產 品

15、.三、工程主要內容及創(chuàng)新點1、工程主要內容及技術路線申報工程研究內容及涉及的關鍵技術及技術指標描述 1、本工程研發(fā)內容本工程旨在通過總結和借鑒目前國內相關產品技術的根底上,通過自我技術創(chuàng)新和技術改 造,設計開發(fā)一種基于流的源端限制技術的高帶寬利用率的網絡業(yè)務優(yōu)化平臺,實現對網絡數 據流量業(yè)務的綜合治理和優(yōu)化,滿足國內網絡客戶對高性能產品的需求.本工程研發(fā)的主要內 容有：(1)網絡報文解析技術的研究本工程是對網絡業(yè)務進行優(yōu)化,主要是研究對象是：網絡數據報文.網絡數據報文的根本 結構如下列圖：TCP/IP網絡上面的數據報文主要有,二層數據鏈路層信息、三層IP頭部信息、四層傳輸層協(xié)議信息和七層應用層

16、數據信息組成.通過我們的內核實現對報文的逐步解開,根據協(xié)議進行 分類處理.(2)網絡流建立技術研究為了對網絡數據報文進行完整的分析,由于本設備放在網絡的出口處,我們將報文的五個 關鍵域來表示每股網絡流量： 源IP地址 目的IP地址 4層協(xié)議號 TCP/UDP 源端口- TCP/UDP目的端口如果不同的IP報文中所有的五個關鍵域都匹配,那么這些IP報文都將被視為屬于同一股流量.程序實現的構架圖：(3)DPI協(xié)議識別技術研究DPI全稱為"Deep Packet Inspection ,即深度包檢測.所謂深度是和普通的L2-L4交換或路由器的報文分析層次相比擬而言的.DPI除了像對IP數據

17、包進行四層以下的分析之外,還增加了應用層特征分析,識別各種應用,甚至內容的識別.DPI識別實現模型：DPI技術能夠精細和準確識別網絡協(xié)議.不同的應用通常會采用不同的協(xié)議,而各種協(xié)議 都有其特殊的指紋,這些指紋可能是特定的端口、特定的字符串或者特定的Bit序列.基于特征字的識別技術,正是通過識別數據報文中的指紋信息來確定業(yè)務所承載的應用.根據具體檢 測方式的不同,基于特征字的識別技術又可細分為固定特征位置匹配、變動特征位置匹配和狀 態(tài)特征字匹配三種分支技術.通過對指紋信息的升級,基于特征字的識別技術可以方便的擴展 到對新協(xié)議的檢測.(4)DFI協(xié)議識別技術研究DFI(Deep/Dynamic F

18、low Inspection ,深度/動態(tài)流檢測)采用的是一種基于流量行為的應 用識別技術,即不同的應用類型表達在會話連接或數據流上的狀態(tài)各有不同.例如,網上IP語音流量表達在流狀態(tài)上的特征就非常明顯：RT航的包長相對固定,一般在 130220byte ,連接速率較低,為2084kbit/s ,同時會話持續(xù)時間也相對較長；而基于P2PF載應用的流量模型的特點為平均包長都在 450byte以上、下載時間長、連接速率高、首選傳輸層協(xié)議為TC噂.DFI技術正是基于這一系列流量的行為特征,建立流量特征模型,通過分析會話連接流的包長、 連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來與流量模型比照,從而實

19、現鑒別應用類型.根據會話連接流的包長、連接速率、傳輸字節(jié)、包和包的間隔時間等元素,建立數學模型.數據報文通過設備建立的模型,將DPI無法準確識別的流,進行第二次識別.這樣將加密的協(xié)議進行分類識別了.(5)QoS流限制技術的研究Qo流限制技術利用了 一個非常精確的調度程序.該調度程序決定某一特定時刻哪個流可 能發(fā)送數據包.發(fā)送完數據包后,系統(tǒng)將根據定義的策略和每個流已發(fā)送的數據包的數量來決 定哪個流將發(fā)送下一個數據包.在該數據包到達QoS模塊后,它將會檢查承諾的帶寬是否耗盡以及是否到達了最大界限. 如果承諾的帶寬沒有耗盡,那么將立即(沒有延遲)傳輸數據包.如果已經到達了該流的最大界 限,那么數據

20、包將被放入到緩存中.否那么,該數據包將被放入到其流隊列中,并根據該流的優(yōu)先 級和可用帶寬來傳輸它.(6)網絡流量可視化技術研究使用一套自主分析算法實現網絡信息的實時統(tǒng)計,同時通過直觀的圖形、圖表展現出應用、應用組、網段、IP等相互組合的實時分析數據,通道流量、設備運行的實時數據,讓用戶可以 全面的掌控網絡帶寬的使用情況,使網絡運行狀況、應用使用情況、帶寬使用情況等完全可視 化.2、涉及的關鍵技術(1)利用REM建立流技術(2)DFA應用于DPI協(xié)議識別技術(3)網絡業(yè)務特征庫治理技術(4)DFI模型建立技術(5)DPI和DFI協(xié)議識別結合技術(6)ECBQ的流的網絡帶寬限制技術(7)Per I

21、P 的流限制技術和帶寬的公平分配技術(8)網絡業(yè)務流量可視化展現技術3、本工程主要解決的關鍵問題(1)網絡報文解析技術需要解決RFG的協(xié)議支持；(2)網絡流建立技術需要需要解決快速查找、插入和刪除Sessen信息的方法,快速確定流的服務方式等功能,使得設備能夠到達8G勺網絡吞吐量；(3)DPI協(xié)議識別技術需要解決準確、快速識別網絡應用、將網絡上的應用識別率廣和支持大部 分網絡應用；(4)DFI協(xié)議識別技術需要解決加密協(xié)議的識別,數學模型參數的準確性學習性的問題；(5)DPI協(xié)議識別和DFI協(xié)議識別結合技術需要解決準確識別和DFI模糊識別的分類的問題,使得網絡流量的識別率到達 90艱上；(6)Q

22、oS流限制技術需要解決準確的流的流控、流量限制的進度到達1KB和從流的源端限制技術到達93姒上的帶寬利用率；(7)實現網絡流量可視化技術需要,解決人性化的數據展現和準確的數據分析功能.4、技術路線描述：(1)工程生產方案由于本工程產品由軟件和硬件兩局部組成,其中硬件局部根本為成熟產品,可以很容易購 得,由上游廠商根據本公司的需求提供；軟件局部才是本工程產品的關鍵,它通常固化在設備 中,這局部由公司自主開發(fā)；因而本工程產品的生產將采取“硬件外購+軟件自主生產的方式進行.(2)技術路線a、理論模型的建立b、各功能模塊算法設計c、各功能模塊無縫對接d、在設備中固化入軟件e、系統(tǒng)配套試用調試f、產品功

23、能的完善和最終定型.(3)工程實現的系統(tǒng)的框架圖,內核實現數據展現模塊統(tǒng)計分析模技術創(chuàng)新DPI協(xié)議識別模塊ij1、DFA技術皮:用于I D |擎陟梃喇法主要使用正那么表達工機L局部憎假即勺fW僦海町產鼠 袪.曲碇立植FA的匹配限制:咂叫方-determingas%stic finite aWE變由OSOB 數1utomttO承較慢和難于維護等問題步而DFA弓博在任意時刻必定處于某個確定的狀態(tài),而(寸每一條正那么表達式一條條的匹配,因而存在匹配速JNFA引擎可能處于一組狀怒之中的2、工程創(chuàng)行點任何一個,所以,NFA引擎必須記錄所有的可能路徑(trace multiple possiblerOut

24、es throughthe NFA), NFA之所以能夠提供 Backtrack的功能,原因就在這里.從理論上說,如果我們不需要Backtrack ,或者僅僅需要很小級別的進行匹配,這樣能大大提升速度一-NFA由于不確定,所以限制比代價是,Backtrack ,完全可以從 NFA構造出等價的 DFA再DFA需要更多的空間.DFA要少,構造起來也比擬方便一點,但匹配速度較慢.而DFA依次匹配并記錄匹配過程中每個字符的位置,因此每個字符最多被匹配一次,其匹配速度比NFA要高許多.雖然要把正那么表達式先轉化為NFA再把NFA轉換為DFA其轉換時間相對要長,但是只需在匹配報文前對正那么表達式編譯一次,

25、因此匹配報文的總體時間要比NFA的匹配引擎快很多.但由于DFA的空間要求比擬高,因而限制了其技術的使用,始終不能實現商業(yè)化,目前該技術主要使用在一些表達式的集合匹配算法上面,例如：linux上grep命令和一些簡單的數據挖掘上面.針對這種情況,本公司技術團隊對DFA技術進行了改良、創(chuàng)新,對DFA節(jié)點進行最小化的處理,大大的較少了內存空間的使用,克服了單純使用DFA技術的缺點,首次實現了 DFA技術在DPI引擎上的應用,其技術具體實現過程為：首先將正那么表達式轉化到NFA將NFA的表達方式轉換成DFA最后將DFA進行最小化.其中 DFA最小化技術就是本工程最大的技術創(chuàng)新點 之一.DFA最小化技術

26、實現原理具體如下：有窮自動機分為確定的有窮自動機DFA和不確定的有窮自動機 NFA兩種.定義1DFA :一個確定的有窮自動機, M是一個五元組,M=( K, 2 , f , S , Z) ,其中:K 是一個有窮集,其元素稱為狀態(tài)；2 是一個有窮字母表,其元素稱為輸入符號； SCK,稱為初 態(tài);Z i K,是終態(tài)集；f是轉換函數,是 KX2-K上的映射,f(ki,a)=kj,(ki C K,kj C K)表示 狀態(tài)ki ,輸入符為a時,轉換為狀態(tài)kj.定義2無用狀態(tài)：從自動機的開始狀態(tài)出發(fā),任何輸入串也不能到達的那個狀態(tài)；或者從這個狀態(tài)沒有通路到達終態(tài)的狀態(tài).定義3等價狀態(tài)：如果說兩個狀態(tài)s和t

27、是等價的,應滿足如下條件:(a) 一致性條件：s和t必須同時為終態(tài)或為非終態(tài);(b)蔓延性條件：對于所有輸入符號, 狀態(tài)s和t必須轉 換到等價的狀態(tài)里.一個DFAM可以通過消除無用狀態(tài)和合并等價狀態(tài)而轉化為一個最小化的與之等價的 DFAM.該過程稱為 DFA的最小化.最小化的思想是在不改變DFA識別的語言的前提下,合并相應的結點,使合并后的DFA與合并前的DFA等效,而結點數目減少.但在實現上,采用是從合到分的方法.先從最精簡的結構出發(fā),即,整個系統(tǒng)就兩個集合, 所有的終態(tài)結點并為一個結點,所有的非綜態(tài)結點合并為一個結點.然后看這種劃分是否可行,如不可行,再分解出更多的集合.而合并可行的依據就

28、是集合 中的每個元素通過同一條弧到達同一個目標集合.如上圖,首先將所有的非綜態(tài)結點合并為I0 ,.將綜態(tài)結點合并為I1 .分別考察兩個集合.對于I0 ,通過0 弧,有如下跳轉：S0 ? S1 , S2 ? S1 , S1 ? S3.而S1 I0 ,S3 C I1 ,據此,S1和S0、S2要分開位于不同集合.現假定 I0= S0 ,S2 , I1= S3 ,S4 , I2 = S1 .考察 I0 ,同樣是通過 1 弧, 那么有如下跳轉：S0 ? S2 、S2 ? S4 ,而S2 I 0 ,S4 CI 1 .故,S2與S4分開.可以看出,只要 發(fā)現一條弧不滿足上述條件,就可以將其別離.并非要考察完

29、每條弧.再來考察I1 ,通過0弧可得：S3 ? S3 I1 , S4 ? S3 £ I1 .通過1弧可得： S3 ? S4 I1 , S3 ? S4 I1 .顯然,I1 不可再分.如此重復,直到每個集合Ii I=0,1,均不可再分為止.最小化后的狀態(tài)轉換圖如下：DFA應用于DPI技術易于理解、升級方便、維護簡單,是目前運用最有效的流量識別方法. 其主要優(yōu)點包括：準確性高、健壯性好、具有分類功能等.準確性高是由于該方法執(zhí)行精確特 征匹配,因此極少存在誤判問題.健壯性好是由于可以處理數據包喪失、重組等,因此能適應 如今復雜的網絡應用.具有分類功能是由于深層數據包檢測技術可以依據不同應用的

30、載荷特征 來準確分類各網絡應用,因此可以為實施流量監(jiān)管策略提供準確的信息.和DPI技術結合目前,在網絡數據流量限制與優(yōu)化的相關產品中,國內廠家大多采用DPI引擎技術,其主要通過源IP地址、目的IP地址、源端口、目的端口、會話信息以及對IP包中的荷載Payload 應用層數據深入分析,匹配應用協(xié)議的特征庫,可以探測和跟蹤動態(tài)端口分配的應用,能 夠識別變動端口的會話流,并能夠對使用同一端口的不同協(xié)議進行自動識別,從而可以做到基 于真正七層的協(xié)議或應用實現流量整形和帶寬限制,來優(yōu)化用戶的網絡和應用的可用性.但在實際網絡中,很多應用為了逃避 DPI的檢測來到達對網絡資源的占用；這些應用會對 報文進行加

31、密,特別是 P2P的應用,如：BT、eDonkey等都有加密的流量,這就造成了國內目 前產品普遍存在網絡識別率低的問題.針對這種情況,本公司技術團隊在總結DPI技術優(yōu)點的根底上,結合 DFI的優(yōu)點,提出了“DFI+DPI相結合的協(xié)議識別方法.DFI全稱為“ Deep Flow Inspection ,稱為深度流檢測.采用一種基于流量行為的應用識別技術,DFI技術的有力的補充了應用優(yōu)化過程中對加密流量的應用的識別.DFI技術基于一系列流量的行為特征,建立流量特征模型,通過分析會話連接 流的包長、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來與流量模型比照,從而實現鑒 別應用類型的目的.有了DFI

32、技術的強力補充,能夠保證正確識別加密傳輸的應用流量.該技術的使用,使得 DPI技術DFI技術相輔相成,從而保證應用螂除時脹湎噩誓、目前主流的各種網主蒯括效勞器聯2P區(qū)VoIP件、傀輸薄栽量企能耐核心應用域間的流量行為,并建立I'OW歌 DPs等I DFI技術為梭隧篁觸基于行為啟發(fā)式的技術,可以識別AL2-L7 植能分類引擎.結合是了對800多種"絡協(xié)議和、力幡網P和溺t偉密脅股軟議的識別應用特征字簽名及最終實現網絡傳輸的全面可視化.AL2 ,到“L7KAZAA KURO風、KUGOO FASTTRACK GNUTELlAnagaa SoUlSeekpoco IpiR超級旋R

33、EDONKEY中.GO PPDO4 IHlElElIllillEllIllIM 應用：MSN Yahoo、ICQ、AOL QQ YAHOO WEBIM IRC、XMP喈 10 多種主流軟件.Streaming 應用：QQlive、PPSTREAMPPLIVE、CCIPTV REALPAYERQUICKTIME MMSTVKOO RTSR TVANTS MYSEE FEIDIAN、KOOWO新浪直播等主流的視頻和流媒體應用.VoIP 協(xié)議：SIP、SKYPE RTP POLYCOMIRTC噂常用的 VoIP 應用協(xié)議.網絡游戲：QQ堂、QQ游戲、浩方對戰(zhàn)平臺、WOW聯眾游戲、DOOM3 YAHO

34、O-GAMEQUAKE-HALFLIF假設網絡游戲.炒股軟件：同花順、大智慧、招商證券、錢龍、分析家、安信證券、華泰證券、光大證券、 廣發(fā)證券、銀行證券、中銀國際證券、平安證券、聯合證券、證券之星、方正證券、國泰證券 等數十種炒股軟件.企業(yè)辦公、數據庫：HTTP FTP、SMTP POP3 IMAP、TELNET LOTUS-NOTESSQL SEVERORACLE HTTPS企業(yè)關鍵應用.同時,對于新協(xié)議我們提供特征碼的跟蹤,保證協(xié)議識別的準確性.另外,客戶可以自定 義本網絡中特有的協(xié)議,能夠針對客戶使用自己特有的特征碼,使得每個客戶都擁有一個高效 的、便捷的網絡環(huán)境.此技術為我們公司特有技

35、術,在DPI準確識別的根底上,對協(xié)議流量的特性進行建模,進一步實現對P2P流量的識別,我們的設備能夠到達95%勺網絡識別率,遠遠高于國內其他廠家80吐右的識別率.3、ECB或術的流控引擎目前,國內外的流控一般采用的是htb/cbq的算法來實現,此算法將端口分類多個子類,并在葉子才有最終的通道,結合使用令牌桶算法,實現流量的限制技術.但基于終端的產品流 控的設計思路,每個子類可以根據用戶或業(yè)務進行流控,無法實現用戶和業(yè)務復合的策略配置.針對這種情況,本公司提出了一個ECBQ的算法來實現,這套算法為本公司首創(chuàng),它既能夠實現的用戶或業(yè)務單獨策略,又能實現用戶和業(yè)務復合策略,即真正做到帶寬嵌套的算法.

36、 結合流的觀念,我們將帶寬限制方法是根據下行流量來限制上行流量的大小.即如果流的下行 流量將到達限制狀態(tài)時,此時將上行流量加于限制,這樣能夠限制下行流量的方法.ECBQ勺設計實現原理： 我們同網絡接口劃分出第一級 PIPE父通道,第二級的VC虛擬子通 道.所有的流量必須從 VC通道流出,PIPE主要是負責分類,在此根底上我們建立一中share共享通道,share共享通道將需要限制的多個 VC通道或多個PIPE通道共享一定的流量限制.ECB3I擎提供自定義 Pipe通道、自定義 VC通道、最大帶寬限制、帶寬租借、Per-IP帶寬限制、Share Rate Pool 帶寬限制、權重設置以及應用優(yōu)先

37、級等一系列的應用優(yōu)化和帶寬管 理限制功能.將網絡帶寬的治理從被動的、消極的、無效的傳統(tǒng)模式提升到主動的、有效的、 智能化的帶寬治理效勞,最終到達保證關鍵應用正常運行的目標,有效提升用戶網絡運維治理 的水平.網管人員可以根據需求,將假設干個Pipe 或者VQ放入一個Share Rate Pool中,并設置不同的權重,以到達多樣化的流量限制目的.Pipe 和 Pipe 之間可以建立 Share Rate Pool ;VC和VC之間可以建立 Share Rate Pool ,并且VC可以分屬不同的 Pipe;Pipe和VC之間,由于所屬級別不同,不能建立Share Rate Pool ;同一個Sha

38、re Rate Pool內的所有 Pipe 或者 VQ 的最大帶寬之和不大于Share RatePool的最大帶寬.如上圖所示,可以將 Pipe1內的VC2和VC3建立Share1 ;將Pipe2內的VC5和VC6建立 Share2;亦可跨越不同的 Pipe ,將Pipe1的VC1和Pipe2的VC4建立Share3 ;也可以將 Pipe1 和 Pipe2 建立 Share4.我們將每個流的流出/流入都進入了 VC中,我們提供一個數學模型,將流的帶寬能夠限制在源端.這樣我們大大的提升帶寬利用率,減少了網口外的設備負載,做到了真正的流量限制、帶寬的節(jié)約和帶寬的優(yōu)化.通過利用我們自創(chuàng)的算法,能夠到

39、達以下幾個優(yōu)點：(1)提升了設備的效率,大大節(jié)約了發(fā)送報文時的資源消耗,使得我們能夠開發(fā)到達更流量的設備；(2)對帶寬的限制精度上面,我們限制的精度到達小于1kb,比我們設計要求的1KB,國外的設備能夠限制在 1KB;(3)策略實現的靈活性,其他廠家有些測試無法實現的,利用此技術后完全能夠實現只要用戶想要實現的策略,我們就能夠配置實現；(4)流的帶寬能夠限制在源端,做到了真正的流量限制、帶寬的節(jié)約和帶寬的優(yōu)化,減少了網絡設備的負載；(5)帶寬利用率上面得到了大大提升,國內設備一般在 70吐右,國外的設備在85%左右,我們利用了 ecbq算法后能夠到達93%左右的帶寬利用率,遠遠高于國外同類產品

40、的水平；(6)由于是自己設計的算法,穩(wěn)定性和維護性強.4、虛擬端口限速算法創(chuàng)新在流量監(jiān)管技術的運用上,目前國內公司主要使用的CAR技術,其監(jiān)管原理如圖 1所示：?根據預設的匹配規(guī)那么先對報文進行分類,不符合匹配規(guī)那么的報文不需要經過令牌桶的處 理,直接發(fā)送；符合匹配規(guī)那么的報文,那么需要令牌桶進行處理.當桶中有足夠的令牌那么報文可 以被繼續(xù)發(fā)送下去,同時令牌桶中的令牌量按報文的長度做相應的減少；當令牌桶中的令牌缺乏時,報文將不能被發(fā)送,只有等到桶中生成了新的令牌,報文才可以發(fā)送.這就可以限制 報文的流量只能是小于等于令牌生成的速度,到達限制流量的目的.QoS技術盡管普遍使用,但絕大局部使用隊列

41、機制實現,只能通過丟棄已收到數據包的方式限制下載方向流量,從而導致下載方向帶寬的損失(多達35%),使得網絡帶寬資源依然不能得到最大利用,而且關鍵應用的帶寬保證也無法真正實現.針對這種情況,本公司采用的新令牌桶算法,并分別將其應用于 通用流量整形和端口限速,其具體實現如下：(1)在流量整形中的應用通用流量整形中(GTS)(如圖2所示)與CAR的原理稍有差異：第一 ,GTS只用于出方向流 量限速,CAR出入方向均可以,但一般多用于入方向；第二,利用CAR進行報文流量限制時,對超過速率限制的報文直接丟棄,而GTSIJ是對超過速率限制的報文進行緩沖即當令牌桶的令牌少到報文不能再發(fā)送時,報文將被緩存入

42、隊列,等有了足夠的令牌之后再發(fā)送,這樣就減 少了報文的丟棄,但是要注意的是,如果緩存隊列已滿,這時到達的報文仍舊會被丟棄.(2)在虛擬端口限速中的應用端口限速(LR)(如圖3所示)也用于出方向,但不同于 GTS的是：第一,GTS與CAR是在IP 層實現的,所以對于不經過 IP層處理的報文不起作用,而 LR IJ能夠限制在物理接口上通過 的所有報文；第二,LR不但能夠對超過流量限制的報文進行緩存,并且可以利用QoS豐富的隊列如優(yōu)先級隊列(PQ)、自定義隊列(CQ)、加權公平對列(WFQ殍來緩存報文.我們利用此算法后能夠讓網絡的帶寬利用率到達93艱上,遠遠超過國外同類產品85%更用率,真正實現了關

43、鍵應用的帶寬保證.5、網絡完全可視化在網絡可視化也是本工程一大技術創(chuàng)新.目前,國內廠家利用的是內嵌在設備上的利用Web界面展現技術,對設備要求高,維護性差,展現出的數據不多,只能根據協(xié)議或用戶來展現, 因而不能完全實現網絡的完全可視化.針對這種情況,本公司采用了采用應用實時系統(tǒng)(Application Real-Time AnalyzerSystem)實現網絡的可視化.ARA踩用Java Swing構架技術,提供了實時流量采集、分析和展現功能.基于對網絡報文的分析方法,即以網絡層分析和傳輸層分析為根底,可以實現以IP、網段、端口、連接信息的實時統(tǒng)計和實時速率展現；基于以應用協(xié)議分析為根底,可以

44、提供給 用、應用組的各類實時報表.將多種分析方法相互結合,可以展現出應用、應用組、網段、IP等相互組合的實時分析數據,通道流量、設備運行的實時數據,讓用戶可以全面的掌控網絡帶 寬的使用情況,使網絡運行狀況、應用使用情況、帶寬使用情況等完全可視化.應用組實時圖表：顯示整個網絡的應用組實時圖表(堆疊圖、柱狀圖、餅圖及表格),其中自定義的應用可以參加到任意默認分組中.應用實時圖表：顯示整個網絡的應用實時圖表(堆疊圖、柱狀圖、餅圖及表格).網段實時圖表：顯示整個網絡中的網段實時圖表.IP實時圖表：顯示整個網絡的IP實時圖表.應用組子應用實時圖表：顯示某個應用組下的子應用實時圖表.IP應用實時圖表：顯示

45、某個 IP的所有應用的實時圖表.IP應用組實時圖表：顯示某個IP的所有應用組的實時圖表.Session實時圖表：顯示某個 IP的某些應用的 Session列表.流量通道實時圖表：實時流量通道的流量情況.INT 口實時圖表：顯示INT 口上線流量、下行流量及總流量曲線.EXT口實時圖表：顯示 EXT口上線流量、下行流量及總流量曲線.在線IP數量實時圖表：顯示在線IP數量曲線.并發(fā)會話數實時圖表：顯示設備當前的并發(fā)會話數曲線.CPUJ用率實時圖表：顯示設備的CPUJ用率曲線.內存利用率實時圖表：顯示設備的內存利用率曲線.通過這一技術的應用, 使得本工程產品具有了對網絡整體情況的實時監(jiān)控,能給用戶方便、直觀的展現網絡的實時使用狀況,為用戶治理優(yōu)化網絡、網絡規(guī)劃提供了科學依據,有效解決 了帶寬的惡意使用的問題,從而有效提升了網絡的使用效率.同時,通過這一技術的應用可以實現數據展現的 ARAS系統(tǒng)和設備的別離,能夠獨立運行 在任何PC機上,做到功能獨立,且維護性好,同時增強了設備的穩(wěn)定性,提升了設備的使用