HC行為監(jiān)管解決方案

1、H3C行為監(jiān)管解決方案本文主要針對當前復(fù)雜的網(wǎng)絡(luò)管理，介紹了H3C行為監(jiān)管的典型組網(wǎng)方案及其解決方案組件。1.行為監(jiān)管需求分析隨著現(xiàn)有互聯(lián)網(wǎng)的迅速發(fā)展，各種互聯(lián)網(wǎng)應(yīng)用的逐步豐富，各種應(yīng)用層出不窮，為我們的工作和生活帶來極大的便利。但是與此同時，這些應(yīng)用也帶來了一些負面影響。P2P下載、即時通訊、電子商務(wù)、網(wǎng)上證券交易、網(wǎng)絡(luò)游戲等多種業(yè)務(wù)共存，用戶行為越來越復(fù)雜和多樣，帶來了以下問題：以BT為代表的P2P應(yīng)用對現(xiàn)有網(wǎng)絡(luò)提出了挑戰(zhàn)，少量的P2P用戶占用了大量的網(wǎng)絡(luò)資源，不但對網(wǎng)絡(luò)的容量形成了壓力，更是對其他用戶合法應(yīng)用造成了嚴重影響。即時通訊、網(wǎng)上炒股、網(wǎng)上購物等上網(wǎng)行為雖然對帶寬的要求不高，不會

2、造成網(wǎng)絡(luò)堵塞，但是會使員工的工作效率下降， 正常工作任務(wù)無法及時完成。對非法網(wǎng)站的訪問容易感染病毒和蠕蟲，對網(wǎng)絡(luò)造成破壞；同時對一些不法網(wǎng)站的訪問也有可能造成政治上的問題。公安部第82號令要求能夠保存用戶上網(wǎng)記錄，并且記錄NAT前后的IP地址信息，進行用戶行為的審計。在這種情況下，對網(wǎng)絡(luò)的應(yīng)用進行深度的識別分析，并對這些應(yīng)用加以疏導(dǎo)和控制，同時對用戶行為進行監(jiān)管和審計成為必然，這將使得網(wǎng)絡(luò)資源得到合理的配置和優(yōu)化并保證了網(wǎng)絡(luò)的安全。2.H3C行為監(jiān)管解決方案典型組網(wǎng)2.1.解決方案總體描述H3C行為監(jiān)管解決方案由應(yīng)用控制網(wǎng)關(guān)和安全管理平臺組成。應(yīng)用控制網(wǎng)關(guān)有SecPath ACG盒式設(shè)備和Se

3、cBlade ACG插卡（應(yīng)用于H3C S75E/S95核心交換機）兩種產(chǎn)品形態(tài)，ACG可針對P2P/IM、網(wǎng)絡(luò)游戲、炒股、非法網(wǎng)站訪問等行為，進行精細化識別和控制，有效解決帶寬濫用、訪問非法網(wǎng)站感染病毒等問題；安全管理平臺有SecCenter硬件設(shè)備和ACG Manager管理軟件兩種產(chǎn)品形態(tài)，對應(yīng)用控制網(wǎng)關(guān)檢測出的網(wǎng)絡(luò)安全事件進行深入分析并輸出審計報告，同時收集防火墻發(fā)送的NAT日志，幫助管理員全面了解用戶行為和流量趨勢，為加強整網(wǎng)安全、滿足合規(guī)性要求提供決策依據(jù)。2.2.解決方案典型組網(wǎng)圖 圖12.3.解決方案關(guān)鍵規(guī)格通過對種類繁多的應(yīng)用協(xié)議進行模型化，分類進行識別，在模型化識

4、別的基礎(chǔ)上進行智能決策，從而準確識別多種應(yīng)用協(xié)議，包括P2P、IM、炒股應(yīng)用軟件、游戲以及其它如流媒體、WEB訪問、FTP下載、網(wǎng)絡(luò)管理等多種應(yīng)用協(xié)議。提供可擴展、可升級的應(yīng)用識別和行為識別能力 ?？梢詣討B(tài)的升級新的應(yīng)用及其行為實體的定義，并及時擴展新的應(yīng)用協(xié)議的分析模塊。2.3.1.ACG深度應(yīng)用識別ACG深度應(yīng)用識別技術(shù)的核心是H3C i-Ware軟件平臺的UAAE應(yīng)用控制感知引擎。它和i-Ware深度檢測引擎配合，智能高效識別網(wǎng)絡(luò)中的各種應(yīng)用協(xié)議及其行為。i-Ware應(yīng)用識別引擎（UAAE）為解決復(fù)雜的應(yīng)用識別需求，同時深入應(yīng)用發(fā)掘其內(nèi)容特征行為，尤其是攻擊行為，采用了一系列的自主研發(fā)技

5、術(shù)。它的整體架構(gòu)如圖2-1所示： 圖 2 i-Ware UAAE 架構(gòu)UAAE引擎對種類繁多的應(yīng)用協(xié)議進行模型化，分類進行識別，同時在模型化識別的基礎(chǔ)上進行智能決策；UAAE為在應(yīng)用中識別攻擊等特征行為，對重要的應(yīng)用協(xié)議進行數(shù)據(jù)解析，結(jié)合應(yīng)用對數(shù)據(jù)進行分類深度檢測，同時UAAE對深度檢測結(jié)果再次結(jié)合應(yīng)用環(huán)境進行分析；UAAE可以對應(yīng)用的數(shù)據(jù)特征進行有狀態(tài)的跟蹤，而不僅僅依據(jù)單個數(shù)據(jù)報文特征做出判決；UAAE內(nèi)置提供統(tǒng)一的定義語言，為i-Ware平臺可擴展、可升級的應(yīng)用識別和行為識別能力。2.3.2.用戶上網(wǎng)行為控制通過有狀態(tài)的特征狀態(tài)機可更精確的識別出多種P2P/IM等應(yīng)用類型，如B

6、itTorent、Thunder(迅雷)、eMule(電騾)、eDonkey(電驢)、Kugoo(酷狗)、Poco、KazaA、Napster、iMesh、Gnutella、FileTopia、DirectConnect、Tencent Download、PPLive Stream、PPStream、MSN、QQ、Yahoo Messenger、GTalk等等?？梢酝ㄟ^限流措施對P2P/IM業(yè)務(wù)帶寬進行限制，同時提供基于用戶、應(yīng)用、時間段、源/目的IP等豐富的業(yè)務(wù)流量統(tǒng)計信息。同時，采用先進的技術(shù)分析手段，全面分析網(wǎng)絡(luò)應(yīng)用的流量類型和流量流向趨勢，能對網(wǎng)絡(luò)多媒體、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)炒股等應(yīng)用進行識

7、別與控制，通過URL過濾、關(guān)鍵字過濾、內(nèi)容過濾等多種Internet訪問控制策略，規(guī)范內(nèi)網(wǎng)用戶上網(wǎng)行為。支持的主要應(yīng)用類型包括：應(yīng)用類型說明P2P監(jiān)控BitTorrent、eMule、Kugoo、Thunder（迅雷）、Tencent Download、PPLive Stream、PPStream 即時通訊MSN、QQ、Google Talk、Yahoo Messenger炒股軟件Big Wisdom （大智慧） 、Straight Flush（同花順）游戲World of Warcraft（魔獸世界）、Globallink其它流媒體、WEB訪問、FTP下載、網(wǎng)絡(luò)管理2.3.3.應(yīng)用流量分析根

8、據(jù)ACG上報的流量信息，安全管理平臺進行應(yīng)用流量分析，通過對用戶、時間、協(xié)議、IP地址、端口的縱深分析，提供基于應(yīng)用協(xié)議的流量趨勢、詳細數(shù)據(jù)、使用排名等信息并生成分析報告，為管理員進行流量管理提供有力依據(jù) 圖3 圖42.3.4.用戶行為審計安全管理平臺收集ACG記錄的用戶應(yīng)用訪問信息和防火墻發(fā)送的NAT日志，對HTTP、Email、FTP、IM等行為進行分析，記錄網(wǎng)頁域名、地址、郵件收發(fā)人、主題、附件名、FTP上傳下載文件等內(nèi)容，實時輸出用戶行為審計報告，滿足公安部第82號令要求。當發(fā)生安全事故后，可以根據(jù)記錄的信息對用戶既往行為進行分析和追根朔源，對潛在的破壞者可起到威懾

9、作用。  圖5 圖63.解決方案組件介紹3.1.SecPath/SecBlade ACG系列產(chǎn)品ACG（Application Control Gateway）是H3C公司面向大中型企業(yè)、教育、政府等用戶推出的應(yīng)用控制網(wǎng)關(guān)產(chǎn)品。根據(jù)對性能的不同要求，分別開發(fā)了SecPath ACG2000-M盒式設(shè)備、SecBlade插卡和ACG8800-S3高性能電信級產(chǎn)品。ACG盒式設(shè)備及SecBlade插卡基于新一代的多核處理器硬件平臺,產(chǎn)品提供搞性能深度應(yīng)用檢測、流量統(tǒng)計以及基于用戶和應(yīng)用的帶寬控制能力。設(shè)備支持分布式部署和集中管理，可靈活擴展。通過基于瀏覽器的管理界面，

10、管理員可以快速熟悉系統(tǒng)的操作管理。3.2.安全管理平臺安全管理平臺包括SecCenter A1000硬件管理設(shè)備和ACG Manager軟件產(chǎn)品，兩種產(chǎn)品形態(tài)可以任選其一，在行為監(jiān)管解決方案中功能完全相同。SecCenter/ACG Manager具有以下主要功能可對ACG產(chǎn)品進行圖形化集中配置，并可針對不同用戶定制不同的安全策略；收集ACG發(fā)送的的用戶應(yīng)用訪問信息，實時輸出審計報告。當發(fā)生安全事故后，可以根據(jù)記錄的信息對用戶既往行為進行分析和追根朔源，對潛在的破壞者可起到威懾作用。4.H3C行為監(jiān)管解決方案技術(shù)特點4.1.最全面的協(xié)議識別種類基于H3C特有的H3C協(xié)議特征簽名技術(shù)，全面識別B

11、T、電驢、迅雷、MSN、QQ、Yahoo Messenger、PPLive等近百種P2P/IM應(yīng)用；能對網(wǎng)絡(luò)游戲、炒股等應(yīng)用進行識別與控制，控制非法應(yīng)用；通過URL過濾、關(guān)鍵字過濾等多種訪問控制策略，過濾非法網(wǎng)站，規(guī)范用戶上網(wǎng)行為。4.2.最易用的集中管理和策略下發(fā)支持圖形化策略配置，并可實現(xiàn)配置和策略的集中下發(fā)。4.3.最靈活的控制手段具有對應(yīng)用進行限流，阻斷，干擾，告警等多種控制手段。4.4.最豐富的產(chǎn)品形態(tài)產(chǎn)品形態(tài)豐富，除了盒式設(shè)備之外，具有H3C S95/S75E核心交換機中的SecBlade ACG模塊,便于管理，簡化網(wǎng)絡(luò)結(jié)構(gòu)，實現(xiàn)安全與網(wǎng)絡(luò)的深度融合。H3C用戶識別與管理技術(shù)白皮書

12、本文介紹了H3C用戶識別與管理技術(shù)的白皮書，通過RADIUS協(xié)議報文分析技術(shù)，i-Ware可以識別出用戶上線、下線過程，獲得用戶信息，從而可以基于用戶、用戶組進行用戶流量分析、控制。不需要改變現(xiàn)有組網(wǎng)，也不需要重新部署用戶認證方案。1  概述1.1  產(chǎn)生背景網(wǎng)絡(luò)應(yīng)用多種多樣，不斷涌現(xiàn)出新的應(yīng)用。新應(yīng)用的出現(xiàn)一方面方便了網(wǎng)絡(luò)用戶，另一方面對于網(wǎng)絡(luò)資源、企業(yè)的正常應(yīng)用造成了一定的沖擊。例如，隨著P2P下載、網(wǎng)絡(luò)電視、網(wǎng)絡(luò)電話的出現(xiàn)，豐富了人們的生活，同時也嚴重侵蝕著網(wǎng)絡(luò)帶寬，占用網(wǎng)絡(luò)連接資源，影響其他正常用戶對網(wǎng)絡(luò)的使用。例如，網(wǎng)絡(luò)電話的出現(xiàn)，使電信運營商的收入下降；P2P軟

13、件的使用嚴重占用了企業(yè)有限的網(wǎng)絡(luò)帶寬，影響了企業(yè)正常業(yè)務(wù)的運行；P2P軟件大量消耗網(wǎng)絡(luò)帶寬和連接資源，影響運營商的其他用戶，增加了運營商的維護成本和設(shè)備投資成本。因此，需要對一些可能影響其它用戶，以及對公共資源占用嚴重的應(yīng)用進行控制，保證企業(yè)正常業(yè)務(wù)的良好運行，以及運營商為用戶提供良好的服務(wù)保障。同時，運營商可以針對需要P2P服務(wù)的用戶提供有針對性的服務(wù)收費。對于寬帶接入來說，通常是采用動態(tài)分配用戶的IP地址，事先無法根據(jù)用戶的IP指定控制策略，在用戶上線后才能獲取到用戶名和用戶IP的對應(yīng)關(guān)系。事先只能根據(jù)用戶名和用戶組來配置控制策略。H3C通過用戶識別以及基于用戶的服務(wù)控制策略，實現(xiàn)了對寬帶

14、接入（xDSL、小區(qū)寬帶等），以及企業(yè)員工的服務(wù)控制。在已經(jīng)部署的組網(wǎng)中，不需要改變用戶的認證方案，只是將認證協(xié)議報文鏡像到設(shè)備上，通過對認證協(xié)議的分析，識別出用戶上線、下線行為，以及用戶名與用戶IP對應(yīng)關(guān)系等信息，實現(xiàn)基于用戶名、用戶組的服務(wù)控制。1.2  技術(shù)優(yōu)點H3C的用戶識別與管理技術(shù)具有以下優(yōu)點：支持在線模式、旁掛模式，部署方便。支持大用戶量，可支持同時在線6萬用戶。與用戶策略配合可實現(xiàn)用戶訪問的內(nèi)容審計、服務(wù)訪問控制、帶寬控制、連接數(shù)限制、VoIP控制、P2P控制等。支持豐富的報表。2  用戶識別技術(shù)2.1  概念介紹用戶識別，是通過對流經(jīng)設(shè)備的認證協(xié)

15、議報文進行分析，識別出用戶的用戶名、IP地址、用戶上線時間、下線時間等用戶信息。2.2  運行機制2.2.1  RADIUS協(xié)議RADIUS協(xié)議是IETF制定的用于遠程接入用戶的認證協(xié)議。支持用戶的認證、計費。該協(xié)議采用UDP作為傳輸協(xié)議。RADIUS協(xié)議認證中的角色分為接入用戶、接入控制設(shè)備（BAS）、認證服務(wù)器，接入用戶屬于被認證的實體。接入控制設(shè)備負責(zé)控制只有認證通過的用戶才能接入網(wǎng)絡(luò)，對于沒有認證的用戶，BAS負責(zé)將接入用戶的身份信息通過RADIUS協(xié)議發(fā)送給認證服務(wù)器對用戶進行認證，RADIUS協(xié)議在接入控制設(shè)備和RADIUS服務(wù)器之間。Radius協(xié)議是請求/響

16、應(yīng)模式。一個交互由一個請求報文和一個響應(yīng)報文組成。Radius的基本交互包括：認證：驗證用戶的身份信息，確定用戶是否可以訪問網(wǎng)絡(luò)。計費開始：對于需要計費的，在認證成功后進行進行計費開始交互。計費更新：定時進行計費更新交互，向服務(wù)器上報當前用戶的總流量。計費停止：用戶下線前，通知服務(wù)器停止計費。  圖1在RADIUS協(xié)議的Access-Request、Access-Accept、Acct_Request報文中，會攜帶用戶名、用戶IP屬性。2.2.2  動態(tài)用戶識別將與認證服務(wù)器交互的RADIUS報文通過鏡像的方式引到ACG設(shè)備，ACG設(shè)備對Access-Reques

17、t、Access-Accept、Acct_Request報文進行分析，得到用戶名和用戶IP的對應(yīng)關(guān)系，將其加入在線用戶列表中。在發(fā)現(xiàn)一個用戶的停止計費報文后，將用戶從在線列表中刪除。3  典型組網(wǎng)應(yīng)用3.1  旁路模式 圖2通過在交換機上配置報文鏡像將RADIUS協(xié)議報文，以及要控制的用戶流量鏡像到ACG設(shè)備上。ACG通過對RADIUS報文的識別，獲取到用戶與IP的對應(yīng)關(guān)系，并識別出用戶流量，根據(jù)配置的用戶策略對用戶流量進行控制。在旁路模式下，只能實現(xiàn)對用戶流量的干擾。3.2  在線模式 圖3通過在交換機上配置報文鏡像將RADIUS協(xié)議報文鏡像

18、到ACG設(shè)備上。ACG通過對RADIUS報文的識別，獲取到用戶與IP的對應(yīng)關(guān)系，并識別出用戶流量。根據(jù)配置的用戶策略對用戶流量進行控制。在線模式下，可以實現(xiàn)豐富的流量控制動作，比如：限速、阻斷、干擾等。H3C ACG系列產(chǎn)品技術(shù)白皮書本文詳細介紹了H3C ACG系列應(yīng)用控制網(wǎng)關(guān)深度業(yè)務(wù)識別、帶寬管理、VoIP監(jiān)控、共享接入監(jiān)控以及行為審計等主要技術(shù)，并介紹了H3C流量運營解決方案以及流量監(jiān)管解決方案。1  概述1.1  相關(guān)術(shù)語1.1.1  段（segment）段是在一個物理組網(wǎng)下對經(jīng)過ACG設(shè)備數(shù)據(jù)所做的一個邏輯劃分，通常是一對或者多對接口，或者包含VLAN I

19、D的接口數(shù)據(jù)流。ACG相關(guān)的業(yè)務(wù)都基于Segment進行配置。1.2  流量管理面臨的挑戰(zhàn)帶寬管理混亂以及流量運營艱難是流量管理現(xiàn)狀的寫照。帶寬資源嚴重不足、非法寬帶私接以及“地下”VoIP等是流量管理面臨的巨大挑戰(zhàn)。1.2.1  “地下”VoIP業(yè)務(wù)以Skype為例，現(xiàn)階段寬帶用戶正在大量使用skype進行國內(nèi)長途甚至是國際長途的語音服務(wù)，同時部分用戶還利用該技術(shù)進行非法的VoIP語音業(yè)務(wù)運營（如黑話吧），Skype作為分布式VoIP開始快速興起，給傳統(tǒng)電信帶來一股強烈的沖擊波，Skype的推出帶來如下問題：由于費用較低，使用Skype撥打長途電話和市話，給電信運營商帶來

20、話費損失；Skype通過其獨有的技術(shù)，穿透防火墻，占用網(wǎng)絡(luò)帶寬，同時由于數(shù)據(jù)是加密的，數(shù)據(jù)傳輸內(nèi)容不可控而可能帶來安全問題，特別是給大企業(yè)的網(wǎng)絡(luò)帶來安全問題。1.2.2  非法共享接入在寬帶用戶的發(fā)展過程中，終端用戶的接入手段靈活多樣，部分用戶可能以個人名義申請寬帶資源通過共享接入的方式進行牟利或者逃避費用，形成流量運營的收費盲點，給運營商以及校園網(wǎng)管理等帶來巨大損失。1.2.3  P2P應(yīng)用作為一種新的理念，P2P技術(shù)在一定程度上實現(xiàn)了IP網(wǎng)絡(luò)帶寬資源的合理分配，一些由于帶寬不足而未能大規(guī)模開展的業(yè)務(wù)，如視頻流媒體業(yè)務(wù)，有望得以規(guī)?；瘧?yīng)用，同時，現(xiàn)網(wǎng)上大量P2P應(yīng)用也在瘋

21、狂的搶占帶寬資源，有數(shù)據(jù)顯示在晚上高峰時段大約有90的流量為P2P應(yīng)用。1.2.4  IM類應(yīng)用據(jù)中國人才熱線的一次網(wǎng)絡(luò)調(diào)查顯示，涉及經(jīng)營管理、IT、市場營銷、財務(wù)金融、服務(wù)、行政和人力資源管理等不同行業(yè)的2000名被調(diào)查者中，僅在工作中使用MSN、QQ等聊天工具的比例高達89.2。IM類應(yīng)用極大的影響了企業(yè)員工的工作效率。1.3  ACG流量精細化管理解決方案目前的流量管理模式是基于帶寬的粗曠式管理，帶寬管理者對網(wǎng)絡(luò)上業(yè)務(wù)流量的類型及使用情況等知之甚少，無法實現(xiàn)流量的完全監(jiān)控和管理。H3C SecPath ACG應(yīng)用控制網(wǎng)關(guān)設(shè)備是H3C公司面向運營商、大中型企業(yè)、教育系統(tǒng)

22、開發(fā)的專業(yè)應(yīng)用控制網(wǎng)關(guān)設(shè)備，提供高性能2到7層的深度報文檢測、流量統(tǒng)計以及基于用戶和應(yīng)用的帶寬控制能力。為用戶提供精細化流量管理解決方案。2  深度應(yīng)用識別ACG深度應(yīng)用識別技術(shù)的核心是H3C i-Ware軟件平臺的UAAE應(yīng)用控制感知引擎。它和i-Ware深度檢測引擎配合，智能高效識別網(wǎng)絡(luò)中的各種應(yīng)用協(xié)議及其行為。i-Ware應(yīng)用識別引擎（UAAE）為解決復(fù)雜的應(yīng)用識別需求，同時深入應(yīng)用發(fā)掘其內(nèi)容特征行為，尤其是攻擊行為，采用了一系列的自主研發(fā)技術(shù)。它的整體架構(gòu)如圖1所示： 圖1i-Ware UAAE 架構(gòu)UAAE引擎對種類繁多的應(yīng)用協(xié)議進行模型化，分類進行識別，同時在模

23、型化識別的基礎(chǔ)上進行智能決策；UAAE為在應(yīng)用中識別攻擊等特征行為，對重要的應(yīng)用協(xié)議進行數(shù)據(jù)解析，結(jié)合應(yīng)用對數(shù)據(jù)進行分類深度檢測，同時UAAE對深度檢測結(jié)果再次結(jié)合應(yīng)用環(huán)境進行分析；UAAE可以對應(yīng)用的數(shù)據(jù)特征進行有狀態(tài)的跟蹤，而不僅僅依據(jù)單個數(shù)據(jù)報文特征做出判決；UAAE內(nèi)置提供統(tǒng)一的定義語言，為i-Ware平臺可擴展、可升級的應(yīng)用識別和行為識別能力。深度應(yīng)用識別具體技術(shù)說明請參考H3C 應(yīng)用識別技術(shù)白皮書。2.2  Skype協(xié)議識別技術(shù)Skype作為第四代P2P的杰出代表，除了具備第三代P2P應(yīng)用的集中和分布式網(wǎng)絡(luò)體系結(jié)構(gòu)外，還采用了動態(tài)選擇端口方法、多協(xié)議并用方式進行連接，從

24、而達到健全Skype通訊網(wǎng)絡(luò)的目的。ACG P2P應(yīng)用識別技術(shù)在深入理解P2P協(xié)議模型基礎(chǔ)上，以及針對Skype協(xié)議進行逆項工程深度分析和跟蹤調(diào)試，獨創(chuàng)性的建立了針對P2P協(xié)議識別通用模型。該模型針對通訊數(shù)據(jù)綜合采用特征匹配（其特征可以是固定的特征、或者是雙方的交互行為特征或者是流量統(tǒng)計特征）、標識連接、發(fā)現(xiàn)節(jié)點、并根據(jù)與該節(jié)點的行為交互從而識別更多的連接，由于是基于節(jié)點以及基于統(tǒng)計規(guī)律來識別Skype協(xié)議，在保證性能的同時，也提高了協(xié)議識別的準確性。 Skype協(xié)議識別技術(shù)詳細說明請參考H3C Skype協(xié)議控制技術(shù)白皮書。2.3  P2P/IM類應(yīng)用識別技術(shù)P2P類應(yīng)用的特點是單

25、個IP的連接數(shù)較多，每個連接的端口號不固定，每個連接的數(shù)據(jù)包包長且速率較大，ACG在深入理解P2P協(xié)議模型基礎(chǔ)上，建立了針對P2P協(xié)議識別通用模型。ACG識別的應(yīng)用協(xié)議及軟件客戶端，國內(nèi)常見的部分如下：協(xié)議客戶端BitTorrent比特彗星(Bitcomet)比特精靈(Bitspirit)Thunder（迅雷）迅雷客戶端WEB迅雷eMuleeMule VeryCDVagaaVagaa 哇嘎“畫”時代脫兔脫兔多進程下載網(wǎng)際快車騰訊超級旋風(fēng)網(wǎng)絡(luò)螞蟻酷狗酷狗網(wǎng)絡(luò)電視PPLivePPStream3  流量控制傳統(tǒng)帶寬管理模型中都以一個接口上的轉(zhuǎn)發(fā)流量為核心，即對進入同一個接口的流量按照不同的

26、流量等級分配不同的帶寬，對接口帶寬采用的是一種扁平化的帶寬管理方法 。近來出現(xiàn)了一種層次化的帶寬管理技術(shù)應(yīng)用于路由器和交換機產(chǎn)品，但這種新技術(shù)由于受限于產(chǎn)品形態(tài)、組網(wǎng)方式和業(yè)務(wù)模型，一般只能提供兩個層次的帶寬管理，例如用戶層或應(yīng)用層，即在同一個接口上區(qū)分不同用戶分配帶寬，然后在此用戶的帶寬范圍內(nèi)為不同應(yīng)用分配不同的帶寬，不能進行更多層次的、更細粒度的帶寬管理。利用被廣泛采用的數(shù)據(jù)包深層掃描（DPI）的技術(shù)，已經(jīng)能夠檢測出報文所屬的L7應(yīng)用協(xié)議以及L7內(nèi)容特征，但是基于TCP或UDP的應(yīng)用層協(xié)議繁多，應(yīng)用協(xié)議經(jīng)過整理后，甚至可以達到成百上千種，用戶如果仍然基于應(yīng)用層協(xié)議對流量進行管理，是非常困難的 。ACG帶寬控制技術(shù)是面向IT服務(wù)的流量管理，實現(xiàn)了網(wǎng)絡(luò)與系統(tǒng)的高效管理，使管理更加靈活、可用性更高。它能夠基于不同的分段、不同的用戶以及IT服務(wù)等應(yīng)用不同的帶寬策略，達到細分流量管理的目的。ACG流量控制技術(shù)詳細說明請參考H3C 帶寬管理技術(shù)白皮書。4