【正文】 監(jiān)控和分析，量化地了解當前網(wǎng)絡中各種應用流量所占的比例、以及各應用的流量各是多少，從而得知用戶的網(wǎng)絡最主要的用途是什么。 ? 帶寬 宏觀 管理 ： 限制每個用戶的上網(wǎng)帶寬，自動采取平均分配帶寬的優(yōu)化算法，確保帶寬資源分配的公平性和合理性；不同用戶組分配不同帶寬，即可輕松實現(xiàn)區(qū)分服務 。 ? 非法應用抑制： 有效控制各種應用所占帶寬 ， 保證關鍵應用，抑制不希望的應用 ， 如下圖所示，為 DCFS8800 流量控制策略加載前后 ， 迅雷 流量所占用的帶寬對比。 ? 內(nèi)網(wǎng)節(jié)點預警： 監(jiān)控內(nèi)網(wǎng)每個節(jié)點的實時出流量、實時入流量的大小，可用來判斷內(nèi)網(wǎng)節(jié)點是否存在攻擊行為、中病毒等問題。 如下圖 所示， 通過雙擊認為“有問題”的某臺主機的地址，可看該主機詳細會話情況。 ? 帶寬二級管理： 這是 DCFS 系列產(chǎn)品 的獨有的管道復用技術 ， 不僅可以針對每個用戶實現(xiàn)帶寬的管理，而且同時也可對不同種網(wǎng)絡應用協(xié)議進行帶寬管理。 （例如： 在限制每用戶的帶寬不超過 256K 的同時，還可以同時限制針對總體上限制 BT 的總帶寬不超過 10M） ?特色 應用跟蹤升級： 網(wǎng)絡應用的識別率高、針對中國本地特色應用能進行精確識別。國內(nèi)本地化應用識別強 ， 可識別 600 余種應用 ，對于新出現(xiàn)的應用，我們 提供對新的網(wǎng)絡應用識別的按需定制升級服務。 ?認證、流控聯(lián)動： DCFS 系列產(chǎn)品 是業(yè)界首個將 身份認證與流量整形 完美結合產(chǎn)品，支持用戶身份認證、帶寬授權、 靈活計費和用戶審計功能 ，與神州數(shù)碼 DCSM 認證中心配合， 實現(xiàn)了應用識別與用戶身份的聯(lián)動綁定，可將對網(wǎng)絡應用的阻斷、限制策略與用戶名、用戶組一一對應，實現(xiàn)個性化的上網(wǎng)服務。實際運營時，我們可以制定如下規(guī)則的用戶策略： 認 證用戶名 應用控制策略 計費策略 曹操 阻斷所有 P2P 應用 保障魔獸世界 256Kbps 帶寬 不限制其他帶寬 時長計費 劉備 限制迅雷為 1Mbps 帶寬 限制電驢為 512Kbps 帶寬 不限制其他帶寬 有限時長計費 孫權 保障不低于 2Mbps 的在線視頻帶寬 保障 skype 不低于 128Kbps 帶寬 流量計費 諸葛亮 上班時間保障大智慧 128Kbps 帶寬 包月計費 張飛 不限制任何應用，總帶寬不高于 2Mbps Cer 流量不計費 非 cer 流量包月計費 ?精兵簡政，優(yōu)化出口拓撲：由于 DCFS 產(chǎn)品結合了認證網(wǎng)關和流控網(wǎng)關的功能，網(wǎng)絡出口就不需要再額外串接網(wǎng)關型計費設備，避免了 過多的網(wǎng)絡設備在出口串接，形成故障點和帶寬瓶頸的問題。 、 網(wǎng)絡 出口綜合防御設計 綜合防御 ， 凈化出口 ， 安全接入多面手 ： 根據(jù)總體拓撲所示 ， 在流量管理與各 ISP 線路之間布置神州數(shù)碼 終結者多核超萬兆 安全網(wǎng)關。神州數(shù)碼 DCFW1800E10G 安全網(wǎng)關 專為萬兆位流量的網(wǎng)絡服務運營商 、超 大型校園網(wǎng) 、 數(shù)據(jù)中心等骨干網(wǎng)絡而設計 ,設備采用 16 核 64 位嵌入式 處理器和高速交換總線技術 （如下圖） ，實現(xiàn)了芯片級的 硬件加解 密 、 QoS 流量管理，避免了傳統(tǒng) ASIC 和 NP 安全系統(tǒng)新建連接能力和流量控制能力弱的弊病。 通過擴展 license，終結者安全網(wǎng)關還可以支持高達 1Gbps 的防病毒過濾，高達 8000 萬地址容量的 URL 過濾以及強大的 IPS 功能。 神州數(shù)碼終結者萬兆安全網(wǎng)關采用 多核處理器 架構 ，在實際工作中，每個核心可以在相對節(jié)能的方式下運行，犧牲單個核心的運算速度，但多顆核心協(xié)同處理任務，以達到性能倍增的目的。 校園網(wǎng)出口部署“終結者”后，整體效能提升如下： ? 多出口接駁游刃有余：高校校園網(wǎng)一般至少存在 3 個出口， 如教育網(wǎng)（帶寬 1G、 或 10G）、中國聯(lián)通（帶寬 100M、 200M）、中國電信（帶寬 100M、 200M） ， DCFW1800E10G 安全網(wǎng)關支持完善的鏈路負載均衡能力，根據(jù)各個出口的負荷壓力進行優(yōu)化分擔和鏈路備份。由于我國各大運營商之間存在嚴重的帶寬瓶頸，單一的負載均衡功能并不能有效提升用戶的上網(wǎng)質(zhì)量，不恰當?shù)呢撦d分擔策略反而會造成較大的網(wǎng)絡延遲（如將訪問電信網(wǎng)站的請求負載分擔到聯(lián)通出口），因此，神州數(shù)碼終結者安全網(wǎng)關內(nèi)置了強大的策略路由引擎，集成各大 ISP 路由表，可以實現(xiàn)智能路由選擇，在計費策略 允許的情況下，確保用戶通過最快路徑到達目的站點。 ? 高性能 NAT 迅捷如風：多出口的局面對出口設備的吞吐能力提出了嚴峻要求，而 NAT 則是這個環(huán)節(jié)的重中之中，據(jù)統(tǒng)計當網(wǎng)絡中在線用戶達到 1 萬時，新建連接大約為 17 萬，校園網(wǎng)由于有cer 線路存在，連接數(shù)略低于此水平，神州數(shù)碼 DCFW1800E10G 安全網(wǎng)關最高支持 1000 萬并發(fā)連接，每秒處理新建 TCP 連接超過 25 萬， UDP 新建連接超過 50 萬，完全能夠滿足這種大規(guī)模的校園網(wǎng)出口訪問環(huán)境。在實際部署時， cer 出口一般采用采用橋接或路由模式， inter 出口采用 NAT模式，對于不采用教育網(wǎng)地址的校園網(wǎng)環(huán)境， cer 出口也需要部署 NAT。由于目前公有地址資源緊張，很多高校不希望采用公網(wǎng)地址池的方式部署 NAT，針對這種需求，終結者安全網(wǎng)關支持完善的單地址 NAT 技術，通過神州數(shù)碼獨創(chuàng)的 6 元組復用技術，確保單地址的端口資源不被耗盡，保障了單地址 NAT 的正常運行，幫助學校有效節(jié)省公網(wǎng)地址。 ? 安全防護服務，隨需而動：面對與日俱增的校園網(wǎng)出口安全威脅， DCFW1800E10G“終結者”安全網(wǎng)關集成了全方位的安全防護手段， 支持吞吐 量高達 20Gbps 的狀態(tài)檢測安全過濾，有效 保護內(nèi)部服務器和用戶。目前很多校園網(wǎng)用戶因為訪問掛馬網(wǎng)頁或下載帶毒附件而中毒，“終結者”可支持高達 1Gbps 流量的防病毒過濾，通過升級 license，可集成卡巴斯基反病毒引擎（ 40 萬病毒庫），配置防病毒引擎后，用戶訪問掛馬網(wǎng)站、下載病毒附件都會被自動過濾，解決困擾校園網(wǎng)用戶已久的病從“口”入問題?！敖K結者”還可以通過 license 升級支持 IPS 功能，實現(xiàn)網(wǎng)絡出口的動態(tài)防御。病毒庫與 IPS 特征碼都可以通過神州數(shù)碼網(wǎng)站（ 校園網(wǎng)出口安全防護將隨需而動。 ? 封堵 IPv6 安全短板，無懈可擊：隨著 CNGI 一期、二期項目的實施，諸多高校建立的 IPv6校園網(wǎng)，擁有自己的 CERNET2 出口，但是對于 IPv6 出口的安全威脅防范卻僅僅局限于 IPv6 ACL，更有很多校園網(wǎng)呈現(xiàn)了 IPv4 出口層層設防， IPv6 出口大門洞開的現(xiàn)象，結果攻擊者“曲徑通幽”，通過 IPv6 網(wǎng)絡入侵校園，進而攻擊 IPv4 校園網(wǎng)，形成名副其實的“跨棧攻擊”。針對這種危機，神州數(shù)碼率先在“終結者”安全網(wǎng)關上開發(fā)了 IPv6 狀態(tài)檢測包過 濾功能，為 IPv6 校園網(wǎng)保駕護航。 、 校園網(wǎng) 輿情監(jiān)控設計 網(wǎng)絡輿情監(jiān)控 ， 建設和諧新校園 ： 在滿足了校園網(wǎng)出口基礎功能之后，我們還需要增加日志審計手段，達到公安部 82號令要求，豐富校園網(wǎng)輿情監(jiān)控手段。神州數(shù)碼 DCBINetLog 上網(wǎng)行為 日志系統(tǒng)就是針對這種需求應運而生。它可詳細 記錄 校園網(wǎng)內(nèi) 上網(wǎng)者訪問過哪些網(wǎng)站、訪問的 URL、源 /目的 IP、源 /目的端口、上網(wǎng)時間及流量等數(shù)據(jù)，從而提供了上網(wǎng)行為的安全審記數(shù)據(jù)源，并實現(xiàn)各種統(tǒng)計功能。 傳統(tǒng)意義的日志審計系統(tǒng)只能記錄源 IP 地址的訪問行為，而 DCBINETlog 系列產(chǎn)品可以與神州數(shù)碼認證計費系統(tǒng)DCBI3000或者安全管理平臺 DCSM聯(lián)動，將上網(wǎng)行為記錄 直接映射到上網(wǎng)者的用戶帳號， 這樣，就可以 根據(jù)用戶上網(wǎng)帳號更加準確 迅速 地定位到上網(wǎng)行為的責任人 。 ? 精準責任定位，拒絕 IP馬甲 ? 詳細行為記錄，日志面面俱到 ? 豐富統(tǒng)計報表，掌握輿情動態(tài) 、 IPv6 網(wǎng)絡 設計分析 、 IPv6 網(wǎng)絡接入 依照 CNGI的建議，推薦三種接入方式，如下圖所示： CNGI項目已經(jīng)建成了比較完善的 IPv6校園網(wǎng)，對于一些 非 CNGI建設院校，學校 可以通過圖示的三種方式任意一種與本省 CNGI核心節(jié)點院校 相連，接入 Cer2。推薦采用獨立光纖，以保障較高的網(wǎng)絡效率。 、 IPv6 組播部署 IPv6/IPv4 雙棧的組播過渡解決方案實際上是純 IPv4 組播網(wǎng)和純 IPv6 組播網(wǎng)兩者的疊加。單播中，可以將服務器配置成雙棧，以便純 IPv4 和純 IPv6的主機能夠輕松地訪問它。同樣，組播源也可以配置成雙棧，同時向 IPv4 組和 IPv6組發(fā)送數(shù)據(jù)流，使運行不同協(xié)議棧的所有主機都能接收組播報文。在雙棧網(wǎng)絡上 IPv4 和 IPv6組播可以同時 部署。 IPv4 和 IPv6 組播能同時運行在路由器和主機上，并且能同時存在于同一網(wǎng)絡鏈路；路由器也能同時成為 IPv4組和 IPv6組的匯聚點 (RP)。雙棧技術不需要額外的設備，也不需要對組播數(shù)據(jù)做額外的轉換。因此，是最容易實施的一種方案。適用于應用環(huán)境中不需要 IPv4主機與 IPv6主機之間進行通信的情況，如內(nèi)容分發(fā)。 組播服務已經(jīng)越來越多的用于各種連續(xù)性媒體服務，比如視頻會議、遠程教學、分布式計算、P2P 游戲等，它傳輸一個數(shù)據(jù)報到屬于同一個組播組的多個接受成員，與一到一的單播和一到多的廣播有很大的不同，組播更具有 普遍性，即多到多。組播利用生成樹的優(yōu)勢，使得網(wǎng)絡僅在必要時于分支處復制數(shù)據(jù)報，在網(wǎng)絡負載和資源利用上相比傳統(tǒng)的傳輸有更好的改進。 IPv6是下一代互聯(lián)網(wǎng)的核心，所有的 IPv6主機都支持組播且不需要進行地址轉換。組播的應用可以節(jié)省大量的網(wǎng)絡帶寬，使得視頻會議、網(wǎng)絡電視等應用能更好的發(fā)展，對于寬帶網(wǎng)絡用戶而言具有重要的實際意義。 當支持新組播服務及應用的網(wǎng)絡設備不斷繁榮增長時， IPv6增加的地址空間就起到了非常關鍵的作用。 對 IPv4和 IPv6而言，支持組播的機制是通用的，但它們的不同之處不僅在于組成員地址空間，還有組成員管理、域控制及域間路由的不同。 總的來說， IPv6組播通信機制對開發(fā)節(jié)省帶寬、減少網(wǎng)絡擁塞的點到多點通信應用具有重要意義。 ? IPv6 PIM 解決方案 IPv6 PIM (IPv6 協(xié)議無關組播 )是指跟 IPv6 單播協(xié)議無關的 IPv6 組播技術，也就是指不管哪種單播路由 (IPv6 靜態(tài)單播路由、 RIPng、 OSPFv BGP4)學習到的單播路由， IPv6 PIM 都可以利用單播路由進行轉發(fā)，即 IPv6 PIM的轉發(fā)是需要利用 IPv6單播路由的，但是 IPv6 PIM 它不依賴于某個單播路由，所以它被稱為 IPv6協(xié)議無關組播。盡管我們稱呼 IPv6 PIM 為 IPv6組播路由協(xié)議，但是實際在利用 IPv6單播路由協(xié)議。 1) IPv6 PIMDM 解決方案 IPv6 PIMDM(IPv6 協(xié)議無關組播 密集模式 )是一種密集模式的 IPv6 協(xié)議無關組播，采用的是擴散與剪枝技術，即使用 “ 推 ” （ Push）模型，組播信息整網(wǎng)絡的擴散（ Flood），下游不想接收的話則剪枝（ Prune），是周期性地擴散、剪枝。主要被用于小范圍 IPv6組播網(wǎng)絡中。 如下圖所示：在匯聚層的 DCRS5950和核心層的 DCRS7600上均起 IPv6 PIMDM，第一跳 DR(即跟 IPv6組播服務器直接相連的 DCRS5950)收到 IPv6組播流量后即向下按周期性擴散，依次類推。IPv6 PIMDM 區(qū)域均支持 MLDv1/v2。 IPv6 PIMDM 一般推薦在組播服務器少，網(wǎng)絡拓撲簡單的小范圍內(nèi)使用。 IPv6 PIMDM 組網(wǎng)方案示意圖 2) IPv6 PIMSM 解決方案 IPv6 PIMSM(IPv6協(xié)議無關組播 稀疏模式 )不同于 IPv6 PIMDM，稀疏模式利用共享樹（ RPT），SM利用 pull的方式，而不是利用 Push的方式，即組播信息被拉入網(wǎng)絡中的接 收站點。因此， pull的方式假定組播不被需要，除非用一個顯示的加入機制來專門申請，否則組播信息不會被傳送到接收站點。而 DM僅僅在使用 Push 原理時利用 SPT來發(fā)送 (S,G)組播信息。 SM 是組播數(shù)據(jù)只發(fā)送到有需要的地方，并且都是顯示加入。 如下圖所示，在匯聚層的 DCRS5950上以及核心層的 DCRS7600/9800上均配置 IPv6 PIMSM，假定配置多個 CBSR，最終選出左側的 DCRS7600為 BSR，也假定配置多個 CRP，最終選出兩個 RP，針對組 (2021::1,ff1e::1)的 RP為 RP1，針對組 (2021::1,ff2e::1)的 RP為 RP2。組播服務器分別把自己的組信息通過注冊報文注冊到各自的 RP。下游的有加入的話，會把加入信息加入到對應組的 RP，然后轉發(fā)成 SPT樹。 IPv6 PIMSM 組網(wǎng)方案示意圖 3) IPv6 PIMSSM 解決方案 IPv6 PIMSSM(IPv6 源指定組播 )是針對源單一并且優(yōu)先級別較高的組播，和 MLDv2 配合使用，可以針對源