IP網(wǎng)監(jiān)控系統(tǒng)調(diào)研與建議--中國電信
《IP網(wǎng)監(jiān)控系統(tǒng)調(diào)研與建議--中國電信》由會員分享,可在線閱讀,更多相關(guān)《IP網(wǎng)監(jiān)控系統(tǒng)調(diào)研與建議--中國電信(70頁珍藏版)》請?jiān)谘b配圖網(wǎng)上搜索。
1 中國電信集團(tuán)廣州研究院 存在問題&后續(xù)計(jì)劃 4 目錄 技術(shù)現(xiàn)狀分析 2 系統(tǒng)部署建議 3 調(diào)研情況介紹 1 3 江蘇&廣東部署情況 江蘇省 在省出口,采用分光方式部署,可實(shí)現(xiàn)一拖 廣東省 未在全省統(tǒng)一部署流量監(jiān)控系統(tǒng) 功能模塊部署情況 一拖 圳、東莞分光方式部署了監(jiān)控系統(tǒng) 對專線用戶實(shí)施監(jiān)控 3. 購置了 12臺 “ 網(wǎng)絡(luò)尖兵 ” ,在全省其它地市之間機(jī)動部署 222地市,廣州、深圳、東莞、佛山基本實(shí)現(xiàn)全網(wǎng)監(jiān)控,其他 5個地市不同鏈路之間流動監(jiān)控 市 主要使用傲天、天訊、信通網(wǎng)聯(lián)的 流量統(tǒng)計(jì)分析 對個別用戶 (群 )進(jìn)行流量統(tǒng)計(jì)分析 4 江蘇電信監(jiān)控效果 ? 有效打擊了公眾客戶的私接和“黑網(wǎng)吧”現(xiàn)象以及“假接入,真互聯(lián)” ? 為江蘇省電信公司開展的“網(wǎng)絡(luò)護(hù)航”專項(xiàng)清理工作提供了保障 一拖 ? 通過忙時削峰的方式降低 ? 緩解了江蘇省出口鏈路帶寬資源緊張的現(xiàn)狀 天 15: 00至23: 00。 圖示鏈路在 15: 00的流量已超過 過調(diào)控,鏈路負(fù)荷由 94%降到 85%以下,效果顯著 0100000200000300000400000500000600000700000南京 蘇州 無錫 常州 鎮(zhèn)江 揚(yáng)州 南通 泰州 徐州 淮安 鹽城 連云港 宿遷3月 6月全省呼叫傳統(tǒng)電話網(wǎng) 6月比 3月下降了 53%,鎮(zhèn)江、泰州、徐州、淮安等分公司 5 江西?。Π不帐〔渴鹎闆r 江西省 安徽省 采用系統(tǒng) 信風(fēng)公司的 部署方式 省網(wǎng)出口,分光方式監(jiān)測 部署功能 一拖 N、 系統(tǒng)規(guī)模 對 4* 10實(shí)施效果 系統(tǒng)正在建設(shè)中,實(shí)際控制效果有待驗(yàn)證 系統(tǒng)于 前效果良好 系統(tǒng)投資 450萬 500萬 后續(xù)需求 針對性營銷提供數(shù)據(jù)基礎(chǔ)。 通過整合 /二次開發(fā)提供用戶行為分析數(shù)據(jù) 后續(xù)建設(shè)中,考慮部署 戶行為分析和廣告推送等模塊 6 湖北省部署情況 采用系統(tǒng) 信風(fēng)公司的 湖北電信下屬公司-綠色網(wǎng)絡(luò)信息公司 部署位置 省網(wǎng)出口,分光方式監(jiān)測 分別部署在武漢、襄樊、宜昌、黃岡、十堰等地的 0* 光方式監(jiān)測 部署功能 一拖 試用 ) 一拖 、 控、 、流量統(tǒng)計(jì)分析(部分功能) 系統(tǒng)規(guī)模 可對 6* 10可對上述城域網(wǎng)的大部分 實(shí)施效果 有效打擊一拖 一拖 法 系統(tǒng)投資 553萬 后續(xù)需求 希望提高監(jiān)控系統(tǒng)在城域網(wǎng)的覆蓋范圍 7 浙江省部署情況 采用系統(tǒng) 寬廣公司的產(chǎn)品 部署方式 未在全省統(tǒng)一部署,在部分城域網(wǎng)有部署(以某城域網(wǎng)為例) 部署功能 “一拖 N”監(jiān)控、非法 控和 系統(tǒng)規(guī)模 可對 6* 10實(shí)施效果 實(shí)現(xiàn)了 “ 一拖 N”監(jiān)測,并可對主流 系統(tǒng)投資 360萬 相關(guān)建議 目前的 戶行為分析和業(yè)務(wù)策略的有效耦合 建議通過標(biāo)準(zhǔn)接口引入 P,實(shí)現(xiàn)各種業(yè)務(wù)的響應(yīng)和靈活加載。 8 海南省部署情況 采用系統(tǒng) 寬廣電信公司的解決方案 部署方式 省網(wǎng)出口, 部署功能 非法 控、 可實(shí)現(xiàn)一拖 。 系統(tǒng)規(guī)模 可對 4* 實(shí)施效果 2統(tǒng)投資 目前系統(tǒng)使用是采用 “ 購買技術(shù)服務(wù) ” 的方式,未采用投資方式 存在困難 絡(luò)優(yōu)化改造等同步考慮,其部署難度和費(fèi)用都較高。 9 陜西省部署情況 采用系統(tǒng) 寬廣 上大雷克 - 網(wǎng)絡(luò)尖兵 部署方式 西安城域網(wǎng)匯接層上行鏈路,分光方式監(jiān)測 西安城域網(wǎng)出口鏈路,串接方式進(jìn)行流量控制 西安城域網(wǎng)出口鏈路 部署功能 一拖 系統(tǒng)規(guī)模 2* * 動部署 實(shí)施效果 有一定效果 正在試用 存在誤檢,目前只用于監(jiān)測 系統(tǒng)投資 40萬 不詳 10 其它運(yùn)營商部署情況 中國網(wǎng)通 監(jiān)控:山東、東北三省的大部分本地網(wǎng) 陽本地網(wǎng) 波網(wǎng)通信息港 爾濱網(wǎng)通 中國聯(lián)通 署在互聯(lián)互通出口、城域網(wǎng)出口和部分本地網(wǎng)匯聚路由器上聯(lián)出口 中國鐵通 署在互聯(lián)互通出口、城域網(wǎng)出口和部分本地網(wǎng)匯聚路由器上聯(lián)出口 英國電信 差異化服務(wù)和流量分析:部署在局部區(qū)域 法國電信 流量分析和內(nèi)容計(jì)費(fèi):試驗(yàn)性部署 韓國電信 部署在部分網(wǎng)絡(luò)出口 部署在網(wǎng)絡(luò)局部區(qū)域 11 各典型廠家情況 廠家名稱 公司規(guī)模 市場情況 產(chǎn)品情況 華為 該產(chǎn)品線研發(fā)團(tuán)隊(duì)共 200人 寧等占較大份額 光方式接入,實(shí)施流量監(jiān)控和統(tǒng)計(jì)分析 在 要實(shí)施流量控制 信風(fēng) 36人,注冊資金100萬 徽、湖北、江西電信等省出口部署 信風(fēng) 光方式接入,實(shí)施流量監(jiān)控和統(tǒng)計(jì)分析 傲天 200多人,注冊資金 600萬 傲天寬帶增值業(yè)務(wù)解決方案,分光方式接入,流量監(jiān)控和統(tǒng)計(jì)分析 寬廣 96人,注冊資金1500萬 南電信等部署 接方式實(shí)施應(yīng)用層流量控制 光方式接入,實(shí)施 光方式接入,進(jìn)行用戶行為分析 色列公司,全球283人,國內(nèi) 4人 通占有一定份額 行接入,對流量實(shí)施控制 內(nèi) 通有較大份額 行接入,對流量實(shí)施控制 國公司,全球140人,中國 5人 行接入,實(shí)施總體流量控制 12 所反映問題 流量識別效率 每種系統(tǒng)都存在一定的未識別流量,其中信風(fēng)系統(tǒng)的流量未識別率占 20% 數(shù)據(jù)單向采集 理論上,數(shù)據(jù)單向采集對識別精度會造成一定影響 若進(jìn)行雙向數(shù)據(jù)采集,硬件成本將翻倍 需要在識別精度與投資成本之間做平衡 技術(shù)支持力度 供解決方案的廠家大部分規(guī)模較小,系統(tǒng)支持能力和后續(xù)開發(fā)能力有待觀察 系統(tǒng)部署原則 各省市在解決方案選擇、部署方式和部署范圍等方面缺乏相應(yīng)規(guī)劃和原則,造成一定重復(fù)投資 13 存在問題&后續(xù)計(jì)劃 4 目錄 技術(shù)現(xiàn)狀分析 2 系統(tǒng)部署建議 3 調(diào)研情況介紹 1 14 監(jiān)控技術(shù)發(fā)展趨勢 一拖 采用多種技術(shù)手段實(shí)現(xiàn)非法共享上網(wǎng),方式更加隱蔽 將接入節(jié)點(diǎn)分散化,接入 通過改變協(xié)議端口或端口冒充的方式,逃避打擊 采用報(bào)文加密方式,增加識別難度 將信令網(wǎng)關(guān) /媒體網(wǎng)關(guān)分散化,逃避打擊 通過“私有隧道”方式轉(zhuǎn)發(fā)信令和媒體流,方式更隱蔽 通過改變協(xié)議端口或端口冒充的方式,逃避打擊 技術(shù)發(fā)展趨勢 監(jiān)控技術(shù)發(fā)展趨勢 綜合多種技術(shù)手段進(jìn)行流量識別,減少對一拖 N、 通過雙向鏈路采集進(jìn)行流量識別,提高 通過媒體流和信令流關(guān)聯(lián)檢測的方式,提高 15 典型解決方案- 協(xié)議轉(zhuǎn)換器 …… 前置設(shè)備 網(wǎng)絡(luò)設(shè)備 分光 控制鏈路 統(tǒng)計(jì)管理服務(wù)器群 過分光 /旁路方式采集鏈路數(shù)據(jù),然后通過協(xié)議轉(zhuǎn)換器將數(shù)據(jù)輸入前置設(shè)備進(jìn)行深度分析監(jiān)測,并依據(jù)監(jiān)測結(jié)果對特定流量實(shí)施控制。 代表廠家:華為、信風(fēng)、傲天、寬廣等 支持一拖 16 典型解決 方案- B 類 監(jiān)控方式 將監(jiān)控設(shè)備直接串接在物理鏈路上,對所有流量進(jìn)行深度分析監(jiān)測,并依據(jù)結(jié)果實(shí)施控制。 監(jiān)控設(shè)備 統(tǒng)計(jì)管理服務(wù)器 代表廠家: 廣等 監(jiān)控設(shè)備 統(tǒng)計(jì)管理服務(wù)器 監(jiān)測方式 支持 一拖 能監(jiān)測分時共享上網(wǎng)方式 通過分光方采集流量,對所有流量通過進(jìn)行深度分析監(jiān)測,不能進(jìn)行相應(yīng)控制。 支持 對一拖監(jiān)測功能支持較弱,不能監(jiān)測分時共享上網(wǎng)方式 17 典型解決 方案- 直接串接在物理鏈路上,根據(jù)五元組、 D、 別各類流量,并通過流量整形和隊(duì)列調(diào)度等方式控制流量。 代表廠家: 監(jiān)控設(shè)備 支持 區(qū)分具體應(yīng)用,不能精細(xì)控制 流量統(tǒng)計(jì)分析功能支持較弱,不對具體應(yīng)用做統(tǒng)計(jì)分析 不支持一拖 18 流量監(jiān)控方案技術(shù)趨勢 對垃圾流量的抑制能力 不支持 可識別病毒等流量,并進(jìn)行抑制 較B類方案弱 差異化服務(wù) 不支持 支持 較B類方案弱 部署靈活性 可部署在網(wǎng)絡(luò)的各個層面 受到接口類型限制,部署層次較低 主要部署在網(wǎng)絡(luò)出口 功能擴(kuò)展性 可靈活加載各類功能模塊 較A類方案弱 基本不支持其它功能模塊的加載 接口類型 系統(tǒng)的接口類型主要取決于協(xié)議轉(zhuǎn)換器,接口類型豐富 系統(tǒng)主要由硬件實(shí)現(xiàn),開發(fā)周期長,主要有 前支持的接口類型有 10術(shù)能力比較 從技術(shù)發(fā)展方向看, 存在端口類型單一、開發(fā)周期較長和系統(tǒng)可靠性有待進(jìn)一步驗(yàn)證等局限性 口類型較為豐富,可部署在網(wǎng)絡(luò)的各個層次,盡管控制手段具有局限性,可做為目前的主要解決方案 19 存在問題&后續(xù)計(jì)劃 4 目錄 技術(shù)現(xiàn)狀分析 2 系統(tǒng)部署建議 3 調(diào)研情況介紹 1 20 不宜做為 需通過差異化服 務(wù)等手段為 系統(tǒng)定位 部署原則 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 層次部署 保證各個層次協(xié) 調(diào)一致,避免重復(fù)檢測,最大限度節(jié)省投資,提高監(jiān)控 效果 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 系統(tǒng)復(fù)用 為節(jié)省投資,在部署系統(tǒng)時,應(yīng)考慮系統(tǒng)硬件的可復(fù)用 性,以便后續(xù)增加功能模塊時,不需大規(guī)模增加投 資 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 機(jī)動部署 為節(jié)省投資,在不影響系統(tǒng)監(jiān)控效果的前提下,不建議 全面覆蓋特定網(wǎng)絡(luò)區(qū)域。 21 系統(tǒng)綜合部署建議 采用 時部署 考慮到非業(yè)務(wù)省 在一定量的 此,在國際和互聯(lián)互通出口部署 系統(tǒng)應(yīng)至少覆蓋單向鏈路 國際和互聯(lián)互通出口 省際鏈路-業(yè)務(wù)省份 采用 時部署 監(jiān)控模塊 系統(tǒng)應(yīng)至少覆蓋單向鏈路 省際鏈路-非業(yè)務(wù)省份 采用 時部署 監(jiān)控模塊,機(jī)動方式部署 機(jī)動部署原則:在每個省匯接節(jié)點(diǎn)所在城市以匯接節(jié)點(diǎn)所在機(jī)房為單位,部署一套系統(tǒng),每套系統(tǒng)應(yīng)至少覆蓋單臺路由器的單向鏈路 業(yè)務(wù)省份指省際鏈路總帶寬超過 31022 系統(tǒng)綜合部署建議 采用 業(yè)務(wù)地市城域網(wǎng)出口部署 統(tǒng)應(yīng)至少覆蓋單向鏈路 采用 機(jī)動部署原則:每套系統(tǒng)應(yīng)能覆蓋單臺城域網(wǎng)出口路由器的單向鏈路 采用 業(yè)務(wù)地市同時 時部署 系統(tǒng)應(yīng)至少覆蓋單向鏈路 城域網(wǎng)出口鏈路 城域網(wǎng)內(nèi)部鏈路 采用 2對于 前可采用單向檢測的方式部署在出方向鏈路上,未來單向檢測不能滿足監(jiān)控需求的條件下,可考慮雙向部署 23 國際和互聯(lián)互通鏈路投資估算 鏈路帶寬 華為 (10G) 信風(fēng) (73萬 /10G) 寬廣 (65萬 /10G) 10G) 國際出口 (165G) 互聯(lián)互通出口 (316G) 2310萬 2054萬 說明: 2007規(guī)劃帶寬 2 廣和 行雙向監(jiān)測 雙向監(jiān)測,成本應(yīng)在此基 礎(chǔ)上乘以 2 24 省際&城域網(wǎng)出口鏈路投資估算 鏈路帶寬 華為 (10G) 信風(fēng) (10G) 寬廣 (257萬 /10G) 總帶寬 (5113G) 40495 萬 業(yè)務(wù)大省 (3265G) 1. 鏈路總帶寬為源自規(guī)劃文稿,為 2007規(guī)劃帶寬 2. 信風(fēng)系統(tǒng)折算價(jià)格源自江蘇一期工程合同價(jià)格,華為、寬廣, 3. 信風(fēng)和華為系統(tǒng)都是單向監(jiān)測,若雙向監(jiān)測,成本應(yīng)在基礎(chǔ)上乘以 2 4. 省際鏈路部署的系統(tǒng),按 監(jiān)控模塊估算 5. 城域網(wǎng)出口鏈路部署的系統(tǒng),按 6. 寬廣系統(tǒng)需由 2P、 監(jiān)控功能 鏈路帶寬 華為 (10G) 信風(fēng) (73萬 /10G) 寬廣 (65萬 /10G) 10G) 5300G 38743萬 38690萬 34450萬 141828萬 省出口鏈路投資估算 城域網(wǎng)出口鏈路投資估算 說明 25 建議方案總投資估算 國際+互聯(lián)互通+城域網(wǎng)出口鏈路投資估算 典型廠家 華為 信風(fēng) 寬廣 資估算 國際+互聯(lián)互通+省出口鏈路投資估算 典型廠家 華為 信風(fēng) 寬廣 投資估算 說明 1. 鏈路總帶寬為源自規(guī)劃文稿,為 2007規(guī)劃帶寬 2. 信風(fēng)系統(tǒng)折算價(jià)格源自江蘇一期工程合同價(jià)格,華為、寬廣的價(jià)格源自各公司針對中國電信的報(bào)價(jià) 3. 信風(fēng)和華為系統(tǒng)都是單向監(jiān)測,若雙向監(jiān)測,成本應(yīng)在基礎(chǔ)上乘以 2 4. 監(jiān)控,所以總投資估算中,不包括其在省出口鏈路的投資 26 建議方案總投資估算 國際+互聯(lián)互通+業(yè)務(wù)大?。糠址菢I(yè)務(wù)省出口鏈路投資估算 典型廠家 華為 信風(fēng) 寬廣 國際出口估算 互聯(lián)互通出口估算 2310萬 2054萬 業(yè)務(wù)大省出口估算 部分非業(yè)務(wù)省 2405萬 總投資估算 89442萬 說明 1. 鏈路總帶寬為源自規(guī)劃文稿,為 2007規(guī)劃帶寬 2. 信風(fēng)系統(tǒng)折算價(jià)格源自江蘇一期工程合同價(jià)格,華為、寬廣的價(jià)格源自各公司針對中國電信的報(bào)價(jià) 3. 信風(fēng)和華為系統(tǒng)都是單向監(jiān)測,若雙向監(jiān)測,成本應(yīng)在基礎(chǔ)上乘以 2 4. 非業(yè)務(wù)省機(jī)動部署核算按非業(yè)務(wù)省帶寬的 20%估算,非業(yè)務(wù)省帶寬為 1848G,因此,機(jī)動部署鏈路帶寬為 7 流量統(tǒng)計(jì)分析系統(tǒng)試點(diǎn)部署建議 宜結(jié)合骨干網(wǎng)網(wǎng)管已有設(shè)備能力實(shí)施業(yè)務(wù)流量分析,在準(zhǔn)確性、分析粒度不能達(dá)到要求的情況下,可結(jié)合其他監(jiān)控功能模塊考慮建設(shè) 。 建議充分發(fā)揮 現(xiàn)初步的業(yè)務(wù)流量分析 建議在國際和互聯(lián)互通出口、省出口以及城域網(wǎng)出口等各網(wǎng)絡(luò)層次選擇部分節(jié)點(diǎn),試點(diǎn)部署 可采用A類方案和B類方案的監(jiān)測方式部署設(shè)備,進(jìn)行雙向監(jiān)測;目前優(yōu)先選擇 業(yè)務(wù)流量分析模塊 用戶行為分析模塊 鑒于目前需求不明確,投資規(guī)模較大,建議現(xiàn)階段不宜部署,由集團(tuán)統(tǒng)一組織試點(diǎn) 可選擇城域網(wǎng)內(nèi)部分 B類方案的監(jiān)測方式部署設(shè)備,對鏈路進(jìn)行雙向監(jiān)測分析 28 用戶行為分析模塊投資估算 估算說明: 寬帶用戶收斂比按 1:3計(jì)算, 2008年規(guī)劃寬帶用戶為 4854萬,則同時在線的用戶為 1618萬 ,總體帶寬估算為 8090G 8萬,服務(wù)器 :前置機(jī) =1:10,所以 單臺價(jià)格 折合為 萬和 18萬,服務(wù)器 :前置機(jī)=1:10,所以 單臺價(jià)格 折合為 3萬和 80萬,服務(wù)器 :前置機(jī) =1:20,所以 單臺價(jià)格 折合為 27萬 臺價(jià)格 *總體帶寬 /設(shè)備能力 監(jiān)控系統(tǒng) 設(shè)備能力 單臺價(jià)格 總體估價(jià) 信風(fēng)系統(tǒng) 雙向 1G 華為系統(tǒng) 雙向 1G 寬廣系統(tǒng) 雙向 1G 27萬 29 目錄 技術(shù)現(xiàn)狀分析 2 調(diào)研情況介紹 1 存在問題&后續(xù)計(jì)劃 4 系統(tǒng)部署建議 3 30 存在問題&后續(xù)計(jì)劃 署現(xiàn)有解決方案,存在一定技術(shù)風(fēng)險(xiǎn) 需要探討收益評估方法,以便對系統(tǒng)部署的收益進(jìn)行客觀公正的評價(jià) 存在問題 后續(xù)計(jì)劃 全面測試各類解決方案,驗(yàn)證其功能和性能,為集團(tuán)統(tǒng)一組織部署提供依據(jù) 驗(yàn)證系統(tǒng)機(jī)動部署的可行性 驗(yàn)證各解決方案的機(jī)動部署范圍 探討華為、信風(fēng)、傲天等廠家以服務(wù)器+軟件等方式機(jī)動部署的原則 探討 對用戶行為分析系統(tǒng)做試點(diǎn)驗(yàn)證 31 謝謝! 32 系統(tǒng)部署建議 4 附件 各類方案其它能力比較 2 監(jiān)控技術(shù)分析 3 江蘇電信部署情況 1 33 江蘇電信部署情況 江蘇電信 華為公司負(fù)責(zé)硬件部分和系統(tǒng)總集成,信風(fēng)公司負(fù)責(zé)軟件的開發(fā) 一期工程于 期擴(kuò)容工程于 硬件投資 軟件投資 投資總額 監(jiān)控鏈路 實(shí)現(xiàn)功能 一期工程 1093萬 16*拖 量統(tǒng)計(jì)分析 二期工程 2358萬 325萬 2749萬 56*拖 量統(tǒng)計(jì)分析、廣告推送 34 江蘇一期系統(tǒng)框圖 在南京、無錫兩地集中部署,采集省出口電路的上行流量 35 江蘇一期系統(tǒng)主要構(gòu)成 網(wǎng)絡(luò)接口轉(zhuǎn)換器 2臺 分光 8條 10G 行協(xié)議轉(zhuǎn)換,負(fù)載到 62和 66個 分別部署在南京、無錫兩地。 預(yù)處理服務(wù)器 南京、無錫分別部署 62和 66臺。 每臺服務(wù)器 1個 處理 850現(xiàn)網(wǎng)監(jiān)測得到的數(shù)據(jù) )。 二次處理服務(wù)器 南京、無錫各 2臺,作為共享接入檢測的二次驗(yàn)證和處理 統(tǒng)計(jì)管理服務(wù)器 3臺,部署在南京,完成策略下發(fā),管理,統(tǒng)計(jì)報(bào)表功能 2臺,部署在南京,解析 現(xiàn) 36 系統(tǒng)部署建議 4 附件 江蘇一期系統(tǒng)構(gòu)成 1 監(jiān)控技術(shù)分析 3 各類方案其它能力比較 2 37 系統(tǒng)部署建議 4 附件 各類方案其它能力比較 2 江蘇一期系統(tǒng)構(gòu)成 1 監(jiān)控技術(shù)分析 3 38 一拖 公眾用戶 以個人名義申請,實(shí)際為單位、企業(yè)使用; A: 42% 相鄰的多個家庭接入共享; B: 35% 學(xué)生、職工等集體宿舍共用; C:11% 以個人名義申請,開展經(jīng)營的 “ 黑 ”網(wǎng)吧 D: 3% 專線用戶 假接入,真互聯(lián):以專線方式在本地或異地接入中國電信的網(wǎng)絡(luò),而為其它運(yùn)營商提供全部 /部分網(wǎng)絡(luò)互聯(lián)服務(wù)。 說明:公眾用戶一拖 39 “一拖 N”識別技術(shù) 鏈路層信息 不同主機(jī)所攜帶 識別 拖 N” 網(wǎng)絡(luò)層信息 認(rèn)為“一拖 N” 傳輸層信息 超過設(shè)定值則為疑似對象 應(yīng)用層信息 操作系統(tǒng)信息 分析 取主機(jī)數(shù);因?yàn)橛脩舴错戄^大,目前已基本不用 絡(luò)尖兵 植入 一帳號下不同電腦有不同的 計(jì) 天的“一拖 N” 監(jiān)控模塊 被動識別 主動識別 40 “一拖 N”識別技術(shù)特點(diǎn) 主動識別 被動識別 差異 易被用戶察覺,招致不滿 被用戶察覺 共性 時性不高 要對用戶主機(jī)發(fā)出的信息進(jìn)行檢測,因此只需要監(jiān)測用戶的上行數(shù)據(jù) 會影響網(wǎng)絡(luò)的性能 . 41 “假接入,真互聯(lián)”常規(guī)識別方法 在中國電信城域網(wǎng)內(nèi)部、省網(wǎng)內(nèi)部、骨干網(wǎng)內(nèi)部搭建 在對方用戶終端上對國際站點(diǎn)以及上述 從電信網(wǎng)內(nèi)執(zhí)行反向戶終端登錄 在服務(wù)器上用 從服務(wù)器執(zhí)行反向 據(jù)接入地址定位接入點(diǎn) 對方網(wǎng)絡(luò)開啟 對方網(wǎng)絡(luò)關(guān)閉 對方用戶使用公有地址 對方用戶使用私有地址 逐跳查找接入 42 一拖 阻斷 向用戶發(fā)送 斷用戶的 向用戶發(fā)送 用戶強(qiáng)制重定向到警告頁面 需要串接在網(wǎng)絡(luò)中,控制設(shè)備不會成為故障點(diǎn) 網(wǎng)站 非法接入監(jiān)控 1 得到警告頁面 3 4 非法接入用戶 43 主要 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 下載型 ?通過 等體 )之間的文件片段交換實(shí)現(xiàn)文件下載的應(yīng)用 ?典型應(yīng)用: 雷、 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 流媒體型 ?通過 等體 ) 之間的流媒體片段交換實(shí)現(xiàn)流媒體播放功能的應(yīng)用。 ?典型應(yīng)用: 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 即時通信型 ?通過 等體 )通過語音、視頻和文字等進(jìn)行實(shí)時在線交流的應(yīng)用。 ?典型應(yīng)用: 44 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 ? 深度報(bào)文檢測技術(shù) (? 針對報(bào)文凈荷中的特征字、協(xié)議指紋以及報(bào)文之間的邏輯關(guān)系等因素識別 ? 識別精度較高,但需對特定協(xié)議的應(yīng)用層特征被動跟蹤 ? 對加密流量識別較困難 ? 適用于 類解決方案 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 ? 深度流檢測技術(shù) (? 針對報(bào)文頭部的五元組信息、 結(jié)合平均速率,流持續(xù)時間,字節(jié)數(shù),包長等流特征信息,識別流量的技術(shù) ? 識別精度不高,可能出現(xiàn)誤判,但不需要跟蹤特定應(yīng)用的細(xì)節(jié)變化 ? 報(bào)文加密與否不影響其識別精度 ? 適用于 45 特征字識別 特征字 :報(bào)文凈荷中所包含的用于區(qū)別于其它應(yīng)用的特定字符串 . 每種協(xié)議都有特征字,如 協(xié)議指紋識別 協(xié)議指紋 : 大多數(shù) 且有些協(xié)議在內(nèi)容凈荷的頭和尾部還有一些特殊的字符,如 "|","$"等 協(xié)議狀態(tài)機(jī)識別 協(xié)議狀態(tài)機(jī) : 大多數(shù) 信令 ” 過程,如 數(shù)據(jù)傳輸階段也有類似的握手過程。 通信特征識別 通信特征 :特定 包括 端 下行流量的對稱性,報(bào)文長度分布、持續(xù)時間、包長等 46 實(shí)現(xiàn)機(jī)制 采用 采用 適用于 類解決方案 - 高等級業(yè)務(wù)流量(重要客戶、關(guān)鍵業(yè)務(wù))優(yōu)先轉(zhuǎn)發(fā) - 低等級業(yè)務(wù)按照比例分配帶寬資源 47 端 目的端 丟棄 /部分丟棄 將 阻斷源端與目的端的將 使發(fā)送端調(diào)整 動降低發(fā)送速率,從而降低源端到目的端全路徑的發(fā)送速率 適用于 類解決方案 48 源端 目的端 建立連接 斷 阻斷 偽造 源和目的端分別發(fā)送 阻斷 偽造 源端發(fā)送 有可能被用戶防火墻攔截而失效 主要適用于 49 依使用模式劃分 PC C PC 協(xié)議劃分 標(biāo)準(zhǔn)協(xié)議: 標(biāo)準(zhǔn)協(xié)議:改變標(biāo)準(zhǔn)協(xié)議端口或者個別字段內(nèi)容 通過“私有隧道”加載的應(yīng)用 私有協(xié)議: 0 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 ? 針對報(bào)文凈荷中的特征字、協(xié)議指紋、報(bào)文之間的邏輯關(guān)系以及信令報(bào)文和媒體報(bào)文之間的關(guān)聯(lián)等因素識別 ? 識別精度較高,但需對特定協(xié)議的應(yīng)用層特征被動跟蹤 ? 對加密流量識別較困難 ? 適用于 類解決方案 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 ? 針對報(bào)文頭部的五元組信息、 結(jié)合平均速率,流持續(xù)時間,字節(jié)數(shù),包長等流特征信息,識別流量的技術(shù) ? 識別精度不高,可能出現(xiàn)誤判,但不需要跟蹤特定應(yīng)用的細(xì)節(jié)變化 ? 報(bào)文加密與否不影響其識別精度 ? 適用于 51 特征字識別 通過檢查流量載荷中的特定字符串來識別目標(biāo)流量,主要用于對信令報(bào)文的檢測 協(xié)議指紋識別 通過對 要用于對信令報(bào)文的檢測。 協(xié)議狀態(tài)機(jī)識別 針對 行為特征識別 通過檢測承載在 要用于媒體流檢測 流量特征識別 通過檢測 :報(bào)文數(shù)、報(bào)文平均長度、平均速率、報(bào)文速率等指標(biāo) 52 控制技術(shù) 實(shí)現(xiàn)原理 適用方案 對于采用 如 ,利用監(jiān)控設(shè)備偽造用戶、網(wǎng)關(guān)發(fā)送,阻斷信令連接。 A、 對于采用 如 ,利用監(jiān)控設(shè)備偽造呼叫失敗信息或掛機(jī)信號等,向用戶 /網(wǎng)關(guān)發(fā)送,阻斷信令連接。 A、 語音干擾 利用監(jiān)控設(shè)備偽造媒體報(bào)文,插入到用戶之間的通話受到干擾。 A、 語音質(zhì)量劣化 將流經(jīng)監(jiān)控設(shè)備的媒體流報(bào)文全部丟棄,或采用 到劣化語音質(zhì)量的效果。 類方案 53 流量統(tǒng)計(jì)分析功能 針對網(wǎng)絡(luò)流量進(jìn)行深入分析,并根據(jù)分析結(jié)果,挖掘出有價(jià)值的流量統(tǒng)計(jì)數(shù)據(jù)和用戶行為數(shù)據(jù)等,為優(yōu)化網(wǎng)絡(luò)和針對性營銷等提供重要依據(jù) 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 業(yè)務(wù) 流量分析 ? 針對網(wǎng)絡(luò)中的流量,結(jié)合各種技術(shù)進(jìn)行分析挖掘,得出網(wǎng)絡(luò)中流量構(gòu)成、流量流向等有價(jià)值的信息。 ? 可實(shí)現(xiàn)的功能包括網(wǎng)絡(luò)流量構(gòu)成分析、特定應(yīng)用分布分析、異常流量分析、特定業(yè)務(wù)流量趨勢分析等 網(wǎng)絡(luò)容量和結(jié)構(gòu)改造 用戶行為分析 ? 針對具體網(wǎng)絡(luò)用戶或用戶群進(jìn)行的分析和數(shù)據(jù)挖掘,可得出特定用戶或用戶群的網(wǎng)絡(luò)習(xí)慣和應(yīng)用構(gòu)成等有價(jià)值的信息 ? 可實(shí)現(xiàn)的功能包括用戶應(yīng)用構(gòu)成分析、特定業(yè)務(wù)的用戶分布分析等 54 流量統(tǒng)計(jì)分析邏輯框圖 第三方數(shù)據(jù)分析系統(tǒng) 深度分析設(shè)備 深度分析網(wǎng)絡(luò)流量,并將結(jié)果輸入到統(tǒng)計(jì)分析服務(wù)器 流量識別統(tǒng)計(jì)技術(shù)包括 中 統(tǒng)計(jì)分析服務(wù)器 對深度分析的結(jié)果進(jìn)行統(tǒng)計(jì)分析,并存儲到數(shù)據(jù)庫中,主要涉及數(shù)據(jù)挖掘技術(shù) 55 江蘇一期系統(tǒng)構(gòu)成 1 附件 各類方案其它能力比較 2 監(jiān)控技術(shù)分析 3 系統(tǒng)部署建議 4 56 2005年帶寬成本估算 510元 /M 09元 /M,純數(shù)據(jù)單位帶寬投資為 480元 /M 省內(nèi)帶寬 (抽樣 )成本分?jǐn)?562元 /M,純數(shù)據(jù)單位帶寬投資為 465元 /M 城域網(wǎng)出口帶寬成本分?jǐn)?1388元 /M * 數(shù)據(jù)源自帶寬規(guī)劃文檔 57 “一拖 N”監(jiān)控系統(tǒng)部署分析 根據(jù) “ 一拖 N”識別和控制技術(shù)的特點(diǎn),系統(tǒng)可部署在網(wǎng)絡(luò)較高層面 際和網(wǎng)間 (電信-網(wǎng)通 )流量所占比例都低于 20%,監(jiān)控系統(tǒng)部署在國際 /互聯(lián)互通出口會有較大誤差 根據(jù)用戶規(guī)模和 分省份內(nèi)部流量可能大于省際流量,所以監(jiān)控系統(tǒng)部署在核心節(jié)點(diǎn)之間的鏈路,對該省的 “ 一拖 N”監(jiān)控會產(chǎn)生較大誤差 通過 假接入,真互聯(lián) ” 的接入點(diǎn),但這種方法需要在競爭對手網(wǎng)絡(luò)中申請帳號等繁瑣工作,缺乏針對性,會耗費(fèi)大量人力成本 “ 一拖 N”監(jiān)控系統(tǒng)可以只監(jiān)測用戶的上行流量 58 “一拖 N”監(jiān)控系統(tǒng)投資分析 監(jiān)控系統(tǒng) 城域網(wǎng)出口帶寬 ( 2049G) 省出口帶寬 ( 1529G) 信風(fēng)系統(tǒng) 元) 萬元) 華為系統(tǒng) 萬元) 萬元) 寬廣系統(tǒng) 萬元) 萬元) 說明: 省出口總帶寬為八擴(kuò)之前的數(shù)據(jù),源自規(guī)劃文稿 005年數(shù)據(jù) 每月預(yù)計(jì)增收37萬元,預(yù)計(jì)增加年收入: 12*37=444萬 深圳城域網(wǎng)出口鏈路帶寬為 12*10G=120G 中國電信城域網(wǎng)出口帶寬為 2049G,可推算全國增收 2049*(444/120)=根據(jù)各廠家監(jiān)控系統(tǒng)估算投資回收期 信風(fēng)系統(tǒng): 華為系統(tǒng) 寬廣系統(tǒng) 59 一拖 建議在省際上行鏈路采用分光方式部署 “ 一拖 N”監(jiān)控系統(tǒng) 監(jiān)控系統(tǒng)必須能夠?qū)崿F(xiàn)對公眾用戶的監(jiān)控 建議系統(tǒng)可實(shí)現(xiàn)對專線用戶的監(jiān)控 建議在省際鏈路機(jī)動部署,只監(jiān)測上行單向鏈路 機(jī)動部署原則:在每個省的匯接節(jié)點(diǎn)所在城市部署一套系統(tǒng),每套系統(tǒng)所采集流量應(yīng)能覆蓋單臺路由器的所有上聯(lián)鏈路 建議在后續(xù)工程建設(shè)中,在每個省出口上行聯(lián)鏈路上部署分光器,以便實(shí)現(xiàn)系統(tǒng)的機(jī)動部署 一拖 要配合相應(yīng)的營銷手段才能發(fā)揮較好作用 60 目前對寬帶用戶有較強(qiáng)吸引力,因此不宜對 進(jìn)行有效抑制和引導(dǎo) 為保證一定的用戶體驗(yàn)情況 在國際出口和網(wǎng)際 (電信-網(wǎng)通 )出口部署 制 保證用戶對其它應(yīng)用的體驗(yàn) 在省出口和城域網(wǎng)出口部署 保證用戶對其它應(yīng)用的體驗(yàn) 在城域網(wǎng) 2止局部流量擁塞 為保證一定的用戶體驗(yàn),應(yīng)對 一般不建議對單個用戶實(shí)施控制 目前,同一出口路由器上行鏈路之間基于目的地址實(shí)現(xiàn)負(fù)載分擔(dān),所以針對出口路由器的單條上行鏈路控制 不能降低其它鏈路的 61 因此,可使 現(xiàn)流量本地化,節(jié)省網(wǎng)際帶寬 中國電信網(wǎng)內(nèi)的節(jié)點(diǎn)足夠支持 提供基于 處于研究階段,應(yīng)用案例較少 提供 2 應(yīng)用案例較少,需進(jìn)一步驗(yàn)證 限制 使 限制 戶 但可影響 可采取措施,使部分用戶規(guī)模較大 /域網(wǎng)的 從江蘇和其它省份的情況看,單向監(jiān)測 達(dá)到一定監(jiān)控效果 62 監(jiān)控系統(tǒng) 國際出口 ( 120G) 網(wǎng)際出口 ( 省出口 (1529G) 城域網(wǎng)出口 (2049G) 信風(fēng)系統(tǒng) 804(萬元 ) 元 ) 元 ) 元 ) 華為系統(tǒng) 864(萬元 ) 342(萬元 ) 元 ) 元 ) 寬廣平臺 780(萬元 ) 元 ) 元 ) 元 ) 說明: 源自規(guī)劃文稿 雙向監(jiān)測,成本應(yīng)在基礎(chǔ)上乘以 2 行雙向監(jiān)測 將單條 2值平均總流量由 條 6× ( 1000M× 480元 /M= 各系統(tǒng)在廣州網(wǎng)際出口的部署成本 信風(fēng)系統(tǒng) 6× 華為 26× 108萬 寬廣 6× 63 江蘇電信 江蘇省出口峰值共節(jié)省帶寬 :16× 10× 1000M× (94%=14400M 江蘇省出口共節(jié)省帶寬投資 :14400M× 480元 /M= 江蘇省一期 16× 8江蘇電信 江蘇省出口共節(jié)省帶寬投資 江蘇省出口帶寬為 160G 2005年,中國電信省出口帶寬為 1529G,可推算全國節(jié)省帶寬投資 1529*(60)=根據(jù)各廠家監(jiān)控系統(tǒng)估算投資回收期 信風(fēng)系統(tǒng) 華為系統(tǒng) 寬廣系統(tǒng) 64 建議遵循總量控制和流量本地化的原則,分層分級部署 國際和互聯(lián)互通出口部署建議 建議對所有鏈路實(shí)施 為保證用戶的其它應(yīng)用體驗(yàn)不受影響,建議對流入的可采用的方案包括A類、B類和C類方案 鑒于 優(yōu)先選擇 類方案 對于 前可只部署在出方向鏈路上,以節(jié)省投資 對于 要部署在雙向鏈路上 65 省際鏈路部署建議 建議對業(yè)務(wù)省的所有省際鏈路實(shí)施 現(xiàn)部分 建議對流入的 鑒于 優(yōu)先選擇 類方案 對于 前可只部署在出方向鏈路上,以節(jié)省投資 對于 要部署在雙向鏈路上 暫不對非業(yè)務(wù)省的省際鏈路實(shí)施 城域網(wǎng)部署建議 不建議在城域網(wǎng)全面部署 建議對業(yè)務(wù)城域網(wǎng)所有出口鏈路實(shí)施 建議對流入的 先選擇 類方案 對于 前可只部署在出方向鏈路上,以節(jié)省投資 對于 要部署在雙向鏈路上 建議在城域網(wǎng)局部熱點(diǎn)地區(qū)(如大學(xué)等)部署 以防止局部擁塞 優(yōu)先選擇 66 非法 非法 此, 術(shù)控制為輔 目前 堵干擾為輔助手段,因此,可針對不同鏈路機(jī)動部署 從江蘇和其它省份的情況看,單向監(jiān)測達(dá)到一定監(jiān)控效果 67 監(jiān)控系統(tǒng) 國際出口 ( 120G) 網(wǎng)際出口 ( 省出口 (1529G) 城域網(wǎng)出口 (2049G) 信風(fēng)系統(tǒng) 804(萬元 ) 萬元 ) 萬元 ) 萬元 ) 華為系統(tǒng) 864 (萬元 ) 342 (萬元 ) 萬元 ) 萬元 ) 寬廣平臺 780 (萬元 ) 萬元 ) 萬元 ) 萬元 ) 說明: 1. 鏈路總帶寬為八擴(kuò)之前的數(shù)據(jù),源自規(guī)劃文稿 雙向監(jiān)測,成本應(yīng)在基礎(chǔ)上乘以 2 行雙向監(jiān)測 005年數(shù)據(jù) 每月預(yù)計(jì)增收 計(jì)增加年收入: 12*深圳城域網(wǎng)出口鏈路帶寬為 12*10G=120G 中國電信城域網(wǎng)出口帶寬為 2049G,可推算全國增收 2049*(20)=根據(jù)各廠家監(jiān)控系統(tǒng)估算投資回收期 信風(fēng)系統(tǒng): 華為系統(tǒng) 寬廣系統(tǒng) 68 建議對國際和互聯(lián)互通的所有鏈路實(shí)施 優(yōu)先選擇 只部署在出方向鏈路上,以節(jié)省投資 建議在所有省份的省際鏈路機(jī)動部署 可 采用A類和B類解決方案實(shí)施 優(yōu)先選擇 只部署在出方向鏈路上,以節(jié)省投資 機(jī)動部署原則:在每個省的匯接節(jié)點(diǎn)所在城市部署一套系統(tǒng),每套系統(tǒng)所采集流量應(yīng)能覆蓋單臺路由器的所有省際鏈路 建議在 采用A類和B類解決方案實(shí)施 優(yōu)先選擇 只部署在出方向鏈路上,以節(jié)省投資 機(jī)動部署原則:每套系統(tǒng)所采集流量應(yīng)能覆蓋單臺城域網(wǎng)出口路由器的所有上行鏈路 建議在省際鏈路和城域網(wǎng)出口鏈路全部部署分光器,以便設(shè)備的機(jī)動部署 69 業(yè)務(wù)流量分析模塊投資估算 監(jiān)控系統(tǒng) 國際出口 ( 120G) 網(wǎng)際出口 ( 省出口 (1529G) 城域網(wǎng)出口 (2049G) 信風(fēng)系統(tǒng) 804(萬元 ) 萬元 ) 萬元 ) 萬元 ) 華為系統(tǒng) 864 (萬元 ) 342 (萬元 ) 萬元 ) 萬元 ) 寬廣平臺 1104 (萬元 ) 437 (萬元 ) 萬元 ) 萬元 ) 093/128=E, 4個模塊,折合為 28/4=此,按 170/128=個功能模塊的價(jià)格折合為 500/128/2=此,按 個 3W,折合每 明: 1. 鏈路總帶寬為八擴(kuò)之前的數(shù)據(jù),源自規(guī)劃文稿 雙向監(jiān)測,成本應(yīng)在基礎(chǔ)上乘以 2 行雙向監(jiān)測 70 用戶行為分析模塊投資估算 估算說明: 寬帶用戶收斂比按 1:3計(jì)算, 3000萬寬帶用戶中,同時在線的用戶為 1000萬 ,則 總體帶寬為 15000G 8萬,服務(wù)器 :前置機(jī) =1:60,所以 單臺價(jià)格 折合為 7萬 萬,服務(wù)器 :前置機(jī) =1:10,所以 單臺價(jià)格 折合為 4萬 6萬和 80萬,服務(wù)器 :前置機(jī) =1:40,所以 單臺價(jià)格 折合為 18萬 臺價(jià)格 *總體帶寬 /設(shè)備能力 監(jiān)控系統(tǒng) 設(shè)備能力 單臺價(jià)格 總體估價(jià) 信風(fēng)系統(tǒng) 雙向 1G 7萬 華為系統(tǒng) 雙向 1G 4萬 6億 寬廣系統(tǒng) 雙向 2G 18萬- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
7 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- IP 監(jiān)控 系統(tǒng) 調(diào)研 建議 中國電信
鏈接地址:http://www.3dchina-expo.com/p-23743.html