【51CTO.com 綜合報道】從企業(yè)園區(qū)網(wǎng)的發(fā)展進程可以看出，網(wǎng)絡(luò)的建設(shè)者和管理者正在嘗試以業(yè)務(wù)為核心將網(wǎng)絡(luò)的各個邏輯層級涉及的相關(guān)技術(shù)進行分離，各個層級獨立發(fā)展，同時大量使用已經(jīng)獲得認可的現(xiàn)有技術(shù)，降低整個網(wǎng)絡(luò)的部署成本。作為一體化園區(qū)網(wǎng)絡(luò)融合的重點，“隨人而動”的移動園區(qū)網(wǎng)通過實現(xiàn)網(wǎng)絡(luò)架構(gòu)的模塊化、簡單化，各個層級精細化，讓用戶集中精力于自己所關(guān)注的業(yè)務(wù)，使網(wǎng)絡(luò)也因為一個個精致的業(yè)務(wù)而獲得更好的發(fā)展。因此，如何建設(shè)并部署深度業(yè)務(wù)感知型移動園區(qū)網(wǎng)是需要重點考慮的內(nèi)容。

1. 移動接入下的園區(qū)網(wǎng)絡(luò)承載需求  

圖1 移動園區(qū)網(wǎng)業(yè)務(wù)承載邏輯圖

1.1. 移動VoIP業(yè)務(wù)

WLAN的園區(qū)全覆蓋帶來的最大增值業(yè)務(wù)之一，就是FMC（固定移動融合）的企業(yè)統(tǒng)一通信，這也是未來智能建筑的準入標準規(guī)格之一。如果無線控制層缺乏一定的業(yè)務(wù)感知能力，將無法對通過相關(guān)語音協(xié)議進行傳輸?shù)臄?shù)據(jù)進行內(nèi)容和行為的監(jiān)控，則會發(fā)生大量的數(shù)據(jù)移動傳輸內(nèi)容不可控而可能帶來安全問題，特別是給大企業(yè)的網(wǎng)絡(luò)帶來安全問題。

1.2. 移動P2P共享傳輸應(yīng)用   

P2P技術(shù)在一定程度上實現(xiàn)了IP網(wǎng)絡(luò)帶寬資源的合理分配，使一些對于帶寬要求高的業(yè)務(wù)（如視頻流媒體業(yè)務(wù)）有望得以規(guī)模化應(yīng)用。同時，大量P2P應(yīng)用也在瘋狂的搶占網(wǎng)絡(luò)帶寬資源，有數(shù)據(jù)顯示在晚上高峰時段大約有90％的流量為P2P應(yīng)用。

通過觀察，大多數(shù)P2P傳輸中小報文比例超過60%，遠遠超過普通網(wǎng)絡(luò)應(yīng)用中的小報文比例。并且，大量的上行流量，也成為P2P共享傳輸應(yīng)用中重要的組成部分。

雖然802.11-->802.11b-->802.11a/g-->802.11n協(xié)議主要致力于提高無線局域網(wǎng)的傳輸性能，實現(xiàn)了從2M-->11M-->54M-->300M理論傳輸能力的飛躍。但WLAN網(wǎng)絡(luò)的性能實際是指一個共享的空間媒質(zhì)所能夠支持的報文傳輸能力。所有的在這個空間媒質(zhì)中（這里還是指同信道）的所有設(shè)備都將共享空間媒質(zhì)的性能，也就是共同搶占空間媒質(zhì)。WLAN通過這個機制實現(xiàn)了設(shè)備在空間媒質(zhì)的報文的分時傳輸，也在一定程度上同樣會消耗空口資源，降低空口的傳輸能力。     因此，有效地對移動業(yè)務(wù)中的P2P應(yīng)用進行感知控制，是移動網(wǎng)絡(luò)需要具備的新特點之一。

 1.3. 無處不在的實時移動應(yīng)用

隨著終端，特別是以MID（Mobile Internet Devices）形式出現(xiàn)具備WLAN等多通道接入能力的移動互聯(lián)網(wǎng)終端不斷優(yōu)化和普及，無處不在的實時移動應(yīng)用成為移動園區(qū)網(wǎng)重要的業(yè)務(wù)組成和接入延伸。但是，以MSN、QQ、SNS社區(qū)、微博等為代表的實時移動應(yīng)用，往往也是雙刃劍。在提高溝通效率的同時，也會帶給企業(yè)管理者對工作效率的擔(dān)憂。

從WiFi到智能手機，無線技術(shù)在企業(yè)中已經(jīng)無所不在，其地位越來越重要.但對企業(yè)IT部門而言，所面臨的挑戰(zhàn)也越來越復(fù)雜。針對實時移動應(yīng)用的感知與控制，在有限的接入資源內(nèi)如何平衡關(guān)鍵業(yè)務(wù)（如ERP、視頻會議系統(tǒng)、數(shù)據(jù)庫、辦公室自動化及VPN等）與非關(guān)鍵應(yīng)用（如P2P、移動炒股、在線購物、SNS、網(wǎng)絡(luò)電視等），成為移動園區(qū)網(wǎng)中業(yè)務(wù)與性能并重的核心關(guān)注點。#p#

2. 傳統(tǒng)無線管理設(shè)備業(yè)務(wù)流量控制的局限性      

傳統(tǒng)無線管理設(shè)備的流量識別和QoS控制技術(shù)，是基于IP報文四層以下的內(nèi)容進行流量分析，例如IP報文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口以及協(xié)議類型，存在以下局限性： 

◆無法準確識別TCP/UDP以上的應(yīng)用層協(xié)議，導(dǎo)致基于應(yīng)用的QoS控制失去作用。

隨著新網(wǎng)絡(luò)應(yīng)用不斷出現(xiàn)，諸如基于IP報文的四層信息等傳統(tǒng)分析手段已經(jīng)不能準確判斷流量中的應(yīng)用類型。例如，P2P類應(yīng)用的端口是隨機變化的，并且流量是加密傳輸?shù)?，傳統(tǒng)的技術(shù)無法對這類應(yīng)用的流量進行識別和控制。 

◆無法基于協(xié)議的應(yīng)用種類進行QoS控制。

隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，基于TCP或UDP的應(yīng)用協(xié)議種類繁多，可以達到成百上千種，基于協(xié)議對流量進行管理將非常困難的。如果能夠按照所提供的服務(wù)對這些應(yīng)用協(xié)議進行分類，然后針對這些服務(wù)進行管理，那么對網(wǎng)絡(luò)流量的管理工作就會變得非常輕松。 

◆無法對每用戶、每應(yīng)用實施細粒度、差異化的QoS控制。

為了控制濫用帶寬，一些企業(yè)不僅期望能夠按照不同用戶或用戶組、不同應(yīng)用和不同時間段進行帶寬控制，而且期望能夠精確地控制每個用戶的帶寬、細分每個用戶的每種應(yīng)用，并針對不同應(yīng)用實施差異化的帶寬控制。但由于用戶規(guī)模的擴大、業(yè)務(wù)種類的增多，傳統(tǒng)設(shè)備無法輕松完成對每用戶、每應(yīng)用實施細粒度、差異化的QoS控制。 

◆無法及時有效地監(jiān)控網(wǎng)絡(luò)運行狀況。

網(wǎng)絡(luò)管理員由于缺乏對網(wǎng)絡(luò)內(nèi)部流量的深入分析，無法了解各種應(yīng)用所占帶寬比例，也就無法對園區(qū)出口帶寬進行有效的控制。#p#

3. 基于深度業(yè)務(wù)感知的移動園區(qū)網(wǎng)解決方案

針對園區(qū)網(wǎng)中移動互聯(lián)的新特點，實現(xiàn)對各種網(wǎng)絡(luò)應(yīng)用協(xié)議甚至加密應(yīng)用協(xié)議的精確識別，從而保障園區(qū)網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量，成為移動園區(qū)網(wǎng)解決方案的核心關(guān)注點（如圖2所示）。業(yè)務(wù)感知型流量控制技術(shù)的優(yōu)點主要表現(xiàn)在以下幾個方面： 

◆及時而有效地對網(wǎng)絡(luò)運行狀況進行實時、長期的監(jiān)控，同時對網(wǎng)絡(luò)內(nèi)部的流量進行深入的應(yīng)用分析，了解各種應(yīng)用所占帶寬比例。 

◆通過設(shè)置相應(yīng)的流量控制策略，分時間段、按用戶和應(yīng)用實現(xiàn)流量控制和帶寬保證，幫助企業(yè)減少帶寬濫用，優(yōu)化現(xiàn)有帶寬資源，降低安全風(fēng)險。 

◆可以深入到每個單獨的用戶進行相應(yīng)的策略管理。基于靈活的用戶、應(yīng)用、時間段等定義通道，針對每通道設(shè)置相應(yīng)的通道策略，真正實現(xiàn)差異化的智能流量控制。 

◆當(dāng)網(wǎng)絡(luò)出現(xiàn)異常情況時，如DoS/DDoS攻擊，可以迅速的發(fā)現(xiàn)并及時地加以制止，可以有效地控制突發(fā)流量的并發(fā)連接數(shù)、新建連接速率和每連接最大帶寬。  

圖2 深度業(yè)務(wù)感知型移動園區(qū)接入網(wǎng)

通過對應(yīng)用識別、應(yīng)用控制、行為審計的智能結(jié)合，移動園區(qū)網(wǎng)的核心控制設(shè)備——無線控制器在協(xié)議識別、協(xié)議解析、應(yīng)用環(huán)境分析、狀態(tài)跟蹤和深度內(nèi)容檢測等方面具備了基于策略的業(yè)務(wù)承載能力，傳統(tǒng)的無線控制器（AC）向智能感知型無線控制器（i-AC）轉(zhuǎn)變

3.1. i-AC應(yīng)用協(xié)議識別 

◆固定端口協(xié)議。一些協(xié)議（如OSPF、BGP等）的端口是相對穩(wěn)定的，可以根據(jù)端口快速預(yù)識別它們；另外，由于用戶明確其網(wǎng)絡(luò)應(yīng)用布局，用戶也可以快速定義其對網(wǎng)絡(luò)中特定端口下的應(yīng)用協(xié)議。i-AC提供快速的固定端口協(xié)議預(yù)識別模型，同時會用協(xié)議智能決策來修正固定端口上誤報的協(xié)議，從而兼顧了識別系統(tǒng)的效率和準確度。 

◆特征狀態(tài)機發(fā)現(xiàn)協(xié)議。絕大部分P2P協(xié)議的端口是不固定的，有的（如BT、Emule、迅雷、skype、UUCALL等）甚至有意使用一些標準協(xié)議的知名端口。對于這些協(xié)議的識別，必須依靠深入的數(shù)據(jù)分析。和其他應(yīng)用識別系統(tǒng)不同，i-AC不僅僅依靠單個報文的握手特征進行應(yīng)用協(xié)議識別，還通過有狀態(tài)的特征狀態(tài)機進行更精確的識別。 

◆協(xié)商協(xié)議。目前越來越多的協(xié)議采用控制通道和數(shù)據(jù)通道配合的模型，控制通道用于交互登陸、建鏈和命令交互等，它會協(xié)商出一個或多個數(shù)據(jù)通道進行數(shù)據(jù)交互。傳統(tǒng)的FTP屬于這種模型，絕大部分VOIP應(yīng)用也屬于這種模型，如skype、UUCALL等。i-AC針對這類協(xié)議，采用專門的識別技術(shù)，能有效地解決多通道關(guān)聯(lián)協(xié)議的識別問題。 

◆隧道協(xié)議。防火墻和NAT設(shè)備的部署，造就了很多應(yīng)用層隧道的出現(xiàn)，這些隧道是應(yīng)用協(xié)議層次之間發(fā)生了嵌套。如HTTP Tunnel，表面是一個80端口的連接，但實際上可能承載任何應(yīng)用數(shù)據(jù)。i-AC有專門的隧道識別模型，能夠識別象HTTP Tunnel這類隧道內(nèi)的應(yīng)用協(xié)議。 

◆協(xié)議插件確認。i-AC是一個可擴展、可插入的架構(gòu)，對于特定協(xié)議，i-AC將智能的結(jié)合協(xié)議插件的確認結(jié)果進行完全精確的協(xié)議識別。

3.2. i-AC無線業(yè)務(wù)控制平臺

作為園區(qū)網(wǎng)移動接入的終結(jié)點，i-AC 應(yīng)具備安全防護、P2P限流、流量監(jiān)控、用戶行為分析等多業(yè)務(wù)支持能力，對無線流量進行集中管控和過濾，滿足大規(guī)模WLAN網(wǎng)絡(luò)可管、可控、安全等業(yè)務(wù)需求。  

圖3 i-AC無線業(yè)務(wù)控制平臺

如圖3所示，i-AC無線業(yè)務(wù)控制平臺采用基于通道的流量控制策略，能夠根據(jù)用戶的實際需求，提供強大而完善的控制手段。通過不同時間段、不同用戶、不同網(wǎng)絡(luò)應(yīng)用、不同控制動作等條件實現(xiàn)不同情景下的策略配置，使策略應(yīng)用更加符合實際需要： 

◆基于段、用戶、應(yīng)用、時間、控制動作等條件，設(shè)置靈活的策略組合，實現(xiàn)按照部門、用戶和應(yīng)用設(shè)置差異化的流量控制策略； 

◆提供應(yīng)用封堵、帶寬保證、帶寬限制、連接限制、優(yōu)先級改寫等多種手段，實現(xiàn)流量控制的多種效果； 

◆通過通道的三重嵌套管理機制，實現(xiàn)層次化的流量整形，滿足用戶細粒度的帶寬管理要求； 

◆支持通道帶寬的動態(tài)分配，并根據(jù)用戶數(shù)量的變化動態(tài)調(diào)整帶寬分配，保證帶寬資源高效與公平利用。

與此同時，i-AC無線業(yè)務(wù)控制平臺還通過三重嵌套的通道機制，實現(xiàn)層次化的流量管理。網(wǎng)絡(luò)管理員可根據(jù)需要，對每個通道獨立設(shè)定保證帶寬、最大帶寬、優(yōu)先級。當(dāng)本通道中的流量超過基本保證帶寬而上級通道存在帶寬閑置時，可以允許優(yōu)先級高的通道借用閑置資源，從而最大限度的對無線接入的流量實現(xiàn)智能感知、識別、控制、管理。

4. 結(jié)束語

進入到虛擬園區(qū)網(wǎng)2.0時代，在一個應(yīng)用膨脹的網(wǎng)絡(luò)內(nèi)，當(dāng)上層應(yīng)用架構(gòu)固定終端向多樣化終端、固定空間向靈活空間、低效串行處理向高效實時并發(fā)處理的方式轉(zhuǎn)變的時候，網(wǎng)絡(luò)的接入模式必須得到充分的重視?；谏疃葮I(yè)務(wù)感知技術(shù)的移動園區(qū)網(wǎng)解決方案，必將有效提高園區(qū)網(wǎng)的整體移動業(yè)務(wù)承載能力，滿足園區(qū)網(wǎng)絡(luò)建設(shè)業(yè)務(wù)為先的實際需求。

H3C i-AC（intelligence Access Controller）智能感知型無線控制器。

區(qū)別于傳統(tǒng)的WLAN無線控制器，i-AC智能融合了H3C獨有的深度業(yè)務(wù)感知處理引擎UAAE。通過模型化、層次化、可擴展的架構(gòu)，i-AC支持固定端口（用戶可定義）、特征發(fā)現(xiàn)、協(xié)商、隧道等多種協(xié)議模型和智能的決策機制，采用同時協(xié)議發(fā)現(xiàn)和行為檢測中采用特征和狀態(tài)相結(jié)合的方法，很好地解決了傳統(tǒng)無線園區(qū)網(wǎng)和無線城域網(wǎng)部署中，L2-L7層感知割裂，分離處理的問題。

以i-AC為核心的H3C一體化移動網(wǎng)解決方案，已經(jīng)應(yīng)用于國家大劇院、首都國際機場T3航站樓、湘雅醫(yī)院、上海世博會、廣州國際金融中心、青藏鐵路那曲物流中心等移動寬帶接入網(wǎng)的建設(shè)和使用。