baggio 发表于 2009-5-30 22:18:10

弯曲评论转载文章之二:流量控制--P2P应用的识别与控制系统: Panabit (作者 陈怀临)

流量控制,P2P应用的识别与控制系统–Panabit

作者 陈怀临 | 2009-04-28 15:52 | 类型 行业动感 | 13条用户评论 »

在网络系统中,交换(Switching)是一个重要的概念。不管是单纯意义上的层2交换机,还是层3路由器,其实最后都是查表做Switching。例如,笔者最近在分析的思科核心路由器CRS-1,其最重要不是路由,而是各个模块之间交换的体系结构和交换吞吐率。所谓的网络安全,流量控制系统,其实就是在交换的基础上,做层3,4和最后层7(应用层)的策略控制分析,例如基于Flow的防火墙,IPS/IDP和应用层网关(ALG)等等。这里面涉及的是大量的应用层协议分析。从研究的角度上讲,这都不难,都是对报文报头(Header)的监测和相应的控制。但从工程的角度而言,这就非常复杂。为什么?一个系统对一个应用程序能识别并加以控制可以很简单,但如果必须同时对几十个,上百个应用程序的报文的各个层面的报头(而且是一个Flow中的第一个报文First Packet)要识别,这就是非常复杂的问题。读者可以想象一下,你如果用if else来写一百个应用程序的识别,并且要加入控制策略,其难度可想而知,其中之关键是可扩展性(Scalability)。换言之,系统的成功最后要看一个系统的交换(Switching)能力。

目前,在网络安全系统,智能化边缘路由器中,对应用层的识别是一个非常重要的指标。 例如,笔者曾经着力分析的思科公司基于QuantumFlow处理器的边缘路由器ASR1000中就把NBAR (Network-Based Application Recognition)作为一个非常重要的性能(Feature)列入其产品规约中。在ASR9000中也是如此。另外,在众多思科的产品中都有NBAR的性能,例如Cisco的重要的ISR1800系列,3000系列和7000系列。 NBAR可以识别许多流行的P2P的应用程序,例如BitTorrent, Gnutella, Kazaa2, eDonkey, Fasttrack, Napster等等。从某种角度而言,这些技术属于QoS(Policing,Shaping,Rate Limiting),也可以被认为是网络安全(Policy,ACL Control)的范畴。

在网络的各个关口(例如,边缘,企业WAN接入)对应用程序的识别是非常重要的。从技术上而言,这就是一个分类器(Classfiier)。了解QoS的读者知道,数据报文只有被Classify分类之后,系统才可以把不同的策略应用上去,例如网络安全策略,流量控制策略(其实就是对多级别,上百个报文队列Queue的算法管理和调度)等等。

应用程序识别和控制系统可以作为边缘路由器,企业WAN接入,独立防火墙系统的一个硬件或者软件模块集成在一起,也可以单独作为一个系统挂在一个企业网络中,例如挂在防火墙的后面。

笔者认为,长远的趋势是被集成在企业网的WAN接入的这个环节。当然,这里面要解决许多技术问题,最主要的就是吞吐率和可扩展性。

国内网络软件和设备市场,在用户程序识别,流量控制系统方面,目前出现一个叫做Panabit的流量控制软件。其发布团体为北京三棱镜软件工作室。其声称能够识别中国国内大量的P2P应用程序,流媒体,VoIP应用,网络游戏等等。其支持的协议之多令笔者是刮目相看。有兴趣的读者可以访问其主页:Panabit主页。Panabit声称的性能指标也非常不错,细节为:

软件性能
配置适当的硬件,Panabit标准版保证100Mbps线速,专业版完全满足处理双向4Gbps吞吐量。
软件安装环境
硬件:Intel x86平台,配置P3 800Mhz以上、256M内存以上、3块网卡,128M以上电子盘或硬盘均可。
操作系统:FreeBSD 6.2或以上(Panabit 2007仅支持FreeBSD 4.11)。

在这样的硬件配置下,能做到这样的线速还是不错的。当然,对于这样的系统,其对不同类型(Category)的应用程序能支持多少的pps(Packet Per Second)是更重要的。似乎Panabit没有提供这方面的数据。

在体系结构方面,似乎Panabit是采用软件OEM的方式开拓市场。这在目前的规模下是正确的。但从长远考量,是否需要做出自己的流量控制卡服务模块,例如通过PCI-E,Rapid-IO,SPI等的接口,从而第3方的网络大公司可以通过插卡的方式与其互联是一个值得考虑的问题。当然,Panabit自己做系统就是一个更大的问题了。

另外,笔者认为Panabit最大的挑战在于,如果这个市场足够大而引起国内业界,例如华为,中兴,山石等其他具备资源优势(人力,财力,渠道)的公司的足够重视,Panabit如何在竞争中生存,更重要的是,如何规模的成长,这是一个非常严重的问题。

原文链接: http://www.tektalk.cn/2009/04/28/%E6%B5%81%E9%87%8F%E6%8E%A7%E5%88%B6%EF%BC%8Cp2p%E5%BA%94%E7%94%A8%E7%9A%84%E8%AF%86%E5%88%AB%E4%B8%8E%E6%8E%A7%E5%88%B6%E7%B3%BB%E7%BB%9F-panabit/
页: [1]
查看完整版本: 弯曲评论转载文章之二:流量控制--P2P应用的识别与控制系统: Panabit (作者 陈怀临)