【IT168资讯】随着网络经济的迅速崛起，网络应用得到蓬勃发展,昨天还徘徊在看看网页、发发邮件、聊聊天的“网络菜鸟”们，如今已频繁活跃于在线游戏、即时下载、网络音频、在线电影、视频会议等网络高端应用中。

　　面对着日益增长的需求，现代网络正承载着前所未有的压力。对SOHO和企业网，高速而廉价的以太网技术使内网通信瓶颈逐渐化解，而Internet网络接入逐渐成为网络运维的焦点。目前中国城域网的建设并不充分，最后一公里的带宽瓶颈现象将在未来几年内持续存在。因此，如何使Internet接入网络更加稳定、安全和快捷，是现阶段网络运维应当研究和解决的重要课题。

　　典型接入网络分析

　　1、典型接入网络拓补结构

　　典型接入网络的特点是：内网高速，接入低速！

　　内部局域网由二层、三层交换设备构建而成，其内部通信速度已经从10M、100M发展到了Giga通信能力。而在内网与Internet网的接入边缘存在的带宽瓶颈，是内网访问Internet速度慢、稳定性差等根源。

点击放大

 　　网络应用的分类

　　2、接入网常见问题

　　问题一：少数用户的高带宽应用占用了大量带宽

　　在一个100－300台主机的典型企业网中，采用了10M接入带宽，如果有几个用户同时使用BT下载电影，其它所有用户上网速度都被拖慢。

　　问题二：病毒攻击占用大量带宽

　　在200－400台主机的网吧中，采用了20M接入带宽，此时，内网中有3至5台主机因感染了冲击波病毒而疯狂地向Internet发送数据包，其它用户受到严重影响，正在进行的网络游戏，轻者出现停顿，重者游戏中断，玩家装备丢失，进而引发纠纷。

点击放大

　　问题三：病毒和非法攻击消耗NAT资源

　　一台PC感染冲击波病毒，当传染程序启动后，会以每秒300－400个报文的速度去“尝试传染其他主机”，NAT表项在几十秒之内，完全耗尽，其他主机的访问请求将很难建立。

　　问题四：网管人员对内网管理存在困难

　　网络管理难以集中，不能随时掌握网络变化，无法正确预见内网问题，查找染毒原因和具体染毒主机困难且工作量大。

　　3、常规处理手段的分析

　　对问题一，可以通过配置防火墙，阻断高带宽应用来解决

　　这种处理手段存在的问题：

　　① 通过限制应用来解决拥塞，与“用户需要广泛的应用支持”原则不符。对网吧或小区营运商而言，应用支持能力不足将会使他们在竞争中失去优势

　　② 对BT类应用，常规的防火墙无法识别并阻断这类应用

　　对问题二，可以通过配置防火墙来阻断病毒

　　这种处理手段存在的问题：很多病毒利用正常应用的漏洞来传染和攻击，在阻断病毒的同时，也影响了相关的正常应用。

　　对问题三，可以通过限制主机NAT数量来防止NAT耗尽。

　　这种处理手段存在的问题：如果限制值过大，防范作用将削弱；如果限制值过小，就会影响正常的应用，如：网页打开数量稍多后，无法打开新网页。

　　对问题四，可以通过抓包工具Etherpeek/Sniffer进行数据包分析，找到病毒主机或攻击主机

　　这种处理手段存在的问题：对网管人员的网络知识和技能要求较高，工作量大，过程繁锁；而且采用HUB进行数据包窥探的方式，本身就会引入新网络瓶颈，使分析准确率下降。

　　4、真正的解决之道---DIFF网络标准

　　那么，究竟什么才是衡量一个好网络的标准呢？

　　我们的回答是：  差异服务保证（Different Service）

　　主机集中管理（Intergated Monitoring and Management）

　　整网业务支持（Full-Application Support）

　　用户公平保障（Fairly User Indemnificatory）

点击放大

　　未来接入网络正在朝速度更快、服务质量更好和更易于综合化管理的三个方向发展。因此，只有符合DIFF技术标准的智能均衡网络，才能完全解决上述问题！

三、符合DIFF标准的智能均衡网络

　　1、DIFF网络标准特征

　　差异服务保证（Different Service）:对不同类型的应用提供不同优先级别的服务。例如对高实时性应用提供优先转发服务，对低实时性应用进行“抽空转发”的滞后转发处理

　　主机集中管理（Intergated Monitoring and Management）:对内网提供集中式并延伸到每台主机的综合网络管理能力

　　整网应用支持（Full-Application Support）:支持各种流行的应用，MSN/QQ的语言视频支持，内建FTP SERVER的主动、被动模式支持，如：对BT、各种网络游戏均能支持

　　用户公平保障（Fairly User Indemnificatory）:在条件相同的情况下，对不同用户进行公平对待，均衡地共享网络资源，避免因少数用户抢占带宽而干扰多数用户的使用

　　2、DIFF标准采用的技术

　　多优先级队列技术---MPQ（Multi-Priority Queue）

　　多令牌抢占式策略---MTPP(Multi-Token Preemptive Policy)

　　带宽无损失转发技术---MUB(Maximum Using of Bandwidth)

　　集中深度监控技术---IDM(Integrated Deeply Monitoring)

　　MPQ技术针对解决差异化服务提供能力，并借助强大的队列调度策略MTPP，实现不同服务等级之间的抢占或策略化均衡。

　　带宽无损失转发技术(MUB)优化带宽分配，以避免“传统带宽预留技术”引发的闲置带宽浪费现象，最大限度地利用网络资源。

　　集中深度监控技术（IDM）提供强大的访问管理、日志审计和实时监控功能，使网络管理人员能够及时、有效地对内部主机的上网行为进行监控、统计、分析，设置多条规则为内部主机提供不同的互联网访问权限，杜绝无关的上网行为，提高企业员工的工作效率，降低公司的运营资本。通过对应用服务、访问时间、远程主机的设置，使动态配置管理真正的实施到网络中的每台主机。

四、智能均衡网络与传统接入网络对比

　　我们分别使用智能均衡网络与传统网络接入方式，模拟网络病毒攻击、内网受到恶性攻击、多台主机并发大流量BT、FTP下载，全面详细测试网络的使用情况，并进行对比。

　　一、病毒攻击环境下的网络性能

　　测试环境：

　　1、采用典型的电信ADSL 接入（标称1Mbps下行带宽，512Kbps上行带宽）。为了降低“实际带宽不足”带来的影响，配置“QoS智能网关”的下行带宽为900Kbps，上行带宽为400K

　　2、在内网中使用FreeSend（一种网络发包工具）软件模拟十台PC同时感染冲击波病毒并且疯狂的向外发包攻击

　　3、采用两台PC模拟一般用户使用网络应用的情况：一台PC进行网络游戏（传奇），另外一台PC进行正常的WEB浏览

点击放大

　　测试结果对比

二、模拟“内网存在恶性攻击环境”中的网络性能

　　测试环境：

　　1、采用典型的电信ADSL 接入（标称1Mbps下行带宽，512Kbps上行带宽）。为了降低“实际带宽不足”带来的影响，配置“QoS智能网关”的下行带宽为900Kbps，上行带宽为400K

　　2、采用专业网络测试仪器SmartBits 6000B对Internet网进行高速传输，模拟内部网络存在的恶性攻击

　　3、采用两台PC模拟一般用户使用网络应用的情况：一台PC进行网络游戏（传奇），另外一台PC进行正常的WEB浏览

点击放大

　　测试结果对比

三、模拟内网多台主机并发大流量BT、FTP下载时的使用性能

　　测试环境：

　　1、采用典型的电信ADSL 接入（标称1Mbps下行带宽，512Kbps上行带宽）。为了降低“实际带宽不足”带来的影响，配置“QoS智能网关”的下行带宽为900Kbps，上行带宽为400K

　　2、采用2台PC模拟大流量下载：第一台PC大流量BT下载，第二台PC大流量FTP下载

　　3、采用两台PC模拟一般用户使用网络应用的情况：一台PC进行网络游戏（传奇），另外一台PC进行正常的WEB浏览

点击放大

　　测试结果对比

五、综述

　　基于DIFF网络标准的QOS智能网关，完全可以解决带宽的最大利用、服务差异化、同级应用公平对待、主机集中管理……。

　　作为宽带网络接入技术的领跑者，DIFF技术标准为NETCORE系列智能网关注入了无限的活力和强劲的生机，NETCORE 28、29系列产品也必将以QOS技术应用为主导，继续在信息时代驰骋前进！