D-Link的DPF系列流控设备融合了强大P2P/IM 流量和会话管理控制,业务数据流带宽优化,动态QoS调度,策略路由、负载均衡和系统自备份,网络流量过滤和监控统计,网络用户接入认证管理,访问授权等多种技术,内置有强大的防火墙功能,全部功能应用都是基于策略的灵活定制,可以全方位的保护企业和电信级的网络,迅速提升网络的有效性和安全可控性。
D-Link的全能策略流控产品采用了专用的网络安全处理芯片,可以对四到七层的报文内容进行深层次分析,能识别网内的业务数据,并进而指定相应的策略,以保障正常业务的开展。PDF系列可以识别出几十种P2P和IM的应用(包括国内最常见的MSN、QQ、eMule、BT、PPlive等),并进行精确控制,提高网络的有效利用率。IM管理可以控制IM的语音、文件、聊天等,并进行详细的记录。DPF系列使用的专用网络安全集成电路芯片组,最高可以达到32Gbps的网络数据处理能力,以确保提升网络整体安全的同时,不会成为网络的瓶颈,降低网络应用性能。
目前D-Link共推出六款机型,以满足不同网络规模的应用,分别是:DPF-500、DPF-1200E、DPF-1500E、DPF-1800E、DPF-2010E、DPF-6012E。这六款设备所能实现的功能基本相同,主要差别在于系统硬件芯片所能承载的处理性能。
多层次流量控制
DPF系列将网络数据流优化归纳为三个要素进行管理控制,带宽、QoS和并发连接数。带宽和QoS是应用数据流优化的主要数据,可以采用L4-L7的DPI来精确的识别数据流和控制;并发连接数是基于行为对网络数据进行正常和异常的识别和控制。
DPF系列的多层次流量优化管理是通过这三个要素进行策略化的组合控制,包括:
♦ 基于IP的策略化控制带宽、QoS和并发连接数
♦ 基于子网和子网组策略控制带宽、QoS和并发连接数
♦ 基于用户和用户组策略控制带宽、QoS和并发连接数
♦ 基于时间的策略化控制带宽、QoS和并发连接数
基于IP和子网的控制,可以针对希望控制的网络部分区域进行流量优化和管控,对某些IP或子网执行控制策略,如学校的学生区网段,企业的某个部门子网等。基于用户和用户组的策略化控制可以精确的控制用户和用户群体的流量策略,而与用户和用户组在某个子网无关。基于用户和用户组的策略化控制需要跟用户认证管理相结合,如LDAP,Radius认证,POP3认证等等。基于时间的策略化控制是根据时间段去自动的执行不同的优化控制策略,如在8:00-18:00是一种控制策略,18:00-8:00是另外一种控制策略,便于企业和学校在不同的工作和休息时间进行不同的优化控制。
多层次的流量控制,能够有效识别已知的应用和基于行为侦测未知的异常数据流,并加以控制优化。对已知应用的数据流可以进行带宽控制,QoS措施等,对异常的数据流可以进行总会话数控制,突发带宽控制等方式,从而提高网络的有效利用率,优化网络环境,更好的为正常业务开展服务。
深度包检测模块
深度包检测模块,也简称DPI模块,DPF系列的DPI模块包括七层的分析和控制执行,其中分析模块通过应用层识别来判别流量的类别,然后由控制模块执行相应的策略。如下图,DPI的分析模块将流量中的BT,Emule等P2P下载应用、IM应用和P2P媒体播放PPlive等做出识别。在DPI的控制模块执行已经配置好的策略,如对于P2P下载进行禁止,IM允许通过,P2P流媒体进行流量控制等不同的控制。
线速级链路负载均衡
DPF系列的流量优化管理还包含了多链路的流量负载均衡管理。DPF系列能够实现多条出口链路的线速级负载均衡。目前多数网络有多个ISP出口,以提高网络的整体可靠性,D-Link流控设备能够用单台设备在对多个网络出口P2P流量进行优化控制,同时还可以解决多个链路之间的负载均衡。
高性能防火墙
DPF系列中还嵌有高性能的硬件防火墙模块,在进行流量管理的同时,还提供多层次的安全保护。
详尽的日志记录
可以详细记录网络出口的日志信息,如源IP、源端口、目的IP、目的端口、协议号、NAT方向、NAT IP、NAT端口、服务类型、发送数据包大小、接收数据包大小、开始时间、持续时间,以及MSN聊天记录、邮件记录(邮件帐号、邮件标题)、URL记录等。
流控设备的部署
DPF系列通常部署在网络的出口和关键链接处,对网络进行组合式优化管理和流量控制。DPF系列可以工作在透明模式、路由模式和地址转换模式。工作在透明模式时,对现有网络不需做任何改动,可以将网络优化和组合控制无缝的融合到现网中;工作在路由模式,可以灵活定制策略路由,可以根据不同的用户或IP地址段进行策略化管理。 |
