网络卫士应用流量管理系统TopFlow产品说明；3.2旁路监听模式；TopFlow设备以旁路方式部署在交换机或路由器；典型的部署方式如下图所示：；采用监听模式接入，TopFlow不会对现有网络造；北京天融信公司5；网络卫士应用流量管理系统TopFlow产品说明；4产品特色优势；4.1协议识别精准；可对端口跳变、协议包修改、无故增加的扰流数据以及；4.2支持策
网络卫士应用流量管理系统TopFlow产品说明 3.2 旁路监听模式 TopFlow设备以旁路方式部署在交换机或路由器旁，通过交换机或路由器的“Port Mirror” (端口镜像)技术对经过交换机和路由器的上下行端口的流量进行协议分析、统计。(注：旁路监听模式下，TopFlow只能对流量做分析统计，而不能做控制。) 典型的部署方式如下图所示：
采用监听模式接入，TopFlow不会对现有网络造成任何影响，典型的使用方式是用户先采取监听模式采集网络的各种流量信息，然后根据网络实际情况制定相应访问控制和带宽管理策略，最后以透明网桥或透明网关模式将TopFlow接入到网络中。 北京天融信公司 5 网络卫士应用流量管理系统TopFlow产品说明 4 产品特色优势 4.1 协议识别精准 可对端口跳变、协议包修改、无故增加的扰流数据以及加密协议都有非常精准的识别，识别率达到99%。 4.2 支持策略嵌套 策略嵌套是指在同一条策略中，既可以针对特定对象(IP或应用)进行总的数据通道控制，也可以单IP限速，同时可并列匹配“DSCP标记”、“对端抑制”等参数，实现策略的高度灵活性和简洁性；(注：在一条策略里，做到对流量控制、单IP限速、是否增加”DSCP标记”、TCP对端抑制，做这种复杂的策略嵌且同时满足性能要求）同时，支持流量DSCP标记； 4.3 http控制 HTTP管控，顾名思义即针对内网IP所发起的HTTP行为的控制管理。包含以下功能：1、控制通过HTTP方式访问的文件类型，如控制用户通过HTTP下载.exe文件，防止误下载到某些木马病毒的可执行程序，或控制用户上班时间通过HTTP方式下载.rmvb或者.mp3等与工作内容无关的文件；2、控制内网用户访问某些网站，可控制访问方法是GET（浏览）或是POST（发帖），通过控制POST访问方法，主动杜绝内网用户在某些网站发布某些不良信息；3、URL访问重定向，如上班时间将用户对开心网、土豆网的访问自动重定向到公司网站；4、Web信息提示，对触发到HTTP管控策略的用户返回一个友好提示：如用户访问开心网时即返回“上班时间，请勿游戏”，也可以通过此功能发布通知，如“下午5点，全体开会”。
4.4 DNS控制 DNS管控支持DNS重定向、DNS劫持、丢弃请求等功能。具体特点为 北京天融信公司 6 网络卫士应用流量管理系统TopFlow产品说明 1） DNS重定向：此功能主要适用于大型网络，比如 ISP希望用户的网络访问能够从自身网络中获取资源，而不是从其他ISP网络中获取。比如联通希望用户从自身网络获取网站资源，而实际上用户计算机配置为电信DNS，那么用户的DNS 请求都将被引导至指定的联通DNS 服务器并返回相应的解析结果。 2） DNS劫持：此功能用于禁止内网访问某些外网网址或域名，如果需要禁止客户访问某些网站，则可启用此功能，将针对这些网站的DNS请求劫持至一个IP，这个IP地址可以随意填写，只要其不可达即可。 3） 丢弃请求： 对指定用户或指定目标网站/域名的DNS请求执行丢弃动作。 4.5 应用流量深度放大功能 可实时显示单个IP流量速率和单个当前各个应用的速率明细，如放大镜一般层层显示。例如看到当前全网的应用流量分布图，可点击任何关心的流量内容进入详细的流量协议应用分布，然后点击具体的协议，可展示具体的在线用户和趋势图表，再点击具体的IP用户，可现实该IP具体的流量概况、应用概况、连接信息、相关身份、共享用户等等，真正做到放大镜的功能。 4.6 用户身份追查功能 可提供单个IP对应的用户身份信息，如QQ号码、MSN帐号、POP3帐号等，便于身份追查。 4.7 应用分流及流量代理功能 支持应用分流和流量代理功能，可实现应用路由、应用负载均衡功能，真正将网络的各种应用流量进行有效管理和控制。比如在精确的协议识别前提下，根据部署模式与路由器配合或直接将不同的应用协议分流到不同的网络出口，以“流量代理”方式，将指定类型协议如P2P下载、网络电视等流量经由指定出口转发至外网，实现基于应用的负载均衡，可实现应用流量的“一进多出”或“M进N出”），对多链路网络进行流量走向的重新规划，变流量控制为流量疏导。支持下列应用的真正分流： 北京天融信公司 7 网络卫士应用流量管理系统TopFlow产品说明 ? 支持对P2P下载类，并且支持对伪装成HTTP下载的P2P流量：“伪IE下载”、“HTTP分块传输”的应用分流；
? 支持对网络电视类应用的应用分流；
? 支持对网络游戏类应用的应用分流；
? 支持对Web视频类应用的应用分流； 以下是此功能的实现方式及示例，根据部署拓扑区分为以下两种情况： 1、 TOPFLOW以网桥方式部署在出口路由器与核心交换机之间，在网桥的外网卡如em1上设置流量代理，路由器设置策略路由，将源地址为此代理IP的流量转发到特定的ISP链路。 拓扑图如下：
2、用户出口链路为多链路，将非网桥的数据网卡设置为“监控模式+外网卡”，监控网卡上启用流量代理，此网卡直连目标ISP的出口路由器，此时符合定义的应用协议流量将进入指定的ISP网络出去，路由器上无需做策略路由。拓扑图如下： 北京天融信公司 8 网络卫士应用流量管理系统TopFlow产品说明
4.8 跨路由代理流量检查 跨路由代理流量检查室基于最终用户的应用协议检查，能应对所有的共享机制，如NAT、网卡共享、软件代理等进行深度检查，也就是常说的一拖N用户检测、控制的功能。例如多个用户使用一台PC作为代理服务器上网，或跨越多级路由，此时流量管理系统就能检查到藏在后端的其他PC终端IP。 4.9 支持流量DSCP标记以和路由器联动；
当用户需要对某些协议做策略路由、负载均衡、存储分析等操作时，可使用此功能。此功能早于流量代理功能先完成，与流量代理所起的作用相似，比如用户需要对迅雷协议走指定的出口链路A，或者要将迅雷协议转发或通过网络存储至本地进行数据分析，通过流控设备对识别到的迅雷数据包打DSCP标记，路由器收到带这些标记的数据包即可以对应做策略进行处理。 4.10 基于TCP、UDP连接数控制 其他产品无法区分TCP或UDP的连接数，比同类产品更精细一层的控制。当前的P2P在数据传输时大都使用UDP，所以精细区分更有针对性。支持对外网特定目标地址的TCP、UDP和总的应用并发连接数控制，如当内网某些机器中毒，频繁向外网某服务北京天融信公司 9 三亿文库包含各类专业文献、生活休闲娱乐、中学教育、文学作品欣赏、应用写作文书、各类资格考试、幼儿教育、小学教育、91应用流量管理系统产品说明等内容。　
　而在航空线路的数量没有得到较大扩展的情况下,越来越多的航空器不仅给 航空运输安全造成负面影响,而且也给航空流量管理系统带来了很大压力。文章通过介绍航空 飞行... 　商店管理系统需求分析说明书_计算机软件及应用_IT/...商店管理系统管理 商品管理员 采购 商品 采购:通过...数据库系统 考虑到用户的数据流量,建议使用 mySQL ... 　13 北京天融信公司 i 网络卫士应用流量管理系统 TopFlow 产品说明 1 前言天融信应用流量管理系统 TopFlow 历经多年的研发和经验积累,是业界专业的应用 流量分析及... 　网康智能流量管理系统NT 4000产品介绍_计算机硬件及网络_IT/计算机_专业资料。网...输出指定日期、时间、通道、应用、用户的流量走势图及应用流量叠 加走势图 ? ... 　网康智能流量管理系统 WK-T360 产品 WK双向 50Mbps 吞吐量的智能流量管理设备 网康智能流量管理系统(NetentSec Intelligent Traffic Manager, 简称 NS-ITM)是网康... 　中软上网行为和流量管理系统使用手册_计算机软件及应用_IT/计算机_专业资料。中软...2 产品介绍控制不正当网络行为最有效的途径: 从边界入手, 切断传播, 实现内容... 　Panabit流量管理系统使用经验_计算机硬件及网络_IT/...“应用模式”中, 选择同一个网桥名称就行了,例如...则说明拔下 的是管理 Panabit 的网线,如果断下的... 　46 2 丹东天元软件公司 一、 系统介绍 1、 系统简介 本系统适用于中小型物流公司管理日常信息,使用本系统可有效提高工 作效率,提高公司的管理水平,杜绝资金流失的...查看:1815|回复：2
用winServer搭建一个内网DNS服务器，然后把移动的资源域名和地址映射配置到本地上，然后转发器指向联通运营商的DNS地址，在路由器上配置去移动的精确路由，这么可以实现联通和移动双出口分流吗？也就是访问一些常用的大站走移动，其他的走联通？
助理工程师
DNS管控和应用分流，比你想的要复杂，你这个设想有个基本假设，就是内网用户都用了你这个dns，这在很多时候不成立。
给你个例子看一下配置逻辑，参考：
智能DNS管控：
应用分流：
内网用户的DNS是我自己分配的，这个可以保证的。查看: 8652|回复: 2
DNS管控的实现原理和设置方法
DNS管控中DNS重定向功能的实现原理和设置方法
本篇tips详细讲解了如何设置DNS管控中的DNS重定向功能
DNS管控中重定向功能的原理就是对DNS请求的数据包做一次SNAT+DNAT（源地址转换和目的地址转换）。
例如,DNS请求的数据包源地址是192.168.1.100，请求的DNS是8.8.8.8
源数据包.png (4.67 KB, 下载次数: 27)
17:09 上传
这个数据包经过Panabit的DNS管控重定向的策略后就变成了，源IP是1.1.1.1，DNS是114.114.114.114.
重定向数据包.png (4.29 KB, 下载次数: 24)
17:09 上传
这样客户机在请求这个DNS上去解析了。
1）使用重定向应急DNS网络恢复
当主DNS故障时，可以通过此功能把DNS重定向到备用DNS，快速恢复网络。
2）使用劫持与CDN节点智能配合
防止用户自己私设第三方DNS，导致无法命中内网资源。
3）重定向使IDC智能选择DNS路径
当出口有多个运营商接入的时候，可以灵活控制用户使用哪个运营商的DNS。控制各个运营商出口之间的流量均衡。
3，常用的组网方式
在PA的一个空闲接口上设置一个WAN线路，通过这条WAN线路，我们把DNS的流量牵引到指定的DNS服务器上。
图片1.png (78.39 KB, 下载次数: 24)
17:09 上传
1）建立WAN线路，保证1.1.1.1这个地址路由可达114.114.114.114
应用路由--接口线路--wan线路
WAN.png (35.2 KB, 下载次数: 24)
17:09 上传
2）设置DNS管控，将DNS重定向到这条WAN线路
应用路由--DNS管控
DNS管控-重定向.png (64.76 KB, 下载次数: 69)
17:09 上传
这样就实现了DNS重定向。
5,常见问题
使用了DNS管控后，网页打不开，或者打开慢。
1）有可能WAN线路路由不可达目的DNS服务器
2）有可能目的DNS服务器对单ip的DNS解析查询频率做了限制
3）有可能DNS服务器认为WAN线路的IP请求量太大，直接封了这个IP的请求
判断方法：
查看DNS管控的超时情况
监控统计--WAN线路
DNS管控-超时.png (92.63 KB, 下载次数: 78)
17:09 上传
如果请求与超时的比例大于3%（超时数/请求数），这样就有可能会导致用户体验不好。这时候就要查一下DNS服务器是否对单IP请求频率有限制。或者到DNS服务器的路由是否出现异常。可以通过 floweye nat config cleardns=线路ID（floweye nat listproxy查询线路ID）命令清空计数器，重新统计。
解决方法：
为了避免单IP请求量太大，DNS服务器处理不过来，我们可以尝试做均衡
1）在同一个物理接口上建立多条WAN线路
WAN3.png (10.27 KB, 下载次数: 28)
17:09 上传
2）然后把这些线路加到一个线路群组里
DNS群组.png (59.42 KB, 下载次数: 74)
17:09 上传
3）DNS管控重定向调用这个群组
DNS管控-重定向群组.png (63.33 KB, 下载次数: 163)
17:09 上传
这样DNS做重定向的之后就会均衡到这个群组的3条WAN线路上。
值得点个赞..
这个功能应该对免费版本开放!
Powered by1、什么是DNS管控？&&&&神行者路由的DNS管控又叫做DNS重定向或者DNS劫持，就是人为的去管理和掌控使用指定的DNS服务器去解析指定的域名地址。多线情况下可以做到有效的优化网内资源出口分布，合理利用资源，降低运营成本等目的。2、DNS管控在实际应用中有什么作用？&&&&DNS管控也可以理解为DNS分流。在我国北方地区，通常以联通的DNS为主，而在南方则通常以电信的DNS为主，而对应的不同运营商所提供的带宽价格根据地区的不同也有所差别。我们以南方某小区为例，说明DNS管控功能的优势和作用。比如某县城运营商网内有5条比较昂贵的100M电信线路和10条相对便宜的100M联通线路，原本在路由负载均衡策略上面做的是电信走电信，联通走联通，但是在南方人们多以电信的资源为主，从而导致电信线路常常爆满，而联通线路带宽基本上没怎么使用，用户反映卡，并且带宽资源得不到有效利用。此时我们可以利用神行者路由的DNS管控功能，将一些热门视频或者网站劫持引流到联通的线路上面去（因为一般的大型热门视频网站都支持双线解析，因此不必担心重定向后网站打不开的情况），让电信线路去跑游戏网页等对线路质量要求较高的应用，联通线路跑一些视频下载等应用。从而有效调配出口资源，优化网络环境，使有限的带宽去带动更多的用户。而同时，我们也可以将用户通常查询IP的一些网站，比如IP138等网站使用电信线路去解析，从而达到用户查询IP时看到自己是电信的IP地址。至此，大家对DNS管控的优势是否有所了解呢？3.DNS管控和应用分流的区别在哪里？&&&&大家看了上面的描述，是否觉得DNS分流不就是应用分流功能嘛！其实不然，两者是有区别的两个功能。&&&&1.DNS管控的对象是域名，而应用分流的对象是应用协议；&&&&2.DNS管控只负责用哪个运营商的DNS来解析网站，而至于用哪条线路来访问这个网站则是由应用路由来控制，也可以理解为DNS管控只管理出发点和目的点，而中间怎么走则由应用分流控制走哪条线路。&&&&3.DNS管控可用于单线路域名解析管理，通常用于强制某网站用某个DNS解析或者直接丢弃动作达到摒弃某个网站的作用，而应用分流在单线下没有作用。&&&&4.DNS管控和应用分流同时存在针对某个网站产生动作时，DNS管控优先级更高。4.神行者路由DNS管控的使用方法&&&&&&&&我们在DNS列表和DNS群组里面添加好域名地址，然后做一条DNS策略去执行操作。&&&&1.新建和添加好我们要处理的网站域名&&&&由【路由策略】-【DNS管控】进入配置页面，点击DNS群组并且新增一个群组；&&&&&&&&评论&&&&&&然后我们点击DNS列表新增，向刚刚的DNS群组中添加域名；&&&&&&&&评论&&&&2.建立DNS管控策略&&&&点击NDS策略，新增一条DNS管控策略：访问域名选择我们刚刚添加的“测试购物网站”，执行动作选择“NAT”，抽线路选择“电信”，则我们可以将“&&&&&&&&评论&&&&评论&&&&名词解释：&&&&策略标识：用于区别多个DNS策略的执行顺序，1-65535之间的数字，数字越小，策略越先被匹配执行；&&&&生效时间：定义策略的在什么时候生效，时间组可在【群组管理】-【时间组】中提前定义好；&&&&源接口、源线路：用于匹配哪个物理口哪个LAN线路下面的用户数据执行该DNS策略，默认全部；&&&&访问域名：匹配我们访问哪些域名的时候去执行策略动作，默认全部；&&&&等于、不等于：数据匹配到时执行动作，数据不匹配时执行动作，默认等于；&&&&VLAN：是否处理带VLAN标记的数据，默认全部；&&&&源地址：匹配指定哪些内网地址执行DNS管控策略，默认全部；&&&&目的DNS服务器：匹配指定具体访问某个DNS服务器地址的时候执行该DNS管控策略，默认全部；&&&&执行动作：NAT：内网用户数据出外网时我们一般选择NAT动作；&&&&&&&&&&&&&&&&&&&&路由：数据在内网传输不出外网的时候我们一般选择路由动作&&&&&&&&&&&&&&&&&&&&丢弃：将匹配到的域名数据直接丢弃，不解析；&&&&&&&&&&&&&&&&&&&&劫持IP至：将匹配到的域名数据强行使用指定的IP地址来解析；&&&&出口线路：当动作选择“NAT”时，出现外网出口线路可供选择，当动作选择“路由”时。出现内网线路可供选择，当动作选择“丢弃”时，不出现，动作选择“劫持IP至”，则出现要求填写具体的用于解析DNS的服务器地址。
您需要登录后才可以发帖
其他登录方式：产品中心&&&Product
热门产品&&&Hot
搜索&&&Search
你的位置： >
天融信应用流量管理TopFlow
产品品牌&&&天融信
产品型号&&&应用流量管理TopFlow
TopFlow应用流量管理系统是一套对网络行为应用流量进行分析、监管和管控的专业系统。...
&&&&& TopFlow应用流量管理系统是一套对网络行为应用流量进行分析、监管和管控的专业系统。TopFlow能够对用户网络行为流量进行精细化管理，为管理者提供图形化的应用监视、应用分析、流量管理、应用统计、应用控制、流量审计、应用报表等功能，是最新一代应用丰富且管控精准的应用流量分析监管系统。网络卫士应用流量管理系统从百兆到万兆，全系列产品都具有很高的系统稳定性，适用于强调图形化应用行为监控分析、用户行为精细化控制、应用识别精准度大于99%、系统运行要求稳定的网络环境。
核心技术：
& &&& TopFlow应用流量管理系统通过天融信公司近16年的技术积累，对多达数万用户应用的应用分析、统计，以及天融信自主操作系统TOS基础上开发的基于用户应用分析及管控的系统。具有完全自主知识产权的TOS (Topsec Operating System) 安全操作系统采用全模块化设计，使用中间层理念，减少系统对硬件的依赖性，使得内核更为精简和优化，特别在天融信多核处理硬件平台上，通过大量的协议栈优化，针对高性能处理需求进行了中断处理和驱动优化，在天融信专有多核处理平台上，数据以最快速度执行、以较高优先级运行、以超高速放行。
产品特点：
应用识别准确率超过99%
&&&&& 通过完善的应用协议特征库(signatures)检测和伪装探测技术，并采用 DPI(Deep Packet Inspection)深度包检测技术来识别各种用户应用，特别对采用逃避技术的加密协议进行精准识别，如采用加密传输的迅雷、电驴、QVOD视频等加密类协议进行及时而精准识别，应用识别率超过99%。
超高性能及高稳定性
&&&&&&1、TopFlow采用先进的技术对硬件和软件进行优化处理：
&&&&& 硬件优化：
&&&&&&&&&&& 采用多核架构，四核各司其职，专职处理管理、监控、检测和控制等模块，大大提升资源利用率。
&&&&& 软件优化：
&&&&&&&&&&& 基于TOS平台，进行协议栈优化，对高性能处理需求进行中断处理函数和网卡驱动修改，优先处理，超高速放行。&
&&&&& 策略优化：
&&&&&&&&&&& 采用“节点”管理技术，优化检测匹配策略提高检测效率.&
&&&&& 2、性能可达万兆（20G），并发可达2000万，用户数可支持50万，可用于运营商；高可靠性；双OS系统冗余备份功能，保证在任何状况下系统运行的稳定性，同时完善的bypass功能保证系统健康运行。坚若磐石的双进程容错技术，保障系统健壮，出错后自动愈合。
用户行为精细化监控分析和管控
&&&&& 可实时显示单个IP流量速率和单个当前各个应用的速率明细，如放大镜一般层层显示，可快速得到基于用户应用行为的分析，帮助用户保护网络、及时发现恶意流量、阻止安全威胁和恶意流量及故障排除，发现性能问题；可视网络，了解你的网络应用和用户的活动；优化网络，保证应用和服务的性能；规划未来、决定未来需求、分析长期趋势、规划未来的需求及容量，层层监控分析剖析整个网络。
详细的应用控制和分流
&&&&& 对http应用进行详细管控，如控制用户通过HTTP下载某类型文件，控制用户访问某些网站，也可控制用户在论坛及微博发帖，主动杜绝用户在某些网站发布不良信息；对DNS管控。如可根据不同运营商链路将DNS解析到对应的线路上，实现对内网DNS请求进行代理、对外网DNS响应进行劫持的功能。支持应用分流和流量代理功能，可实现应用路由、应用负载均衡功能，真正将网络的各种应用流量进行有效管理和控制。
用户身份追踪
&&&&& 可提供单个IP对应的用户身份信息，如QQ号码、MSN帐号、POP3帐号等，便于身份追查；代理上网IP追踪：跨路由代理流量检查是基于最终用户的应用协议检查，能应对所有的共享机制，如NAT、网卡共享、软件代理等进行深度检查，也就是常说的一拖N用户检测、控制的功能；例如多个用户使用一台PC作为代理服务器上网，或跨越多级路由，此时流量管理系统就能检查到藏在后端的其他PC终端IP。
丰富多样的报表及集中监控
&&&&& 通道流量、各应用协议/协议组的日图表、周图表、月图表；连接统计、节点统计、协议统计、PPS统计；自定义报表功能：用户可针对自己关心的IP/IP组、应用协议/协议组等不同的对象自定义一个报表，将针对多个对象的统计结果集中显示在一个图表中，减少日常监控的工作量；统计数据可以指定不同的线形和颜色以绝对值或叠加的方式显示；报表统计的时间跨度可以是当天、本周和当月。
大连航远科技
版权所有 All rights reserved Powered By}