【51CTO.com 綜合報道】從企業園區網的發展進程可以看出，網絡的建設者和管理者正在嘗試以業務為核心將網絡的各個邏輯層級涉及的相關技術進行分離，各個層級獨立發展，同時大量使用已經獲得認可的現有技術，降低整個網絡的部署成本。作為一體化園區網絡融合的重點，“隨人而動”的移動園區網通過實現網絡架構的模塊化、簡單化，各個層級精細化，讓用戶集中精力于自己所關注的業務，使網絡也因為一個個精致的業務而獲得更好的發展。因此，如何建設并部署深度業務感知型移動園區網是需要重點考慮的內容。

1. 移動接入下的園區網絡承載需求  

圖1 移動園區網業務承載邏輯圖

1.1. 移動VoIP業務

WLAN的園區全覆蓋帶來的最大增值業務之一，就是FMC（固定移動融合）的企業統一通信，這也是未來智能建筑的準入標準規格之一。如果無線控制層缺乏一定的業務感知能力，將無法對通過相關語音協議進行傳輸的數據進行內容和行為的監控，則會發生大量的數據移動傳輸內容不可控而可能帶來安全問題，特別是給大企業的網絡帶來安全問題。

1.2. 移動P2P共享傳輸應用   

P2P技術在一定程度上實現了IP網絡帶寬資源的合理分配，使一些對于帶寬要求高的業務（如視頻流媒體業務）有望得以規模化應用。同時，大量P2P應用也在瘋狂的搶占網絡帶寬資源，有數據顯示在晚上高峰時段大約有90％的流量為P2P應用。

通過觀察，大多數P2P傳輸中小報文比例超過60%，遠遠超過普通網絡應用中的小報文比例。并且，大量的上行流量，也成為P2P共享傳輸應用中重要的組成部分。

雖然802.11-->802.11b-->802.11a/g-->802.11n協議主要致力于提高無線局域網的傳輸性能，實現了從2M-->11M-->54M-->300M理論傳輸能力的飛躍。但WLAN網絡的性能實際是指一個共享的空間媒質所能夠支持的報文傳輸能力。所有的在這個空間媒質中（這里還是指同信道）的所有設備都將共享空間媒質的性能，也就是共同搶占空間媒質。WLAN通過這個機制實現了設備在空間媒質的報文的分時傳輸，也在一定程度上同樣會消耗空口資源，降低空口的傳輸能力。     因此，有效地對移動業務中的P2P應用進行感知控制，是移動網絡需要具備的新特點之一。

 1.3. 無處不在的實時移動應用

隨著終端，特別是以MID（Mobile Internet Devices）形式出現具備WLAN等多通道接入能力的移動互聯網終端不斷優化和普及，無處不在的實時移動應用成為移動園區網重要的業務組成和接入延伸。但是，以MSN、QQ、SNS社區、微博等為代表的實時移動應用，往往也是雙刃劍。在提高溝通效率的同時，也會帶給企業管理者對工作效率的擔憂。

從WiFi到智能手機，無線技術在企業中已經無所不在，其地位越來越重要.但對企業IT部門而言，所面臨的挑戰也越來越復雜。針對實時移動應用的感知與控制，在有限的接入資源內如何平衡關鍵業務（如ERP、視頻會議系統、數據庫、辦公室自動化及VPN等）與非關鍵應用（如P2P、移動炒股、在線購物、SNS、網絡電視等），成為移動園區網中業務與性能并重的核心關注點。#p#

2. 傳統無線管理設備業務流量控制的局限性      

傳統無線管理設備的流量識別和QoS控制技術，是基于IP報文四層以下的內容進行流量分析，例如IP報文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口以及協議類型，存在以下局限性： 

◆無法準確識別TCP/UDP以上的應用層協議，導致基于應用的QoS控制失去作用。

隨著新網絡應用不斷出現，諸如基于IP報文的四層信息等傳統分析手段已經不能準確判斷流量中的應用類型。例如，P2P類應用的端口是隨機變化的，并且流量是加密傳輸的，傳統的技術無法對這類應用的流量進行識別和控制。 

◆無法基于協議的應用種類進行QoS控制。

隨著網絡應用的不斷發展，基于TCP或UDP的應用協議種類繁多，可以達到成百上千種，基于協議對流量進行管理將非常困難的。如果能夠按照所提供的服務對這些應用協議進行分類，然后針對這些服務進行管理，那么對網絡流量的管理工作就會變得非常輕松。 

◆無法對每用戶、每應用實施細粒度、差異化的QoS控制。

為了控制濫用帶寬，一些企業不僅期望能夠按照不同用戶或用戶組、不同應用和不同時間段進行帶寬控制，而且期望能夠精確地控制每個用戶的帶寬、細分每個用戶的每種應用，并針對不同應用實施差異化的帶寬控制。但由于用戶規模的擴大、業務種類的增多，傳統設備無法輕松完成對每用戶、每應用實施細粒度、差異化的QoS控制。 

◆無法及時有效地監控網絡運行狀況。

網絡管理員由于缺乏對網絡內部流量的深入分析，無法了解各種應用所占帶寬比例，也就無法對園區出口帶寬進行有效的控制。#p#

3. 基于深度業務感知的移動園區網解決方案

針對園區網中移動互聯的新特點，實現對各種網絡應用協議甚至加密應用協議的精確識別，從而保障園區網絡應用的服務質量，成為移動園區網解決方案的核心關注點（如圖2所示）。業務感知型流量控制技術的優點主要表現在以下幾個方面： 

◆及時而有效地對網絡運行狀況進行實時、長期的監控，同時對網絡內部的流量進行深入的應用分析，了解各種應用所占帶寬比例。 

◆通過設置相應的流量控制策略，分時間段、按用戶和應用實現流量控制和帶寬保證，幫助企業減少帶寬濫用，優化現有帶寬資源，降低安全風險。 

◆可以深入到每個單獨的用戶進行相應的策略管理。基于靈活的用戶、應用、時間段等定義通道，針對每通道設置相應的通道策略，真正實現差異化的智能流量控制。 

◆當網絡出現異常情況時，如DoS/DDoS攻擊，可以迅速的發現并及時地加以制止，可以有效地控制突發流量的并發連接數、新建連接速率和每連接最大帶寬。  

圖2 深度業務感知型移動園區接入網

通過對應用識別、應用控制、行為審計的智能結合，移動園區網的核心控制設備——無線控制器在協議識別、協議解析、應用環境分析、狀態跟蹤和深度內容檢測等方面具備了基于策略的業務承載能力，傳統的無線控制器（AC）向智能感知型無線控制器（i-AC）轉變

3.1. i-AC應用協議識別 

◆固定端口協議。一些協議（如OSPF、BGP等）的端口是相對穩定的，可以根據端口快速預識別它們；另外，由于用戶明確其網絡應用布局，用戶也可以快速定義其對網絡中特定端口下的應用協議。i-AC提供快速的固定端口協議預識別模型，同時會用協議智能決策來修正固定端口上誤報的協議，從而兼顧了識別系統的效率和準確度。 

◆特征狀態機發現協議。絕大部分P2P協議的端口是不固定的，有的（如BT、Emule、迅雷、skype、UUCALL等）甚至有意使用一些標準協議的知名端口。對于這些協議的識別，必須依靠深入的數據分析。和其他應用識別系統不同，i-AC不僅僅依靠單個報文的握手特征進行應用協議識別，還通過有狀態的特征狀態機進行更精確的識別。 

◆協商協議。目前越來越多的協議采用控制通道和數據通道配合的模型，控制通道用于交互登陸、建鏈和命令交互等，它會協商出一個或多個數據通道進行數據交互。傳統的FTP屬于這種模型，絕大部分VOIP應用也屬于這種模型，如skype、UUCALL等。i-AC針對這類協議，采用專門的識別技術，能有效地解決多通道關聯協議的識別問題。 

◆隧道協議。防火墻和NAT設備的部署，造就了很多應用層隧道的出現，這些隧道是應用協議層次之間發生了嵌套。如HTTP Tunnel，表面是一個80端口的連接，但實際上可能承載任何應用數據。i-AC有專門的隧道識別模型，能夠識別象HTTP Tunnel這類隧道內的應用協議。 

◆協議插件確認。i-AC是一個可擴展、可插入的架構，對于特定協議，i-AC將智能的結合協議插件的確認結果進行完全精確的協議識別。

3.2. i-AC無線業務控制平臺

作為園區網移動接入的終結點，i-AC 應具備安全防護、P2P限流、流量監控、用戶行為分析等多業務支持能力，對無線流量進行集中管控和過濾，滿足大規模WLAN網絡可管、可控、安全等業務需求。  

圖3 i-AC無線業務控制平臺

如圖3所示，i-AC無線業務控制平臺采用基于通道的流量控制策略，能夠根據用戶的實際需求，提供強大而完善的控制手段。通過不同時間段、不同用戶、不同網絡應用、不同控制動作等條件實現不同情景下的策略配置，使策略應用更加符合實際需要： 

◆基于段、用戶、應用、時間、控制動作等條件，設置靈活的策略組合，實現按照部門、用戶和應用設置差異化的流量控制策略； 

◆提供應用封堵、帶寬保證、帶寬限制、連接限制、優先級改寫等多種手段，實現流量控制的多種效果； 

◆通過通道的三重嵌套管理機制，實現層次化的流量整形，滿足用戶細粒度的帶寬管理要求； 

◆支持通道帶寬的動態分配，并根據用戶數量的變化動態調整帶寬分配，保證帶寬資源高效與公平利用。

與此同時，i-AC無線業務控制平臺還通過三重嵌套的通道機制，實現層次化的流量管理。網絡管理員可根據需要，對每個通道獨立設定保證帶寬、最大帶寬、優先級。當本通道中的流量超過基本保證帶寬而上級通道存在帶寬閑置時，可以允許優先級高的通道借用閑置資源，從而最大限度的對無線接入的流量實現智能感知、識別、控制、管理。

4. 結束語

進入到虛擬園區網2.0時代，在一個應用膨脹的網絡內，當上層應用架構固定終端向多樣化終端、固定空間向靈活空間、低效串行處理向高效實時并發處理的方式轉變的時候，網絡的接入模式必須得到充分的重視。基于深度業務感知技術的移動園區網解決方案，必將有效提高園區網的整體移動業務承載能力，滿足園區網絡建設業務為先的實際需求。

H3C i-AC（intelligence Access Controller）智能感知型無線控制器。

區別于傳統的WLAN無線控制器，i-AC智能融合了H3C獨有的深度業務感知處理引擎UAAE。通過模型化、層次化、可擴展的架構，i-AC支持固定端口（用戶可定義）、特征發現、協商、隧道等多種協議模型和智能的決策機制，采用同時協議發現和行為檢測中采用特征和狀態相結合的方法，很好地解決了傳統無線園區網和無線城域網部署中，L2-L7層感知割裂，分離處理的問題。

以i-AC為核心的H3C一體化移動網解決方案，已經應用于國家大劇院、首都國際機場T3航站樓、湘雅醫院、上海世博會、廣州國際金融中心、青藏鐵路那曲物流中心等移動寬帶接入網的建設和使用。