深度业务感知型移动园区网

　　及时而有效地对网络运行状况进行实时、长期的监控，同时对网络内部的流量进行深入的应用分析，了解各种应用所占带宽比例。

　　通过设置相应的流量控制策略，分时间段、按用户和应用实现流量控制和带宽保证，帮助企业减少带宽滥用，优化现有带宽资源，降低安全风险。

　　可以深入到每个单独的用户进行相应的策略管理。基于灵活的用户、应用、时间段等定义通道，针对每通道设置相应的通道策略，真正实现差异化的智能流量控制。

　　当网络出现异常情况时，如DoS/DDoS攻击，可以迅速的发现并及时地加以制止，可以有效地控制突发流量的并发连接数、新建连接速率和每连接最大带宽。

　　图2 深度业务感知型移动园区接入网

　　通过对应用识别、应用控制、行为审计的智能结合，移动园区网的核心控制设备--无线控制器在协议识别、协议解析、应用环境分析、状态跟踪和深度内容检测等方面具备了基于策略的业务承载能力，传统的无线控制器（AC）向智能感知型无线控制器（i-AC）转变

　　3.1.i-AC应用协议识别

　　l固定端口协议。一些协议（如OSPF、BGP等）的端口是相对稳定的，可以根据端口快速预识别它们；另外，由于用户明确其网络应用布局，用户也可以快速定义其对网络中特定端口下的应用协议。i-AC提供快速的固定端口协议预识别模型，同时会用协议智能决策来修正固定端口上误报的协议，从而兼顾了识别系统的效率和准确度。

　　l特征状态机发现协议。绝大部分P2P协议的端口是不固定的，有的（如BT、Emule、迅雷、skype、UUCALL等）甚至有意使用一些标准协议的知名端口。对于这些协议的识别，必须依靠深入的数据分析。和其他应用识别系统不同，i-AC不仅仅依靠单个报文的握手特征进行应用协议识别，还通过有状态的特征状态机进行更精确的识别。

　　l协商协议。目前越来越多的协议采用控制通道和数据通道配合的模型，控制通道用于交互登陆、建链和命令交互等，它会协商出一个或多个数据通道进行数据交互。传统的FTP属于这种模型，绝大部分VOIP应用也属于这种模型，如skype、UUCALL等。i-AC针对这类协议，采用专门的识别技术，能有效地解决多通道关联协议的识别问题。

　　l隧道协议。防火墙和NAT设备的部署，造就了很多应用层隧道的出现，这些隧道是应用协议层次之间发生了嵌套。如HTTP Tunnel，表面是一个80端口的连接，但实际上可能承载任何应用数据。i-AC有专门的隧道识别模型，能够识别象HTTP Tunnel这类隧道内的应用协议。

　　l协议插件确认。i-AC是一个可扩展、可插入的架构，对于特定协议，i-AC将智能的结合协议插件的确认结果进行完全精确的协议识别。

　　3.2.i-AC无线业务控制平台