流量清洗设备

流量清洗设备（精选7篇）

流量清洗设备 篇1

摘要：本文通过对现网使用的GENIE流量系统的功能开发, 实现与思科GUARD设备以自动和手动两种方式联动的技术创新, 同时还增加了支持ACL的技改, 成功的实现了攻击防御、流量清洗、设备联动等多种缓解功能, 针对DDOS攻击有很好的防御效果。

关键词：流量采集,流量清洗,应用

1 背景描述

现今网络安全问题也日益严峻, 被动防御的网络安全防护技术已无法应对不断出现的新的攻击手段, 网络安全防护体系由被动防御转向主动防御是大势所趋。

2 基本概念

2.1 Clean Pipes的防范原理

CleanPipes方案和其他保护方式有很大的区别, 首要的区别是CleanPipes是一个“旁路”的方案, 就是说攻击防范设备并非象防火墙一样串接在网络链路上, 而是一个基于检测、转移、验证和转发的保护解决方案。它包括两个部分:

●攻击检测:就是报警系统。可以是Cisco Detector设备, 也可能是其他第三方的检测设备如Arbor公司基于netflow的设备, 甚至是IDS设备等等。

●Guard:高性能DDoS攻击流量清洗设备。当Guard被通知有一个目标处于被攻击状态时, 指向目标的业务将被转移到与该目标设备相连的Guard并被分析和过滤, 除去所有恶意业务。

CleanPipes方案运行原理如图1所示。需要强调的是该方案中有几个“亮点”或创新点:

●CleanPipes是旁路的方案, 因此不影响网络的性能, 也不会成为网络的瓶颈。

●Clean Pipes是按需保护的, 可以over-subscriber, 可以同时保护多个用户。

●和防火墙等设备不同, 其只看单方向的流量, 是没有“连接状态”的, 因此性能比其他设备有大幅提高。

2.2 Guard设备的清洁原理

Guard设备的清洁原理如图2所示。存在恶意流量的业务转移到Guard后, 它流经一个根据预配置防御策略和违规阈值而创建的过滤器。该过滤器随后将流量传输到各分析检测模块。经监测后, 流量传输到一个识别模块, 提取清洁数据, 并不断调整过滤器, 以适应持续变化的DDoS特性。清洁后的流量最后通过速率限制器, 在注回网络前执行特定Zone的防御策略中所定义的速率限制操作。

Guard的核心是基于一个多验证过程 (MVP) 结构, 就是将各种验证、分析和实施技术结合在一起, 用来识别和分离恶意的流量。净化过程由五个模块组成:

●过滤:包括静态和动态的DDoS过滤器filters。

●反欺骗:用以验证进入系统的数据包没有欺骗信息。

●异常识别:监测所有通过了filter和反欺骗模块的流量, 并将其与随时间纪录的基准行为相比, 搜寻那些非正常的流量, 识别恶意包的来源。

●协议分析:处理反常事件识别模块发现的可疑数据流, 目的是为了识别特定的应用攻击, 例如http-error攻击。

●速率限制:提供了另一个执行选项, 防止不正当数据流攻击目标。

图3是Guard和其他几种网络安全设备的定位比较。和专用的网络安全检测设备以及路由器的ACL功能不同, Guard既能比专用的网络安全设备更有扩展性的分析网络的流量细节, 发现攻击流和攻击源, 又能比路由器更有防攻击的灵活性。

3 流量清洗体系架构及部署方式

理论上Guard能为任何环境提供DDoS保护。在实际应用中, Guard可布署在服务提供商网络有战略意义的节点上, 例如在每个对等点peering, 来保护核心路由器、下游边缘设备、链接以及客户, 也可以布署在边缘路由器来提供专门的客户保护, 检测机制可以靠近提供商的边缘或在客户内部。

3.1 关守型

在IDC或其他受保护的重要资源的入口交换机 (路由器上) 旁挂一台Guard, 并使用detector或IDS设备配合, 如图4所示。此种方式的特点是防护的目标明确。

3.2 集群关守型

这种方式和第一种类似, 不过为了适应高带宽的要求, 采用一种集群的方式, 多台Guard共同工作。我们建议Riverhead防护系统的部署地点如图5所示。

3.3 DDOS攻击清洗中心

这种方式是当较多的企业或其他重要用户希望得到DDOS攻击防护服务, 但地点比较分散, 或者运营商希望保护自己的网络架构时, 可以在SP网络范围选定一个靠近出口的位置部署Guard设备, 并和被保护的目标网络入口路由 (交换) 设备建立GRE隧道, 或MPLS VPN, 如图6所示。

在这种方式下, 要注意DDOS重定向产生的带宽不足的潜在问题, 因此在规划时要避开带宽紧张的网段。

4 某地现网流量清洗应用实例分析

4.1 网络现状

该地城域网主要由核心层、汇聚层和接入层组成。网络核心为两台NE5000E路由器和两台IDC中心Cisco7609路由器, 以交叉连接方式与骨干网互联, 每台NE5000E设备上联为多个10G, 每台7609设备上联为两个10G。Cisco7609设备分别与两台NE5000E互连, 之间起BGP路由协议, 其余网络层均起OSPF路由协议。如图7所示。

4.2 网络清洗设备性能

网络清洗设备采用思科7609整机配备Guard防护模块的方式, 其中Guard防DDoS模块单板处理能力为3G, 支持450万个并发连接数, 处理时延及抖动<1毫秒。本次配置的7609整机指标为基于硬件的400Mpps (分布式, DFC720) CEF, 采用硬件的ACL分类、限速和标记, 总吞吐率达720Gbps。该Cisco 7609最大可以配置4块3G的Guard防DDoS模块, 整体DDoS防护能力可以扩展到12G。

7609设备的IOS软件版版本为12.2 (18) SXF版本, 成熟稳定。支持对抗SYN泛洪、ICMP泛洪、DP泛洪、NS请求泛洪、CP分段泛洪、DP分段泛洪等不同攻击类型, 并通过MVP技术与Flex过滤配合过滤未知攻击。

4.3 Guard自我防御机制

Guard产品AGM本身也可能成为DDoS攻击的对象。它可以采取两种防御措施:

第一种机制是利用在路由器上的设置或一个防火墙阻止除CLI的ACL中许可的设备以外的客户端对任何Guard服务 (SSH、WBM、SNMP和NTP) 的访问。

第二种机制是设置“自保护”Zone。因为Guard是一种第三层设备, 它可能会在自己的地址上遭受DDoS攻击。Guard使用了一种名为自保护的特殊Zone来保护自己的安全。这个Zone不会与所有其他Zone列在一起。有一组特殊的CLI命令负责处理该Zone。它的行为非常类似于其他Zone;它只会将经过授权的数据包转发到Guard堆栈进行处理。

4.4 现网BGP路由策略

城域网内2台NE5000E和2台7609分别与骨干设备建立EBGP关系, 2台NE5000E和2台7609之间建立i BGP连接。采用私有AS号。

●出境流量策略

城域网核心出口设备负责城域网流量策略, IDC核心设备负责IDC用户的流量策略。城域网核心两台NE5000E核心路由器向城域网的IGP域内注入缺省路由, 引导城域网出向流量;IDC7609上通过注入缺省路由和静态路由的方式, 引导出向流量到骨干网, 并使部分流量借道城域网。

●入境流量策略

城域网2个出口设备广播相同的BGP路由, IDC 2个出口设备广播相同的IDC的BGP路由, 且部分地址段使用MED调节。

4.5 IGP路由策略

城域网采用OSPF多域的IGP结构, 所有用户路由均由I G P承载, 2台核心NE5000E处于核心域, IDC出口核心2台7609和其他NE80E在不同的子域里。

4.6 流量清洗应用实例

如图8所示, 城域网部署一套由Cisco7609+Guard模块组成的清洗中心来抵御DDoS攻击。清洗中心系统中的Cisco 760以两个万兆链路分别与城域网核心NE5000E互连, 另以两个万兆以太链路与IDC的Cisco7609互连。清洗中心启用BGP协议, 与四台核心设备建立IBGP邻居关系。图9显示了一次成功的流量清洗结果, 途中恶意流量已被完全清除。

●保护模式的终止

网管人员判断网络中去往“保护网络”的异常流量已经停止, 可以直接配置清洗中心的Guard, 停止对现有ZONE的保护;清洗中心的Guard的保护模式一旦被终止, 便会停止发送BGP明细路由, 所有的去往“保护网络”的流量立即恢复到原有转发路径上。

●路由部署

在路由部署方面, 清洗中心出入口网关与核心路由器之间运行OSPF路由协议, 用于传递BGP的“下一跳”信息。同时出入口网关均与BGP RR、NE5000E路由器建立BGP邻居关系, 目的在于:

入口网关将借助BGP协议将Guard产生的用于牵引流量的明细路由发布至全网范围;

出口网关将借助BGP协议将自己是去往Guard服务客户网络下一跳信息发布至全网;

入口和出口网关与VPN RR路由器建立BGP邻居关系, 目的在于交互MPLS VPN的信息。

参考文献

[1]绿盟科技安全培训实验指导书.中联绿盟信息技术 (北京) 有限公司, 2006.

[2]天津网通安全培训教程.中联绿盟信息技术 (北京) 有限公司, 2007.

[3]赵安军, 曾应员, 徐邦海, 常春藤.网络安全技术与应用.人民邮电出版社.

[4]张蔚, 李恩普.计算机网络系统攻击及防护方法.微处理机.

[5]梅云红.计算机网络安全隐患与防范策略的探讨.计算机与信息技术出版社.

流量清洗设备 篇2

商用模式待优化

在目前手机电视技术发展中, 有几种不同的网络承载类型:

一是为移动设备提供数字广播服务的专用网络, 将对频段进行规划并分配给传统的地面数字广播服务;

二是专用的组播/数据广播网络, 由移动网络运营商运行, 在可用频段内运营无线宽带服务;

三是OTT (Over-The-Top) 手机电视服务, 通过已有的无线数据网络 (3G/4G/Wi-Fi无线局域网) 实现。

在这些不同类型的网络承载上, 都可以提供免费电视播放 (FTA) 、订阅电视播放、点播电视、数据服务 (根据承载技术复杂度有所不同) 等不同的服务类型。但在商业模式上, 上述服务模式都还需要进一步改善, 特别是针对用户需要对预定服务付费的情况。因为商业模式的不清晰, 手机电视领域存在不少“前车之鉴”, 其中包括美国的MediaFLO、欧洲的DVB-H和一部分的来自欧洲、北美、亚太地区的3G手机电视服务。

而在另外一些地区, 手机电视有了较好的发展。在日本、韩国、巴西和部分拉丁美洲国家, 手持电视的线性广播已取得一定市场。但是这些服务都是基于DTT (数字地面广播) 或模拟地面广播, 并且对用户而言, 提供的是免费服务。

持有无线频段牌照的广播电视台, 它们向移动播放平台提供内容服务的同时, 可以被视作是现有广播电视监管政策的一种延伸。

基于IP的手机视频受青睐

来自OVUM的一份多方市场的消费者研究报告指出, 在移动设备服务中, 消费更加热衷于简短的视频播放。如图所示。

在过去几年中, 在手机上观看视频的用户得到了快速增长。然而, 这种增长是通过3G或者Wi-Fi网络所提供的基于IP的视频服务。与此相对的手机电视服务, 却缺少通过专用网络将复用的数字电视信号传输到移动设备上的成功案例。但这在新兴市场却是例外。韩国的T-DMB服务, 日本的1SEG服务, 拉丁美洲的1SEG服务, 都充分利用现有的模拟信号提供了多样化的应用。

在移动广播服务领域, 由于基础设施和频谱资源耗费了大量资金, 市场显得更为疲软。当高通公司的MediaFLO服务在美国失败后, 紧随着一串在移动广播网络领域的失败案例。如英国电信公司BT推出的DAB网络移动电视和音乐服务;沃达丰和TIM提供的DVB-H服务;2010年底, 奥地利的DVB-H供应商也终止了服务。

相对于手机电视, 手机视频服务的数据表明, 大量的消费者已经培养了在移动设备上访问简短视频的习惯, 但同样也会选择完整的视频观看, 并对付费服务准备充分。然而这部分用户还主要集中在传统的付费用户市场。

受益于iPhone的推出, 移动设备在基于IP网络上的视频内容流量也开始增长。这是因为不断增长的数据资源供应, 使得市场变得空间无限, 并且智能手机上的视频播放质量得到了迅速改善。可用的手机网络视频服务在不断提升, 包括了如Netflix或MLB.com的视频点播 (VOD) 服务。广播电视的追看服务以及推荐类视频也得到了进一步解放。但移动设备上的IP视频消耗量的增长, 大部分是由用户将感兴趣的电视广播节目或数据直接传播到手机设备上。

作为产业链上第一利益集团, 电视网络商希望利用移动设备对视频的需求, 在手机中建立一个安全通道, 并依靠广播广告价格和听众数量来达成一个合理的经济模式。而第二利益集团——传统移动运营商则将注意力放在网络容量管理和Qo S模型上。

“低端+免费”模式受追捧

在新兴市场, 大部分手机电视观众年龄为20～40岁, 他们希望用低价手机收看免费新闻和体育直播, 当然也有一些局部变化 (如在巴西肥皂剧非常受欢迎) 。

许多最受欢迎的内容在平台运营中仍属免费项目。移动网络运营商并没把它当作一个手机电视的创收业务, 相反, 将它作为客户用于购买新手机 (与移动服务捆绑) 的一个关键因素。

对于手机电视而言, 手机本身的低成本是典型的一大特色, 通常由原始设备制造商和移动网络运营商在重大节日时及时推出 (如世界杯) 。根据一家移动电视芯片制造商的数据, 在现有市场上加入模拟移动电视功能的BOM成本为1美元左右。带有数字电视功能的因为通常需要一个包含嵌入式H.264解码器 (在低价手机中采用的芯片组通常缺乏处理能力, 需要解码器H.264) 的芯片组, 则稍贵一些。

对于广播公司, 其价值主张很简单, 希望人们可以在以前不能满足需求的地方观看电视以此来扩大观众的规模。其目前主要面临的挑战是受众分析工具较弱, 与其他传统的广播平台相同, 缺乏一个内置的反馈和互动机制。

流量清洗设备 篇3

近几年, 随着现代农业设施的推广应用以及农机购置补贴政策对节水灌溉设备的利好, 节水灌溉设备省时省工的优点也得到了农民和农场主的青睐, 节水灌溉设备的品种和生产安装厂家也随之增多。流量性能是节水灌溉设备的主要技术参数, 也是反应产品质量的主要指标。关于灌溉设备的国家标准与行业标准也都对设备的流量性能提出了要求和试验方法, 例如GB/T 17188-1997《农业灌溉设备滴灌带技术规范和试验方法》、GB/T 19812.1-2005《塑料节水灌溉器材单翼迷宫式滴灌带》、GB/T 19812.2-2005《塑料节水灌溉器材压力补偿式滴头及滴灌带》、SL/T 67.1-94《微灌灌水器一滴头》、SL/T 67.2-94《微灌灌水器—滴灌管》、QB/T 2517-2001《一次性塑料滴灌带》、NY/T 1361-2007《农业灌溉设备微喷带》。这些标准对平均流量、流量均匀性、压力流量关系等性能做出来规定, 明确了试验方法。对这些指标的检测需要一定的试验条件才能进行, 例如环境温度和试验水温在规定的范围内、水压稳定并且可以阶梯式增压或减压、试验用水杂质颗粒大小等, 同时试验样品的数目较多。鉴于此, 研制了一套农业灌溉设备流量性能检测系统, 以消除客观环境对检查结果的影响, 节省检测时间, 提高工作效率。

1 检测系统的构成及设计

农业灌溉设备流量性能检测设备由试样安装架、流量测量单元、水的压力恒定恒温和循环系统、数据采集和数据处理系统构成, 如图1。

1.1 试样安装架

试样安装架用于固定灌溉设备, 通过快速接头及不同尺寸的转接头, 可方便快捷的将待检设备安装到管路中。试样安装架一端固定, 一端可前后移动, 以适应不同尺寸的灌溉设备。在支架上有悬挂装置把管带类设备水平悬挂起来, 防止下垂而碰到流量测量单元。

1.2 水的压力恒定、恒温和循环系统

由温控水箱、压力循环水泵、过滤器、压力传感器、管路组成, 如图2。

1.恒温水箱;2.水泵;3.压力传感器;4.分水器;5.试样6.试样安装架;7.流量测量单元

温控水箱即可提供恒温水源, 主要是为需要恒温试验环境的测试项目提供恒温环境, 由箱体、控温表、水循环泵、加热腔、制冷机、箱盖自动开启装置等组成。升温工作时箱体内的水经由循环泵输送至加热腔经加热后, 再输送回环境箱实现水的升温, 同时也使环境箱内的水体在循环中平衡各点的温差, 使内水体的温度梯度符合试验要求。制冷工作时箱体内的水经由循环泵输送至制冷机后, 再输送回环境箱实现水的冷却和恒温。压力循环水泵将额定压力的水源经过滤器和管路送至试样进行试验, 试验结束后将流量测量单元的水自动排放到集水转流槽再自动排入集水箱, 流量和压力传感器将测量的数据传送至中央自动控制及数据处理系统, 实现对压力和流量的自动控制。

1.3 流量测量单元

用于测量一定时间灌溉设备流出的水量, 流量测量单元如图3所示, 下部为壳体部分, 上部是集水桶部分。集水桶和支撑架、导水管及排水阀这样的一体化结构, 称重传感器能够准确采集其上的动态重量变化信号, 同时排水阀在测试结束或需要时排掉桶内收集水, 5组可移动集水测量单元安装在不锈钢结构架上, 每组单元有5个独立的集水测量机构, 计25个独立的集水测量机构, 每个机构由称量筒、称重测量系统、自动排水装置组成, 分别对应25个试样的水量采集装置, 对所采集的水量进行自动跟踪测量, 将所测数据送至中央自动控制及数据处理系统。

1.集水桶;2.支撑架;3.导水管;4.称重传感器;5.传感器支架;6.排水阀;7.外壳

1.4 数据采集及数据处理系统

数据采集及数据处理系统由中继机柜和主控计算机组成。中继机柜主要功能是数据的接收传输和指令传达, 数据采集系统由主控电路、通讯中继电路、压力控制电路、电源组成集中控制柜。集中控制柜是整个系统的数据传输和控制核心, 它要处理来自外部各采集点的数据, 实时显示各试验点的工作状态和数据;主控计算机安装了专用控制软件和数据分析软件, 进行试验指令下达和数据回收, 实时监测和控制。

数据采集软件可以实时监测各个数据采集点的数据情况, 并能实时地把各种状态信息包括每个流量测试单元的位置信息采集上来, 以模拟图形方式直观的显示在用户界面上;能够按照用户定义好的试验过程自动完成整个试验, 并且用户可以设定进行完流量均匀度试验后自动启动流量压力关系试验;具有故障提示功能, 并及时提醒用户进行处理。

数据处理软件可以对采集到试验数据进行处理, 能够计算出滴水孔平均流量、滴水孔流量的变异系数、滴水孔流量标准偏差和平均流量相对于额定流量的偏差以及流量常数、流态指数等关键测试结果。同时可以绘制流量压力关系曲线。可测量计算出滴头和滴灌管、带的制造偏差 (Cv) 、压力流量关系、耐水压等参数, 完成比较分析、生成试验报告。具有试验结果自动保存, 可重新调出试验参数和试验曲线等功能。

软件内建有两级用户密码保护的数据库。每一级用户具有不同的操作权限, 能够有效保护试验数据不被盗用或修改。通过数据库管理界面用户可以方便的对历史数据进行查询、输出、删除等管理操作。

2 结束语

流量清洗设备 篇4

阻击恶意攻击

近日, 长沙警方与香港警方联手侦破了一伙黑客团伙利用DDoS攻击敲诈勒索香港14家金融业公司的案件。

“如果攻击成功, 损失可能不止几百万, 而是上亿甚至更多”。Arbor公司中国区域经理蔡志刚表示。

蔡志刚表示, 目前DDoS攻击频率以每年30%的速度递增, 并且, 一个初中文化的年轻人就可以轻易发起超大规模攻击, 因此急需对DDoS攻击进行防护。

Arbor公司提出了有效的流量清洗解决方案。通过与运营商合作, 在云端部署流量清洗中心Peakflow SP平台, 在面临数据量增长至占满全部带宽的时候启用清洗中心, 过滤恶意流量, 从而有效保证正常流量可以正确地被业务数据中心接收并处理。

应对应用层攻击

相比流量式攻击, 应用层DDoS攻击更加难以防范。Arbor公司针对这类攻击也制定了对应的解决方案, 并提供Pravail APS (可用性保护系统) 防护此类威胁。它是一套可独立使用的清洗解决方案, 包括检测、清洗, 可集中保护企业周边免遭可用性攻击—尤其是能防止应用层DDOS攻击。

流量清洗设备 篇5

关键词：设备冷却水系统,流量调节,问题分析

设备冷却水系统 (RRI) 是保证核电厂正常运行的重要系统, 其安全稳定经济的运行是保证核电站正常运行的前提条件。RRI系统的主要功能是冷却核岛各种热交换器, 通过RRI/SEC板式热交换器将热量传递给最终热阱——海水 (SEC为重要厂用水系统) , 其稳定的流量和良好的换热性能是导出用户热量, 保证机组正常运行的先决条件。只有保证各个用户的流量满足设计要求, 才能为机组安全经济稳定高效的运行提供保障。因而流量的调节分配工作也是机组调试阶段设备冷却水系统最重要的工作内容之一。

1) 系统组成。

设备冷却水系统是处在重要厂用水系统 (SEC) 与核岛设备中间的一个封闭回路, 其包括两个独立的安全系列和一个公用环路, 公用环路由两个安全系列中的任一系列供水[1]。

设备冷却水系统内与反应堆安全设施和冷停堆相关的部分具有100%的冗余度。供水回路由两个独立的安全系列组成, 在事故工况下两个系列中的每一个都能够100%的冷却设备。每个安全系列由两台100%容量的离心泵, 两台50%容量的RRI/SEC板式热交换器, 一个波动箱和相应的管道及仪表组成。

2) 调试期间用户概述。

调试过程中, 首先要对各个用户单独的流量进行整定, 设备冷却水系统 (RRI) 各用户的投运过程应有先后顺序。以安全系列B列为例, 首先投入的是流量最大的用户安全壳喷淋系统的热交换器, 保证设备冷却水泵的基本运行负荷及流量, 接下来按照流量由大到小的顺序依次投运其他用户。在初步满足用户流量的需求后进行正常运行工况下与非正常运行工况下的流量验证试验[2]。

流量调节过程中, 须关注整个系统的设冷水流量稳定在最大流量和最小流量之间 (1000-3500m³/h) 。福清核电厂采购的设备冷却水泵为SULZER公司生产的型号为NP500-510/54的卧式单级离心泵, 其额定转速为1485r/min, 额定电压6.6KV, 额定电机功率630k W, 额定流量2838m³/h, 额定扬程64.2m[3]。

1 设备冷却水泵运行特性与系统流量关系

运行过程中, 流体的输送任务是由离心泵和管路共同完成的, 工作状态与离心泵和管路二者紧密相关。流量的调节可通过调节阀门开度以改变管路特性, 或通过调节离心泵的转速以改变泵的特性。两种调节方式使得调节后的流量与压头均发生变化, 从而引起能耗的差别, RRI系统调试过程中需要根据用户需求调节阀门开度进行流量调节[4]。同时需要考虑系统总流量的分配, 因管道布置、流阻等多方面原因, 用户流量会有一定损失。这个系统流量的分配需要进行多次微调, 直至保证每个用户的流量偏差均在设计流量要求范围内, 满足系统安全稳定运行需要。

2 流量调节常见问题及分析

设备冷却水系统调试过程中, 偶尔会出现用户实际流量与设计定值不匹配的情况。遇到这类情况, 首先需要分析系统在线情况, 其次对泵本体进行检查, 最后对用户侧管路的设备进行排查, 重点查看是否存在阀门故障、孔板安装、管路堵塞等问题导致流量失配的情况。现场工作中遇到过如下几类问题。

2.1 系统在线与工况不一致导致流量失配

例如调节电气厂房冷冻水系统冷冻机的设冷水流量时, RRI系统在该用户上存在旁路管线, 系统在线时没有对旁通管线阀门进行隔离, 导致用户进出口调节阀全开的情况下实际流量仍未达到设计值 (150m³/h) 。后续机组调试时, 在工作之前应认真分析用户工况及系统在线要求, 避免此类问题再次发生。

2.2 系统设备参数与设计文件不一致导致流量失配

例如对9TEU002RF进行流量调试时, 发现用户流量无法达到设计值14m³/h, 经对系统在线、孔板尺寸、阀门行程等检查, 最终确认9RRI290VN阀门是从福清3、4号机组拆借8RRI308VN安装代替使用。9RRI290VN (大连大高) 与8RRI308VN (苏阀) 阀门RIN码“国标标识符号 (National Identification Mark) ”相同但厂家不同。

查询设计文件, 大连大高阀门的设计流量为42m³/h, 而苏阀阀门的设计流量为9m³/h。问题确认后, 重新采购大连大高的同类型阀门进行更换, 最终用户流量满足设计要求。后续机组调试时, 应对关键设备的技术文件进行仔细查看, 确保设备参数满足设计要求。

2.3用户设备本体自带调节阀导致流量失配

例如9DWL001GF流量调节时发现用户流量无法满足设计要求, 经对管路上的设备 (对设备截流孔板, 测量仪表及其孔板和止回阀的回座性能) 分析后, 发现9DWL001GF设备本体装有冷凝压力水量调节阀, 当冷却水供水温度过低而导致冷凝压力过低时, 阀门开度减小, 冷却水流量相应减小。其以设计工况 (设冷水温度15-35℃的情况下设计的流量阀门全开流量63m³/h) 而在调试过程中设冷水侧温度为18℃, 导致压差调节阀出现节流, 导致流量无法达到要求。后续机组调试时, 应重点关注由用户系统自身信号来控制设备冷却水系统的阀门, 避免问题再次发生。

2.4孔板安装问题导致流量失配

现场调试过程中, 由于孔板装反或孔板型号不正确导致流量不匹配, 例如测量孔板1RRI341KD装反导致流量无法监测, 主控仪表显示流量为零;安装单位在安装过程中使用临时孔板, 系统移交时未按照移交要求对1RRI063DI进行正式孔板的更换安装, 导致孔板截流能力不足致使用户流量偏大。

3结论

设备冷却水系统是保证核电厂正常运行的重要系统之一, 其为核岛内各热交换器提供冷源。因此, 设备冷却水系统的安全稳定经济运行至关重要。其冷却水流量的大小直接影响用户侧的性能, 从而影响整个电站的正常运行, 在调试阶段设冷系统的调试实践, 可总结经验如下。

1) 设备冷却水系统在线时准确无误, 避免在线过程中出现在线失误导致流量失配。

2) 设备冷却水系统移交过程中, 严格审查移交文件中的安装记录, 同时现场检查确认, 确保设备安装与设计正确无误。安装质量是调试工作顺利进行的前提, 安装问题会对调试工作的进展带来极大困难, 保证安装移交质量是调试工作正式开展前的重点任务。

3) 调试过程中发现用户流量与设计值不匹配时, 要认真对系统在线、用户运行工况、设备安装、设计文件等进行分析论证, 发现问题制定解决方案, 确保各个用户的流量满足设计文件要求, 为电厂的安全稳定经济运行奠定基础。

参考文献

[1]王志超.设备冷却水系统手册.中国核电工程有限公司.2009.

[2]程稳, 范霞飞.秦山核电厂设备冷却水系统流量分配试验.核动力工程, 1993 (1) :20-26.

[3]张旭东.福建福清核电厂一期工程1/2 R R I001/002/003/004PP设备冷却水泵操作维修手册.大连:SULZER设备运行维修手册.2011:6-8.

流量清洗设备 篇6

由于市政供水的一次压力不能满足所有高层建筑的水压要求,居民住宅小区和高层建筑,进行二次加压供水是必需的措施。在以往的二次加压供水系统中,由于贮水池或贮水箱的存在,跑、冒、滴、漏、渗等浪费水资源的现象较为普遍,由于贮水池的断压,把本来具有一定压力能量的水变成了一池没有压力的水,能量被白白地浪费掉了,同时还会带来二次污染的危险。钟对以上等等问题,作者经多年的探讨和尝试,研发的一种新型管网增压供水设备。使用中达到了节水、节能、稳压和安全供水的效果。

1 设备构成

该设备主要由水泵组、稳压调节装置、高效射流稳压贮能装置、流量传感器、压力传感器、负压抑制装置、微机检测控制系统[1]等部分组成。负压抑制装置的出水口分别通过阀门、管道与水泵入水口相连,水泵出水口分别通过阀门、管道与设备总出水汇水管相连,总出水汇水管上设有旁通并通过阀门、管道与高效射流稳压贮能装置相连,在总出水汇水管出水口上装有流量传感器和稳压调节装置。高效射流稳压贮能装置的补气回水管接入负压抑制装置,射流补气综合水处理装置的工作水取至高效射流稳压贮能装置,并回入负压抑制器中。其结构平面图如图1所示。[2]

2 工作原理

在微机智能检测控制下,大流量供水期间由变频器[3,4]及软启动器驱动的电机泵做变频或恒速运转,直接向管网提供所需流量和水压,并使参与供水的泵台数始终与所需流量良好匹配;在小流量或不用水期间水泵自动停止运行,由高效射流稳压贮能装置向管网提供并保持所需水压,运行状态与停机保压状态的转换由微机智能调控,并确保机组高效运行,通过流量反馈补偿式稳压调节装置,实现设备在任何一种状态下均向管网提供与实际供水流量相适应最佳水压。负压抑制装置通过负压抑制调节阀及微机检测控制,在确保不产生负压的前提下充分利用水源已有压力节能。从而实现节水、节能、稳压供水。其工作原理框图如图2所示。

3 主要性能特点

3.1 在节水和水质安全方面

在以往的二次加压供水系统中,由于贮水池或贮水箱的存在,跑、冒、滴、漏、渗等浪费水资源的现象较为普遍,该设备采用了特别研发的高可靠负压拟制装置,无需建造贮水池可与自来水管道直接串联进行二次加压供水,从而形成相对封闭的二次加压供水系统,彻底杜绝了跑、冒、滴、漏、渗等浪费水资源的现象,由于自来水经过该设备加压直接供到用户,确保了自来水不受“二次污染”。

3.2 在高效节能方面

设备可直接与管网串联,充分利用水源已有能量节能,并采用叠压供水技术、高效射流稳压贮能技术和变频调速技术,能够在大流量供水期间控制水泵组变频调速变量供水,在小流量或不用水期间,水泵停止低效运行,由高效射流稳压贮能装置提供所需水压和流量,从而实现全流量范围高效节能叠压供水。并通过负压抑制装置,将水源已有水压充分利用,实现全流量范围节能叠压供水。

3.3 在水压保障方面

该设备在微机智能检测控制下,大流量供水期间由变频器及软启动驱动的电机泵做变频或恒速运转,直接向管网提供所需流量和水压,并使参与供水的泵台数始终与所需流量良好匹配;在小流量或不用水期间水泵自动停止运行,由高效射流稳压贮能装置向管网提供并保持所需水压,运行状态与停机保压状态的转换由微机智能调控,并确保机组高效运行,通过流量反馈补偿式稳压调节装置,实现设备在任何一种状态下均向管网提供与实际供水流量相适应最佳水压,从而最大限度的实现节能、稳压(或变压)供水之目的。

3.4 在可靠性方面

该设备采用专门研发的微机智能检测供水控制系统作为智能中心,并采用多通道控制系统,除一台变频泵外,其他并联的各台水泵均配有各自独立的无触点恒流软起动装置,使每台电机泵起动装置自成体系,不依赖一台变频器,通过多台交流接触器切换,起动各台水泵。使设备工作的可靠性极高。即使在变频器及智能控制中心发生故障情况下,仍能由全自动控制中心应急控制设备运行,确保正常供水。

4 结束语

机电一体化的结构使设备很方便应用于居民住宅小区,高层建筑的生活供水,工矿企业的生产供水。通过负压抑制装置实现了直接与管网串联,充分利用了水源已有水压,在小流量或不用水期间,由高效射流稳压贮能装置向管网提供并保持所需水压,水泵自动停止运行,完成了全流量范围叠压供水。从而达到了节水、节能、稳压和安全供水的效果。

参考文献

[1]刘光斌.单片机系统实用抗干扰技术[M].人民邮电出版社,2003年10月.

[2]莫斯.压力容器设计手册[M].中国石化出版社,2006年3月1日.

[3]王廷才.变频器技术及应用[M].高等教育出版社,2007年6月.

流量清洗设备 篇7

针对上述校园网络实际面临到的问题,我认为追根究底是要做好流量管控,使用应用层流量分析管理技术和产品,即可实现这方面的管理效果,这就需要做到:1)了解网络应用流量监测技术;2)合理的使用流量管理产品。下面,分别就这两方面做以阐述:

1 网络应用流量监测原理及办法

我们知道,传统的流量和带宽管理是基于OSI L2～L4层,通过IP包头的五元组(源地址、目的地址、源端口、目的端口以及协议类型)信息进行分析,通常我们称此为“普通报文检测”。“普通报文检测”仅分析IP包的4层以下的内容,通过端口号来识别应用类型。而当前网络上的一些应用会采用隐藏或假冒端口号的方式躲避检测和监管,造成仿冒合法报文的数据流侵蚀着网络(例如P2P下载软件大多采用动态协商端口机制),此时采用L2～L4层的传统检测方法就无能为力了。

为了识别诸如基于开放端口、随机端口甚至采用加密方式等进行传输的应用类型,网络流量应用识别基本技术DPI、DFI技术应运而生。也有文献称之为业务识别技术。

1.1 网络流量应用识别基本技术

1.1.1 DPI

DPI全称为“Deep Packet Inspection”,称为“深度包检测”。DPI技术在分析包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术。当IP数据包、TCP或UDP数据流经过基于DPI技术的流量管理系统时,该系统通过深入读取IP包载荷的内容,来对OSI 7层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。

DPI技术通常采用如下的数据包分析方法:

传输层端口分析。许多应用使用默认的传输层端口号,例如HTTP协议使用80端口。

特征字匹配分析。一些应用在应用层协议头,或者应用层负荷中的特定位置中包含特征字段,通过特征字段的识别实现数据包检查、监控和分析。

通信交互过程分析。对多个会话的事务交互过程进行监控分析,包括包长度、发送的包数目等,实现对网络业务的检查、监控和分析。

DPI技术是达到应用层流控目标的基本方法,通过DPI技术,把流细分为对应具体的应用流,在分离流量的基础上,定义带宽通道,从而使网络中的流量根据应用各行其道,优化宽带服务,提高网络运行效率和服务品质,保障关键应用,获得更好的用户体验。

DPI实现应用粒度控制的流程是:识别→分析→控制→报告,其中识别准确度是关键,是评估流控产品的重要指标。

1.1.2 DFI

DFI(Deep/Dynamic Flow Inspection,深度/动态流检测)与DPI进行应用层的载荷匹配不同,采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。DFI更关注于网络流量特征的通用性,因此,DFI技术并不对网络流量进行深度的报文检测,而仅通过对网络流量的状态、网络层和传输层信息、业务流持续时间、平均流速率、字节长度分布等参数的统计分析,来获取业务类型、业务状态。

2 网络流量管理产品

2.1 智能管理

早期的网络流量管理方式是在路由器、防火墙或局域网交换机上使用简单的带宽管理或QOS来实现(至今一些单位的简易流控需求仍沿用这种方式),但这种控制方式需要人为干涉,操作复杂,无法做到智能管理,所以不能满足网络管理中复杂策略的精细程度和灵活程度需要。

智能流量管理系统是一款专业的L7应用层流量管理产品,适用于大中型企业、校园网、城域网等流量大、应用复杂的网络化境;通过监控网络流量,分析流量行为,设置流控策略,分时段、按用户、按应用实现流量控制和带宽保障,全面提升带宽利用价值。智能流量管理系统融合了DPI和DFI两种技术,具有四个显著特征。

1)精确而广泛的应用识别能力:对应用的识别是进行流量控制的基础。智能流量管理系统应用识别库能覆盖各种主流应用,特别是结合国内网络应用的实际情况,提供对迅雷、QQ等本土应用的识别。另外,智能流量管理系统能够对诸如QQ这种具有即时消息、文件传输、音频视频、游戏等多种子协议的网络应用,提供精细化的子应用识别。

2)优异的产品性能及安全性保障:智能流量管理系统对用户网络中的所有流量进行处理,能够承受巨大的流量压力,特别是在配置复杂策略情况下,不会造成设备性能的下降。另外,设备是以串接方式接入用户网络,具有良好的安全性,在设备出现运行断电或异常情况时,能够保障用户业务的畅通。

3)强大的控制能力:智能流量管理系统能够根据用户的实际需求,提供强大而完善的控制手段。通过不同时间段、不同用户、不同网络应用、不同控制动作等条件,实现不同情景下的策略配置。我们知道任何网络流量的使用都和人的因素密不可分,智能流量管理系统能够对用户进行灵活的分类管理,从而使控制策略更加符合实际需要。

4)清晰而全面的信息查询:智能流量管理系统不仅能实现对网络流量的控制,而且能帮助网络管理者对异常问题进行定位,以及通过网络应用现状的分析实现对网络的优化。智能流量管理系统通过柱状图、饼状图、走势图等图表,以及从不同的分析角度,可向用户提供清晰而全面的实时信息查询、历史日志查询、以及自动生成报表等功能。

2.2 国内外产品介绍

国外厂商,以Cisco SCE、Allot、Packteer、Sendvine、ACENET、Maxnet。产品特性能好,解决方案和产品成熟,均有用户管理系统(可能为动态IP环境中使用,将用户帐号和流量策略结合来控制流量),除ACENET外,其主流产品功能相对单一,但非常专业。

国内厂商中,比较优秀的有畅讯信通的QQSG、南京信风、宽广、华为SIG、金御等,国内产品适合国情,国内应用的识别率相对国外产品高,存在问题是产品性能宣传强,但实际使用,尤其是在策略较多情况下性能差,个别产品有POS接口(适合部分国内运营商),价格较国外厂商有较大优势,功能较多,但在流量管理领域,属于发展期,不够成熟。

2.3 设备的选择

2.3.1 硬件技术

流量管理设备硬件技术主要有三种:Intel X86架构、ASIC技术和NP技术,由于X86架构处理速度相对较慢,单个芯片的可扩展性较差,所以大部分厂家的低端产品采用X86架构,高端产品采用ASIC或NP技术,以适用于不同的网络环境需求。

2.3.2 工作模式

1)路由模式:通过网关模式串接在用户网络链路中,所有流量都通过网关处理,对内网用户上网行为和数据包实施控制、拦截、流量管理等功能。若将设备作为Internet出口网关,设备的防火墙功能保障组织网络安全,NAT功能代理内网用户上网,实现基本的路由功能等。

2)网桥模式:同样串接在用户网络链路中,如同连接在出口网关和内网交换机之间的“智能网线”,对流经流控设备的所有数据流进行控制、拦截、流量管理等操作。网桥模式主要适用于不希望更改网络结构、路由配置、IP配置的用户。

3)旁路模式:即在出口交换机中配置镜像端口,将流控设备的广域网口同镜像端口相连,实现对内网数据包的监听。

采用旁路模式部署的流控设备,将与交换机的镜像端口相连,部署实施简单,完全不影响原有的网络结构,降低了网络单点故障的发生概率。

2.3.3 性能要求

1)应用协议的识别与分类(种类和准确性),流控策略的普适性及长效性;

有些通过应用层特征码来控制P2P的流控策略,如果不能及时更新特征码或特征码变得不可知,就可能导致流控失败,一个近期的例子:BT通讯协议加密及迅雷通讯协议发生变化导致专门的P2P流控设备失效。好的流控设备不依赖于应用的特征码,因此可以经得起时间及应用软件协议变化的考验。

2)流控策略的全面性

普通设备的只对P2P应用做控制,好的设备对所有流量的带宽、会话数、总流量和应用做控制。由于流量的多样性,单靠一两种策略是不能管理好的,必须实行全面的流控策略才能达到流量管理的目的。

3)看监控对象及流控策略的精细度

好的设备既可以监控出口网关处的流量又可以监控来源网络的流量分布;

普通设备的控制精度只能达到IP一级或网关一级,好的设备可以对每一源IP的不同应用分别做带宽及会话数的控制,而且只有这样才能保障关键应用及其它应用的服务质量以及相同等级用户上网体验的一致性。

4)看流量数据存储及处理方式

好的设备可以将流量数据输出到专门的流量分析工作站,将流量存储、分析、统计、查询功能和流量捕捉功能分开,保证了流量分析设备的运行效率和流量数据存储的可持续性。

5)应尽可能使用性能可靠、管理方便、特别是在有故障时能够自动旁路的设备,避免故障点的出现。

2.4 设备优缺点

流控设备不是万能的,还要了解其缺点。

首先,因为它的工作原理和防病毒一样属于事后起作用,所以其优点是精准,其缺点是:1)总有部分(10～30%)流量不可识别,例如IP碎片、加密流量等;2)性能会持续下降,当特征码越来越多时,性能就会越来越低,这种趋势发展到一定程度就会使流控设备成为网络中新的性能瓶颈;3)由于要频繁更新特征码,因此一、设备后期维护难度大,总体拥有成本高;二、对厂家的依赖程度高,厂家停产、倒闭等不可抗力因素使得购买其产品成为一种赌博行为。其次,要区别对待基于应用层的带宽分析技术和控制技术,确定有未知流量的存在对于7层带宽分析技术来说是一种间接的成果,但是对于基于其上的带宽控制技术来说就是现实的噩梦,因为它要先识别再做控制,所以这部分流量永远无法得到有效的控制,当某种未知流量短期内突然增大时,流控措施就会马上失效,例如,08年新版迅雷的快速普及就导致了不少流控设备失效,特别是一些国外的设备。

3 总结

综上所述,只有做到网络应用流量监测技术和网络流量管理设备的深入了解,才能针对校园网所面临的问题,选择好适合自己需要的网络流量管理设备,做到“心中有数、有的放矢”。

参考文献

[1]聂瑞华.基于DPI技术的校园网络带宽管理[J].计算机技术与发展,2009(4).

[2]马科.业务识别与管理系统和网络流量的管理[J].现代电信科技,2008(4).

[3]如何选择网络流量分析软件[EB/OL].(2008-12-24).http://www.chinabyte.com/.