Allot流量控制設(shè)備系統(tǒng)項(xiàng)目方案建議書_第1頁(yè)
Allot流量控制設(shè)備系統(tǒng)項(xiàng)目方案建議書_第2頁(yè)
Allot流量控制設(shè)備系統(tǒng)項(xiàng)目方案建議書_第3頁(yè)
Allot流量控制設(shè)備系統(tǒng)項(xiàng)目方案建議書_第4頁(yè)
Allot流量控制設(shè)備系統(tǒng)項(xiàng)目方案建議書_第5頁(yè)
已閱讀5頁(yè),還剩16頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、xxxxxxxx 流量控制設(shè)備系統(tǒng)項(xiàng)目流量控制設(shè)備系統(tǒng)項(xiàng)目方案建議書方案建議書xxxx 流量管理建議方案第 1 頁(yè) 共 21 頁(yè)目目 錄錄二、需求分析:二、需求分析:.2三、方案建議三、方案建議.331、方案實(shí)施 .4311、針對(duì)應(yīng)用的帶寬分配和管理:.4313、針對(duì)時(shí)間段的帶寬分配和管理: .5314、雙向流量的管理和控制 .53. 2、建議拓?fù)鋱D.63. 3、方案設(shè)計(jì)原則.63. 4、 allot設(shè)備部署方案建議.7四、四、allotallot 概述概述.11五、五、allotallot 工作原理工作原理.11六、六、allotallot netenforcernetenforcer &

2、& bypassbypass 的容錯(cuò)技術(shù)詳解的容錯(cuò)技術(shù)詳解.12七、七、allotallot 的優(yōu)點(diǎn):的優(yōu)點(diǎn):.147.1 安全有效的帶外管理(out of band):.147.2、卓越的網(wǎng)絡(luò)和策略性能 .147.3、 “故若金湯”的容錯(cuò)和旁路技術(shù) .157.4、 “豐富”的應(yīng)用的識(shí)別和分類 .167.5、 “實(shí)時(shí)而長(zhǎng)期的”網(wǎng)絡(luò)流量監(jiān)控 .167.6、 “強(qiáng)大的”網(wǎng)絡(luò)統(tǒng)計(jì)和報(bào)告(可選) .187.7、 “不知疲倦”的告警功能(alert).197.8、 “專業(yè)版”網(wǎng)管功能 .207.9、強(qiáng)大的 dos/ddos 防御器 .21710 強(qiáng)大的網(wǎng)絡(luò)分析與集中控管 .22xxxx 流量管理建議方案

3、第 2 頁(yè) 共 21 頁(yè)一、項(xiàng)目背景隨著信息化時(shí)代的不斷發(fā)展,人們?cè)絹?lái)越來(lái)依賴于網(wǎng)絡(luò),包括信息的在線查詢、日常辦公事務(wù)、email、crm、erp、oa 等多種業(yè)務(wù)。企業(yè)都在紛紛建立一個(gè)整體的信息平臺(tái)來(lái)整合自己的綜合業(yè)務(wù)。xxxx 企業(yè)為了滿足信息化的需求,建立一個(gè)高安全、高可靠、高可管理性的信息平臺(tái),使用帶寬管理設(shè)備是十分必要的。 二、需求分析:二、需求分析:對(duì)于一個(gè)大型的企業(yè)網(wǎng)來(lái)說(shuō),在網(wǎng)上所進(jìn)行的業(yè)務(wù)類型是非常復(fù)雜的,隨著互聯(lián)網(wǎng)寬帶業(yè)務(wù)的迅猛增長(zhǎng),服務(wù)應(yīng)用種類趨于多元化,重要應(yīng)用在時(shí)間響應(yīng)方面也在不斷地提高,其主要原因就是網(wǎng)絡(luò)中的應(yīng)用日益復(fù)雜多變。除了常規(guī)的對(duì)互聯(lián)網(wǎng)的瀏覽、查詢、電子郵件等

4、多種應(yīng)用類型以外,多線程的 ftp 下載、在線游戲、peer-to-peer 應(yīng)用、等多種新型的網(wǎng)絡(luò)數(shù)據(jù)在網(wǎng)絡(luò)中大量使用和出現(xiàn)。對(duì)集團(tuán)用戶而言,每年投入在帶寬上的費(fèi)用是有限的,如何將已有的帶寬盡量充分,合理的利用,是集團(tuán)網(wǎng)絡(luò)部門的一個(gè)難題。針對(duì) xxxx 的互聯(lián)網(wǎng)出口。和 ddn 線路而言,如何保障在線路上的關(guān)鍵(如:erp,oa 等)應(yīng)用是關(guān)鍵。同時(shí),由于近年來(lái) p2p 的應(yīng)用急速增長(zhǎng);目前一般而言超過(guò) 50的帶寬被 p2p 文件下載應(yīng)用占用,帶寬資源嚴(yán)重浪費(fèi),導(dǎo)致關(guān)鍵電路臃塞,用戶滿意度下降。另外采用加密技術(shù)的、隧道技術(shù)的 p2p 應(yīng)用也日趨發(fā)展。綜上所述,xxxx 帶寬控制工程應(yīng)完成以下

5、需求:需求 1:1針對(duì)應(yīng)用的帶寬分配和管理。2針對(duì) ip 段的帶寬分配和管理。3針對(duì)時(shí)間段的帶寬分配和管理。4完成雙向流量的管理和控制。 需求 2:5針對(duì)應(yīng)用的帶寬分配和管理。6針對(duì) ip 段的帶寬分配和管理。7分用戶(ldap)的帶寬分配和管理。 (可選)xxxx 流量管理建議方案第 3 頁(yè) 共 21 頁(yè)8分時(shí)間段的帶寬分配和管理。考慮在滿足 xxxx 目前網(wǎng)絡(luò)承載現(xiàn)有的數(shù)據(jù)傳輸?shù)那疤嵯?,提高網(wǎng)絡(luò)的管理、疏導(dǎo)和安全防范能力,針對(duì)某些特定的應(yīng)用如:p2p 應(yīng)用、網(wǎng)絡(luò)游戲、視頻/voip 等進(jìn)行流量控制,區(qū)分服務(wù)等級(jí),并對(duì)其他非正常網(wǎng)絡(luò)流量進(jìn)行過(guò)濾和限制,提高網(wǎng)絡(luò)整體安全性,以建立高效的服務(wù)質(zhì)量

6、(qos)管理。三、方案建議三、方案建議根據(jù)用戶的需求分析,我們建議選用全球著名的流量管理廠商allot 通訊公司的netenforcer 實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)出口以及 ddn 線路的網(wǎng)絡(luò)帶寬管理。 1應(yīng)用保障: 針對(duì)集團(tuán)內(nèi)部的關(guān)鍵應(yīng)用以及常規(guī)應(yīng)用(如:erp,oa,email 等)做帶寬以及優(yōu)先級(jí)的保障。 2應(yīng)用控制: 針對(duì)非關(guān)鍵應(yīng)用,主要是日益流行的 p2p 以及 streaming application 等做帶寬以及優(yōu)先級(jí)的控制。 3流量分析: 針對(duì) internet 鏈路做流量分析。帶寬:查看總鏈路或鏈路中某個(gè)地址、地址段、主機(jī)、應(yīng)用等所占用的帶寬。連接數(shù):查看總鏈路或鏈路中的某個(gè)地址、地址

7、段、主機(jī)、應(yīng)用的存活連接和每秒新建連接。帶寬利用率:查看每條鏈路的帶寬利用率,從而分析鏈路的使用情況。最活躍協(xié)議:查看總鏈路或鏈路中的某個(gè)地址、地址段、主機(jī)的流量中,最活躍的協(xié)議(所占帶寬最大的協(xié)議)是什么,確定應(yīng)用的優(yōu)先級(jí)和重要性,從而判斷是對(duì)該應(yīng)用做帶寬保障還是做帶寬控制。最活躍內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī):在鏈路中,通過(guò)查看最活躍內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī),并深入分析起應(yīng)用情況,從而判斷對(duì)該主機(jī)的應(yīng)用做何種 qos。xxxx 流量管理建議方案第 4 頁(yè) 共 21 頁(yè)3 31 1、方案實(shí)施、方案實(shí)施3 31 11 1、針對(duì)應(yīng)用的帶寬分配和管理:、針對(duì)應(yīng)用的帶寬分配和管理:allot 公司的流控設(shè)備采用 al

8、lot 的專利技術(shù) dpi(deep packet inspection) 。對(duì)每個(gè)數(shù)據(jù)的報(bào)頭進(jìn)行分析,將特征碼與協(xié)議庫(kù)進(jìn)行匹配,以次來(lái)進(jìn)行應(yīng)用的識(shí)別。策略設(shè)置建議:ap2p protocal:(迅雷,bittorrent, edonkey, warez, winmx, kazaa)對(duì)以上應(yīng)用,建議對(duì)其的帶寬控制在總帶寬的 2%5%之間。或者客戶針對(duì)自身情況來(lái)定。b針對(duì) erp,oa 等關(guān)鍵的辦公應(yīng)用,可以進(jìn)行帶寬保障,具體數(shù)值有客戶工程師決定,如果在 allot 協(xié)議庫(kù)中沒有響應(yīng)的協(xié)議,用戶可以對(duì)自己公司特殊應(yīng)用來(lái)添加端口進(jìn)行帶寬保障。c其他應(yīng)用,如 streaming applicatio

9、n,games,voip 等,請(qǐng)用戶根據(jù)自身網(wǎng)絡(luò)及公司規(guī)定進(jìn)行設(shè)置。3 31 12 2、針對(duì)、針對(duì) ipip 段的帶寬分配和管理段的帶寬分配和管理allot 公司的流控設(shè)備能夠針對(duì) host,ip address,ip subnet,ip range,以及mask 參數(shù)來(lái)進(jìn)行帶寬控制。只要是 allot 能夠看到的地址,都能夠?qū)ζ溥M(jìn)行帶寬管理。針對(duì) internet 出口的帶寬管理,有以下管理方式:1在總部 internet 出口處放一臺(tái) ac5000/2g,這樣做能夠在宏觀上控制 internet 的總體流量。3 31 13 3、針對(duì)時(shí)間段的帶寬分配和管理:、針對(duì)時(shí)間段的帶寬分配和管理:時(shí)間

10、段的帶寬分配策略主要應(yīng)用于靈活度比較大的應(yīng)用,以 p2p 應(yīng)用為例:在白天上班時(shí)間,這種應(yīng)用應(yīng)該被嚴(yán)格的控制和管理,但在下班期間,可能 90%以上的員工都已經(jīng)下班(使用到網(wǎng)絡(luò)的員工) ,網(wǎng)絡(luò)的剩余帶寬很多,在這種時(shí)候,p2p 應(yīng)用的帶寬控制可以適當(dāng)?shù)姆艑?。比如在白天工作期間 8:0018:00,p2p 應(yīng)用控制在單向 10m,那么在下班xxxx 流量管理建議方案第 5 頁(yè) 共 21 頁(yè)后 18:008;00,就可以適當(dāng)放寬到 50m,或者更高。3 31 14 4、雙向流量的管理和控制、雙向流量的管理和控制在總部和各分支之間的雙向流量有以下兩種管理方式:1在總部放置一臺(tái)設(shè)備,分支不做任何部署。這

11、種部署方式以總部為節(jié)點(diǎn),控制 5 個(gè)分支(ddn 線路)的總流量。如果 allot 不能看到各個(gè)分支的內(nèi)網(wǎng)地址,那么他就無(wú)法對(duì) 5 條 ddn 線路做出公平的流量管理,例如:總的 p2p 流量限制在 5m 以內(nèi),但會(huì)出現(xiàn)不同的狀況,可能每個(gè)分支平均的獲得 1m 的 p2p 流量,也有可能一個(gè)分支獲得 4m 的 p2p 流量,其他 4 個(gè)分支共享 1m 的 p2p 流量,甚至有可能一個(gè)分支搶到了 5m 的 p2p 流量,而其他分支無(wú)法使用 p2p 進(jìn)行下載。如果 allot 能夠看到詳細(xì)的各分支的內(nèi)網(wǎng)地址,那么就可以建立 vc(虛擬通道) ,一個(gè) vc 對(duì)應(yīng)一個(gè)分支,這樣也可以做到分支之間公平的

12、流量管理。但這種部署方式在進(jìn)出流量的管理方面存在某些不足,出方向的流量控制是完全沒有問(wèn)題的,因?yàn)槌龇较虻牧髁康脑搭^就是在 ddn 專線的內(nèi)網(wǎng)。但是對(duì)于入方向的流量控制存在不足,在策略執(zhí)行時(shí),雖然會(huì)看到流量的下降,但連接依然是存在的,只是每個(gè)連接的流量都被減小而已。allot 不會(huì)強(qiáng)行斷開已經(jīng)建立好的連接,只能等待起自行斷開,等到再次發(fā)起連接請(qǐng)求的時(shí)候,如果流量已經(jīng)達(dá)到策略上限,那么這個(gè)請(qǐng)求將會(huì)被駁回,連接建立不成功。如果流量未達(dá)到策略上限,那么連接成功,充分利用網(wǎng)絡(luò)帶寬。2在總部和各分支各部署一臺(tái)流控設(shè)備這種部署方式,不但能夠很好的控制 ddn 線路總的帶寬,也能夠公平的對(duì) 5 條 ddn 線

13、路進(jìn)行帶寬分配,還可以嚴(yán)格的控制進(jìn)出方向的流量,因?yàn)檫@種部署方式,在 ddn 線路兩端都部署了 allot 流控設(shè)備,一端的出方向就是另外一端的入方向,此時(shí)在 ddn 線路建立的不是虛擬通道,而是物理通道。進(jìn)出方向都被很好的控制起來(lái)。3.3. 2 2、建議拓?fù)鋱D、建議拓?fù)鋱D拓?fù)湔f(shuō)明:拓?fù)湔f(shuō)明:xxxx 流量管理建議方案第 6 頁(yè) 共 21 頁(yè)我們選用 allot 公司的 netenforcer 產(chǎn)品管理 xxxx 的互聯(lián)網(wǎng)出口所有流量,解決用戶的具體需求,同時(shí)保證網(wǎng)絡(luò)的高可靠性。從設(shè)備布置角度,我們建議將設(shè)備部署在路由器防火墻之間或四-七層交換機(jī)之間。3.3. 3 3、方案設(shè)計(jì)原則、方案設(shè)計(jì)原

14、則 構(gòu)建一個(gè)大型的企業(yè)網(wǎng)絡(luò),需要系統(tǒng)設(shè)備具有強(qiáng)大的信息處理能力和快速的響應(yīng)能力。在要求系統(tǒng)擁有足夠的處理能力的同時(shí),還要求在有限的廣域帶寬的資源下對(duì)多種應(yīng)用中的關(guān)鍵性應(yīng)用做出服務(wù)質(zhì)量保障,該服務(wù)質(zhì)量保障設(shè)備還應(yīng)具備高性能、可擴(kuò)展性、可管理性、高可用性和安全性。高高性能性能對(duì)于 xxxx 網(wǎng)絡(luò)中的關(guān)鍵性業(yè)務(wù)要求有較快的響應(yīng)時(shí)間和較大的并發(fā)性,所以要求在上千甚至更多的用戶的多種應(yīng)用請(qǐng)求的條件下,一定能夠高效地保障各種關(guān)鍵應(yīng)用的快速響應(yīng)。可擴(kuò)展性可擴(kuò)展性可擴(kuò)展性體現(xiàn)在多個(gè)方面:包括系統(tǒng)體系結(jié)構(gòu)的可擴(kuò)充性、軟硬件系統(tǒng)的可擴(kuò)展性、帶寬管理的擴(kuò)展能力。針對(duì)服務(wù)質(zhì)量保障設(shè)備,要求對(duì)其支持吞吐量具有可升級(jí)的功

15、能和軟件升級(jí)功能??晒芾硇钥晒芾硇韵到y(tǒng)必須具有充分的可管理性,以便于系統(tǒng)的維護(hù)和管理,要求可采用控制臺(tái)端口,telnet, http 或?qū)S械膱D形化管理程序?qū)嵤┕芾?。配置文件、策略文件可備份、恢?fù)??煽啃愿呖煽啃愿呖煽啃詘xxxddn 鏈路為 fe 接口的鏈路,所以要求能夠高速處理、轉(zhuǎn)發(fā)能力的設(shè)備,并且能夠提供 7x24 小時(shí)的不間斷工作。我們推薦選用 netenforcer-ac 402 系列企業(yè)級(jí)流量管理產(chǎn)xxxx 流量管理建議方案第 7 頁(yè) 共 21 頁(yè)品。高安全性高安全性可以提供許多安全特性,保障應(yīng)用的安全??稍O(shè)置訪問(wèn)控制策略限制對(duì)設(shè)備的訪問(wèn)、操作。具備防止拒絕服務(wù)類攻擊的能力。豐富的

16、應(yīng)用的識(shí)別和分類豐富的應(yīng)用的識(shí)別和分類支持從 2 到 7 層的多種協(xié)議和應(yīng)用類型,其協(xié)議庫(kù)目前包含 5000 多種協(xié)議,支持自動(dòng)識(shí)別所列的所有協(xié)議,并可在線升級(jí),無(wú)需重啟。直觀的流量監(jiān)控和數(shù)據(jù)保存直觀的流量監(jiān)控和數(shù)據(jù)保存能夠直觀的在線實(shí)時(shí)觀測(cè)和長(zhǎng)時(shí)間記載和監(jiān)控網(wǎng)絡(luò)流量。allot 的 netenforcer 支持實(shí)時(shí)監(jiān)控(realtime monitoring)和長(zhǎng)期監(jiān)控(long-term monitoring),同時(shí),是目前唯一支持 mrtg 的流量控制產(chǎn)品。四、四、allotallot 概述概述netenforcer 是一臺(tái)可以幫你管理數(shù)據(jù)流量而有效加速帶寬應(yīng)用的一種工具,它能夠讓網(wǎng)絡(luò)管

17、理人員去監(jiān)視網(wǎng)絡(luò)的流量、將網(wǎng)絡(luò)上的流量加以分類和控制,從而使網(wǎng)絡(luò)傳輸達(dá)到最佳化的境界。netenforcer 能讓使用者有能力修整網(wǎng)絡(luò)帶寬,并可以根據(jù)網(wǎng)絡(luò)服務(wù)供應(yīng)商或者是企業(yè)對(duì)帶寬管理的需求來(lái)提供屬于整個(gè)系統(tǒng)的服務(wù)水平保證。 netenforcer 帶寬管理器可提供完整的監(jiān)控功能、精確的分類及優(yōu)先傳送功能、詳細(xì)的報(bào)表分析及人性化的操作管理接口,可監(jiān)控從物理層到應(yīng)用層(從 tcp 的第 2 層到第 7 層)的流量類型的狀況,同時(shí)可做實(shí)時(shí)或定時(shí)的統(tǒng)計(jì)提供網(wǎng)管人員參考,監(jiān)控后還可視需求來(lái)制定帶寬管理政策來(lái)分類管理。同時(shí) allot 也提供了內(nèi)置或外置的 bypass 模塊,bypass 模塊是網(wǎng)絡(luò)中

18、一個(gè)關(guān)鍵性的設(shè)備,它主要的作用是在網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后,仍然能夠保證網(wǎng)絡(luò)的暢通;xxxx 流量管理建議方案第 8 頁(yè) 共 21 頁(yè)五、五、allotallot 工作原理工作原理allot 公司的專利技術(shù)是,pfq 技術(shù)。 (per flow queuing) 。這是一種經(jīng)過(guò)優(yōu)化了的隊(duì)列技術(shù)。其基本實(shí)現(xiàn)的方式是:1) 先把網(wǎng)絡(luò)劃分成 pipe(通道) ,在每一個(gè)通道內(nèi)再細(xì)分成不同的 vc(virtual channel) 。細(xì)分過(guò)的 vc 內(nèi)可以針對(duì)每一個(gè)不同的應(yīng)用、ip 地址、或者其他不同的事務(wù)。2)利用策略模式,即當(dāng)每一個(gè)數(shù)據(jù)流(如:p2p、http 等)進(jìn)入預(yù)先設(shè)定好的 vc 內(nèi)部時(shí),先確定

19、是否預(yù)先設(shè)定好了策略。3)如果已經(jīng)預(yù)先設(shè)定策略,allot 就馬上按照預(yù)先設(shè)定好的帶寬策略執(zhí)行,如果沒有就等待下一次詢問(wèn)是否填入策略。4)區(qū)分好不同的應(yīng)用后,allot 就要對(duì)帶寬進(jìn)行有效的管理,控制特殊的數(shù)據(jù)流(音頻流、視頻流) ,保證最小帶寬、最大帶寬、突發(fā)值,從而不會(huì)丟棄數(shù)據(jù),真正做到端到端的控制策略;同時(shí),為所有流量,按優(yōu)先權(quán)(10 個(gè)級(jí)別)保證最小帶寬的訪問(wèn);5)利用觀察和預(yù)測(cè)模式可以很方便地隨時(shí)填入所需要的策略而及時(shí)改變網(wǎng)絡(luò)的應(yīng)用狀況。xxxx 流量管理建議方案第 9 頁(yè) 共 21 頁(yè)六、六、allotallot netenforcernetenforcer & & bypassb

20、ypass 的容錯(cuò)技術(shù)詳解的容錯(cuò)技術(shù)詳解在此方案中我們提供的設(shè)備內(nèi)置旁路單元,快速的故障切換實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠。為了消除用戶的后顧之憂,我們?cè)敿?xì)講解 allot 的容錯(cuò)技術(shù)。allot 設(shè)備結(jié)構(gòu)組成:(以 kac 404 為例)當(dāng) netenforcer 主設(shè)備出現(xiàn)故障后,netenforcer 立刻切換到 bypass 模式;此時(shí),bypass 單元相當(dāng)于一條直通的光纖連接,整個(gè)過(guò)程不會(huì)對(duì)網(wǎng)絡(luò)造成影響.以其中一條鏈路為例,具體過(guò)程如下:1bypass 有 2 種狀態(tài):a.“旁路”狀態(tài) - 1 號(hào)端口與另外一個(gè) 1 號(hào)端口連接(流量不通過(guò) netenforcer 主單元)b.“活躍”狀態(tài) - 1

21、 號(hào)端口與 2 號(hào)端口連接。 (流量不經(jīng)過(guò)主單元).2設(shè)備可以在 bypass 狀態(tài)下連接到網(wǎng)絡(luò)中,并可以直接轉(zhuǎn)發(fā)數(shù)據(jù)包。3當(dāng) allot 工作時(shí),內(nèi)部控制線將維持發(fā)送一個(gè)保持信號(hào)(通過(guò)硬件比特信號(hào))并且bypass 將處于“活躍”狀態(tài)。故障分析:故障分析:故障現(xiàn)象:故障現(xiàn)象:當(dāng) allot 的主單元設(shè)備由于突發(fā)情況(如斷電)發(fā)生故障時(shí)(如下圖) ,xxxx 流量管理建議方案第 10 頁(yè) 共 21 頁(yè)故障分析及結(jié)果:故障分析及結(jié)果:當(dāng)設(shè)備發(fā)生故障后,設(shè)備內(nèi)部發(fā)送一個(gè)信號(hào)通知 bypass 模塊,將系統(tǒng)工作狀態(tài)立即切換為 bypass 模式,以后的流量只經(jīng)過(guò) bypass 模塊。整個(gè)過(guò)程的切換時(shí)

22、間非常短(小于 2ms) ,不影響網(wǎng)絡(luò)的正常業(yè)務(wù)。allot 支持手動(dòng)控制 bypass 狀態(tài)的切換,通過(guò)主單元的命令行/圖形界面都可以實(shí)現(xiàn)。主單元的告警功能也可以在其針對(duì)某些條件的反應(yīng)動(dòng)作中切換 bypass 的工作狀態(tài)。七、七、allotallot 的優(yōu)點(diǎn):的優(yōu)點(diǎn):7.17.1 安全有效的帶外管理(安全有效的帶外管理(outout ofof bandband):):在 allot 的 qos 設(shè)備上,有一個(gè)獨(dú)立的管理接口。這個(gè)端口和連接內(nèi)部和外部網(wǎng)絡(luò)的以太網(wǎng)接口在物理上是隔離的。經(jīng)過(guò)隔離的網(wǎng)絡(luò)管理口,可不通過(guò)設(shè)備的網(wǎng)絡(luò)口而直接進(jìn)行配置、監(jiān)控等復(fù)雜活動(dòng)。從而提供更高一級(jí)別安全的系統(tǒng)管理和無(wú)干

23、擾的流量監(jiān)視及統(tǒng)計(jì)。帶外管理在網(wǎng)管的安全性上是一個(gè)主流的趨勢(shì)。xxxx 流量管理建議方案第 11 頁(yè) 共 21 頁(yè)7.27.2、卓越的網(wǎng)絡(luò)和策略性能、卓越的網(wǎng)絡(luò)和策略性能allot 的 net enforcer ac402/45m 支持 10/100 full auto 的吞吐量,不僅可以支持vlan 模式工作,而且可以穿透 vlan trunk,即 ieee802.1q 數(shù)據(jù)包。當(dāng)網(wǎng)絡(luò)拓?fù)渲行枰溄觾膳_(tái)設(shè)置成 vlan trunking 的設(shè)備時(shí),allot 的 net enforcer 可以直接接入并保持連接。而相比較其一些競(jìng)爭(zhēng)對(duì)手卻無(wú)法回應(yīng)標(biāo)準(zhǔn)的 ieee802.1q 包,而必須設(shè)置成為

24、 native vlan模式,否則無(wú)法 vlan trunking 中找到這臺(tái)設(shè)備。allot ac402/45m 可支持 4096 個(gè)并發(fā)策略規(guī)則數(shù)和 96k 個(gè)并發(fā)連接數(shù),最大支持1024 個(gè) pipe。 (通道)極大地滿足當(dāng)前和未來(lái)的網(wǎng)絡(luò)性能的要求。帶寬升級(jí)、更新軟件或者其他附屬功能可由軟件許可證來(lái)控制。這種方式的好處是,當(dāng)前出口總帶寬滿足目前 allot license 管理能力的情況下,選擇支持 45m 帶寬管理能力的軟件許可證,在未來(lái)的帶寬升級(jí)之后,可以無(wú)縫地升級(jí)到管理 100m 帶寬的能力。xxxx 流量管理建議方案第 12 頁(yè) 共 21 頁(yè)7.37.3、 “故若金湯故若金湯”的

25、容錯(cuò)和旁路技術(shù)的容錯(cuò)和旁路技術(shù)allot netenforcer402 是一套完整的容錯(cuò)硬件和解決方案。為了保證網(wǎng)絡(luò)永不中斷,net enforcer 采用了以下的方式: 如果由于系統(tǒng)內(nèi)的任何硬件或軟件的原因?qū)е孪到y(tǒng)發(fā)生故障,net enforcer 會(huì)自動(dòng)切換到旁路模式,以確保網(wǎng)絡(luò)資料的傳輸不受影響。 allot 的 net enforcerx02 產(chǎn)品內(nèi)置了自動(dòng)旁路模塊,當(dāng)出現(xiàn)斷電和軟硬件故障時(shí),會(huì)自動(dòng)切換到旁路狀態(tài),確保通信不中斷。自動(dòng)旁路的切換時(shí)間小于 2 毫秒,網(wǎng)絡(luò)中斷控制在 2 秒以內(nèi)。7.47.4、 “豐富豐富”的應(yīng)用的識(shí)別和分類的應(yīng)用的識(shí)別和分類allot 的 net enfo

26、rcer 支持從 2 到 7 層的多種協(xié)議和應(yīng)用類型,其協(xié)議庫(kù)目前包含5000 多種協(xié)議,支持自動(dòng)識(shí)別所列的所有協(xié)議,并可在線升級(jí),無(wú)需重啟。支持 ip、arp、appletalk、decnet、banyan vines、dec ethernet、dec lat、ipv6、ipx、ms-ipx、netbeui、sna 等網(wǎng)絡(luò)層協(xié)議。支持 tcp、udp、egp、ggp、gre、icmp、igmp、i-nlsp、ospfigp、rsvp、sipp-ah、sip-esp、swipe 等傳輸層協(xié)議。支持根據(jù)端口定義 tcp/udp 協(xié)議。 支持各種主流 p2p 應(yīng)用,包括 kazaa、edonkey

27、、gnutella、bit torrent、bitcomet、poco、winmx、direct connect、over net、mp2p、winny 等等,即使這些應(yīng)用是基于動(dòng)態(tài)端口的。支持對(duì) ftp 進(jìn)行基于方法(upload/download) 、文件名和文件擴(kuò)展名的詳細(xì)分類,對(duì)http 進(jìn)行基于主機(jī)、url、方法(get/post 等)和內(nèi)容(mime 類型)的詳細(xì)分類。能夠發(fā)現(xiàn)基于多種 sql 類型的數(shù)據(jù)庫(kù)的應(yīng)用。無(wú)論時(shí) oracle 還是 ms sql server,其特殊的多種應(yīng)用類型和協(xié)議均可以及時(shí)發(fā)現(xiàn)。這類功能可以在日后的生產(chǎn)實(shí)時(shí)系統(tǒng)、或者這類功能可以在日后的生產(chǎn)實(shí)時(shí)系統(tǒng)、

28、或者其他數(shù)據(jù)庫(kù)的保障和管理中得到很好的應(yīng)用。其他數(shù)據(jù)庫(kù)的保障和管理中得到很好的應(yīng)用。7.57.5、 “實(shí)時(shí)而長(zhǎng)期的實(shí)時(shí)而長(zhǎng)期的”網(wǎng)絡(luò)流量監(jiān)控網(wǎng)絡(luò)流量監(jiān)控對(duì)于一個(gè)北京供電局網(wǎng)站來(lái)講,能夠?qū)崟r(shí)觀測(cè)和長(zhǎng)時(shí)間記載和監(jiān)控網(wǎng)絡(luò)流量是非常必xxxx 流量管理建議方案第 13 頁(yè) 共 21 頁(yè)要的。allot 的 netenforcer 支持實(shí)時(shí)監(jiān)控(realtime monitoring)和長(zhǎng)期監(jiān)控(long-term monitoring)。realtime monitoring 功能實(shí)時(shí)顯示當(dāng)前網(wǎng)絡(luò)的即時(shí)流量狀況, 由于所有管理系統(tǒng)都是建制在 java 平臺(tái)上面,所以所有的監(jiān)控時(shí)間都是“實(shí)時(shí)的” ,每

29、30 秒自動(dòng)刷新一次。long-term-monitor 功能可將 realtime monitoring 中的圖表存入外部電腦,便于網(wǎng)管回顧過(guò)去任何時(shí)候網(wǎng)絡(luò)的流量狀況。使用 realtime monitoring, 用戶可同時(shí)監(jiān)控多達(dá) 100 張實(shí)時(shí)圖表, 內(nèi)容包括帶寬、流量、協(xié)議和應(yīng)用、連接數(shù)、最活躍的 ip 地址, 數(shù)據(jù)包大小及利用率等,監(jiān)控對(duì)象可以是系統(tǒng)、pipe、vc 或主機(jī),監(jiān)控方向可以是出站、入站或雙向,均能夠按照?qǐng)D表和數(shù)據(jù)兩種方式顯示,應(yīng)用及 ip 地址排名支持前 25 位。充分利用 java 的靈活性,用戶還可以將鼠標(biāo)點(diǎn)擊實(shí)時(shí)圖表上的任何一種協(xié)議或應(yīng)用,ne 即能顯示該協(xié)議的

30、即時(shí)流量,同時(shí)用戶可點(diǎn)擊右鍵,找出當(dāng)前使用該協(xié)議的最活躍 ip(可多達(dá) 25 位).這樣很有利于網(wǎng)管實(shí)時(shí)監(jiān)控用戶網(wǎng)絡(luò)的使用情況. 出此之外網(wǎng)管還可立即將該協(xié)議加入策略中進(jìn)行 qos 控制, 或加入長(zhǎng)期 long-term-monitoring 中,這樣網(wǎng)管可以回顧過(guò)去任何時(shí)候各協(xié)議或終端用戶的使用情況.監(jiān)控內(nèi)容包括帶寬、流量、協(xié)議和應(yīng)用、連接數(shù)、數(shù)據(jù)包大小及利用率等,監(jiān)控對(duì)象可以是系統(tǒng)、pipe、vc 或主機(jī),監(jiān)控方向可以是出站、入站或雙向,均能夠按照?qǐng)D表和數(shù)據(jù)兩種方式顯示。 xxxx 流量管理建議方案第 14 頁(yè) 共 21 頁(yè)為了方便廣大的網(wǎng)管人員,allot 還特意通過(guò) snmp 協(xié)議來(lái)支

31、持 mrtg 進(jìn)行系統(tǒng)集成管理。許多大型網(wǎng)絡(luò)系統(tǒng)都使用 mrtg 來(lái)監(jiān)測(cè)路由器端口數(shù)據(jù)流量. 用戶通過(guò)下載 allot net enforcer 中的 mib 來(lái)實(shí)時(shí)讀取 ne 內(nèi)部的數(shù)據(jù)流量信息。更令人叫絕的是,allot 的流量報(bào)告可以詳細(xì)到每一個(gè)預(yù)先設(shè)定好的 vc 中,因?yàn)槊總€(gè) vc 都有其單獨(dú)的 qid, 對(duì) mrtg 來(lái)說(shuō)就好像路由器的端口一樣, 這樣用戶可以方便地應(yīng)用 mrtg 軟件從 ne 中直接實(shí)時(shí)地讀取網(wǎng)絡(luò)數(shù)據(jù), 可精細(xì)到每個(gè)協(xié)議或應(yīng)用的流量狀況。這種功能還支持網(wǎng)管人員利用 web 服務(wù)的開通,方便用戶遠(yuǎn)程調(diào)取 mrtg 信息監(jiān)控網(wǎng)絡(luò)的運(yùn)行情況。7.67.6、 “強(qiáng)大的強(qiáng)大的

32、”網(wǎng)絡(luò)統(tǒng)計(jì)和報(bào)告網(wǎng)絡(luò)統(tǒng)計(jì)和報(bào)告(可選)(可選)為了使某些專業(yè)客戶更全面的使用監(jiān)控和統(tǒng)計(jì)功能,allot net enforcer 內(nèi)含一個(gè)報(bào)表統(tǒng)計(jì)的模塊(netaccountant) 。在該統(tǒng)計(jì)模塊的授權(quán)碼激活的狀態(tài)下,allot net enforcer 可以利用網(wǎng)絡(luò)中一臺(tái)管理 pc,使其成為專用的報(bào)表生成工具(netaccountant xxxx 流量管理建議方案第 15 頁(yè) 共 21 頁(yè)reporter) 。每間隔一個(gè)小時(shí),管理 pc 可以利用通過(guò) netenforcer 得到的數(shù)據(jù)。根據(jù)時(shí)間、流量分類、應(yīng)用、流量大小產(chǎn)生圖表和數(shù)據(jù)兩種形式的報(bào)表。7.77.7、 “不知疲倦不知疲倦”的告

33、警功能(的告警功能(alertalert)為了讓 allot net enforcer 成為一個(gè)完全的 qos 設(shè)備,allot 公司特設(shè)計(jì)了功能完善的告警功能。使用戶可以基于 system 級(jí)、net enforcer 級(jí)、pipe 級(jí)、和 vc 級(jí)設(shè)置告警策略。在每個(gè)級(jí)別內(nèi)部,又有不同的條件可以被監(jiān)控。監(jiān)控行為可以被看作是一系列帶著顏色標(biāo)價(jià)的通知出現(xiàn)在設(shè)備的報(bào)告里。更強(qiáng)大的是,一旦出現(xiàn)告警,用戶還可以根據(jù)規(guī)則,執(zhí)行許多控制指令。基于行為控制的有:發(fā)送 snmp trap發(fā)送 email (up to two addresses)發(fā)送 sms改變?cè)L問(wèn)控制(通過(guò)、拒絕、丟棄等)改變優(yōu)先權(quán)切換到

34、 bypass 模式重新啟動(dòng) xxxx 流量管理建議方案第 16 頁(yè) 共 21 頁(yè)綜上可以看到,用戶可以根據(jù)預(yù)先設(shè)定好的報(bào)警級(jí)別和內(nèi)容,讓 allot 設(shè)備自行處理事先已經(jīng)準(zhǔn)備好的預(yù)案。而不許人工干預(yù)。真正做到 24 小時(shí)的防范。是網(wǎng)絡(luò)服務(wù)中真正的先鋒。7.87.8、 “專業(yè)版專業(yè)版”網(wǎng)管功能網(wǎng)管功能allot 的 net enforcer 支持通過(guò)控制臺(tái)端口、telnet、ssh2 和 http 對(duì)設(shè)備進(jìn)行管理。allot 管理軟件是基于 java applet 的程序設(shè)計(jì)的。所以其具有普通 html 界面的程序所不可比擬的優(yōu)點(diǎn)。首先,其所有的監(jiān)控?cái)?shù)據(jù)和配置數(shù)據(jù)都是實(shí)時(shí)更新的,而這點(diǎn) htm

35、l 的軟件需要通過(guò)點(diǎn)擊刷新頁(yè)面來(lái)實(shí)現(xiàn)。使用上不方便。其次,所有被監(jiān)控的數(shù)據(jù)可以直接通過(guò)點(diǎn)擊右鍵來(lái)進(jìn)行在線更改策略,而不需象 html那樣需要事先記住監(jiān)控的數(shù)據(jù)而再到另一個(gè)地方去修改策略。xxxx 流量管理建議方案第 17 頁(yè) 共 21 頁(yè)第三,由于基于 java applet,使得整個(gè)網(wǎng)管程序非常近似一個(gè)標(biāo)準(zhǔn)化的系統(tǒng)網(wǎng)管程序,可以內(nèi)嵌如 ibm tivoli、hp openview 等平臺(tái)。另外,用戶可以很方便的獲取事實(shí)的網(wǎng)絡(luò)安全可靠的,并且已經(jīng)經(jīng)過(guò)加密,黑客無(wú)法通過(guò)網(wǎng)絡(luò)嗅探的方式獲取有用的信息。配置文件和策略文件可通過(guò) tftp 進(jìn)行備份和恢復(fù)。allot 的 net enforcer 包含

36、了一個(gè) snmp 的 agent,支持 rfc1213/mib ii 和 allot 的私有 mib。允許通過(guò)基于 snmp 的網(wǎng)管軟件獲取信息,生成基于 mrtg 的日?qǐng)?bào)、周報(bào)、月報(bào)和年報(bào),需要強(qiáng)調(diào)的是 net enforcer 支持 pipe 和 vc 級(jí)別的 mrtg 監(jiān)控。allot 的 net enforcer 支持 3 個(gè)級(jí)別的系統(tǒng)用戶(監(jiān)控、管理員和超級(jí)用戶) ,支持訪問(wèn)列表控制,支持系統(tǒng)的只讀模式,可以嚴(yán)格限定對(duì)設(shè)備的訪問(wèn)和操作。7.97.9、強(qiáng)大的、強(qiáng)大的 dos/ddosdos/ddos 防御器防御器當(dāng)前的網(wǎng)絡(luò)流量,趨向于復(fù)雜、多應(yīng)用、隨機(jī)事件多、網(wǎng)絡(luò)流行病毒和各種黑客的攻

37、擊隱患。有時(shí)候經(jīng)常由于個(gè)別網(wǎng)絡(luò)中的 pc 機(jī)感染病毒,而導(dǎo)致整個(gè)網(wǎng)絡(luò)的傳輸收到很大的影響,甚至被迫中斷正在進(jìn)行的視頻會(huì)議。而在網(wǎng)絡(luò)中的病毒如:蠕蟲病毒等因其在網(wǎng)絡(luò)中蔓延傳播,防治難度非常大。allot 的 net enforcer 本身就是一個(gè)強(qiáng)大的 dos/ddos 防御設(shè)備。利用其獨(dú)特的 dos算法庫(kù),可以及時(shí)發(fā)現(xiàn)大量的 dos 攻擊手段。一旦被判明是 dos 行為,則立即按照預(yù)先用戶設(shè)定好的方式進(jìn)行網(wǎng)絡(luò)干預(yù)。把攻擊者的 ip 壓制到一個(gè)合理的流量,并釋放其他被影響者的資源。或者,用戶可以利用告警功能,監(jiān)控可支持的最大 connection 數(shù)量和每秒新增connection 數(shù)量,并自行修改網(wǎng)絡(luò)中關(guān)于 dos 等特殊非法行為的規(guī)則,讓 allot net enforcer 根據(jù)規(guī)則來(lái)執(zhí)行抵御 dos 攻擊的要求。xxxx 流量管理建議方案第 18 頁(yè) 共 21 頁(yè)利用 allot 內(nèi)置的 cli 模式可以實(shí)時(shí)追查是那個(gè) ip 地址發(fā)生了異常的攻擊行為,并利用 arp track 功能再深入發(fā)現(xiàn)是那個(gè) mac 地址,進(jìn)而可以幫助鎖定是那一臺(tái) pc 出了問(wèn)題。7 71010 強(qiáng)大的網(wǎng)絡(luò)分析與集中控管強(qiáng)大的網(wǎng)絡(luò)分析與集中控管采用深層數(shù)據(jù)分析 (dpi) 技術(shù)的最 優(yōu)化全網(wǎng)域可視性,包括從宏觀上 識(shí)別流量的趨勢(shì)和從微觀角度分析 某個(gè)主機(jī)、用戶或者應(yīng)用的實(shí)時(shí)狀 態(tài),可以協(xié)助

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論