ALLOT流量管理方案A

第1页共7页XX公司流量管理解决方案1.概述随着互联网业务的发展，网络、用户规模快速增长，但网络流量的增长速度远高于用户数量的增长速度，网络带宽扩容的压力与日俱增，网络流向很不均衡；因为我们急对网络内对流量及各种应用协议急需进行管理与统计分析，为网络规划和优化调整提供基础依据。整个流量分析系统要实现以下功能：第一、网络流量流向分析了解IP不同属性流量分布，预测流量变化趋势，找出网络瓶颈，为网络规划、优化调整提供基础依据；对用户应用进行深入分析，我们可以清晰地掌握网络的应用行为，为设计实施更好的用户服务及产品提供了可靠的基层数据。第二、异常流量分析当网络攻击发生时，从IP的层面，对异常流量攻击实施有效监控和定位；能够及时响应，对异常流量和一些非法应用进行控制，保证XXIP的正常运行。第三、网络应用监控通过建立健全安全监测管理系统，对IP网的流量及网上的各种应用协议进行统计分析，结合日常网络维护操作，重点对异常流量进行分析和预警，实现在IP网络上的网络安全预警。2.解决方案目前XX网络中存在着复杂多变的应用类型，然而传统的网络交换机/路由器无法将之区分开来，也无法估量P2P、多线程下载等恶意占据了多少宝贵的带宽资源；更无法保证重要应用如ERP,VOIP,EMAIL等的带宽。第2页共7页Allot的解决方案能够根据应用级别进行差分服务。通过深入数据包检测功能可以识别出网络中每种应用类型，并根据XX目前的业务状况，分析出：1）哪些应用是重点的且优先保证的；2）哪些应用是次要的且需要低优先级控制的；3）哪些应用是恶意的切需要禁止的当我们非常清楚的了解网络上每种应用类型的带宽分布后，我们就可以建立一套基于应用级别差异化服务的可行性策略。给每种应用制定策略管道并分配合理的带宽资源。当流量流经Allot设备时，通过Allot的PFQ技术就可以按照预先制定的策略执行，始终优先保证重点（如VoIP、IPTV等）应用的带宽。如下图所示：第3页共7页拥有按需分配带宽的能力，对于确保高质量宽带体验至关重要。然而，如果不能识别“谁”在其网络上做“什么”，那么用户的带宽分配方式仍然相当原始。Allot的业务控制解决方案不但能感知用户，还能感知应用，提供必需的控制手段，确保每种服务都能获得所需的最佳带宽。无论是按照每天固定时段、应用、目的地进行差分，在用户的应用和服务需要带宽时，为他们提供所需的带宽。Allot的按需分配带宽功能的示例包括：“Turbo-button”服务可以提高用户带宽，当用户请求时，可以支持带宽密集的应用（如视频），而不是自动支持。这种入门级服务提供了一个绝佳的向上销售机会，可以促进用户升级到“智能带宽分配”服务。针对P2P应用，每日根据时段提供不同的带宽服务。比如白天工作时间8点到22点大力度的控制P2P应用，以释放更多的带宽留给关键性应用使用；晚22点到早8点可以适度的放大P2P应用，这样不但合理的利用当前的网络资源，而且减少了因不能下载P2P文件而带来的投诉。应用带宽，使用户能够指定为一项特定应用或服务（如互动游戏、视频点播）提供多高的带宽。于XX公司，服务器放在公司内部，需要提供给分支机构、供应商、合作伙伴访问的情况下，我们可以设置不同应用的优先级，给不同的应用分配不通的带宽，以保证重要应用的带宽，如下图所以：通过该网流量分析系统，我们能够对流量流向进行分析，及时发现异常流量，最小800k最大5M最小400K最大2M最小256K最大500K最小ERP最大5M最小VOIP最大2M最小WEB最大500K第4页共7页对网络中各种应用协议所消耗的带宽有清晰的了解。系统根据需要可以对出/入的流量进行控制，对每种应用占用带宽可以进行分配，从而缓解网络扩容压力。保障整个网络的稳定运行的同时实现网络性能和效率的最大化。同时，该方案实现了：1）具有高性能、高可靠性、高安全性、高可扩展性；2）对网络中的各种业务及应用的识别、分类、有效管理和控制；3）各种应用类型的分级管理和控制；4）对网络中的流量能直观丰富的实时观察和数据的长期记录和保存；5）强大的报表功能；6）具备统一部署、统一管理的功能；7）具备强大的告警和安全功能；3.ALLOT解决方案的优势：Allot的NetEnforcerAC400系列产品支持200M、AC800系列产品支持620M的吞吐量，AC400可支持4096条并发策略、AC800支持28672条并发策略，AC400支持96000个并发连接数，AC800支持256000个并发连接数，极大地满足用户当前和未来的网络性能的要求。在系统高可靠性方面，Allot的可靠性可以达到99.99%，并且提供7X24小时连续不间断工作。系统中硬件设备的平均无故障时间大于2万小时。在网络性能方面，Allot不仅可以支持VLAN模式工作，而且可以支持VLANTRUNK封装，即IEEE802.1q数据包。当网络拓扑中需要连接两台设置成VLANTRUNKING的设备时，Allot的NetEnforcer可以直接接入并保持连接。并可以根据VLANID对流量进行分类和管理。第5页共7页Allot的NetEnforcerAC400/800系列产品支持通过控制台端口、telnet、ssh2和http（java）对设备进行管理。Allot管理平台是基于Java的动态应用，相比普通基于静态HTML语言的管理平台具有不可比拟的优越性。首先，其所有的监控数据和配置数据都是实时更新的，而基于HTML的软件需要通过点击刷新页面来实现更新，操作的灵活性上存在很大的差异。其次，流量管理的策略可以直接在监控窗口中进行配置和修改，并且即时生效；而不需要在不同的功能窗口之间进行切换，策略部署更加简易和高效、策略的逻辑性更强，降低人为错误的机率。第三，采用Java技术，使得整个网管平台成为一个标准化的系统，可以内嵌入IBMTivoli、HPOpenView等平台，可以作为用户现有网管平台的一个有机组成部分。此外，Allot的网管平台支持安全加密功能，保证了网管数据传输的安全性。配置文件和策略文件可通过TFtp进行备份和恢复。Allot的NetEnforcer包含了一个SNMP的Agent，支持RFC1213/MIBII和Allot的私有MIB。允许通过基于SNMP的网管软件获取信息，生成基于MRTG的日报、周报、月报和年报，需要强调的是NetEnforcer支持Pipe和VC级别的MRTG监控。使用户的网管信息更加丰富和详细。第6页共7页Allot的管理平台是内嵌于系统中的，通过标准的Web浏览器即可以打开控制界面,对设备和网络流量进行监测和管理。Allot的NetEnforcer支持3个级别的系统用户（监控、管理员和超级用户），支持访问列表控制，支持系统的只读模式，可以严格限定对设备的访问和操作。AllotNetEnforcerAC400/800系列产品提供一套完整的容错硬件和解决方案。为了保证网络永不中断，NetEnforcer采用了以下的方式：如果由于系统内的任何硬件或软件的原因导致系统发生故障，NetEnforcer会自动切换到旁路模式，以确保网络传输不受影响。Allot的NetEnforcer产品外置了自动旁路模块，当出现断电和软硬件故障时，会自动切换到旁路单元，确保通信不中断。自动旁路的切换时间小于2毫秒。这与采用内置旁路单元的系统有很大区别。在实际应用中，我们不能排除设备软硬件发生故障的可能性，但采用无源的旁路单元，可以极大的提高整个系统的可用性和可靠性。Allot的NetEnforcerAC400/800系列产品支持从2到7层的多种协议和应用类型，其协议库目前包含8000多种协议，支持自动识别所列的所有协议，并可在线升级，无需重启。随着网络的发展，不同网络应用的增加，用户可以对设备的应用样本库进行更新以便识别新的网络应用。具体支持的常见协议如下：1)支持IP、ARP、Appletalk、DECNET、BanyanVines、DECEthernet、DECLAT、IPv6、IPX、MS-IPX、NetBEUI、SNA等网络层协议。2)支持TCP、UDP、EGP、GGP、GRE、ICMP、IGMP、I-NLSP、OSPFIGP、RSVP、SIPP-AH、SIP-ESP、SWIPE等传输层协议。3)支持根据端口定义TCP/UDP协议。4)支持各种主流P2P应用，包括BitTorrent、BitComet、BitSprit、POCO、KaZaA、eDonkey、Gnutella、、WinMx、DirectConnect等等，即使这些应用是基于动态端口的。5)支持多种常见的关键性应用，包括HTTP、FTP、Email等多种7层应用；6)支持根据VLANID进行分类组合，给予不同的优先级。7)支持根据主机列表进行分类控制。AllotNetEnforcerAC1000系列产品除了支持以上应用之外，还支持对FTP第7页共7页进行基于方法（upload/download）、文件名和文件扩展名的详细分类，对HTTP进行基于主机、URL、方法（get/post等）和内容（Mime类型）的详细分类。能够发现基于多种SQL类型的数据库的应用。无论时Oracle还是MSSQLServer，其特殊的多种应用类型和协议均可以及时发现。这类功能可以在日后的生产实时系统、或者其他数据库的保障和管理中得到很好的应用。对于用户来说，能够实时观测和长时间记载和监控网络流量是非常必要的。Allot的NetEnforcer提供实时监控(Realtimemonitoring)和长期监控(long-termmonitoring)的功能。实时监控功能实时显示当前网络的即时流量状况,由于所有管理系统建制在Java平台上面，所有的监控数据都是“实时的”，并且每30秒自动刷新。长期监控功能可将实时监控中的视图累计存储，便于网管人员对网络的历史流量情况进行回顾。使用实时监控,用户可同时监控多达100种视图,内容包括带宽、流量、协议和应用、连接数、最活跃的IP地址,数据包大小及利用率等，监控对象可以是系统、Pipe、VC或主机，监控方向可以是出站、入站或双向，均能够按照图形和数据两种方式显示，为网管人员提供了最为灵活和丰富的监控手段。充分利用JAVA的灵活性,用户可以通过点击实时视图中的任意图形对象（协议、应用、主机）,既可获取当前该对象的详细资料，也可以对该对象实施进一步操作（进行控制或进行长期监控），还基于该对象进行深入检测和分析。