网络流控解决方案.docx
《网络流控解决方案.docx》由会员分享,可在线阅读,更多相关《网络流控解决方案.docx(13页珍藏版)》请在冰豆网上搜索。
网络流控解决方案
Maxnet应用优化系统(AOS)
解决方案
1.前言
当今的企业网络应用已经从物理层连接的建设,数据链路层高速网络的实施,网络层全球化的路由交换和会话层的应用发展到了网络应用层也就是OSI第七层的应用。
但是随之而来的如何保证网络应用的性能和安全已经成为困扰所有企业网络用户的问题,成为所有企业网络用户迫在眉睫需要解决的问题。
面对后网络时代的新威胁,我们迫切需要在企业网络中添加“关键应用保障引擎”,该设备对于我们的网络就好比消防系统对于一座现代化的大楼:
在平时“关键应用保障引擎”帮我们监控整个网络中是否有异常、隐患、甚至网络灾难爆发的预兆,在网络灾难爆发的时候能够迅速扑灭,确保关键应用的“维生通道”,确保关键应用在任何时候都不受影响。
所谓关键应用是指与生产、安全、关键用户息息相关的各类网络应用,包括各类数据库、文件传输、视频会议等等形式。
本方案就我们当前的企业网络状况进行一个粗略的分析并提出一个大致的供参考讨论的关键应用保障系统实施方案。
2小型企业网络现状
目前,随着信息网络的迅速发展,网络资源共享的进一步加强,小型企业的各种业务工作对信息网络的依赖性越来越强,等等。
如何保证小型企业网络应用的性能和安全已经成为困扰企业的主要问题,成为企业迫在眉睫需要解决的问题。
目前小型企业网络存在如下几方面较严重的问题。
2.1网络资源匮乏
当信息化革命向纵深发展,网络应用从模式上有极大的转变时,网络上所流动的数据量给网络资源尤其是广域网带来不可估量的压力。
当前的P2P和视频点播软件具有端口模拟、数据包伪装、超线程下载等性能。
而各处室配置的pc机性能较高,使用这一类的软件,一个人的pc机占据几兆甚至十几兆的带宽是常见的现象。
并且这些下载、点播里面90%以上是与工作无关的内容。
目前企业采用的网络管理设备无法进行有效的应用层管理,同时行政干预手段并未受到预期良好的效果,这将严重阻塞与广域网带宽相关的其他关键业务。
而目前,大部分企业对于网络中各类应用冲突的管理手段仅限于各类交换机和防火墙。
这两种设备都是通过端口、协议号来进行应用区分的,而现在大量的病毒和下载软件都是可以选取随机端口或者进行包伪装的,这个特点使我们的管理调整手段失去了效力。
目前企业经常出现的上网发生的网速忽快忽慢就是这类问题的表现之一。
今后随着各类应用的普及,还将发生各类软件在使用的时候会有很大延迟甚至因为找不到服务器而中断。
2.2网络安全堪忧
从安全的角度来说,病毒攻击也是现今网络中不得不考虑的一个事情。
近代蠕虫和病毒攻击的特点是,攻击不从企业网外部向企业网内部发动,而是从内部开始发作。
病毒的侵入无处不在,可以通过员工电子邮件等渠道消消进入,然后发起攻击。
攻击发生的时候,可能的情况是公司内的几台中毒PC同时往上游某些服务器发送大量攻击包,使得某些机器不胜负荷倒下的同时,阻塞广域网通道。
面对这种局面,企业目前通常采用的防火墙+IDS的解决方案无能为力。
2.3网络的关键应用得不到保障
随着企业信息化的开展,企业大大的提高了效率和产能。
但同时也经受着由网络所带来的弊病,由于TCP通讯协议的大突发量,在网络上的各种应用互相抢占出口网络资源,个别用户的应用可以轻易地战胜大量资源,网络经常有阻塞发生,威胁到各种关键应用的运行,如企业网中的对外发布信息的WEB服务器,用以交换文件的Mail服务器等,直接造成企业经济损失和企业正常办公和运转的进行。
所谓关键应用是指与生产、安全、关键用户息息相关的各类网络应用,包括各类数据库、文件传输、视频会议等等形式。
一些P2P软件的使用占用了企业至少50%的带宽资源,并且仍然在毫无节制地加速吞噬着宝贵的带宽资源,这将严重影响包括ERP、OA系统在内的一些关键应用。
故而,我们迫切需要在网络中添加“关键应用保障引擎”,该设备对于网络就好比消防系统对于一座现代化的大楼:
在平时“关键应用保障引擎”帮我们监控整个网络中是否有异常、隐患、甚至网络灾难爆发的预兆,在网络灾难爆发的时候能够迅速扑灭,确保关键应用的“维生通道”,确保关键应用在任何时候都不受影响。
2.4信息安全的法律取证无法免责
这个问题我们目前还没有碰到,但是隐患总是存在。
按照公安机关的要求,单位提供职工上网环境的,所有用户的上网行为,都必须保有3个月以上的行为记录,以供各类信息案件取证使用。
我们目前的网络结构,这类上网行为记录是通过防火墙进行的,只能粗略记录用户及其访问的网站,还不能详尽到具体网络行为。
如果发生信息安全案件,无法提供合格的相关记录,我们将承担一定的行政责任。
3.MAXNET以DPI技术为核心的应用优化系统
为了解决上述问题,并且尽量不改动原有的网络架构,减少因为网络变动而产生的消耗,最直接的解决方式就是采用美国迈科公司的MaxnetIP系列应用优化系统,透明串接在小型企业的信息网络中,建立应用保障体系。
3.1解决方案
上图为小型企业的网络拓扑图。
针对这种小型企业的网络环境中,我们在出口处部署一台MaxnetAOSIP带宽管理设备即可,通过AOS管理中心服务器实现对IP带宽管理设备的集中管理。
3.2.MaxnetAOS系统的主要功能
MaxnetAOS系统的主要功能包括四个部分:
●网络流量的实时检测与智能分类
●应用优化与带宽控制
●报表分析管理
●带宽控制策略的调整与优化
3.2.1.网络流量的实时检测与智能分类
AOS系统实时流量分析器提供了实时流量采集及分析,实时流量数据每隔5秒自动刷新,让用户可以全面掌控网络带宽的使用情况,使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。
此外,AOS实时流量分析器还提供基于协议和基于IP地址(用户)两种类型的实时流量分析器,管理员可以直观的查看整个网络从三层到七层网络流量的详细情况,是管理员优化网络带宽、解决带宽恶意使用的有力的管理工具,为后续的带宽优化与管控、网络规划提供科学的依据。
目前,MaxnetAOS支持680多种协议和应用的自动识别,涵盖了P2P、IM(即时通讯)、视频/流媒体、网络游戏、企业内部核心应用、数据包封装协议等应用和协议,基本覆盖了目前主流的网络协议和应用类型,可为用户提供全面的、有效的协议支持。
3.2.2.应用优化与带宽控制
通过Maxnet享有专利的带宽管理和分配算法,AOS系统提供自定义虚拟带宽通道、最大带宽限制、保证带宽、带宽租借、应用优先级以及随机公平队列等一系列的应用优化和带宽管理控制功能。
同时AOS系统基于应用层防火墙,实现强大的应用层优化策略,将网络带宽的管理从被动的、消极的、无效的传统模式提升到主动的、有效的、智能化的带宽管理服务,最终达到保证关键应用的正常运行的目标,有效提升用户网络运维管理的水平。
1、应用优先级的划分
AOS系统可基于业务应用的优先级,将组织内部的业务应用划分为0、1、2、3、4、5、6、7等共8个优先级,其中0级为最高,7级为最低,并在后续的带宽管理过程中将组织内部的核心业务应用和时延要求高的应用配置为高优先级,同时将P2P、网络游戏等非核心的、占用带宽资源较高的应用配置为低等级,从而可以实现在带宽资源紧张时优先保证高等级的应用,而在带宽使用宽松的时候各级应用都可以正常使用。
2、强大的带宽控制与管理功能
AOS系统通过DPI为核心的深度包检测技术,能够精确到对每个session的数据包的检测和控制,同时结合应用优先级、随机公平队列、自定义虚拟带宽通道等,提供了多层多级带宽通道、最大带宽限制、保证带宽、带宽租借等一系列强大的带宽管理功能。
AOS系统的带宽管理功能提供强大的、灵活的带宽控制与管理功能,管理员可以基于应用优先级、用户(源IP地址)、目标IP地址、时间、协议和应用等进行灵活的带宽控制和应用优化的功能,管理员可以根据上述参数对网络流量进行划分,并确定如何有效的、合理的实现带宽的管理与控制。
3、基于应用层防火墙的应用优化策略
MaxnetAOS系统内置灵活、高效的应用层防火墙,通过参考传统防火墙的访问控制策略,将其深化至应用层面,用户可以基于源/目的IP、时间段、VLANID、Session数、应用协议等参数进行策略的设置,实现灵活的带宽管理和应用优化策略。
3.2.3.报表分析管理
MaxnetAOS系统提供丰富的、图文并茂的报表,包含曲线图、饼状图、柱状图以及数据统计报表等多种样式和内容,以天、周、月、年为时间单位的系列报表。
系统提供的报表包括:
1、应用/协议的带宽使用统计报表
AOS系统提供一年内的应用或协议流量纪录,并可生成天、周、月、季度、年时间段内的应用及协议的带宽使用统计报告。
具体报告类型包括:
总带宽分析报表
应用带宽分析报表
基于协议的带宽分析报表
基于协议和流量方向(进入/出去)的带宽分析报表
基于应用和流量方向(进入/出去)的带宽分析报表等等
通过上述各式各样的详细的统计分析图表,管理员一方面可以全面了解整个网络中各种应用协议、各用户带宽使用的情况,同时还可以了解应用优化和带宽控制策略实施的效果,找出经过应用优化和带宽控制后还在影响网络运行效率和带宽使用的问题,为后续的带宽控制策略的优化和调整提供全面的、系统的、科学的依据。
2、应用防火墙日志
3、用户HTTP访问日志报表
4、会话日志报表
5、用户自定义IP地址或应用的统计分析报表
6、AOS系统的报表模块支持报表的导出,用户可以将报表导出为WORD文档、PDF文档和HTML文档等多种格式。
同时系统支持将报表通过邮件自动发送给网络管理人员,使得管理员在第一时间就可以收到详细的带宽使用和管理报告,大大提高带宽管理的效率和响应速度。
3.3解决的问题
AOS系统可以为小型企业信息化网络实现如下功能和效果
3.3.1实现小型企业的网络流量的可视化
MaxnetAOS能从应用层中主动识别出小型企业网络的各类应用,并且可以清晰的看出各类小型企业网络中各级用户对网络带宽的占用情况。
用户可以全面掌控网络带宽的使用情况,使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。
3.3.2实现关键应用服务质量的优质化
MaxnetAOS系统能保障小型企业网络中关键应用的带宽使用如HTTP、OA、邮件、财务、ERP等使用等等;
●企业的广域网需要Maxnet的七层管理技术,通过透析网络服务,管理服务质量(QOS),Maxnet可以帮助企业用户最大化的发挥有效的带宽资源,合理分配给关键应用。
在有限的预算费用下确保高给企业内部用户高质量的服务。
●Maxnet的AOS系统采用使得小型企业用户在在某个分区受到病毒冲击的时候,可以保证病毒产生的大量数据包无法突破分区的限制。
如果设备的设置完全针对了客户的各类关键应用,病毒数据包会很快被限制甚至消灭,从这个角度上说,MaxnetAOS系统就类似于网络中的消防设备,在火灾发生的时候,能够有效遏制火情,保障住关键应用、关键部门不受火势影响。
这也是TCP窗口整形的机制无法实现的关键功能。
因此有了MaxnetAOS系统,就相当于给小型企业的网络架设了一个天然屏障,在突发网络拥塞的时候,能快速给予响应,有效输导,保证关键应用的访问,速度不受到任何影响。
●MaxnetAOS系统对于分区内可以实现随机公平队列SFQ。
所谓随机公平队列,是指几个应用在各个分配参数均接近的情况下,能够保证这几个应用能够平均的得到带宽,以避免某个争抢能力较强的软件占取过多的网络资源。
因此有了随机公平队列的功能,能保证访问小型企业网络的各个用户平均分配带宽,不会出现个别用户恶意抢占带宽的现象出现。
以保证有限的带宽不被消耗殆尽。
3.3.3实现关键用户服务质量的优质化
在后网络时代,小型企业经常出现某些关键用户的网络服务质量得不到保证的现象。
MaxnetAOS系统就能够从n阶乘的海量数据中筛选出那些发出的请求为1的各类关键用户的网络应用,因而能保证在享受后网络时代带来的便利的时候避免损失政府机关关键用户的网络带宽。
同时网管人员可将用户进行分类,例如分成一般用户组,领导用户组等等。
可以给这些用户组设置不同基本带宽和最大带宽。
例如保证领导用户组的网络带宽最小不少于500k,最大不超过2M等等。
这样就能有效保证关键人物的网络带宽不受恶劣的网络状况的影响。
3.3.4实现带宽管理的有效化
限制小型企业内部用户访问Internet的P2P、流媒体及在线视频、聊天、网络游戏、上网炒股等应用,禁止员工在上班时间做与工作无关的事情,提高生产与工作效率。
例如,可以设置上班时段(8:
30-12:
00、14:
00-17:
30),某些IP地址或者IP地址段不能使用P2P软件,某些IP地址或者IP地址段能使用P2P软件,但是带宽不超过50k。
3.3.5实现网络用户上网行为的记录化
MaxnetAOS系统能详细记录小型企业内部用户HTTP访问的URL日志,并生成报统计分析报表,管理员可以基于URL、源IP地址等进行日志查询;同时系统还提供TOP10的URL列表和TOP10被访问的Web服务器列表,并以月为单位生成HTTP访问的统计报表。
同时,通过配置自定义IP地址和自定义应用,MaxnetAOS系统可以生成特定IP地址和特定应用的统计分析报表,让管理员详细了解并跟踪某个IP地址和某种应用的带宽使用情况,为提供个性化的带宽管理服务提供科学的数据。
有了这些记录,网管人员能对网内用户的上网行为一幕了然,并且一旦发生了信息安全事件,也能做到有据可依。
3.3.6实现小型企业网络的安全稳定化
无论在什么时候,网络的安全总是头等大事。
MaxnetAOS系统能从以下几个方面保证网络的安全稳定。
●MaxnetAOS系统虽然不是一个专门的安全类型产品,但是它利用智能识别技术可以识别并阻断端口扫描、DoS攻击等黑客行为,提高网络系统的整体安全性。
因而被誉称为“应用层的防火墙”。
●MaxnetAOS系统作为一个硬件带宽分区设备,设备的稳定程度直接关联网络运行的状态。
这个设备具备下面两个特征:
首先,透明设备,没有IP。
一个有自己IP的设备先不说其架构是否是真正的带宽分区设备,仅仅从安全角度看就极不可取。
有IP的设备始终没有办法避开黑客的攻击。
当IP被黑客或者其他网络威胁因素知道的时候,这个设备总有被攻破的一刻,而这一个也就是整个网络开始瘫痪的那一刻。
其次,没有硬盘。
无硬盘的特征保障了应用数据的安全,同时,也说明是一个真正的硬件带宽分区设备而不是一台pc机+Liunx的伪硬件。
●MaxnetAOS系统,内建HardwareBypass,设备故障和断电时不影响整个网络的使用,因而能保证小型企业的网络畅行无阻。
综上所述:
Maxnet公司的AOS系统秉持“保障核心业务和关键用户的网络带宽服务质量”的理念,使得小型企业的网管人员能轻松管理、控制和优化自己的网络应用,达到可视化、可测、可控、可优化的主动式、智能化的应用优化和带宽管理,达到“效率和安全性最大化,实施和威胁最小化”的效果。
5.Maxnet方案产品建议
5.1网络出口
鉴于中小型企业的出口带宽,我们建议采用吞吐量为200Mbps的IP-150或400MbpsIP-550产品,可进行流量数据收集、监视和图表报告生成,并实施带宽策略控制,实现全网的可视化与流量控制。
5.2网络维护
我们建议在网络中心设立一个管理端,作为AOS系统的“中枢”。
考虑到该管理端需要接收来自于IP带宽管理设备的数据进行分析和存储并接收管理客户端的指令来对AOS系统进行配置管理和日常运维工作,我们建议采用优秀高性能、高稳定性的专业服务器作管理端。
6设备清单
可选产品
说明
IP-550
吞吐量400Mbps,同时支持2个桥。
IP-150
吞吐量200Mbps。
7设备介绍
产品简介
MaxnetAOSIP-150/IP-550流量管理设备非常适合中小型企事业单位的网络环境。
借助深度包检测(DPI)和深度流行为检测(DFI)技术以及QOS控制特性,IP-150/IP-550产品实现了对网络中流量与用户行为的监测和管理,优化了网络流量,并且为网络管理员提供前所未有的网络可见性。
MaxnetAOSIP-150/IP-550带宽管理设备是一款In-line(桥接)模式的硬件产品,基于DPI(DeepPacketInspect,深度包检测)和DFI(Deep/DynamicFlowInspection,深度流行为检测)技术,支持软/硬件Bypass,提供了基于七层应用的带宽管理和应用优化功能,在带宽管理方面,配合用户自定义的带宽策略以及Maxnet的核心带宽自动分配算法,可以为网络链路划分多个虚拟带宽通道,能够实现最大带宽限制、保证带宽、带宽租借、应用优先级、Per-IP带宽控制、Per-Net带宽控制、随机公平队列等一系列带宽管理功能,为客户提供了带宽管理、分析和优化的一体化解决方案,能够有效的检测和防止不正常应用对网络带宽资源的非正常消耗,保证关键应用带宽,限制非业务应用带宽,改善和保障了整体网络应用的服务质量。
产品特性
●高性能,线速吞吐量
MaxnetAOSIP-150/IP-550产品采用了多种软硬件加速机制,能够提供线速的100Mbps的吞吐量,完全满足中小型网络环境的性能要求。
●透明桥接,即插即用,无缝接入和部署
设备支持透明桥接,无须更改用户原有的网络架构,直接将设置串接到需要管理带宽的网络链路中,即可轻松完成设备部署。
●高可靠性解决方案
系统提供内置电口旁路模块和外置光纤Bypass交换机,同时提供硬件Watchdog监控功能,保证设备的高可用性,在掉电停机的情况下,保障用户网络万无一失。
●实时流量监控与分析
MaxnetAOS系统的实时流量分析器提供了网络、应用以及IP地址的实时流量采集、分析和展现功能,用户可以通过IP地址(用户)、应用、通道、带宽等方式直观的查看整个网络中带宽的详细使用情况。
它是IT管理员优化网络带宽、解决带宽恶意使用的有力的管理工具,为后续的带宽优化与管控、网络规划提供科学的依据。
●基于DPI技术的应用层自动分类与识别
基于系统内嵌的DPI智能分类引擎,系统可以探测和跟踪动态端口的分配,并通过比对协议的特征库,能够识别变动端口的会话流,并能够对使用同一端口的不同协议进行自动识别。
目前,MaxnetAOS系统能够识别600多种L2~L7层的网络协议和应用软件,涵盖了目前主流的各种应用,包括P2P、VoIP、IM(即时通讯)、视频/流媒体、网络游戏、炒股软件、企业内部应用、网络管理协议、安全协议等,实现网络流量的全面可视化。
●流量整形与应用优化
MaxnetAOS系统支持Inbound和Outbound双向的带宽管理,通过Maxnet享有专利的带宽管理和分配算法,能够提供自定义虚拟带宽通道、最大带宽限制、保证带宽、带宽租借、应用优先级、随机公平队列、Per-IP带宽控制、Per-Net带宽控制等一系列的带宽管理功能,实现灵活、高效、可靠的带宽控制能力。
●灵活的流量控制与应用层优化策略
MaxnetAOS系统提供强大的、灵活的带宽控制与管理功能,通过参考防火墙的安全策略机制,并将其深化至应用层面;管理员可以基于源IP地址、目标IP地址、VLANID、用户、时间段、会话数限制、协议和应用组、带宽通道(流入/流出)等进行流控策略的设置,可配置诸如关键应用或用户的带宽保障、控制非关键应用的带宽(如上班时间不允许看视频、打网络游戏等等)、控制每IP的会话数、控制每IP的最大带宽和最小带宽等各种带宽管理策略。
●强大的报表统计与分析能力
系统提供包含曲线图、饼图、堆叠图、柱状图以及数据表格等多种图表报告形式,其中包括流量带宽报表,协议带宽报表,阻挡的协议详情记录和应用、协议和用户日志等;同时提供用户自定义报表功能,方便用户使用和分析网络流量的使用情况。
系统还支持报表e-mail自动发送、支持报表导出等功能。
●集中化的图形管理平台
提供图形化管理平台,可以用一台管理服务器集中的管理网络上的多台MaxnetIP带宽管理设备。
图形化管理平台采用JAVA和B/S架构,能够适应于各种操作系统,用户只需利用浏览器即可远程访问管理服务器进行设备管理。
产品规格
产品型号
AOSIP-150
AOSIP-550
物
理
接
口
网络接口
2*10/100/1000Base-T
4*10/100/1000Base-T
可管理桥数
1*CopperBridge
2*CopperBridges
管理接口
1*10/100/1000Base-T
1*10/100/1000Base-T
HA接口
1*10/100/1000Base-T
1*10/100/1000Base-T
Console接口
RS-232接口
RS-232接口
性
能
参
数
吞吐量
200Mbps
400Mbps
并发会话数
1,000,000条
1,200,000条
策略数
4,096条
8,192条
物
理
规
格
重量
5.5Kg
5.5Kg
旁路模块
内置电口Bypass
内置电口Bypass
大小
1U/19"标准机柜
1U/19"标准机柜
电
源
输入
90-264VAC
47-63Hz/4-2A
90-264VAC
47-63Hz/4-2A
电源数量
1
1
工
作
环
境
工作温度
0°C~45°C
0°C~45°C
工作湿度
5%~95%RH
5%~95%RH