Allot流量控制设备系统项目方案建议书.doc

xxxxxxxx 流量控制设备系统项目流量控制设备系统项目 方案建议书方案建议书 xxxx 流量管理建议方案 第 1 页 共 21 页 目目 录录 二、需求分析：二、需求分析：2 三、方案建议三、方案建议3 31、方案实施 .4 311、针对应用的带宽分配和管理：.4 313、针对时间段的带宽分配和管理： .5 314、双向流量的管理和控制 .5 3. 2、建议拓扑图6 3. 3、方案设计原则6 3. 4、 allot设备部署方案建议.7 四、四、allotallot 概述概述.11 五、五、allotallot 工作原理工作原理.11 六、六、allotallot netenforcernetenforcer xxxx 流量管理建议方案 第 8 页 共 21 页 五、五、allotallot 工作原理工作原理 allot 公司的专利技术是，pfq 技术。 （per flow queuing） 。这是一种经过优化了的 队列技术。其基本实现的方式是： 1） 先把网络划分成 pipe（通道） ，在每一个通道内再细分成不同的 vc（virtual channel） 。细分过的 vc 内可以针对每一个不同的应用、ip 地址、或者其他不同的事务。 2）利用策略模式，即当每一个数据流（如：p2p、http 等）进入预先设定好的 vc 内 部时，先确定是否预先设定好了策略。 3）如果已经预先设定策略，allot 就马上按照预先设定好的带宽策略执行，如果没有 就等待下一次询问是否填入策略。 4）区分好不同的应用后，allot 就要对带宽进行有效的管理，控制特殊的数据流（音 频流、视频流） ，保证最小带宽、最大带宽、突发值，从而不会丢弃数据，真正做到端到端 的控制策略；同时，为所有流量，按优先权（10 个级别）保证最小带宽的访问； 5）利用观察和预测模式可以很方便地随时填入所需要的策略而及时改变网络的应用状 况。 xxxx 流量管理建议方案 第 9 页 共 21 页 六、六、allotallot netenforcernetenforcer & & bypassbypass 的容错技术详解的容错技术详解 在此方案中我们提供的设备内置旁路单元，快速的故障切换实现网络的高可靠。为了 消除用户的后顾之忧，我们详细讲解 allot 的容错技术。 allot 设备结构组成：（以 kac 404 为例） 当 netenforcer 主设备出现故障后，netenforcer 立刻切换到 bypass 模式；此时， bypass 单元相当于一条直通的光纤连接，整个过程不会对网络造成影响.以其中一条链路 为例，具体过程如下： 1bypass 有 2 种状态： a.“旁路”状态 - 1 号端口与另外一个 1 号端口连接（流量不通过 netenforcer 主单元） b.“活跃”状态 - 1 号端口与 2 号端口连接。 （流量不经过主单元）. 2设备可以在 bypass 状态下连接到网络中，并可以直接转发数据包。 3当 allot 工作时，内部控制线将维持发送一个保持信号（通过硬件比特信号）并且 bypass 将处于“活跃”状态。 故障分析：故障分析： 故障现象：故障现象： 当 allot 的主单元设备由于突发情况（如断电）发生故障时（如下图） ， xxxx 流量管理建议方案 第 10 页 共 21 页 故障分析及结果：故障分析及结果： 当设备发生故障后，设备内部发送一个信号通知 bypass 模块，将系统工作状态立即切 换为 bypass 模式，以后的流量只经过 bypass 模块。整个过程的切换时间非常短（小 于 2ms） ，不影响网络的正常业务。 allot 支持手动控制 bypass 状态的切换，通过主单元的命令行/图形界面都可以实现。 主单元的告警功能也可以在其针对某些条件的反应动作中切换 bypass 的工作状态。 七、七、allotallot 的优点：的优点： 7.17.1 安全有效的带外管理（安全有效的带外管理（outout ofof bandband）：）： 在 allot 的 qos 设备上，有一个独立的管理接口。这个端口和连接内部和外部网络的 以太网接口在物理上是隔离的。经过隔离的网络管理口，可不通过设备的网络口而直接进 行配置、监控等复杂活动。从而提供更高一级别安全的系统管理和无干扰的流量监视及统 计。 带外管理在网管的安全性上是一个主流的趋势。 xxxx 流量管理建议方案 第 11 页 共 21 页 7.27.2、卓越的网络和策略性能、卓越的网络和策略性能 allot 的 net enforcer ac402/45m 支持 10/100 full auto 的吞吐量，不仅可以支持 vlan 模式工作，而且可以穿透 vlan trunk，即 ieee802.1q 数据包。当网络拓扑中需要链 接两台设置成 vlan trunking 的设备时，allot 的 net enforcer 可以直接接入并保持连接。 而相比较其一些竞争对手却无法回应标准的 ieee802.1q 包，而必须设置成为 native vlan 模式，否则无法 vlan trunking 中找到这台设备。 allot ac402/45m 可支持 4096 个并发策略规则数和 96k 个并发连接数，最大支持 1024 个 pipe。 （通道）极大地满足当前和未来的网络性能的要求。 带宽升级、更新软件或者其他附属功能可由软件许可证来控制。这种方式的好处是， 当前出口总带宽满足目前 allot license 管理能力的情况下，选择支持 45m 带宽管理能力 的软件许可证，在未来的带宽升级之后，可以无缝地升级到管理 100m 带宽的能力。 xxxx 流量管理建议方案 第 12 页 共 21 页 7.37.3、 “故若金汤故若金汤”的容错和旁路技术的容错和旁路技术 allot netenforcer402 是一套完整的容错硬件和解决方案。为了保证网络永不中断， net enforcer 采用了以下的方式： 如果由于系统内的任何硬件或软件的原因导致系统发生故障，net enforcer 会自动 切换到旁路模式，以确保网络资料的传输不受影响。 allot 的 net enforcerx02 产品内置 了自动旁路模块，当出现断电和软硬件故障时，会自动切换到旁路状态，确保通信不中断。 自动旁路的切换时间小于 2 毫秒，网络中断控制在 2 秒以内。 7.47.4、 “丰富丰富”的应用的识别和分类的应用的识别和分类 allot 的 net enforcer 支持从 2 到 7 层的多种协议和应用类型，其协议库目前包含 5000 多种协议，支持自动识别所列的所有协议，并可在线升级，无需重启。 支持 ip、arp、appletalk、decnet、banyan vines、dec ethernet、dec lat、ipv6、ipx、ms-ipx、netbeui、sna 等网络层协议。 支持 tcp、udp、egp、ggp、gre、icmp、igmp、i-nlsp、ospfigp、rsvp、sipp- ah、sip-esp、swipe 等传输层协议。 支持根据端口定义 tcp/udp 协议。 支持各种主流 p2p 应用，包括 kazaa、edonkey、gnutella、bit torrent、bitcomet、poco、winmx、direct connect、over net、mp2p、winny 等等，即 使这些应用是基于动态端口的。 支持对 ftp 进行基于方法（upload/download） 、文件名和文件扩展名的详细分类，对 http 进行基于主机、url、方法（get/post 等）和内容（mime 类型）的详细分类。 能够发现基于多种 sql 类型的数据库的应用。无论时 oracle 还是 ms sql server，其 特殊的多种应用类型和协议均可以及时发现。这类功能可以在日后的生产实时系统、或者这类功能可以在日后的生产实时系统、或者 其他数据库的保障和管理中得到很好的应用。其他数据库的保障和管理中得到很好的应用。 7.57.5、 “实时而长期的实时而长期的”网络流量监控网络流量监控 对于一个北京供电局网站来讲，能够实时观测和长时间记载和监控网络流量是非常必 xxxx 流量管理建议方案 第 13 页 共 21 页 要的。allot 的 netenforcer 支持实时监控(realtime monitoring)和长期监控(long-term monitoring)。 realtime monitoring 功能实时显示当前网络的即时流量状况, 由于所有管理系统都 是建制在 java 平台上面，所以所有的监控时间都是“实时的” ，每 30 秒自动刷新一次。 long-term-monitor 功能可将 realtime monitoring 中的图表存入外部电脑，便于网管回 顾过去任何时候网络的流量状况。 使用 realtime monitoring, 用户可同时监控多达 100 张实时图表, 内容包括带宽、 流量、协议和应用、连接数、最活跃的 ip 地址, 数据包大小及利用率等，监控对象可以是 系统、pipe、vc 或主机，监控方向可以是出站、入站或双向，均能够按照图表和数据两种 方式显示，应用及 ip 地址排名支持前 25 位。 充分利用 java 的灵活性,用户还可以将鼠标点击实时图表上的任何一种协议或应用, ne 即能显示该协议的即时流量,同时用户可点击右键,找出当前使用该协议的最活跃 ip(可 多达 25 位).这样很有利于网管实时监控用户网络的使用情况. 出此之外网管还可立即将该 协议加入策略中进行 qos 控制, 或加入长期 long-term-monitoring 中,这样网管可以回顾 过去任何时候各协议或终端用户的使用情况.监控内容包括带宽、流量、协议和应用、连接 数、数据包大小及利用率等，监控对象可以是系统、pipe、vc 或主机，监控方向可以是出 站、入站或双向，均能够按照图表和数据两种方式显示。 xxxx 流量管理建议方案 第 14 页 共 21 页 为了方便广大的网管人员，allot 还特意通过 snmp 协议来支持 mrtg 进行系统集成管 理。许多大型网络系统都使用 mrtg 来监测路由器端口数据流量. 用户通过下载 allot net enforcer 中的 mib 来实时读取 ne 内部的数据流量信息。更令人叫绝的是，allot 的流量报 告可以详细到每一个预先设定好的 vc 中，因为每个 vc 都有其单独的 qid, 对 mrtg 来说就 好像路由器的端口一样, 这样用户可以方便地应用 mrtg 软件从 ne 中直接实时地读取网络 数据, 可精细到每个协议或应用的流量状况。这种功能还支持网管人员利用 web 服务的开 通，方便用户远程调取 mrtg 信息监控网络的运行情况。 7.67.6、 “强大的强大的”网络统计和报告网络统计和报告（可选）（可选） 为了使某些专业客户更全面的使用监控和统计功能，allot net enforcer 内含一个报 表统计的模块（netaccountant） 。在该统计模块的授权码激活的状态下，allot net enforcer 可以利用网络中一台管理 pc，使其成为专用的报表生成工具（netaccountant xxxx 流量管理建议方案 第 15 页 共 21 页 reporter） 。每间隔一个小时，管理 pc 可以利用通过 netenforcer 得到的数据。根据时间、 流量分类、应用、流量大小产生图表和数据两种形式的报表。 7.77.7、 “不知疲倦不知疲倦”的告警功能（的告警功能（alertalert） 为了让 allot net enforcer 成为一个完全的 qos 设备，allot 公司特设计了功能完善 的告警功能。使用户可以基于 system 级、net enforcer 级、pipe 级、和 vc 级设置告警策 略。在每个级别内部，又有不同的条件可以被监控。监控行为可以被看作是一系列带着颜 色标价的通知出现在设备的报告里。 更强大的是,一旦出现告警，用户还可以根据规则，执行许多控制指令。 基于行为控制的有: 发送 snmp trap 发送 email (up to two addresses) 发送 sms 改变访问控制(通过、拒绝、丢弃等) 改变优先权 切换到 bypass 模式 重新启动 xxxx 流量管理建议方案 第 16 页 共 21 页 综上可以看到，用户可以根据预先设定好的报警级别和内容，让 allot 设备自行处理 事先已经准备好的预案。而不许人工干预。真正做到 24 小时的防范。是网络服务中真正的 先锋。 7.87.8、 “专业版专业版”网管功能网管功能 allot 的 net enforcer 支持通过控制台端口、telnet、ssh2 和 http 对设备进行管理。 allot 管理软件是基于 java applet 的程序设计的。所以其具有普通 html 界面的程序所不 可比拟的优点。 首先，其所有的监控数据和配置数据都是实时更新的，而这点 html 的软件需要通过 点击刷新页面来实现。使用上不方便。 其次，所有被监控的数据可以直接通过点击右键来进行在线更改策略，而不需象 html 那样需要事先记住监控的数据而再到另一个地方去修改策略。 xxxx 流量管理建议方案 第 17 页 共 21 页 第三，由于基于 java applet，使得整个网管程序非常近似一个标准化的系统网管程 序，可以内嵌如 ibm tivoli、hp openview 等平台。 另外，用户可以很方便的获取事实的网络安全可靠的，并且已经经过加密，黑客无法 通过网络嗅探的方式获取有用的信息。 配置文件和策略文件可通过 tftp 进行备份和恢复。 allot 的 net enforcer 包含了一个 snmp 的 agent，支持 rfc1213/mib ii 和 allot 的 私有 mib。允许通过基于 snmp 的网管软件获取信息，生成基于 mrtg 的日报、周报、月报 和年报，需要强调的是 net enforcer 支持 pipe 和 vc 级别的 mrtg 监控。 allot 的 net enforcer 支持 3 个级别的系统用户（监控、管理员和超级用户） ，支持 访问列表控制，支持系统的只读模式，可以严格限定对设备的访问和操作。 7.97.9、强大的、强大的 dos/ddosdos/ddos 防御器防御器 当前的网络流量，趋向于复杂、多应用、随机事件多、网络流行病毒和各种黑客的攻 击隐患。有时候经常由于个别网络中的 pc 机感染病毒，而导致整个网络的传输收到很大的 影响，甚至被迫中断正在进行的视频会议。而在网络中的病毒如：蠕虫病毒等因其在网络 中蔓延传播，防治难度非常大。 allot 的 net enforcer 本身就是一个强大的 dos/ddos 防御设备。利用其独特的 dos 算法库，可以及时发现大量的 dos 攻击手段。一旦被判明是 dos 行为，则立即按照预先用 户设定好的方式进行网络干预。把攻击者的 ip 压制到一个合理的流量，并释放其他被影响 者的资源。 或者，用户可以利用告警功能，监控可支持的最大 connection 数量和每秒新增 connection 数量，并自行修改网络中关于 dos 等特殊非法行为的规则，让 allot net enforcer 根据规则来执行抵御 dos 攻击的要求。 xxxx 流量管理建议方案 第 18 页 共 21 页 利用 allot 内置的 cli 模式可以实时追查是那个 ip 地址发生了异常的攻击行为，并 利用 arp track 功能再深入发现是那个 mac 地址，进而可以帮助锁定是那一台 pc 出了问题。 7 71010 强大的网络分析与集中控管强大的网络分析与集中控管 采用深层数据分析 （dpi） 技术的最 优化全网域可视性，包括从宏观上 识别 流量的趋势和从微观角度分析 某个主机、用户或者应用的实时状 态，可以 协助用户实现实时的故障 排除与完全的网络可视性。这些来 自多台 netenforcer 设备的信息可 以通过一个统一的、直观的用户平 台进行管理和分析。 直观的用户界面 通过一个非常友好的用户界面实现 对网络前所未有的强 有力控制。统 一、直观的管理界面既提供了全网 的逻辑结构，也具备快速浏 览单一 设备、用户与应用的能力。 xxxx 流量管理建议方案 第 19 页 共 21 页 洞悉全局的报表与分析功能 实时与长期的信息分析，实现长期 报表、 容量规划、使用情况追踪与 服务优化。 最前沿的安全屏障 对各种可疑流量的全局化流量监测 可以轻易的实现对 潜在的网络攻击 的识别。设定网络监控的阀值、建 立告警机制与策略、 自动执行响应 操作并在全网范围定义策略，以阻 塞有害流量并将其危害降至 最低。 快速的投资回报 全面有效的集中化管理保证了对全 网应用与用户层面 的控制，同时也 降低了网络的复杂性、减少了运营 成本、增加网络正常 运营时间。 为 业务与网络运营永久处于最高性能 与效率提供保障。 丰 富 的 产 品 特 性 监控与分析 深层数据分析能力，可以对单一用户、会话或应用进行监测，以便定位和诊断 网络