资源预览内容
第1页 / 共26页
第2页 / 共26页
第3页 / 共26页
第4页 / 共26页
第5页 / 共26页
第6页 / 共26页
第7页 / 共26页
第8页 / 共26页
第9页 / 共26页
第10页 / 共26页
亲,该文档总共26页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
网网络络流量系流量系统统解决方案解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USA Phone/Fax:+1-408-945-3934(USA) , 网址:www.acenettech.com高校网络流量项目投标书2目目 录录高校网络流量项目投标书3一一 前言前言随着网络技术的不断高速发展,校园网络建设也不断走在网络发展的前端,校园网已从之前教育、科研的试验网的角色已经转变成教育、科研和服务并重的网络。校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客病毒的侵害就成为各个学校不可回避的一个紧迫问题;另外,学校是思想政治和意识形态的重要阵地,确保学生的身心健康,使他们具备一个积极向上的意识形态,必须使学生尽可能少地接触网络上的不良信息,就需要通过必要的技术手段获到底有些什么应用在悉校园网络中网络上运行。对于流量技术,传统的网络管理系统虽然可以提供业务流量监测手段,但基本上只是采用一些通用型的网络链路使用率监视软件,对网络的重点链路和互联点进行简单的端口级流量监视和统计,或采用在网络中部分重点业务接入点加装远程监控探测的方式,对网络中部分端口进行网络流量和上层业务流量的监视和采集,但无法完全满足互联网业务流量的管理无法完全满足互联网业务流量的管理控制需求。二二 需求分析需求分析大学作为一所综合性大学。 学校目前通过教科网,网通等多条出口接入Internet,学校总接入点分别与学生中心、教工核心、数据中心、等支点相连,不管是对内、对外时的总流量都超过1G,这对于内部流量的管理显的尤为重要,同时难度、要求也非常之高。2.12.1 学校目前网络拓扑图学校目前网络拓扑图学校目前有高校网络流量项目投标书42.22.2 网络使用现状网络使用现状目前随着校园网络的不断发展,各种新型的网络应用及服务也不断的出现,这对校园网络提出了更高的性能要求,当然也产生不少的麻烦,特别是 P2P、IM 及网络流媒体技术,能够迅速占用大量带宽,如果出口是用普通的防火墙设备,将会占用防火墙中大量缓存,严重的甚至会导致防火墙死机。问题的关键在于即使增加网络出口带宽,P2P 等应用还会继续占用新增的带宽。经过总结分析,发现网络存在以下几个主要的问题: 带宽有效使用率偏低,运用各种手段无法了解网络带宽真正使用情况学校正常的应用没有得到很好的保障,时常出现应用网络阻塞情况内网安全上的隐患,经常病毒爆发影响内网运行、用户使用制定的网络管理政策难于落实,无法掌握具体用户对网络的使用状况普遍存在学生上网行为不能有效控制,特别是 P2P 等点对点传输软件(如 BT,迅雷等)网络带宽资源不能合理有效分配同时多条链路无法进行统一的管理,并且无法进行多链路的负载均衡对部分用户无法进行按照时间,流量计费等目前学校网络管理中心的工作人员网络在监测上还无法找到合适的可以达到业务的管理解决办法,即很多情况下,只知道网络利用率,无法掌握网络的具体应用及流量使用情况,也无法对应用行为做合理的管理控制。这次希望通过改造网络来解决以上问题,方便学校以后的网络维护和分析,同时能够有效的提高网络资源的利用率。AceNet针对学校出现的这些特点,利用AceNet的AG系列产品整合4到7层的控制技术、并且利用基于ASIC的2P/IM流量安全控制等安全机制使学校能够通过先进的安全技术,为学校的教职员工和学生提供优质高效的网络服务。通过我们公司提供的产品和解决方案,学校的网络管理人员就可以对网络资源进行合理的划分和管理。高校网络流量项目投标书5三三、AceNetAceNet的的技术方案技术方案3.13.1 方案整体描述方案整体描述针对校园网的这种特点,我们制定了以下的网络拓扑:本方案主要从多链路的负载均衡和网络安全,针对多链路的负载均衡和网络安全,针对 P2P/IM 网络流量的控制分析,基于时网络流量的控制分析,基于时间流量的用户认证和计费,报表日志系统间流量的用户认证和计费,报表日志系统等几大方面对方案进行详细描述。首先通过 AG 设备可以实现以下基本功能:3.1.13.1.1 解决网络带宽瓶颈解决网络带宽瓶颈由于 AG 设备是一款基于 ASIC 芯片来工作的高性能设备,我们可以让网通链路和教育网都通过 AG 设备。在学校这样的大流量高带宽的情况下,用户的上网行为具有各种大量不同的应用,所以在出口设备上,对于大量数据包的处理我们采用 ASIC 芯片来完全处理,而对于一些简单的日志,管理等功能用 CPU 来处理,这样的处理方式加上 ASIC 芯片强有力的转发处理性能,完全解决了以往传统设备仅靠 CPU 处理大量数据包的局限性。所以利用 AG 设备承载高校这样的大流量高带宽,不会在网络出口对整个校园网络形成网络瓶颈。3.1.23.1.2 互联出口互联出口由于存在教育网口和网通链路两个出口。教育网直接连到客户的路由器,网通通过防火墙连接到校园网。为了代替这两个出口,我们建议对这两个出口一个采用透明方式互联,一个采用三层方式进行 NAT 转换后互联。这样用一台设备可以管理多条链路,同时不产生网络的出口瓶颈,为客户对网络链路的统一管理带来极大的方便。3.1.33.1.3 实现实现 DMZ 区的管理区的管理对于本学校,由于已经建立了几个 web 服务器,所以我们需要考虑保障服务器的安全,免受来自于网络上的恶意攻击,所以我们单独为在 AG 设备上为服务器划分一个 DMZ 区域,高校网络流量项目投标书6来利用 AG 设备的基于硬件的安全策略来保证网络服务器的安全。 3.23.2 多链路的负载均衡和网络安全多链路的负载均衡和网络安全3.2.1多链路的接入多链路的接入对于多条 ISP 链路的网络,利用 AG 设备我们可以进行多链路的负载和均衡。AG-Series 设备支持将多个 ISP 设置到一个 ISP 池里来支持链路备份和负载均衡。如下:图1. isp pool配置AG-Series 提供四种算法来选择 ISP:HASH:根据源地址选择 ISP。LOAD:根据当前 ISP 的带宽占用选择 ISP。如果一个 ISP 池中包含 ISP1 和ISP2,ISP1 的带宽占用是 50,ISP2 的带宽占用率是 80,则优先选择 ISP1。SESSION:根据当前 ISP 上已有的 SESSION 数来选择 ISP。优先选择 SESSION 数少的 ISP。LOAD-SESSION:根据 ISP 带宽占用率和 SESSION 数来选择 ISP。先判断 ISP 的带宽使用率,如果 ISP 间的带宽占用率相差大,则优先选择带宽使用率小的 ISP;如果ISP 间的带宽占用率相差不明显,则优先选择 SESSION 数少的 ISP。另外,我们还收集了电信、网通、铁通和联通等运营商的地址段,用高级型静态路由包含各运营商的目标地址段,下一跳指向其对应的 ISP,并且把这些路由制作成一个脚本,然后只需要把这个脚本导入 AG-Series 设备即可。最后再配置策略路由,将出口指向 ISP POOL,这个 POOL 中包含所有的 ISP。这样就可以实现,到运营商地址段的报文匹配高级型静态路由,通过其对应的 ISP 到达互联网;剩下的就匹配策略路由,在各个 ISP 之间均衡。并且其中一条 ISP 出现故障时,可以方便地切换到另一条 ISP 上,对应用完全透明。3.2.2路由模式下的地址转换功能路由模式下的地址转换功能“网络地址转换”是一种 Internet Engineering Task Force (IETF) 标准,用于允许专用网络上的多台 PC 机(使用私有地址范围,例如 10.0.x.x、192.168.x.x、172.16.0.0 172.31.255.255)共享单个或者多个、可全局路由的 IPv4 地址。经常部署 NAT 的一个主要原因就是 IPv4 地址日渐紧缺,另外也常用来保护内部的服务器和主机。高校网络流量项目投标书7AG-Series 设备提供了应用网络地址转换的多种机制。 NAT 只转换 IP 包头中的 IP 地址;PAT 是转换 IP 包头中的 IP 地址和 TCP 或 UDP 数据报头中的端口号,转换中包含源地址 (以及可选的源端口号),或者目的地址 (以及可选的目的端口号) 等AG-Series 设备执行 PAT 转换时,将从 Trust 区段通往 Untrust 区段的外向 IP 封包包头中的两个组件进行转换:其源 IP 地址和源端口号。 AG-Series 设备用 Untrust 区段接口的 IP 地址(或者配置的 IP 池里的地址)替换发端主机的源 IP 地址。另外,它用另一个由 AG-Series 设备生成的任意端口号替换源端口号。当回复封包到达 AG-Series 设备时,该设备转换内向封包的 IP 包头中的两个组件:目的地地址和端口号,它们被转换回初始号码。 AG-Series 设备于是将封包转发到其目的地。AG-Series 设备的 PAT 转换有两种类型:基于策略的 PAT:在策略中引用 PAT,那么匹配此策略的报文将执行 PAT转换。基于接口的 PAT:在出口接口中配置 PAT,此时接口从路由模式变成 NAT 模式模式。那么通过此接口出去的报文将执行 PAT 转换。执行 PAT 时,已转换地址来自 IP 池。IP 池里的地址可以配置为出口接口的 IP 地址,或者与出口接口同一网段的 IP 地址(或者一段地址)。在出口接口配置 PAT 时,如果不选择 IP 池,那么将报文的源 IP 转换成出口接口的 IP,如果选择了 IP 池,就将报文的源 IP 转换成 IP 池里的 IP;在策略中配置 PAT 时必须要选择一个 IP 池。 AG-Series 设备可以从 IP 池里随机提取或提取明确的地址,也就是说,既可以从 IP 池中随机提取地址,也可以持续提取与初始源 IP 地址有关的特定地址, 这一点通过是否选择“固定IP(Fixed IP)”来实现。配置 PAT 转换时,如果选择了“固定IP(Fixed IP)”,则同一源 IP 地址的封包每次都转换成同一 IP 地址。有些协议(例如 FTP)的端口在变化,就必须要选择在“固定IP(Fixed IP)”。在此还有一个“固定端口 (Fixed port)”的选项,如果选择了“固定端口(Fixed port)”,则报文里的端口不被转换。安全策略中的 PAT 优先级 低于 接口上的。也就是说,如果策略里配置了 PAT,出口接口也配置了 PAT,则基于接口的 PAT 设置会覆盖基于策略的 PAT。3.2.2基于安全策略的网络安全基于安全策略的网络安全由于我们把整个网络分为好几个区域:序号序号区域名称区域名称区域功能区域功能备注备注1L2in透明模式的安区区域2L2out透明模式的非安区区域3L3in路由模式的安全区高校网络流量项目投标书84L3out路由模式的非安全区5self设备自身区域6DMZ服务器区针对以上各个区域,我们可以根据客户需要制定相关策略控制,比如只允许内网的某个地址段 访问外网,我们可以在 AG 设备上灵活的运用安全策略。对透明模式和路由模式的区域之间的不能互访,外网对设备本身的有限制访问,都可以通过策略来进行灵活控制。3.33.3 针对针对 P2PP2P 流量控制和流量控制和 IMIM 管理管理IM (Instant Message), P2P (Peer to Peer), RTSP,MMS 和网络游戏在现在的 Internet上的使用非常普遍和频繁, 因为 IM 造成的泄密和影响工作,P2P 软件对有限带宽的肆意滥用,以及各种流媒体软件和网络游戏的泛滥,造成了现有网络的管理非常困难,而且带来了很多安全隐患. 作 作 作 作作 作 作 作 访问访问作 作作 作 权权作 作作 作Intranet attack, infection,Tr
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号