1 项目概述
1.1 项目背景
随着XX公司的发展和壮大,公司信息化程度也得到很大的提升,互联网也越来越成为公司发展不或缺的一部分,同时也为公司发展起重要的推动作用。但随着网络规模越来越大,用户量迅速增多,应用也相应变得越来越复杂。在如何保障企业网络的稳定性、可用性及高效性的问题上遇到了一系列的问题,如果缺乏有效的网络流量分析和管理控制手段,网络的发展将会面临诸多问题和挑战,由此引发了一系列效率、安全和法律问题,XXX公司急需一个完善的网络带宽应用管理解决方案对网络内流量及各种应用协议进行统计分析和有效管理,从而为新的网络规划和优化调整提供基础依据。 1.2 建设内容
本期项目将新增一台网络带宽应用管理系统设备,透明地部署于总部网络中,保护的对象为部门及各分公司VPN接入用户。 为提高总部及各分支机构的工作效率及互联网访问习惯,期望在总部进行统一的网络访问限制及提高关键业务的访问交互质量,并进行时间段访问控制. 依据XXX公司目前系统使用的规模及以后的发展需求及公司网络的使用状况,建议在总部网络出口处部署网纵信息网络优化与管理系统E9800,以满足XXX公司后期发展的需要。 2 网络现状与分析
2.1 XX企业需求分析
目前XX公司内部的互联网线路投资在很大程度上保证了内部业务网络的稳定性和健壮性,但针对员工对互联网的访问控制,带宽质量保障及网络流量管理优化上还存在一些不足之处.
目前XX公司网络拓扑大致如上图所示: 总部有专业的VPN服务器及各关键性服务器群,各分公司通过ADSL拨号方式通过VPN先接入总部进行验证后再由总部的网络统一出口对互联网进行访问. 在网络上企业已进行了规划及整改,但由于进行的统一的接入验证与管理,大大的增加了企业网络出口的压力. 为了保障企业网络的质量、关键应用交互优先级,并定时段的规范企业员工对互联网络访问的限制,因此急需一套解决方案来解决以上问题. 2.1 流量控制需求分析
随着信息化建设的进一步深化,越来越多的关键业务在网络上开展,随着P2P下载应用的风行,互联网的出口逐渐被迅雷、BT、电驴等各种P2P下载软件所占据。大量的实践经验表明,在一个没有进行任何流量管理的园区网当中,70%的出口带宽会被各种P2P应用所占据,正常的网页浏览、邮件收发等等业务应用仅能占到30%左右的带宽份额。而在极端情况下,两三个使用迅雷下载的用户流量就能占到10M带宽,严重影响了其它用户正常上网和业务开展。近年来,各种在线视频播放系统也开始纷纷采用P2P技术来加速视频资源的下载,更进一步加剧了网络出口带宽的紧张状况。与此同时,单位的一些重要业务如视频会议、ERP、CRM系统却得不到有效保障,视频会议断断续续、ERP系统响应缓慢的现象已司空见惯。 当前互联网上有浩如烟海的丰富应用,员工在工作时间无节制地访问互联网,很容易沉迷在各种互联网娱乐当中,比如风靡一时的偷菜、各种网络游戏、在线视频、网络聊天等等,从而导致工作效率大大降低,影响了企业的正常运转。因此,如何采用合适的技术手段来解决员工沉迷于网络娱乐,消除互联网普及给单位带来的负面影响,提高员工的工作效率,这是亟需解决的问题。 当前在企业网里,核心业务的带宽得不到有效保障、网络访问速度慢等这些每天都会面临的问题已成了IT工程师的心病。这些问题不解决,将严重影响企事业单位的日常工作的正常开展、严重影响员工的工作效率。可以说,这些问题到了需要马上解决的程度。 Ø 从网络拓扑来看,现阶段企业的网络平台建设尚有以下几个方面的问题亟待解决: 1、缺乏对网络流量进行统一管理的机制及相应的硬件设备,致使网络管理维护部门无法及时掌握网络中各应用流量的运行情况,亦不能及时发现网络流量中存在的各类问题; 2.带宽使用效率低下,应用软件难于管控,特别是P2P等点对点传输软件(如BT)、视频等的使用处于失控状态,使得大量宝贵的网络资源被挤占; 3、无法保障关键业务带宽资源,导致IP电话、邮件、OA、ERP办公等重要业务无法及时响应; 4、无法保障关键用户带宽资源,严重影响重要业务的正常开展; 5、对未知的异常流量缺少检测及防范措施,存在重大安全隐患; 6、员工将网络资源滥用于不合理的方面,如上班时间玩在线游戏、聊天、炒股等,影响了工作的正常开展; 3 网络优化管理解决方案
基于企业网络流量现状和需求分析,网纵智能流量管理系统(简称网纵NZ)将从保障关键应用、限制非关键应用、封堵无关应用、优化网络应用、降低网络风险等五个方面实现全方位立体式的流量管理。 通过为关键应用设立专门的多级通道,网纵NZ保证通道的应用和用户获得相应的速率保证以及预留带宽,从而实现对关键应用的业务保障;通过对非关键应用进行带宽限制、流量额度限制、连接数限制,将带宽利用率高、价值低的应用限制在合理的带宽范围内,从而杜绝带宽资源的滥用、保护出口带宽投资,并为关键业务应用保留足够的可用带宽;通过对无关应用进行封堵,从而提高员工的工作效率;通过网络应用加速,挖掘现网资源,从而提升带宽资源的利用率;通过应用引流,保障企业网的安全可靠运行。 3.1 方案设计原则
为了帮助企业从根本上解决流量控制的需求,根据单位现有网络环境,并结合用户需求分析以及网纵多年来对互联网优化管理方面的成功经验,我们向企业提供对流量控制的解决方案。 并结合单位网络实际情况,需求分析,本方案对下列问题进行充分的考虑: 第一、 与现有系统的兼容性 第二、 部署与实施灵活性 第三、 系统可靠性 第四、 现有系统的投资保护 本次方案中建议选择网纵NZ-E9800流量管理产品组成互联网链路优化整体解决方案。 3.2 部署说明
根据企业网络结构,本方案采用设备[流控大师E系列]以透明模式进行部署,此部署方式不改变企业目前的网络结构且最大化的对企业网络流量进行监控及根据相应要求进行网络优化,选择此部署模式主要有以下几个优点: a) 全面感知网络及应用情况; b) 强大的日志统计,丰富的流量分析报表; c) 稳定可靠,支持软/硬件Bypass,软件系统双备份; d) 流量管理系统以透明模式部署于网络出口,不影响现有网络结构; e) 灵活的流量整形和控制策略,高效的应用分流,提高带宽的使用效率; 3.2.1 保障关键应用、提升应用质量
我们经常在讲各单位的这种应用很重要、很关键。那么什么是关键应用?关键应用就是优先级最高,在网络异常繁忙时,应该首先要保证正常运行的业务。一般来说,象本单位的邮件系统、视频会议系统、ERP系统、Oralce数据库系统等都属于关键应用。 在人际互联网络繁荣的今天,各种关键应用(如ERP、CRM、OA系统、视频会议系统等)越来越受到其它网络应用的冲击,导致这些关键应用得不到保障。 基于提升应用交付质量、保障关键应用的考虑,网纵NZ网络优化管理系统可根据业务优先等级,对Web、Email、OA等重要应用提供保障,确保日常办公所需的带宽资源不受抢占,即使在网络高峰期,依旧可提供良好的服务质量。 网纵NZ网络优化与管理系统,通过带宽保证、带宽预留、带宽平均、通道分级等方式,确保关键应用的正常使用,从而提升应用服务质量和员工满意度。 3.2.1.1 带宽保证
网纵NZ网络优化管理系统,带宽保证功能可以在带宽资源有限而多种网络应用并存的情况下,通过为关键应用建立并指定带宽通道的方式,从而避免了关键应用与非关键应用共同争用带宽,有效保障了关键应用的正常使用。 由于企事业单位不同部门和用户的重要性存在比较大的差异,网纵NZ网络优化管理系统,的带宽保证功能可以基于时间、内部用户(组)、外部用户(组)和某(些)VLAN、应用等进行最起码的带宽保证,从而实现为某(些)关键应用配备相应速率的带宽资源,形成差异化的网络质量服务。 对于ERP、邮件、视频会议、视频会议等对时延及其敏感、影响企业办公效率和商务活动的关键应用,网纵NZ网络优化管理系统,通过带宽保证功能,为这些关键应用设定带宽保证值,保证即使在网络繁忙时,关键应用也能获得至少所需的带宽资源。同时,带宽保证可以使关键应用所需的带宽“不够还能借”,即关键应用还可以借用网络空闲的带宽资源,从而提高现有带宽的利用率. 3.2.1.2 带宽预留
通过了解分析在企业中,其中一些网络应用(视频会议、OA系统)或网络用户(高层领导)的重要性和优先级永远最高。为了保证这些应用和用户在任何时间都能获得良好的使用效果,必须为其预留专门带宽资源,防止来自别的应用和用户的网络干扰。 网纵NZ网络优化管理系统,在保障关键应用时,既可以通过通道的带宽保证来实现,也可以通过带宽预留来实现。带宽预留可以对对进入特定通道的某(些)关键应用的应用架设“带宽专线”,通过划分专门的带宽,使关键应用在任何时候都可以独享该通道全部的带宽资源,彻底避免非关键应用无序抢占此专线带宽资源,从而使关键应用的带宽需求能获得可靠保障。 3.2.1.3 带宽平均
在多用户的网络环境中,怎样使网络资源能够得到公平、高效地利用,是每一位网络管理人员都十分关心和头疼的一件事。每位用户享用的网络带宽资源应该可以根据当前用户数量的多少而进行动态调整 网纵NZ网络优化管理系统,能根据通道里用户数量的动态变化实时调整各用户的带宽分配,保证流经通道里的所有用户动态平均享用该通道的全部带宽资源,实现带宽资源得到高效与公平地利用。 网纵NZ网络优化管理系统,既能实现基于内网用户数的带宽平均,又能基于外网用户数的带宽平均。基于内网用户的带宽平均,帮助内网用户间公平地享用出口带宽资源。基于外网用户的带宽平均,帮助外网用户间公平地享用内网的带宽资源。 3.2.1.4 通道结构分级
网纵NZ网络优化管理系统,可将每条物理链路划分为三级嵌套(主通道、子通道、微通道)的层次结构,保证各用户的各种网络应用在限定的带宽通道内传输。如管理员可为企业一级部门设置一个主通道,还可以为二级部门设置子通道,为三级部门设置微通道,也可以对单个用户或单个/某类应用分配一个独立的带宽通道
通过层次化的管理,管理员将不同部门用户的不同应用分别限制在一定带宽之内,保证了不同用户、不同应用在预先规定的通道内按照设定的速率、时间段各行其道。这样既可以保证每个应用的正常使用,避免各部门间的无序带宽争夺,又可以防止某些应用占用带宽过大而造成整个公司网络的拥塞。 三级嵌套的通道结构允许通道之间可存在借用关系:当上级通道的保证带宽有富余时,下级通道可以借用上级通道的剩余带宽。通过对通道内的数据流“削峰填谷”,抑制突发流量,复用空闲带宽,从而保证通道内数据流能平稳有序地传输。 3.2.1.5 通道优先分级
网纵NZ网络优化管理系统,的各级带宽通道均可以划分最多8个不同的优先级,优先级高的通道可以优先使用系统空闲的带宽资源。 对通道进行优先分级,可以保证关键应用在进行带宽借用时,通过分配高优先级来优先借用网络中空闲的带宽资源,避免非关键应用抢占宝贵的网络带宽资源。 4 产品功能优势及成效
NZ网络优化管理系统,是网纵推出的基于应用层的专业的流量管理产品,既适用于城域网、校园网、大中型企业等流量大、应用复杂的网络环境,也适用于优化带宽管理、控制网络接入成本的中小型企业的网络环境。Netzone拥有最专业的协议识别与流量控制引擎,以世界领先的精确识别、应用分流及网络评估、应用路由、动态调整与通道优先、应用管控等技术,智能调控网络应用带宽,优化带宽,让网速更快、更高效、更稳定运行,提升带宽利用率,提升工作效率,提高效益。 4.1 产品功能
Netzone接入网络中,缺省即加载所有特征库,并立即开始自动分析网络中流量构成和显示统计数据。Netzone根据应用类别缺省分为11大类,每一类别又可分为若干子类别。在一个千兆链路网络环境中,通常只需6-8小时的分析,即可提供全面的统计报表,如饼图百分比和应用实时数据方式,为下一步制定管理策略提供了决策支持。 策略配置管理对象和动作选项,基于参数化的驱动配置方案,扩展新功能仅需要增加参数项,保持策略管理配置的一致性,非常简洁易用;支持策略嵌套,即在同一条管理策略里,既可以针对特定对象(IP或应用)进行总体的数据通道控制,也可以单个IP限速,同时可并列匹配“DSCP标记”、“对端抑制”、“应用优先级”、“流量代理”等参数,实现策略的高度灵活性、简洁性和高效。 支持基于应用协议/协议组和IP/IP群组的速率控制;支持阻断、限速、带宽保证和带宽预留;Netzone 以精确的协议识别、精细的控制效果著称,通过配置流量管理策略,匹配时间段和在线IP数等参数启用相应策略,达到削峰填谷、保证关键应用、网络安全畅通高效的运行。Netzone产品管理带宽最小控制粒度为1kbps。 4) 应用分流 应用分流可对应用进行疏导,把指定应用分流到多条线路上,降低主线路压力,间接增加带宽基数、提高带宽利用率、降低带宽使用成本;也可对应用进行管制,根据实际情况强制指定应用走哪条线路,满足特殊应用需求,尤其适合有备用线路的企业。 基于动态过滤http协议通信。它可授权对网络中某一个具体安全域进行访问。用户在进行HTTP通讯之前不需要主动的登陆进行认证,当用户进行通讯时,Netzone流控设备收到HTTP请求,会主动返回一个web页面要求用户进行认证,认证通过后,通讯过程才能继续。 支持针对应用协议的TCP、UDP和总并发数控制;支持到外网特定IP地址的TCP、UDP和总的应用并发连接数控制;支持根据数据链路、外网IP、内网IP、IP群组和应用协议、协议组等参数制定连接数控制策略;可根据时间和在线IP数等参数启用相应策略。 连接数管理更多适用于防火墙连接并发数不够成为网络瓶颈时,Netzone启用连接数控制,对防火墙起到很好的保护效果。 7) HTTP 管控 支持URL访问控制,如阻断非法站点; 支持URL重定向和Web信息提示;可根据内网IP、文件类型、访问方法(GET或POST)和目标URL等参数设置控制策略;可根据时间和在线IP数等参数启用相应策略。 可提供整个系统、各链路的流量和连接数统计图表、最近10分钟流量、累计流量、并发连接数统计图表、实时显示协议和协议组当前速率、三日对比以及最近一天、最近一周和最近一月的流量趋势图表、实时显示某个IP流量速率和当前各个应用的速率明细、实时显示某个IP的当前连接明细,以便于异常流量诊断、可根据应用速率、流量和连接数等条件进行排序、可实时显示某个应用下的Top用户、可提供在线并发连接、连接创建和删除速率等数据的趋势图表、可提供在线IP和共享用户趋势图表、可选中多个协议进行趋势图分析对比等。 率先实现支持基于应用协议的优先级调度机制;同时支持网络层基于IP的优先级调度机制;支持0-6七个优先级别。 检测网关后面的私有IP地址(1拖N);非IP ID检测,基于应用层检测,不仅能检测到共享用户数量,也能检测到具体的IP地址,先进的检测手段能应对所有的共享机制。可对内网IP下的QQ账号、MSN账号和POP3账号进行跟踪。 支持Netzone专用的日志系统,也支持以SYSLOG或者NETFLOW格式向第三方设备输出会话日志;支持以SYSLOG格式向第三方设备输出单独的:URL访问日志、QQ登陆登出日志、MSN登陆日志、POP3登陆日志、DNS查询事件等日志。 4.2 产品优势
1) 高性能,可承载最大20G的双向吞吐; 2) 高可靠,通过双OS热备份以及BYPASS保障网络的高可用性; 3) 不依赖端口的精确识别技术,可精确的识别出P2P、视频、音频等各类应用,实现精准管理,保障管理的有效性; 4) 独特的应用优先,确保关键应用的保障; 5) 独有的应用分流,确保线路的利用以及成本的节约; 4.3 产品成效
1) 网络可视化管理能力提升:通过实时详尽的统计报表,掌控员工的网络应用情况,并具备行之有效的策略管理机制; 2) 规范员工网络应用,提升企业生产力:上班时间与工作无关的应用如开心农场、QQ、股票、土豆网、迅雷等通通不再是困扰企业管理者的问题; 3) 必要的安全防范机制:利用自身强大的性能优势,实时监控网络运行,识别阻断网络攻击,根据并发连接个数可以确定并阻断DOS攻击等异常行为,为企业提供专门应对伪IP类木马攻击、IP碎片攻击等检测和防护机制保护网络设备安全; 4) 优化网络运行管理:通过检测分析带宽使用状况,合理分配带宽资源; 5) 强化网络行为管理:根据各种应用业务的流量,制定相关策略限制非主流业务(例如可以对即时通讯、P2P 下载、网络游戏、网络电视等)在峰值时段进行限速、阻断,进一步规范员工上网行为,为人性化科学化管理提供基础保障; 6) 保障关键网络应用:根据企业需求保障关键应用(例如 ERP、CRM、视频会议等),限制非主流业务占用过多的带宽,监测、阻断异常流量; 7) 必要的日志和审计功能:专用的日志系统,除提供详尽的全应用日志存储和细致的统计分析功能外,甚至可提供单独的QQ登陆/登出、MSN登陆/登出、URL访问、DNS查询日志,以满足相关部门对特定应用特定事件的审计要求。 4.4 产品价值
|
|Archiver|网纵论坛
( 粤ICP备12009713号 ) 
GMT+8, 2024-11-19 10:34 , Processed in 0.031597 second(s), 19 queries .
Powered by Discuz! X3.2 Licensed
© 2001-2013 Comsenz Inc.
