是否要采用(yòng)分(fēn)布實施優化
互聯網出口在整個網絡中(zhōng)屬于咽喉要道,其重要性不言而喻,因此進行網絡優化時首先要保證的是網絡的可(kě)用(yòng)性、出現故障的可(kě)恢複性。網絡拓撲結構多(duō)種多(duō)樣,用(yòng)戶的業務(wù)規則各不相同,其管理(lǐ)難度很(hěn)大,部署互聯網出口優化設備時,難免會發生配置失誤,因此優化的實時過程必須要允許犯錯。
通常會采用(yòng)的實施策略是:
● 旁路運行合格後串接到網絡中(zhōng):采用(yòng)透明部署模式,即不改變任何網絡拓撲,隻是通過旁路将優化設備接入網絡,當優化設備出現任何問題,會自動走原有(yǒu)通路。當優化設備出現各種問題時,可(kě)以及時與廠家溝通,當優化設備連續穩定運行時間超過考驗期後,将優化設備串接到網絡,替下原有(yǒu)設備。
● 雙軌運行:即新(xīn)增的鏈路出口和用(yòng)戶直接接入到優化設備上,待運行穩定後,将原有(yǒu)用(yòng)戶和鏈路出口遷移到優化設備,這種方式将出現錯誤的範圍限制在有(yǒu)限的區(qū)域中(zhōng),可(kě)以平滑地實施網絡出口優化。
是否需要同時滿足内、外網用(yòng)戶的需要
内網用(yòng)戶通常會使用(yòng)各種應用(yòng)(程序)訪問外網資源,有(yǒu)些程序(例如:BT下載、P2P的網頁(yè)視頻)會占用(yòng)大量帶寬,如果不進行管控将影響其它用(yòng)戶正常使用(yòng)網絡,例如:收發郵件慢、打開網頁(yè)慢,視頻會議帶寬被侵占。
外網用(yòng)戶主動訪問内網的目标是集中(zhōng)的,通常是訪問設置在内網的郵件服務(wù)器、網站服務(wù)器。從聯通鏈路、電(diàn)信鏈路等不同鏈路過來的用(yòng)戶,網絡優化設備應該為(wèi)不同用(yòng)戶解析對應鏈路出口的地址,從而使得聯通用(yòng)戶能(néng)通過我們的聯通出口地址訪問内網資源,電(diàn)信用(yòng)戶能(néng)通過我們的電(diàn)信出口地址訪問内網資源。此技(jì )術稱之為(wèi)智能(néng)DNS,即根據外網用(yòng)戶所使用(yòng)的鏈路。
是否需要在出口做地址轉換(NAT)
IPV4協議下的地址當前無法滿足為(wèi)每一台接入互聯網的設備分(fēn)配一個唯一的IP地址,于是也就産(chǎn)生了NAT技(jì )術,即讓多(duō)台設備複用(yòng)一個IP地址。另外做NAT還可(kě)以防止局域網設備直接暴露自己的IP地址,從而保護局域網的設備。
内網用(yòng)戶的請求在互聯網出口,需要将局域網地址轉換成互聯網地址;返回的數據從互聯網出口進入内網時,也要将目标地址轉換成内網用(yòng)戶的局域網地址。
出于保護内部服務(wù)器的需要,服務(wù)器會向外提供一個互聯網訪問地址,但是這個地址并非該服務(wù)器在局域網的IP,需要通過互聯網出口設備進行地址和端口映射,将外網用(yòng)戶的請求送達局域網内部的服務(wù)器。
是否提供安(ān)全防護功能(néng)
内網用(yòng)戶可(kě)能(néng)因為(wèi)感染病毒木(mù)馬,對網絡進行攻擊,導緻網絡阻塞,從而影響内網所有(yǒu)用(yòng)戶上網,因此需要有(yǒu)針對内網用(yòng)戶的攻擊保護,能(néng)及時識别中(zhōng)毒用(yòng)戶,對其會話進行限制,限制或攔截其網絡訪問。
來自外網的攻擊種類比較多(duō),網絡出口優化設備要提供詳細的包過濾功能(néng)實現網絡安(ān)全保障功能(néng),隔離和阻止各種攻擊和有(yǒu)害流量,确保關鍵部門和關鍵應用(yòng)的安(ān)全。
是否能(néng)簡化網絡拓撲,提高管理(lǐ)效率、降低管理(lǐ)工(gōng)作(zuò)量?
随着網絡的不斷發展,網絡設備越來越多(duō),網絡拓撲越來越複雜,用(yòng)戶對網絡服務(wù)質(zhì)量的要求越來越高。設備越多(duō)、拓撲越複雜,管理(lǐ)難度越大,如果能(néng)将多(duō)個網絡出口優化的功能(néng)集成在一起管理(lǐ),不僅可(kě)以簡化管理(lǐ),還可(kě)以實現流控、負載均衡、NAT、智能(néng)DNS服務(wù)的聯動配置,
如果在分(fēn)散的設備上實施這些功能(néng),不僅不能(néng)集中(zhōng)管理(lǐ),而且無法實現聯動管理(lǐ),例如:基于負載均衡的流量控制(控制每個用(yòng)戶各種應用(yòng)在多(duō)個鏈路出口上分(fēn)别占用(yòng)多(duō)少帶寬資源),基于DNS的負載均衡調度(通過DNS解析結果,将用(yòng)戶流量引導到不同的出口鏈路上,實現負載均衡)。
管理(lǐ)互聯網出口的策略規則應該提供足夠的靈活度,能(néng)為(wèi)各種業務(wù)狀态提前制定适合的規則,從而動态地适應業務(wù)變化,而非發生時再通過手工(gōng)修改,不僅效率低、管理(lǐ)工(gōng)作(zuò)強度大,而且容易因為(wèi)情況緊急而發生配置失誤。一次網絡訪問的要素為(wèi):來源地址(使用(yòng)的IP地址)、來源用(yòng)戶(賬号)、來源接口、發起訪問的應用(yòng)、訪問時間、目标地址、鏈路出口,基于這些要素進行規則配置可(kě)以幫助管理(lǐ)員應對大部分(fēn)情況;但有(yǒu)時候還需要根據一些動态要素,例如:各個鏈路帶寬、鏈路出口實時負載等,進行規則的調整。
廠商(shāng)是否能(néng)伴随業務(wù)發展持續提供服務(wù)?
随着業務(wù)的持續發展,需要的帶寬資源可(kě)能(néng)增長(cháng)幾倍、甚至幾十倍。如果廠商(shāng)能(néng)提供全系列容量的産(chǎn)品(100Mb到1000Mb,到10Gb),可(kě)以随着業務(wù)的發展,平滑地擴展,網絡拓撲和管理(lǐ)模式不變。減少了選擇供應商(shāng)的次數,降低了選型風險,網絡管理(lǐ)人員無需學(xué)習新(xīn)設備的使用(yòng),以往的技(jì )能(néng)知識得到延續,消除了熟悉新(xīn)設備過程中(zhōng)的誤操作(zuò)風險。
廠商(shāng)是否能(néng)提供快速的個性化定制服務(wù)?
客戶的網絡出口優化需求在具(jù)有(yǒu)普遍性的同時,也具(jù)有(yǒu)個性化的特點,如果廠商(shāng)能(néng)快速針對用(yòng)戶的個性化需求進行定制,将使得客戶的需求很(hěn)好地被滿足,通常涉及到系統對接(例如:radius)、增值服務(wù)開發、零散帶寬聚合等。
如何選擇網絡出口優化設備
經過上述探讨,我們可(kě)以總結出選擇網絡出口優化設備的關鍵字如下:
● 滿足用(yòng)戶需求:智能(néng)負載均衡(忙時優化、識别應用(yòng)、預留帶寬)、服務(wù)外網用(yòng)戶的智能(néng)DNS、自動處理(lǐ)DNS異常、鏈路保障
● 簡化管理(lǐ):管理(lǐ)多(duō)條多(duō)運營商(shāng)提供的鏈路、降低帶寬成本、綜合管理(lǐ)、一台設備可(kě)以集中(zhōng)多(duō)種功能(néng)、規則靈活、集中(zhōng)管理(lǐ)、設備适應帶寬範圍大
● 降低風險:分(fēn)布實施、平滑過渡,内置安(ān)全防護(病毒、攻擊)
● 廠商(shāng)的持續服務(wù)能(néng)力:個性化定制服務(wù)、增值服務(wù)
多(duō)種均衡算法,滿足各種均衡需求
基于流量進行均衡:根據各個出口流量的負載,為(wèi)内網流量選擇最适合的出口,從而保證各出口的負載百分(fēn)比盡可(kě)能(néng)接近;
基于會話進行均衡,根據各出口已經建立連接的會話數量,為(wèi)内網的流量選擇最适合的出口,從而保證各出口會話數量的比例與各出口帶寬比例盡可(kě)能(néng)接近;
基于主機數的均衡,根據各出口的主機數量,為(wèi)内網的流量選擇最适合的出口,從而保證各出口的主機數量比例與帶寬比例盡可(kě)能(néng)接近;
最佳鏈路動态選擇算法:在盡可(kě)能(néng)保證所有(yǒu)用(yòng)戶上網質(zhì)量的同時,充分(fēn)利用(yòng)各出口的帶寬資源。
根據來源用(yòng)戶(用(yòng)戶的優先等級)、訪問的目标IP(不同網段适合走)、各出口的負載情況來綜合計算,為(wèi)内部用(yòng)戶訪問Internet選擇最佳路徑。
最佳鏈路動态選擇算法根據多(duō)種因素來選擇鏈路,例如,當一台内部主機訪問互聯網時,系統會根據主機訪問的目标IP地址進行"最小(xiǎo)響應時間"計算,另外系統還會計算不同鏈路為(wèi)此次訪問"新(xīn)建的會話響應時間",結合"最小(xiǎo)響應時間"、"會話數"以及"流量狀況"等因素,加權得到最佳的鏈路;
支持動态最佳選路-根據網絡實時狀況選擇最佳鏈路
傳統做法是根據所訪問的目标地址進行鏈路選擇。
在不同運營商(shāng)的鏈路資源之間選路時,大部分(fēn)時候是有(yǒu)效的。但是當根據目标地址選擇的鏈路質(zhì)量出現嚴重問題時,例如:中(zhōng)斷或者嚴重丢包,無法選擇其它鏈路資源。
當有(yǒu)多(duō)條同一運營商(shāng)鏈路時,在這些鏈路之間基本采用(yòng)的是輪詢算法,不能(néng)按照多(duō)條鏈路資源的實時變化的鏈路質(zhì)量和負載情況為(wèi)用(yòng)戶選擇合理(lǐ)的鏈路資源。
因此科(kē)學(xué)的選路應該要能(néng)實時探測所有(yǒu)鏈路資源的鏈路質(zhì)量,并結合鏈路的負載情況,為(wèi)用(yòng)戶選擇合理(lǐ)的鏈路資源,這就像結合靜态的地圖數據+實時的路況數據來為(wèi)汽車(chē)進行導航。
動态最佳選路原理(lǐ),如下兩幅圖所示:
動态最佳選路原理(lǐ)示意圖1:鏈路低負載-基于最優路徑選錄
動态最佳選路原理(lǐ)示意圖2:鏈路高負載-基于負載延時權值選擇鏈路
基于應用(yòng)識别的負載均衡-應用(yòng)牽引
用(yòng)戶租用(yòng)不同的鏈路通常在資費、帶寬上都有(yǒu)差異,因此用(yòng)戶希望将一些非關鍵應用(yòng)引導至資費低的數據鏈路,即希望針對應用(yòng)進行負載均衡。這種基于應用(yòng)識别的負載均衡,稱之為(wèi)應用(yòng)牽引(北京靈州網絡技(jì )術有(yǒu)限公(gōng)司在其NetMizer系列産(chǎn)品中(zhōng)首創),可(kě)把一些非關鍵應用(yòng)流量如P2P下載,在線(xiàn)視頻等,牽引至網絡時延大,鏈路質(zhì)量較差的鏈路,将正常的網頁(yè)浏覽、收發郵件等流量引至質(zhì)量較好的鏈路,在保證了用(yòng)戶上網體(tǐ)驗的同時,也充分(fēn)利用(yòng)了較差鏈路的帶寬資源。
如上圖所示,可(kě)以将P2P應用(yòng)牽引至質(zhì)量相對較差的且帶寬充裕的其它鏈路,而網頁(yè)浏覽、郵件收發和網絡遊戲等仍使用(yòng)質(zhì)量較好的聯通和電(diàn)信鏈路,在提高了鏈路使用(yòng)率的同時也保證了用(yòng)戶上網體(tǐ)驗。
應用(yòng)牽引功能(néng)可(kě)綁定時間策略和某條鏈路帶寬利用(yòng)率,例如可(kě)以設置牽引策略在晚高峰19:00至23:00間生效,或當電(diàn)信鏈路利用(yòng)率達到80%時,應用(yòng)牽引策略生效。滿足用(yòng)戶複雜的應用(yòng)牽引需求。
能(néng)夠通過DNS解析進行鏈路之間的流量均衡
通過為(wèi)用(yòng)戶選擇帶寬利用(yòng)率低的鏈路G1所綁定的DNS,可(kě)以實現将HTTP流量多(duō)走鏈路G1,從而改善鏈路負載均衡的效果;
通過優化設備為(wèi)域名(míng)指定DNS代理(lǐ)服務(wù)器,可(kě)以将訪問這些域名(míng)的流量牽引到DNS代理(lǐ)所綁定的鏈路上,從而實現基于域名(míng)的流量牽引。
為(wèi)外網用(yòng)戶提供智能(néng)DNS解析
為(wèi)外網用(yòng)戶提供内部服務(wù)器智能(néng)解析服務(wù)功能(néng),解決由外網訪問内網服務(wù)器鏈路選擇的問題。
在沒有(yǒu)負載均衡設備的網絡中(zhōng),外網用(yòng)戶訪問内部服務(wù)器時隻能(néng)選擇單一鏈路或者随機選擇鏈路,未經優化的随機鏈路選擇無法保障外網用(yòng)戶的訪問體(tǐ)驗效果。智能(néng)DNS模塊,可(kě)以配合客戶的解析服務(wù)器引導内部服務(wù)器的域名(míng)解析,當外網用(yòng)戶通過域名(míng)訪問客戶的内部服務(wù)器時,負載均衡設備就會通過靜态列表或者動态判斷算法,選擇最佳的線(xiàn)路,然後将域名(míng)解析成相應線(xiàn)路的IP地址。
例如:某高校的出口鏈路有(yǒu)電(diàn)信出口和Cernet出口,當來自電(diàn)信網的外部用(yòng)戶訪問學(xué)校内部服務(wù)器時,首先向該用(yòng)戶本地的域名(míng)服務(wù)器發起域名(míng)解析請求,該域名(míng)服務(wù)器會向服務(wù)器所在園區(qū)網的内網DNS服務(wù)器請求解析,内網DNS服務(wù)器會對該請求作(zuò)出回應報文(wén),該回應報文(wén)流經網絡出口優化設備時,通過靜态列表或者動态鏈路選擇算法選擇最佳的電(diàn)信線(xiàn)路而不選擇Cernet鏈路,然後将域名(míng)解析成電(diàn)信線(xiàn)路的IP地址,并把解析結果傳回到這個外網用(yòng)戶本地的域名(míng)服務(wù)器。
這樣電(diàn)信用(yòng)戶在訪問内部服務(wù)器資源時就會使用(yòng)電(diàn)信的解析地址,通過電(diàn)信的線(xiàn)路進行訪問,實現了訪問時鏈路方面的負載均衡優化。
智能(néng)DNS技(jì )術可(kě)以支持透明模式和集成模式:
● 透明模式:主要應用(yòng)在用(yòng)戶DNS服務(wù)器部署在負載均衡設備所連接的内部網絡中(zhōng),此時用(yòng)戶無需對自己的域名(míng)服務(wù)器進行修改;
● 集成模式:适用(yòng)于用(yòng)戶DNS服務(wù)器部署在外部環境下,此時客戶需要将域名(míng)的解析功能(néng)重定向到負載均衡設備上。
能(néng)進行高性能(néng)的地址轉換(NAT)
支持各種NAT方式,滿足内網訪問外網需要,外網用(yòng)戶訪問内網服務(wù)器的需要。
支持FTP、H.323、IPSEC等應用(yòng)層代理(lǐ)服務(wù),充分(fēn)保障用(yòng)戶應用(yòng)的兼容性。
支持會話IP地址保持,以滿足網銀等需要用(yòng)戶保持相同IP地址的應用(yòng)需要(如果用(yòng)戶多(duō)次訪問網銀,被NAT為(wèi)不同地址,網銀會認為(wèi)用(yòng)戶IP地址異常,從而強制用(yòng)戶重新(xīn)登錄)。
NAT效率能(néng)滿足大帶寬使用(yòng)需要,單機NAT最大能(néng)支持10G帶寬,滿足運營商(shāng)萬兆互連需要。
能(néng)自動處理(lǐ)DNS的異常情況
如果在每條ISP鏈路上綁定多(duō)個DNS服務(wù)器地址,當某個DNS服務(wù)器發生故障或無法提供正常解析服務(wù)時,自動跳過該故障DNS,為(wèi)用(yòng)戶使用(yòng)其它DNS提供解析服務(wù),實現DNS的冗餘。
内網用(yòng)戶DNS配置不當或者所配置DNS服務(wù)器提供的解析服務(wù)異常或者其解析地址不正确時,網絡優化設備能(néng)自動接管DNS解析,為(wèi)用(yòng)戶選擇正确的DNS服務(wù)器或者直接返回解析結果。例如:針對特定的教育網服務(wù)器域名(míng),為(wèi)用(yòng)戶解析為(wèi)教育網鏈路出口,保證用(yòng)戶的訪問速度。又(yòu)比如:用(yòng)戶訪問特定視頻網站時,将解析結果指向内部的緩存服務(wù)器,加速用(yòng)戶訪問,節省互聯網出口的帶寬。
自動探測鏈路健康狀況-鏈路保障
可(kě)以在各種網絡環境下檢測網絡通信狀況,通過4~7層的檢查手段準确判斷鏈路的健康狀況,不僅僅是通過判斷某個網站是否能(néng)連通,而是通過網絡流量、連接建立情況進行綜合檢查,從而科(kē)學(xué)地判定鏈路質(zhì)量狀态、鏈路的中(zhōng)斷、鏈路的恢複。
基于鏈路狀态的診斷,自動将有(yǒu)故障鏈路的既有(yǒu)流量均衡到其它鏈路出口上,當判斷故障鏈路恢複正常後,重新(xīn)将該鏈路納入負載均衡所使用(yòng)的鏈路出口。
保障用(yòng)戶體(tǐ)驗的前提下用(yòng)足帶寬資源-帶寬定速巡航
當帶寬資源富餘時不對受限應用(yòng)限速,在帶寬資源緊張時對受限應用(yòng)限速,鏈路出口的總帶寬在高峰期流量如恒定不變的帶寬一般,稱之為(wèi)帶寬定速巡航。其原理(lǐ)圖如下圖所示:
帶寬定速巡航示意圖
實施實例如下圖所示:
帶寬定速巡航實施示例
如上圖所示,在18:30-22:30,随着高優先級應用(yòng)(對用(yòng)戶體(tǐ)驗影響直接的應用(yòng))流量上升,受限應用(yòng)(棕色的迅雷)流量明顯被壓縮,流量總量幾乎是一條直線(xiàn),充分(fēn)利用(yòng)了帶寬資源,同時保障了高優先級應用(yòng)的帶寬。
管理(lǐ)規則能(néng)動态适應網絡實時狀況,降低管理(lǐ)難度,提升管理(lǐ)效果
能(néng)針對不同時間段制定管理(lǐ)規則,例如:可(kě)以為(wèi)工(gōng)作(zuò)日的工(gōng)作(zuò)時間、工(gōng)作(zuò)日的非工(gōng)作(zuò)時間、非工(gōng)作(zuò)日分(fēn)别制定不同的規則,保證用(yòng)戶在不同時間段,合理(lǐ)占用(yòng)帶寬資源;
能(néng)針對不同的用(yòng)戶來源制定管理(lǐ)規則,從而保證優先級高的用(yòng)戶能(néng)優先獲得帶寬資源;
能(néng)針對不同的目标地址制定管理(lǐ)規則,保證管理(lǐ)需要的目标地址能(néng)按照指定的鏈路方式進行訪問;
能(néng)針對用(yòng)戶訪問流量的應用(yòng)制定管理(lǐ)規則,保證優先級高的應用(yòng)能(néng)優先獲得帶寬資源;
能(néng)基于網絡通訊特點自動加速,例如:優先讓TCP會話的确認報文(wén)通過。
能(néng)基于鏈路出口的負載大小(xiǎo)制定管理(lǐ)規則,可(kě)以配置不同負載時各鏈路的優先級,例如:根據各出口的負載百分(fēn)比,将流量均勻分(fēn)配到各個鏈路出口,當鏈路負載比例高時,增加其響應時延,降低其選路權重。
能(néng)基于鏈路質(zhì)量制定管理(lǐ)規則,例如:根據鏈路的響應時延,自動為(wèi)用(yòng)戶選擇最佳的鏈路。
能(néng)自動監控鏈路狀态,自動處理(lǐ)鏈路的中(zhōng)斷,自動在可(kě)用(yòng)鏈路中(zhōng)為(wèi)用(yòng)戶選擇鏈路出口。
使用(yòng)多(duō)功能(néng)一體(tǐ)化設備,降低網絡複雜度,減少故障點
使用(yòng)流控、NAT、負載均衡、智能(néng)DNS一體(tǐ)化設備後,網絡結構可(kě)以簡化為(wèi):
當實現雙機熱備或者冷備時,二者的差别更大,大大減少了故障點(每加一台設備就增加了一個故障點),雙機熱備的示例拓撲如下圖所示:
提供豐富的展示圖表,幫助管理(lǐ)人員直觀了解系統狀态
● 系統狀态的統計圖表:CPU和内存消耗曲線(xiàn),會話和主機數的趨勢圖。
● 接口的流量圖表:各種物(wù)理(lǐ)接口、Vlan接口、聚合端口等的流量圖形。
● 鏈路網關的流量圖表:各個鏈路出口網關的流量圖形。
● 應用(yòng)分(fēn)類流量圖:各種應用(yòng)協議、協議組的流量趨勢圖表,各個來源接口、目标鏈路出口上的流量,各種協議/協議組分(fēn)别占其總流量的百分(fēn)比、絕對值,協議以及協議組的流量排名(míng)。
● 用(yòng)戶流量圖:查看各用(yòng)戶/用(yòng)戶組的總流量、流入流出的流量,用(yòng)戶使用(yòng)的各種應用(yòng)及其所産(chǎn)生的流量趨勢圖表。
提供多(duō)種診斷工(gōng)具(jù),幫助管理(lǐ)人員快速定位網絡故障
● ping和trace工(gōng)具(jù):進行網絡檢查
● 網絡連接測試工(gōng)具(jù):可(kě)以測試特定主機的指定端口是否可(kě)以訪問
● 網絡流量檢測:通過各個接口上的進、出方向的報文(wén)數量、錯誤報文(wén)數量、字節數,診斷網絡流量是否正常、傳輸質(zhì)量是否正常
● 抓包工(gōng)具(jù):在各個接口上抓包
● 會話搜索:根據主機IP,搜索該主機的所有(yǒu)會話,并可(kě)以查看會話的路由信息、報文(wén)數量、流入流出速率
● 主機:根據會話數量、流入流出速率進行主機排序,定位主機。
● 應用(yòng)接口分(fēn)類:查看各個接口,各種應用(yòng)的流量
● 各種應用(yòng)的即時流量:查看各種應用(yòng)會話數、流入及流出流量
設備型号全,能(néng)持續支持客戶業務(wù)不斷發展
低端産(chǎn)品管理(lǐ)從20M到500M帶寬
中(zhōng)端産(chǎn)品管理(lǐ)從500M-2G帶寬
高端産(chǎn)品管理(lǐ)從2G-10G帶寬
ACTA架構産(chǎn)品可(kě)以支撐100G帶寬(其規模相當于運營一個地級市的終端用(yòng)戶接入)
齊全的帶寬管理(lǐ)範圍,保證廠商(shāng)可(kě)以持續為(wèi)您提供服務(wù)。
多(duō)種部署方式-支持分(fēn)布實施
為(wèi)了支持平滑地實施網絡出口優化設備,通常需要支持如下的部署模式:
●透明方式部署:設備部署在防火牆與核心交換機之間,通過物(wù)理(lǐ)層(MAC地址)進行通訊,其優點是當網絡出口優化設備斷電(diàn)時,不會影響原有(yǒu)網絡的使用(yòng),就好像不存在該設備,因此稱之為(wèi)透明模式。網絡出口優化設備可(kě)以基于4- 7層的識别,對流量進行控制(攔截或者放行)、對用(yòng)戶流量進行均衡(基于MAC地址進行均衡)。NAT在防火牆上做。
● 路由方式部署:設備部署在防火牆與核心交換機之間,通過IP層進行通訊,網絡出口優化設備負責為(wèi)用(yòng)戶選擇路由,NAT在防火牆或網絡優化設備上做。
混合部署:設備部署在防火牆與核心交換機之間,鏈路A以透明方式部署,NAT在防火牆上做。鏈路B以路由方式部署,NAT在防火牆或NetMizer上啓用(yòng)。 當網絡優化設備斷電(diàn)時,走鏈路A的用(yòng)戶依舊能(néng)正常訪問網絡,走鏈路B的用(yòng)戶無法訪問網絡。這種模式适合用(yòng)戶逐步将所有(yǒu)網絡流量接入網絡優化設備,可(kě)以實現平滑遷移。
● 集成部署模式:設備部署在核心交換機和各出口鏈路之間,網絡優化出口優化設備負責做流控、負載均衡、NAT、實施防火牆策略。這種模式可(kě)以極大地簡化網絡拓撲,減少故障點,對于做雙機熱備将非常方便。
有(yǒu)效抵禦病毒和内外網發起的攻擊
提供傳統防火牆的基于地址/端口的訪問控制方法,例如:禁止發起攻擊的外網IP的訪問,隻允許外網對特定IP和端口進行訪問。
對于virflooding等分(fēn)布式攻擊,能(néng)自動進行識别,并自動進行攔截,對于内網用(yòng)戶會話數異常的能(néng)自動進行識别和限制。
僅依靠基于地址/端口的訪問控制,已經不能(néng)可(kě)靠地提供安(ān)全防護,還需要基于應用(yòng)進行精(jīng)細管理(lǐ),不僅能(néng)提高對病毒和攻擊的識别、攔截,還能(néng)更好地保障合法用(yòng)戶的互聯網訪問。能(néng)按照會話的要素進行應用(yòng)訪問控制:來源地址、入口、目标地址、出口、應用(yòng),支持在管制時段,對訪問進行放行、攔截,還應該支持轉發該請求給其它處理(lǐ)系統(從而便于多(duō)系統對接)。
例如:
僅允許授權的外網地址(若幹外網IP),在工(gōng)作(zuò)時間,通過指定的視頻軟件訪問視頻服務(wù)器;
僅允許授權的外網地址(多(duō)個分(fēn)公(gōng)司的外網地址),通過指定的郵件應用(yòng)訪問内網的郵件服務(wù)器。
廠商(shāng)是否能(néng)在其它增值服務(wù)領域提供潛在的價值
1、與其它系統進行對接
與radius、BRAS系統集成,從而實現對上網用(yòng)戶的信息統計和分(fēn)析
與移動運營商(shāng)的移動流量數據集成,實現DPI分(fēn)析
2、整合各種帶寬資源,降低帶寬采購(gòu)成本
化零為(wèi)整,自動管理(lǐ)各種零散帶寬資源。整合後的帶寬資源整合成分(fēn)組網關,提供給用(yòng)戶使用(yòng),對于用(yòng)戶完全透明,就像給用(yòng)戶提供了整G的帶寬資源。
3、内置安(ān)全防護功能(néng)的個性化定制
4、頁(yè)面推送管理(lǐ):基于用(yòng)戶訪問的頁(yè)面,按照管理(lǐ)需要向用(yòng)戶推送各種提示、警示信息或者相關推薦的服務(wù)。
NetMizer簡介
● 2003年開始進入鏈路負載均衡以及流控領域,推出一體(tǐ)化的解決方案
● 2004年底增加應用(yòng)層流量分(fēn)析功能(néng)
● 2006年推出高性能(néng)優化版本
● 2009年推出10GE/10G POS流控方案以及4GE負載均衡一體(tǐ)化高性能(néng)解決方案
● 2010年推出業内首款應用(yòng)牽引/應用(yòng)路由産(chǎn)品,業内首次推出流控損耗優化技(jì )術以及帶寬智能(néng)巡航技(jì )術
● 2011年研發萬兆負載均衡産(chǎn)品以及推出移動運營商(shāng)核心網的DPI流量分(fēn)析平台
多(duō)種獨有(yǒu)的功能(néng)模塊,為(wèi)用(yòng)戶優化鏈路資源提供完善而周密的解決方案。主要功能(néng)模塊如下:
● 動态最佳鏈路選擇;
● 地址轉換和映射;
● 智能(néng)流量均衡;
● DNS服務(wù)模塊;
● 鏈路健康狀态檢測;
● 應用(yòng)牽引;
● 網絡應用(yòng)及主機流量實時監控;
● 應用(yòng)層流量分(fēn)析和控制(可(kě)選);
● 用(yòng)戶接入認證(可(kě)選);
| 功能(néng)特性 | 描述 |
| 最佳路徑 | 實時鏈路優化技(jì )術,可(kě)以瞬時識别最佳鏈路,引導流量至最佳路徑; |
| 均衡算法 | 靜态和動态均衡方式結合流量、會話和主機對網絡流量進行均衡; |
| 鏈路監控 | 自動檢測鏈路是否正常,實現鏈路冗餘; |
| 應用(yòng)牽引 | 将指定七層應用(yòng)牽引至固定鏈路; |
| 内置防火牆 | 集成防火牆功能(néng),抵禦網絡攻擊、減少安(ān)全隐患,降低網絡攻擊對網絡運行的影響; |
| 部署方式 | 透明模式、路由模式、混合模式 |
| 應用(yòng)分(fēn)析 | 實時監控網絡流量,可(kě)以實時監控每個應用(yòng)的流量以及每個用(yòng)戶的流量、會話。 |
| 網絡攻擊 | Ping、tracerout、連接檢測工(gōng)具(jù)、流量監測工(gōng)具(jù)、網絡抓包工(gōng)具(jù)、ARP宣告; |
| DNS服務(wù) | DNS代理(lǐ)、解析策略、智能(néng)DNS、DNS解析; |
| 管理(lǐ)功能(néng) | 采用(yòng)HTTPS管理(lǐ)方式,管理(lǐ)語言為(wèi)中(zhōng)文(wén); |
| 地址轉換(可(kě)選) | 支持一對多(duō)的動态地址轉換、服務(wù)映射以及一對一地址映射功能(néng); |
| 其它功能(néng)(可(kě)選) | 可(kě)選應用(yòng)層流量管理(lǐ)、用(yòng)戶認證模塊、ADSL綁定模塊和頁(yè)面推送模塊; |
京公(gōng)網安(ān)備 11010802029177号