搜索
xxxx产品方案汇报日期:密级:解决方案部分宽带运营商网络现状及问题出口链路负载均衡方案应用案例部分宽带运营商网络现状电信联通省干网关地市节点运营商通过租赁电信和联通线路进行宽带运营。通过在出口路由器上配置ACL策略路由方式将互联网宽带用户静态的指向不同的出口链路。问题一:部分互联网宽带用户上网慢电信联通省干网关地市节点被静态策略至某联通链路出口网关无法根据用户访问的目的IP选路,导致部分用户上网速度慢、体验差。问题二:维护工作量繁琐电信联通省干网关地市节点需在出口网关路由器上经常性的为新增宽带用户添加静态策略,维护工作量大。天天加策略问题三:链路故障探测及处理电信联通省干网关地市节点链路故障后,手工调整策略期间,宽带用户无法上网,会投诉或传播负面信息。xxxx解决方案部分宽带运营商网络现状及问题xxxx链路综合方案应用案例广电出口链路改造建议电信联通GEGEIRFFWLB在出口部署一体式的网关。FW实现大容量NAT功能LB实现链路负载均衡功能根据用户目的地址进行自动选路,无须配置静态策略用户上网速度感知优于静态策略方式链路故障,自动将用户流量切换至可用链路。流控与审计ACG业务模块在高峰时段对P2P流量进行限速;记录用户上网记录,满足公安等法规要求。流控与审计电信联通电信联通出链路负载均衡路由器静态策略模式ISP匹配流未知流轮询加权轮询源地址Hash最小连接就近性探测ISP匹配流未知流默认路由提升1—丰富的出口流量分发算法提升1—分发算法比较静态分发轮询/随机、加权轮询/随机源IP/PortHash动态分发(加权)最小连接、最大剩余带宽就近性探测(生成就近性表项)链路可用带宽、链路延迟时间(RTT)链路成本、路由跳数(TTL)ISP表项匹配内置电信、联通等ISP地址表项静态策略路由动态路由路由器负载均衡来源于APNIC(亚太互联网络信息中心)目标2---设置链路带宽阈值,保护链路拥塞链路阈值保护功能:对出口链路设置流量阈值并将超出阈值流量进行二次调度,避免出现链路拥塞,影响用户上网。阈值为950M。电信联通GEGEFWLBSR66SR66电信-1G联通-500M目的IP为电信的流量950M150M1.1G保护阈值950M电信-1G联通-500M目的IP为电信的流量1G100M1.1GX负载均衡链路阈值保护路由器静态策略模式每条ISP设置阈值,链路数据流达到阈值后,LB不再向该链路发送数据流。提升2—出口链路流量阈值保护目标3---链路故障探测及自动流量切换链路故障探测及自动流量切换链路故障后流量智能调度,无须人工干预,自动将用户流量切换至可用链路,宽带用户对故障无感知,避免用户投诉或负面信息传播。电信联通GEGEFWLBSR66SR66不仅对下一跳探测,还可以对指定IP进行探测提升3—出口故障或拥塞后流量牵引电信-1G联通-500M目的IP为电信的流量X电信-1G联通-500M目的IP为电信的流量950M150M1.1G保护阈值950M出口故障后流量牵引出口拥塞后流量牵引目标4---简化配置维护简化配置维护工作量出口双机(冗余主控、电源)部署,通过IRF技术虚拟成一台主机进行管理。根据用户目的地址进行自动选路,无须配置静态策略,减少配置维护工作量电信联通GEGEFWLBSR66SR66H3C行为监管(BSC)解决方案模型人智能应用感知用户行为感知上网内容感知即时升级的特征库细粒度应用流量控制根据五元组精确控制URL过滤、内容过滤黑白名单记录访问日志用户行为的纵深分析应用流量的纵深分析记录NAT前后地址信息行为识别行为控制行为审计行为监管解决方案流程行为识别行为控制1、ACG识别用户的访问情况和流量信息,防火墙进行NAT地址转换SecCenter交换机SecPathACG安全管理平台校园网SecPath防火墙行为审计①①②③2、ACG根据流控策略和内容过滤策略,对用户行为进行细粒度的控制3、ACG发送用户上网行为信息,防火墙发送NAT日志,安全管理平台进行记录,供事后审计ACGManager行为识别非法访问公安部82号令反动网站色情网站赌博网站BBS非法言论Email非法言论FTP...P2PBitTorentThunder(讯雷)eMule(电骡)eDonkey(电驴)Kugoo(酷狗)Pocovagaa百度下吧KazaANapsteriMesh...H3C自主研发的UAAE智能应用感知引擎,具备强大的应用识别能力深度应用流量识别:采用业界先进技术根据特征识别网络中各种P2P应用协议和流量深度行为识别:可对HTTP、Email、FTP、IM、游戏、炒股等行为及内容进行感知IM软件QQICQMSNMessengerYahooMessenger新浪UC网易POPO淘宝旺旺...游戏Battle.netDoomHalf-LifeQuake魔兽世界QQ游戏联众...炒股大智慧同花顺指南针证券之星...协议插件检测特征状态检测端口检测协商检测隧道检测智能决策系统......行为控制-非法行为管理用户不能访问带有“sex”的URL地址用户工作时间不允许使用QQInternetLAN支持对即时通讯、炒股软件、流媒体、网络游戏等多种行为进行识别和精细化控制,提高工作效率针对非法网站访问,通过URL过滤、内容过滤,避免因访问反动、色情网站造成政治和安全的隐患用户在每天13点-14点可以使用炒股软件,其他时间禁止行为审计—流量分析报告对各种应用流量进行深入分析,形成分析报告,可用户流量控制策略的制定和事后的审计基于流量的分布趋势TOPN分析:全业务流量、单协议/协议组流量、上下行/双向流量、流量明细等基于用户的TOPN分析:用户全业务流量、上下行/双向流量、会话数、流量分布、流量趋势等针对用户行为进行深入的识别,将携带关键信息的日志发送给安全管理平台携带关键信息的日志,形成用户审计报告。HTTP行为:可以记录网页IP、域名、访问用户、访问时间等信息Email行为:可以记录收发件人、邮件标题、附件标题等信息FTP行为:可以记录通过FTP上传下载的文件HTTP访问审计Email行为审计FTP行为审计行为审计—用户访问审计M9000-概览产品定位:新一代安全旗舰,多业务安全网关大型数据中心,云计算数据中心、云服务提供商多租户场景、运营商CGN;产品形态:M9006、M9010、M9014特点:源自不凡:优异的软硬件平台多业务:FW、LB……多业务按需扩展、一切皆有可能高性能:400G防火墙、200G负载均衡、3亿并发、500万新建……高端大气上档次虚拟化:真正的N:M虚拟化,随心所欲定制每虚拟墙吞吐、并发、新建性能,整机虚防数量高达2500个统一管理:板卡多种多样,管理始终如一高可靠性:IRF、进程级GR、ISSU整机性能:提供6/10/14槽位超400GbpsFW吞吐超160GbpsLB吞吐每单板性能:40Gbps防火墙16Gbps的负载均衡2400万并发连接60万新建/单板虚拟化指标:每单板支持超250个VFW整机支持超2500个VFW安全策略:每单板支持10万安全策略整机超100万安全策略丰富的单板类型支持40GE以太线卡支持10GE以太线卡支持GE千兆光口支持FW/IPS/LB混插模式M9006/M9010/M90142013年H3C入围A类防火墙:M9000性能高、接口丰富xxxx解决方案部分宽带运营商网络现状及问题xxxx链路综合方案应用案例案例:NAT+负载均衡2*S7510E+4*FW+8*LB部署2台LSNS7500E吞吐量30G并发会话1000万新建连接:15万/Sxxxx方案2*10GE联通电信S7610+2*FW+4*LBxxxx介绍:租用了电信和联通共4条GE链路,采用两台S7610做IRF,准备部署2*FW+4*LB来做出口NAT和负载均衡。xxxx出口链路负载均衡电信联通IRFLB4*10G4*10G10G10G2*10GCMNetCMNet迂回链路迂回链路PB-1PB-2在出口部署一体式的流量调度网关(负载均衡设备),取代既有的PI路由器,使出口流量调度达到以下几个目标:1、出口链路部署与流量调度更灵活。2、设置链路带宽阈值,保护链路拥塞。3、链路故障探测及自动流量切换。4、设置迂回至CMNet的链路。5、简化配置维护S9512E+16*LBxxxx链路负载均衡2*10GE链路1链路2FW+LB链路1链路2FWLB链路1链路2链路3内部流量均分至LB联通CRN电信2*S7610+6*FW+10*LBxxxx数据网安全出口NAT网关全局拓扑安全出口NAT资源池CMNET安全出口NAT资源池InternetxxH3C16Kxxxxxxxxxxxxxxxx各地市H3C16Kxxxx部署模式分析部署描述分别在两台出口路由气上旁挂部署NAT资源池,每部署分析资源池中的虚拟化防火墙采用N:1的横向虚拟化技术,池内统一NAT表项,池中的所有安全设备均能负载均衡的分担工作,资源池中所有安全设备负载均衡的工作,即使任意一台出现故障,业务会迅速切换到其他安全设备上,打破了传统的一主一备低利用率部署模式。安全业务的高扩展性安全出口NAT资源池CMNET安全出口NAT资源池InternetH3C16KH3C16K电信联通GEGEIRFFWLB在出口部署一体式的网关。FW实现大容量NAT功能LB实现链路负载均衡功能根据用户目的地址进行自动选路,无须配置静态策略用户上网速度感知优于静态策略方式链路故障,自动将用户流量切换至可用链路。流控与审计ACG业务模块在高峰时段对P2P流量进行限速;记录用户上网记录,满足公安等法规要求。流控与审计万兆链路千兆链路xxxx出口NAT项目