Allot公司带宽管理产品简介1公司简介Allot公司成立于1997年,公司的“Policy-BasedNetworking--基于策略的网络技术”概念为企业与IP服务提供商提供了一套如何改善网络性能的整体解决方案。该解决方案可以控制并减缓那些非商业性的应用,同时对某些关键的、紧迫的、时间敏感的应用加以保证。Allot所提出的流量管理解决方案是一台硬件与软件的结合设备,它可以配置在任何网络环境当中。NetEnforcer™产品系列是基于LAN的设备,为QoS/SLA的执行提供完善的流量控制技术,时实IP监视与控制、流量的长期统计与分析、IP流量统计报告;NetReality™产品系列是基于WAN的流量控制设备,为QoS/SLA的执行提供决策支持,实时IP监控与IP流量统计报告。2带宽管理产品简介Allot提供了基于策略的网络解决方案。该解决方案由管理应用程序和管理设备构成。借助该方案,网络管理者可以定义自身应用需求和网络基础设备之间的关系,从而实现对网络和服务器资源的充分利用。Allot提供了对用户、应用和网络状态的感知功能,借此可以优化端到端的网络服务质量。Allot将策略管理和实施结合在一起,提供了监视、流量分析、流量管理、流量统计功能。在现有的网络基础设施中可以非常容易地实施此方案。在企业网络中,Allot公司的NetEnforcer™使你可以控制昂贵的网络资源,因此重要业务就将把你的企业带向成功的可能。这样就可以限制那些非重要应用占用有限的互联网带宽,或者使VNP业务比不太重要FTP业务、P2P应用具有更高的优先级。在服务提供商网络中,NetEnforcer™使你通过向顾客保证服务等级来进行有效管理,并使ROI(投资收益汇报)在网络结构上最大化。通过加强服务等级协议(ServiceLevelAgreement),你可以向顾客提供更有益的高级服务以及对更广大的客户进行更有效的服务质量。3带宽管理产品功能介绍3.1功能介绍Allot通讯公司的NetEnforcer系列产品给用户提供了一套:完整的、优秀的、管理多用户、增强服务等级协议(ServiceLevelAgreement,SLA)的工具。使用者能够迅速识别网络用户的使用状况,从而对其提供更加多样化的服务。NetEnforcer是一个为快速增加新用户、创建并加强多层服务、同时收集将使用情况费用信息输出到一个外部数据库的理想平台。使用NetEnforcer的NetWizard软件的设置功能,可以自动的获得网络上通信所使用的协议。使用这些信息,你可以决定哪些协议将会影响到你的网络性能,并予以管理。让NetEnforcer检查所有从广域网流入/流出的数据,并把它和你设置的情况相比较。一旦某一个特定的网络会话进程和一个规则相吻合,NetEnforcer通过特定的规则传输数据包。使用NetEnforcer的通信监测,可持续地检测网络资源并增强网络策略。观察通信量的变化并改善策略来保持网络最大的可控性和业务性能。3.2功能点实现基本原理NetEnforcer使用的排队方法独特,称之为基于流的队列法(PFQ)。利用PFQ,每个流获得其自身的队列,并且NetEnforcer单独对其进行处理。这样就使得NetEnforcer可以提供非常准确的流量调整。PFQ法是执行QoS的一种直接方法。不像间接方法是通过改变数据包/流中的不同参数(例如“改变TCP窗口大小”)来设法管理可用的带宽,PFQ法利用TCP固有的流量控制程序来实现带宽使用最大化及使用效率最高。PFQ法利用了TCP的两个重要的内部机制,即“缓慢起动”与“拥塞回避”。这些机制可以渐进增加数据流动的速度,直到它们确认两个端点之间的连接已经饱和。PFQ法利用这些机制,通过动态地为每个流分配适当的传输速度(带宽),既可以满足策略的需求又可以避免冲突。而后传输TCP将会与NetEnforcer提供的速度同步。因此,NetEnforcer“强迫”每个流满足用户所定义的策略的速度来传输数据包,该策略包括最小、最大带宽以及优先级定义。工作原理Allot的基于流的队列方法通过NetEnforcer中的QoS实施模块来实现。每个到达NetEnforcer/QoS实施模块的数据包都通过流标识符与适当的流进行匹配,并插入到该适当流的队列中。如果该数据包与现有的流都不匹配,则新流生成器将检查该流的状况/特征,并将其与适当的策略(虚拟信道)进行匹配。之后将为系统添加一个新的流队列。在该数据包到达QoS实施模块后,它将会检查承诺的带宽是否耗尽以及是否达到了最大界限。如果承诺的带宽没有耗尽,则将立即(没有延迟)传输数据包。如果已经达到了该流的最大界限,则数据包将被放入到缓存中。否则,该数据包将被放入到其流队列中,并根据该流的优先级和可用带宽来传输它。队列的生成和增加是动态进行的。每个流生成一个队列,一旦流结束队列也将关闭。这样系统资源可以得到优化利用。NetEnforcer没有为每个队列分配预先定义好大小的缓存;它管理着一个很大的缓存区,并动态地随时给每个队列分配所需要的最合适的缓存量。因此,即使是某个峰值流或突发流很大的临时队列也可以得到缓存。QoS实施模块利用了一个非常精确的调度程序。该调度程序决定某一特定时刻哪个流可能发送数据包。发送完数据包后,系统将根据定义的策略和每个流已发送的数据包的数量来决定哪个流将发送下一个数据包。3.3功能点的用户呈现方式3.3.1功能的用户配置方式支持GUI(图形界面)、CLI(命令行方式)。策略编辑3.3.2功能结果的用户呈现方式不同应用实时展现流量告警图例最活跃的内部/外部主机地址不同协议或应用的分布状况长期流量统计与分析Allot的NetEnforcer支持实时监控和长期监控监控内容包括带宽、流量、协议和应用、连接数、数据包大小及利用率等,监控对象可以是系统、Pipe、VC或主机,监控方向可以是出站、入站或双向,均能够按照图表和数据两种方式显示,应用及IP地址排名支持前25位。Allot的协议库目前包含8000多种协议,支持自动识别所列的所有协议,并可在线升级,无需重起。随着网络的发展,不同网络应用的增加,Allot可以对设备软件的Service进行更新以便识别新的网络应用。4带宽管理产品部署方式设备在网络中的摆放位置如果需要做长期的流量数据收集与统计,还需要添加1台服务器5带宽管理产品客户化工作用户在安装时需要提供:该设备在网络拓扑中的位置;连接该设备的网络接口(光纤、铜),接口速率、实际数据吞吐量;主要的网络应用;是否存在“非对称路由的可能”;6针对各个功能点的性能Allot的NetEnforcerAC1000支持从2到7层的多种协议和应用类型:支持IP、ARP、Appletalk、DECNET、BanyanVines、DECEthernet、DECLAT、IPv6、IPX、MS-IPX、NetBEUI、SNA等网络层协议。支持TCP、UDP、EGP、GGP、GRE、ICMP、IGMP、I-NLSP、OSPFIGP、RSVP、SIPP-AH、SIP-ESP、SWIPE等传输层协议。支持根据端口定义TCP/UDP协议。支持各种主流P2P应用,包括KaZaA、eDonkey、Gnutella、BitTorrent、WinMx、DirectConnect等等,即使这些应用是基于动态端口的。支持对对HTTP进行基于主机、url、方法(get/post等)和内容(Mime类型)的详细分类。支持根据VLANID进行分类组合,给予不同的优先级。支持根据主机列表进行分类控制。Allot的NetEnforcerAC1000支持Pipe和VC两个等级的策略分类,支持10K个Pipe和80K个VC,支持分别对出站流量和进站流量或双向进行控制。可以针对每个Pipe或VC制定最大带宽限制和最小带宽保障,针对Pipe还可以进行带宽预留设定。时间是Allot策略设定中的一个选项,可以支持根据不同的时间段制定不同的策略。支持10个级别的优先权设定。Allot支持突发和持续速率两种带宽控制方式,可针对视频、语音类流量设置保证其带宽连续性的策略,将延迟、抖动等减小到最低。防御DoS/DdoS的建议原则总体原则:防御不同方式的DoS/DdoS攻击,要把访问控制、内容检查和带宽管理等相关技术结合起来运用。对于用户或者某些应用来说,关键是不要使其对系统整个资源的占用,达到或者超过系统所能承受的能力。否则,就不容易把正常的数据流量与DoS/DdoS区分开来。总体而言,注意利用带宽分配技术和限制IP会话连接的数量等手段,保护系统总体的资源不致被某些资源耗占。原则1:可以限制连接数(比如:连接总数)原则2:可以限制连接速度(CER指数)原则3:当某个IP地址的Connection数超过应有的限制时,考虑丢掉它原则4:可以直接屏蔽攻击者的IP/MAC地址、或者来自的域原则5:从外部进入内部的流量但地址又来自于内部的,(IP欺骗)的可能较大,可以屏蔽他们。原则6:利用L7的内容检查,限制相应的应用对资源的消耗原则7:对Telnet和FTP的服务,要严格控制原则8:对P2P的控制要非常注意,它们不仅耗占资源,也是常常传播Worm的地方原则9:对某些节点(如PC、Web服务器)采取限定流量,可以减轻可能因为攻击对网络的负荷。为监视可能的攻击,使用如下原则:原则1:监视网路的、特定节点的连接数原则2:监视网络的、特定节点的CER指数。这非常重要原则3:监视最活跃的IP节点(Client)原则4:监视可能的服务器(Server),注意观察平时是Client而突然变成了服务器原则5:监视平时最活跃的应用和协议7产品与网管系统的结合的结合方式Allot支持与HPOpenViewNetworkNodeManager的集成。Allot的NetEnforcer包含了一个SNMP的agent,支持RFC1213/MIBII和Allot的私有MIB。允许通过基于SNMP的网管软件获取信息,生成基于MRTG的日报、周报、月报和年报,需要强调的是NetEnforcer支持Pipe和VC级别的MRTG监控。Allot与HPOpenViewNetworkNodeManager的集成Allot支持与HPOpenViewNetworkNodeManager的集成。Allot的NetEnforcer包含了一个SNMP的agent,支持RFC1213/MIBII和Allot的私有MIB。允许通过基于SNMP的网管软件获取信息,生成基于MRTG的日报、周报、月报和年报,需要强调的是NetEnforcer支持Pipe和VC级别的MRTG监控。安装步骤:1、下载NetEnforcerMIB文件TheMIB文件可以从NetEnforcerGUI下载。下载完毕后解压缩到本地硬盘上。2、编辑NetEnforcerMIBs文件。(1)导入NetEnforcerMIBs文件(2)选择NetEnfocer图标,插入到拓扑图中。流量分析:集成HPOpenViewNetworkNodeManager后,网管人员可以利用SNMP进行流量分析。下图是通过NNM对HTTPVC和CitrixVC的流量进行分析的图表。