网络流量系统解决方案.docVIP

网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USA Phone/Fax：+1-408-945-3934（USA）， 网址：  目 录 一 前言 随着网络技术的不断高速发展，校园网络建设也不断走在网络发展的前端，校园网已从之前教育、科研的试验网的角色已经转变成教育、科研和服务并重的网络。校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客\病毒的侵害就成为各个学校不可回避的一个紧迫问题；另外，学校是思想政治和意识形态的重要阵地，确保学生的身心健康，使他们具备一个积极向上的意识形态，必须使学生尽可能少地接触网络上的不良信息，就需要通过必要的技术手段获到底有些什么应用在悉校园网络中网络上运行。对于流量技术，传统的网络管理系统虽然可以提供业务流量监测手段，但基本上只是采用一些通用型的网络链路使用率监视软件，对网络的重点链路和互联点进行简单的端口级流量监视和统计，或采用在网络中部分重点业务接入点加装远程监控探测的方式，对网络中部分端口进行网络流量和上层业务流量的监视和采集，但无法完全满足互联网业务流量的管理控制需求。 二 需求分析 大学作为一所综合性大学。 学校目前通过教科网，网通等多条出口接入Internet，学校总接入点分别与学生中心、教工核心、数据中心、等支点相连，不管是对内、对外时的总流量都超过1G，这对于内部流量的管理显的尤为重要，同时难度、要求也非常之高。 2.1学校目前网络拓扑图 学校目前有 2.2网络使用现状 目前随着校园网络的不断发展，各种新型的网络应用及服务也不断的出现，这对校园网络提出了更高的性能要求，当然也产生不少的麻烦，特别是P2P、IM及网络流媒体技术，能够迅速占用大量带宽，如果出口是用普通的防火墙设备，将会占用防火墙中大量缓存，严重的甚至会导致防火墙死机。问题的关键在于即使增加网络出口带宽，P2P等应用还会继续占用新增的带宽。经过总结分析，发现网络存在以下几个主要的问题： 带宽有效使用率偏低，运用各种手段无法了解网络带宽真正使用情况 学校正常的应用没有得到很好的保障，时常出现应用网络阻塞情况 内网安全上的隐患，经常病毒爆发影响内网运行、用户使用 制定的网络管理政策难于落实，无法掌握具体用户对网络的使用状况 普遍存在学生上网行为不能有效控制，特别是P2P等点对点传输软件（如BT，迅雷等） 网络带宽资源不能合理有效分配 同时多条链路无法进行统一的管理，并且无法进行多链路的负载均衡 对部分用户无法进行按照时间，流量计费等 　 目前学校网络管理中心的工作人员网络在监测上还无法找到合适的可以达到业务的管理解决办法，即很多情况下，只知道网络利用率，无法掌握网络的具体应用及流量使用情况，也无法对应用行为做合理的管理控制。这次希望通过改造网络来解决以上问题，方便学校以后的网络维护和分析，同时能够有效的提高网络资源的利用率。 AceNet针对学校出现的这些特点，利用AceNet的AG系列产品整合4到7层的控制技术、并且利用基于2P/IM流量安全控制使学校能够通过先进的技术，为学校的教职员工和学生提供服务。通过我们解决方案，学校可以对网络资源。 三、AceNet的技术方案 3.1方案整体描述 针对校园网的这种特点，我们制定了以下的网络拓扑： 本方案主要从多链路的负载均衡和网络安全，针对P2P/IM网络流量的控制分析，基于时间流量的用户认证和计费，报表日志系统等几大方面对方案进行详细描述。首先通过AG设备可以实现以下基本功能： 3.1.1解决网络带宽瓶颈 由于AG设备是一款基于ASIC芯片来工作的高性能设备，我们可以让网通链路和教育网都通过AG设备。在学校这样的大流量高带宽的情况下，用户的上网行为具有各种大量不同的应用，所以在出口设备上，对于大量数据包的处理我们采用ASIC芯片来完全处理，而对于一些简单的日志，管理等功能用CPU来处理，这样的处理方式加上ASIC芯片强有力的转发处理性能，完全解决了以往传统设备仅靠CPU处理大量数据包的局限性。所以利用AG设备承载高校这样的大流量高带宽，不会在网络出口对整个校园网络形成网络瓶颈。 3.1.2 互联出口 由于存在教育网口和网通链路两个出口。教育网直接连到客户的路由器，网通通过防火墙连接到校园网。为了代替这两个出口，我们建议对这两个出口一个采用透明方式互联，一个采用三层方式进行NAT转换后互联。这样用一台设备可以管理多条链路，同时不产生网络的出口瓶颈，为客户对网络链路的统一管理带来极大的方便。 3.1.3 实现DMZ区的管理 对于本学校，由于已经建立了几个web服务器，所以我们需要考虑保障服务器的安全，免受来