Allot公司帶寬管理產品介紹

1、Allot公司帶寬管理 產品簡介 1公司簡介 Allot公司成立于1997年，公司的Policy-BasedNetworking-基于策略的網 絡技術”概念為企業(yè)與IP服務提供商提供了一套如何改善網絡性能的整體解決方案。 該解決方案可以控制并減緩那些非商業(yè)性的應用，同時對某些關鍵的、緊迫的、時 間敏感的應用加以保證。 Allot所提出的流量管理解決方案是一臺硬件與軟件的結合設備，它可以配置在任何 網絡環(huán)境當中。NetEnforcer ?產品系列是基于 LAN的設備，為QoS/SLA的執(zhí)行提供 完善的流量控制技術， 時實IP監(jiān)視與控制、流量的長期統計與分析、IP流量統計報告； NetRealit

2、y ?產品系列是基于 WAN的流量控制設備，為 QoS/SLA的執(zhí)行提供決策支 持，實時IP監(jiān)控與IP流量統計報告。 2帶寬管理產品簡介 Allot提供了基于策略的網絡解決方案。該解決方案由管理應用程序和管理設備構 成。借助該方案，網絡管理者可以定義自身應用需求和網絡基礎設備之間的關系，從而 實現對網絡和服務器資源的充分利用。Allot提供了對用戶、應用和網絡狀態(tài)的感知功能， 借此可以優(yōu)化端到端的網絡服務質量。Allot將策略管理和實施結合在一起，提供了監(jiān)視、 流量分析、流量管理、流量統計功能。在現有的網絡基礎設施中可以非常容易地實施此 在企業(yè)網絡中，Allot公司的NetE nforcer?

3、使你可以控制昂貴的網絡資源，因此重 要業(yè)務就將把你的企業(yè)帶向成功的可能。 這樣就可以限制那些非重要應用占用有限的互 聯網帶寬，或者使 VNP業(yè)務比不太重要FTP業(yè)務、P2P應用具有更高的優(yōu)先級。 在服務提供商網絡中，NetE nforcer?使你通過向顧客保證服務等級來進行有效管 理，并使ROI (投資收益匯報)在網絡結構上最大化。通過加強服務等級協議( Service Level Agreement )，你可以向顧客提供更有益的高級服務以及對更廣大的客戶進行更有 效的服務質量。 3帶寬管理產品功能介紹 3.1功能介紹 Allot通訊公司的NetEnforcer系列產品給用戶提供了一套：完整的

4、、優(yōu)秀的、管理 多用戶、增強服務等級協議（Service Level Agreement ，SLA）的工具。使用者能夠迅 速識別網絡用戶的使用狀況，從而對其提供更加多樣化的服務。NetEnforcer是一個為 快速增加新用戶、創(chuàng)建并加強多層服務、同時收集將使用情況費用信息輸出到一個外部 數據庫的理想平臺。 使用NetEnforcer的NetWizard軟件的設置功能，可以自動的獲得網絡上通信所使 用的協議。使用這些信息，你可以決定哪些協議將會影響到你的網絡性能，并予以管理。 讓NetEnforcer檢查所有從廣域網流入/流出的數據，并把它和你設置的情況相比 較。一旦某一個特定的網絡會話進程和一

5、個規(guī)則相吻合，NetEnforcer通過特定的規(guī)則 傳輸數據包。使用 NetEnforcer的通信監(jiān)測，可持續(xù)地檢測網絡資源并增強網絡策略。 觀察通信量的變化并改善策略來保持網絡最大的可控性和業(yè)務性能。 3.2功能點實現基本原理 NetEnforcer使用的排隊方法獨特，稱之為基于流的隊列法（PFQ）。利用PFQ， 每個流獲得其自身的隊列，并且NetE nforcer單獨對其進行處理。這樣就使得 NetEnforcer可以提供非常準確的流量調整。PFQ法是執(zhí)行 QoS的一種直接方法。 不像間接方法是通過改變數據包 /流中的不同參數（例如“改變 TCP窗口大小”）來設 法管理可用的帶寬，PFQ法

6、利用TCP固有的流量控制程序來實現帶寬使用最大化及 使用效率最高。 PFQ法利用了 TCP的兩個重要的內部機制，即“緩慢起動”與“擁塞回避” 。這 些機制可以漸進增加數據流動的速度，直到它們確認兩個端點之間的連接已經飽和。 PFQ法利用這些機制，通過動態(tài)地為每個流分配適當的傳輸速度（帶寬） ，既可以滿足 策略的需求又可以避免沖突。而后傳輸TCP將會與NetEnforcer提供的速度同步。 因此，NetE nforcer “強迫”每個流滿足用戶所定義的策略的速度來傳輸數據包， 該策略包括最小、最大帶寬以及優(yōu)先級定義。 工作原理 Allot的基于流的隊列方法通過NetEnforcer中的QoS實施

7、模塊來實現。每個到 達NetEnforcer/QoS 實施模塊的數據包都通過流標識符與適當的流進行匹配，并插入 到該適當流的隊列中。 如果該數據包與現有的流都不匹配，則新流生成器將檢查該流的 狀況/特征，并將其與適當的策略（虛擬信道）進行匹配。之后將為系統添加一個新的 流隊列。 在該數據包到達 QoS實施模塊后，它將會檢查承諾的帶寬是否耗盡以及是否達到 了最大界限。如果承諾的帶寬沒有耗盡，則將立即（沒有延遲）傳輸數據包。如果已經 達到了該流的最大界限，則數據包將被放入到緩存中。否則，該數據包將被放入到其流 隊列中，并根據該流的優(yōu)先級和可用帶寬來傳輸它。 隊列的生成和增加是動態(tài)進行的。每個流生成

8、一個隊列，一旦流結束隊列也將關閉 這樣系統資源可以得到優(yōu)化利用。 NetE nforcer沒有為每個隊列分配預先定義好大小的緩存；它管理著一個很大的緩 存區(qū)，并動態(tài)地隨時給每個隊列分配所需要的最合適的緩存量。因此，即使是某個峰值 流或突發(fā)流很大的臨時隊列也可以得到緩存。 QoS實施模塊利用了一個非常精確的調度程序。該調度程序決定某一特定時刻哪 個流可能發(fā)送數據包。發(fā)送完數據包后，系統將根據定義的策略和每個流已發(fā)送的數據 包的數量來決定哪個流將發(fā)送下一個數據包。 3.3功能點的用戶呈現方式 3.3.1功能的用戶配置方式 支持GUI （圖形界面）、CLI （命令行方式） 回E3 Fite Edll

9、 過岔m ushI Cmtelag Juoti gtHRgt jtlp X 口匸iVh4電G冥蟲丿 也 rcnriF flCH L b.n-irn?*flor Gtrurtfr riK -IlhrilDri LiKidOii * w z E Arit i-ds-xfli-iwffrnc# z E rry $出林D / E i： .BbOiwI/ Arw # g臉 lbhjsitsP2P y *w f AKal1 m/ ikX w Ainr iirsrcn lIlDl -Falltiatk sZ Any “3H dRftJC-LE ATiYliie Jl Cerent Min - 12fl kl

10、ipi F 393 As 變 HTTP 赳TffU刑E iMzeept Njithsi Priorl-v-rtLia F 393： AS IS K=-ZAMCU1J9 jnrr Hm悒 J網理罰 M3li?k_ri/n gq Ffintrjit-FW1D9 Z iapt7r_v i 明 i 3L-“ 199201 nRsdki-lFwigg.i Cdigi:_Fv- 13.20 Tl elnel_FM an lCQ_FWJB9203. mp_Ffti9Qjnz DN 主要的網絡應用； 是否存在“非對稱路由的可能”； 6針對各個功能點的性能 Allot的NetEnforcer AC1000 支持

11、從2到7層的多種協議和應用類型: 支持 IP、ARR Appletalk 、DECNET Banyan Vines、DECEthernet、DECLAIM IPv6、 IPX、MS-IPX、NetBEUI、SNA等網絡層協議。 支持 TCP UDP EGP GGP GRE ICMP IGMP I-NLSP、OSPFIGP RSVP SIPP-AH SIP-ESP、SWIPE等傳輸層協議。 支持根據端口定義TCP/UDP協議。 支持各種主流 P2P應用，包括 KaZaA eDonkey、Gnutella、BitTorrent 、WinMx Direct Co nnect 等等，即使這些應用是基于

12、動態(tài)端口的。 支持對對HTTP!行基于主機、url、方法（get/post 等）和內容（Mime類型）的 詳細分類。 支持根據VLAN ID進行分類組合，給予不同的優(yōu)先級。 支持根據主機列表進行分類控制。 Allot的NetEnforcer AC1000 支持Pipe和VC兩個等級的策略分類，支持10K個 Pipe和80K個VC,支持分別對出站流量和進站流量或雙向進行控制。 可以針對每個Pipe或VC制定最大帶寬限制和最小帶寬保障，針對Pipe還可以進 行帶寬預留設定。 時間是Allot策略設定中的一個選項，可以支持根據不同的時間段制定不同的策略。 支持10個級別的優(yōu)先權設定。 Allot支持

13、突發(fā)和持續(xù)速率兩種帶寬控制方式，可針對視頻、語音類流量設置保證 其帶寬連續(xù)性的策略，將延遲、抖動等減小到最低。 防御DoS/DdoS的建議原則 總體原則：防御不同方式的 DoS/DdoS攻擊，要把訪問控制、內容檢查和帶寬管理 等相關技術結合起來運用。對于用戶或者某些應用來說，關鍵是不要使其對系統整個資 源的占用，達到或者超過系統所能承受的能力。否則，就不容易把正常的數據流量與 DoS/DdoS區(qū)分開來。 總體而言，注意利用帶寬分配技術和限制IP會話連接的數量等手段，保護系統總 體的資源不致被某些資源耗占。 原則1:可以限制連接數（比如：連接總數） 原則2:可以限制連接速度（CERf旨數） 原則

14、3:當某個IP地址的Connection數超過應有的限制時，考慮丟掉它 原則4:可以直接屏蔽攻擊者的IP/MAC地址、或者來自的域 原則5:從外部進入內部的流量但地址又來自于內部的，（IP欺騙）的可能較大， 可以屏蔽他們。 原則6:利用L7的內容檢查，限制相應的應用對資源的消耗 原則7:對Telnet和FTP的服務，要嚴格控制 原則8:對P2P的控制要非常注意，它們不僅耗占資源，也是常常傳播Worm勺地 原則9:對某些節(jié)點（如 PG Web服務器）采取限定流量，可以減輕可能因為攻 擊對網絡的負荷 為監(jiān)視可能的攻擊，使用如下原則： 原則1：監(jiān)視網路的、特定節(jié)點的連接數 原則2 :監(jiān)視網絡的、特定

15、節(jié)點的CER旨數。這非常重要 原則3:監(jiān)視最活躍的IP節(jié)點（Client ） 原則4 :監(jiān)視可能的服務器（Server ）,注意觀察平時是 Client而突然變成了服務器 原則5:監(jiān)視平時最活躍的應用和協議 7產品與網管系統的結合的結合方式 Allot 支持與 HP OpenView Network Node Manager的集成。Allot 的 Net Enforcer 包含了一個 SNMP的age nt，支持 RFC1213/MIB II和Allot的私有 MIB。允許通過基 于SNMP的網管軟件獲取信息，生成基于MRTG的日報、周報、月報和年報，需要強 調的是Net Enforcer支持

16、Pipe和VC級別的MRTG監(jiān)控。 Allot 與 HP OpenView Network Node Manager 的集成 Allot 支持與 HP OpenView Network Node Manager的集成。Allot 的 Net Enforcer 包含了一個 SNMP的age nt，支持 RFC1213/MIB II和Allot的私有 MIB。允許通過基 于SNMP的網管軟件獲取信息，生成基于MRTG的日報、周報、月報和年報，需要強 調的是Net Enforcer支持Pipe和VC級別的MRTG監(jiān)控。 安裝步驟： 1、下載 NetEnforcer MIB 文件 The MIB文件可

17、以從 NetEnforcer GUI 下載。下載完畢后解壓縮到本地硬盤上 2 D小、對時帝隔 yetEtiJftrcir 站 2、編輯 NetEnforcer MIBs 文件。 (1)導入 NetEnforcer MIBs 文件 SRuut Map EJitF erf gm an gcF gurtiDri Fult Twlf | Cptirn;訶jridow H和 5M1P 匚 onFguratior Evert匚un阿聽2 Ust.3 ColfedtionBiThrestiodf： 5NV|= MID Applisn Buto!卵呵1 Lon曲hbxlM吐；5mP rietvioi k-PdlingCor/iguraliDn; IF/IFX i-iure S - Latttliitu MIBs (2)選擇NetEnfocer圖標，插入到拓撲圖中