h3csecpathacg應(yīng)用控制網(wǎng)關(guān)產(chǎn)品介紹

H3C

SecPath

ACG應(yīng)用控制網(wǎng)關(guān)產(chǎn)品介紹日期：杭州

通信技術(shù)，不得使用與網(wǎng)絡(luò)擴容的怪圈：為什么帶寬總不夠用流量管理還停留在帶寬上：未知的業(yè)務(wù)應(yīng)用引入了解ACG產(chǎn)品的主要特性掌握ACG產(chǎn)品的部署方式了解ACG最佳實踐方案了解ACG典型應(yīng)用案例課程目標學習完本課程，您應(yīng)該能夠：流量管理現(xiàn)狀分析H3C

SecPath

ACG

產(chǎn)品介紹H3C

SecPath

ACG功能介紹H3C

SecPath

ACG典型應(yīng)用H3C

SecPath

ACG最佳實踐方案H3C

SecPath

ACG典型應(yīng)用案例網(wǎng)絡(luò)帶寬擴容的怪圈擁塞擴容又擁塞再擴容又擁塞！P2P擠占大量網(wǎng)絡(luò)帶寬當前P2P流量已經(jīng)占整個互聯(lián)網(wǎng)流量的約70%，并且正在以每年350%的速度增長

P2P導(dǎo)致網(wǎng)絡(luò)擁塞實例

發(fā)布的企業(yè)網(wǎng)流量使用圖！P2P擠占大量企業(yè)網(wǎng)帶寬根據(jù)

公司發(fā)布的一份

顯示，以BT與eDonkey為代表的P2P應(yīng)用，消耗了60%以上的有效網(wǎng)絡(luò)帶寬如何應(yīng)對工作效率的

？→！企業(yè)員工上班時間網(wǎng)聊、炒股、等嚴重影響了企業(yè)的效益→據(jù)

才

的一次網(wǎng)絡(luò)

顯示，涉及經(jīng)營管理、IT、市場、財務(wù)金融、服務(wù)、行政和人力資源管理等不

業(yè)的2000名被

者中，僅在工作中使用MSN、

聊天工具的比例高達89.2％6流量運營中的

盲點！據(jù)不完全統(tǒng)計，僅山東網(wǎng)通1拖2以上的

寬帶共享用戶近30萬戶；溫州市通過共享接入一拖4以上的用戶數(shù)目將超過2.9萬戶，使運營商蒙受巨大經(jīng)濟損失！學校中普遍存在通過

或NAT的形式逃避計費的現(xiàn)象，形成1代3，甚至1代8。一個開通了3000個帳號的校園網(wǎng)絡(luò)，如果有9000個用戶逃避計費，每用戶包月費用按20元計算，那么全年的損失為：

20×10×9000＝180萬共享接入如何

不良

侵擾？！互聯(lián)網(wǎng)絡(luò)上、賭博、

等有害站點迅速增加！不良泛濫嚴重侵擾了人們正常的工作、學習和生活秩序！網(wǎng)絡(luò)上不健康的內(nèi)容影響了整個社會的和諧發(fā)展8目前的流量管理模式是基于帶寬的粗曠式管理，對網(wǎng)絡(luò)上業(yè)務(wù)流量的類型及使用情況等知之甚少，無法實現(xiàn)流量的完全和管理。業(yè)務(wù)流量流量管理陷入困境的癥結(jié)在哪？傳統(tǒng)解決方案

為力基于TCP/IP3層和4層的

控制，諸如BT、

等P2P應(yīng)用，MSN、等即時通訊

以及其它應(yīng)用層軟件可以輕松路由器路由器的

濾功能主要基于ACL實現(xiàn)，通過識別數(shù)據(jù)包的源/目的地址、源/目的端口以及MAC地址等，對2層到4層協(xié)議的流量進行控制，無法實現(xiàn)應(yīng)用層流量的控制H3C

業(yè)務(wù)流量運營解決方案應(yīng)用流量分析應(yīng)用流量控制P2P/VoIP/共享接入URL過濾/流量計費基于協(xié)議特征和行為的應(yīng)用分析，準確識別P2P/IM等動態(tài)端口應(yīng)用豐富的報表，基于時間段、協(xié)議/子協(xié)議類型等進行報表分析和展示支持按IP分組/區(qū)域進行流量統(tǒng)計基于應(yīng)用和用戶的精細流量控制提供阻斷、限流、干擾、告警等多種控制方式，支持按時間段實施控制策略提供應(yīng)用控制

功能準確識別BitTorrent、eMule、Thunder(迅雷)等協(xié)議并進行限速等控制準確識別網(wǎng)絡(luò)中的VOIP

運營流量，對網(wǎng)絡(luò)中的VOIP

流量進行干擾等控制準確識別共享接入用戶以及接入主機數(shù)目提供對不同的URL策略設(shè)置不同的響應(yīng)方式通過自定義URL庫，能夠基于不同的URL策略以及時間表設(shè)置不同的響應(yīng)方式提供web認證方式，基于AAA的認證、

、計費H3CACG應(yīng)用控制網(wǎng)關(guān)流量管理現(xiàn)狀分析H3C

SecPath

ACG

產(chǎn)品介紹H3C

SecPath

ACG功能介紹H3C

SecPath

ACG典型應(yīng)用H3C

SecPath

ACG最佳實踐方案H3C

SecPath

ACG典型應(yīng)用案例

H3C

ACG

應(yīng)用控制網(wǎng)關(guān)產(chǎn)品形態(tài)

SecPath

ACG2000-MSecBlade

ACGACG

硬件架構(gòu)可擴展性擴展接口卡ACG2000-M→4GE/8GE接口卡，最大可支持18個GE接口，提供強大的擴展能力SecBlade插卡可以配合S75/S95高端交換機進行部署SecBlade

ACG插卡流量管理現(xiàn)狀分析H3C

SecPath

ACG

產(chǎn)品介紹H3C

SecPath

ACG功能介紹H3C

SecPath

ACG典型應(yīng)用H3C

SecPath

ACG最佳實踐方案H3C

SecPath

ACG典型應(yīng)用案例應(yīng)用流量識別與流量控制應(yīng)用類型說明P2PBitTorrent、eMule、Kugoo、Thunder（迅雷）、Tencent

Download、PPLiveStream、PPStream……VoIPSkype、SIP、H323、UUCALL、Konge（中橋語音）……即時通訊類MSN、

、

Talk、Yahoo

Messenger……炒股Big

Wisdom(大智慧)、Straight

Flush（同花順）……World

of

Warcraft（魔獸世界）、Globallink……其它流 、WEB

、FTP

、網(wǎng)絡(luò)管理……16控制限流，阻斷，干擾，告警控制粒度基于用戶/源IP、目的IP、應(yīng)用、時間段的任意組合進行

度細粒度的控制增強功能黑白

功能應(yīng)用流量分析業(yè)務(wù)使用用戶明細各種業(yè)務(wù)的流量趨勢單個業(yè)務(wù)流量曲線單個用戶的某類應(yīng)用業(yè)務(wù)流量趨勢應(yīng)用業(yè)務(wù)分布餅圖共享接入與控制（一）——識別范圍服務(wù)器InternetACG共享接入識別程度：識別共享接入用戶、共享接入主機數(shù)目能夠識別的：共享衛(wèi)士、WinGate、roxy、WinProxy、winRoute、SyGate、SuperProxy、TP-LINK準確識別NAT/PROXY方式接入共享接入與控制（二）——控制策略最近共戶統(tǒng)計歷史共戶統(tǒng)計提供共戶主機數(shù)趨勢、分布統(tǒng)計，支持實時和歷史共享查詢共享接入控制策略：限制帶寬，阻斷，推送web頁面告警支持按時間段和指定頻度實施控制策略URL過濾Internet通過自定義主機名、IP地址等方式設(shè)置URL庫，能夠?qū)Σ煌腢RL策略以及不同時間段設(shè)置不同的響應(yīng)方式，保證學生或企業(yè)員工不被色情、、等侵擾HTTP流量計費管理對HTTP

設(shè)置了重定向到web認證計費頁面的管理規(guī)則Web認證計費頁面配置HTTP管理規(guī)則21ACG

的工作原理發(fā)現(xiàn)設(shè)備——通過SecCenter添加ACG設(shè)備，集成ACG

WEB管理策略部署——通過集成WEB界面或者ACG單獨運行參數(shù)和業(yè)務(wù)策略配置分發(fā)——通過SecCenter將策略配置文件集中分發(fā)到不同AC

G網(wǎng)關(guān)流量

——SecCenter自動采集ACG上報的流量日志SecCenterACG

2000-MACG2000-MACG2000-MACG2000-M1、SecCenter可以通過安裝ACG

Manager或者ACG

Reporter來實現(xiàn)，ACG

Reporter僅能進行流量分析，不能下發(fā)策略。2、策略可通過在ACG

Manager下發(fā)，也可單獨在ACG

上配置。流量管理現(xiàn)狀分析H3C

SecPath

ACG

產(chǎn)品介紹H3C

SecPath

ACG功能介紹H3C

SecPath

ACG典型應(yīng)用H3C

SecPath

ACG最佳實踐方案H3C

SecPath

ACG典型應(yīng)用案例ACG的部署方式——inline部署1、ACG透明部署在需要分析的流量線

，將流日志送給遠端的2、策略可通過在ACG

Manager下發(fā)，也可單獨在ACG

上配置。。ACG的部署方式——旁路部署1、通過分光或者端口鏡像將流量鏡像給ACG，ACG將生成的流日志發(fā)給SecCenter。2、由于是旁路模式，采用的動作僅能是發(fā)送TCP

reset，或?qū)oIP干擾，不能進行限流。流量管理現(xiàn)狀分析H3C

SecPath

ACG

產(chǎn)品介紹H3C

SecPath

ACG功能介紹H3C

SecPath

ACG典型應(yīng)用H3C

SecPath

ACG最佳實踐方案H3C

SecPath

ACG典型應(yīng)用案例

廣域網(wǎng)/二三級網(wǎng)流量控制最佳部署方案

背景：一個總部，多個區(qū)域網(wǎng)絡(luò)的廣域網(wǎng)結(jié)構(gòu)，或國家-省-地市的分級網(wǎng)絡(luò)結(jié)構(gòu)。廣域網(wǎng)/二三級網(wǎng)的流量均需要進行

，抑制非關(guān)鍵業(yè)務(wù)流量、保障關(guān)鍵業(yè)務(wù)帶寬。價值：廣域網(wǎng)應(yīng)用可視化：為廣域網(wǎng)帶寬問題排查和帶寬優(yōu)化提供直觀依據(jù)廣域網(wǎng)關(guān)鍵應(yīng)用帶寬保證：動態(tài)識別

會議等關(guān)鍵業(yè)務(wù)，并提供帶寬保證限制廣域網(wǎng)上的流量：通過限制流量，保護廣域網(wǎng)上有限的帶寬基于應(yīng)用的整網(wǎng)QoS聯(lián)動：動態(tài)識別應(yīng)用，并改寫IP優(yōu)先級標記地市/分支省級/總部ACG內(nèi)網(wǎng)ACG內(nèi)網(wǎng)ACG內(nèi)網(wǎng)ACG

Manager透明部署于各級、總部/分支廣域網(wǎng)出口位置，對廣域網(wǎng)流量進行業(yè)務(wù)識別，對關(guān)鍵業(yè)務(wù)進行帶寬保證，對業(yè)務(wù)進行限制在管理區(qū)部署ACGManager平臺，實現(xiàn)對廣域網(wǎng)全網(wǎng)的可視化流量

園區(qū)網(wǎng)出口流量控制最佳部署方案

背景：大型園區(qū)網(wǎng)，一般均有多個Internet出口、內(nèi)網(wǎng)有Radius等認證系統(tǒng)，龐大的網(wǎng)絡(luò)勢必充斥著異常復(fù)雜的流量，出口流量擁擠現(xiàn)象屢次發(fā)生。優(yōu)勢：易部署：業(yè)務(wù)接口業(yè)內(nèi)最多，利于支持多路出口

，未來易擴容；透明部署、不影響網(wǎng)絡(luò)拓撲基于“人”的流量管理：支持與標準Radius/LDAP等聯(lián)動，避免動態(tài)IP地址難以定位用戶的問題高性能、高可靠性在

下行

透明部署

ACG設(shè)備，實現(xiàn)對網(wǎng)絡(luò)、業(yè)務(wù)、用戶/服務(wù)器的流量控制在管理區(qū)部署ACGManager平臺，實現(xiàn)對應(yīng)用流量的城域網(wǎng)

流量控制最佳部署方案背景：以教育城域網(wǎng)為例，多個高職、中小學等匯聚，采用

互聯(lián)網(wǎng)、Cernet等多個出口，流量異常

高且復(fù)雜CERNET

2INTERNET中心4

中心1匯聚中小學校出口大學……SecPath

ACGSecBlade

ACGSecBlade

ACGSecPath

ACGACG

Manager流量

與審計定位大學CERNET中心3

中心2在管理區(qū)部署ACGManager平臺，實現(xiàn)對應(yīng)用流量的優(yōu)勢：易部署：透明部署、不影響網(wǎng)絡(luò)拓撲；一臺設(shè)備可同時監(jiān)控多個中小單位接入高性價比：ACG插卡方案，

完成“匯聚+流量監(jiān)控”，減少投資；性能可提升，支持10GE易管理：支持對分布式ACG設(shè)備的集中管理，支持管理平臺的分布式部署、分權(quán)分域管理透明部署于學校、單位等的接入位置，利于對流量與審計定位區(qū)縣城域網(wǎng)透明部署于學校、單位等的接入位置，利于對流量管理現(xiàn)狀分析H3C

SecPath

ACG

產(chǎn)品介紹H3C

SecPath

ACG功能介紹H3C

SecPath

ACG典型應(yīng)用H3C

SecPath

ACG最佳實踐方案H3C

SecPath

ACG典型應(yīng)用案例用戶體驗：廣域網(wǎng)流量管理：廣域網(wǎng)內(nèi)應(yīng)用流量可視化，通過對P2P等非關(guān)鍵業(yè)務(wù)的嚴格控制、關(guān)鍵業(yè)務(wù)的帶寬保障、其他業(yè)務(wù)的帶寬合理分配，實現(xiàn)整網(wǎng)流量的可控，減少了

流量，最終提升網(wǎng)絡(luò)辦公的效率分權(quán)分域流量管理：通過對不同地市及省的權(quán)限細分3級（超級、普通、只讀），強化可管理性，避免出現(xiàn)越權(quán)管理，實現(xiàn)整網(wǎng)精細化的管理制度基于“人”的管理：與現(xiàn)網(wǎng)iMC聯(lián)動，

地實現(xiàn)基于用戶名的整網(wǎng)流量及行為審計管理部署方案：在每個地市出口各串接部署一臺ACG2000，省

出口采用75E

ACG插卡省部署SecCenter，對整網(wǎng)（包括ACG）

管理

廣域網(wǎng)應(yīng)用案例—福建郵政

部署方案：在省局和每個地市局的廣域網(wǎng)出口各串接部署一臺千兆ACG設(shè)備省局部署ACG

Manager，對整網(wǎng)ACG設(shè)備進行

管理用戶體驗：廣域網(wǎng)應(yīng)用可視化：ACG圖形化的報表直觀顯示了廣域網(wǎng)上各應(yīng)用、各用戶在特定時間段內(nèi)的帶寬占用情況廣域網(wǎng)關(guān)鍵應(yīng)用帶寬保證：ACG可識別出廣域網(wǎng)上的關(guān)鍵應(yīng)用，如

會議、電力信息業(yè)務(wù)，并給關(guān)鍵應(yīng)用提供帶寬保證限制廣域網(wǎng)上的

流量：廣域網(wǎng)上濫用流量包括互聯(lián)網(wǎng)的