ALLOT公司带宽管理产品简介

1、Allot 公司带宽管理产品简介基于策略1 公司简介Allot 公司成立于 1997 年，公司的“ Policy-Based Networking的网络技术 ”概念为企业与 IP 服务提供商提供了一套如何改善网络性能的整体解决 方案。该解决方案可以控制并减缓那些非商业性的应用， 同时对某些关键的、 紧迫的、 时间敏感的应用加以保证。Allot 所提出的流量管理解决方案是一台硬件与软件的结合设备，它可以配置 在任何网络环境当中。NetEnforcer?产品系列是基于LAN的设备，为QoS/SLA的执 行提供完善的流量控制技术，时实 IP 监视与控制、流量的长期统计与分析、 IP 流 量统计报告；

2、NetReality?产品系列是基于 WAN的流量控制设备，为 QoS/SLA的执行提供决策支持，实时 IP 监控与 IP 流量统计报告。2 带宽管理产品简介Allot 提供了基于策略的网络解决方案。该解决方案由管理应用程序和管理设 备构成。借助该方案，网络管理者可以定义自身应用需求和网络基础设备之间的关Allot 将策略管理和实施系，从而实现对网络和服务器资源的充分利用。 Allot 提供了对用户、应用和网络 状态的感知功能，借此可以优化端到端的网络服务质量。结合在一起，提供了监视、流量分析、流量管理、流量统计功能。在现有的网络基 础设施中可以非常容易地实施此方案。在企业网络中， Allot

3、 公司的 NetEnforcer? 使你可以控制昂贵的网络资源，因 此重要业务就将把你的企业带向成功的可能。这样就可以限制那些非重要应用占用 有限的互联网带宽，或者使 VNP业务比不太重要FTP业务、P2P应用具有更高的优先级。在服务提供商网络中， NetEnforcer? 使你通过向顾客保证服务等级来进行有效 管理，并使 ROI （投资收益汇报）在网络结构上最大化。通过加强服务等级协议Service Level Agreement ），你可以向顾客提供更有益的高级服务以及对更广大 的客户进行更有效的服务质量。3 带宽管理产品功能介绍3.1 功能介绍Allot 通讯公司的 NetEnforce

4、r 系列产品给用户提供了一套：完整的、优秀的、 管理多用户、增强服务等级协议 （Service Level Agreement ， SLA） 的工具。使用 者能够迅速识别网络用 户的 使用 状况， 从而对其提供更加 多样化的 服务。NetEnforcer 是一个为快速增加新用户、创建并加强多层服务、同时收集将使用情 况费用信息输出到一个外部数据库的理想平台。使用 NetEnforcer 的 NetWizard 软件的设置功能，可以自动的获得网络上通信 所使用的协议。使用这些信息，你可以决定哪些协议将会影响到你的网络性能，并 予以管理。NetEnforcer 通过特定让 NetEnforcer

5、检查所有从广域网流入 / 流出的数据， 并把它和你设置的情况相 比较。一旦某一个特定的网络会话进程和一个规则相吻合，的规则传输数据包。使用 NetEnforcer 的通信监测，可持续地检测网络资源并增强 网络策略。观察通信量的变化并改善策略来保持网络最大的可控性和业务性能。3.2 功能点实现基本原理NetEnforcer 使用的排队方法独特， 称之为基于流的队列法 （PFQ） 。利用 PFQ，每个流获得其自身的队列，并且 NetEnforcer 单独对其进行处理。这样就使得NetEnforcer 可以提供非常准确的流量调整。 PFQ 法是执行 QoS 的一种直接方法。不像间接方法是通过改变数据

6、包 / 流中的不同参数（例如“改变 TCP 窗口大小”）来 设法管理可用的带宽， PFQ 法利用 TCP 固有的流量控制程序来实现带宽使用最大化 及使用效率最高。PFQ 法利用了 TCP 的两个重要的内部机制，即“缓慢起动”与“拥塞回避” 这些机制可以渐进增加数据流动的速度，直到它们确认两个端点之间的连接已经饱，既可和。PFQ法利用这些机制，通过动态地为每个流分配适当的传输速度（带宽） 以满足策略的需求又可以避免冲突。而后传输 TCP 将会与 NetEnforcer 提供的速 度同步。因此， NetEnforcer “强迫”每个流满足用户所定义的策略的速度来传输数据包， 该策略包括最小、最大带

7、宽以及优先级定义。工作原理Allot 的基于流的队列方法通过 NetEnforcer 中的 QoS 实施模块来实现。每 个到达 NetEnforcer/ QoS 实施模块的数据包都通过流标识符与适当的流进行匹 配，并插入到该适当流的队列中。如果该数据包与现有的流都不匹配，则新流生成器将检查该流的状况 / 特征，并将其与适当的策略（虚拟信道）进行匹配。之后将为 系统添加一个新的流队列。在该数据包到达 QoS 实施模块后， 它将会检查承诺的带宽是否耗尽以及是否达 到了最大界限。如果承诺的带宽没有耗尽，则将立即（没有延迟）传输数据包。如 果已经达到了该流的最大界限，则数据包将被放入到缓存中。否则，该

8、数据包将被 放入到其流队列中，并根据该流的优先级和可用带宽来传输它。队列的生成和增加是动态进行的。每个流生成一个队列，一旦流结束队列也将 关闭。这样系统资源可以得到优化利用。NetEnforcer 没有为每个队列分配预先定义好大小的缓存；它管理着一个很大 的缓存区，并动态地随时给每个队列分配所需要的最合适的缓存量。因此，即使是 某个峰值流或突发流很大的临时队列也可以得到缓存。QoS 实施模块利用了一个非常精确的调度程序。该调度程序决定某一特定时刻 哪个流可能发送数据包。发送完数据包后，系统将根据定义的策略和每个流已发送 的数据包的数量来决定哪个流将发送下一个数据包。3.3 功能点的用户呈现方式

9、3.3.1 功能的用户配置方式支持GUI （图形界面）、CLI （命令行方式）。策略编辑332功能结果的用户呈现方式不同应用实时展现流量告警图例最活跃的内部/外部主机地址不同协议或应用的分布状况长期流量统计与分析Allot的NetEnforcer支持实时监控和长期监控监控内容包括带宽、流量、协议和应用、连接数、数据包大小及利用率等,监控对象可以是系统、Pipe、VC或主机,监控方向可以是出站、入站或双向，均能够按照图表和数据两种方式显示,应用及IP地址排名支持前25位。Allot的协议库目前包含 8000多种协议,支持自动识别所列的所有协议,并可在线升级，无需重起。随着网络的发展，不同网络应用

10、的增加，Allot可以对设备软件的 Service进行更新以便识别新的网络应用。4 带宽管理产品部署方式设备在网络中的摆放位置如果需要做长期的流量数据收集与统计，还需要添加1台服务器5 带宽管理产品客户化工作用户在安装时需要提供:该设备在网络拓扑中的位置;连接该设备的网络接口（光纤、铜），接口速率、实际数据吞吐量 主要的网络应用;是否存在“非对称路由的可能”6针对各个功能点的性能Allot的NetEnforcer AC1000支持从2到7层的多种协议和应用类型:支持 IP、ARP AppI etalk、DECNET Ba nyan Vines、DEC Ether net、DEC LATIP v

11、6、IPX、MS-IPX、NetBEUI > SNA等 网络层协议。支持 TCP UDR EGP GGP GRE ICMP IGMR l-NLSP、OSPFIGP RSVP SIPP-AH、SIP-ESP、SWIPE等传输层协议。支持根据端口定义TCP/UDP协议。支持各种主流 P2P 应用，包括 KaZaA eDon key、Gn utella、BitTorre nt 、WinMxDirect Co nn ect 等等，即使这些应用是基于动态端口的。支持对对HTTP进行基于主机、url、方法（get/post等）和内容（Mime类型）的详细分类。支持根据VLAN ID进行分类组合，给予

12、不同的优先级。支持根据主机列表进行分类控制。Allot的NetEnforcer AC1000 支持Pipe和VC两个等级的策略分类，支持10K个Pipe和80K个VC支持分别对出站流量和进站流量或双向进行控制。可以针对每个Pipe或VC制定最大带宽限制和最小带宽保障，针对Pipe还可以进行带宽预留设定。时间是Allot策略设定中的一个选项，可以支持根据不同的时间段制定不同的策略。支持10个级别的优先权设定。Allot支持突发和持续速率两种带宽控制方式，可针对视频、语音类流量设置保证其带宽连续性的策略，将延迟、抖动等减小到最低。防御DoS/DdoS的建议原则总体原则：防御不同方式的DoS/Ddo

13、S攻击，要把访问控制、内容检查和带宽管 理等相关技术结合起来运用。对于用户或者某些应用来说，关键是不要使其对系统 整个资源的占用，达到或者超过系统所能承受的能力。否则，就不容易把正常的数 据流量与DoS/DdoS区分幵来。总体而言，注意利用带宽分配技术和限制 IP会话连接的数量等手段，保护系统总体的资源不致被某些资源耗占。原则1：可以限制连接数（比如：连接总数）原则2:可以限制连接速度（CER指数）原则3：当某个 IP 地址的 Connection 数超过应有的限制时，考虑丢掉它原则4:可以直接屏蔽攻击者的IP/MAC地址、或者来自的域原则5:从外部进入内部的流量但地址又来自于内部的，（IP

14、欺骗）的可能较大，可以屏蔽他们原则6:利用 L7 的内容检查，限制相应的应用对资源的消耗原则7:对Telnet和FTP的服务，要严格控制原则8:对P2P的控制要非常注意，它们不仅耗占资源，也是常常传播Worm勺地方原则9:对某些节点（如 PC Web服务器）采取限定流量，可以减轻可能因为攻击对网络的负荷。为监视可能的攻击，使用如下原则:原则1:监视网路的、特定节点的连接数原则2:监视网络的、特定节点的 CEF指旨数。这非常重要原则3:监视最活跃的 IP 节点（ Client ）原则4:监视可能的服务器（ Server ） , 注意观察平时是 Client 而突然变成了服务器原则 5：监视平时最

15、活跃的应用和协议 7 产品与网管系统的结合的结合方式Allot 支持与 HP OpenView Network Node Manager 的集成。 Allot 的 NetEn forcer 包含了一个 SNMP勺 age nt，支持 RFC1213/MIB II 和 Allot 的私有 MIB。允许通过基于SNMP勺网管软件获取信息，生成基于 MRTG勺日报、周报、月报和年报，需要强调的是 Net Enforcer支持Pipe和VC级别的MRTGS控。Allot 与 HP OpenView Network Node Manager 的集成Allot 支持与 HP OpenView Networ

16、k Node Manager 的集成。 Allot 的 NetEn forcer 包含了一个 SNMP勺 age nt，支持 RFC1213/MIB II 和 Allot 的私有 MIB。允许通过基于SNMP勺网管软件获取信息，生成基于 MRTG勺日报、周报、月报和年报，需要强调的是 Net Enforcer 支持Pipe和VC级别的MRTGS控。安装步骤：1、下载 NetEnforcer MIB 文件The MIB 文件可以从 NetEnforcer GUI 下载。 下载完毕后解压缩到本地硬盘 上。E r E 、急 龍 寸 F; USH2n«94 TAhdrn - 8»H If2,範巅 NefEnforcer M-BS H韦。二)血> NefEnforcer M-BS H韦MiF mdiL 吨®£ ©rfcmans 门Bnfgus昔-Fsuk 1S- - Qpkiox 壬ndo乏 HipRefill prflgu必乌 5再 CSFIgurdbol Evert AnhQU忑口