网络拥塞解决方案

年4月19日网络拥塞解决方案文档仅供参考，不当之处，请联系改正。湖南省交警总队网络拥塞解决方案湖南天大天财科技有限公司1月目录1. 前言概述 22. 需求分析 23. 设计思路 34. 解决方案 34.1组网示意 44.2方案说明 44.3方案特点 86. 应用案例 10

湖南省交警总队网络拥塞解决方案前言概述当前，各种网络应用的集中，给原有的网络造成了很大的压力。如文件服务器、文件备份服务器、资源计划系统、客户关系管理系统、网络打印机等等，这些都是网络集中应用的体现。这些网络集中应用的普及，虽然提高了办公效率，可是，这也给我们网络管理员，带来了很大的压力。因为原先的网络设计，可能没有预料到，网络应用发展会这么普及，因此，随着网络集中应用的推广，网络管理员就需要对现有的网络进行较大的升级，以满足不断增长的网络流量的需求。客户端/服务器模式或者浏览器/服务器模式网络应用年的出现，使得管理者能够集中信息，以便于维护与信息的保护。这些模式的应用，使得管理者能够从信息维护中解脱出来，而且不用为每台主机配备足够大的硬盘来存储这些文件。同时，这种管理模式能够实现内部信息的统一，实现各个部门之间的协作，以提高工作效率。这也正是网络集中应用得以普及的一个重要原因。可是这些应用，是在原有的网络上部署的。而原先的网络设计，可能还没有考虑到这么多的网络集中应用。因此，随着网络集中应用的普及，会对原先的网络造成比较大的压力，从而使得网络变得拥塞。需求分析湖南省交警总队当前主要问题是与湖南省高速公路交警管理支队互联的链路经常出现网络拥塞现象，导致该问题的主要原因如下：上班时间浏览无用网站、网络聊天、在线影音的员工日益增加，员工30%-40%的上网活动与工作无关，造成工作效率低下无节制的P2P、视频网站，造成巨大的带宽压力并带来网络拥塞，关键业务经常出现延迟甚至中断网络的开放使得网络面临各种攻击、病毒侵扰…上述现象，已成为湖南省交警支队急需解决的系列难题。即如何保障正常的带宽使用，如何避免网络出现网络拥塞现象。设计思路我司提供的解决方法如下：流量异常主要分为正常流量和异常流量：对于正常的业务流量，我们要经过带宽优化来保障正常应用；对于正常的非业务流量，我们要限制其带宽，避免网络资源的占用；对于异常流量，特别是蠕虫，我们要防止蠕虫传播及扩散对网络造成的拥堵。解决方案迪普科技基于UAG的一体化行为管控解决方案，可为您有效解决上述难题。4.1组网示意如上图，在湖南省交警总队与湖南省高速公路交警管理支队网络出口处部署DPtechUAG网关产品，UAG具有网络行为管控、攻击防范、防病毒、流量分析与控制、终端安全健康检查/加固/准入等功能，其强大的行为管控功能，可规范员工上网行为，保护内部数据安全、防止机密信息泄漏；攻击防护和专用防病毒引擎，可抵御来自外网的各种恶意攻击；独特的终端安全健康检查和网络准入控制技术，保证终端的安全接入，并经过与UAG网关的协作，为用户构建内外网一体化安全防护；基于行为和特征的应用识别和控制技术，可对网络中各种应用进行有效管理，优化带宽使用效率，对应用带宽形成保障，对流量进行合理控制。4.2方案说明对网络拥塞解决的基础是针对湖南省交警总队到湖南省高速公路交警管理支队访问的用户/用户组进行划分，经过DPtechUAG网关制定的策略，根据湖南省交警总队到湖南省高速公路交警管理支队访问的用户/用户组进行带宽分配和应用管理，配合对网络中各种应用层协议流量的识别和控制，并针对蠕虫等异常流量进行控制，解决上述困扰；最后，辅以全网业务流量分析与监控，实时调整优化出口带宽。一、带宽管理应用QoS确保核心业务带宽，对非核心业务进行限制，可优化网络带宽智能模型确保流量的长期准确性，确保网络可视化针对全网带宽进行控制针对特定IP或IP段进行带宽控制二、流量控制对单位核心业务提供保障（预留资源），如ERP业务、FTP业务等应用QoS限制垃圾流量滥用，如迅雷、魔兽世界等P2P控制经过DPtechUAG网关，能够对各种应用流量进行识别及控制三、异常流量控制防止蠕虫等异常流量对带宽的占用。流量分析与监控让网络中各种应用清晰化（有什么应用？），如P2P流量比例、TOPN用户等流量分析何种流量是垃圾流量，应该进行控制？流量监控4.3方案特点■上网行为管控，防止机密信息外泄可对各种内网出入外网的信息与文件进行安全审计，这样可有效解决单位内部泄密的问题。为保证管控效率，管理员可设置敏感关键字进行自动告警与阻断。对于员工在上班时间访问网站、网络聊天、网络游戏、炒股、看电影、P2P、文件上传下载、Email、FTP等行为，UAG将记录和分析，并可针对部门或个人进行策略性控制、屏蔽或免审计。■优化带宽资源，保护关键应用，P2P全面管控P2P应用极大吞噬着单位宝贵的网络资源，P2P的带宽占用问题已经成为IT管理者头痛的普遍问题。当前绝大多数P2P软件都不使用固定端口，因此基于传统的端口识别技术已无法有效识别和控制P2P。UAG采用先进的深度包检测和行为检测技术，可全面封堵如迅雷、BT、eMule、PPLive、QQLive等P2P应用，对于加密和未知版本的P2P软件，则经过网络行为智能学习技术对其封堵。同时，为满足带宽的按需使用，UAG可对指定用户或部门，按时间段进行流量控制。■安全边界保障单位业务的安心运行UAG可防范来自内、外网络的Land、TearDrop、Fraggle、PingofDeath等各种恶意攻击，其内置的卡巴斯基专业防病毒引擎，采用新一代虚拟脱壳和行为判断技术，能准确查杀各种变种病毒、未知病毒，为单位构建绿色的IT环境。■提供多种日志报表，便于全面掌控：系统日志：设备本身软硬件产生的日志操作日志：设备配置人员各各种操作行为产生的日志业务日志：记录配置的相关应用业务而产生的日志统一安全管理中心为了保证部署的硬件设备和安全软件能够统一的为网络安全服务，必须要求对设备进行统一的日志收集和日志分析。这样就要求必须在网络当中部署安全管理中心来完成统一的策略规划和分析。安全管理中心并不是一个威胁抵御的直接发起者，而是一个系统规划的首脑。因此要求安全管理中心能够提供以下功能：旁路部署模式，不影响正常业务和造成瓶颈；具有广泛的日志采集功能，要求能够对部署设备进行日志分析；采用先进的关联算法，能够对日志数据按照不同的关联组合进行分析；对安全威胁的实时监控功能；对网络流量的实时监控功能；可支持多家厂商的设备日志采集；提供拓扑发现功能，并能够准确迅速的根据日志定为网络故障；对网络故障提供多种迅速的告警机制；具有完善的安全审计功能；对历史数据进行压缩并可提供高效的查询机制；根据需要提供多种报表；根据需求可分步实施的灵活部署方式；根据以上需求，这里采用一台安全管理中心作为设备的安全管理中心，对部署设备的日志进行分析，帮助定制安全策略。仅仅需要路由可达即可完成上述功能，部署位置相对灵活，建议能够和网络管理软件服务器部署在一起，以方便硬件的管理。产品规格建议表

设备数量预算产品性能规格表互联网安全审计网关1台45万单台2G以上业务吞吐，需满足客户当前业务需求及后期扩展配置6个千兆业务接口。设备业务处理性能不能低于客户网络业务需求，如2G业务转发性能，满足并具有3K用户数扩展及业务性能升级的能力。设置提供软、硬件Bypass机制，提供双电源支持业务功能冗余等负载技术。提供99.999%的电信级可靠性。产品需具备互联网业务P2P控制、网络安全审计、常见网络攻击防护、网络防病毒、URL过滤等必备功能以满足客户对互联网业务监控、管理、审计的需求。集成专业防病毒引擎和特征库。配备安全管理软件系统，以方便进行日志分析，帮助定制安全策略。其它费用1万配置服务器以用于日志存储和管理。合计46万产品配置清单序号产品名称产品描述数量备注1迪普流量控制设备DPtechUAG3000-GSDPtechUAG3000-GS双电源交流主机，吞吐量≥2Gbps，并发连接数≥100万，千兆电口≥6个、千兆光口≥2个1￥289,000UAG3000-GS,病毒库升级-3年135,0002迪普安全管理系统DPtechUMC统一管理中心管理软件1￥48,000DPtechUMCUAGManager授权函1￥85,0003服务器推荐配置CPU：IntelXeon处理器(双核或4核)，2GHz以上，推荐采用双CPU内