Netoray-TOG流量管理系统企业解决方案

NetorayTOG流量管理系统企业解决方案.莱克斯科技（北京）有限公司目录1 概述 42 系统的需求背景 42.1 四大资源问题 52.2 传统流量管理方案缺陷 53 整体方案设计 63.1 方案目标 63.1.1 监控带宽资源，掌控应用业务 63.1.2 提升带宽利用价值，提高工作效率 73.1.3 保障关键应用，提升客户满意度 73.1.4 降低网络风险，保障网络安全 73.2 部署方式 73.2.1 串联部署模式 83.2.2 旁路部署模式 83.3 方案描述 93.3.1 流量识别 93.3.2 流量统计 10向导式查询设计 10细粒度流量监控 11多层面时间查询 11多样化流量分析 113.3.3 对象管理 14基于用户的带宽管理 14基于服务的带宽管理 153.3.4 流量分配 15流量限制 15流量保障 16管控手段 163.3.5 统计报表 173.4 方案特点 193.4.1 提升网络可管理性 193.4.2 降低带宽管理难度 193.4.3 带宽价值最大化 193.4.4 全景展现网络，增强网络管理主动性 203.5 产品优势 204 服务支持 204.1 售前技术支持服务 204.2 售前客户度身订制服务 204.3 售后培训服务 214.4 免费培训 214.5 售后技术支持和到场服务 215 公司简介 22概述莱克斯流量管理系统（NetorayTOG）是由莱克斯科技（北京）科技有限公司推出的专业流量管理系统，系统以USAP平台为基础，基于应用层，结合DPI（数据包深度内容检测）、DFI（动态流状态检测）及智能识别等网络应用及数据识别技术，通过高性能的硬件平台为客户提供业界性能卓越的流量管理方案。NetorayTOG通过流量识别、流量监控、对象管理、流量分配，统计报表，为用户实现对网络流量的全面透析与管控，打造一个高效、智能的网络。系统的需求背景随着信息技术和互联网的深入发展，互联网日益成为人们工作、学习和生活的一部分。信息化已经深入到各行各业的核心业务中，信息作为继材料、能源之后的又一重要战略资源，它的有效开发和充分利用，已经成为社会和经济发展的重要推动力和取得经济发展的重要生产要素。因此，目前不论政府、学校、企事业单位或是个人对于互联网的依赖性也日益突出，一旦Internet出现任何的故障和事故，都将严重影响组织的商业活动。回顾近十多年IT技术与应用的发展，基于互联网的应用从文件共享、文件传输（FTP）、静态网页浏览（HTML）以及Telnet等内容单一、静态的、简单、小规模的应用，逐步发展包括E-Mail、ERP、OA、CRM、视频会议、VoIP、即时通讯、网络游戏、电子商务、电子政务等等动态的、大规模的、复杂的应用模式，网络中承载的内容变得日益复杂、多样化和更加丰富。但是我们知道现有的网络带宽资源毕竟是有限的，大量应用对带宽的无秩序、无节制的抢占，给所有网络管理者带来了无法回避的巨大挑战。这种挑战对企业来说已愈发严峻。四大资源问题网络带宽资源所遇到的问题，主要体现在以下几个方面：其一，从管理方面来看，网络资源的应用业务不透明，IT管理员无法知道组织的网络的运行状况、带宽的使用情况以及网络中到底运行着什么应用。一份来自于IDC的权威数据显示：80%以上的IT管理人员无法准确了解自己的网络里存在哪些应用；哪些是关键应用；哪些是普通应用；以及各种应用的运行状态；带宽资源的占用情况和网络使用的性能。可以说绝大多数用户的网络完全处于失控状态。其二，从带宽资源占用比例来看，Web浏览、私人E-mail收发、P2P下载、即时通信及在线购物等与工作无关的网络应用正愈演愈烈，致使网速变慢。著名研究机构YankeeGroup早前发布的研究报告称：P2P下载业务占用了60%的网络资源；BT作为P2P应用的典型代表，其消耗的网络资源高达40%；下载流量居前5%的用户，占所有下载流量的50%。

，由此可以看出，在缺乏控制和有效管理的组织中，宝贵的带宽资源被恶意的、非关键应用所占用，而大部分用户的合法应用则使用一小部分的带宽资源。其三，从带宽资源保障来看。与用户生产经营、信息安全、关键用户息息相关的各类网络应用，如ERP、数据库、中间件、电子商务、视频会议等，它们所需资源与日俱增，然而却要和P2P、网络游戏等无关应用同等条件抢夺资源，大大浪费了有限的资源，影响了正常的使用。其四，从网络安全方面来看，各类网络病毒，网络攻击的存在，有可能导出突发的异常流量，严重阻塞网络骨干和Internet出口的通道。面对这种情况，传统的解决方案无能为力。传统流量管理方案缺陷传统的流量管理方案，或多或少存在一些缺陷，主要表现在以下两个方面。其一是进行系统扩容，增加网络带宽，这是一种比较消极的、被动的解决方法。一方面扩大带宽所带来的成本增加又是组织所必须要面对和解决的问题。此外，带宽改善和增加总是有限的，不可能无限制地增加下去，而增加的带宽是否能够得到有效的管理和使用，在这种情况下又如何才能保证IT投资的ROI（投资回报率），都是难以解决的问题。其二是通过路由交换设备。修改路由转发表，实现一定程度的流量控制，但这种传统的IP包流量识别和QoS控制技术，仅对IP包头中的“五元组”信息进行分析，来确定当前流量的基本信息。传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障，但其仅仅分析IP包的四层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型。随着网上应用类型的不断丰富，仅通过第四层端口信息已经不能真正判断流量中的应用类型，更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。例如，现在流行的P2P类应用会使用跳动端口技术及加密方式进行传输，基于交换路由设备进行流量控制的方法对此完全失效。整体方案设计莱克斯科技(北京）有限公司LYXSolutionsInc.创建于2005年。作为专业的内容和应用安全设备提供商，LYX积累了多年内容和应用安全产品研发和市场运做经验。LYX凭借其细致的服务精神和国际一流的技术，本着“化繁为简”的原则打造适合中国本土化需求的高性能产品；并为高速发展的网络市场，提供高性价比的新一代网络安全整体解决方案。NetorayTOG系列流量管理系统是莱克斯公司推出的，专业的、基于应用和内容的流量管理产品，既适用于大中型企业、校园网、城域网等流量大、应用复杂的网络环境，也适用于需优化互联网接入、保证关键业务应用、控制网络接入成本的中小型企业的网络环境。方案目标作为业界领先的应用优化与流量管控解决方案，NetorayTOG能在以下几个方面帮助用户：监控带宽资源，掌控应用业务NetorayTOG流量管理系统采用DPI和DFI相结合的方式，深度检测各类网络应用所占带宽资源，帮助网络管理员清楚把握网络内部各类应用所占带宽比例，其正确率高达95%以上。目前，TOG支持数百种协议和应用的自动识别，涵盖了web应用，文件传输，IM聊天，P2P下载，网络游戏，证券投资都各行各业各种应用，，基本覆盖了目前主流的网络协议和应用类型，可为用户提供全面的、有效的协议支持。同时，系统还提供用户自定协议或应用，用户可以基于UDP/TCP端口进行特殊应用流量的分析与控制。提升带宽利用价值，提高工作效率针对当前Web浏览、私人E-mail收发、P2P下载、网络电视、即时通讯及网络游戏等与工作不太相关和无关的应用、TOG提供了基于流量，基于连接数，基于源IP、目的IP等多种方式进行控制非关键应用，封堵无关应用，极大地提升现有带宽的利用价值，避免了因额外租用出口带宽资源而增加网络运营成本，大大提高了用户的工作效率。保障关键应用，提升客户满意度在这个互联网应用繁荣的时代，各种关键应用（如ERP、CRM、OA系统、视频会议系统等）越来越受到其它网络应用的冲击，导致这些关键业务的应用得不到保障。TOG流量管理系统针对这些问题，结合带宽通道的功能、基于应用和内容，为每种协议或用户配置最大的带宽限制、保证带宽；同时基于优先级的不同，高优先级的应用和用户可以租借低优先级用户的带宽，最大程度地保证高优先级应用或用户的带宽使用。降低网络风险，保障网络安全对于网络中的异常流量，容易导致网络瘫痪的危险，TOG第一时间捕获异常信息，帮助网络管理员分析异常信息来源，处理异常现象。大大降低了网络安全风险。同时通过对网络异常流量和网络攻击进行预先防护，大大提高了网络的可靠性和稳定性。同时，多种多样的报表帮助管理人员查缺补漏，进一步降低了网络风险的发生概率，保障网络的安全。部署方式NetorayTOG流量管理系统可以采用多种方式灵活部署，通过分析处理流入和流出的数据包，有效地实现对网络数据的监控。串联部署模式将TOG直接串接在用户网络链路中实现的。可以实现对所有数据的审计、控制和拦截功能，适用于对网络拓扑的更改不敏感的用户使用。串联部署模式示意图旁路部署模式旁路部署模式，是采用与交换机的镜像端口相连，通过抓包的方式，实现对网络数据的审计。它的优点是可靠性高，安全性好，不增加网络延迟，设备故障时不影响整个网络运行。旁路部署模式示意图在支持单点部署的同时，NetorayTOG系统还支持分布式部署、集中管理的模式，大大方便了存在多个分支机构的集群用户的管理。方案描述NetorayTOG流量管理系统是一系列基于应用和内容的、专业的网络安全产品，其功能具体如下：流量识别NetorayTOG流量管理系统基于DPI和DFI相结合的协议与应用分析技术，识别率高达95%以上，支持16大类，326种网络主流应用。同时，系统还提供用户自定协议或应用，用户可以基于UDP/TCP端口进行特殊应用流量的分析与控制。如下图所示：莱克斯科技（北京）有限公司通过位于北京的研发中心，对新的网络协议、应用类型及时提供最新的特征码库。同时也可以为客户提供量身定做的自定义特征码，能够为不同的应用环境定制相应的特征码库，使每个客户都拥有一个高效，便捷的网络环境。流量统计统计功能是带宽管理设备必不可少的基本功能之一。网络管理员在制定带宽管理策略之前，需要首先了解当前网络的运行情况，如果网络存在瓶颈，应能够及时、直观地察看到是什么用户的何种应用在哪个时间占用了大量的资源，从而及时定位问题、解决问题。向导式查询设计 NetorayTOG巧妙地融合了用户、应用、时间三维统计因素，通过简洁、易用的人机界面，向用户提供丰富多样的统计报表。向导式的设计，极大地简化了用户界面，提高了易操作性，使得网络管理员在任何时刻，均能看到其期望的报表。细粒度流量监控 NetorayTOG支持针对多种对象的流量统计和查询。对于网络流量的各个主体，比如系统、用户、部门、用户群组、IP、IP群组、应用、应用群组等，均能准确、有效地纪录其流量和连接信息，并优化存储。多层面时间查询 NetorayTOG支持多层面的时间查询。用户可以根据实时统计察看当前网络带宽使用情况，也可以查询短期统计信息，了解系统带宽在最近一段时间的运行情况，同时也可以任意指定一段时间，查询其间的相关统计信息。多样化流量分析 NetorayTOG支持多样化的分析技术，对于查询结果，可以进行排序、细化、透视、跟踪。排序 统计的结果可能是杂乱无章的，为了提取到用户关心的信息，往往需要针对统计结果进行排序。NetorayTOG针对查询结果，提供了强大的排序支持，用户可以对任何查询结果中的任意字段，进行升序和降序排列，如下图：图二、统计结果排序细化针对部分统计结果，可能需要进行更为详细的统计分析。NetorayTOG支持针对部分统计对象的细化分析，如下图：图三、统计结果细化透视NetorayTOG支持针对统计结果的透视分析。对于部分统计结果，需要分析其构成比例或者分布情况，NetorayTOG提供了完善的支持，如下图：图四、统计结果透视(饼图)图五、统计结果透视(折线图)跟踪NetorayTOG支持针对特定统计对象的流量及连接数变化跟踪，以观察和预测在一定时间内的带宽变化信息，如下图：图六、统计结果跟踪对象管理TOG的各种策略均是通过对象完成的，而对象又可分为两类，一类是用户对象管理，一类是策略对象管理。用户对象是指用户对象、用户组对象、应用对象、外网对象等策略启用的条件。而策略对象是指带宽限制对象、连接数限制对象，时间限制对象等策略启用的手段。由此可见，对象是策略的重要组成部分，策略可以看成是基于对象（组）的规则集，合理地构建和管理对象，是建立有效的访问控制策略的前提。基于用户的带宽管理 NetorayTOG支持基于用户的带宽管理。“用户”标识了网络流量的来源属性，NetorayTOG支持丰富的用户概念，它可以是用户名称、部门名称、用户群组，也可以是MAC地址、IP地址、IP地址段或者IP群组等。通过该属性，网络管理员可以方便的针对网络流量的来源制定针对性的带宽管理策略。TOG用户对象管理既可以针对不同的用户组设置带宽，亦可针对单独的用户进行带宽设置；用户既可以通过认证用户的账号进行设置，也可以直接通过IP用户进行设置。从而实现不同属性的互联网使用者按需使用网络资源，保障网络资源得到合理的使用时间对象TOG能够以时间段的形式设置详细的时间策略，该策略可被后面的带宽策略调用，从而实现分时段管理流量。基于服务的带宽管理NetorayTOG支持基于服务的带宽管理。“服务”标识了网络流量的类别属性，网络管理员能够根据流量所属的应用层协议或者服务，制定针对性的带宽管理策略。通过深度包检测、主机行为特征分析及主动预测技术，NetorayTOG能够支持文件传输、终端协议、数据库、电子邮件、P2P应用、网络电视、即时消息、音视频、流媒体、网络游戏、股票软件及其它常见协议等10多类200余种内置服务，同时支持用户自定义服务扩展。对于当前较为流行的P2P下载(BT、迅雷、电驴等)、网络电视等带宽吞噬型应用具有非常好的识别和限制效果。TOG所特有的通道理念，使用户可以按照自身需要划分多个通道，通道间既独立把握带宽，又支持通道带宽出租等功能，进一步方便用户配置。带宽限制对象TOG对带宽的限制包括最大带宽限制和最小带宽保障，将限制和保障有机的结合在一起，通过对流速的限制管理用户带宽。连接数限制对象除了流量速度，P2P等应用的出现，使得连接数也成为了网络带宽资源衡量的一大标准，TOG既可以通过连接数数目，也可以通过最大连接速率进行限制。外网对象如果说普通的产品都是基于内网上网管理的话，TOG所推出的基于目的地址，基于外网对象的管理则将带宽管理理念继续向前推进。TOG能够通过IP、IP段、IP掩码的形式划分外网IP，从外至内限制网络流量。流量分配TOG的流量分配功能是通过策略设置的方式实现的，通过对用户对象、策略对象、所属通道的限制，通过下发/平均的手段，同时伴以独有的租借功能，达到流量限制和流量保障的目的。流量限制通常来说，不同类型部门和用户的业务流量存在很大的差异，流量限制功能可以根据实际需要，对不同部门和用户所需的带宽资源进行合理规划和限制，避免不同用户和部门之间对带宽资源的争用。而具体来说，在对带宽的限制方面，TOG又分为对用户的流量限制，对应用的流量限制，和对通道的总体限制。用户/用户组的流量限制该功能强调用户的概念，通过为用户/用户组在一定时间段内设定流量限制策略，即通过一条策略就能对所有用户中的每个用户设置策略，从而有效限制P2P、流媒体等大量消耗网络带宽的非关键业务应用。同时我们所特有的下发和平均功能还可以帮助管理员灵活的管理用户的流量额度，即可以使用户共用带宽资源，又可以一条策略就为每个用户分配各自的带宽资源。应用/应用组的流量限制该功能则强调应用的概念，对于与工作无关或者是不是工作主要需要的上网行为，我们可以对其进行封堵和流量控制，莱克斯强大的应用识别能力保证了准确的控制功能，可以针对每一个详细的应用进行控制通道整体的流量限制基于通道整体的流量限制功能则强调通道整体的概念，即从带宽通道整体的角度对数据流进行管理，通过为通道里的某种网络应用设定流量限额阀值，在预定的周期性时间段内，限制该通道里所有用户的流量控制，实现对非关键业务，特别是不良应用在使用上的有效约束。流量保障对于用户关键业务所需流量，TOG也提供了强有力的手段进行保障，将通道、应用、用户三者有机的结合在一起，保障用户的关键业务不受其他应用侵占带宽资源。我们知道，在各个单位，其中一些网络应用（视频会议、OA系统）或网络用户（高层领导）的重要性和优先级永远最高。为了保证这些应用和用户在任何时间都能获得良好的使用效果，必须为其预留专门带宽资源，防止来自别的应用和用户的网络干扰。TOG所独有的策略租借和通道出租功能则要求在尽可能的情况下，带宽资源提供给用户关键应用所需，从而保证所有的资源不浪费在无用的应用上。管控手段众所周知，P2P应用就是通过建立大量连接实现高速下载，虽然每个连接的传输流量不大，但大量连接同时新建并存在，就会极大地消耗有限的网络带宽资源，给企事业网络构成巨大的压力。因此在具体的分配手段上，TOG既可以通过流量速度进行分配，也可以通过对连接数进行限制。TOG的连接控制功能包括控制并发连接数和每秒新建连接数，可以有效地限制每用户和通道整体的并发连接数和每秒新建连接数来限制诸如P2P连接和预防病毒的爆发。统计报表TOG根据用户在网络管理中的实际需求，对统计模板进行了细致的优化，删除了其中繁琐复杂的部分，配合直观的饼状图、走势图等图表（如下图示例），为用户清晰呈现网络运行过程中的要点信息，为用户网络的优化提供了强大的分析工具。帮助管理者分析网络，为下一步制定网络流量优化策略提供直观的决策依据。统计报表包括：IP档案网路统计流量时间走势应用时间走势应用直方图当前连接信息丰富多彩的报表信息帮助用户直观感受网络带宽使用情况。同时支持报表订制功能。方案特点提升网络可管理性采用IP/MAC绑定以及多种认证手段，提升对用户的可管理性准确的应用识别能力，提升对网络应用的可管理性高精度的带宽管理、提升对网络带宽的可管理性。降低带宽管理难度化繁为简的多样管理手段，降低网络管理难度智能的网络应用识别能力，降低应用的管理难度多维度多角度的管理策略，降低带宽分配难度带宽价值最大化关键业务带宽保障，确保带宽应用价值非业务带宽限制，减少带宽价值浪费业务应用带宽合理分配调度，最大化带宽应用价值全景展现网络，增强网络管理主动性向导式查询统计，提供用户、应用以及时间多维度的统计信息细粒度流量监控，准确监控到每个用户和每种应用的流量多样化流量分析，排序、细化、透视、跟踪每个流量监控标本多种类型流量报表、全景展现网络状况、随心所欲管理网络产品优势专业的USAP平台，具有高稳定性高处理能力高可靠性设计，采用软硬件BYPASS、具备双机热备功能采用DPI/DFI双引擎数据分析，应用及协议精准分析支持在线更新应用协议库、URL分类库多维度多角度流量管理系统，多种手段流量管理支持IP/MAC绑定，支持web认证、windows域认证、LDAP认证、radius认证等多种认证手段进行用户管理用户界面友好，操作简单服务支持售前技术支持服务莱克斯公司拥有多名资深系统分析员和高级技术顾问，以客户为中心，提供优质、及时、标准的支持服务。我们将集中公司的技术资源，采取一套完整的系统和网络管理工具，全力解决用户遇到的问题和故障。同时以预防为主，负责制定相应的预防保养计划和措施，积极协助用户预防信息系统运行中的隐患，提升系统性能，减少系统停机时间，保障系统正常运行，提高投资回报率。售前客户度身订制服务我们可以根据客户的实际情况，进行功能的定制，使得我们的网关和我们的服务更适合客户的需求。售后培训服务我们将负责我们产品的安装，调试和使用的所有培训。免费培训免费为用户培训各个单位网络的维护人员，目的是为了使客户在工程完工后，能简单、轻松的对本网络作必