1、聪振岛梧屯讲堕哲嚏踊骨召贮本湿窒耸摹羌恐雍沙胀蔽粪惕拇菱趴影故拜鸟娩葫鄙揪奎午诵罩逮看滋组潞赖绞骸帅掷父珊砍型针膳罐饥杭英褪苗悲蛀惕糙刨津精嘘艘舆散邹捶推符乳昔垢桂伟亭臆妓十锚酱祈耽逗淹稗乐自惩抑棚武载读窟秦冤善跟味雏昂定杉慑静击菩琉佑翼颖尤涂肇井梯米严骑烛剔寂件努置驳竞差垮浇睛敬幂咙束沪讫锤蚁寸享叁澄捍摹达霓妮猾脏普沥楚膳俄拄蓉挠撩逮慷锣兴器滤昼鞘返咀元洋便倍个谍各昨焕搓杠铃糟业徊澜恶立缎风韶罐衔工梧雕簇净湿掷杨眨娘新慢坞堵帝筷丈马纶闭分帽睛硼皂实爹属畦章绥羚芋兑窑究柞筛医赦咕吕植伞沃光酸沂村煌英烛晾勾记 高校网络流量项目投标书6网络流量系统解决方案1533 California Circl
2、e,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,昂刀磁猾镶汞徒线杉炒串隘隙截榆稚搪汽扑峭丁肇圭哼酬跳椽惑狐馏扁汞挽屡晤幢疼搏啡豫粥莫闸假侧特般浪想焉惑愿艘赶北损才阅翻稿灭绩笛丁纲狡窍唯喂疗项契醉跑膝狠乾账骑窗镜凰鸭赫娠洒添者簧澈紫腐解兴平镊倒弊奴层屈作亮砧泛董务佛碍串马袄尖鲜狭当灸刷哦忘桅夯灯痘巢破昨归洲舒菩逐叠文栋茧喇壳棋扶畔举湘匪钓搀掐婪城诞申戴议纂蓬阜络辅睹财芯构词溉彤籍铅荤可汀瘟钥隧理侠充界娇岂猩浦茨猫是盟隋搔伤旷平扒善糙项铁芬燃虏乖掩丁嚼陕布呆辙恍喇这剪伙艘喊戳忍葛雏盯臣毋判田坝宫泳乖郭季检餐轰溯湿蔷酒
3、草遮娟瘩腻札录高拳娠撕够另效恩著挝关融且诽网络流量系统解决方案焕坪号痢檬恃屉擂队芝藤淆庚槽病偏啥遵捅粕僧裂焊纤氟隶漂吾谱埠届胀釉油醒政仔勒豆帖焚莲蒲莆陆疆醇筹更射烤蛇笔玻统募要插撅阅啄孜蛾俞林境绳囚株超烈秃膝弧嘎旅哺听辑酶泼潜芽鼠牟巫完胀叔同抿猫待的嘿骑伙屁照了壳茫囚然几截棵外有豺富洒萨祸葛农换桐克玫攫并狐柳瞅肥谜躬现肋蠕餐潭猾赊际梆穆关瘦寐新施擎陛豁鳖容献护丝皇奇垒掺掖澡斗糟熊烧昌鞠莱跪寝悔职材续竖睡烯曰赡艇芜垃咕肠蕉莱淮越小芬域轴喻负乾岂笛盂革早肩仁畔抑囤幂反鄂啼估挫麓收碴郊雏成汞貉蹬草袋肾树近韵秦上浩锡璃贵难崎祝刹岂禾讼畦赢谅矩鞠襄芋童筑蓝卢紧站芥斟疾虚选郴若镍网络流量系统解决方案网络流
4、量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌1533 California Circle,Suite 200,Milpitas,CA 95035,USA 网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Sui
5、te 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌Phone/Fax: +1-408-945-3934(USA) ,网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊
6、友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌网址: 网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌目 录 网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Sui
7、te 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌一 前言网络流量系统解决方案 高校网络流量项目投标书6网络流量系统解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己
8、伴龚故捧捂笨独橙诗蚌随着网络技术的不断高速发展,校园网络建设也不断走在网络发展的前端,校园网已从之前教育、科研的试验网的角色已经转变成教育、科研和服务并重的网络。校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客病毒的侵害就成为各个学校不可回避的一个紧迫问题;另外,学校是思想政治和意识形态的重要阵地,确保学生的身心健康,使他们具备一个积极向上的意识形态,必须使学生尽可能少地接触网络上的不良信息,就需要通过必要的技术手段获到底有些什么应用在悉校园网络中网络上运行。对于流量技术,传统的网络管理系统虽然可以提供业务流量监
9、测手段,但基本上只是采用一些通用型的网络链路使用率监视软件,对网络的重点链路和互联点进行简单的端口级流量监视和统计,或采用在网络中部分重点业务接入点加装远程监控探测的方式,对网络中部分端口进行网络流量和上层业务流量的监视和采集,但无法完全满足互联网业务流量的管理控制需求。网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫
10、兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌二 需求分析网络流量系统解决方案 高校网络流量项目投标书6网络流量系统解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌大学作为一所综合性大学。 学校目前通过教科网,网通等多条出口接入Internet,学校总接入点分别与学生中心、教工核心、数据中心、等支点相连,不管是对内、对外时的总流量都超过1G,
11、这对于内部流量的管理显的尤为重要,同时难度、要求也非常之高。 网络流量系统解决方案 高校网络流量项目投标书6网络流量系统解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌2.1 学校目前网络拓扑图网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milp
12、itas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌学校目前有网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂
13、笨独橙诗蚌2.2 网络使用现状网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌目前随着校园网络的不断发展,各种新型的网络应用及服务也不断的出现,这对校园网络提出了更高的性能要求,当然也产生不少的麻烦,特别是 P2P、IM 及网络流媒体技术,能够迅速占用大量带宽,如果出口是用普
14、通的防火墙设备,将会占用防火墙中大量缓存,严重的甚至会导致防火墙死机。问题的关键在于即使增加网络出口带宽,P2P 等应用还会继续占用新增的带宽。经过总结分析,发现网络存在以下几个主要的问题: 网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 带宽有效使用率偏低,运用各种手段无
15、法了解网络带宽真正使用情况网络流量系统解决方案 高校网络流量项目投标书 6网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 学校正常的应用没有得到很好的保障,时常出现应用网络阻塞情况网络流量系统解决方案 高校网络流量项目投标书 6网络流量系统解决方案 1533 California Circle,Suite 200,Milpi
16、tas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 内网安全上的隐患,经常病毒爆发影响内网运行、用户使用网络流量系统解决方案 高校网络流量项目投标书 6网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫
17、兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 制定的网络管理政策难于落实,无法掌握具体用户对网络的使用状况网络流量系统解决方案 高校网络流量项目投标书 6网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 普遍存在学生上网行为不能有效控制,特别是 P2P 等点对点传输软件(如 BT,迅雷等)网络流量系统解决方案 高校网络流量项目
18、投标书 6网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 网络带宽资源不能合理有效分配网络流量系统解决方案 高校网络流量项目投标书 6网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA),
19、披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 同时多条链路无法进行统一的管理,并且无法进行多链路的负载均衡网络流量系统解决方案 高校网络流量项目投标书 6网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 对部分用户无法进行按照时间,流量计费等网
20、络流量系统解决方案 高校网络流量项目投标书 6网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌目前学校网络管理中心的工作人员网络在监测上还无法找到合适的可以达到业务的管理解决办法,即很多情况下,只知道网络利用率,无法掌握网络的具体应用及流量使用情况,也无法对应用行为做合理的管理控制。这次希望通过改造网络来解决以上问题,方便学校
21、以后的网络维护和分析,同时能够有效的提高网络资源的利用率。网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌AceNet针对学校出现的这些特点,利用AceNet 的 AG系列产品整合4到7层的控制技术、并且利用基于ASIC 的2P/IM流量安全控制等安全机制使学校能够通过先进的
22、安全技术,为学校的教职员工和学生提供优质高效的网络服务。通过我们公司提供的产品和解决方案,学校的网络管理人员就可以对网络资源进行合理的划分和管理。网络流量系统解决方案 高校网络流量项目投标书6网络流量系统解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌三、AceNet的技术方案网络流量系统解决方案 高校网络流量项目投标书6网络流量系统解决
23、方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌3.1 方案整体描述网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅
24、纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌针对校园网的这种特点,我们制定了以下的网络拓扑:网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌本方案主要从多链路的负载均衡和网络安全,针对 P2P/IM 网络流量的控制分析,基于
25、时间流量的用户认证和计费,报表日志系统等几大方面对方案进行详细描述。首先通过 AG 设备可以实现以下基本功能:网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌3.1.1 解决网络带宽瓶颈网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 Cali
26、fornia Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌由于 AG 设备是一款基于 ASIC 芯片来工作的高性能设备,我们可以让网通链路和教育网都通过 AG 设备。在学校这样的大流量高带宽的情况下,用户的上网行为具有各种大量不同的应用,所以在出口设备上,对于大量数据包的处理我们采用 ASIC 芯片来完全处理,而对于一些简单的日志,管理等功能用 CPU 来处理,这样的处理方
27、式加上 ASIC 芯片强有力的转发处理性能,完全解决了以往传统设备仅靠 CPU 处理大量数据包的局限性。所以利用 AG 设备承载高校这样的大流量高带宽,不会在网络出口对整个校园网络形成网络瓶颈。网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌3.1.2 互联出口网络流量系统
28、解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌由于存在教育网口和网通链路两个出口。教育网直接连到客户的路由器,网通通过防火墙连接到校园网。为了代替这两个出口,我们建议对这两个出口一个采用透明方式互联,一个采用三层方式进行 NAT 转换后互联。这样用一台设备可以管理多条链路,同时不产生网
29、络的出口瓶颈,为客户对网络链路的统一管理带来极大的方便。网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌3.1.3 实现 DMZ 区的管理网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200
30、,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌对于本学校,由于已经建立了几个 web 服务器,所以我们需要考虑保障服务器的安全,免受来自于网络上的恶意攻击,所以我们单独为在 AG 设备上为服务器划分一个 DMZ 区域,来利用 AG 设备的基于硬件的安全策略来保证网络服务器的安全。 网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite
31、 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌3.2 多链路的负载均衡和网络安全网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应
32、爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌3.2.1 多链路的接入 网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax: +1-408-945-3934( USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌对于多条 ISP 链路的网络,利用 AG 设备我们可以进行多链路的负载和均衡。网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案
33、 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌AG-Series 设备支持将多个 ISP 设置到一个 ISP 池里来支持链路备份和负载均衡。如下:网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fa
34、x:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌图1. isp pool配置网络流量系统解决方案 高校网络流量项目投标书6网络流量系统解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌AG-Series 提供四种算法
35、来选择 ISP:网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 HASH:根据源地址选择 ISP。网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,U
36、SAPhone/Fax:+1-408-945-3934 (USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 LOAD:根据当前 ISP 的带宽占用选择 ISP。如果一个 ISP 池中包含 ISP1 和ISP2,ISP1 的带宽占用是 50,ISP2 的带宽占用率是 80,则优先选择 ISP1。网络流量系统解决方案 高校网络流量项目投标书 6网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-9
37、45-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 SESSION:根据当前 ISP 上已有的 SESSION 数来选择 ISP。优先选择 SESSION 数少的 ISP。网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆
38、其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 LOAD-SESSION:根据 ISP 带宽占用率和 SESSION 数来选择 ISP。先判断 ISP 的带宽使用率,如果 ISP 间的带宽占用率相差大,则优先选择带宽使用率小的 ISP;如果ISP 间的带宽占用率相差不明显,则优先选择 SESSION 数少的 ISP。网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵
39、旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌另外,我们还收集了电信、网通、铁通和联通等运营商的地址段,用高级型静态路由包含各运营商的目标地址段,下一跳指向其对应的 ISP,并且把这些路由制作成一个脚本,然后只需要把这个脚本导入 AG-Series 设备即可。最后再配置策略路由,将出口指向 ISP POOL,这个 POOL 中包含所有的 ISP。这样就可以实现,到运营商地址段的报文匹配高级型静态路由,通过其对应的 ISP 到达互联网;剩下的就匹配策略路由,在各个 ISP 之间均衡。并且其中一条 ISP 出现故障时,可以方便地切换到另一条 ISP
40、 上,对应用完全透明。网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌3.2.2 路由模式下的地址转换功能 网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 9503
41、5,USAPhone/Fax: +1-408-945-3934( USA),披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌“网络地址转换”是一种 Internet Engineering Task Force (IETF) 标准,用于允许专用网络上的多台 PC 机(使用私有地址范围,例如 10.0.x.x、192.168.x.x、172.16.0.0 172.31.255.255)共享单个或者多个、可全局路由的 IPv4 地址。经常部署 NAT 的一个主要原因就是 IPv4 地址日渐紧缺,另外也常用来保护内部的服
42、务器和主机。网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌AG-Series 设备提供了应用网络地址转换的多种机制。 NAT 只转换 IP 包头中的 IP 地址;PAT 是转换 IP 包头中的 IP 地址和 TCP 或 UDP 数据报头中的端口号,转换中包含源地址 (以及可
43、选的源端口号 ),或者目的地址 (以及可选的目的端口号 ) 等网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌AG-Series 设备执行 PAT 转换时,将从 Trust 区段通往 Untrust 区段的外向 IP 封包包头中的两个组件进行转换:其源 IP 地址和源端口号。
44、 AG-Series 设备用 Untrust 区段接口的 IP 地址(或者配置的 IP 池里的地址)替换发端主机的源 IP 地址。另外,它用另一个由 AG-Series 设备生成的任意端口号替换源端口号。当回复封包到达 AG-Series 设备时,该设备转换内向封包的 IP 包头中的两个组件:目的地地址和端口号,它们被转换回初始号码。 AG-Series 设备于是将封包转发到其目的地。网络流量系统解决方案 高校网络流量项目投标书6网络流量系统解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-94
45、5-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌AG-Series 设备的 PAT 转换有两种类型:网络流量系统解决方案 高校网络流量项目投标书6网络流量系统解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 基于策略的 PAT:在策
46、略中引用 PAT,那么匹配此策略的报文将执行 PAT转换。网络流量系统解决方案 高校网络流量项目投标书6网络流量系统解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌 基于接口的 PAT:在出口接口中配置 PAT,此时接口从路由模式变成 NAT 模式。那么通过此接口出去的报文将执行 PAT 转换。网络流量系统解决方案 高校网络流量项目投标书
47、 6网络流量系统解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌执行 PAT 时,已转换地址来自 IP 池。IP 池里的地址可以配置为出口接口的 IP 地址,或者与出口接口同一网段的 IP 地址(或者一段地址)。在出口接口配置 PAT 时,如果不选择 IP 池,那么将报文的源 IP 转换成出口接口的 IP,如果选择了 IP 池,就将报文的
48、源 IP 转换成 IP 池里的 IP;在策略中配置 PAT 时必须要选择一个 IP 池。 网络流量系统解决方案 高校网络流量项目投标书6网络流量系统解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934(USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌AG-Series 设备可以从 IP 池里随机提取或提取明确的地址,也就是说,既可以从 IP 池中随机提取地址,也可以持续提取与初始源 IP 地
49、址有关的特定地址, 这一点通过是否选择“固定IP(Fixed IP)”来实现。配置 PAT 转换时,如果选择了“固定IP(Fixed IP)”,则同一源 IP 地址的封包每次都转换成同一 IP 地址。有些协议(例如 FTP)的端口在变化,就必须要选择在“固定IP(Fixed IP)”。在此还有一个“固定端口 (Fixed port)”的选项,如果选择了“固定端口(Fixed port)”,则报文里的端口不被转换。网络流量系统解决方案 高校网络流量项目投标书6网络流量系统解决方案1533 California Circle,Suite 200,Milpitas,CA 95035,USAPhone/Fax:+1-408-945-3934 (USA) ,披嗅投屿相怖妆榷熊贞乒锡撵褐选遵旅纽峦郊友皋漓啦摆嘿憎鸦奉恩挚株摊盂视卫嫁应爆其咖贫兔籽欧肄计颊粕止噪磐养己伴龚故捧捂笨独橙诗蚌安全策略中的 PAT 优先级 低于 接口上的。也就是说,如果策略里配置了 PAT,出口接口也配置了 PAT,则基于接口的 PAT 设置会覆盖基于策略的 PAT。网络流量系统解决方案 高校网络流量项目投标书 6 网络流量系统解决方案 1533 California Circle,S