Allot公司带宽管理产品介绍(doc 10页)(正式版) - 图文 下载本文

长期流量统计与分析

Allot的NetEnforcer支持实时监控和长期监控

? 监控内容包括带宽、流量、协议和应用、连接数、数据包大小及利用率

等,监控对象可以是系统、Pipe、VC或主机,监控方向可以是出站、入站或双向,均能够按照图表和数据两种方式显示,应用及IP地址排名支持前25位。

? Allot的协议库目前包含8000多种协议,支持自动识别所列的所有协

议,并可在线升级,无需重起。

随着网络的发展,不同网络应用的增加,Allot可以对设备软件的Service进行更新以便识别新的网络应用。

4 带宽管理产品部署方式

设备在网络中的摆放位置

如果需要做长期的流量数据收集与统计,还需要添加1台服务器

5 带宽管理产品客户化工作

用户在安装时需要提供: ? 该设备在网络拓扑中的位置;

? 连接该设备的网络接口(光纤、铜),接口速率、实际数据吞吐量; ? 主要的网络应用;

? 是否存在“非对称路由的可能”;

6 针对各个功能点的性能

? Allot的NetEnforcer AC1000支持从2到7层的多种协议和应用类型:

? 支持IP、ARP、Appletalk、DECNET、Banyan Vines、DEC Ethernet、DEC LAT、IPv6、

IPX、MS-IPX、NetBEUI、SNA等网络层协议。

? 支持TCP、UDP、EGP、GGP、GRE、ICMP、IGMP、I-NLSP、OSPFIGP、RSVP、SIPP-AH、

SIP-ESP、SWIPE等传输层协议。 ? 支持根据端口定义TCP/UDP协议。

? 支持各种主流P2P应用,包括KaZaA、eDonkey、Gnutella、BitTorrent、WinMx、

Direct Connect等等,即使这些应用是基于动态端口的。

? 支持对对HTTP进行基于主机、url、方法(get/post等)和内容(Mime类型)的

详细分类。

? 支持根据VLAN ID进行分类组合,给予不同的优先级。 ? 支持根据主机列表进行分类控制。

? Allot的NetEnforcer AC1000支持Pipe和VC两个等级的策略分类,支持10K个

Pipe和80K个VC,支持分别对出站流量和进站流量或双向进行控制。

? 可以针对每个Pipe或VC制定最大带宽限制和最小带宽保障,针对Pipe还可以进

行带宽预留设定。

? 时间是Allot策略设定中的一个选项,可以支持根据不同的时间段制定不同的策略。 ? 支持10个级别的优先权设定。

? Allot支持突发和持续速率两种带宽控制方式,可针对视频、语音类流量设置保证

其带宽连续性的策略,将延迟、抖动等减小到最低。

防御DoS/DdoS的建议原则

总体原则:防御不同方式的DoS/DdoS攻击,要把访问控制、内容检查和带宽管理等相关技术结合起来运用。对于用户或者某些应用来说,关键是不要使其对系统整个资源的占用,达到或者超过系统所能承受的能力。否则,就不容易把正常的数据流量与DoS/DdoS区分开来。

总体而言,注意利用带宽分配技术和限制IP会话连接的数量等手段,保护系统总体的资源不致被某些资源耗占。

原则1:可以限制连接数(比如:连接总数) 原则2:可以限制连接速度(CER指数)

原则3:当某个IP地址的Connection数超过应有的限制时,考虑丢掉它 原则4: 可以直接屏蔽攻击者的IP/MAC地址、或者来自的域

原则5:从外部进入内部的流量但地址又来自于内部的,(IP欺骗)的可能较大,可以屏蔽他们。

原则6:利用L7的内容检查,限制相应的应用对资源的消耗 原则7:对Telnet和FTP的服务,要严格控制

原则8:对P2P的控制要非常注意,它们不仅耗占资源,也是常常传播Worm的地方

原则9:对某些节点(如PC、Web服务器)采取限定流量,可以减轻可能因为攻击对网络的负荷。

为监视可能的攻击,使用如下原则: 原则1:监视网路的、特定节点的连接数

原则2:监视网络的、特定节点的CER指数。这非常重要 原则3:监视最活跃的IP节点(Client)

原则4:监视可能的服务器(Server),注意观察平时是Client而突然变成了服务器 原则5:监视平时最活跃的应用和协议

7 产品与网管系统的结合的结合方式

Allot 支持与HP OpenView Network Node Manager 的集成。Allot的Net Enforcer包含了一个SNMP的agent,支持RFC1213/MIB II和Allot的私有MIB。允许通过基于SNMP的网管软件获取信息,生成基于MRTG的日报、周报、月报和年报,需要强调的是Net Enforcer支持Pipe和VC级别的MRTG监控。

Allot 与HP OpenView Network Node Manager 的集成

Allot 支持与HP OpenView Network Node Manager 的集成。Allot的Net Enforcer包含了一个SNMP的agent,支持RFC1213/MIB II和Allot的私有MIB。允许通过基于SNMP的网管软件获取信息,生成基于MRTG的日报、周报、月报和年报,需要强调的是Net Enforcer支持Pipe和VC级别的MRTG监控。

安装步骤:

1、下载NetEnforcer MIB 文件

The MIB文件可以从 NetEnforcer GUI 下载。 下载完毕后解压缩到本地硬盘上。

2、编辑NetEnforcer MIBs文件。 (1)导入NetEnforcer MIBs文件

(2)选择NetEnfocer图标,插入到拓扑图中。

流量分析:

集成HP OpenView Network Node Manager后,网管人员可以利用SNMP进行流量分析。下图是通过NNM对HTTP VC和Citrix VC的流量进行分析的图表。