Allot流量控制设备系统项目方案建议书

XXXXXXXX 流量控制设备系统项目流量控制设备系统项目方案建议书方案建议书XXXX 流量管理建议方案第 1 页 共 21 页目目 录录二、需求分析：二、需求分析：.2三、方案建议三、方案建议.331、方案实施 .4311、针对应用的带宽分配和管理：.4313、针对时间段的带宽分配和管理： .5314、双向流量的管理和控制 .53. 2、建议拓扑图.63. 3、方案设计原则.63. 4、 ALLOT设备部署方案建议.7四、四、ALLOTALLOT 概述概述.11五、五、ALLOTALLOT 工作原理工作原理.11六、六、ALLOTALLOT NETENFORCERNETENFORCER & & BYPASSBYPASS 的容错技术详解的容错技术详解.12七、七、ALLOTALLOT 的优点：的优点：.147.1 安全有效的带外管理（OUT OF BAND）：.147.2、卓越的网络和策略性能 .147.3、 “故若金汤”的容错和旁路技术 .157.4、 “丰富”的应用的识别和分类 .167.5、 “实时而长期的”网络流量监控 .167.6、 “强大的”网络统计和报告（可选） .187.7、 “不知疲倦”的告警功能（ALERT）.197.8、 “专业版”网管功能 .207.9、强大的 DOS/DDOS 防御器 .21710 强大的网络分析与集中控管 .22XXXX 流量管理建议方案第 2 页 共 21 页一、项目背景随着信息化时代的不断发展，人们越来越来依赖于网络，包括信息的在线查询、日常办公事务、Email、CRM、ERP、OA 等多种业务。企业都在纷纷建立一个整体的信息平台来整合自己的综合业务。XXXX 企业为了满足信息化的需求，建立一个高安全、高可靠、高可管理性的信息平台，使用带宽管理设备是十分必要的。 二、需求分析：二、需求分析：对于一个大型的企业网来说，在网上所进行的业务类型是非常复杂的，随着互联网宽带业务的迅猛增长，服务应用种类趋于多元化，重要应用在时间响应方面也在不断地提高，其主要原因就是网络中的应用日益复杂多变。除了常规的对互联网的浏览、查询、电子邮件等多种应用类型以外，多线程的 FTP 下载、在线游戏、Peer-to-Peer 应用、等多种新型的网络数据在网络中大量使用和出现。对集团用户而言，每年投入在带宽上的费用是有限的，如何将已有的带宽尽量充分，合理的利用，是集团网络部门的一个难题。针对 XXXX 的互联网出口。和 DDN 线路而言，如何保障在线路上的关键（如：ERP，OA 等）应用是关键。同时，由于近年来 P2P 的应用急速增长；目前一般而言超过 50的带宽被 P2P 文件下载应用占用，带宽资源严重浪费，导致关键电路臃塞，用户满意度下降。另外采用加密技术的、隧道技术的 P2P 应用也日趋发展。综上所述，XXXX 带宽控制工程应完成以下需求：需求 1：1针对应用的带宽分配和管理。2针对 IP 段的带宽分配和管理。3针对时间段的带宽分配和管理。4完成双向流量的管理和控制。 需求 2：5针对应用的带宽分配和管理。6针对 IP 段的带宽分配和管理。7分用户（LDAP）的带宽分配和管理。 （可选）XXXX 流量管理建议方案第 3 页 共 21 页8分时间段的带宽分配和管理。考虑在满足 XXXX 目前网络承载现有的数据传输的前提下，提高网络的管理、疏导和安全防范能力，针对某些特定的应用如：P2P 应用、网络游戏、视频/VoIP 等进行流量控制，区分服务等级，并对其他非正常网络流量进行过滤和限制，提高网络整体安全性，以建立高效的服务质量（QoS）管理。三、方案建议三、方案建议根据用户的需求分析，我们建议选用全球著名的流量管理厂商Allot 通讯公司的NetEnforcer 实现对互联网出口以及 DDN 线路的网络带宽管理。 1应用保障： 针对集团内部的关键应用以及常规应用（如：ERP，OA，Email 等）做带宽以及优先级的保障。 2应用控制： 针对非关键应用，主要是日益流行的 P2P 以及 Streaming Application 等做带宽以及优先级的控制。 3流量分析： 针对 Internet 链路做流量分析。带宽：查看总链路或链路中某个地址、地址段、主机、应用等所占用的带宽。连接数：查看总链路或链路中的某个地址、地址段、主机、应用的存活连接和每秒新建连接。带宽利用率：查看每条链路的带宽利用率，从而分析链路的使用情况。最活跃协议：查看总链路或链路中的某个地址、地址段、主机的流量中，最活跃的协议（所占带宽最大的协议）是什么，确定应用的优先级和重要性，从而判断是对该应用做带宽保障还是做带宽控制。最活跃内网主机和外网主机：在链路中，通过查看最活跃内网主机和外网主机，并深入分析起应用情况，从而判断对该主机的应用做何种 QoS。XXXX 流量管理建议方案第 4 页 共 21 页3 31 1、方案实施、方案实施3 31 11 1、针对应用的带宽分配和管理：、针对应用的带宽分配和管理：ALLOT 公司的流控设备采用 ALLOT 的专利技术 DPI（Deep Packet Inspection） 。对每个数据的报头进行分析，将特征码与协议库进行匹配，以次来进行应用的识别。策略设置建议：AP2P Protocal：（迅雷，BitTorrent, eDonkey, Warez, WinMX, Kazaa）对以上应用，建议对其的带宽控制在总带宽的 2%5%之间。或者客户针对自身情况来定。B针对 ERP，OA 等关键的办公应用，可以进行带宽保障，具体数值有客户工程师决定，如果在 ALLOT 协议库中没有响应的协议，用户可以对自己公司特殊应用来添加端口进行带宽保障。C其他应用，如 Streaming Application，Games，VOIP 等，请用户根据自身网络及公司规定进行设置。3 31 12 2、针对、针对 IPIP 段的带宽分配和管理段的带宽分配和管理ALLOT 公司的流控设备能够针对 HOST，IP address，IP subnet，IP range，以及MASK 参数来进行带宽控制。只要是 ALLOT 能够看到的地址，都能够对其进行带宽管理。针对 Internet 出口的带宽管理，有以下管理方式：1在总部 Internet 出口处放一台 AC5000/2G，这样做能够在宏观上控制 Internet 的总体流量。3 31 13 3、针对时间段的带宽分配和管理：、针对时间段的带宽分配和管理：时间段的带宽分配策略主要应用于灵活度比较大的应用，以 P2P 应用为例：在白天上班时间，这种应用应该被严格的控制和管理，但在下班期间，可能 90%以上的员工都已经下班（使用到网络的员工） ，网络的剩余带宽很多，在这种时候，P2P 应用的带宽控制可以适当的放宽。比如在白天工作期间 8：0018：00，P2P 应用控制在单向 10M，那么在下班XXXX 流量管理建议方案第 5 页 共 21 页后 18：008；00，就可以适当放宽到 50M，或者更高。3 31 14 4、双向流量的管理和控制、双向流量的管理和控制在总部和各分支之间的双向流量有以下两种管理方式：1在总部放置一台设备，分支不做任何部署。这种部署方式以总部为节点，控制 5 个分支（DDN 线路）的总流量。如果 ALLOT 不能看到各个分支的内网地址，那么他就无法对 5 条 DDN 线路做出公平的流量管理，例如：总的 P2P 流量限制在 5M 以内，但会出现不同的状况，可能每个分支平均的获得 1M 的 P2P 流量，也有可能一个分支获得 4M 的 P2P 流量，其他 4 个分支共享 1M 的 P2P 流量，甚至有可能一个分支抢到了 5M 的 P2P 流量，而其他分支无法使用 P2P 进行下载。如果 ALLOT 能够看到详细的各分支的内网地址，那么就可以建立 VC（虚拟通道） ，一个 VC 对应一个分支，这样也可以做到分支之间公平的流量管理。但这种部署方式在进出流量的管理方面存在某些不足，出方向的流量控制是完全没有问题的，因为出方向的流量的源头就是在 DDN 专线的内网。但是对于入方向的流量控制存在不足，在策略执行时，虽然会看到流量的下降，但连接依然是存在的，只是每个连接的流量都被减小而已。ALLOT 不会强行断开已经建立好的连接，只能等待起自行断开，等到再次发起连接请求的时候，如果流量已经达到策略上限，那么这个请求将会被驳回，连接建立不成功。如果流量未达到策略上限，那么连接成功，充分利用网络带宽。2在总部和各分支各部署一台流控设备这种部署方式，不但能够很好的控制 DDN 线路总的带宽，也能够公平的对 5 条 DDN 线路进行带宽分配，还可以严格的控制进出方向的流量，因为这种部署方式，在 DDN 线路两端都部署了 ALLOT 流控设备，一端的出方向就是另外一端的入方向，此时在 DDN 线路建立的不是虚拟通道，而是物理通道。进出方向都被很好的控制起来。3.3. 2 2、建议拓扑图、建议拓扑图拓扑说明：拓扑说明：XXXX 流量管理建议方案第 6 页 共 21 页我们选用 Allot 公司的 NetEnforcer 产品管理 XXXX 的互联网出口所有流量，解决用户的具体需求，同时保证网络的高可靠性。从设备布置角度，我们建议将设备部署在路由器防火墙之间或四-七层交换机之间。3.3. 3 3、方案设计原则、方案设计原则 构建一个大型的企业网络，需要系统设备具有强大的信息处理能力和快速的响应能力。在要求系统拥有足够的处理能力的同时，还要求在有限的广域带宽的资源下对多种应用中的关键性应用做出服务质量保障，该服务质量保障设备还应具备高性能、可扩展性、可管理性、高可用性和安全性。高高性能性能对于 XXXX 网络中的关键性业务要求有较快的响应时间和较大的并发性，所以要求在上千甚至更多的用户的多种应用请求的条件下，一定能够高效地保障各种关键应用的快速响应。可扩展性可扩展性可扩展性体现在多个方面：包括系统体系结构的可扩充性、软硬件系统的可扩展性、带宽管理的扩展能力。针对服务质量保障设备，要求对其支持吞吐量具有可升级的功能和软件升级功能。可管理性可管理性系统必须具有充分的可管理性，以便于系统的维护和管理，要求可采用控制台端口，TELNET, HTTP 或专有的图形化管理程序实施管理。配置文件、策略文件可备份、恢复。可靠性高可靠性高可靠性XXXXDDN 链路为 FE 接口的链路，所以要求能够高速处理、转发能力的设备，并且能够提供 7X24 小时的不间断工作。我们推荐选用 NetEnforcer-AC 402 系列企业级流量管理产XXXX 流量管理建议方案第 7 页 共 21 页品。高安全性高安全性可以提供许多安全特性，保障应用的安全。可设置访问控制策略限制对设备的访问、操作。具备防止拒绝服务类攻击的能力。丰富的应用的识别和分类丰富的应用的识别和分类支持从 2 到 7 层的多种协议和应用类型，其协议库目前包含 5000 多种协议，支持自动识别所列的所有协议，并可在线升级，无需重启。直观的流量监控和数据保存直观的流量监控和数据保存能够直观的在线实时观测和长时间记载和监控网络流量。Allot 的 NetEnforcer 支持实时监控(Realtime monitoring)和长期监控(long-term monitoring)，同时，是目前唯一支持 MRTG 的流量控制产品。四、四、AllotAllot 概述概述NetEnforcer 是一台可以帮你管理数据流量而有效加速带宽应用的一种工具，它能够让网络管理人员去监视网络的流量、将网络上的流量加以分类和控制，从而使网络传输达到最佳化的境界。NetEnforcer 能让使用者有能力修整网络带宽，并可以根据网络服务供应商或者是企业对带宽管理的需求来提供属于整个系统的服务水平保证。 NetEnforcer 带宽管理器可提供完整的监控功能、精确的分类及优先传送功能、详细的报表分析及人性化的操作管理接口，可监控从物理层到应用层（从 TCP 的第 2 层到第 7 层）的流量类型的状况，同时可做实时或定时的统计提供网管人员参考，监控后还可视需求来制定带宽管理政策来分类管理。同时 Allot 也提供了内置或外置的 Bypass 模块，Bypass 模块是网络中一个关键性的设备，它主要的作用是在网络设备出现故障后，仍然能够保证网络的畅通;XXXX 流量管理建议方案第 8 页 共 21 页五、五、AllotAllot 工作原理工作原理Allot 公司的专利技术是，PFQ 技术。 （Per Flow Queuing） 。这是一种经过优化了的队列技术。其基本实现的方式是：1） 先把网络划分成 PIPE（通道） ，在每一个通道内再细分成不同的 VC（Virtual Channel） 。细分过的 VC 内可以针对每一个不同的应用、IP 地址、或者其他不同的事务。2）利用策略模式，即当每一个数据流（如：P2P、Http 等）进入预先设定好的 VC 内部时，先确定是否预先设定好了策略。3）如果已经预先设定策略，Allot 就马上按照预先设定好的带宽策略执行，如果没有就等待下一次询问是否填入策略。4）区分好不同的应用后，Allot 就要对带宽进行有效的管理，控制特殊的数据流（音频流、视频流） ，保证最小带宽、最大带宽、突发值，从而不会丢弃数据，真正做到端到端的控制策略；同时，为所有流量，按优先权（10 个级别）保证最小带宽的访问；5）利用观察和预测模式可以很方便地随时填入所需要的策略而及时改变网络的应用状况。XXXX 流量管理建议方案第 9 页 共 21 页六、六、AllotAllot NetEnforcerNetEnforcer & & BypassBypass 的容错技术详解的容错技术详解在此方案中我们提供的设备内置旁路单元，快速的故障切换实现网络的高可靠。为了消除用户的后顾之忧，我们详细讲解 Allot 的容错技术。Allot 设备结构组成：（以 KAC 404 为例）当 NetEnforcer 主设备出现故障后，NetEnforcer 立刻切换到 Bypass 模式；此时，Bypass 单元相当于一条直通的光纤连接，整个过程不会对网络造成影响.以其中一条链路为例，具体过程如下：1Bypass 有 2 种状态：A.“旁路”状态 - 1 号端口与另外一个 1 号端口连接（流量不通过 NetEnforcer 主单元）B.“活跃”状态 - 1 号端口与 2 号端口连接。 （流量不经过主单元）.2设备可以在 Bypass 状态下连接到网络中，并可以直接转发数据包。3当 Allot 工作时，内部控制线将维持发送一个保持信号（通过硬件比特信号）并且Bypass 将处于“活跃”状态。故障分析：故障分析：故障现象：故障现象：当 Allot 的主单元设备由于突发情况（如断电）发生故障时（如下图） ，XXXX 流量管理建议方案第 10 页 共 21 页故障分析及结果：故障分析及结果：当设备发生故障后，设备内部发送一个信号通知 Bypass 模块，将系统工作状态立即切换为 Bypass 模式，以后的流量只经过 Bypass 模块。整个过程的切换时间非常短（小于 2ms） ，不影响网络的正常业务。ALLOT 支持手动控制 Bypass 状态的切换，通过主单元的命令行/图形界面都可以实现。主单元的告警功能也可以在其针对某些条件的反应动作中切换 Bypass 的工作状态。七、七、AllotAllot 的优点：的优点：7.17.1 安全有效的带外管理（安全有效的带外管理（OutOut ofof BandBand）：）：在 Allot 的 Qos 设备上，有一个独立的管理接口。这个端口和连接内部和外部网络的以太网接口在物理上是隔离的。经过隔离的网络管理口，可不通过设备的网络口而直接进行配置、监控等复杂活动。从而提供更高一级别安全的系统管理和无干扰的流量监视及统计。带外管理在网管的安全性上是一个主流的趋势。XXXX 流量管理建议方案第 11 页 共 21 页7.27.2、卓越的网络和策略性能、卓越的网络和策略性能Allot 的 Net Enforcer AC402/45M 支持 10/100 full auto 的吞吐量，不仅可以支持VLAN 模式工作，而且可以穿透 VLAN TRUNK，即 IEEE802.1q 数据包。当网络拓扑中需要链接两台设置成 VLAN TRUNKING 的设备时，Allot 的 Net Enforcer 可以直接接入并保持连接。而相比较其一些竞争对手却无法回应标准的 IEEE802.1q 包，而必须设置成为 Native VLAN模式，否则无法 VLAN TRUNKING 中找到这台设备。Allot AC402/45M 可支持 4096 个并发策略规则数和 96K 个并发连接数，最大支持1024 个 PIPE。 （通道）极大地满足当前和未来的网络性能的要求。带宽升级、更新软件或者其他附属功能可由软件许可证来控制。这种方式的好处是，当前出口总带宽满足目前 Allot License 管理能力的情况下，选择支持 45M 带宽管理能力的软件许可证，在未来的带宽升级之后，可以无缝地升级到管理 100M 带宽的能力。XXXX 流量管理建议方案第 12 页 共 21 页7.37.3、 “故若金汤故若金汤”的容错和旁路技术的容错和旁路技术Allot NetEnforcer402 是一套完整的容错硬件和解决方案。为了保证网络永不中断，Net Enforcer 采用了以下的方式： 如果由于系统内的任何硬件或软件的原因导致系统发生故障，Net Enforcer 会自动切换到旁路模式，以确保网络资料的传输不受影响。 Allot 的 Net EnforcerX02 产品内置了自动旁路模块，当出现断电和软硬件故障时，会自动切换到旁路状态，确保通信不中断。自动旁路的切换时间小于 2 毫秒，网络中断控制在 2 秒以内。7.47.4、 “丰富丰富”的应用的识别和分类的应用的识别和分类Allot 的 Net Enforcer 支持从 2 到 7 层的多种协议和应用类型，其协议库目前包含5000 多种协议，支持自动识别所列的所有协议，并可在线升级，无需重启。支持 IP、ARP、AppleTalk、DECNET、Banyan Vines、DEC Ethernet、DEC LAT、IPv6、IPX、MS-IPX、NetBEUI、SNA 等网络层协议。支持 TCP、UDP、EGP、GGP、GRE、ICMP、IGMP、I-NLSP、OSPFIGP、RSVP、SIPP-AH、SIP-ESP、SWIPE 等传输层协议。支持根据端口定义 TCP/UDP 协议。 支持各种主流 P2P 应用，包括 KaZaA、eDonkey、Gnutella、Bit Torrent、BitComet、POCO、WinMx、Direct Connect、Over Net、MP2P、Winny 等等，即使这些应用是基于动态端口的。支持对 FTP 进行基于方法（upload/download） 、文件名和文件扩展名的详细分类，对HTTP 进行基于主机、URL、方法（get/post 等）和内容（Mime 类型）的详细分类。能够发现基于多种 SQL 类型的数据库的应用。无论时 Oracle 还是 MS SQL Server，其特殊的多种应用类型和协议均可以及时发现。这类功能可以在日后的生产实时系统、或者这类功能可以在日后的生产实时系统、或者其他数据库的保障和管理中得到很好的应用。其他数据库的保障和管理中得到很好的应用。7.57.5、 “实时而长期的实时而长期的”网络流量监控网络流量监控对于一个北京供电局网站来讲，能够实时观测和长时间记载和监控网络流量是非常必XXXX 流量管理建议方案第 13 页 共 21 页要的。Allot 的 NetEnforcer 支持实时监控(Realtime monitoring)和长期监控(long-term monitoring)。Realtime Monitoring 功能实时显示当前网络的即时流量状况, 由于所有管理系统都是建制在 Java 平台上面，所以所有的监控时间都是“实时的” ，每 30 秒自动刷新一次。Long-Term-Monitor 功能可将 Realtime monitoring 中的图表存入外部电脑，便于网管回顾过去任何时候网络的流量状况。使用 Realtime Monitoring, 用户可同时监控多达 100 张实时图表, 内容包括带宽、流量、协议和应用、连接数、最活跃的 IP 地址, 数据包大小及利用率等，监控对象可以是系统、Pipe、VC 或主机，监控方向可以是出站、入站或双向，均能够按照图表和数据两种方式显示，应用及 IP 地址排名支持前 25 位。充分利用 JAVA 的灵活性,用户还可以将鼠标点击实时图表上的任何一种协议或应用,NE 即能显示该协议的即时流量,同时用户可点击右键,找出当前使用该协议的最活跃 IP(可多达 25 位).这样很有利于网管实时监控用户网络的使用情况. 出此之外网管还可立即将该协议加入策略中进行 QoS 控制, 或加入长期 Long-term-monitoring 中,这样网管可以回顾过去任何时候各协议或终端用户的使用情况.监控内容包括带宽、流量、协议和应用、连接数、数据包大小及利用率等，监控对象可以是系统、Pipe、VC 或主机，监控方向可以是出站、入站或双向，均能够按照图表和数据两种方式显示。 XXXX 流量管理建议方案第 14 页 共 21 页为了方便广大的网管人员，Allot 还特意通过 SNMP 协议来支持 MRTG 进行系统集成管理。许多大型网络系统都使用 MRTG 来监测路由器端口数据流量. 用户通过下载 Allot Net Enforcer 中的 MIB 来实时读取 NE 内部的数据流量信息。更令人叫绝的是，Allot 的流量报告可以详细到每一个预先设定好的 VC 中，因为每个 VC 都有其单独的 QID, 对 MRTG 来说就好像路由器的端口一样, 这样用户可以方便地应用 MRTG 软件从 NE 中直接实时地读取网络数据, 可精细到每个协议或应用的流量状况。这种功能还支持网管人员利用 WEB 服务的开通，方便用户远程调取 MRTG 信息监控网络的运行情况。7.67.6、 “强大的强大的”网络统计和报告网络统计和报告（可选）（可选）为了使某些专业客户更全面的使用监控和统计功能，Allot Net Enforcer 内含一个报表统计的模块（NetAccountant） 。在该统计模块的授权码激活的状态下，Allot Net Enforcer 可以利用网络中一台管理 PC，使其成为专用的报表生成工具（NetAccountant XXXX 流量管理建议方案第 15 页 共 21 页Reporter） 。每间隔一个小时，管理 PC 可以利用通过 NetEnforcer 得到的数据。根据时间、流量分类、应用、流量大小产生图表和数据两种形式的报表。7.77.7、 “不知疲倦不知疲倦”的告警功能（的告警功能（AlertAlert）为了让 Allot Net Enforcer 成为一个完全的 Qos 设备，Allot 公司特设计了功能完善的告警功能。使用户可以基于 System 级、Net Enforcer 级、Pipe 级、和 VC 级设置告警策略。在每个级别内部，又有不同的条件可以被监控。监控行为可以被看作是一系列带着颜色标价的通知出现在设备的报告里。更强大的是,一旦出现告警，用户还可以根据规则，执行许多控制指令。基于行为控制的有:发送 SNMP trap发送 email (up to two addresses)发送 SMS改变访问控制(通过、拒绝、丢弃等)改变优先权切换到 bypass 模式重新启动 XXXX 流量管理建议方案第 16 页 共 21 页综上可以看到，用户可以根据预先设定好的报警级别和内容，让 Allot 设备自行处理事先已经准备好的预案。而不许人工干预。真正做到 24 小时的防范。是网络服务中真正的先锋。7.87.8、 “专业版专业版”网管功能网管功能Allot 的 Net Enforcer 支持通过控制台端口、telnet、ssh2 和 http 对设备进行管理。Allot 管理软件是基于 java Applet 的程序设计的。所以其具有普通 HTML 界面的程序所不可比拟的优点。首先，其所有的监控数据和配置数据都是实时更新的，而这点 HTML 的软件需要通过点击刷新页面来实现。使用上不方便。其次，所有被监控的数据可以直接通过点击右键来进行在线更改策略，而不需象 HTML那样需要事先记住监控的数据而再到另一个地方去修改策略。XXXX 流量管理建议方案第 17 页 共 21 页第三，由于基于 Java Applet，使得整个网管程序非常近似一个标准化的系统网管程序，可以内嵌如 IBM Tivoli、HP OpenView 等平台。另外，用户可以很方便的获取事实的网络安全可靠的，并且已经经过加密，黑客无法通过网络嗅探的方式获取有用的信息。配置文件和策略文件可通过 tftp 进行备份和恢复。Allot 的 Net Enforcer 包含了一个 SNMP 的 agent，支持 RFC1213/MIB II 和 Allot 的私有 MIB。允许通过基于 SNMP 的网管软件获取信息，生成基于 MRTG 的日报、周报、月报和年报，需要强调的是 Net Enforcer 支持 Pipe 和 VC 级别的 MRTG 监控。Allot 的 Net Enforcer 支持 3 个级别的系统用户（监控、管理员和超级用户） ，支持访问列表控制，支持系统的只读模式，可以严格限定对设备的访问和操作。7.97.9、强大的、强大的 DOS/DDOSDOS/DDOS 防御器防御器当前的网络流量，趋向于复杂、多应用、随机事件多、网络流行病毒和各种黑客的攻击隐患。有时候经常由于个别网络中的 PC 机感染病毒，而导致整个网络的传输收到很大的影响，甚至被迫中断正在进行的视频会议。而在网络中的病毒如：蠕虫病毒等因其在网络中蔓延传播，防治难度非常大。Allot 的 Net Enforcer 本身就是一个强大的 DOS/DDOS 防御设备。利用其独特的 DOS算法库，可以及时发现大量的 DOS 攻击手段。一旦被判明是 DOS 行为，则立即按照预先用户设定好的方式进行网络干预。把攻击者的 IP 压制到一个合理的流量，并释放其他被影响者的资源。或者，用户可以利用告警功能，监控可支持的最大 connection 数量和每秒新增connection 数量，并自行修改网络中关于 DOS 等特殊非法行为的规则，让 Allot Net Enforcer 根据规则来执行抵御 DOS 攻击的要求。XXXX 流量管理建议方案第 18 页 共 21 页利用 Allot 内置的 CLI 模式可以实时追查是那个 IP 地址发生了异常的攻击行为，并利用 ARP Track 功能再深入发现是那个 MAC 地址，进而可以帮助锁定是那一台 PC 出了问题。7 71010 强大的网络分析与集中控管强大的网络分析与集中控管采用深层数据分析 （DPI） 技术的最 优化全网域可视性，包括从宏观上 识别流量的趋势和从微观角度分析 某个主机、用户或者应用的实时状 态，可以协助用户实现实时的故障 排除与完全的网络可视性。这些来 自多台 NetEnforcer 设备的信息可 以通过一个统一的、直观的用户平 台进行管理和分析。直观的用户界面 通过一个非常友好的用户界面实现 对网络前所未有的强有力控制。统 一、直观的管理界面既提供了全网 的逻辑结构，也具备快速浏览单一 设备、用户与应用的能力。XXXX 流量管理建议方案第 19 页 共 21 页洞悉全局的报表与分析功能 实时与长期的信息分析，实现长期 报表、容量规划、使用情况追踪与 服务优化。最前沿的安全屏障 对各种可疑流量的全局化流量监测 可以轻易的实现对潜在的网络攻击 的识别。设定网络监控的阀值、建 立告警机制与策略、自动执行响应 操作并在全网范围定义策略，以阻 塞有害流量并将其危害降至最低。快速的投资回报 全面有效的集中化管理保证了对全 网应用与用户层面的控制，同时也 降低了网络的复杂性、减少了运营 成本、增加网络正常运营时间。 为 业务与网络运营永久处于最高性能 与效率提供保障。丰 富 的 产 品 特 性监控与分析深层数据分析能力，可以对单一用户、会话或应用进行监测，以便定位和诊断网络中的瓶颈与问题；采用实时（Real-time）监测以获得对网络的深入了解，提供 30 秒间隔的自动刷新；短期（Short-Term）监测功能可以以30 秒解析度保存数小时的数据或以5 分钟的解析度保存数日的数据；使用数据仓库对网络活动数据进行高解析度的存储；报表功能 通过将每小时或每天的数据进行累计和分析， 长期（ Long-Term）报表功能用于对流量趋势进行评估或者对容量的精确预测、对带宽使用情况进行追踪或者根据流量计费；数百种用户自定义的流量报表格式，包括带宽使用情况的跟踪与策略的统计、网络分布情况与活动记录；易用的导航功能（包括缩放和滚动）来浏览全部的报表数据，用户可以根据所需要的时间段、视图、表格结构、排序方式、过滤方式来自定义报表以获得更有意义的数据；简易的报表生成功能，实现基于使用情况的记帐与计费；自动的、定期的报表生成功能，可以保存为各种格式并可自动发送给相应的人员；支持丰富的报表格式，包括互动的图形视图、IPEG、PNG、HTML、XML 和 CSV；策略制定集中全部管理数据，包括服务定义、协议定义、主机列表等，实现快速的服务部署与服务XXXX 流量管理建议方案第 20 页 共 21 页变更以及自动的配置分发。配置与策略的部署不需要登录到每一台设备就可以访问网内所有NetEnforcer 设备的配置与策略，包括将配置与策略在不同的设备之间进行复制与分发。网络安全性跟踪网络中激增的连接数量可以发现潜在的网络攻击，针对一台或者多台NetEnforcer 设备建立网络阀值、生成网络告警信息并对网络的异常情况进行自动的响应。智能的告警机制对网络中的异常情况定义相应的阀值，并定义触发的动作，例如发送SNMP Trap 信息、电子邮件/SMS信息或者自动的触发响应操作，在第一时间将网络异常情况可能造成的危害减少到最低限度。