流量管理项目方案

网康流量管理项目方案北京网康科技有限公司2010-09-14目 录1网络现状与分析41.1单位需求分析4流量控制需求分析42流量管理解决方案52.1方案设计必须考虑的问题52.1.1与原有系统兼容性52.1.2高可靠性52.1.3设备部署与实施灵活性62.1.4现有系统的投资保护62.2网康流量管理的解决方案62.2.1保障关键应用，提升应用质量72.2.1.1带宽保证72.2.1.2带宽预留82.2.1.3带宽平均82.2.1.4通道结构分级92.2.1.5通道优先分级102.2.2限制非关键应用，降低带宽消耗102.2.2.1流量限速102.2.2.2流量限额102.2.2.3并发连接数控制112.2.3封堵无关应用，提升工作效率122.2.4优化网络应用，提升带宽价值122.2.5降低网络风险，提高网络可靠性132.2.6网康ITM的特点152.2.6.1精确的流量统计152.2.6.2专业的流量报告162.2.6.3灵活的管理策略182.2.6.4全面的应用协议库192.2.6.5稳定可靠的运行192.3网康流量管理方案优势体现202.3.1高性价比202.3.1.1增值“多”202.3.1.2见效“快”202.3.2健壮性202.3.2.1可靠性“高”202.3.2.2性能“高”212.3.2.3安全“高”212.3.2.4专业支持“高”212.3.2.5员工效率“高”222.3.3易用性222.3.3.1部署“易”222.3.3.2维护“易”222.3.3.3操作“易”232.3.3.4升级“易”242.3.4有效性251 网络现状与分析1.1 单位需求分析目前单位内部的互联网线路投资在很大程度上保证了内部业务网络的稳定性和健壮性，但针对互联网线路还存在一些不太完善的地方，主要表现在流量控制上面。流量控制需求分析随着信息化建设的进一步深化，越来越多的关键业务在网络上开展，随着P2P下载应用的风行，互联网的出口逐渐被迅雷、BT、电驴等各种P2P下载软件所占据。大量的实践经验表明，在一个没有进行任何流量管理的园区网当中，70%的出口带宽会被各种P2P应用所占据，正常的网页浏览、邮件收发等等业务应用仅能占到30%左右的带宽份额。而在极端情况下，两三个使用迅雷下载的用户流量就能占到10M带宽，严重影响了其它用户正常上网和业务开展。近年来，各种在线视频播放系统也开始纷纷采用P2P技术来加速视频资源的下载，更进一步加剧了网络出口带宽的紧张状况。与此同时，单位的一些重要业务如视频会议、ERP、CRM系统却得不到有效保障，视频会议断断续续、ERP系统响应缓慢的现象已司空见惯。当前互联网上有浩如烟海的丰富应用，员工在工作时间无节制地访问互联网，很容易沉迷在各种互联网娱乐当中，比如风靡一时的偷菜、各种网络游戏、在线视频、网络聊天等等，从而导致工作效率大大降低，影响了企业的正常运转。因此，如何采用合适的技术手段来解决员工沉迷于网络娱乐，消除互联网普及给单位带来的负面影响，提高员工的工作效率，这是亟需解决的问题。当前在企业网里，核心业务的带宽得不到有效保障、网络访问速度慢等这些每天都会面临的问题已成了IT工程师的心病。这些问题不解决，将严重影响企事业单位的日常工作的正常开展、严重影响员工的工作效率。可以说，这些问题到了需要马上解决的程度。对于单位来说，在流量管理方面，面临如下几个方面的挑战： 关键业务没有相应的保证措施，比如视频服务，语音服务，或者其他关键业务系统无法保证。 当用户数持续增多，应用使用更复杂时，将难以保证关键应用的带宽需求。 目前互联网流量负载较重，无关流量占用较大，造成流量消耗严重，使得有效带宽利用率较低。 内网用户有些用户抢占互联网资源较多，而有些用户抢占互联网资源较少，流量使用不均衡。 对各个二级单位流量没有进行精细化管理，使得各个二级单位流量分配不均衡。2 流量管理解决方案根据单位现有网络环境，对用户需求的分析，以及网康多年来对互联网优化管理方面的成功经验，提供对流量控制解决方案。本次方案中建议选择网康ITM流量控制产品组成互联网链路优化整体解决方案。2.1 方案设计必须考虑的问题为了帮助单位从根本上解决流量控制的需求，根据单位现有网络环境，并结合用户需求分析以及网康多年来对互联网优化管理方面的成功经验，我们向单位提供对流量控制的解决方案。结合单位网络实际情况，需求分析，本方案对下列问题进行充分的考虑：第一、 与现有系统的兼容性第二、 部署与实施灵活性第三、 系统可靠性第四、 现有系统的投资保护本次方案中建议选择网康ITM流量控制产品组成单位互联网链路优化整体解决方案。2.1.1 与原有系统兼容性方案所设计的系统对现有的网络环境和设备没有特殊要求，本着经济、省钱的原则，充分利用现网的设施和条件，完美融入现有网络系统结构中，不能因为所选产品与现有系统的不兼容而增加不必要的、额外的设备和软件采购。2.1.2 高可靠性方案要提供必要的安全保护和可靠性保护措施，以应对潜在的安全和可靠性威胁。由于流量管理设备和链路负载均衡产品的特殊性，因此需要满足： 设备自身应具备本地安全管理模式，提供最直接而安全的控制手段，比如单用户管理模式。 在更高安全要求的场景下，系统应该工作在完全透明的模式下，使终端用户无法探知到设备的存在。 新增的设备应充分考虑可靠性的设计要求，以确保系统能够长期安全地运行，其中涉及到的硬、软件都应具备极高的可靠性，以消除各部件MTBF（平均无故障时间）的“短板”，否则系统的可靠性将大大折扣。 系统设计上充分了考虑了冗余性设计，以防止单点故障的链路保护。2.1.3 设备部署与实施灵活性互联网系统目前属于生产网络，对网络的稳定性要求很高，实施过程中充分考虑了实施的灵活性，方案所涉及的系统可提供良好的易用性，主要体现在以下四个方面： 安装部署简便支持多样化、灵活的部署方式，可以适应各种各样的网络环境，实现安装部署过程的便利性，不能改变现有网络结构，不需变更现有网络设备配置，以便于实施过程中出现任何问题，可快速回退，保证安全实施。 系统运维简便系统需要提供多层次的运维管理途径，实现运维管理的易用性。如日常维护可以在易用的图形化界面下完成；出现紧急情况时具有快速、可靠、非IT人员就能操作的应急恢复手段；定位解决疑难问题可以使用专用的接口和命令界面（或由厂商在线提供服务）。 使用操作简便在达到预定目标、具备所需的功能前提下，系统应尽量简单，贯彻面向最终用户的原则，提供友好的用户界面，使用户操作简单直观，易于学习掌握； 系统升级简便系统应提供在线式一键升级服务，包括系统软件及内置数据库的升级，所有的系统配置、用户数据必须在升级后的新版本中完整保留。2.1.4 现有系统的投资保护系统设计上考虑了对现有系统的投资保护，充分利用现有系统资源，节约投资。2.2 网康流量管理的解决方案基于单位网络流量现状和需求分析，网康智能流量管理系统（简称网康ITM）将从保障关键应用、限制非关键应用、封堵无关应用、优化网络应用、降低网络风险等五个方面实现全方位立体式的流量管理。通过为关键应用设立专门的多级通道，网康ITM保证通道的应用和用户获得相应的速率保证以及预留带宽，从而实现对关键应用的业务保障；通过对非关键应用进行带宽限制、流量额度限制、连接数限制，将带宽利用率高、价值低的应用限制在合理的带宽范围内，从而杜绝带宽资源的滥用、保护出口带宽投资，并为关键业务应用保留足够的可用带宽；通过对无关应用进行封堵，从而提高员工的工作效率；通过网络应用加速，挖掘现网资源，从而提升带宽资源的利用率；通过应用引流，保障企业网的安全可靠运行2.2.1 保障关键应用，提升应用质量我们经常在讲各单位的这种应用很重要、很关键。那么什么是关键应用？关键应用就是优先级最高，在网络异常繁忙时，应该首先要保证正常运行的业务。一般来说，象本单位的邮件系统、视频会议系统、ERP系统、Oralce数据库系统等都属于关键应用。在人际互联网络繁荣的今天，各种关键应用（如ERP、CRM、OA系统、视频会议系统等）越来越受到其它网络应用的冲击，导致这些关键应用得不到保障。基于提升应用交付质量、保障关键应用的考虑，网康ITM可根据业务优先等级，对Web、Email、OA等重要应用提供保障，确保日常办公所需的带宽资源不受抢占，即使在网络高峰期，依旧可提供良好的服务质量。网康ITM通过带宽保证、带宽预留、带宽平均、通道分级等方式，确保关键应用的正常使用，从而提升应用服务质量和员工满意度。2.2.1.1 带宽保证网康ITM带宽保证功能可以在带宽资源有限而多种网络应用并存的情况下，通过为关键应用建立并指定带宽通道的方式，从而避免了关键应用与非关键应用共同争用带宽，有效保障了关键应用的正常使用。由于企事业单位不同部门和用户的重要性存在比较大的差异，网康ITM的带宽保证功能可以基于时间、内部用户（组）、外部用户（组）和某（些）VLAN、应用等进行最起码的带宽保证，从而实现为某（些）关键应用配备相应速率的带宽资源，形成差异化的网络质量服务。对于ERP、邮件、视频会议、视频会议等对时延及其敏感、影响企业办公效率和商务活动的关键应用，网康ITM 通过带宽保证功能，为这些关键应用设定带宽保证值，保证即使在网络繁忙时，关键应用也能获得至少所需的带宽资源。同时，带宽保证可以使关键应用所需的带宽“不够还能借”，即关键应用还可以借用网络空闲的带宽资源，从而提高现有带宽的利用率。2.2.1.2 带宽预留我们知道，在各个单位，其中一些网络应用（视频会议、OA系统）或网络用户（高层领导）的重要性和优先级永远最高。为了保证这些应用和用户在任何时间都能获得良好的使用效果，必须为其预留专门带宽资源，防止来自别的应用和用户的网络干扰。网康ITM在保障关键应用时，既可以通过通道的带宽保证来实现，也可以通过带宽预留来实现。带宽预留可以对对进入特定通道的某（些）关键应用的应用架设“带宽专线”，通过划分专门的带宽，使关键应用在任何时候都可以独享该通道全部的带宽资源，彻底避免非关键应用无序抢占此专线带宽资源，从而使关键应用的带宽需求能获得可靠保障。2.2.1.3 带宽平均在多用户的网络环境中，怎样使网络资源能够得到公平、高效地利用，是每一位网管人员都十分关心和头疼的一件事。每位用户享用的网络带宽资源应该可以根据当前用户数量的多少而进行动态调整。网康ITM能根据通道里用户数量的动态变化实时调整各用户的带宽分配，保证流经通道里的所有用户动态平均享用该通道的全部带宽资源，实现带宽资源得到高效与公平地利用。网康ITM既能实现基于内网用户数的带宽平均，又能基于外网用户数的带宽平均。基于内网用户的带宽平均，帮助内网用户间公平地享用出口带宽资源。基于外网用户的带宽平均，帮助外网用户间公平地享用内网的带宽资源。2.2.1.4 通道结构分级网康ITM可将每条物理链路划分为三级嵌套（主通道、子通道、微通道）的层次结构，保证各用户的各种网络应用在限定的带宽通道内传输。如管理员可为企业一级部门设置一个主通道，还可以为二级部门设置子通道，为三级部门设置微通道，也可以对单个用户或单个/某类应用分配一个独立的带宽通道。通过层次化的管理，管理员将不同部门用户的不同应用分别限制在一定带宽之内，保证了不同用户、不同应用在预先规定的通道内按照设定的速率、时间段各行其道。这样既可以保证每个应用的正常使用，避免各部门间的无序带宽争夺，又可以防止某些应用占用带宽过大而造成整个公司网络的拥塞。三级嵌套的通道结构允许通道之间可存在借用关系：当上级通道的保证带宽有富余时，下级通道可以借用上级通道的剩余带宽。通过对通道内的数据流“削峰填谷”，抑制突发流量，复用空闲带宽，从而保证通道内数据流能平稳有序地传输。2.2.1.5 通道优先分级网康ITM的各级带宽通道均可以划分最多8个不同的优先级，优先级高的通道可以优先使用系统空闲的带宽资源。对通道进行优先分级，可以保证关键应用在进行带宽借用时，通过分配高优先级来优先借用网络中空闲的带宽资源，避免非关键应用抢占宝贵的网络带宽资源。2.2.2 限制非关键应用，降低带宽消耗现今，Web浏览、私人E-mail收发、P2P下载、网络电视、即时通讯及网络游戏等与工作不太相关的应用日益泛滥。本单位有限的出口网络带宽资源，迅速被P2P下载、网络电视等非关键应用和无关应用占用和吞噬，造成宝贵的带宽资源被滥用和浪费。在应用日益丰富的今天，出口带宽即使扩容也依然是杯水车薪，不能从根本上解决带宽瓶颈的问题。那什么是非关键应用？非关键应用就是优先级不太高的网络应用。当网络异常繁忙时，这些网络应用将被限定在一定的范围内，而当网络资源比较空闲时，该网络应用将会得到一定程度的满足，例如迅雷下载等P2P应用、QQ等即时通讯、在线视频等应用。我们知道，由于P2P、网络电视等应用会对带宽资源进行无节制的侵占，因此必须对其带宽进行整体控制，否则P2P等应用将会对现网其它应用带来严重的负面影响。网康ITM可使用户在无需追加带宽投资，即无需增加网络出口带宽的情况下，通过流量限速、流量限额、并发连接数控制等方面对非关键应用进行全面管控，有效提升了当前的带宽利用价值，避免因额外租用出口带宽资源而增加网络运营成本，并明显改善网络带宽资源的使用状况。2.2.2.1 流量限速网康ITM每用户的流量限速功能可以在不封堵某种网络应用的情况下，将其上传、下载带宽限定在某个合理的范围内，这样既可以保持相关网络应用的可用性，又能够防止这些应用对有限带宽资源的无序抢占。网康ITM有两种方式对流量进行限速。首先，网康ITM可以对每用户的网络访问速度进行限制，防止有限带宽资源被少数用户不合理地长期抢占，从而保护了其它用户的网络服务质量；其次，网康ITM可以基于一组用户的整体网络访问速度进行限制，防止本单位某个部门滥用带宽资源进而影响其它部门的正常网络业务的使用，进而实现网络资源的公平分配，并构建和谐的网络资源使用环境。2.2.2.2 流量限额除了基于流量限速的维度进行管理外，网康ITM还可以基于流量额度的维度对用户和应用进行管理，防止用户长时间占用网络带宽资源。网康ITM可从流量额度管理的角度对网络应用进行控制，通过为某种网络应用设定流量限额阀值，在预定的周期性时间段及某（些）VLAN范围内，限制此应用的流量总额，实现了对非关键应用特别是不良应用的有效约束。网康ITM也可以通过两种方式实现基于应用的流量限额。首先，网康ITM可实现基于每用户的流量限额，通过为某用户、某个VLAN或某种网络应用在一定时间段内设定一个流量配额值，即通过一条策略就能对所有用户中的每个用户设置相同的流量额度，从而有效限制P2P、流媒体等大量消耗网络带宽的非关键业务应用。如果在设定时间周期内（如日或月）达到了预设的流量限额，将暂时禁止已达限额制的用户使用该网络应用，直到下个限额时间周期来临方可再次获取预定的流量限额。其次，网康ITM可实现基于用户组整体进行流量限额，可按时间、VLAN、应用等条件，对流量的总体依据流向和限额周期进行灵活有效地管理。对于流向，可以按照上传、下载、双向进行管理；对于流量限额周期，可以按照日、月或日月叠加的方式进行灵活管理。2.2.2.3 并发连接数控制众所周知，P2P应用就是通过建立大量连接实现高速下载，虽然每个连接的传输流量不大，但大量连接同时新建并存在，就会极大地消耗有限的网络带宽资源，给本单位网络构成巨大的压力。网康ITM除了对用户和应用流量进行限速和限额控制外，还可以基于连接数控制（包括并发连接数控制和每秒新建连接数控制），限制每用户和用户组的总体并发连接数和每秒新建连接数，从而避免建立海量的P2P连接和系统免遭无孔不入的DOS/DDOS攻击。每用户的连接控制功能强调每用户的概念，通过为某用户、某个VLAN设定并发连接数和每秒新建连接数，即通过一条策略就能对所有用户中的每个用户设置相同的并发连接数和每秒新建连接数，有效限制某（些）用户对网络设备资源的无限占用，避免产生异常流量和网络攻击。当某个用户的连接超出最大连接数限制或每秒新建连接速率时，新的连接就会被禁止。基于整体的连接控制能对一组用户的总体并发连接数和总体每秒新建连接数进行控制，避免某些应用如P2P等滥用网络设备资源。它可按时间、VLAN、应用等条件，对总体并发连接数及总体每秒新建连接数进行实时准确的控制。当通道内的实际连接数超出最大连接数限制或每秒新建连接数时，如欲建立新连接就会被网康ITM阻止。2.2.3 封堵无关应用，提升工作效率什么是无关应用？无关应用就是本单位要求必须严格禁止的应用。我们知道，如果员工在办公环境下使用在线游戏、在线炒股等与工作无关的网络应用，会极大降低工作效率，造成人力资源的巨大浪费。对于XX单位来说，也可能会有一些网络应用是必须严格禁止的，诸如网络游戏、网络炒股等应用。网康ITM通过每用户的应用封堵和通道整体的应用封堵功能，严格禁止用户使用与工作无关、降低工作效率、甚至有安全风险的网络应用。网康ITM有两种方式实现对应用的封堵：首先，网康ITM可以实现对基于内部用户的指定网络应用的完全封堵；其次，网康ITM可以实现对内部用户访问外部某服务器的指定网络应用进行完全封堵，避免“一刀切”式的网络应用封堵，从而达到节约并有效利用现有网络的带宽资源的目的。通过这两种封堵方法，网康ITM可实现对不良网络应用进行屏蔽，从而提升员工的工作效率。2.2.4 优化网络应用，提升带宽价值在经济一体化的今天，各企事业单位的组织架构经常是跨区域的。远在各地的分支机构访问总部的各种应用（如邮件服务器、ERP服务器等）受广域网和出口带宽的限制特别明显，各种远程交互式应用的速度经常十分缓慢。同时网康ITM通过在双端部署网康ITM设备，通过数据压缩功能，实现应用加速，大大降低了网络中单个业务或应用的传输数据量，有效提升了当前的带宽利用价值，避免因额外租用出口带宽资源而增加网络运营成本。网康ITM通过在现有网络条件下对跨广域网的各种应用进行优化，极大地提高了交互式应用的响应速度，在不增加出口带宽资源的情况下，深挖现有带宽的利用率，大大提高了带宽资源的利用率。2.2.5 降低网络风险，提高网络可靠性当前的各单位出口网络，呈现出如下几个方面的特征：首先，现今的企事业单位网络中心，各种网络设备应有尽有，防火墙、IPS、IDS、防毒墙、邮件过滤网关等层不不穷，而象防毒墙、邮件过滤网关等设备就像糖葫芦一样，一个接一个串在出口网络中，当其中任何一台设备出现问题时，都会殃及整个单位所有人员的正常网络应用。其次，象邮件过滤网关，其真正关心的流量是与邮件相关的流量，不关心象P2P等其它流量，但由于邮件过滤网关串接在网络中，其不得不承受象P2P这样的流量压力，对设备性能提出了极高的要求，给设备的稳定运行带来了安全威胁。第三，同时诸如异常流量、DDOS攻击等时刻威胁着本单位的网络安全。网康ITM可提供两种方式的应用引流，一种方式是应用重定向，一种是应用镜像。首先，网康ITM的应用重定向功能提供专门的流量清洗接口，支持将网康ITM指定链路的所有流量或指定应用的流量从本ITM设备发出，经网康互联网控制网关（简称ICG）或其它第三方产品（如防病毒网关、邮件过滤网关等）进行流量过滤和处理后再回注至本设备。应用重定向的好处显而易见，一方面帮助本单位在引入新的网络设备时，避免新网络设备已串糖葫芦的方式串接入网，另一方面通过提供专门的接口，帮助客户实现流量清洗的目的，另，极大提高了现有网络的可靠性和稳定性。其次，网康ITM提供流量镜像功能，方便第三方设备对关心的流量进行专门的分析和统计。网康ITM可将指定链路的流量（如总流量、上传流量、下载流量）镜像给网康互联网控制网关（简称ICG）或其它第三方产品，方便第三方设备进行相应的流量观察和流量分析。网康ITM流量镜像的优势在于，能够将本设备上的多条链路的流量同时镜像给多个第三方设备。这样可以将客户现网的交换设备解放出来，既可以节约客户网络的交换设备资源，更重要的是还可以规避丢包现象的发生，保证镜像流量的完整性，为第三方设备进行流量分析提供了可靠的保障。网康ITM通过应用引流的方式把相关的应用分发给对应的网络安全网关，如邮件过滤网关等，彻底避免了网络设备串糖葫芦的组网方式，大大降低了网络安全风险。我们知道，人际互联网络互联的今天，随着应用的日益丰富，各种网络攻击也日益猖獗。网康ITM通过对网络异常流量和网络攻击进行预先防护，大大提高了网络的可靠性和稳定性。同时客户网络的特殊需求和安全考虑，网康ITM还可以通过旁路监听部署的方式，帮助客户进行流量的统计分析。2.2.6 网康ITM的特点2.2.6.1 精确的流量统计统计功能可为网络管理者提供了进一步的分析能力，使其能够根据问题的关注点，从宏观上深入理解网络的整体使用情况。网康ITM的统计功能可基于指定用户、日期、时间、网络应用和策略等统计条件的组合进行统计。网康ITM支持递进式（Drill-down）和多维关联分析的统计功能，并可将统计结果生成统计报告或将结果保存或邮送。网康ITM的流量统计特点如下： 统计指定日期、时间的各应用的上传/下载/总流量及用户数量，支持递进式查收和多维关联分析 统计指定日期、时间的各用户的上传/下载/总流量及应用数量，支持递进式查收和多维关联分析 统计指定日期、时间的各通道的上传/下载/总流量、应用数量及用户数量，支持递进式查收和多维关联分析2.2.6.2 专业的流量报告我们知道在实际使用中，网络管理员不仅有对网络进行监控和管理的需求，而且更重要的是通过对网络现状的分析，进行有针对性的网络优化，从而充分发挥现有网络的潜在价值。网康ITM的报告功能帮助网络管理员灵活提取网络使用状况的信息，形成丰富而全面的报告。网康ITM通过诸如走势图、叠加图、二维表、柱状图、饼状图等图表，从不同的分析角度为网络管理员提供清晰而全面的网络流量分析报告，并为下一步制定网络流量优化策略提供直观的决策依据。同时生成的报告可以进行邮送、打印及订阅。网康ITM的流量报告有如下种类： 输出指定日期、时间、通道、应用、用户的总流量走势图（如图16）及应用流量叠加走势图 输出指定日期、时间、通道、用户的TOP N应用流量排名图（表） 输出指定日期、时间、通道、应用的TOP N用户流量排名图（表） 输出指定日期、时间、应用、用户的TOP N通道流量排名图（表）2.2.6.3 灵活的管理策略流量管理产品要能够根据用户的实际需求，提供强大而完善的控制手段。通过不同时间段、不同用户、不同网络应用、不同控制动作等条件,实现不同情景下的策略配置。另外，由于任何网络流量的使用都和人的因素密不可分，因此必须能够对用户进行灵活的分类管理，从而使控制策略更加符合实际需要。 基于用户、应用、时间、数据流向（上传/下载）、带宽通道、控制动作等条件，设置灵活的策略组合，实现按照每部门/每用户、每应用设置差异化的流量控制策略； 提供应用封堵、流量整形、流量限额、连接限制等多种手段，实现流量控制的多种效果； 通过主通道、子通道、微通道三重嵌套管理机制，实现层次化的流量整形，满足用户细粒度的带宽管理要求； 支持带宽借用/还贷机制，并根据用户数量的变化动态调整带宽分配，保障带宽资源高效与公平利用。2.2.6.4 全面的应用协议库 覆盖全面的应用协议库对应用的识别是进行流量控制的基础，网康ITM覆盖各种主流应用，特别是结合国内网络应用的实际情况，提供对迅雷、QQ等本土活跃应用的识别。另外，网康ITM应该能够对如QQ这种具有即时消息、文件传输、音频视频、游戏等多种子协议的网络应用，提供精细化的应用识别和控制。 人性化的应用协议管理网康ITM对应用协议库按照树状结构进行了分类，如P2P、Games、IM、股票等，而且分类中的每种应用都以软件名称命名，使用户能够一目了然的进行选择。而且支持对子应用的划分，如对QQ可以进一步细化到网络硬盘、游戏、文件传输等，使用户能够根据实际需要精确选择所要控制的应用类别。 应用协议库的持续更新各种网络应用层出不穷，而且版本不断升级，因此只有对应用协议库进行定期更新，才能保障应用控制的有效性。网康专业的应用协议分析团队实时跟踪新的网络应用，保证每两周至少更新一次应用协议库，确保应用协议库的完备性与时效性。用户既可以通过手工点击的方式及时更新，也可以通过预设时间实现周期化的定时自动更新。2.2.6.5 稳定可靠的运行 硬件设备支持断电物理直通，避免电源失效导致的网络中断； 独有的一键式旁路切换技术，主动调整系统负载； 灵活的软件死锁与高负载自动跳转技术，根据预设阈值自动分流高负载流量； 系统软件热备，当主控制系统发生异常后，备份系统可保持系统继续运转；2.3 网康流量管理方案优势体现2.3.1 高性价比2.3.1.1 增值“多”网康ITM在除了能提供基于应用的流控功能（带宽保证、流量限速、流量限额、并发连接数控制、应用封堵等）外，还提供应用引流（包括应用镜像、应用充定向等）。同时，该设备除了通过透明桥接的方式串接部署在现有网络中，还可以根据需要，旁路部署在客户网络或一条链路桥接、一条链路旁路监听的混合方式部署在客户网络中。2.3.1.2 见效“快”功能配置后，效果可以立刻以可视化的图形展现，直接可以看到是否已经达成了客户的优化预期，根据可视化效果的反馈，可进行进一步的优化。2.3.2 健壮性2.3.2.1 可靠性“高” 双系统并存通过FLASH 卡+ Hard drive 的双主控系统并存，提升产品的时序可用性，当一个主控系统崩溃后，另外一个系统可以独立的工作，并支撑整个设备的运行。并且通过Flash卡可以对硬盘系统进行快速修复，进而重新恢复双主控。 内置Bypass单元通过带电模式下的智能Bypass功能，当系统出现宕机等严重异常时，工作接口可以自动的物理导通，同时管理接口还可以继续排查设备的问题。在不影响用户正常使用的同时，还能定位问题的来源。 串行HA为了保证XX单位网络运行的稳定性和可靠性，部署两台网康LB，并让这两台设备运行在串行HA的模式下。网康LB的HA功能能够实时同步主设备的各种流量管理策略至辅设备，保证在主LB设备出现故障时，辅LB设备能够快速接管原主设备的工作。2.3.2.2 性能“高”网康科技的产品拥有多项高性能优化专利，在同等级的硬件平台上可以提供更强的处理转发性能，从而有效的避免新添加的设备带来的网络延时（延时仅2毫秒），在提供上网行为管理功能的同时，不会不影响原有线路的质量。序号专利申请号专利名称1200810226987.3 一种多核并行的网络业务流处理方法及设备2200810226986.9 一种网络连接跟踪方法及其系统3200910243573.6 一种基于ring的多核CPU负载均衡方法及系统2.3.2.3 安全“高”网康科技采用了网康的NSOS操作系统，并进行了安全加固，可有效的防护对设备的攻击和入侵，全面保障设备自身的安全。网康科技采用了独有的用户交互隐身技术，使得最终用户无法获取网康ITM和网康LB管理口的地址，避免了可能的有针对性的尝试攻击，或者DOS攻击。2.3.2.4 专业支持“高”网康除了提供便捷的4006783600热线电话外，还通过ITM设备和LB设备内置的大量帮助文档，实现了在线的即席帮助，每个页面的帮助点击，都是直接显示了详细的这个功能的具体帮助文档，方便操作人员随时查看，获得支持。2.3.2.5 员工效率“高” 通过对带宽节省，可以提升关键应用的访问速度，提升员工的工作效率 通过区分应用的不同的流量限额，软性地减少了非关键应用的使用额度，提升了工作效率 通过对无关网络应用分时阻断，可以避免上班时间的时间浪费，从而提升员工的工作效率效率2.3.3 易用性2.3.3.1 部署“易”由改造后的网络拓扑图可以看出，本次项目网康科技ITM设备和网康LB均采用了透明桥接的方式部署到网络中，此种部署模式下，网康ITM和网康LB均可以象一个交换机一样部署在线路上。这种模式不影响网络中用户的原有报文转发结构，不需要其它设备作任何配置改变，并且设备上线十分简单，仅仅做一下线路断开再连通即可，操作量小，部署方便快速。2.3.3.2 维护“易” 修改任何设备配置无需重启，满足不间断运营的要求 采用图形化报警方式，使得风险可快速被管理员获得 管理采用HTTPS方式，对浏览器无插件依赖， Google，Firefox均可使用，避免出现同类产品的只能使用IE的局限性，满足管理灵活管理的要求。 提供大量专有命令行语句，可以方便的通过加密的远程登录SSH 进行设备的控制和管理，远程访问快速。 可进行串口方式配置，实现管理员在设备身边进行深层次的配置和问题定位。 系统健康参数一目了然，CPU、内存、硬盘使用率、持续运行时间一幕了然 清晰的管理员操作日志，通过日志可以清晰的看到登录时间，管理员帐号，进行的操作改动细节，便于发现管理误操作。 排错简单，一键bypass功能按下后，可直接定位问题是否由网康ITM或网康LB造成，同时不影响现有网络的访问。 各分支设备可集中管理，实现设备状况统一监控，策略集中下发，集中回收。2.3.3.3 操作“易”通过图形化的操作方式，以及标准的配置过程模式，利用鼠标的勾勾选选即可实现策略的完整配置，满足非专业人员的快速使用。 标准的配置逻辑，思路清晰第一步，建立用户、时间、带宽等条件对象或动作对象；第二步，引用条件对象和动作对象，建立相应的策略第三步，激活单个或批量策略，使策略立即生效 勾勾选选，完成策略： 策略展示清晰：2.3.3.4 升级“易”无论是网康ITM还是网康LB设备，其软件版本均是一键升级，用户只需一次点击升级按钮即可实现全版本的更新，升级完毕的系统中完全保留已有数据日志可继续查看。整个升级过程不依赖客户端，没有任何需要判断的分支步骤我们知道，应用协议库是流量管理产品的核心，网康ITM的应用协议库更新也是通过一键升级来完成。为了保证对各种活跃的网络应用协议特征的及时跟踪和识别，网康ITM的应用协议库每2周至少更新一次。2.3.4 有效性我们知道，对应用协议的识别是进行流量控制的前提和核心。网康ITM的应用协议库已支持超过500种活跃的本土应用及协议，全面覆盖电子邮件、P2P下载、即时消息、VoIP、网络视频、网络游戏等主流应用。网康应用协议库尤其能结合国内网络应用的实际情况，提供对迅雷、QQ等本土活跃应用的识别，使用软件进行协议命名，方便使用者快速理解。同时，同一种应用的不同版本不独立显示，而是涵盖在一个应用名称中，避免出现协议列表过长的查找不便。俗话说，魔高一尺道高一丈，为了反封堵和控制，象迅雷、QQ等活跃的中国本土应用也在不断地推出新版本，并频繁地更换新Signature（特征）。因此，只有对应用协议库进行长期例行的定期更新，才能保障应用控制的有效性。为了保证对这些活跃应用的准确及时的识别和控制，网康公司通过专业的应用协议分析团队实时跟踪新的网络应用，做到每两周至少更新一次应用协议库，保证应用协议更新快，确保应用协议库的完备性与时效性。用户既可以通过手工点击的方式及时更新，也可以通过预设时间实现周期化的定时自动更新。第 26 页 共 26 页