H3CACG应用控制网关介绍.ppt

H3CACG应用控制网关介绍 ISSUE1 X 日期 杭州华三通信技术有限公司版权所有 未经授权不得使用与传播 网络扩容的怪圈 为什么带宽总不够用流量管理还停留在带宽上 未知的业务应用 引入 了解ACG产品的主要特性掌握ACG产品的部署方式掌握ACG的实施方法和注意事项掌握ACG产品的常见问题处理 课程目标 学习完本课程 您应该能够 流量管理现状分析H3CACG产品介绍H3CACG功能介绍H3CACG典型应用流日志与带宽管理特性应用流量计费特性应用行为审计特性应用常见问题处理 目录 网络带宽扩容的怪圈 拥塞 扩容又拥塞 再扩容又拥塞 P2P挤占大量网络带宽当前P2P流量已经占整个互联网流量的约70 并且正在以每年350 的速度增长 P2P导致网络拥塞实例 联通发布的企业网流量使用图 P2P挤占大量企业网带宽根据联通公司发布的一份调查显示 以BT与eDonkey为代表的P2P应用 消耗了60 以上的有效网络带宽 网页打不开 邮件发不出去 视频会议时断时续 如何应对工作效率的杀手 企业员工上班时间网聊 炒股 游戏等严重影响了企业的效益据中国人才热线的一次网络调查显示 涉及经营管理 IT 市场营销 财务金融 服务 行政和人力资源管理等不同行业的2000名被调查者中 仅在工作中使用MSN QQ等聊天工具的比例高达89 2 流量运营中的收费盲点 据不完全统计 仅山东网通1拖2以上的非法宽带共享用户近30万户 温州市通过共享接入一拖4以上的用户数目将超过2 9万户 使运营商蒙受巨大经济损失 学校中普遍存在通过代理或NAT的形式逃避计费的现象 形成1代3 甚至1代8 一个开通了3000个帐号的校园网络 如果有9000个用户逃避计费 每用户包月费用按20元计算 那么全年的损失为 20 10 9000 180万 如何拒绝不良网站侵扰 互联网络上色情 赌博 邪教等有害站点迅速增加 不良网站泛滥严重侵扰了人们正常的工作 学习和生活秩序 网络上不健康的内容影响了整个社会的和谐发展 业务流量监控 流量管理陷入困境的症结在哪 目前的流量管理模式是基于带宽的粗旷式管理 对网络上业务流量的类型及使用情况等知之甚少 无法实现流量的完全监控和管理 传统解决方案无能为力 应用层流量轻松穿越 H3C业务流量运营解决方案 H3CACG应用控制网关 流量管理现状分析H3CACG产品介绍H3CACG功能介绍H3CACG典型应用流日志与带宽管理特性应用流量计费特性应用行为审计特性应用常见问题处理 目录 H3CACG应用控制网关产品形态 ACG硬件架构可扩展性 扩展接口卡 ACG2000 M SecBladeACG插卡 4GE 8GE接口卡 最大可支持18个GE接口 提供强大的扩展能力 SecBlade插卡可以配合S75 S95高端交换机进行部署 流量管理现状分析H3CACG产品介绍H3CACG功能介绍H3CACG典型应用流日志与带宽管理特性应用流量计费特性应用行为审计特性应用常见问题处理 目录 应用流量识别与流量控制 应用流量分析 业务使用用户明细 各种业务的流量趋势 单个业务流量曲线 单个用户的某类应用业务流量趋势 应用业务分布饼图 共享接入监控与控制 一 识别范围 代理服务器 Internet ACG 共享接入识别程度 识别共享接入用户 共享接入主机数目 能够识别的代理软件 共享卫士 WinGate CcProxy WinProxy winRoute SyGate SuperProxy TP LINK 准确识别NAT PROXY方式接入 共享接入监控与控制 二 控制策略 最近共享用户统计 历史共享用户统计 提供共享用户主机数趋势 分布统计 支持实时和历史共享查询 共享接入控制策略 限制带宽 阻断 推送web页面告警支持按时间段和指定频度实施控制策略 URL过滤 Internet 法轮功 ACG PLAYBOY 通过自定义主机名 IP地址等方式设置URL库 能够对不同的URL策略以及不同时间段设置不同的响应方式 保证学生或企业员工不被色情 暴力 邪教等网站侵扰 HTTP流量计费管理 对HTTP访问设置了重定向到web认证计费页面的管理规则 Web认证计费页面 流量管理现状分析H3CACG产品介绍H3CACG功能介绍H3CACG的部署流日志与带宽特性应用流量计费特性应用行为审计特性应用常见问题处理 目录 ACG的工作原理 SecCenter ACG2000 M ACG2000 M ACG2000 M ACG2000 M 1 SecCenter可以通过安装ACGManager或者ACGReporter来实现 ACGReporter仅能进行流量分析 不能下发策略 2 策略可通过在ACGManager下发 也可单独在ACG上配置 ACG的部署方式 inline部署 1 ACG透明部署在需要分析的流量线路上 将流日志送给远端的管理中心 2 策略可通过在ACGManager下发 也可单独在ACG上配置 ACG的部署方式 旁路部署 1 通过分光或者端口镜像将流量镜像给ACG ACG将生成的流日志发给SecCenter 2 由于是旁路模式 采用的动作仅能是发送TCPreset 或对VoIP干扰 不能进行限流 流量管理现状分析H3CACG产品介绍H3CACG功能介绍H3CACG的部署流日志与带宽管理特性应用流量计费特性应用行为审计特性应用常见问题处理 目录 流日志特性配置关键点 ACG 调整ACG系统时间与管理中心一致在 里 添加ACGreporter的IP地址 端口号信息在 打开所有服务的流日志ACGManager Reporter添加设备详细的配置步骤和注意事项参考 带宽特性配置关键点 ACG BWC管理 创建 应用带宽控制 数值 动作管理 创建 限速动作 引用数值 动作集 引用 动作 带宽管理策略 里面创建规则 将 服务 与 动作集 关联在段上应用 带宽管理策略 激活 配置 带宽管理的典型配置和注意事项请参考 流量管理现状分析H3CACG产品介绍H3CACG功能介绍H3CACG的部署流日志与带宽管理特性应用流量计费特性应用行为审计特性应用常见问题处理 目录 流量计费特性配置关键点 详细的配置步骤和注意事项参考 流量计费 流量管理现状分析H3CACG产品介绍H3CACG功能介绍H3CACG的部署流日志与带宽管理特性应用流量计费特性应用行为审计特性应用常见问题处理 目录 行为审计特性配置关键点 ACG T6103版本 调整ACG系统时间与管理中心一致开启HTTP网管服务修改 Notify 动作 指定syslog主机为SecCenter使能 协议内容审计策略 中的所有规则 将策略下发到段ACGManager Reporter T0004版本 添加设备详细的配置步骤和注意事项参考