,網(wǎng)絡(luò)新時(shí)代下的流量安全 AceNet流控墻產(chǎn)品及應(yīng)用,2,日程,1. 流控墻產(chǎn)品設(shè)計(jì)背景,2. AceNet流控墻,3. 高教行業(yè)應(yīng)用分析,4. 成功案例,5. FAQ,3,日程,1. 流控墻產(chǎn)品設(shè)計(jì)背景,2. AceNet流控墻,3. 高教行業(yè)應(yīng)用分析,4. 成功案例,5. FAQ,4,各種用戶連入網(wǎng)絡(luò),P2P、IM各種應(yīng)用帶來(lái)的挑戰(zhàn),各種業(yè)務(wù)在網(wǎng)絡(luò)開(kāi)展，對(duì)網(wǎng)絡(luò)提出更高要求,多條鏈路，多出口需要更加策略化的使用,網(wǎng)絡(luò)應(yīng)用的變遷帶來(lái)的挑戰(zhàn),5,P2P時(shí)代的流量模型,6,用戶網(wǎng)絡(luò)行為模型的變化,每個(gè)用戶的開(kāi)啟的應(yīng)用程序在增加 單個(gè)用戶的并發(fā)連接數(shù)也在迅速增加 UDP報(bào)文在迅速增加,過(guò)去,現(xiàn)在,7,網(wǎng)絡(luò)帶寬占用比例,8,P2P占用網(wǎng)絡(luò)帶寬比例,9,流量安全變得越來(lái)越重要,流量可控,流量可追溯,流量可視,流量安全,10,挑戰(zhàn)對(duì)設(shè)備要求的改變,傳統(tǒng)網(wǎng)絡(luò)設(shè)備不能在L7應(yīng)用層分析數(shù)據(jù)流量,傳統(tǒng)設(shè)備不能有效的進(jìn)行帶寬保障和管理,傳統(tǒng)設(shè)備不能有效的進(jìn)行流量記錄,新設(shè)備來(lái)進(jìn)行 流量管理,11,現(xiàn)有設(shè)備的疊加方案1,防火墻,流量控制,DMZ,Internet,Internet,內(nèi)網(wǎng),流控設(shè)備無(wú)法感知外部鏈路的流量狀況,防火墻沒(méi)有帶寬保障和流量?jī)?yōu)化功能,內(nèi)部攻擊流量控制設(shè)備,12,現(xiàn)有設(shè)備的疊加方案2,防火墻,流量控制,DMZ,Internet,Internet,內(nèi)網(wǎng),無(wú)法對(duì)內(nèi)網(wǎng)IP進(jìn)行流量分析和優(yōu)化控制,多條鏈路需要多臺(tái)流控設(shè)備,外部攻擊對(duì)流量控制設(shè)備的影響,13,AceNet的流控墻解決方案,DMZ,ISP1,ISP2,AceNet流控墻,內(nèi)網(wǎng),14,日程,1. 流控墻產(chǎn)品設(shè)計(jì)背景,2. AceNet流控墻,3. 高教行業(yè)應(yīng)用分析,4. 成功案例,15,AceNet 公司介紹,Found in 2003 Headquarters in Santa Clara, California, USA Greater China Sale Offices: Beijing , Shanghai , Guangzhou, HK,Taipei R&D: Santa Clara in USA , localization team in Shenzhen China Extensive Network and Distributed infrastructure experience Leader of Network Application Layer IC/Device design AceNet delivers Wire-Speed, High-performance, comprehensive, policy-based, Application Services and Security Control appliance. Base on awarded patent SSPPTM Sales Awareness Product release 2nd half of 2006. Implement up to 100+ customers globally Focus on Service Provider, FSI, Education ,Manufacture ,Transportation, Utility, Healthcare ,Governments ,16,AceNet 流控墻,高性能防火墻,多出口策略,流量分析管理,Security control,Service control,流量的應(yīng)用層識(shí)別、分析控制和安全組合的領(lǐng)先產(chǎn)品 SSPP專(zhuān)用集成芯片為核心 全線速產(chǎn)品,AceNet 流控墻,17,SSPPTM 業(yè)務(wù)流策略處理器,Service Session Policy Processor業(yè)務(wù)流策略處理器,AceNet設(shè)計(jì)的流量安全的專(zhuān)用集成電路,3千萬(wàn)邏輯門(mén)以上級(jí)專(zhuān)用芯片,革命性的集成L2L7處理芯片,高達(dá)10Gbps的處理量,18,Business Intelligence Real time ,Alerts , Reports,Adaptive Capability Transparent ,Routing ,NAT,System Scalability Wire-Speed,Policy Enforcement IP ,Subnet ,User ,Group ,Schedule etc.,L7 Service Control QoS ,Bandwidth Guarantee,Application Visibility Video,VoIP,P2P/IM,hhttp,email etc.,ASIC SSPP,SSPPTM 系統(tǒng)先進(jìn)性,19,Service Control,P2P Traffic Control,Security Control,+,=,Security,Business Traffic,Audit Trail,P2P Application Analysis P2P Behavior Monitoring P2P Bandwidth Control,Optimize Bandwidth Policy-based traffic control Multi-homing Load Balance Traffic Statistic Dynamic Bandwidth control,NAT/PAT User Authentication & Authorization User Blacklist User/Group IP traffic comtrol,IM / P2P / FTP log URL / email log,AceNet 流控墻應(yīng)用點(diǎn),20,R,R,R,R,R,R,Bandwidth,Qos,Concurrent Session,Subnet,User,IP,Group,Schedule,Policy,Policy,Policy,Policy,Policy,AceNet 流控墻多層次流控,21,WAN Load balance,Concurrent Session,Application QoS,Bandwidth,強(qiáng)大的策略引擎,22,Analysis Module L7 DPI,Action Module QoS, Rate-limit Pass-through,log,BT, Emule.,Http,IM(MSN),Http(QoS),IM(MSN),Traffic Monitor,PP Stream,PP Stream,Rate-limit,AceNet SSPPTM,AceNet 流控墻SSPP中的流控模塊,23,Performance Report,Servegate EdgeForce Fortinet Nortel ASF185FE CISCO PIX525,Netscreen AceNet AG3000,This is the test result from a China Telecom. The ones with model name are most middle-end USA product. Test result of AceNet is from NCTU, Taiwan The Curves, from low to high in 64 byte packet are the following vendors from top to buttom, left column and then right column The y-axis is the access rate instead of the throughput. Most of the tested products are subgigabit product (multiple FE ports). e.g. NS-208s is 550Mbps. AceNet is targeting 100% access rate of throughput 2000 Mbps,AceNets Traffic Delay: 0.022ms (max.),24,Session Connection Rate,25,25,Instant Message,VoIP,Azureus,File Sharing & Streaming,Instant Message,and rapid update.,Signature and Behavioral Recognition,26,P2P行為分析,27,P2P行為分析,28,業(yè)務(wù)流控制圖,Analysis chart of network usage BT and PPlive occupied 80% of the bandwidth From 21:30 21:50, BT was controlled under 200Mbps, and around 21:40, PP live is rate limited too.,29,IM 控制,Support rich of IM applications and deny by chat ,voice and file transfer .Besides , chat message would be recording by AceReporter.,IM Log- MSN,Control by behavior,30,P2P 控制,Deny the specific P2P application or assign the bandwidth and limit the session.,return,31,BlackList Setting,Administrator define the traffic quota by day/week/month/quarter/year on every user .If the user exceed the traffic limit then will be classify as “Blacklist” and system automatically enable SOQ feature of service , the default rule is suspend service for 1 day. Besides, its manageable of suspend user from Blacklist table.,Blacklist Users,Cycling of quota,32,Real Time Traffic Monitoring,33,Top 10 Traffic and Session Ranking,34,用戶流量統(tǒng)計(jì),User statistics function is able to monitor the traffic per user and online time information.,35,Service and Session Statistic Report,36,Host Pair and Protocol Statistic Report,return,37,產(chǎn)品 Road Map,$,Carrier Grade,Enterprise,SMB,Performance,AG-500,AG-5000,AG-8000,AG-3000,AG-1000,AG-300,AG-100,CME,AME,10G,1G,10M,IPv6,38,AG產(chǎn)品系列和特性,Value Features: Application Traffic Management including P2P. Security Firewall, NAT, anti-DoS/DDoS, VPN, AAA, etc. Multi-ISP (up to 8) policy routing. All ports can be programmable to WAN, LAN or customer defined.,39,AceNet 部署 1 LAN & Gateway,AceNet deploy in LAN & Gateway,Desktops,Server,Internet,AceNet,Internet,ISP1,ISP2,AG部署模式 透明模式 交換模式 路由和地址轉(zhuǎn)換模式,40,AceNet 部署2 Hub & Spoke Net,AceNet deploy in branch and Central management,Desktops,Router,Server,Internet,AceNet,Internet,AceNet,Desktops,Central office,41,AceNet 部署 3 服務(wù)器網(wǎng)段前,Desktops,Router,Server,AceNet,Desktops,Central office,42,AceNet復(fù)合部署模式,43,日程,1. 流控墻產(chǎn)品設(shè)計(jì)背景,2. AceNet流控墻,3. 高教行業(yè)應(yīng)用分析,4. 成功案例,44,高校網(wǎng)絡(luò)狀況和需求分析,活躍和大量的用戶群體 不受管理和控制的用戶機(jī)器設(shè)備 各種應(yīng)用的普遍使用，難以管理和控制 多個(gè)出口并存，教育網(wǎng)和電信或網(wǎng)通 承載教學(xué)業(yè)務(wù)流量和學(xué)生上網(wǎng)流量 巨大的數(shù)據(jù)流量,45,AG流控墻在高校中的應(yīng)用,高校網(wǎng)絡(luò)出口 新舊校區(qū)或校園網(wǎng)重點(diǎn)區(qū)域中的連接 服務(wù)器網(wǎng)段前,46,AG設(shè)備出口應(yīng)用,高校網(wǎng)絡(luò)出口,多出口的P2P控制,高性能防火墻地址轉(zhuǎn)換,用戶會(huì)話數(shù)控制,詳細(xì)的日志記錄,47,AG設(shè)備在服務(wù)器網(wǎng)段前,高校服務(wù)器群前,關(guān)鍵業(yè)務(wù)的帶寬保障,服務(wù)器網(wǎng)段流量監(jiān)測(cè)和控制,服務(wù)器會(huì)話數(shù)管理,詳細(xì)的日志記錄,48,流控墻使用能給高校用戶帶來(lái)什么好處？,優(yōu)化網(wǎng)絡(luò)流量,保障業(yè)務(wù)正常開(kāi)展,管理網(wǎng)絡(luò)流量，降低企業(yè)運(yùn)行成本,流量安全控制，提高網(wǎng)絡(luò)可用性,IM和流量?jī)?nèi)容記錄，降低安全風(fēng)險(xiǎn),高投資回報(bào)率,49,日程,5. FAQ,1. 流控墻產(chǎn)品設(shè)計(jì)背景,2. AceNet流控墻,3. 高教行業(yè)應(yīng)用分析,4. 成功案例,50,中國(guó)大陸地區(qū)2007年部分成功案例,南京師范大學(xué) 復(fù)旦大學(xué) 揚(yáng)州大學(xué) 南京信息大學(xué) 山東理工大學(xué) 山東建筑大學(xué) 天津科技大學(xué) 北京語(yǔ)言大學(xué) 上海靜安區(qū)教委 ,四川省政府信息中心 上海松江區(qū)信息委 西安碑林區(qū)政府 四川移動(dòng)公司 貴州省建行 寧波商業(yè)銀行 吉林網(wǎng)通 北京海淀寬帶(二級(jí)運(yùn)營(yíng)商) 北京人民網(wǎng) 上海海洋局 ,51,高教行業(yè)應(yīng)用方案介紹,52,教育行業(yè)山東某高校,校園網(wǎng)原先的網(wǎng)絡(luò)狀況 需求分析 AceNet的方案 用戶應(yīng)用AceNet方案之后的網(wǎng)絡(luò)狀況分析 用戶選擇AceNet的理由 案例特點(diǎn)總結(jié),53,山東某大學(xué)原有網(wǎng)絡(luò)出口拓?fù)鋱D,Internet,網(wǎng)通出口 1000M,教育網(wǎng),PAT,核心路由器,接入宿舍等,接入教學(xué)樓等,天融信防火墻,155M,54,網(wǎng)絡(luò)問(wèn)題分析(1),在天融信防火墻上只做了地址轉(zhuǎn)換，不能再添加任何安全策略，否則導(dǎo)致網(wǎng)絡(luò)丟包,原因: 1. 啟用PAT(地址轉(zhuǎn)換)功能后，防火墻CPU的利用率比較高; 2. 在學(xué)校出口的大流量高帶寬下，在增加安全策略后，受防火墻的性能限制，導(dǎo)致網(wǎng)絡(luò)丟包會(huì)比較嚴(yán)重,解決問(wèn)題的辦法: 更換性能更強(qiáng)的防火墻設(shè)備,55,網(wǎng)絡(luò)問(wèn)題分析(2),普遍存在學(xué)生上網(wǎng)行為不能有效控制，特別是P2P軟件的應(yīng)用占用大量網(wǎng)絡(luò)帶寬（如BT，迅雷等）,原因: 學(xué)生對(duì)網(wǎng)絡(luò)資源需求廣泛，會(huì)對(duì)各種新的軟件，影音資料等進(jìn)行大量下載,后果: 嚴(yán)重影響了正常的web，Email，F(xiàn)TP應(yīng)用和學(xué)校遠(yuǎn)程教育等其它正常業(yè)務(wù)應(yīng)用的帶寬,解決問(wèn)題的辦法: 可以針對(duì)這些P2P應(yīng)用進(jìn)行帶寬的限制,56,網(wǎng)絡(luò)問(wèn)題分析(3),學(xué)校正常的應(yīng)用不能得到有效保障，時(shí)常出現(xiàn)網(wǎng)絡(luò)阻塞情況,原因: 被其它非重要應(yīng)用(P2P等)占用,后果: 導(dǎo)致學(xué)校的一些重要業(yè)務(wù)應(yīng)用在流量高峰期不能正常運(yùn)行,解決問(wèn)題的辦法: 利用AG設(shè)備提供的帶寬保障功能來(lái)保障web訪問(wèn)、Email、FTP、遠(yuǎn)程教育等重要應(yīng)用,57,網(wǎng)絡(luò)問(wèn)題分析(4),帶寬有效使用率偏低，運(yùn)用各種手段無(wú)法了解網(wǎng)絡(luò)帶寬真正使用情況,后果: 對(duì)平時(shí)的網(wǎng)絡(luò)運(yùn)行狀況無(wú)法全面了解,無(wú)法準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)中的瓶頸,出現(xiàn)流量異常,也無(wú)法很快定位問(wèn)題,解決問(wèn)題的辦法: 需要添加流量監(jiān)控設(shè)備提供的實(shí)時(shí)的流量分析和流量審計(jì)等功能來(lái)進(jìn)行分析查看，找出問(wèn)題所在,58,網(wǎng)絡(luò)問(wèn)題分析(5),網(wǎng)絡(luò)帶寬資源不能合理有效的分配,原因: 一些終端用戶過(guò)度使用網(wǎng)絡(luò)資源,例如使用P2P下載軟件等，同時(shí)不能準(zhǔn)確的了解網(wǎng)絡(luò)中用戶的使用狀況，沒(méi)有有效的措施和手段來(lái)控制發(fā)現(xiàn)的問(wèn)題，導(dǎo)致網(wǎng)絡(luò)帶寬資源不能合理的有效分配,解決方法: 對(duì)流量做適當(dāng)?shù)膬?yōu)化,對(duì)用戶占用網(wǎng)絡(luò)資源(帶寬,并發(fā)會(huì)話數(shù))做適當(dāng)控制,提高出口的防火墻的PAT性能, 同時(shí)利用日志，審計(jì)等功能來(lái)分析網(wǎng)絡(luò)的使用情況，根據(jù)分析的結(jié)果利用策略來(lái)進(jìn)行網(wǎng)絡(luò)資源的合理分配,59,網(wǎng)絡(luò)問(wèn)題分析(6),在網(wǎng)絡(luò)出口中有1G的網(wǎng)通鏈路，和155M的CerNet出口鏈路,原因: 學(xué)校想增加多個(gè)出口，為學(xué)生，老師等提供更好的網(wǎng)絡(luò)服務(wù),解決方法: 在拓?fù)浞桨冈O(shè)計(jì),設(shè)備選用的時(shí)候,一定要能滿足各種復(fù)雜網(wǎng)絡(luò)應(yīng)用,從成本的考慮,又要求單臺(tái)設(shè)備可以提供更多的功能,更高的性能（要保證1Gbps帶寬下實(shí)現(xiàn)PAT）.要求支持多出口（目前2個(gè)出口，以后還會(huì)增加）,各個(gè)出口配置不同的PAT或者透明模式的多種方案,要支持基于源地址,目的地址或協(xié)議的策略路由,60,用AceNet方案改造后出口拓?fù)鋱D,Internet,網(wǎng)通出口 1000M,教育網(wǎng),PAT,核心路由器,接入學(xué)生宿舍等,接入教學(xué)樓等,AG3000E,155M,61,AceNet方案網(wǎng)絡(luò)路由拓?fù)湔f(shuō)明,在網(wǎng)通出口開(kāi)啟PAT功能,配置IP地址池 Cernet出口以路由方式接入 配置VLAN,將網(wǎng)通鏈路和教育鏈路做了隔離 配置基于安全區(qū)的策略路由,所有從網(wǎng)通出入口進(jìn)來(lái)的,只走網(wǎng)通通路 開(kāi)啟基于安全區(qū)的策略路由 開(kāi)啟了對(duì)PAT轉(zhuǎn)換的日志-記錄所有session的詳細(xì)信息 開(kāi)啟了允許cernet訪問(wèn)內(nèi)部web服務(wù)器策略,62,AceNet方案開(kāi)啟的功能說(shuō)明,開(kāi)啟了IM的監(jiān)控功能 開(kāi)啟了對(duì)所有用戶的子網(wǎng)統(tǒng)計(jì)功能,可以實(shí)時(shí)查看流量最高用戶的速率和總流量以及并發(fā)會(huì)話數(shù)的排名 開(kāi)啟對(duì)單個(gè)IP地址的上下行帶寬的限制功能 開(kāi)啟對(duì)單個(gè)IP地址進(jìn)出的并發(fā)會(huì)話數(shù)的限制功能 開(kāi)啟了P2P流量的分析功能，并開(kāi)啟定時(shí)控制功能 使用了AceReporter軟件，統(tǒng)計(jì)和分析各種AG發(fā)出的流量日志,63,用戶應(yīng)用AceNet方案之后的網(wǎng)絡(luò)狀況分析(1),在線用戶的狀況,在統(tǒng)計(jì)中,一共出現(xiàn)過(guò)1971個(gè)IP地址!,目前在線的IP有1147個(gè).,64,用戶應(yīng)用AceNet方案之后的網(wǎng)絡(luò)狀況分析(2),并發(fā)會(huì)話數(shù)的情況,通過(guò)這兩幅圖我們可以分析不同時(shí)間的網(wǎng)絡(luò)并發(fā)會(huì)話數(shù)的情況,65,用戶應(yīng)用AceNet方案之后的網(wǎng)絡(luò)狀況分析(3),用戶的5分鐘的平均速率狀況(case 1),公網(wǎng)IP沒(méi)有對(duì)下載速率做限制,可以看到最高的下載速率可以達(dá)到3.5Mbps,對(duì)10.x.x.x網(wǎng)段的IP上行速率做限制之后,可以看到用戶的上行速率明顯被限制在2M之內(nèi),未做帶寬限制時(shí)，單個(gè)IP最高占用12M的帶寬！,66,用戶應(yīng)用AceNet方案之后的網(wǎng)絡(luò)狀況分析(4),用戶并發(fā)會(huì)話數(shù)排名情況,在對(duì)10網(wǎng)段的會(huì)話數(shù)控制之后,最高并發(fā)會(huì)話被控制在310以下,未對(duì)IP做任何并發(fā)會(huì)話限制的時(shí)候，看到最高單個(gè)IP的并發(fā)會(huì)話達(dá)到了9084！,67,用戶應(yīng)用AceNet方案之后的網(wǎng)絡(luò)狀況分析(5),每秒新建會(huì)話數(shù)的情況,中午平均每秒新建會(huì)話數(shù)4K,學(xué)生中午時(shí)間正在吃飯時(shí)間，所以不是很高,早上平均每秒新建會(huì)話數(shù)2K,學(xué)生早上時(shí)間利用網(wǎng)絡(luò)不是很高,68,山東XX大學(xué)選擇AceNet的方案理由,采用ASIC硬件的高性能的AG設(shè)備,輕松處理學(xué)校大流量大帶寬的流量 強(qiáng)大的基于IP和應(yīng)用的并發(fā)會(huì)話數(shù)控制和上下行帶寬的控制,使校園用戶提高了帶寬的利用率 靈活的組網(wǎng)方式,可以滿足學(xué)校出口的復(fù)雜的網(wǎng)絡(luò)拓?fù)湫枨?一臺(tái)設(shè)備完成了2臺(tái)設(shè)備的用途, 具有強(qiáng)大的防火墻功能,而且還有流量分析和控制功能,不僅解決了PAT的性能問(wèn)題,而且實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)流量的優(yōu)化 在高帶寬下,可以通過(guò)對(duì)流量日志和用戶審計(jì)功能的分析,歸納總結(jié)出整網(wǎng)的流量特點(diǎn),用戶的上網(wǎng)行為規(guī)律,同時(shí)可以更快,更準(zhǔn)確的定位網(wǎng)絡(luò)問(wèn)題,制定有針對(duì)性的流量控制策略，提高對(duì)校園用戶的服務(wù)質(zhì)量,69,用戶的其他選擇,Allot 只有流控功能,無(wú)法解決網(wǎng)絡(luò)出口性能瓶頸,只能工作在透明方式下,無(wú)法滿足用戶復(fù)雜網(wǎng)絡(luò)拓?fù)涞牟渴鹦枰?無(wú)法滿足經(jīng)濟(jì)性要求. Packeteer 性能不夠,無(wú)法處理超過(guò)300Mbps以上的流量,70,校園網(wǎng)出口應(yīng)用特點(diǎn)總結(jié),大學(xué)對(duì)做PAT的設(shè)備的性能有很高的要求,只有我們的設(shè)備能夠滿足,其他廠家的包括之前最強(qiáng)的NETSCREEN/FORTINET的高端產(chǎn)品的PAT性能,都無(wú)法滿足需求 大學(xué)除了Cernet出口外,一般還會(huì)租用多個(gè)網(wǎng)通、電信等ISP的互聯(lián)網(wǎng)出口,導(dǎo)致網(wǎng)絡(luò)拓?fù)洵h(huán)境復(fù)雜,就需要象我們?cè)O(shè)備這樣有靈活的組網(wǎng)方式，提供多出口的流量管理設(shè)備 校園網(wǎng)的上網(wǎng)用戶的網(wǎng)絡(luò)行為比較復(fù)雜，有強(qiáng)烈的網(wǎng)絡(luò)流量?jī)?yōu)化的需求,做好流量?jī)?yōu)化,可以保證校園網(wǎng)絡(luò)的正常業(yè)務(wù)不會(huì)受到因?qū)W生下載等造成意外中斷 校園網(wǎng)由于要做PAT,對(duì)高帶寬下完成PAT日志審計(jì)是有需求的,但是之前并沒(méi)有很好的解決方案 校園網(wǎng)對(duì)P2P的控制功能非常感興趣,采用針對(duì)這些應(yīng)用的限制帶寬和并發(fā)會(huì)話數(shù)的方式做到了有效調(diào)控,返回,71,數(shù)據(jù)中心方案介紹,72,數(shù)據(jù)中心應(yīng)用方案,數(shù)據(jù)中心網(wǎng)絡(luò)管理中存在的問(wèn)題 問(wèn)題分析 AceNet的方案介紹 用戶應(yīng)用AceNet產(chǎn)品之后的網(wǎng)絡(luò)狀況分析 為什么選擇AceNet的產(chǎn)品,73,數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)介紹,VIP用戶托管服務(wù)器,普通用戶 托管服務(wù)器,用戶內(nèi)部局域網(wǎng),74,數(shù)據(jù)中心的網(wǎng)絡(luò)中存在的問(wèn)題,出口擁塞,VIP用戶的帶寬在高峰期無(wú)法有效保障 無(wú)法提供復(fù)雜差異化的帶寬控制策略 無(wú)法了解托管的主機(jī)的各種應(yīng)用的詳細(xì)流量狀況 出現(xiàn)端口流量異常,無(wú)法迅速定位 目前對(duì)托管主機(jī)的并發(fā)會(huì)話數(shù)(登錄用戶數(shù))的控制方式影響主機(jī)運(yùn)行效率 在出口擁塞的時(shí)候,用戶無(wú)法遠(yuǎn)程登錄托管的主機(jī) 由于防火墻性能的瓶頸,出口帶寬一直跑不滿,75,數(shù)據(jù)中心的網(wǎng)絡(luò)問(wèn)題分析(1),出口擁塞,VIP用戶的帶寬在高峰期無(wú)法有效保障,原因: 沒(méi)有專(zhuān)用的流量控制設(shè)備,有VIP用戶的托管服務(wù)器需要保障固定的帶寬,都是采用直接拉線到核心交換機(jī),其他普通服務(wù)器通過(guò)匯聚交換機(jī)匯聚后,才接入到核心交換機(jī)上,非VIP主機(jī)流量特別大的時(shí)候,同樣會(huì)占用VIP用戶的帶寬,解決方法: 需要添加專(zhuān)用的流量控制設(shè)備,對(duì)VIP用戶做帶寬保障,對(duì)非VIP用戶托管占用網(wǎng)絡(luò)帶寬和并發(fā)會(huì)話數(shù)資源要做適當(dāng)?shù)目刂?避免非VIP主機(jī)過(guò)度占用網(wǎng)絡(luò)資源,76,數(shù)據(jù)中心的網(wǎng)絡(luò)問(wèn)題分析(2),無(wú)法提供復(fù)雜差異化的帶寬控制策略,原因: 用戶希望能更細(xì)致的劃分用戶的等級(jí),為不同等級(jí)的用戶提供不同的服務(wù),真正實(shí)現(xiàn)差異化化服務(wù),根據(jù)服務(wù)等級(jí)收取不同的費(fèi)用,但是用戶這個(gè)愿望一直沒(méi)有找到好的解決方案來(lái)實(shí)現(xiàn),解決方法: 用專(zhuān)用的流控設(shè)備,對(duì)托管主機(jī)的占用的最大帶寬做限制,占用的并發(fā)會(huì)話數(shù)做控制,還可以對(duì)托管主機(jī)占用網(wǎng)絡(luò)資源的情況做統(tǒng)計(jì)和分析,制定相應(yīng)基于時(shí)間的流量控制策略,優(yōu)化網(wǎng)絡(luò)流量,同時(shí)可以制定更靈活的收費(fèi)策略,吸引更多的用戶,77,數(shù)據(jù)中心的網(wǎng)絡(luò)問(wèn)題分析(3),無(wú)法了解托管的主機(jī)的各種應(yīng)用的詳細(xì)流量狀況,原因: 數(shù)據(jù)中心的服務(wù)器中,有很多服務(wù)器的所有權(quán)不屬于數(shù)據(jù)中心,數(shù)據(jù)中心的網(wǎng)管人員無(wú)法了解用戶托管的主機(jī)運(yùn)行什么應(yīng)用,各種應(yīng)用流量有多大,當(dāng)用戶托管的主機(jī)被非法入侵,發(fā)生流量異常的時(shí)候,或者被用于非簽約用途的時(shí)候,無(wú)法及時(shí)發(fā)現(xiàn)并采取相應(yīng)措施,解決方法: 用專(zhuān)用的流量分析設(shè)備,對(duì)每一個(gè)托管的主機(jī)的流量做詳細(xì)的分析和統(tǒng)計(jì),定期以報(bào)表的形式通知用戶,及時(shí)發(fā)現(xiàn)異常流量,并向用戶報(bào)警;同時(shí)也可以及時(shí)發(fā)現(xiàn)托管的服務(wù)器被用作其他非簽約的用途(游戲服務(wù)器),78,數(shù)據(jù)中心的網(wǎng)絡(luò)問(wèn)題分析(4),目前對(duì)托管服務(wù)器的并發(fā)會(huì)話數(shù)(