湛江电力有限公司
无线覆盖技术解决方案
电力公司无线覆盖1 需求分析
本项目建成之后湛江电力有限公司内部人员及外来人员都可以通过WIFI实现移动终端的接入。经过简单快捷的认证之后,随时随地的接入网络,以及对于终端信息的收集和统一管理,进一步针对不同的用户进行权限管理,以及未来为客户展开更加精细的营销信息推送;同时,为了未来扩展的无线办公系统,该无线网络必须具有一定的安全性、可管理性和可扩展性。
需求包括以下几点:
1、无线信号分别建立2个SSID,实现内外部人员分离;
2、内部员工通过新建无线网络接入到现有网络中;外部人员通过无线网络并认证后,可连接互联网。
3、新增深信服上网行为管理设备,管控新增无线网络用户的上网行为管理等;
4、实现WIFI设备集中管理。.
2 网络建设
2.1 建设原则
湛江电力有限公司无线局域网采用华三无线集中架构网络解决方案,专门为大厦无线局域网络设计。
根据具体需求和勘测情况,在此次网络建设的规划、设计和实施中遵循以下原则:
先进性和实用性并重
系统建设要有一定的前瞻性。在无线网络建成后的3-5年之内,不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平,避免技术环境过于超前造成投资浪费。
兼容性
网络采用开放式体系结构,易于扩充,使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际标准或工业标准,网络的硬件环境、通信环境、软件环境相互独立,自成平台,使相互间依赖减至最小,同时保证网络的互联,华三的无线局域网全部支持从交换机直接通过以太网供电,不必为AP另行配置电源插座。
无线辐射
根据中国国家无线电管理委员会的规定,在办公室内部署无线网络信号辐射不得超过100mw,以避免2.4GHz和5GHz对人体的影响。同样的原因,在通常情况下,终端使用5mw左右的发射功率,以避免大功率长期辐射对人体的影响。无线接入点即AP执行IEEE802.11b标准工作在11Mbps到1Mbps之间,随着终端和AP之间的信号的强弱,AP和终端会自动协商根据信号的衰减程度,自动降低传输速率和增大传输功率。华三无线系统在办公室内部署的型号统一都根据国家规定最大为100mw,功率智能调节。
实时的射频自动监测
无线信号容易受到其他信号的干扰,无线局域网使用的2.4GHz频段是开放频段,无需注册即可获得使用,因此下列设备可能造成干扰:
• 微波炉
• 其他大楼的无线系统
• 2.4GHz的无绳电话等
因此华三的AP实时进行射频的监测,AP后台的控制器能够实时对AP进行控制,控制功率的大小,比如当1个AP失效以后,其他的AP通过自动计算对功率进行增加;出现信号的时候,控制器能够对信号干扰来源进行定位,确定何处的信号干扰,信号干扰的程度如何,并地图方式显示在网管上。
自动负载均衡
有线网络在本质上具有确定性――第二层(以太网)和第三层(IP)交换机和路由器都是便于理解、可以预测的。但是,用户在无线网络中的体验则依赖于无线信号的传播和建筑物的其他特性。这些特性可能会迅速发生变化,从而影响连接速度和错误率。一个位于城区的办公场所的RF环境在早上10点和3点时是完全不同的。在早上10点,有数以百计的用户在移动使用网络。而在早上3点,办公室的大门紧锁,没有人在办公,而且附近的办公室和咖啡厅也不会产生RF干扰。
更多的情况下,在同一时间,大家从各自的办公室汇聚到会议厅,特别是当人数比较多,超出了1个AP的承受范围,那么带宽会慢的无法工作;为了保障带宽,如果在AP设置了限制,那么后来的人员无法得到无线连接服务,因为在后台控制器的模式,可以对AP自动的负载均衡,将终端分别发送到不同的AP,自动计算和对终端的流量进行均衡,比如,当这个AP的利用率到了80%,那么控制器自动将用户引导到另外的空闲的相邻AP上面,而在我们的设计中,所有的AP部署已经考虑了人员的位置和可能的集中的情况,完全可以智能的处理动态的负载变化。
自动频道管理和跨IP域漫游
无线局域网802.11b标准使用3个不重复的频道,1、6、11,为了实现自动漫游,需要对频道的管理。华三无线系统由于采用了后台集中控制的方式,能够当AP布防后,通过实时射频监测,然后自动对频道进行分配,并以地图方式显示在网管上。
无线局域网的AP如果处于不同的子网,在漫游的过程中,需要处理三层的漫游,在后台保持用户的DHCP得来的IP租用,认证的会话密钥等,控制器可以自动完成三层无线漫游。
2.1.1 组网基本原则
根据目前湛江电力有限公司的用户规模和网络状况,拟采用无线控制器(AC)+瘦AP(Fit AP)的组网方式,瘦AP实现无线信号的处理,而漫游、AP管理等功能全部集中到AC进行,这样可以简化整个网络的管理,提高设备的工作效率。AP的供电采用以太网供电(Power Over Ethernet,PoE),通过以太网线来汇聚AP的流量,同时为AP提供电源,这样可以简化布线,同时减少故障点,提高网络的可靠性。
居于安全防范的要求,需要实现管理整个网络及业务系统出口,对互联网出口的用户进行认证、上网行为进行审计和带宽管理。并利旧原有网络防火墙设备对系统建成应具备网络行为审计、流量分析与控制、访问控制和病毒防护等功能,可规范上网行为,保护内部数据安全、防止机密信息泄漏;专用防病毒引擎,可抵御来自外网的各种恶意威胁;独特的安全助手功能保证终端的安全接入,并通过与深信服上网行为管理设备,为用户构建内外网一体化安全防护;基于行为和特征的应用识别和控制技术,可对网络中P2P/IM等各种应用进行有效管理,优化带宽使用效率。
居于内外网隔离的要求,AP实现双SSID信号放射,并在无线系统出口的防火墙中采用安全策略,实现内外网隔离。
无线用户IP地址由出口防火墙进行DHCP分配
2.1.2 设备选型
• 本文中要求达到的有关指标值均为设备实际应达到的,广医一院网络采用成熟H3C产品,在选型过程中严格按照国家网络要求建设。
• 充分考虑现有湛江电力有限公司网络建设现状,具有良好的可扩展能力和互联互通互操作特性。
• 网络设备符合电信级设备要求,全部网络设备均符合国家和国际标准,具有国家颁发的网络设备入网证件。
• 安全设备应具有相应主管部门颁发的生产许可证。
• 网络设备自身具有一定的安全防护特性。
• 选择具有技术领先、市场和技术前景良好、明确的H3C厂家的产品,具有稳定的服务队伍,能提供持续的设备升级和维护能力。
• 具有大型组网能力及丰富组网成功案例。
3 总体设计
根据分层、模块化的设计理念,无线网络由核心层、汇聚层、接入层以及智能控制组成。
网络拓扑如下图所示:
无线覆盖
如上图所示,在联通城域网中部署H3C 无线控制器,专属管控现网的所有AP ,在扩展性、可靠性、整体架构和可用性方面具有强大的优势,保证无线网络核心高可靠性。
并在客户端部署一台汇聚交换机,主要负责POE交换机汇聚,外网数据流和内网数据流的分离。与原有核心交换机之间采用二层VLAN 802.1Q透传,只透传内网数据流。并且与新增深信服设备透传外网数据流,达到内外网数据分流。
充分考虑此次网络建设的设计安全思想,在原有防火墙与新增汇聚交换机连接之间部署一台深信服上网行为管理,专门针对无线的外网数据流用户的网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析、用户认证。
3.1 网络结构描述
3.1.1 核心层
核心层是H3C无线控制器,是整个无线组网架构的网络核心,负责AP之间的漫游、管控和AP认证。连接联通城域网网络汇聚交换机。
3.1.2 汇聚层
汇聚层由H3C S5500以太网交换机组成,用于汇聚各点的POE接入交换机。并与原有网络核心交换机进行对接。
3.1.3 接入层
接入层由H3C S2100系列以太网交换机组成,用于连接各个AP的接入及POE供电。
3.2 VLAN规划
局域网的逻辑隔离在以太网诞生之后不久就得到了广泛的应用,最早的隔离技术就是VLAN(Virtual Local Area Network,虚拟局域网)。一个HUB或者老式的交换机,所有的端口都属于一个网络,因此每个用户都能捕获到HUB或交换机上连接的所有用户的数据报文,安全性和隐私性都得不到保证。
VLAN即是可以将交换机划分成多个逻辑组(VLAN),每个VLAN具有单独的MAC/ARP地址表,某一个VLAN内的用户是相互可访问的,但一个VLAN的数据包在二层交换机上不会发送到另一个VLAN,这样,其他VLAN的用户的网络上收不到任何该VLAN的数据包,确保了该VLAN的信息不会被其他VLAN的人所窃听,从而实现了信息的保密。
Vlan 规划表:
Vlan ID 用途
Vlan XXX 用于内部员工的无线接入,客户分配
Vlan YYY 用于外来人员的无线接入,客户分配
Vlan ZZZ 用于AP与AC之间的通信,联通局方分配
3.3 IP地址与路由方案规划
无线覆盖3.3.1 IP地址规划
IP地址的合理规划是网络设计中的重要一环,大型网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。各节点的IP地址规划必须考虑到今后和国家网互联后的地址冲突问题,建议参考全网的统一地址规划。
IP地址分配原则
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:
唯一性:一个IP网络中不能有两个主机采用相同的IP地址;
简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项
连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。
当网络以私网地址分配或采用混合网络地址接入时,要求网络提供地址变换功能,过滤掉私网地址。
| IP地址规划: |
| IP地址段 |
用途 |
| X.X.X.X/XX |
内部员工无线接入地址,客户分配 |
| Y.Y.Y.Y/YY |
用于外来人员的无线接入,客户分配 |
| Z.Z.Z.Z/ZZ |
用于AP与AC之间的通信,联通局方分配 |
| A.A.A.A/AA |
用于新增专线NAT地址转换 |
具体的IP地址定义将结合实际情况确定。
中心交换机支持静态或动态的IP地址分配,并支持动态 IP 地址分配方式下DHCP-Relay功能,DHCP SERVER可安放在局域网内部。
对于固定IP地址用户,需要针对标识符(MAC地址)设定保留IP地址。
3.3.2 动态主机配置协议DHCP
DHCP的全称是动态主机配置协议(Dynamic Host Configuration Protocol),由IETF(Internet 网络工程师任务小组)设计,详尽的协议内容在RFC文档rfc2131和rfc1541里。目的就是为了减轻TCP/IP网络的规划、管理和维护的负担,解决IP地址空间缺乏问题。运行DHCP的服务器把TCP/IP网络设置集中起来,动态处理工作站IP地址的配置,用DHCP租约和预置的IP地址相联系,DHCP租约提供了自动在TCP/IP网络上安全地分配和租用IP地址的机制,实现IP地址的集中式管理,基本上不需要网络管理人员的人为干预。而且,DHCP本身被设计成BOOTP(自举协议)的扩展,支持需要网络配置信息的无盘工作站,对需要固定IP的系统也提供了相应支持。
3.3.2.1 DHCP的工作原理
DHCP客户: DHCP客户是一通过DHCP来获得网络配置参数的Internet主机,通常就是普通用户的工作站。
DHCP服务器: DHCP服务器是提供网络设置参数给DHCP客户的Internet主机。
DHCP/BOOTP 中继代理: 在DHCP客户和服务器之间转发 DHCP 消息的主机或路由器。
DHCP是基于客户机/服务器模型设计的,DHCP客户和DHCP服务器之间通过收发DHCP消息进行通讯。
3.3.2.2 采用DHCP的必要性
在一个基本TCP/IP网络上,每台工作站要能存取网络上的资源之前,都必须进行基本的网络配置,一些主要参数诸如IP地址,子网掩码,缺省网关,DNS等配置这些配置是必不可少,还可能需要一些附加的信息如IP管理策略之类。一台计算机连接到网络上来或者从一个子网转移到另一个子网,都要对系统进行配置,这对于一个稍微大点的网络而言,网络管理员的管理和维护的任务是相当繁重的。
3.4 无线控制器
3.4.1 支持快速的二、三层漫游
H3C 公司的集中式无线架构不但能方便地实施二层漫游,而且非常有利于跨三层的漫游实现,用Fat AP部署的WLAN网络,由于AP之间传递的信息有限,导致垮三层的漫游实现及其麻烦,集中式架构非常容易解决跨三层漫游的问题,H3C无线控制器支持 二、三层漫游,漫游域不受子网的限制。这种优秀的漫游特性,可以让客户在规划无线网络时,无需过多考虑现有网络的规划,更多关注在无线信号的覆盖即可,这 种方式大大简化了前期的网络规划,减少了网络规划成本。
传统模式下,当无线用户终端使用802.1x 作为802.11接入认证和密钥交互的手段时,无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时,如果无线用户终端在新AP 接入的过程完全遵从完整的802.1x的交互过程,势必造成漫游切换的时间过长,对于某些对漫游切换时间敏感的业务(例如语音业务),这样的长切换时间是 无法忍受的。H3C无线控制器采用Key caching技术完成漫游时用户的快速切换,Key caching技术在用户的安全接入和快速漫游间做了一个很好的平衡,可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互 过程,同时又能保证用户身份的识别和密钥使用的连续性;无线用户采用快速漫游方式,单AC内漫游时间不超过50ms,满足了语音业务的苛刻需求。
3.5 上网行为管理
3.5.1 网桥模式
在核心交换机和互联网出口路由器之间部署深信服AC,AC以网桥模式部署,实现对内网用户上网行为管理,部署简单快捷。同时,AC具有Bypass功能,在网桥模式部署下关机、开机、重启或者出现故障,则通过Bypass功能实现两端接口二层连通,避免出现链路断开状态,保证业务持续性。
3.5.2 身份认证
为了有效区分用户和用户组,针对不同用户实施不同的上网行为管理策略,因此,在网络访问过程中,必须具备身份认证机制,避免身份冒充、权限滥用等出现。
3.5.2.1 本地认证
AC支持本地认证功能,包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
3.5.2.2 外部认证
AC支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
3.5.3 上网行为控制
网络应用极其丰富,尤其随着大量社交型网络应用的出现,用户将个人网络行为带入办公场所,由此引发各种管理和安全问题。因此,全面的应用控制帮助管理员掌控网络应用现状和用户行为,保障管理效果。
3.5.3.1 应用控制
互联网应用众多,要在内网对各应用进行合理的管控,首先需要对应用进行识别。AC内置庞大应用特征识别库,包含1500多种应用,可识别目前网络中各种主流应用,如微博、社区论坛、网盘、在线视频和移动APP等。对于未知应用,AC支持自定义功能,用户可通过协议、IP、端口等元素定义内网系统应用,从而对不同用户进行控制。
AC不仅可以针对用户使用WEB、FTP、EMAIL等常用服务的情况进行控制,还能够通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
针对目前P2P应用泛滥的趋势, AC的P2P智能识别技术基于P2P行为进行识别,不仅能够对现有的BT、迅雷、电骡等P2P软件进行管控,还能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供P2P应用封堵措施。针对类似P2P难以管控的应用,AC内置应用智能识别库,自动判断新出现应用特征,从而归类管理。
AC具备多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
3.5.3.2 应用标签化
管理员可通过AC对应用或具体细分动作进行标签化,例如,迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时,可通过标签来选择相应的应用或细分动作,不用逐个选择,从而避免错选漏选,提高管理效率。
3.5.3.3 网页过滤
企业员工在日常需要使用网络的工作中,需要搜索访问互联网。互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,因此,需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。
AC内置千万级URL库,将互联网网页分成60多个类别,同时每半个月实时更新和维护URL库。
AC具备URL智能识别功能,可对未知的网页进行自动学习、判别、归类,保持URL识别库动态更新。
无线覆盖3.5.3.4 发帖过滤
网络的开放性给人们带来更多的言论自由,但发表一些类似色情、反动、迷信或者暴力的信息,影响社会安定,造成了不必要的影响,企业或个人也要承担法律责任。
AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,AC可设置只允许登陆、看帖,但不允许发帖,或者实行发帖关键字过滤,灵活避免企业中出现泄密或者发表不良言论带来法律追究责任的风险。
3.5.3.5 邮件过滤
Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改后缀名、删除后缀名,或者压缩、加密后作为Email附件外发,试图躲过拦截与审查的行为,AC能够识别并进行报警。同时,对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件,并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。
3.5.3.6 文件传输过滤
利用网络来进行文件传输在日常办公中普遍出现,而在文件传输过程中存在种种管理和安全隐患,如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,或者加密、压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。
AC支持管控文件外发行为,如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点,基于关键字、文件类型控制上传/下载行为,封堵QQ/MSN等IM传文件,允许使用Webmail收邮件而禁止发送邮件等。其中,仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给企业造成的损失,单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型,即便存在修改、删除外发文件后缀名,或者加密、压缩文件文件外发的行为,AC也能发现并且告警,保护企业的信息资产安全。
3.5.3.7 加密应用识别
SSL (Secure Socket Layer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此,一方面,越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息,导致管理漏洞。
AC可以对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等,防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户,此功能亦应用于过滤SSL加密的色情、反动站点,证券炒股站点等。此外,AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”(专利号ZL200710072997.1)具有对SSL加密内容的完全管控能力,支持识别、管控、审计经由SSL加密的内容,如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为,审计SSL加密行为如邮件发送行为,为组织打造坚固无漏洞的管理。
3.5.4 流量控制
企业的出口带宽有限,随着网络应用的丰富,出现各种吞噬带宽的应用,如P2P应用,若不对这些应用加以限制管理,企业的带宽资源必会被抢占,而核心业务却得不到带宽,从而导致整体网络速度变慢,影响正常的邮件发送和网络访问。因此,企业需要一种流量管理工具,识别应用流量,对现有的带宽进行合理的分配。
在广医一院网络中对QoS服务质量保障有较高的要求。在和接入网相配合的情况下,可实现端到端的全网QoS部署。在具体的QoS部署方案中,要充分考虑以下原则:
简单性:结合用户业务及网络拓扑,并充分利用整网网络资源,采用最符合用户需求的、最易实现的QoS解决方案;
易维护性:灵活的带宽控制,循序渐进的QoS的部署过程;
差异性:为不同用户,不同业务提供不同的QoS保证;
3.5.4.1 多线路复用和智能选路
无线覆盖企业网络出口有多条运营商提供的互联网线路,在进行数据传输的过程中,往往因为跨运营商访问出现丢包严重、延迟大的问题。出口多条线路,大小不一,流量分配不均,达不到预期的使用效果。
AC拥有专利技术(ZL 200610061591.9,一种基于网关/网桥的线路自动选路方法),可为数据包选择最快最畅通线路进行数据传输。当一条线路繁忙,其他几条线路空闲时,AC可通过线路复用技术,将所有线路复用起来,不仅合理分配带宽资源,而且能在较短时间内传送要传输的数据,提高大容量数据的访问和传输速度。
AC的多线路复用专利技术使一台AC可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。通过部署AC网关,可实现智能化选择最快的出口线路,有利于上网速度的提升。
3.5.4.2 父子通道
通过部署AC,可对网络出口链路总带宽进行细分,采用“基于队列的流控技术”,即建立通道,将不同的控制对象分配到不同的通道里。通道可应用于不同用户或者应用,在通道中可以限制或保障其带宽,控制灵活。AC支持多级父子通道,即在父通道中嵌套子通道,最大可支持8级父子通道。通过多级父子通道技术,能够完全匹配企业的组织架构,针对不同级别的通道进行带宽调整,为用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。
3.5.4.3 P2P智能流控
目前,通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,还能对不常见和未来将出现的P2P应用加以控制。
目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性,传统流控手段是通过缓存和丢包手段来实现流量控制的目的,但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制,即使被丢包依然不会主动降低速率,仍抢占大量的带宽资源。同时对于下行的接收流量来说,被丢弃的数据包已经占用了线路带宽,关键业务的带宽依然得不到提升,流控达不到预期的效果。
针对这些问题, AC通过智能流控功能,能有效解决P2P应用的问题。虽然基于UDP协议的P2P应用对丢包不敏感,但是下行流量与上行流量有显著的相关性,只要控制住上行流量,下行流量就能得到控制。当开启AC的智能流控功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制和减少下行流量的效果,从源头处有效限制P2P流量。
3.5.4.4 动态流量控制
当带宽有限时,企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。传统的解决方法是通过静态的带宽分配策略,根据应用的重要性分配相应的带宽。无论网络情况如何变动,分配的带宽都是固定的,不能自动调整,这样的流控策略往往造成带宽资源的浪费。比如某些业务应用带宽资源不足,而其他应用的带宽资源却处于空闲状态,得不到有效利用。
针对此类问题, AC提供了动态流控功能。用户可通过配置线路空闲阀值,以及定义线路的空闲和繁忙状态,实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制,应用流量可突破原来设定的最大带宽限制;当线路繁忙时可以下压通道带宽,使带宽恢复到被限制状态,执行原有的流控策略。通过灵活的带宽管理,最大满足业务对带宽的需求,实现带宽的最大价值。
3.5.4.5 虚拟线路
用户出口有多条运营商线路,而在防火墙和核心交换中间,往往只有一条链路。在一条物理线路中很难实现精细化的流量划分,容易造成几条外网线路流量分配不均,导致部分线路负荷过重。
AC通过虚拟线路技术,即定义不同的虚拟线路来匹配多条出口线路流量或是来自内网不同网段的流量,同时在不同的虚拟线路中结合父子通道、P2P智能识别和动态流控等技术,实现更灵活的带宽分配。
3.5.5 安全防护
AC在通过网页过滤、应用控制、流量合理划分和监控审计后,需要的就是一个和谐的内网环境。内网用户中毒,感染局域网,导致业务中断,这在很多企业中曾经出现过。因此,通过AC安全防护功能,从外至内提供牢固的内网安全防线。
3.5.5.1 网关杀毒、防火墙
作为一个全面的内网管理设备, AC提供了丰富的安全增值功能。AC集成来自欧洲领先病毒厂商F-PROT杀毒引擎,对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤,降低内网用户感染病毒的风险。管理员可自行设置网关杀毒的选项,病毒库实时升级,帮助组织查杀病毒,支持杀毒引擎在线自动升级,也支持用户手工升级病毒库。
