带宽管理流量控制成功案例-湖北省汉十高速.docx

Maxnet AM 成功案例 – 湖北省汉十高速公路Maxnet Application Manager (AM) 成功案例- 湖北省汉十高速公路管理处苏州迈科网络安全技术股份有限公司2013Maxnet AM 成功案例 – 湖北省汉十高速公路目录一、 项目背景 ...............................................................................................................3二、 面临的问题 ...........................................................................................................4从物理上区分兄弟单位带宽 .........................................................................................4缺乏网络应用可视化的技术手段 ..................................................................................4802.1Q 封装数据的识别和控制 ....................................................................................4部分用户滥用网络资源造成带宽拥挤 ...........................................................................4需要实名制上网， IP+MAC 绑定 ..................................................................................4三、 解决的方案 ...........................................................................................................6流量的物理分离和识别控制 .........................................................................................7全网流量的实时监控及全面的可视化 ...........................................................................7弹性带宽控制策略 ........................................................................................................8IP+MAC 绑定的准入政策 .............................................................................................8四、 用户的收益 ...........................................................................................................9Maxnet AM 成功案例 – 湖北省汉十高速公路一、 项目背景湖北省汉十高速公路是国家西部大开发重点线路福州--银川高速公路的重要组成部分。

它连接武汉、襄樊和十堰，既是连接湖北省中西部的重要通道，也是我省的汽车工业走廊其中襄十段是我省第一条山岭重丘区高速公路，孝襄段是湖北省首条绿色环保高速公路，各项基础设施建设都走在湖北全省同行业的前列湖北省汉十高速公路管理处主要负责孝感至十堰高速公路的费收、路政、养护、开发及其它综合性的营运管理工作，另受委托管理荆东、汉孝、荆宜、武荆四个社会资本投资建设高速公路，管理总里程达 905 公里职工平均年龄25 岁，大专以上学历职工占 70%下属 48 个收费管理所、7 个收费监控中心、4 个养护工作站、 7 对服务区、 11 个路政大队、1 个后勤服务中心和 1 个信息监控中心湖北省汉十高速公路管理处监控中心网络有一条 50M 网络出口，承载了办公楼内所有汉十管理处机关办公人员上网和同楼内湖北省高速公路实业开发有限公司的所有人员上网拓扑图如下所示：防 火 墙核 心 交 换 机楼 层 交 换 机 楼 层 交 换 机 楼 层 交 换 机Maxnet AM 成功案例 – 湖北省汉十高速公路二、 面临的问题从物理上区分兄弟单位带宽目前办公楼内有汉十和高开两个兄弟单位共用一个互联网出口，经常因为互联网带宽使用的问题引起矛盾，互相认为是对方管理不当导致网络拥塞，所以要把带宽的使用从物理上隔开，分别进行流量管理。

缺乏网络应用可视化的技术手段网络管理人员对单位内部上网的流量和带宽使用情况不了解，在出口防火墙上只能大概看到总带宽的使用情况并不清楚这些带宽的使用构成单位网络经常不顺畅，领导也很不满意，但是网络管理人员无法提供网络带宽使用情况的具体信息，工作非常被动802.1Q 封装数据的识别和控制从核心交换机到防火墙走的是 802.1Q VLAN Trunk，AM 部署在 Trunk 链路上，所以需要对 802.1Q 封装后的数据进行解包识别，并能够对这些协议进行控制部分用户滥用网络资源造成带宽拥挤单位经常上网会有突发性的卡顿，虽然网络管理人员知道肯定是有些人在使用 P2P 下载软件下载，但是无法确定是哪些人在下，用什么软件下，使用了多少带宽也没法去对这些滥用网络的行为去进行管理的技术手段需要实名制上网， IP+MAC 绑定针对楼内用户上网，需要进行实名制上网，将使用人、IP 地址、MAC 地址进行组合绑定，没有进行绑定的用户无法上互联网，原有的设备只能做到单向Maxnet AM 成功案例 – 湖北省汉十高速公路绑定，用户可以通过修改 IP 地址，MAC 地址的方式来欺骗绑定达到非实名上网的目的缺乏 HTTP/IM 日志的记录手段根据汉十高速公路管理处的行政要求，AM-500 要记录所有上网用户的行为日志备查，日志存储时间不得低于三个月。

Maxnet AM 成功案例 – 湖北省汉十高速公路三、 解决的方案苏州迈科网络安全技术股份有限公司作为带宽管理和应用优化市场的先行者，针对二级运营商的应用流量管理需求，凭借着强大的研发团队和在协议分析、带宽管理、应用优化等方面近 7 年多的实践经验，推出业界领先的Application Manager（应用流量管理系统）系统迈科网络致力于为广大的网络用户提供先进的应用流量可视，带宽管理、流量控制和应用优化解决方案为了解决上述问题，我们在湖北省汉十高速公路管理处部署了一台 AM-500设备，这台设备负责两路百兆链路的管理和控制，采取桥接方式部署，不需要改变系统原有的网络结构和配置，不影响系统的运行性能，为用户提供了应用流量可视化、带宽管理、用户准入、分析和优化的一体化解决方案使得网络运维人员能够轻松管理、控制和优化自己的网络系统，并为网络规划提供科学的依据，达到可视、可测、可控、可优化的网络运维管理的总体目标 部署拓扑图如下：防 火 墙核 心 交 换 机汉 十 交 换 机 汉 十 交 换 机 高 发 交 换 机AM-500Maxnet AM 成功案例 – 湖北省汉十高速公路如上图所示，通过在核心交换机和出口防火墙之间部署一台 AM-500 应用流量管理系统，通过两路桥接将高发网络流量和汉十网络流量物理分离，汉十网络流量通过 802.1Q Trunk 通过 AM-500，设备支持软硬件 Bypass 功能，确保整个网络可用性不受设备故障影响，通过部署 AM-500 可以为湖北省汉十高速公路管理处实现如下功能和效果：流量的物理分离和识别控制通过 AM-500 的两路物理桥接，将兄弟单位的流量进行了物理分离，并分别进行识别和控制，两个单位各占一部分带宽，互相不影响对方的使用，避免了上网出现问题时候的矛盾。

全网流量的实时监控及全面的可视化对湖北省汉十高速公路的网络应用流量进行全面的统计分析，分析并识别网络中运行的 L2～L7 层协议和各种应用，AM 系统基于 DPI/DFI 引擎，能够实时的识别、分析出网络中的 L2～L7 层协议和应用，管理员可以清晰的、直观的了解系统中不同分公司、不同协议、不同用户对网络带宽的占用情况，是管理员优化网络带宽、解决带宽恶意使用的有力的管理工具，为后续的带宽优化与管控、网络规划提供科学的依据全网流量的实时采集、监控和感知，管理员可从全局和宏观的角度详细网络的总体情况，包括网络流量的构成、带宽的使用分布、各用户的带宽使用情况等；精细分析网络带宽的使用情况，帮助管理员准确定位网络问题和故障，包括网络带宽不够用、突发的网络流量导致的性能瓶颈、病毒爆发等问题；了解网络关键业务应用的运行状况，包括关键业务应用的种类、数量，对带宽的使用情况，运行性能等情况；Maxnet AM 成功案例 – 湖北省汉十高速公路分析网络带宽的使用效率以及网络传输质量的水平；为 IT 主管部门进行网络规划、系统扩容等提供科学的依据弹性带宽控制策略除了在两路物理桥上，分别分配了不同的带宽之外，在每路桥上还利用多层嵌套带宽管理的特性针对不同的用户进行不同的限速，同时在二级通道中对这些用户的不同应用进行了弹性带宽配置，既避免了单个用户的滥用导致整个网络速度的下降，同时也避免用户因为对计算机不熟悉，打开 P2P 应用后占用所有带宽导致自己的上网和视频无法保障。

IP+MAC 绑定的准入政策在汉十管理处网络中，我们还根据用户要求进行了 IP+MAC 地址双向绑定的配置，网内所有用户都进行了绑定，未绑定的 IP 和 MAC 地址均无法通过AM-500 联入互联网有效的对上网用户进行了管理达到了实名制上网的要求既避免了因为擅自修改 IP 地址导致的 IP 地址冲突，也避免了因为在部门内滥用小型路由器，误将 LAN 口接到办公网中导致的 DHCP 混乱，用户上网故障的问题Maxnet AM 成功案例 – 湖北省汉十高速公路四、 用户的收益通过部署 Maxnet Application Manager，可以为湖北省汉十高速公路管理处的网络带来如下的收益： 实现了单位上网流量隔离和分别控制； 实现了业务应用与网络流量的可视化； 对网络滥用行为进行了有效管控； 实现 IP+MAC 绑定的上网控制管理； 提高了出口网络使用效率，降低 IT 投资成本；  降低出口线路网络运维管理成本。