企業寬帶一般是通過一條總線路出口進行上網的,目前大部分企業都是共享100Mbps線路上網,部分企業是通過共享1000Mbps線路上網。但是企業的用戶數很大,各種各樣的網絡應用同時存在。企業寬帶的業務類型和網吧幾乎是一樣的,存在高帶寬要求的P2P業務、下載業務、視頻業務等等,也有低延時要求的游戲業務、語音業務等等。P2P業務會嚴重霸占網絡帶寬,導致其它用戶的帶寬非常慢,上網體驗很差。需要通過合理的業務流控機制,最大限度地滿足高帶寬用戶,也能夠保證游戲用戶的低延時需求,帶寬得到公平合理的分配。
有的企業帶寬,還需要做到可以運營。不同的帶寬,資費是不一樣的,需要對用戶的帶寬進行最大帶寬限制。要有精確的帶寬控制策略,使用戶的帶寬控制在最大帶寬以下的同時,不會有帶寬浪費。
由于要可運營,所以需要有用戶的上網認證。用戶通過認證之后,才能夠上網權限,做到用戶上網可控。PPPoE認證和WEB認證是目前最通用的上網認證方式。這些認證方式,對企業最迫切,因為企業沒有別的認證服務器。企業帶寬一般有專門的認證和計費服務器。
企業的需求
1. 需要支持PPPoE或WEB用戶認證
企業帶寬&企業都是基于用戶進行收費的,需要提供PPPoE和WEB的方式對用戶進行認證。用戶通過認證之后,才可以上網。
2. 游戲類用戶獲得小的延時,P2P、下載類用戶得到充足的帶寬
用戶的上網體驗好壞,直接取決于以上兩類用戶,也是能夠留住客戶,提供高質量網絡服務的核心所在。
3. 實時交互類型的玩家,獲得高帶寬、低延時
交互類型的應用,包括打開網頁,語音電話,視頻通信等等,如果網速慢,直接影響用戶對網絡的感受。需要一種方法,保證交互類型的業務,獲得適度的高帶寬和低延時。
4. 支持嚴格的帶寬上限配置
通過給用戶提供不同的最大帶寬來獲得不同的收費。滿足不同用戶的消費需求。
5. 多線路的負載均衡,選擇最適合的線路上網
有的企業或企業申請了多條線路,從而提供更大的網絡帶寬。這些線路可以是單個ISP運營商的,也可以是跨多個ISP運營商的。需要有一種方法,能夠根據用戶的上網類型,訪問內容,來選擇最優的線路進行上網。不僅僅是獲得負載均衡,而且要選擇最適合的上網線路。
安網科技企業&企業解決方案
1. 上網認證功能
安網科技提供了非常完善的上網認證功能,滿足所有場合的認證需要。分為如下認證方式:PPPoE認證,WEB認證,客戶端認證,IP地址認證,MAC地址認證,混合認證。
圖示1:安網認證系統
對于企業&企業場景,一般采用PPPoE認證,WEB認證,或客戶端認證,實現基于賬戶的管理。客戶端認證需要在用戶的電腦上安裝客戶端,實現嚴格的用戶認證控制。IP地址認證和MAC地址認證主要用于企業網,比較方便。
2. 流量控制
安網科技提供了非常完善的流量控制特性,大體又可以細分為6種類型的流量控制方法:智能帶寬控制,多線路智能分流,策略帶寬控制,應用帶寬控制,臨時帶寬控制,和鏈接控制。
圖示2:安網智能流控系統
安網科技設備提供的智能帶寬控制,實現業務智能識別與更新,并實現用戶業務帶寬智能調整。可以對網絡上下行業務帶寬進行智能分配,使得每個用戶的業務都能夠得到合理的帶寬,及合理的網絡延時。解決了某些人把帶寬占用了,其他用戶得不到帶寬的問題。每個人都能得到最大帶寬,或者最低的網絡延時。P2P的人在網絡空閑時可以得到高帶寬的同時而不影響游戲玩家的上網體驗,瀏覽網頁的人和玩游戲的人能夠得到需要的帶寬以及很低的網絡延時,最大效率的使用網絡帶寬。
安網策略帶寬控制,實現面對受控對象的帶寬配置策略,可以精確地控制任何用戶的最大帶寬上限。
3. 多線路業務分流
對于多線路的情況,安網科技提供了非常完善的分流機制:智能分流,ISP分流(根據運營商的網絡進行分流),策略分流,玩家互動分流。滿足各種分流策略要求,解決所有的分流場景。
圖示3:安網多線路策略系統
對于多線路的應用,安網的智能帶寬控制、策略帶寬控制功能可以針對每一個WAN線路單獨啟用,單獨控制,極大地實現了智能流控功能的靈活性,準確性和可用性。
4. 智能流量控制效果
采用安網進行智能流控后,能獲得效果是:帶寬最大利用,多線路負載均衡,帶寬公平分配,帶寬控制精準,交互應用最低延時,用戶可選的效果(延時優先,帶寬優先)的上網體驗。如下圖所示。
圖示4:安網智能流控效果
方案演示
一、線路配置
配置外網線路,將聯通、電信ADSL或光纖經過光纖收發器轉換成RJ-45接口的網線后分別接到安網智能路由器WAN1、WAN2口,設置由聯通、電信運營商分配的帳號、密碼或IP地址、子網掩碼、靜態網關、主DNS服務器、備DNS服務器,并根據WAN口線路實際連接情況,將運營商選擇處分別設置網通線路(聯通)、電信線路,主DNS、備DNS可分別填寫聯通、電信的DNS。
WAN1設置
WAN2設置
二、線路均衡
完成步驟1的配置后,確認線路均衡方式已是“依會話數均衡”。依會話數來均衡外網鏈路,可以有效疊加帶寬,提高帶寬使用率,同時啟用線路策略規則。如圖:
均衡配置
策略規則設置
三、訪問控制設置
訪問控制策略可有根據源和目的IP、協議、端口進行訪問權限的控制,可有效保護特定主機或者保護內網安全,比如網吧用戶不能訪問管理控制臺主機。如圖:
選擇控制方式
四、IP/MAC綁定
為使得網吧網絡更加穩定,減少不必要的廣播包,防止局域網常見的ARP欺騙問題(ARP欺騙可導致上網掉線、網絡卡),可做成路由器與電腦之間相互綁定對方的IP/MAC信息(常稱為IP/MAC雙向綁定)。一方面,在路由器的上網管理—IP/MAC綁定頁面,將所有電腦的IP/MAC進行綁定;另一方面,在路由器IP/MAC綁定頁面里可導出ARP綁定腳本文件,放置于電腦Windows系統開始-啟動項里,使得電腦能在開機時自動運行腳本文件綁定網關的IP/MAC。如圖:
靜態IP/MAC地址綁定設置
對內網用戶,可實現一鍵綁定:
五、流量控制
為防止帶寬被濫用導致上網卡、掉線問題發生,需要對上網電腦做帶寬管理。配置順序:先設置智能流控,后設置限速規則,通知保障VIP用戶帶寬。在智能流控模式,填寫網吧上網線路帶寬實際數值。在限速規則頁面配置限速策略時,針對源地址所有地址、目的地址所有地址,設置最大下行與最大上行數值進行限速,限速參考值計算方法:總帶寬除以總帶機量再乘以4,以此值作為限速參考值,設置后可根據實際使用效果進行調整。如:2條100M線路,電腦總量200臺,限速參考值為2×100M÷200臺×4(倍數)=4M/臺。如圖:
啟用智能流控WAN1口設置
WAN2口同理設置如下:
單機速率限制設置
設置VIP用戶的帶寬保證:
帶寬保證設置
六、攻擊防御
安網路由器提供了常用的網絡攻擊防御功能,只需將對應的攻擊防御功能打鉤后保存即可。注:無盤環境下,請勿開啟路由器的ARP欺騙防御功能,ARP欺騙防御功能通過前文描述的IP/MAC雙向綁定實現。
啟用連接數限制,然后防ARP攻擊選項打勾即可,如圖:
連接數設置
ARP防御設置
結語:
安網科技此次推出的智能路由器專為企業、出租房、網吧行業所設計,其強大的軟件功能和硬件處理性能,為用戶提供安全、高效的寬帶接入方案。支持多WAN接入,并提供多樣化的線路組合模式;同時其內置的基于各類應用七層識別的智能流控模塊,可以精準的識別出相應的應用,并通過設備內置的流控機制給用戶分配最為合理的帶寬分配策略,讓用戶無需手動設置,既可以實現真正的智能流控。
