kavin

iNGFW智能流量管理成功案例——长沙医学院

kavin 安全防护 2022-12-28 319浏览 0

长沙医学院是国内第一所民办医学本科院校,有长沙和衡阳两个校区。现有在校学生2万余名,教职工1600余名。学校设有18个院(系、部),开设25个本、专科专业。

长沙医学院共有两条互联网出口,分别租用电信和联通的宽带链路,为校园内的广大师生提供互联网接入服务,随着学校师生规模的增长,上网流量的增加,带宽往往存在不足的情况,教师和学生普遍反映上网速度慢,为此学校也在不断追加投资进行出口带宽的扩容,一直达到接近3G后,上网慢的问题依然没有得到根本性的解决。长沙医学院经过对以上情况进行综合分析后,决心引入专业的流控设备,对流量进行有效管理,控制过度占用带宽的非重要性访问,从而更合理地节约链路成本。

流量管理需求

长沙医学院提出的流量管理总体需求是:在不增加出口链路带宽的前提下,根据上网人员的角色、应用类型,合理分配带宽,在上网高峰时期为重要的上网访问提供资源保障,包括如下的几类建设需求:

合理限制非重要的应用

经过分析,当前在医学院的上网流量中,占据大部分流量的应用是P2P,其次网络视频、网络游戏等应用也占用了相当比例的带宽,一些学生甚至全天在开启着P2P的下载进程,这些非重要应用过渡占用带宽资源,对其他应用带来影响,为此需要进行限制;

实现差异化的带宽资源分配

在医学院进行上网访问的用户中,既有学生,也有教职工和家属,不同用户对带宽资源的要求是不同的,需要的资源配给是有差异性的;在上网的访问应用中,既有比较重要的教务类、学习类访问,也有非重要的娱乐类访问,在资源配给上也应有差异性地进行提供;这些方面都需要有差异化的资源分配措施,保障不同类型用户,不同类型应用得到不同质量的服务;

需要更灵活的流量管理策略

长沙医学院的上网流量具有很明显的时间特点,在上课期间、夜间整体上网流量较低,带宽有很大的富裕,为此长沙医学院提出需要有更灵活的流量管理策略,分配的带宽限制能够根据链路的忙闲状态,智能提升重要应用的带宽分配,提高链路利用率。

流量管理方案

山石网科下一代智能防火墙,在深度应用识别的基础上,提供两层八级的管道流控技术,完全满足长沙医学院的流量管理需求,管道也就是带宽通道,在不同通道内可根据用户、IP地址、应用来分配带宽,并提供最大限制带宽和最小保障带宽的限制,同时管道也支持业务优先级的排序,对优先级高的应用优先转发。具体的配置方案如下图表示:

iNGFW智能流量管理成功案例——长沙医学院

山石网科下一代智能防火墙部署示意图

四级管道流控保障重要应用的带宽资源

在长沙医学院,山石网科下一代智能防火墙配置了四级管道,第一级按照地址组来分配带宽,分别对教师、学生、教职工分配了不同的带宽,控制不同类型用户的上网流量;第二级按照应用类型来细化分配带宽,包括上网浏览类、P2P应用类等,控制不同类型应用的上网流量;第三级按照具体应用来细化分配带宽,比如对P2P应用类的电驴、迅雷等进行控制;第四级则分配到每一个单独的IP(上网终端),对不同上网人员的不同上网应用进行精细化的管理。

实施了四级管道的流量管理策略后,很明显地看到,以前那些过度占用带宽的非重要应用,比如学生使用迅雷下载电影,网络视频等应用,在带宽占用比例上有明显下降,而重要的教师网上教务管理、学生的网络学习等应用的流畅性得到明显改善,既是在高峰上网时间,这些重要应用的速率也有明显提升。

iNGFW智能流量管理成功案例——长沙医学院

基于业务优先级的差异化带宽资源保障

山石网科下一代智能防火墙,在流控功能上提供的业务优先级,包含两个方面的策略,一是当有剩余带宽时,优先满足高优先级管道;二是优先调度高优先级管道。

在实施了四级管道的流量控制策略后,在山石网科下一代智能防火墙上还根据访问用户类型和访问应用,进行了优先级的定义,将重要的教师网上教务、学生网上学习等应用配置为高优先级策略,而其他一些娱乐性应用配置为低优先级。

实施业务优先级策略后,由于山石网科下一代智能防火墙优先调度优先级高的管道,从流量监控的界面显示,这些重要的应用的转发速率有明显的提升。

基于带宽借用提升链路利用率

山石网科下一代智能防火墙提供的带宽借用功能,是在链路带宽资源有空闲时,按照业务优先级,将带宽分配到级别较低的下一级管道上。

长沙医学院在启用四级管道流控,以及按应用类型配置的业务优先级的基础上,通过带宽借用功能有效提升不同时期的链路利用率。在上网非高峰时段,带宽相对有富裕时,下一代智能防火墙按照优先级比例,先将剩余带宽更多地分配给重要的应用访问,从流量监控界面上显示,这些重要的应用访问得到更多的带宽资源,转发速率也有明显提升,链路带宽的占用更加充分。

方案实现价值

山石网科下一代智能防火墙的智能流量管理方案,有效解决了长沙医学院高峰时期重要应用访问效率低的问题,在没有扩充链路带宽的情况下,根据用户及应用访问的重要程度,制定了差异化的带宽保障策略,优先保障重要应用的访问效率,同时限制了非重要应用的带宽占用;通过带宽借用,在非高峰时期按照优先级智能扩充不同应用的带宽配给,提高了链路利用率。

继续浏览有关 安全 的文章
发表评论