本文2008-05-07 ,發佈在[url]http://network.51cto.com/art/200805/72559.htm[/url]
現在,擁有幾百種不同網絡應用的企業有很多,這些企業的IT部門非常清楚的知道,當關鍵性應用與未批准的程序共享相同的網絡資源時,結果是更多的流量搶同一個帶寬,而網絡流量管理對保障網絡業務穩定運行起着至關重要的作用。
由於網絡資源越來越複雜而不易控制,如何通過流量管理有效提高網絡性能及重新擁有對網絡的控制權,已成爲IT部門要面對的重要問題。
如今,很多公司都開始部署SAP 和0racle 的網絡化版本。不幸的是,像BT和電驢這樣的P2P應用卻瘋狂地吞噬着有限的帶寬資源,給很多企業網絡帶來猛烈的衝擊。有些企業雖然在防火牆上配置了相應的端口策略加以限制,但是仍然無法防止利用端口跳躍、甚至利用80端口的非授權訪問。導致很多企業出現“有網絡,低性能”的尷尬局面。
有效提升網絡運行性能的三種策略分析
那麼怎樣纔能有效地提高網絡運行效率和性能呢?目前有三種不同的方法:
下策:增加帶寬
爲了提高網絡性能,很多企業建立了相應的網絡管理制度,可以說,在網絡管理方面有了一定的進步。但是,不可否認的是很多人都有“上有政策,下有對策”的心理。也許有人會問,增加帶寬不可以麼?答案是否定的,如果添加帶寬,很可能會導致更多非關鍵應用主動搶佔資源的情況發生。例如,把帶寬從10M增加到100M,只是意味着將爲非關鍵應用(如P2P流量)提供史多突發的空間。歸根結底,這些都是由於IP 網絡公平對待所有流量及使用者,提供所有人平等的效率而生成的。所以這種方法只能治標不能治本,即爲下策。
面對這種情況,從技術層面上管理網絡應用,以提高網絡性能可能會是一條有效的途徑。那麼怎麼從技術上解決這些企業的困擾呢?
中策:基於端口策略的流量管理
這方法是利用傳統的網絡設備,如路由、交換和防火牆設備,通過QoS(服務質量保障)協議,實現基於端口策略的流量管理,從網絡層保障關鍵業務的穩定帶寬。
它的優勢在於企業無需成本投入,即可利用現有設備進行網絡層的流量管理。
但是,這種方法的弊端也是顯而易見的。比如從P2P流量識別來看,現在大部分P2P應用都採用動態端口,而且數據包已經加密,並且其鏈接的IP非常廣泛,所以通過限制IP鏈接或端口,無法準確識別具體應用,解決應用層流量管理問題則顯得有些力不從心。
上策:基於應用層的流量管理
基於應用的4-7層的流量管理技術,能跟蹤並分析網絡的流量模式,有效的管理網絡帶寬資源,以管控相互結合的方式,合理的提高網絡性能與運行效率。爲什麼說基於應用層流量管理是解決問題的上策呢?我們先來看看什麼是應用層的流量管理:
基於應用層協議分析爲基礎,實現針對應用層的處理和流量管理功能,高速高效的分析算法,可以在千兆或萬兆環境下線速工作的設備,就是應用層流量管理設備。
這種方法的優勢在於精確細分應用,真正實現按需分配帶寬,實時掌控網絡流量狀況,尤其對於中小企業來說,通過採購簡單設備,即可達到有效管理網絡流量的目的。
應用層流量管理產品與技術解析
通常基於應用的流量管理設備應該具備下面三個重要功能:
1、協議分析
任何網絡應用都是基於協議運行的。基於應用的的流量管理設備就是通過自身龐大的協議庫,並根據企業不同的需求,來分析判斷不同應用是否合規。這是實現流量管控的第一步,是非常重要的過程,同時是評估流控產品的重要指標。
任何網絡應用都是基於協議運行的。基於應用的的流量管理設備就是通過自身龐大的協議庫,並根據企業不同的需求,來分析判斷不同應用是否合規。這是實現流量管控的第一步,是非常重要的過程,同時是評估流控產品的重要指標。
在協議分析功能中也存在兩個誤區。首先是識別精度的問題,許多人認爲,只要分析出來是什麼協議就可以完成對流量的管理。這顯然是不夠的。
文芳是北京城市熱點資訊有限公司營銷總監,有十餘年企業網絡管理營銷經驗,她向51CTO.com記者介紹說,要實現真正的流控管理,必須要精細到應用才具有可用性。事實也是這樣,我們都知道DPI(Deep Packet Inspection,深度包檢查)技術是達到應用層流控目標的基本方法,通過DPI技術,把流細分爲對應具體的應用流,在分離流量的基礎上,定義帶寬通道,從而使網絡中的流量根據應用各行其道,保障關鍵應用。
其次在合規協議和非關鍵協議的判斷上,很多網絡流量管理設備都面臨着誤報率的問題。網絡應用不斷增加的現實情況,很可能導致對正常協議錯判,也有可能誤判非法協議爲正常合規協議。可以肯定的是,沒有一種流量管理設備可以到達誤判率爲零,除非網絡裏面只有很少數的協議應用,但我們都清楚的知道,這是不可能的。據文芳介紹,通過“應用協議特徵庫”,不但可以最大程度降低誤判率,還可以通過升級特徵庫不斷支持新應用。
2、帶寬管控
在按協議把流量細分爲具體應用的基礎上,按自身需求重新定義帶寬通道,以實現有效的帶寬管控措施是應用層流控設備的第二個重要過程。帶寬的管控又包括阻斷、限制和預留三種技術手段。
在按協議把流量細分爲具體應用的基礎上,按自身需求重新定義帶寬通道,以實現有效的帶寬管控措施是應用層流控設備的第二個重要過程。帶寬的管控又包括阻斷、限制和預留三種技術手段。
網絡流量種類、數量不斷增多。無序化的競爭機制時時導致關鍵業務無法順利應用,比如:語音或視頻流速率,需要穩定持續(視頻會議、網絡電話);對延遲敏感的小型流量,需要保障其快速通過(如Telnet、SNMP等);對帶寬需求較大而又非常重要的應用,需要在限制和允許之間做出平衡(如Exchange,Lotus Notes等);對關鍵型的網絡應用,需要保障其有不受干擾的通道(如SAP、ERP等)。這使得帶寬管控顯得尤爲重要。
用一個實例會更形象地說明帶寬管理的作用:某企業的帶寬有10M,應用流控產品通過第一階段的協議分析後,網絡運維管理人員發現,網絡中有居然有60%的P2P應用,主要包括了迅雷下載、股票軟件和在線視頻。那麼這名網絡管理員應該怎樣控制有限的帶寬資源,以提高網絡運行效率和性能呢?
由於迅雷下載吞噬帶寬情況非常明顯,嚴重影響企業關鍵業務的正常運行,他對迅雷下載毫不留情,通過應用層流控設備實施封堵措施;而他清楚的知道,股票軟件雖然不是公司的關鍵業務,但它不會太佔用帶寬,爲了不引起“民憤”,他對股票軟件採取了限制帶寬的手段;而在線視頻雖然很佔用帶寬,但公司有以部分業務需要通過在線視頻才能進行,所以,他也限制了在線視頻的帶寬。對於公司的關鍵業務:電子郵件和Web訪問,他非常果斷的預留了一定帶寬,這樣即使出現流量高峯期,也不必擔心公司的關鍵業務出現擁塞,更不必擔心那些非關鍵業務搶佔有限的帶寬資源了。
從這個案例中不難看出,帶寬管控是在協議分析基礎上的重要過程,二者缺一不可。
3、監控功能
除了協議分析和帶寬管控兩大功能外,監控功能也必不可少。與前兩者不同是,監控功能需要融合前兩種功能,在協議分析階段,要對新協議與已知協議的細分監控,在帶寬控制階段,要實時掌握帶寬情況,就需要對應用情況進行全面掌控。監控只是手段,目的是通過24小時的分析報告,給網絡管理人員提供值得信賴的依據。
除了協議分析和帶寬管控兩大功能外,監控功能也必不可少。與前兩者不同是,監控功能需要融合前兩種功能,在協議分析階段,要對新協議與已知協議的細分監控,在帶寬控制階段,要實時掌握帶寬情況,就需要對應用情況進行全面掌控。監控只是手段,目的是通過24小時的分析報告,給網絡管理人員提供值得信賴的依據。
雖然,應用層流量管理設備可以有效地提升網絡運行效率與性能,但隨着互聯網的應用越來越多,網絡結構日益複雜,面對IPv4到IPv6的遷移,萬兆網絡的應用,如何立足中國國情,使應用層流控產品更加適合中國企業,將成爲以城市熱點爲代表的應用層流控管理設備供應商必須面對的問題。