企业网络,拒绝被“打劫”
解决方案
今天,以互联网为先导的IT技术已经成为企业管理增值的重要推力。但不可忽视的是,网络资源争抢的现象在公司网络应用中尤其严重。调查结果显示,P2P等私人“杀手级”应用成为企业局域网流量黑洞,霸占了绝大多数带宽,导致正常的企业应用无法高效开展。如何规避、减少这些无效的私人应用,成为企业管理者不得不正视的难题,企业网络流量管控正变得越来越重要。
企业网络流量管控需求膨胀
控制网络流量有什么用呢?能带来多大的价值呢?这是多数企业管理人员会思考的问题。“简而言之,网络流量管控能够解决内网用户对带宽的渴求与有限的接入带宽之间的矛盾,实现内网资源的有效利用,帮助企业实现最大成本价值”, 厦门诚创科技有限公司技术总监童福亮介绍道。在技术层面上,通过网络流量管控,可以有效地检测和防止非关键应用对网络带宽资源的大量消耗,以保证关键应用的带宽使用,改善和保障整体网络应用的服务质量。最终为企业用户提供主动、智能、可视的带宽管理服务,使IT管理员能够轻松管理、控制和优化自己的网络系统,并为网络规划提供科学的依据,达到可视、可测、可控、可优化的网络运维管理的总体目标。校园网、小区宽带网、企业网及运营商网都需要合理地进行流量管控,目标用户群基数庞大、覆盖广泛。
目前中小企业网络发展有三个趋势:一是随着企业管理信息化的普遍应用,企业IT数据及应用的集中部署管理趋势越来越明显。集中部署降低了企业信息安全风险,并减少了分支机构IT人员的开销,但加大了连接分支机构之间的广域网的数据流量。二是基于Web应用程序的普及引发了大量的并发流,带动内网数据量的上涨,成为网络资源消耗大户。三是P2P及多媒体视频的大量应用,导致员工上网的流量激增,与企业管理应用竞争有限的专线带宽资源。
由于局域网准入与广域网需求之间的巨大鸿沟,通过增加带宽来满足企业内部膨胀的流量需求显然不现实。广域网带宽成本较高,增加广域网带宽对任何企业都意味着巨大的成本负担。流量管控就成为企业节省网络开支的必选方式。
网络流量管控手段不断翻新
企业网络流量管控起源于运营商网络中的QoS(Quality of Service)技术,这也是流量管控理念的原型。为满足SLA(Service Level Agreement)和控制各级网络的带宽使用,运营商采用流量分类(多数根据用户或用户群分类)、入口流量限制(Inbound Rate Policing)和出口流量整形(Outbound Rate Shaping)等方式来控制用户及各级网络对带宽的使用。企业级路由器厂商首先将这种技术应用于企业内网,希望达到流量管控的目的。这种方案目前仍广泛存在于企业级路由器中,但存在先天不足:一是企业流量管控与运营商流量管理有结构性的差异,在广域网的流入方向进行流量限制,虽然对运营商可以达到目的,但对企业用户无济于事,因为当流入方向数据超过企业广域网带宽时,拥塞已经造成,重要应用已经受到影响。二是对困扰企业的“带宽杀手”型应用(P2P最典型)无能为力,因为传统QoS方案对这类应用很难辨识,并且无法对流入方向带宽进行控制。因此传统的QoS技术日趋没落,一种基于数据包深度检测的技术近几年迅速兴起,流量管控技术升级至第二阶段。
这种基于数据包深度检测的技术通过检测常见P2P应用的特征数据和协议特点(通常是追踪协议的自动状态机)来辨认P2P应用,并通过封杀或限制连接数的方式来限制其使用。这种方法逐渐发展成现在常见的七层流控,其主要特征是通过数据内容辨认应用类别,由用户决定对每种类别采取相应的流控和企业内部管理策略。这种方法曾经带来了一定的效果,被认为是一种先进的流控技术。但随着应用的发展,这种方法逐渐失效,原因有三:一是新的应用发展过快,使用的特征码及状态机不断变化,导致深度检测很难跟上。二是一些P2P应用开始伪装成合法应用,这使得深度检测方法失效,并很难精确定位P2P应用。三是一些合法应用(包括一些新的企业应用)也开始利用P2P来加快传输,并且一些P2P软件(特别是一些以P2P方式运行的浏览器套件)也开始在工作场合使用,完全封杀以P2P为代表的“带宽杀手”型应用变得不合时宜,限制其连接数的办法又常常会导致它无法运行。
七层流控的弊端仍在不断放大,业内也在寻求更为优化的解决方案,对第三代流控技术的呼声日益高涨。最近,基于行为模式的P2P辨认方式得到了业内一致认可,基本上克服了基于特征码及状态机辨认模式的不确定性,同时内置更彻底的流入方向流控技术,以及独特的单边加速广域网优化技术。
同时,随着中小型ISP企业的兴起,二级运营商成为越来越重要的组成部分。二级运营商的ISP企业不仅要向一级运营商支付高额的带宽租赁费用,还要与一级运营商争夺用户资源,而且处于劣势地位。为了帮助夹缝中的中小ISP企业生存,一些厂商推出了针对二级运营商的流量管理解决方案,将自主设计的集成电路芯片和网络处理器平台结合,开发限速应用层协议识别及深度内容检测引擎,多层次、多角度出发为网络运营商提供整套解决方案。
避开网络流量管控的误区
误区一:企业需求大同小异,一款流量管控软件可以通吃
同一行业、同等规模的企业需求虽然接近,但仍存在着细微的差别,如果把握不好,流量管控效果可能适得其反。因此一款能够深挖企业需求,实现深度定制的软件众望所归。网猫旗下的LaneCat流控宝流量管控解决方案就是针对企业客户量身打造的,根据企业客户接入带宽的大小,选择对应的型号,通过部署LaneCat网猫流控宝解决方案,可轻松管理、控制和优化自己的网络应用,达到可视、可测、可控、可优化的主动式、智能化的网络运维管理目标,有效提升企业网络运维管理的水平和服务质量。
误区二:流量管控是内网行为,与广域网无关系
流量管控确实是企业内网行为,但与广域网也是密切相关的,一款优秀的流量管控软件应该兼顾广域网的使用效率。从目前的走势来看,广域网优化与流量管控同属提高广域网络使用效率的技术,且部署位置相同,未来必将完全融合为一个产品。
同时,路由优化均衡功能也将融入广域网优化设备。这些功能紧密集成在一起好处多多:不仅减少了用户网络边缘设备数目,从而减少了网络单点故障几率,节省了用户开销,而且这些功能的集成将带来比分开部署更大的效能。路由优化均衡功能可以利用流控及TCP优化模块的内部信息更准确地预测流量,从而更合理地均衡不同链路,只提供以上功能之一的产品将无法给用户带来好的设备投资回报率。
误区三:流量管控越“死”越好
多数企业主认为,购买流量管控软件的目的在于实现“完全控制”,彻底扼杀P2P等私人应用,保障企业网络畅通无阻。实际上,目前流量管控软件均可合理调配网络资源,在保证企业重要应用时并没有对一些私人应用“一棍子打死”。企业网络也应主张合理、持续发展,这与深信服的理念不谋而合。作为SSL市场市占率第一的品牌,深信服不久前曾推出“让网络可持续发展”主题巡展活动,在帮助经济困难的企业向网络要效益的同时,传递的一个重要理念就是网络和谐合理发展,对私人网络应用可控,但没有必要一棍子打死。
对话:流量管控已成高校网络救命稻草
电脑报:目前流控部署非常流行,请问贵校是否已经开始进行流控方面的部署工作?
马传连:2005年,电驴等P2P软件盛行,给我们校内网络造成了很大负担。那时候开始,我们就着手部署流控系统,当时花了近10万元购买了一套灵州网络软件,限制个人用户在高峰时段进行P2P应用,以保证多数用户的正常使用。
电脑报:无论是在网络的管理方式还是使用目的上,高校用户与企业用户都有很大差别,流量管控对高校而言具有怎样的特殊意义?
马传连:其实网络流控系统不仅可以限制P2P软件,还可以对出口带宽进行整体控制。由网络攻击、蠕虫攻击造成的流量异常,流控软件也可监测出来,并予以处理。高校网络是蠕虫攻击的高发地,在限制P2P应用的同时,可以有效地抑制蠕虫传播与网络群体攻击,也算是高校对流控系统的特殊需求吧。
电脑报:高校用户在选择流控系统方面应该注意哪些问题?
马传连:对流控系统的选择一定要保持理性。目前高校网络收费主要有两种模式:一是按时间收费,二是按流量收费。按流量收费可以很好地抑制P2P软件的使用,对这些高校而言,流控系统并不是必需品。而那些按时间收费的高校,如P2P使用频繁,就只得求助于流控系统。可以说,对于按月收费的多数高校而言,流控系统已经成为必需品。
电脑报:你认为未来流控系统的发展趋势是怎样的?
马传连:我希望有多合一产品的出现,这个多合一产品不是简单地将多个功能“拼凑”起来,而是从结构上进行改造,真正成为一款性能很强的产品。包括流控系统也好、认证系统也好、防火墙也好,都是串联在网络上的,过多的应用会导致网络拥堵,易引发故障。如果能将这些应用并联在网络上,打造一个多功能的综合性平台,必将大大减少成本开支,故障率也会降低很多。