流量管控让企业网络“渠清如许”
案例分析
随着信息技术的飞速发展和广泛应用,信息化已经深入到各行各业,以宽带接入方式为主的网络被广泛地应用于企业、政府、高校、能源等行业。与此同时,企业信息化建设也得到了飞速发展,企业内部的应用模式逐步发展成为基于E-mail、ERP、OA、CRM、视频会议、VoIP、电子商务等动态的、大规模的、复杂的应用,网络所承载的内容变得日益复杂与多元化,网络流量日益增加,带宽出口瓶颈日趋严重。大量非业务资源的访问、超大文件的上传和下载,不仅严重浪费企业宝贵的带宽资源,造成企业关键业务应用访问迟缓,同时无形中增加了企业的IT维护成本。因此,如何管理、优化企业网络带宽成为企业IT管理的首要任务。
广东岭南职业技术学院的流控方案
广东岭南职业技术学院的网络出口有两路:一路是中国教育网出口,带宽1000MB,另一路是电信出口,带宽100MB,最高近1万人同时在线。每天上午开始上班就是网络繁忙的高峰期,网络速度非常慢,经常造成网络堵塞。造成网络出口堵塞的原因主要是由于近年来,互联网络的P2P下载型应用(包括迅雷、超级旋风、FlashGet、eDonkey、Bittorrent、Sogou、Poco等)、P2P视频型应用(如PPStream、PPlive、QQ直播等)及Web视频应用等非常流行,这些应用抢占带宽的能力非常强,可以说有多少带宽,它就能用掉多少带宽。因此导致了网络拥塞和服务质量下降,在无法管理和控制的情况下,这些应用已经严重影响了学校网络的正常运行。经过选择,广东岭南职业技术学院采用了LaneCat网猫流控宝方案。
解决方案:为了更好地应对这些新的流量变化,保证用户能够“相对平等”地使用网络资源和带宽,提高互联网的整体服务质量,同时提高“每个部门的平均收益率”,就必须加强对互联网络应用层协议的管理,必须能有效地识别和控制这些新型的网络协议,对网络内流量及各种应用协议进行管理与统计分析,为网络规划和优化调整提供基础依据,同时采取必要的技术手段对BT、eDonkey等大量耗费带宽的P2P应用进行一定程度的监测和调控,以达到优化网络的目的。
LaneCat网猫的技术工程师分析,只有通过部署深度DPI应用层流量分析及控制系统,才能够对广东岭南职业技术学院的Internet网络出口流量进行分析,对网络中各种应用协议所消耗的带宽有清晰的了解,然后根据需要对出/入校园网的流量进行控制,对每种应用占用带宽进行分配,从而缓解网络扩容压力,保证整个网络稳定运行的同时,实现网络性能和效率的最大化。
由于互联网的P2P类协议众多,且升级速度快,学校上网用户数量又多,对网络质量和稳定性要求高,因此能解决学校出口堵塞的DPI应用层流量分析及控制系统,必须具备以下特点:协议识别精确性高、转发性能强、可靠稳定性强。通过在互联网络出口部署深度DPI应用层流量分析及控制系统,实现以下目标:对用户网络流量精准识别与分析,让用户深度了解网络带宽使用的情况;对关键应用、关键用户提供带宽保障服务,确保网络中关键应用和关键用户正常运转和使用,提升网络体验;对P2P下载、网络视频等大流量应用进行精确管理,确保网络带宽资源不被滥用;详尽的报表及日志查询,为用户网络运营和优化提供准确详细的数据支撑;流量控制设备应具有协议高识别性、高性能、高可靠性、高扩展性。
为了对广东岭南职业技术学院的Internet出口流量进行分析,并对Internet出口应用进行监控,在学校Internet出口处部署流量控制设备LECAT-2500(图1),一台LECAT-2500设备可同时控制两路出口。通过透明桥接模式,实现双路桥接,同时对电信出口链路和中国教育网出口链路进行控制,图2是应用LECAT-2500后的流量控制效果图。LaneCat网猫流控宝系统,最高吞吐量可达4Gbps,可以满足运营商级别的需求,且产品具备可升级性,在具备一定硬件的基础上,升级软件授权即可。
农业部金色农业项目的流控方案
农业部是主管农业与农村经济发展的国务院组成部门,农业部下属的金色农业项目负责人希望通过两年时间,初步形成农业电子政务体系框架。目前该用户面临的问题是:正常业务带宽拥挤堵塞,日常的办公网络环境中存在大量的P2P应用,导致此类网络应用占据大量的网络带宽,无法保障内网的视频会议、业务系统的可用带宽;网络中充斥着大量病毒(如ARP病毒),病毒在网络上大量传播、发包,造成网络中断,办公系统无法正常运转,影响正常的办公;员工在工作时间玩网络游戏、上视频网站,严重影响了员工的工作效率。该部门主管决定采用网康科技的流量管控系统,对网络进行流量管控。
解决方案:经过实地考察,网康科技为该用户部署了一套网康智能流量控制系统(NS-ITM),对农业部互联网出口的流量进行精确的带宽划分,依据应用协议和IP网段合理分配带宽优先级,保证核心应用系统的带宽,同时限制非业务数据的带宽占用,保证出口带宽健康、稳定、可控,具体措施如下:
1.在互联网出口处部署一台网康高端流控设备ITM,以优化互联网出口处的带宽质量;
2.优先保障局域网内部的视频会议系统的可用带宽流量,保证它运行稳定,限制P2P下载、在线视频等的带宽;
3.通过划分带宽通道,阻止特定应用,合理划分带宽使用时间,进行灵活的带宽管理;
4.解决炒股软件使用、收看网络电视、P2P恶性视频下载等问题;
5.及时发现、定位网络内的异常流量,并通过设定、控制超出阈值的异常流量,防止网络出现重大问题;
6.防止内部用户由于病毒、木马造成的异常突发流量导致网络中断的情况出现。
通过采用网康智能流控产品,农业部互联网出口带宽健康、高效、稳定,有效地节省了进一步的带宽投入,大大减少了维护人员的工作量,提高了IT定位速度,极大地提升了网络人员的工作效率。网康的流量管控系统使用人性化、功能全面、性能稳定、效果明显,给农业部的IT管理提供了极大的便利(具体网络拓扑结构如图3)。
电脑报:流量管控是怎么发展起来的呢?早期的网络流量管控又是怎么实现的呢?
童福亮:在早期的网络建设中,由于网络带宽相对于当时的网络应用来说略现阔绰,所以针对网络流量的管理并没有被大家关注。随着这几年网络规模的扩大,网络使用者的数量不断增加,网络应用种类激增,使得网络流量管理成为了一个热门话题,并且使网络流控设备越来越成为网络基础设施中不可缺少的一部分。
早期的网络流量管理方式是在路由器、防火墙或局域网交换机上使用简单的带宽管理或QoS来实现的(至今一些单位的简易流控需求仍沿用该种方式),但这些控制方法需要人为干涉,操作复杂,无法做到智能管理,所以不能满足网络管理中复杂策略的精细程度和灵活程度需要。另一方面,应用种类和用网人数增加的一个必然结果就是网络出口流量增加,再让路由器等设备处理应用层方面的事,就会使这些设备的性能捉襟见肘,严重时甚至会危及网络安全,因此一些专业的流量管理设备应运而生。
电脑报:网络流量控制对企业有什么价值?适合哪些企业用户采用?
童福亮:随着越来越多的企业利用网络开展经营、对外交流等活动,如何有效利用企业有限的接入带宽资源显得尤为重要。网络流量管理对企业的价值主要有两点:一是保证企业上网畅通。对重点业务部门、重点人物、重要应用优先保证使用带宽,对BT、迅雷等下载工具以及网络游戏、视频、音乐等占用带宽比较大的、与工作无关的应用加以限制,这样才能充分保证企业上网顺畅,不影响正常的经营管理活动。
二是节约企业上网成本。通过网络流量控制策略限制一些与工作无关的网络应用,这样可以减少企业对网络带宽的需求,相应地减少了带宽租赁的成本。例如,原来需要租赁10MB的上网带宽,通过网络流量控制以后,可能现在只需要6MB的带宽就能满足企业正常工作上网需求,这样就直接降低了企业租赁上网带宽的费用。
网络流量控制对于大多数企业来说都是需要的,这些企业都是租赁运营商的光纤或ADSL进行上网的,如何让有限的带宽资源发挥出更高的工作效率,是每一位企业领导者都很关心的。
电脑报:网络流量控制方案是否也有软件方案和硬件方案之分,软件方案和硬件方案各自的优缺点是什么?
童福亮:网络流量管控方案或者产品有软件和硬件之分。目前软件方案和硬件方案在功能上的区别不大,大约有80%的功能都是相同的。
硬件方案的最大特点就是满足了中国人购物须见到实物的心理,其优点是系统运行效率较高,缺点是采购成本高,同时依赖于某一厂商的特殊架构硬件,导致升级、维护成本高,扩展性较弱,产品生命期较短。软件方案代表着IT未来发展的方向,用户的购买成本低,灵活性远远大于硬件设备,比如增加新功能可以轻松实现,升级速度也很快,而硬件方案要增加新功能的话则需要用户耐心等待,还需要投入大量资金。软件方案的低成本、灵活性、扩展性是硬件方案达不到的,软件方案满足了企业用户更多的个性化需求。