定義
路由交換設備可以通過修改路由轉發表,實現一定程度的流量控制,但這種傳統的IP包流量識別和QoS控制技術,僅對IP包頭中的“五元組”信息進行分析,來確定當前流量的基本信息。傳統IP路由器也正是通過這一系列信息來實現一定程度的流量識別和QoS保障,但其僅僅分析IP包的四層以下的內容,包括源地址、目的地址、源連線埠、目的連線埠以及協定類型。
隨著網上套用類型的不斷豐富,僅通過第四層連線埠信息已經不能真正判斷流量中的套用類型,更不能應對基於開放連線埠、隨機連線埠甚至採用加密方式進行傳輸的套用類型。例如,P2P類套用會使用跳動連線埠技術及加密方式進行傳輸,基於交換路由設備進行流量控制的方法對此完全失效。
智慧型流控
企業保持競爭優勢離不開網際網路的高速發展,保證企業的網路暢通是所有管理人員現今都很關心的問題。一方面,企業可通過提升出口頻寬,即拓寬信息化的高速路來保障業務套用的質量;另一方面,企業通過強練內功,即制定合理的“交通規則”,使符合策略的數據包快速便捷地在企業網路環境中賓士,達到推遲購買額外頻寬資源的目的。我們知道,頻寬資源建設的發展速度永遠跟不上各種網路套用的增長速度。對企業出口頻寬無盡的增長需求勢必給企業帶來額外的經濟負擔,所以對企業網路流量進行管理已是迫在眉睫的事情。
智慧型流量管理系統(簡稱ITM或NS-ITM)是基於套用層的、專業的流量管理產品,既適用於大中型企業、校園網、城域網等流量大、套用複雜的網路環境,也適用於需最佳化網際網路接入、保證關鍵業務套用、控制網路接入成本的中小型企業的網路環境。
通過監控網路流量,分析流量行為,設定流量管理策略,實現基於時間、VLAN、用戶、套用、數據流向等條件的智慧型流量管理。
作用
提升套用服務質量
網際網路套用繁榮的時代,各種關鍵套用(如ERP、CRM、OA系統、視頻會議系統等)越來越受到其它網路套用的衝擊,導致這些關鍵業務的套用得不到保障。
ITM通過頻寬保證、頻寬預留等流量保障手段,保障了關鍵業務的頻寬需求;通過鏈路備份、流量分擔等智慧型選路策略,保障了關鍵業務的正常使用,極大提升了套用的服務質量;同時通過對時延敏感套用的實時測量和監控,實現了網路延時的可視化,大大提高了客戶滿意度。
提升頻寬利用價值
現今,Web瀏覽、私人E-mail收發、P2P下載、網路電視、即時通訊及網路遊戲等與工作不太相關和無關的套用日益泛濫。客戶有限的出口網路頻寬資源,迅速被P2P下載、網路電視等非關鍵套用和無關套用占用和吞噬,造成寶貴的頻寬資源被濫用和浪費。在套用日益豐富的今天,出口頻寬即使擴容也依然是杯水車薪,不能從根本上解決頻寬瓶頸的問題。
ITM通過套用封堵、流量限速等流量限制等手段,控制非關鍵套用,封堵無關套用,極大地提升現有頻寬的利用價值,避免因頻寬擴容帶來額外的網路接入費用。同時網康ITM通過數據壓縮功能,大大降低了網路中傳輸的數據量,有效提升了當前的頻寬利用價值,避免因額外租用出口頻寬資源而增加網路運營成本。
最佳化網路套用
在經濟一體化的今天,各企事業單位的組織架構經常是跨區域的。遠在各地的分支機構訪問總部的各種套用(如郵件伺服器、ERP伺服器等)受廣域網和出口頻寬的限制特別明顯,各種遠程互動式套用的速度經常十分緩慢。
ITM通過在現有網路條件下對跨廣域網的各種套用進行最佳化,極大地提高了互動式套用的回響速度,大大提高了用戶的工作效率。
降低網路風險
現今的企事業單位網路中心,各種網路設備應有盡有,防火牆、IPS、IDS、防毒牆、郵件過濾網關等層出不窮。這些設備就像糖葫蘆一樣,一個接一個串在出口網路中,當其中任何一台設備出現問題時,都會殃及整個單位所有人員的正常網路套用。同時諸如異常流量、DDOS攻擊等時刻威脅著本單位的網路安全。
ITM既可以通過旁路監聽的方式無縫接入單位的現有網路,又可以通過套用引流的方式把相關的套用分發給對應的網路安全網關,如郵件過濾網關等,徹底避免了網路設備串糖葫蘆的組網方式,大大降低了網路安全風險。同時通過對網路異常流量和網路攻擊進行預先防護,大大提高了網路的可靠性和穩定性。
流控設備
分類
網路流量控制設備分廣義的和狹義的。
廣義上說行為管理設備也算流控,但其主要用途是記錄和控制網路中的用戶行為,比如限制用戶使用QQ、玩遊戲等等,但其流控功能較弱,一般適用於上網人數較少的場合。由於行為管理設備的套用場景複雜,流控功能和性能並不專業,對頻寬的最佳化能力很弱,採用行為管理設備充當流控設備使用還可能導致網路延遲增大,偶爾還會導致斷網現象發生。行為管理設備適合於對網路穩定性要求不苛刻的一般的辦公網路。行為管理廠家主要是國內廠家,如網康和深信服。
狹義的即專用的流控設備主要目的是最佳化頻寬,通過限制頻寬占用能力強的套用以保護關鍵套用,通過多種複雜的策略來實現合理的頻寬分配。由於專用的流量控制設備往往用於大流量的環境中,因此,流控設備最重要的指標是其處理能力,當然穩定性和支持各種複雜的頻寬分配策略的功能也非常重要。流控產品一般根據其性能劃分檔次,一般從幾十兆bps、百兆bps以下為一個檔次,往上有數百兆bps,數Gbps的,最高檔為幾十Gbps。百兆以下的設備的接口一般是電口的。高檔設備的接口有電口,但更多是是光口的。
國內外流控品牌
國內外流控設備的品牌很多,國外主要有ALLOT、Sandvine,性能不錯、價格很高、國內協定識別率較低、用戶界面不太友好,功能偏少。PACKETEER也是國外品牌,但性能一般。cisco、華三這兩個公司的流控產品沒人會用,自己的工程師都很難設定調試,價格很高、協定識別也很差,Sandvine也很難用。還有台灣的一家專業流控設備廠家,該廠主要以技術創新見長,結合國內的套用軟體做了針對性的研發,相對於其他國外廠家的產品更具有本土化優勢,同時也為國外其他廠商做OEM。其獨立自主研發的"L7"產品在國內為"L7-InstantScan"系列,主要採用EPI檢測技術、session動態監聽和動態交付技術為LogiPro引擎,功能比較全面,QoS功能出色、頻寬資源最佳化效果明顯,但內容審計功能較弱,主要客戶以外企和要求較高的企業為主,價格相對國內其他產品略高。
國內品牌現在也不少了,網康、深信服、Panabit、銳捷、山石網科、迪普等都是國內品牌。網康的智慧型流控產品叫做ITM,將流控、保障、頻寬最佳化、套用引流和套用質量監控整合到一起,性能較強;深信服的流控產品叫BM,目前已停止更新維護,主要依靠其上網行為管理產品AC來實現流控,主要功能有流控、保障,性能較弱。深信服產品線較多,頻寬最佳化、負載均衡都有單獨的產品支持;Panabit流控產品基於freebsd系統,主要功能有流控、保障、套用分流,系統非常精簡,性能較強;銳捷擅長交換機和路由器技術,與邁科合作開發流控產品AM,功能以流控和保障為主,性能較強;山石網科的流控功能主要通過QoS模組來實現,在防火牆和UTM設備中都有,可以實現流控、保障和套用分流,由於受其他功能影響,性能一般;迪普是從華三脫離出來的公司,交換機和路由器是其強項,流控功能和深信服一樣,都屬於審計產品中一部分,功能較少、性能較弱。
小草網管軟體
小草網管軟體是北京擎企網路技術有限公司研發的企業網路流量綜合管理系統,綜合智慧型動態頻寬保障,伺服器流量分析與保障、虛擬多設備管理等多項突破性技術,涵蓋流量分析、頻寬管理、上網行為管理、DMZ區伺服器管理,專線集中管理、企業級防火牆與路由器、負載均衡等功能,在網路性能、質量、安全等方面為客戶提供完整的解決方案。
功能介紹
1.全面透視網路流量,快速發現與定位網路故障
從整體、套用、員工多個角度透視網路流量。通過對出口頻寬利用率、套用流量排名、員工流量排名、主要流量流向、主要使用連線埠、員工流量排名、部門流量排名、網路的質量、連線成功率、數據重傳率等反映網路真實狀況等數據與指標的分析,為設定流量管理策略提供依據。所有實時分析每5秒刷新一次,方便及時發現網路問題;並可通過幾次滑鼠點擊操作就可以快速定位到出現異常或故障的主機或套用。
2.保障關鍵套用的穩定運行,確保重要員工順暢地使用網路
支持多種智慧型頻寬保障模式,滿足關鍵業務(VPN、ERP、OA、視頻會議、郵件等業務)與重要員工的頻寬保障需求。動態保障這些業務與員工所需的頻寬,在其需要使用網路時得到頻寬的保障,優先使用網路;在其空閒的時候,頻寬可以被其他業務或者員工使用。在不增加頻寬的前提下,提升被保障業務與員工訪問網際網路的質量與速度。
3.限制與工作無關的流量,防止對頻寬的濫用
對那些與企業工作無關且會消耗大量頻寬的信息流,如P2P下載、網路視頻、娛樂信息流、可疑數據流等進行必要的限制,減少其對網路資源的占用,提高企業員工與辦公業務的上網速度。
4.管理員工上網行為,提高員工網上辦公的效率
禁止員工在上班時間用網路聊天、炒股、玩遊戲等,提升員工的工作效率。提供員工上網行為分析報告,方便管理部門了解員工的工作效率和上網行為規律。
5.依照法規要求記錄上網日誌,避免違法行為
實施全面的上網行為管理,使網路安全建設符合國家對企業使用網際網路的管理規定(《公安部令第82號》)。詳細記錄常見的網際網路互動信息、做到發現問題有據可查。禁止員工訪問違法網站,防止員工在發帖、網路聊天中包含違法言論,降低企業的法律風險。
6.保障內部信息安全,減少泄密風險
實時監控網路外發的信息,發現可能的與商業或研發機密有關的信息外泄,及時阻斷並予以警告。詳細記錄郵件,網頁瀏覽與搜尋,微博、部落格、論壇發帖,各種聊天訊息及FTP、Telnet控制命令信息,並可對其審查。實現事先防範、事中警告,事後追查。實現全方位保障內部信息安全,減少機密外泄風險。
7.保障伺服器頻寬,保護伺服器安全
支持從多個角度全面的透視外網訪問DMZ區伺服器或者區域網路伺服器的流量情況,保障重要的伺服器頻寬,限制普通伺服器頻寬。監控伺服器區中每個伺服器的運行情況,及時發現異常工作的伺服器,快速定位攻擊伺服器的攻擊源,並且能夠及時阻斷其對伺服器的網路攻擊。最佳化訪問伺服器質量,提升伺服器穩定性。對比伺服器和區域網路占用頻寬的比例情況,智慧型分配兩者的頻寬。
8.簡化多專線管理,保障專線的網路質量
支持在一台設備上虛擬出多個管理設備,每台虛擬設備管理一條專線,一台設備同時實現對多個專線的獨立分析、保障與管理。節省集團客戶的採購費用,減輕網管對專線管理的複雜度,有效的保障專線的網路質量,提高專線使用的效率。
9.內置企業級路由器與防火牆,降低安全風險
可以有效的保障企業網路免遭網際網路的攻擊,增強網路安全防護能力。採用非常人性化與簡單的圖形操作界面,讓所有網管甚至普通員工都能夠輕鬆的進行配置與管理。
10.專業負載均衡 ,提升多線路的使用價值
確保企業網路及套用的可用性,提高上網訪問速度,減少伺服器負載與管理複雜度,降低企業的頻寬成本。
11.幫助網路最佳化與規劃,提供決策支持
具有全面的歷史趨勢分析與決策支持能力,為網路管理、最佳化與規劃提供科學的依據。
發展趨勢
傳統流控設備功能有限
無論是網際網路出口還是廣域網傳輸,都面臨著數據量不斷增長、業務種類不斷豐富的情況,所以,擴大頻寬的方法只能短時間緩解上網慢的問題,頻寬的擴展速度遠不及數據量的增長速度,不加以管理的網路中,頻寬資源緊缺的問題會再次出現。
隨著網際網路套用的不斷豐富,單純依靠IP、連線埠等信息識別流量的方式已經不再準確,80連線埠的流量中可能混雜著網頁訪問、QQ聊天、迅雷下載多種類型的流量。而傳統的防火牆、路由器等網路層設備,只能根據IP、連線埠等信息區分流量並做簡單的QoS策略,在這樣的環境下,這種傳統的頻寬管理方式將嚴重失效,無法達到合理規劃頻寬資源的目的,無關套用的頻寬得不到控制,關鍵套用的頻寬得不到保障。
此外,在廣域網傳輸場景下,無論是擴大頻寬、還是QoS頻寬管理,都無法解決網路延遲引起的傳輸效率下降、網速變慢的問題。特別是現有的業務系統,大多使用TCP協定進行數據傳輸,TCP協定本身高可靠、低效率的特徵也將導致頻寬資源的浪費,對於這類問題,傳統方法也是沒有辦法解決的。
流控+最佳化引領新潮流
對於多種網際網路套用爭搶出口頻寬的問題,套用層流量控制必不可少,根據套用特徵的不同對流量進行精準的識別,根據套用的重要性劃分可用頻寬,在套用層實現對頻寬資源的合理劃分和分配,避免頻寬爭搶帶來的擁堵問題。
特別的,對於多條出口鏈路的情況,除了對每條鏈路進行合理的套用層頻寬管理,還需要進一步最佳化出口鏈路的選擇方法,例如關鍵業務專用高質量鏈路傳輸、讓各條鏈路的負載較為均衡、當鏈路出現故障時可以相互備份等等,這樣能夠充分發揮各鏈路的最大價值,避免出口頻寬資源的浪費。
對於廣域網傳輸過程中數據量大、傳輸延遲大的問題,上述兩種方法也無法解決。這時候,必須要有效的廣域網加速方法來解決:一來彌補傳輸協定本身的設計缺陷,減少不必要的延遲,二來減少重複冗餘數據的傳輸,提升數據傳輸效率,才能達到提升業務質量的效果。
由此可見,在新網路時代,想要徹底解決上網慢、網路業務體驗差等問題,必須從套用層出發,採用流控+最佳化相結合的方法,才能達到治標治本的效果。
通過套用層流控+最佳化的一體化解決方案,流控設備以透明網橋的方式串接在網際網路出口或廣域網出口,通過網路感知、頻寬管理、鏈路最佳化、廣域網加速多種方法結合的思路,對於不同的網路環境、不同的網路問題,提供有針對性的解決方式,最終達到對頻寬資源合理的規劃使用。
其他信息
按照ITU-T802.3x協定,流控有兩種方式:XON/XFF和耗盡型。
XON/XOFF機制:利用PAUSE幀喚醒功能進行工作的機制。當一方的接收FIFO達到高水線的時候,向對端傳送PAUSE幀(
乙太網目前定義的唯一一種控制幀)。PAUSE幀中帶一個時間參數,表示收到PAUSE幀的一方要停多長時間;如果時間參數不為0,則停止傳送數據報文;如果時間參數等於0,表示收到PAUSE幀的一方可以馬上傳送(喚醒功能)。
耗盡型流控:接收到流控幀之後,如果流控時間為0,則取消流控,允許傳送數據幀,否則,按照流控時間禁止數據報文傳送,流控時間結束後,開始傳送數據報文,而不必等待流控時間為0的流控幀。