2012年9月1日 星期六

MIS如何面對各類型網路流量?


MIS如何面對各類型網路流量?

在網路中,那些我們習慣使用的功能或服務,已經都是透過HTTP協定在傳輸時,頻寬控管則需要具有識別應用層服務的能力,否則無法管控這些流量

如今網路上的流量千奇百怪,各式各樣的服務都有其不同的協定或封包。大家可以想像,網路就像條高速公路,網路封包則像臺汽車,透過高速公路到達各個不同的目的地。不過,高速公路有所謂的交通承載量,網路理所當然也有,所以當網路上的流量過多時,則會造成連線速度過慢,或是造成斷線。

所以,在管理網路時,IT人員可以透過QoS(Quality of service,服務流量品質)或WLB(WAN Load Balance,廣域網路負載平衡)來降低網路的負擔。

透過QoS功能限制網路服務頻寬

QoS可控管應用服務頻寬
網路流量類型太多、太複雜,若企業沒有管理流量,雖然服務依舊能夠使用,但在服務品質上則會明顯受到偶發性流量影響。
以串流影音為例,企業若是沒有控管頻寬,讓使用者自行使用的話,則會帶給企業頻寬很大的負擔。像從這張流量圖,我們可以看到在17點12分套用QoS政策前,串流影音造成的瞬間流量可達1.4Mbps。而在套用政策後,則能將所有串流影音的流量限制在400Kbps。

QoS並不是一種協定,但可以稱呼它是一種總稱的技術。它主要的功能,是用來辨識、標記及控管網路流量,而如何達到QoS的效果,各家廠商則都有各自的技術。

QoS功能會出現在WLB、頻寬控制器、路由器等網路設備上,它主要功能是確認流量類型,並且給予頻寬限制。IT人員能夠應用在確保重要服務的所需頻寬,亦或是限制特定服務最高可使用的流量。像IT人員只要將企業的ERP系統、VPN、視訊會議等重要服務,設定相對應的頻寬,如此就算有突發性的流量產生時,也能透過QoS保障服務的穩定性。

大多數設備的QoS功能,僅針對Layer 3管理頻寬,或是限制Layer 4的TCP或UDP服務埠。過去,針對Layer 3及Layer 4的QoS功能,還能應付大多應用服務。不過,現在像IM軟體、YouTube、P2P、串流影音等應用,大多都是透過HTTP(80埠)或SSL(443埠)傳輸封包,造成IT人員無法管理各項應用服務的頻寬。

過去與現在QoS控管頻寬的差異
上圖為傳統的QoS功能,由於只能針對Layer 3或Layer 4限制流量,就像圖中上方的流量,傳統QoS只能辨識流量到協定及服務埠,像許多網路服務都會使用HTTP的80埠進出,但在傳統的QoS功能中,則無法識別。更別提那些,透過任意服務埠進行傳遞的P2P軟體及語音功能,基本上都會被歸類到未知流量中。

下圖則具備應用層服務識別的功能,像傳統QoS不能識別的HTTP流量,它能辨識出其中包含了SAP的服務,而其餘的則為瀏覽網頁。而傳統QoS所不能識別的未知流量,在新技術應用下,則能識別包含的P2P及網路電話服務。

而當網路電話與P2P流量,能夠各自被識別出來時,管理者就能透過QoS功能,分別給2者不同的頻寬政策。但若是傳統的QoS功能,則會被管理者以未知流量進行管理。


是否能辨識出更多應用層網路封包類型,為管理流量上的重點功能

試著想像封包是一輛汽車,而QoS扮演的角色類似於交流道前的檢查哨。具備Layer 7的QoS功能,是能夠檢視封包並給予標記,接著設備再依照QoS的政策給予相對應的頻寬。

所以QoS為了要能辨識應用層服務,需要具備DPI(Deep Packet Inspection,深度封包檢測)功能,用來檢測封包的類型。而這邊所指的DPI,與防火牆及IPS的DPI功能不同,QoS的DPI主要是察看及比對封包的特徵碼,而資安設備的DPI則是用來解析封包內容。

而QoS透過DPI解析封包後,大多還是透過封包內的字串、傳輸頻率等資料,去比對特徵碼以確認封包類型。但是如果要針對網站進行QoS,由於封包皆是透過HTTP協定去傳輸,並且網站的類型及數量太過龐大,要進行辨識不是件容易的事情。

但BlueCoat設備上的WebPulse功能,能夠辨別使用者瀏覽的網站類型,並進行頻寬控管。該功能為雲端服務,設備接收到內部使用者的需求後,會先在設備的資料庫中查詢,如果資料庫不能辨別該請求的網站,則會將需求上傳WebPulse資料庫查詢,確認連線的網站類型後,再套用QoS政策。

目前有不少設備的QoS功能皆可透視到應用層的網路傳輸,但差別在於各家所能看到的服務類型多寡。以管控社群網站頻寬來說,雖然有些產品同樣能夠對Facebook作頻寬控管,但以BlueCoat的產品為例,則能夠將Facebook的流量更細分成聊天、商業、串流影音、遊戲等9種

而QoS所能看到的封包類型越仔細時,IT人員則越能夠根據企業所需的功能,去管理相對應的網路環境。以Facebook來說,企業中的業務部門需要透過該社群網站工作時,是不會受到限制的,但IT人員可以透過QoS功能,封鎖Facebook的遊戲、影音等非工作上的流量,選擇性開放網站給員工使用。

眾多應用服務存在於HTTP中 

在雲端服務開始流行後,網路流量的類型就開始變得複雜,並且許多廠商紛紛將服務,從應用程式的形式轉移到網頁上,讓使用者只要透過瀏覽器,就能夠使用應用功能。

像是SaaS(軟體即服務)、新聞網站、協同作業網站、Youtube、IM軟體等,這些服務有的是單純的網站瀏覽,有的是觀看影片,而也有廠商直接將軟體功能放到網路上使用。而這些日常生活中,每天都在使用的服務,大多都是從HTTP協定進出。

如果企業是使用傳統的QoS功能,由於只能辨識Layer 4 TCP或UDP服務埠,在限制頻寬上作用有限,並不能夠完全控管應用服務流量。所以要管理這些應用服務的頻寬,則須使用可控管Layer 7流量的QoS功能。


控制服務的網路頻寬,進而保障重要服務功能

在控制頻寬方面,QoS的做法分成2種類型,1種為標記封包的優先順序,1種為限制該流量的上傳或下載流量。

在標記封包方面,最基本的方式分為高、中、低3種等級,管理者可依照企業中的網路功能設定相對應的服務等級。而這些封包在經過設備時,若符合條件,則會把傳輸等級標記上去,並依照權重在網路中傳輸。但該做法的缺點為,它並不能夠限制特定流量的最低頻寬,僅能提供保障頻寬。


透過QoS控制頻寬,達到流量塑型的效果
網路中存在各式流量,每種服務使用頻寬時,皆有可能互相影響。
以圖中的例子來看,它是網路中文件共享系統的流量圖,可以看到在設定QoS之前,流量的起伏非常懸殊。在早上9點到下午5點這上班區間,該服務的平均流量約為5Mbps,但最高峰值速率則能到達近9Mbps,所以管理者將該服務的最大頻寬設定在5Mbps,就能節省掉部分浪費掉的頻寬,且其餘服務並不會受到該服務的頻寬耗用起伏所影響。

標記封包的QoS方式,各家廠商的做法各有不同,也有以此變型出來的網路功能,像俠諾科技的Layer 7 VIP,該功能可以設定應用服務或IP位址,讓其服務所傳送的封包標記為最高等級,能夠在網路中暢行無阻。

這種作法能夠應用在視訊會議服務,或是重要職位人員身上,讓特定的服務或員工,在使用網路時流量能夠保持最佳狀態。不過,該功能因為能提供最高的傳輸等級,所以若設定為VIP的服務一直占據大部分的流量時,則會影響其餘的使用者。

另一種限制頻寬以達到QoS的方式,則是讓IT人員限制服務的上傳及下載的流量,進而達到流量塑型的效果。而與標記封包的方式相比,限制頻寬則能夠有效地控管網路流量。

企業若要設定QoS,可以先將設備放置在企業網路中約一個月的時間,觀察使用者的網路行為後,再依照從各服務所觀察出來的平均值流量,來限制頻寬大小,如此就能夠達到流量塑型。如此一來,透過頻寬限制,也有機會降低網路服務中偶發性的大型流量,藉此將節省出來的網路流量,提供給其餘網路服務使用。

應用層服務控管程度的差異 

俠諾科技的Layer 7 QoS功能,則以應用軟體為主,管理者可選擇P2P、線上遊戲等軟體,進行頻寬控管。

BlueCoat的QoS選項,可以根據應用服務,再提供該功能更細部的功能,像是Facebook的串流影音、遊戲等選項。

設備的QoS,如果支援應用層方面,大多差異在於哪家廠商能夠看得更仔細。

以俠諾科技與BlueCoat為例,俠諾所提供的QoS控管,大多是控管應用程式、線上影音、Skype等軟體為主,可以限制大多會影響到企業的軟體流量。

但企業若想控管更細部的網路流量,則可以選擇像BlueCoat這類的廠商,它們的QoS分類更多。以控管Facebook來說,若分類沒這麼仔細的廠商,只能夠控管整個Facebook的流量。

但對於BlueCoat這類廠商所提供的產品技術而言,在管控Facebook的使用上,則能細緻到針對該網站中的遊戲、商業、視訊、聊天等細部服務類型。


可透過多條線路,將重要服務與上網使用者分別獨立開來

管理企業網路,除了透過QoS控管頻寬,藉此降低不必要的效能損耗。同時,有的企業也會透過加裝線路,以服務分流的方式,解決突發性網路流量的問題。

以銀行業來說,大多會使用到4條線路,並分為2組。1組為企業內員工使用的線路,1組為重要系統專用的線路。網路架構會這樣設置,是為了確保重要系統的服務能夠保持連線且不中斷。且每組線路都還能互相備援,保證線路能夠一直維持運作。

不過,當線路分為多組時,就需要透過WLB設備進行分流。WLB主要的功能,是能夠將企業網路對內、對外的流量,平均分配在各線路上。而IT人員可以根據線路頻寬或品質設定權重,亦或是使用演算法計算線路延遲時間等,讓設備自動分配流量到線路上。

WLB除了能夠分配流量外,有的還會具備根據地理位置分流的功能,像是使用者要連線到美國時,設備會依據使用者的請求,分析IP位址得知目標伺服器所在位置,然後在選擇回應速度較快的線路出去。有的則是將服務與線路綁定,像俠諾的產品有一項策略路由功能,可以指定被連線網站的IP位址範圍,當連線到該IP位址範圍時,一律從指定的ISP線路進行連線。

透過解析URL的功能,讓Proxy伺服器能夠快速辨認使用者需求
如果企業網路的架構,是用WLB設備搭配Proxy伺服器的話,除了線路負載平衡外,有的還能對Proxy伺服器做負載平衡。

由於Proxy伺服器很少具備自我檢查的功能,所以過往當Proxy伺服器當機或停擺時,網路往往會中斷使用一段時間,管理者才會發覺。但如果透過WLB設備的健康診斷(Health Check)功能,則能夠透過持續發送封包的方式,來確認Proxy伺服器的服務是否正常。如果Proxy伺服器的狀態異常時,WLB設備則會將內部使用者的需求,直接對外送出。

以Citrix NetScaler負載平衡設備來看,上述功能都有具備。但較特別的是,它們還具備了Token Load Balancing的功能。該功能可以解析URL位址,以YouTube為例,我們在觀看同一部影片的時候,在分享連結時都會發現,過一段時間所分享的URL都會不同。

而Token Load Balancing功能,具備解析URL的能力,將重新編碼過的URL中,找出ID序號等關鍵資訊。而搭配Proxy伺服器使用的時候,就能直接將內部使用者的需求,把解析過的資訊傳遞給Proxy伺服器,若需求的資料已經快取在Proxy伺服器上時,就能省去資料重複存取的頻寬。


各式各樣的QoS功能設定

網路設備的QoS功能並非是一種專屬協定,只要能夠控管網路流量,通常都能泛指為QoS。傳統的QoS功能,通常辨識完流量後,會標記服務等級傳遞,但這種方式有個缺點,就是只能依照服務等級的權重調配流量,並不能直接限定頻寬大小。

除了服務等級外,也有產品可以提供限制線路、服務埠、應用程式頻寬的QoS功能,這類功能除了選擇較多外,還能設定最大及保障頻寬,來控管流量。

而有些廠商,還藉此延伸發展了智慧型QoS,管理者可以設定該功能啟動的流量警戒值,當整體流量超過設定值時,就會執行頻寬政策。

而較特別的是,俠諾的智慧型QoS還具備懲罰機制,當使用者在進入智慧型QoS狀態時,還持續讓流量達到限制的流量上限,設備會進行懲罰動作,自動將該使用者的網路流量減少一半。


依照應用程式設定權限 
管理者可以選擇應用程式的類別,並選擇該類型封包的傳遞的權重,有高、一般、低3種可以選擇。圖為Peplink 310的QoS功能。


動態偵測的QoS功能
智慧型QoS可以設定流量警戒值,當超過時會自動控制頻寬,限制整體及各節點的流量。圖為俠諾GGC8090的動態智慧QoS功能。


依照線路限制頻寬流量
這類型的QoS功能,並非依照應用程式,而是選擇線路並設定保證及最大頻寬,來管控整體網路流量。圖為眾至UR-760F的QoS功能。


可控管應用層流量
管理者可根據QoS類別,自訂或選擇需控管的應用服務,像對於P2P類別,系統能控管百度的P2P下載軟體等,圖為A10 EX2110的QoS功能。

轉載自《iThome》