上网时,我们日常使用的网络功能或服务,都是通过HTTP协议传输的,带宽控管则需要具有识别应用层服务的能力,否则无法管控这些流量。不过如今网络上的流量千奇百怪,各式各样的服务都有其不同的协定或封包。大家可以想像,网络就像条高速公路,网络封包则像台汽车,透过高速公路到达各个不同的目的地。不过,高速公路有所谓的交通承载量,网络理所当然也有,所以当网络上的流量过多时超出额定带宽时,则会造成连接速度过慢,或是造成断线。 所以,在管理网络时,IT人员可以透过QoS(Quality of service,服务流量品质)或WLB(光敏三极管WAN Load Balance,广域网络负载平衡)来降低网络的负担。通过QoS功能来限制网络服务带宽 QoS并不是一种协议,它是一种技术的总称。它主要的功能是用来辨识、标记及控管网络流量,而如何达到QoS的效果,各家厂商则都有各自的技术。 QoS功能会出现在WLB、带宽控制器、路由器等网络设备上,它主要功能是确认流量类型,并且给予带宽限制。IT人员能够确保重要业务的所需要的带宽,亦或是限制特定服务最 高可使用的带宽。例如像IT人员要将企业的ERP系统、VPN、视讯会议等重要服务,设定给予保留较多的带宽,如此就算有突发性的流量产生时,也能透过QoS保障服务的稳定性。
大多数设备的QoS功能,仅针对Layer 3网络第三层来管理带宽,或是限制Layer 4第四层的TCP或UDP服务端口。过去,针对Layer 3及Layer 4的QoS功能,还能应付大多应用服务。不过,现在像QQ等即时通讯软件、土豆、YouTube、P2P、在线影音等应用,大多都是通过HTTP(80端口)或SSL(443端口)传输封包,造成IT人员无法管理各项应用服务的带宽。
QoS可控管应用服务频宽
现在的网络流量类型太多、太复杂,若企业不管理流量,所有的网络服务都能任意使用,其网络服务质量在品质上则会明显受到偶发性流量影响。以网络流媒体为例,企业若是没有控管带宽,让使用者自行使用的话,则会带给企业互联网带宽很大的负担。像从这张流量图,我们可以看到在17点12分使用QoS策略前,流媒体影音造成的瞬间流量可高达1.4M
bps。而在使用管控策略后,则能将所有的网络影音流量限制在400Kbps。
过去与现在QoS管控带宽的差异
上图为传统的QoS功能,由于只能针对Layer 3或Layer 4限制流量,就像图中上方的流量,传统QoS只能辨识流量到协议及服务端口,像许多网络服务都会使用HTTP的80端口来进出,但在传统的QoS功能中,则无法识别。更别提那些通过任意短口进行传递的P2P软件及语音功能,基本上都会被归类到未知流量中。
下图新QoS则具备应用层服务识别的功能,与传统的QoS不能识别HTTP流量内容不同,它能辨识出其中包含了SAP的服务,而其馀的则为浏览网页。传统QoS所不能识未知的流量,在新技术应用下,则能识别包含的P2P及VoIP网络电话的服务包。
而当VoIP网络电话与P2P流量,能够各自被识别出来时,管理者就能透过QoS功能,分别给2者不同的带宽政策。但若是传统的QoS功能,则会被管理者以未知流量混合在一起进行管理。
能否辨识出更多应用层网络封包类型,成为新QoS管理流量上的重点功能
试着想像封包是一辆汽车,而QoS扮演的角类似于交流管理检查哨。具备Layer 7的QoS功能,是能够检视封包并给予标记,接着设备再依照QoS的政策给予相对应的带宽。所以QoS为了要能辨识应用层服务,需要具备DPI(Deep Packet Inspection,深度封包检测)功能,用来检测封包的类型。而这边所指的DPI,与防火牆及IPS的DPI功能不同,QoS的DPI主要是察看及比对封包的特征码,而资安设备的DPI则是用来解析封包内容。
QoS通过DPI解析封包后,大多还是透过封包内的字串、传输频率等资料,去比对特征码以确认封包类型。但是如果要针对网站进行QoS,由于封包皆是透过HTTP协定去传输,并且网站的类型及数量太过庞大,要进行辨识不是件容易的事情。
目前有不少设备的QoS功能皆可透视到应用层的网络传输,但差别在于各家所能看到的服务类型多寡。QoS所能看到的封包类型越仔细,IT人员则越能够根据企业所需的功能,去管理相对应的网络环境。以QQ来说,企业中的业务部门需要通过商务QQ工作时,是不会受到限制的,但IT人员可以透过QoS功能,封锁私人QQ和QQ游戏、影音等非工作上的流量,选择性开放网站给员工使用。
众多应用服务存在于HTTP中
在云端服务开始流行后,网络流量的类型就开始变得复杂,并且许多厂商纷纷将服务从C/S客户端的形式转移到网页上,让使用者只要通过浏览器,就能够使用应用功能。像是SaaS(软件运营服务)、新闻网站、协同作业网站、Youtube、IM软件等,这些服务有的是单纯的网站浏览,有的是观看影片,而也有厂商直接将软件功能放到网络上使用。而这些日常生活中每天都在使用的服务,大多都是从HTTP协定进出。
如果企业是使用传统的QoS功能,由于只能辨识Layer 4 TCP或UDP服务端口,限制带宽作用有限,并不能够完全控管应用服务流量。
控制服务的网络带宽,进而保障重要服务功能
在控制带宽方面,QoS的做法分成2种类型,1种为标记封包的优先顺序,1种为限制该流量的上传或下载流量。在标记封包方面,最基本的方式分为高、中、低3种等级,管理者可依照企业中的网络功能设定相对应的服务等级。而这些封包在经过设备时,若符合条件,则会把传输等级标记上去,并依照权重在网络中传输。但该做法的缺点为,它并不能够限制特定流量的最低频宽,仅能提供保障频宽。
阻燃双面胶
标记封包的QoS方式,各家厂商的做法各有不同,也有些演变出来的QOS功能,像侠诺科技的Layer 7 VIP,该功能可以指定某个应用服务或IP位址,让其服务所传送的封包标记为最高等级,能够在网络中畅行无阻。这种作法能够应用在视频会议服务,或是重要职位人员身上,让特定的服务或员工,在使用网络时流量能够保持最佳状态。不过由于互联网带宽是有限的,该功能因为能提供最高的传输等级,所以若设定为VIP的服务一直占据大部分的事宽时,则会影响其他的使用者。
透过QoS控制带宽,达到流量整型的效果
网络中存在各种流量,每种服务在使用带宽时,皆有可能互相影响。以图中的例子来看,它是网络中文件共享系统的流量图,可以看到在设定QoS之前,流量的起伏非常悬殊。在早上9点到下午5点这上班区间,该服务的平均流量约为5Mbps,但最高峰值速率则能到达近9Mbps,所以管理者将该服务的最大带宽设定在5Mbps,就能节省掉部分浪费掉的频宽,
且其它网络服务并不会受到该服务的带宽耗用起伏所影响。
另一种限制带宽以达到QoS的方式,则是让IT人员限制服务的上传及下载的流量,进而达到流量整型的效果。而与标记封包的方式相比,限制带宽则能够有效地控管网络流量(目前国产主流路由器TP-LINK/磊科/飞鱼星/艾泰等皆使用这类方案)。
企业若要设定QoS,可以先将设备放置在企业网络中约一个月的时间,观察使用者的网络行为后,再依照从各服务所观察出来的平均值流量,来限制带宽大小,如此就能够达到流量速型的目地。如此一来,通过带宽限制,也会降低网络服务中偶发性的大型流量,藉此将节省出来的网络流量,提供给其余网络服务使用。
通过多条线路,将重要服务与上网使用者分别独立开来
管理企业网络,除了通过QoS控管带宽,藉此降低不必要的带宽损耗。同时,有的企业也会通过加装多条线路,以服务分流的方式,解决突发性网格流量的问题。以银行业来说,大多会使用到4条线路,并分为2组。1组为企业内员工使用的线路,另1组为重要系统专用
的线路。网络架构会这样设置,是为了确保重要系统的服务能够持续且不中断。且每组线路都还能互相备份,保证线路能够一直维持运作。
vobu 不过,当线路分为多组时,就需要透过WLB设备进行分流。WLB主要的功能,是能够将企业网路对内、对外的流量,平均分配在各线路上。而IT人员可以根据线路频宽或品质设定权重,亦或是使用演算法计算线路延迟时间等,让设备自动分配流量到线路上。
WLB除了能够分配流量外,有的还会具备根据地理位置分流的功能,像是使用者要连线到美国时,设备会依据使用者的请求,分析IP位址得知目标伺服器所在位置,然后在选择回应速度较快的线路出去。有的则是将服务与线路绑定,现在很多的路由产品都有策略路由功能,可以指定被连线网站的IP位址范围,当连线到该IP位址范围时,一律从指定的ISP线路进行连线。
透过解析URL标本夹的功能,让Proxy代理服务器能够快速辨认使用者需求
如果企业网络的架构,是用WLB设备搭配Proxy伺服器的话,除了线路负载平衡外,有的还能对Proxy伺服器做负载平衡。由于Proxy伺服器很少具备自我检查的功能,所以过往当
无叶片风扇Proxy伺服器当机或停摆时,网路往往会中断使用一段时间,管理者才会发觉。但如果透过WLB设备的健康诊断(Health Check)功能,则能够透过持续发送封包的方式,来确认Proxy伺服器的服务是否正常。如果Proxy伺服器的状态异常时,WLB设备则会将内部使用者的需求,直接对外送出。
有些代理它们还具备了Token Load Balancing的功能。该功能可以解析URL位址,以YouTube为例,我们在观看同一部影片的时候,在分享连结时都会发现,过一段时间所分享的URL都会不同。但通Token Load Balancing的就能直接将内部使用者的需求,把解析过的资讯传递给Proxy伺服器,若需求的资料已经快取在Proxy伺服器上时,就能省去资料重复存取的带宽。
转移印花各式各样的QoS功能设定
网络设备的QoS功能并非是一种专属协定,只要能够控管网络流量,通常都能泛指为QoS。传统的QoS功能,通常辨识完流量后,会标记服务等级传递,但这种方式有个缺点,就是只能依照服务等级的权重调配流量,并不能直接限定频宽大小。
除了服务等级外,也有产品可以提供限制线路、服务端口、应用程式频宽的QoS功能,这
类功能除了选择较多外,还能设定最大及保障频宽,来控管流量。
而有些厂商,还藉此延伸发展了智慧型QoS,管理者可以设定该功能启动的流量警戒值,当整体流量超过设定值时,就会执行频宽政策。
而较特别的是,例如侠诺的智慧型QoS还具备惩罚机制,当使用者在进入智慧型QoS状态时,还持续让流量达到限制的流量上限,设备会进行惩罚动作,自动将该使用者的网路流量减少一半。
依照应用程式设定权限
管理者可以选择应用程式的类别,并选择该类型封包的传递的权重,有高、一般、低3种可以选择。
动态侦测的QoS功能
智慧型QoS可以设定流量警戒值,当超过时会自动控制频宽,限制整体及各节点的流量。
依照线路限制频宽流量
这类型的QoS功能,并非依照应用程式,而是选择线路并设定保证及最大频宽,来管控整体网路流量。
可控管应用层流量
管理者可根据QoS类别,自订或选择需控管的应用服务,像对于P2P类别,系统能控管百度的P2P下载软体等。
