今年8月,是不同尋常的一個夏天,奧運賽事如火如荼的進行中。除了到比賽現場為中華健兒加油助威,更多人可能會從電視、報紙等媒體渠道獲取奧運信息。但對于朝九晚五的企業上班族而言,網絡就成了掌握奧運動態的主要工具。然而,這也成了各單位領導比較擔憂的事情。
由網絡視頻、賽事直播等產生的帶寬沖擊,以及由此帶來的安全隱患,會對企業的日常業務、信息通訊等應用造成不可估量的影響。尤其是仍處于成長階段的中小企業,只要少數幾個員工觀看QQLive、PPS等網絡視頻直播,就會占用大量帶寬資源,進而導致其他人查詢網頁速度極慢、無法收發郵件、VoIP通話質量差等,影響整個企業員工的工作效率。解決這個矛盾的重擔自然落到了企業網管身上。他們既要承擔來自企業高管的壓力,又要保證公司同事沒有抱怨。在這特殊的時期,如何做到能夠既不增加工作量,又能夠讓領導與同事都滿意呢?
針對這個問題,其實眾多技術專家及網管在之前就進行過激烈的爭論。一部分人認為只需增加一定的帶寬即可,如將ADSL單線變升級為雙線或者直接以光纖替換ADSL,這樣就能滿足員工的帶寬需求。然而事實卻不是那么簡單,網絡P2P應用服務快速風行,如果只是單純性的增加帶寬,一旦員工們用BT等工具任意的揮霍帶寬資源,恐怕再大的帶寬也不夠用,既增加了成本又增加了網絡安全風險。這就像將兩車道的高速公路拓寬成十線道,但車輛卻同時增加100萬倍爭搶上路,若沒有相關的限制措施,依然會產生交通癱瘓的情況。
全球可能同時有幾億人通過網絡觀看賽事直播,它必然會導致帶寬的局部緊張。在不拓展帶寬或是增加少量帶寬的情況下,網管可以采取兩個方面的技術措施,來平衡網絡管理的成效。一,借助硬件設備采取快速而有效的網絡帶寬管理手段;二,結合防火墻等工具去限制一定的網絡應用服務的同時防護網絡漏洞,減小安全風險。
進行網絡流量管控
普遍意義上,企業目前管理網絡流量的方式,不外乎在線路接入處,也就是路由器端進行流量分配、應用阻止、優先保障三種方向。至于哪一種方式是最佳的管控方法,則取決于每個企業的網絡應用環境不同,所以也不能武斷的下定論。按照最新的應用模式,企業的網絡設備應同時具備這三種管理方式,才可幫助企業網管在不同環境、不同時間、不同需求的情況下,進行最佳的彈性靈活配置。
流量分配方面,現在使用最多的主要技術算是線路的負載均衡、QoS帶寬管理、連機數管控三種。
對于多數中小企業的網絡規模現狀,最為常見也是最有效的負載均衡技術,是基于多WAN口應用的地址轉換網關負載均衡:支持負載均衡的地址轉換網關,可以將一個外部IP地址映射為多個內部IP地址,對每次TCP連接請求動態使用其中一個內部地址,讓內網網絡服務流量依據企業網管的設定規則,從不同的WAN口進出,平均計算分擔流量比例,自然整體流量進出可達較為快速通暢的效果。
QoS帶寬管理:就是通過封包分類、服務類型等來達到帶寬保證、速度限制等需求,而且一些較先進的設備也可以針對不同的時間段采取靈活的管制措施,滿足個性化的應用需求。當然,也有網絡設備廠商提出智能帶寬管理的概念,它所需要的手動配置過程更少,而流量管理的有效性及主動性更加突出。例如,臺灣Qno俠諾防火墻路由器,就具有智能帶寬管理的功能。它通過自動判斷內網帶寬使用狀況做彈性優化管理,自動壓抑占用帶寬用戶。并可根據需要設置啟動時段,在高峰時段自動啟動Smart QoS功能進行帶寬管理,以設定聯機數、最大或最小帶寬等方式,有效限制帶寬占用,讓內網其它用戶可正常聯網。
連機數控管:運用限制內網每個IP可用連機數的方式達到整體流量控管的目的,比如讓企業網管頭痛的P2P問題,若運用限制連機數的方式,即可讓P2P所產生超大量的連機數無法同時間通過,這樣一來,就不會占用到整體帶寬資源,也就不會影響企業員工的正常運作了。
應用阻止方面:比較普遍的應用功能可能是網絡訪問規則(ACCESS RULE)的制定,它是開放給企業網管自由設定企業員工上網存取的規則,對于某些特定的應用服務,可在此設定要開放還是關閉,可以說是更加全面強化控管員工上網的行為。一般企業網管多半會運用此功能來封鎖特定的網頁、游戲網站等特定服務。但針對特殊如QQ、MSN、迅雷、BT等,也有廠商推出便利的一指鍵功能,快速封鎖指定的應用服務,簡潔方便。此外,如何精確的設定管理規則,不間斷的針對企業內部整體的流量分析,也是非常重要的一環。目前,市場上一般的網絡產品中已有內建的流量分析及日志記錄等等軟件,借此即可一覽企業內部不同時段或特定服務應用的流量分析,協助企業網管進行更精確控管規則設定。
此外,企業還可采用優先權設置,設定應用服務的優先帶寬使用比例,可將最想被保障的特定應用服務,比如VPN應用設定為高比例,將其它所有的服務應用設定為低比例,那么整體帶寬將會依據六比一的帶寬比例,分配所設定的應用服務,這樣一來,即是采用流量的優先權控管,達成企業所量身訂做的的通暢網絡系統。優先權又分為單線優先權和多線優先權,單線優先權設置起來比較簡單,只需要將具體應用服務IP或者端口劃分優先級別,即可達到需求目的;多線優先權的設置,則要先設置廣域網口的優先權再設置具體應用服務的優先權(例如雙線VPN網絡),這樣數據包就會優先從這條線路通過,達到加速的目的。不過,這要非常熟析應用服務對應的名稱,才可快速進行配置,因此它具備一定的技術門坎。
靈活運用這三類的流量管理,才可真正防制員工進行P2P在線影音或下載、ERP、FTP大檔案圖文數據存取傳輸等應用,以及VPN帶寬的優先保障,使得企業網絡在規定的時間內暢通無阻,幫助企業高效運轉。
結合防火墻防護網絡安全
奧運期間,多數病毒可能會噬機而動,還有不少國外黑客及不法分子,必然會利用奧運的網絡漏洞對企業網絡進行攻擊,造成網絡的癱瘓,影響企業正常的運作。因此網管應該在危險來臨之前做好充分的安全措施,防火墻在這里就可以發揮巨大的作用。首先,可以采取一款極有實效的防火墻,通過對特定網絡服務端口或特定IP地址進行封鎖,來關閉病毒入侵、黑客攻擊的大門。其次,市場上某些廠商的防火墻設備還有防治頑固ARP病毒的功能,一般是通過IP地址的綁定來實現防治的目的,其主要是用未雨綢繆的預防措施,從根源上阻隔ARP病毒的蔓延。
建議廣大企業網管,只要采取了正確而有效的網絡管理策略,處于發展階段的中小企業們,便可以輕輕松松地做到奧運、工作兩不誤,既能夠讓全體員工及時參與到北京奧運這難得的盛事之中,又能夠從容應對工作中的無限機遇和挑戰,享受著與企業共成長的快樂!
(2008-08-18)