一個人生哲理:選對路最重要
你有沒有遇到過這種情況?聽說近郊有一個山清水秀的地方,周末呼朋喚友興沖沖地駕車出游。在陌生的岔路口卻選錯了路,一路上又窄又堵。當花費大量時間折騰到目的地是,出游的好心情都沒了。這其實隱含了一個人生哲理:“選對路永遠最重要!”
在網(wǎng)絡的世界里,流量的通信流轉(zhuǎn)與現(xiàn)實世界的交通有很多相似之處,這個原則同樣適用。當前,很多企業(yè)、學校和寬帶服務提供商都租用了多條來自于不同ISP(互聯(lián)網(wǎng)服務提供商)的鏈路。在這些地方,你常常會聽到抱怨: “上網(wǎng)怎么這么慢?不是剛租了新鏈路嗎,帶寬又不夠了?”如果你仔細地分析一下,其實網(wǎng)速慢不一定是因為帶寬不足,而是因為流量沒選對路。
目前,企業(yè)級用戶的廣域網(wǎng)傳輸問題主要來自兩方面,即鏈路與應用。傳統(tǒng)的互聯(lián)網(wǎng)加速設備采用數(shù)據(jù)緩存、TCP優(yōu)化及應用優(yōu)化、數(shù)據(jù)壓縮及QoS控制等技術,部分的解決了應用傳輸?shù)膯栴},但對于鏈路間的流量負載分擔沒有很好的辦法。你是否知道,有些下一代防火墻除了完成安全防護工作外,還能提供鏈路負載均衡的能力?“智能選路”是華為下一代防火墻推出的一種鏈路負載分擔技術,能夠充分利用出口鏈路資源,讓網(wǎng)速飛起來。
誰動了你的網(wǎng)速?
繞路的上網(wǎng)流量
為了提供更好訪問體驗,包括新浪、百度及迅雷等熱門的互聯(lián)網(wǎng)資源都使用了CDN技術,把相同的資源被部署在不同的運營商網(wǎng)絡中。如果用戶訪問的資源與出口鏈路來自同一個運營商,速度最快;反之,如果跨運營商訪問,就會很慢。例如:用戶租用了兩條出口鏈路,一條電信的,一條聯(lián)通的,那么他通過電信的鏈路訪問位于聯(lián)通的資源就會很慢。
當使用多條運營商鏈路上網(wǎng)時,傳統(tǒng)設備會采用等價路由將流量平均的分配到這些鏈路上,如果鏈路和訪問資源所屬的運營商不一致,就會出現(xiàn)跨運營商訪問的情況,體現(xiàn)為上網(wǎng)慢。這一方面是因為流量繞了遠路,另一方面是因為各個運營商網(wǎng)絡間的接口帶寬很窄,很容易出現(xiàn)阻塞的情況。
垃圾應用占用了優(yōu)質(zhì)通道
當然,不是所有的人和所有的上網(wǎng)場景都這么慢。令人郁悶的是,P2P下載、在線電影之類休閑娛樂的上網(wǎng)速度都很快,而那些真正重要的應用(如網(wǎng)頁瀏覽、視頻會議)卻很慢。這一點都不奇怪,因為P2P這類應用設計時就傾向于占用盡量多的資源,因此它們“生命力”和“侵略性”更強。好比雖然高速公路上路很寬,但如果道路都被大貨車了占了,你也就只能調(diào)整好心態(tài)跟在它們屁股后面慢慢開,這樣的速度可想而知。
鏈路負載不均
網(wǎng)速緩慢時,你的鏈路未必得到了充分利用。由于連接Internet的鏈路帶寬可能不盡相同,當一些小帶寬鏈路超負荷使用時,高帶寬鏈路遠未達到極限。這時候,再分配到滿負荷鏈路的上網(wǎng)流量就會阻塞。傳統(tǒng)的路由設備像一個蹩腳的交警,不去理會道路容量的差別,不管是單車道、雙車道還是4車道,只是僵化地把車輛往各條道路上平均分配。這樣一來,低帶寬鏈路就成了“木桶的最短板”。
“智能選路”助網(wǎng)速起飛
選路基本原則一:ISP選路,盡量選擇最近的路
下一代防火墻采用ISP選路的方式解決流量的“繞路”問題。簡單的說,就是根據(jù)流量的目的選擇對應運營商的出口。例如:如果訪問聯(lián)通的資源,就會自動選擇聯(lián)通的出口鏈路。但如果所有的流量都要通過聯(lián)通的鏈路訪問資源,反而會導致這條鏈路阻塞。因此,ISP選路只是基礎,需要結合其他“宏觀調(diào)控”手段,將流量分擔到其他鏈路上。
選路基本原則二:基于業(yè)務選路,把好鋼用在刀刃上
“抓大放小”是網(wǎng)絡優(yōu)化中最樸素的原則。下一代防火墻可以通過對應用、用戶、QoS標簽的識別,把關鍵用戶和關鍵業(yè)務的流量識別出來,繼而使用最優(yōu)的出口資源進行保障。承載業(yè)務的出口資源可能是一條物理鏈路,也可能是一個VPN通道。區(qū)分優(yōu)先級的好處是在資源有限的前提下實現(xiàn)了用戶體驗的最大化。易于業(yè)務的選路同樣是智能選路的基本原則,可以和其他負載分擔方法結合使用。
分流方法一:基于鏈路帶寬選路
基于鏈路帶寬選路,是根據(jù)鏈路的實際承載能力分擔流量的方法。例如:出口有兩條鏈路,一條帶寬200Mbps,另外一條500Mbps。當采用基于帶寬選路時,流量的分擔比例就會是2:5。這種分流方法最大化地使用了帶寬資源,不會出現(xiàn)鏈路“忙閑不一”的狀況。當企業(yè)從不同ISP處獲得多條帶寬不等的鏈路時,為了充分利用各鏈路的帶寬,提高鏈路的利用率,可以選擇此種選路方式。
分流方法二:基于主備優(yōu)先級選路
一些大企業(yè)的分支會采用雙線接入的方式與總部連接。通常以專線接入為主,Internet上的VPN通道為輔;有些企業(yè)以有線接入為主,無線接入為輔。主接入質(zhì)量更高,資費固定,因此被優(yōu)先使用。輔鏈路質(zhì)量稍差,有時會根據(jù)使用流量收費,僅在主鏈路故障或過載時使用?;谥鱾鋬?yōu)先級的選路多用于這種場景,既優(yōu)先使用了優(yōu)質(zhì)資源,又能保證業(yè)務的持續(xù)可靠。
分流方法三:基于鏈路質(zhì)量選路
由于Internet的復雜性,很多時候鏈路的質(zhì)量狀況并不是持續(xù)不變的,很難事先判定。對于這種情況,NGFW能夠根據(jù)各鏈路的實時傳輸質(zhì)量動態(tài)調(diào)整流量的分配。對于需要鏈接總部數(shù)據(jù)中心的大企業(yè)分支,采用基于質(zhì)量的選路可以有效消除網(wǎng)絡不穩(wěn)定對業(yè)務的影響,從而減少專線租用的需求。
分流方法四:基于鏈路權重選路
如果管理員對鏈路的情況非常清楚,可以用基于鏈路權重的選路方法。制定各條鏈路的分配比例,下一代防火墻將基于這個比例分配流量。這種方法給管理員最大的自主性。當企業(yè)從不同ISP處獲得多條性能不等的鏈路時,為了優(yōu)先使用轉(zhuǎn)發(fā)性能最優(yōu)的鏈路,保證大多數(shù)用戶的訪問體驗,且不浪費其它性能稍差的鏈路,可以選擇此種選路方式。
下一代防火墻將承擔更多責任
下一代防火墻部署在網(wǎng)絡邊界,具備應用識別的能力,用它來承擔鏈路負載分擔的角色具備得天獨厚的條件。除了傳統(tǒng)防火墻、入侵檢測、防病毒等安全防護功能外,下一代防火墻在網(wǎng)絡中應當承擔更多的責任。憑借華為的“智能選路”技術,下一代防火墻可以根據(jù)ISP選路和業(yè)務優(yōu)先級進行分流。通過鏈路帶寬、主備優(yōu)先級、質(zhì)量和鏈路權重等多種負載分擔算法,充分利用鏈路資源加速網(wǎng)絡訪問。
華為USG6000下一代防火墻全系列產(chǎn)品均具備智能選路的能力,包括被譽為“中小企業(yè)網(wǎng)絡安全的瑞士軍刀“的熱銷款型USG6330,以及新推出的百兆型號USG6306和USG6308,即將在西安舉行的2015華為中國合作伙伴大會上亮相。USG6330下一代防火墻集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏等全面防護于一體,同時兼具智能選路的能力,僅需部署一臺設備,就能滿足中小企業(yè)網(wǎng)絡防護的各種需求。一經(jīng)推出,持續(xù)熱銷。與傳統(tǒng)的網(wǎng)絡安全方案相比,部署USG6330網(wǎng)絡拓撲更清晰,維護更簡單。充分利用已有帶寬,提升上網(wǎng)體驗。
2015年3月12日到13日,華為將在西安曲江國際會展中心舉辦“2015華為中國合作伙伴大會”。本屆大會將以“智匯陽光 共襄新程 —— 超越夢想 共鑄輝煌”為主題,面向數(shù)千家合作伙伴全方位展示華為針對企業(yè)市場的ICT產(chǎn)品和解決方案,并發(fā)布最新的渠道戰(zhàn)略和更加完善的渠道政策。