随着互联网建设的快速发展,网络流量爆炸性增长,大量应用对带宽的无秩序、无节制的抢占,为基础带宽资源的管理带来了无法回避的巨大挑战。此外,随着经济全球化的发展,越来越多的企业开始在全国甚至全球范围内建立分支机构,数据大集中的管理模式大大增加了广域网传输的负担。那么面对这些挑战,企业该如何提升网络服务质量,提高网络运维管理能力呢?51CTO特别邀请了来自东华网智的专家姜华来为我们解答。
公司网络带宽资源有限,如何合理利用有限的带宽资源?
目前,多数企业针对网络的管理常用以下几种方式:
1、区分关键业务和非关键业务,分别设置不同的流控策略。
2、禁止访问外部互联网及使用外网应用。
3、构建内部局域网系统及应用,各业务系统带宽按需分配。
企业网络带宽资源有限,究竟该如何合理利用有限的带宽资源呢?姜华表示,合理利用带宽资源要考虑多个层面:公司性质、业务用量、行政要求、总带宽、用网人数、关键应用、非关键应用等。当出现网络缓慢的情况时,可以考虑网络带宽、带宽租赁方、使用人数、应用分布等因素。查看带宽分配取决于网络设备或相关优化设备,优化原则需要根据公司的应用情况进行分配,在上网权限允许的情况下,为保证安全使用需要可以考虑外网审计,包括审计外发邮件、IM等,并对URL进行分类处理。或者根据企业实际情况区分时间段做控制,在员工休息时间适当放开互联网。
当用网人数和网络带宽相匹配的情况下,公司仍不足以满足办公需要,员工实际体验很差。造成网络体验差的原因是什么呢?姜华认为,出现此种情况可能由于只限制了每人的使用带宽却忽略了应用的限制。他建议,公司可采用总带宽管理加每用户管理的形式配合应用进行网络优化,并且,无论是每人限制还是动态分配带宽都要关注应用。
除此以外,提到公司网络限速,针对ERP/邮箱这类常用业务及一些需要从总部下载的大文件这类业务的限速,是否要用到网络监控设备?姜华的看法是,基于可控的前提是识别,对于企业内部应用来讲,通过IP和端口定义应用是最常见的区分方法,或通过抓包分析仍可以剥离出属于该应用的协议特征码,那么仍然可以采用DPI技术进行分析和控制。通过大量交换机端口查询业务流量依然可行,但耗费大量时间查询,网络监控类设备能提供更便捷的数据展现和操作方法,能提高管理员工作效率。
网络出口应用不透明,如何区分关键业务和非关键业务?
对于关键业务和非关键业务的区分,姜华建议,在现有流量管理方案中做到具体应用的细化,通过设定策略的优先级去区分关键业务和非关键业务的等级。保障策略的优先级高于限制策略,至于具体策略值是多少,需要根据企业的网络应用分布情况才可以确定,保障与限制的带宽值需要不断调整和适应才能达到最优的方案。可以参考流量分析的结果调整策略,包括应用分布的情况,出口带宽压力是多少,IP网段带宽占用分布情况等。
如何对进出口的带宽进行合理的分配?
姜华给出了以下两个方面的考虑方向:
一是,针对互联网出口,中小企业用户符合这种特点。从分析角度上讲流媒体、P2P占用了大部分网络带宽,因此需要根据企业出口带宽的大小和用网人数做出限制策略。
二是,广域网环境更适用于大型行业企业用户,总部数据中心包括诸如邮件、ERP、协同、财务等业务系统。那么,我们需要根据业务的使用情况和关键度区分策略优先级,在各关键业务系统正常运行的情况下做出针对性的保障策略。
如何有效解决分公司网络结构分散,总部技术支持难度增大的问题?
目前,很多企业已实现总部总出口部署流量管理产品,但仍出现业务缓慢等问题,并未达到预期效果。这是因为在分支出口已经出现拥塞。在不改变现有网络环境的基础上,更优的解决方案是在总部出口和分支出口共同部署流量管理产品,所有流量管理产品接受总部集中管理平台的统一调度,这样解决了总部出口与分支出口端到端的拥堵的问题。此外,姜华还建议,针对一些重要应用做出保障策略,并提高优先级。当然总部与分支的带宽大小也会对效率起到很大影响。
另外,数据极大集中是一种大趋势,但是大多是针对企业内网。在总部构建数据中心,分公司各自保留互联网出口的依然大有人在。这种管理方式不易于管理,也存在着一定的安全风险。如果采用流量管理系统,会极大的方便网络管理员,帮助其进行有效的网络运维管理。大家可以考虑选择东华流量管理系统,它支持统一管理功能,为了增加管理性,可以考虑在分公司部署流控,所有出口接受总公司的统一管理。
云计算、大数据的时代,网络流量管理系统应该具备怎么做运作管理?
云服务的一个重点是数据集中,那么就需要更好的带宽支持和网络质量,也会推动该行业的发展。网络流量管理依赖于流量分析的数据结果,在云计算时代和大数据时代,要求流量管理系统具备多方数据采集的能力、数据汇总的能力、数据发掘的能力。
异常流量及病毒大量存在,如何面对网络应用存在的潜在危险?
现在的网络不仅仅有来自外部的攻击,也有来自内部的异常流量,当异常流量及病毒大量存在时,如何面对网络应用存在的潜在危险? 流量管理设备能否做到智能的判断流量是正常还是异常,或者判定其是否属于病毒和攻击?
传统的网络流量管理提供的是应用识别,并未具备恶性攻击识别的能力,需要管理员从流量层面进行判断和分析。随着安全热潮的兴起,东华流量管理设备增加了安全模块,新增了对于恶性攻击流量特征库,可以对网络恶性攻击进行自动识别,并且定制简单的安全策略,预设策略针对每个IP设定阀值,保证网内不会因个别IP的突发流量引起网络出口阻塞,并根据历史数据分析定位问题IP。