网络管理指导书
网络管理指导书之三:控制无关应用带宽,保障业务系统访问速度

一、带宽管理的难题

“打开网页的速度太慢了!”
“办公系统响应缓慢,订单系统时断时续,邮件收发速度太慢!”
“开视频会议有点卡,效果不好!”
IT管理者(网络管理员)不可避免的会碰到,大量用户反馈以上问题。用户对单位的带宽不满意,要求信息部门对带宽进行改造。“解铃还须系铃人”,找到问题的原因是解决问题的关键,下面我们探讨下,是什么原因引起的带宽不够用?

 用户反馈带宽不够用,管理员首先想到的就是增加带宽。然而,单位带宽增加了,也只能短期内提高用户的访问体验,随着时间推移访问速度又恢复如故。究其原因,带宽往往不是不够用,而是用得不合理,导致单位陷入“扩容—>滥用—>再扩容”的怪圈。而管理员不了解当前带宽是被谁、被什么应用占用,也不知道该通过什么方式获得这些信息;另一方面,管理员无法实时查看单位带宽使用现状,出现流量堵塞时不能及时解决问题;

 既然单纯增加带宽既不经济又不能解决问题,管理员通常考虑通过制定合适的整体带宽管理策略,并及时调整。调整的依据是“单位的线路现状、核心应用现状(公网应用和内网应用)”,如果管理员无从获得如上信息,也就无法根据各部门不同的核心应用,比如为领导的视频会议、市场部的订单系统、研发部门的FTP文件传输制定合适的带宽保障策略; 有些单位需要为下属子单位分配带宽,并将带宽管理权下发,由各子单位管理员自行管理,此时就需要这样的管理设备:既统筹管理单位的总出口,又允许设置分级管理权限;
 互联网的应用,特别是P2P、BT、在线视频等占用大量的带宽资源,单位可能三令五申禁止用户大量下载,但是没有采取行之有效的实际控制手段,没有技术手段定位滥用带宽的用户,无法管理;而单纯地为单IP分配固定带宽,却不限制带宽内的P2P流量,就可能发生用户一边用P2P,一边投诉网页打开速度慢的现象;

 当单位带宽资源被挤占使得正常业务不能开展的情况下,有些管理员采用一刀切的封堵方式,比如限制用户不能传文件。因噎废食的管理方式往往给组织业务开展带来反作用,这就要求管理员在对带宽进行管理的同时应兼顾某些特殊的需求,比如保障某些业务文件的速度传输。

 在现实的办公网络中,内网可能有成百上千的客户端去访问某知名网站,同个部门的人员可能去公司主页下载同一个文件,导致相同的数据传输了成千上万次,重复数据浪费了有限的带宽。。
以上问题,困扰着管理员,究其原因,是因为没有相关的工具、设备来辅助管理员对带宽管理,导致单位一直处于。下面,阐述深信服SANGFOR AC对带宽保障的措施。

二、深信服AC保障带宽的有效措施

深信服SANGFOR AC,紧贴用户需求,提供业界领先的带宽保障解决方案,提供丰富的技术手段,帮助客户解决带宽管理难的问题。

1.SANGFOR AC 流量报表

SANGFOR AC 流量报表(支持饼状图、柱状图、曲线图、报表),帮助管理员了解当前流量组成,了解当前网络流量占用情况,这些信息为后续管理员带宽管理带来依据:
设备操作路径:登录设备—>上网行为审计—>数据中心入口—>上网流量统计

a.用户流量排名

了解用户的带宽使用情况,对于流量特别大的用户,可以进行相应的限制,并支持递进查询:

b.组流量排名

观察内部哪个下属组织占用带宽资源最多。

c.上网应用总流量排行

获知占用组织带宽资源最多的应用。

d.上网时间应用排行

获取占用组织带宽时间最长的应用。


如果管理员希望了解细致的流量状况,AC支持基于时间、应用类型、用户/用户组查询流量使用排名状况,如管理员可查看某天单位用户的迅雷流量排行情况。
设备操作路径:登录设备—>上网行为审计—>数据中心入口—>日志查询—>上网流量查询

2.设置带宽策略,合理利用带宽资源

根据单位出口带宽大小、核心应用(视频会议、内网服务器是否经常被访问),使用流量子通道;提供当前网络出口实时流量查看,单用户上下行流量组成排名,会话排名查看,支持手动封堵用户;
当管理员清楚组织带宽应用情况后,可以根据组织的要求,设置最合理利用带宽的策略。

a.分级管理员

为下属子单位设立分级管理员,允许独立管理子单位的带宽策略
设备操作路径:登录设备—>系统设置—>控制台用户管理


b.带宽通道查看

观察带宽通道情况,掌握流量状态
设备操作路径:登录设备—>流量管理系统—>流量状态

c.细致子通道

SANGFOR AC可以细致到子通道用户带宽使用情况,详细到组织机构的最小单位。
设备操作路径:登录设备—>流量管理系统—>流量管理


上图显示单位各部门流量带宽使用情况,生效时间,用户上限等情况,有了这些数据作为支撑,结合组织统一对内部各部门带宽管理的要求,新建或在现有通道上设置,设置符合组织要求的带宽,设置重要部门有足够的带宽。
实现如下细致管理:

  1. 对一个高校,将出口1000M按规模划分给下属3个校区,300M、300M、400M;
  2. A校区拥有300M出口,A校区网管员根据校区内研究室、学院规模分配带宽;
  3. A校区网管员为某研究生实验室(30人规模)分配带宽,将4M线路“动态”分配给上网用户,并限定单用户下行不超过200Kb,其中P2P不超过50%

d.制定个性化策略,保障核心应用的带宽

在SANGFOR AC的支撑下,利用其保障核心应用带宽的功能,管理员针对人(如领导),针对应用(如视频会议),可以做个性化的带宽设置,从而保障核心应用有足够的带宽。
下面以保障网络会议为例,可以设置网络会议占用多少带宽,设置后,其它应用将不能占用这部分带宽。
设备操作路径:登录设备—>流量管理系统—>流量管理

e.对P2P等下载软件进行控制,防止带宽资源被浪费

P2P下载严重影响带宽,SANGFOR AC “P2P智能识别”专利技术,是业界领先的识别各种P2P类型的识别技术。有了识别的基础,可以有效管理各种已知的或未知的P2P应用。避免组织带宽被下载软件大量占用,使得正常业务没有足够带宽保证。AC独有的流量子通道功能,允许管理员在为单用户分配带宽通道后,再在该带宽通道中设置子通道,比如,管理员可以为某用户分配100K的带宽,同时限制其中不超过40K的带宽允许被P2P占用。
下面以控制P2P下载为例:
设备操作路径:登录设备—>流量管理系统—>流量管理—>新增


同样,可以对视频网站等占用带宽资源多的应用进行限制。这些P2P的限制都是可以针对组的,对单位允许下载P2P的用户,SANGFOR AC可以不管理。

f.文件类型流控

一刀切的管理手段,把所有文件下载全部封堵,不方便正常业务的开展。这个问题可以通过SANGFOR AC智能化管理策略来解决。AC只控制娱乐类文件下载,正常的业务相关文档(如数据报表、研发文档、设计图纸)做带宽保证,区别对待。保障正常业务的开展:
设备操作路径:登录设备—>流量管理系统—>流量管理


3.支持智能提醒,对超标的用户进行提醒

SANGFOR AC智能提醒功能,提供了人性化管理,若用户长时间使用指定应用流量过大,SANGFOR AC 设备智能提醒,在用户PC电脑上弹出提醒对话框,提示“用户长时间下载”,用户获得该信息可以及时停止下载。这样,大幅度减少管理员的工作量。
设备操作路径:登录设备—>上网行为管理—>上网策略对象—>新增—>智能提醒

4.Cache缓存技术,解决冗余数据占用带宽的问题

为了解决内网客户多次访问同一某知名网站,下载同一文件导致冗余数据占用带宽,可部署SANGFOR SG上网优化管理设备,采用cache缓存技术,在内网完成第一次到某网站的请求之后,该模块对初期的数据做一个缓存,当内网其他人访问相同的外网资源时,直接从缓存中发送数据给请求者,因此无需再次从互联网上请求该资源。对于存在重复网页、重复文件多次传输的网络,缓存技术将大大缓解带宽压力。
设备操作路径:登录SG设备—>上网加速