文/邱詩琁
雖然專線日漸下降,不過比起ADSL等寬頻連線還是有些差距。且企業隨著資料傳輸量的增加、還有和分公司、上下游廠商間的專線互通,讓公司的網路架構日益複雜,管理更加不便。許多使用者導入負載平衡/頻寬管理器的首要考量,就是先將線路做整合,網路架構做瘦身。且若精打細算一番,發現還可退租一些專線,省下了不少費用。
首部曲:省錢瘦身大戰-廣域網路整合負載平衡/頻寬管理設備架設在廣域網路和內部網路的連節點上。可以將所有對外頻寬整合起來,不論是專線(TI、T3)、寬頻連線(xDSL、Cable Modem)及其他型態(如ISDN)的網路,都可藉此設備而整合起來。因此企業可此將兩條以上的ADSL結合後其頻寬便可取代收費較為昂貴的專線。甚至企業也許有來自不同家ISP的線路也能做整合,不僅頻寬可整合運用,也不必再擔心萬一哪家ISP線路發生問題,就需面臨服務中斷的難題和相對的損失。
▲ 負載平衡/頻寬管理設備可整合多條廣域網路(圖片提供:Q6 Networks)
以下來做個簡單的運算:
目前,一條T1專線頻寬1.5Mbps的電路費用為NT12,500元,三條雙向512K ADSL頻寬加總也是1.5Mbps,但費用只需1,299 × 3= NT3,897,兩者相差了8,603元。再乘以一年12個月的月租費用,足足可為企業省下近10萬元的花費。而要讓三條各自獨立的ADSL線路得以整合在一起,頻寬相加,便需要負載平衡/頻寬管理器的協助。
▲ 負載平衡設備可以讓使用者以較低的成本取得較高的頻寬(資料提供:爭鋒科技)
省了荷包錢後,由於各家線路、各種類頻寬線路,可以相互整合運用,許多企業便以此做到了線路的負載平衡、線路備援機制。
二部曲:流量疏通大法-負載平衡 / 備援機制
由於安全意識的提高,再加上許多企業需對外提供24 X 7不中斷的服務,如ISP業者、金融證券業、入口網站、電子商務網站、網咖等,因此許多使用者導入該設備的第一考量便是做備援機制,任何一條線路若中斷、阻塞,該條網路流量會被導引至其他線路,繼續保持網路的通暢。一般負載平衡可分為兩種情況:內送(Inbound):由外往企業內部的流量,外送(Outbound):企業內對外傳送的流量。
Inbound是指外部的人要來瀏覽內部Server所提供的資料,Inbound的流量多是由外部DNS Server做解析,決定流量該走哪個線路。負載平衡/頻寬管理器會監看所有廣域網路的連線狀況,若某條網路連線中斷,便自動調整DNS紀錄,將流量導引至正常線路上的IP位址。也就是常說的Multi-homing功能。目前市面上有些產品有提供DNS服務,有些則無,需另外再架設DNS主機,不過要注意的是該主機的時間參數是否正確,這將影響重新查詢DNS上Domain對應IP的解析時間和線路備援的正確性。而Outound則是?部電腦要出去瀏覽外部主機的資料流,對外的負載平衡可依據連線數、封包數(by traffic)、封包數(by package)等做分配。
由於能監測網路的線路品質狀況,除了做線路備援外,還能藉由政策的設定,將封包導引至不同的路徑,找出最短、最快的道路,讓線路使用更為平均、效能也可望大幅提升。
▲對於某些企業而言,和分公司、眾多營業據點的連繫,可藉由負載平衡設備降低昂貴的專線成本。(圖片提供:網眼科技)
三部曲:服務品質提升大計-頻寬管理一般負載平衡/頻寬管理器所強調的QoS功能,則是讓使用者能透過政策的訂定來管理頻寬,對頻寬做最妥善的分配和利用。通常頻寬管理的政策可依據應用類型、來源IP、目的地IP、優先權(Proirity)、保障最大可用頻寬(Max)、最小頻寬(Min)等方式來做設定。目前市面上的產品皆有提供多種頻寬管理的設定方法。
除了企業對內/對外的流量負載平衡外,頻寬管理尤其適用在企業內部對外的流量上,為了避免頻寬被一些較不重要的檔案下載等濫用,或是能保障如視訊會議(Video Conference)、網路電話(VoIP)等需要較大且穩定頻寬的媒體應用,或是保障企業重要的ERP、CRM系統應用的頻寬,因此企業可視不同的部門、不同使用需求等做頻寬的分配,讓頻寬獲得最佳利用,企業的工作效率也能大幅提升。
四部曲:建構密秘大道-VPN / VPN負載平衡由於傳輸的安全考量,許多企業會採取讓重要資料走VPN(Virtual Private Network,虛擬私有通道)的方式,對傳輸資料做加密、認證的保護。負載平衡/頻寬管理器多半有提供VPN,並做不同線路VPN的負載平衡,同樣道理,就是走某線路的VPN不通時,還能再從別的線路建立VPN通道,這是相較於其他提供VPN功能的設備如防火牆等所無法達到的。
▲ 提供VPN功能,亦是許多產品的重要訴求,同時也是眾多使用者採購的基本需求。(圖片提供:友旺科技)
五部曲:附加功能大補怗負載平衡/頻寬管理設備除了他們主打的本業外,多半還強調有其他種種的附加功能及價值。
雙機容錯
若是擔心設備本身掛點,豈不造成所有線路不通,更不安全。目前產品多有提供雙機排錯(Failover)架構,採取主機和附機相互備援,當主機發生故障,附機可立即取而代之成為新的主機,而設備也可以經由循環使用來延續雙機的壽命。
防駭功能
一般負載平衡/頻寬管理設備所強調的防駭、防火牆功能,主要是依據本身所提供的監看網路封包流量的能力,因此所謂能抵禦駭客攻擊、阻擋DoS(阻斷服務)攻擊,便是因為能發現不正常的封包流量,即時通知網管人員做進一步的確認和處理。多數廠商表示防火牆並非他們的主打功能,和我們一般所認知的做為網路門禁守門員的防火牆設備仍有不同,有些則是強調能運用來做不同台防火牆間的負載平衡。
Smart NAT(智慧型位置轉譯功能)
Smart NAT功能是依照所選定之路徑自動切換成對應之外部公眾IP(Public IP);另外,也可將外部公眾IP與通訊埠(Port)轉換為自訂的內部私密IP(Private IP)和通訊埠,以增加內部主機的安全性。
▲ 除了提供負載平衡、頻寬管理等功能外,有些產品並提供有防火牆、VPN等附加功能。(圖片提供:桓基科技)
採購建議
許多採購者在導入負載平衡設備後,便退租了專線,改以ADSL取代,省下的線路費用,明顯可算。而這還不包括未來可能因避免了服務中斷所省下的更為可觀的成本。這是負載平衡的一大賣點,相較於許多只能強調防患未然的網路安全設備,負載平衡設備倒是能夠大聲地說能為企業精打細算、提出具體數字證明,以贏取管理者的好感、抓到採購預算。
綜合了多家廠商和使用者針對採購該設備的建議,整理出五大要點以供參考:
一、 功能:
導入設備的首要考量當然是要符合公司目前所需,解決企業亟待解決的問題。許多使用者導入的第一成效便是做了線路的備援,毋需再為任何一條個別線路可能擁塞、擠爆而提心吊膽。網眼科技產品經理吳祥麟表示,企業除了需先瞭解目前所遇到的問題及現有的網路架構外,也要先預估未來的網路成長流量,做為產品導入時的考量。除了Load Balance功能外,另外可評估是否需要QoS、Firewall、HA、Proxy、VPN trunk等其他功能。另外,若已具備有VPN設備,還需考量與原有設備的互通性及整合性。
德恩資訊建議選購的首要考量為,要先清楚Virtual WAN的數目;除了一般線路、網路流量負載平衡外,是否有提供VPN、VoIP、Video Conference的負載平衡;是否能防止頻寬性的攻擊;及能提供流量排名及管理的功能。
亞盛科技則提到了八項該類產品需具備的功能,線路負載平衡(Inbound/Outbound Load Balancing)、斷線容錯(Backup line)、雙機備援(HA)、QoS頻寬管理、Dos防護及Firewall功能、Public IP Pass-Through功能、Monitor和Report功能,及產品是否可昇級,也就是軔體下載更新(Firmware update)。
二、 效能、穩定度:
即使產品具有多樣功能,若反倒造成了網路流量之不穩定來源,或反而影響、拖網路速度,非旦不能達到功能,且會立即被網管人員所捨棄。多數廠商及使用者都提到了效能及穩定度的重要性。產品在購買前,廠商會提供使用者在自家環境做測試,除了測試是否達到所需功能外,產品的穩定性、效能,及和現有環境的整合性,都是測試的目的所在。許多使用者也表示,會參考產品的效能測試評比等報告,做為第一步篩選眾多品牌的依據。
三、 價位
價格絕對是採購的主要考量,但與其只考慮價格高低,應該說性能/價格比較為公正。一般來說,國外的知名品牌功能更為細膩,但相對的價格也較國產品高。網眼吳祥麟認為,目前國內廠商的技術相較於國外技術差距已日漸拉近,就性/價比來看,比起國外產品有極大的優勢。因此,價位是絕對考量,但並非第一考量,使用者仍需視本身需求、預算能力來做決定,同時售後服務的年限和服務內容亦會影響價格多寡,需一併考量進去。
四、 便利
這裡所謂的便利可分為兩個面向,第一是產品在導入時,與公司既有之環境、設備如防火牆、VPN等是否容易整合;能否毋需更動網路設定值,尤其是使用者的IP位址及預設閘道,這可為網管人員省去許多耗時的調整動作。因此與公司既有之網路環境是否易於整合,是導入時的一大考量。另外,使用後,管理介面是否清楚、親和,且便於操作、管理,也是廠商的訴求重點,如是否有提供中文介面,除了最普遍的web管理模式外,有些產品還提供Email、SNMP、SSH、http、telnet、syslog等。
五、服務
目前廠商多提供一至二年的售後保固服務;及後續免費軔體更新,有些不限版本免費更新。而購買前的網路架構分析、導入規畫及安裝,亦是必備的服務。另外,還有教育訓練是否收費、後續的技術支援如何計費等考量。服務廠商的態度常會成為當使用者徘佪在兩種以上選擇時的重要評斷依據,因此廠商的服務態度和專業能力格外重要。另外,廠商是否有提供免費服務熱線、即時線上服務、一年現場免費維修服務的次數限制等,都對採購者有加減分的影響。有些廠商亦會提供客戶產品客制化的服務。
案例分享
在採訪台灣世界展望會之前,好奇於以展望會非營利的性質,其網路流量有多大?且不像一般企業若營運中斷、服務中斷,損失難以數算。台灣世界展望會資訊組組長吳昭慧表示,展望會最重要的資訊資產來自於幾十萬筆的捐款人資料,以及兒童資料,且世界展望會的全球據點分佈極廣,早期亦是依賴專線、VPN做重要資料傳輸。而世界展望會於每年八月底所舉辦的知名活動饑餓30期間,網路流量會暴增為平常的七、八倍。展望會在參考伊甸基金會導入負載平衡/頻寬管理設備有不錯成效後,因此也同樣找眾至資訊提供設備開始做測試。
產品測試、導入
世界展望會從去年6月底開始導入試用直到11月底,共計5個月。資深工程師張炳國表示,為了確保網路環境的正常運作,不致影響使用者的正常工作,測試導入分三階段逐步進行,因此試用期也拉得較長。
1. Outbound:原有專線負責信件寄送,ADSL則負責網頁瀏覽。新設備導入後,改為依流量做自動分配,線路若斷線可相互備援。
2. Inbound:原專線負責提供對外服務,包括網站和郵件。導入後,由ADSL做DNS備援,若專線斷線仍可維持對外服務。
3. 線路變更:導入後將專線退租,改以ADSL取代,因此原本專線上的主機如防火牆、路由器等需做相關設定調整。
採購評選條件
1. 價格:吳昭慧表示,由於展望會為非營利組織,IT預算本就不高,因此採購時價格是極重要的考量。所幸許多配合廠商都能體諒此點,給予較實惠的價格。
2. 規格:吳炳國在同類型國產品中,尋找符合具備有4個WAN port,有DMZ、可做雙向負載平衡、附有DNS Server、VPN功能者。
3. 品質:吳炳國提到,有試過不同家產品,有的在測試當中遇到當機、不穩定的現象。因此穩定度相當重要。
4. 服務:廠商能配合需求做軟體版本的更新和服務支援。眾至配合其需求,一個月後提供修改後客制化之軟體。
5. 建置容易:需具備有透通模式。使得導入產品,毋需變更伺服器及內部使用者端的設定。
導入成果
1. 效能提升、服務品質改善
世界展望會導入後,改以兩條ADSL線路相互做備援、負載平衡,內外線路互相備援讓服務品質得以提升,不再有連線塞車的情形。張炳國提到,導入後速度和穩定性都有顯著的提升。
2. 節省成本
因為將原有專線退租而改以ADSL取代,立即節省了專線較昂貴的月租費用。
非營利性組織由於經費有限,因此採購產品當然也需精打細算。不過對於資安的導入和需要卻是不落人後,展望會今年會陸續評估入侵偵測、弱點評估等產品。因為意識到各類系統、網路設備皆會有弱點,需要做更集中的掃描和管理,除了更穩定、更高品質的網路服務外,展望會亦追求更安全的資訊網路環境。