华为“智能选路”技术:让你的网速飞起来

—-下一代防火墙的链路负载分担技术

一个人生哲理:选对路最重要

你有没有遇到过这种情况?听说近郊有一个山清水秀的地方,周末呼朋唤友兴冲冲地驾车出游。在陌生的岔路口却选错了路,一路上又窄又堵。当花费大量时间折腾到目的地是,出游的好心情都没了。这其实隐含了一个人生哲理:“选对路永远最重要!”

在网络的世界里,流量的通信流转与现实世界的交通有很多相似之处,这个原则同样适用。当前,很多企业、学校和宽带服务提供商都租用了多条来自于不同ISP(互联网服务提供商)的链路。在这些地方,你常常会听到抱怨: “上网怎么这么慢?不是刚租了新链路吗,带宽又不够了?”如果你仔细地分析一下,其实网速慢不一定是因为带宽不足,而是因为流量没选对路。

目前,企业级用户的广域网传输问题主要来自两方面,即链路与应用。传统的互联网加速设备采用数据缓存、TCP优化及应用优化、数据压缩及QoS控制等技术,部分的解决了应用传输的问题,但对于链路间的流量负载分担没有很好的办法。你是否知道,有些下一代防火墙除了完成安全防护工作外,还能提供链路负载均衡的能力?“智能选路”是华为下一代防火墙推出的一种链路负载分担技术,能够充分利用出口链路资源,让网速飞起来。

谁动了你的网速?

绕路的上网流量

为了提供更好访问体验,包括新浪、百度及迅雷等热门的互联网资源都使用了CDN技术,把相同的资源被部署在不同的运营商网络中。如果用户访问的资源与出口链路来自同一个运营商,速度最快;反之,如果跨运营商访问,就会很慢。例如:用户租用了两条出口链路,一条电信的,一条联通的,那么他通过电信的链路访问位于联通的资源就会很慢。

当使用多条运营商链路上网时,传统设备会采用等价路由将流量平均的分配到这些链路上,如果链路和访问资源所属的运营商不一致,就会出现跨运营商访问的情况,体现为上网慢。这一方面是因为流量绕了远路,另一方面是因为各个运营商网络间的接口带宽很窄,很容易出现阻塞的情况。

垃圾应用占用了优质通道

当然,不是所有的人和所有的上网场景都这么慢。令人郁闷的是,P2P下载、在线电影之类休闲娱乐的上网速度都很快,而那些真正重要的应用(如网页浏览、视频会议)却很慢。这一点都不奇怪,因为P2P这类应用设计时就倾向于占用尽量多的资源,因此它们“生命力”和“侵略性”更强。好比虽然高速公路上路很宽,但如果道路都被大货车了占了,你也就只能调整好心态跟在它们屁股后面慢慢开,这样的速度可想而知。

链路负载不均

网速缓慢时,你的链路未必得到了充分利用。由于连接Internet的链路带宽可能不尽相同,当一些小带宽链路超负荷使用时,高带宽链路远未达到极限。这时候,再分配到满负荷链路的上网流量就会阻塞。传统的路由设备像一个蹩脚的交警,不去理会道路容量的差别,不管是单车道、双车道还是4车道,只是僵化地把车辆往各条道路上平均分配。这样一来,低带宽链路就成了“木桶的最短板”。

“智能选路”助网速起飞

选路基本原则一:ISP选路,尽量选择最近的路

下一代防火墙采用ISP选路的方式解决流量的“绕路”问题。简单的说,就是根据流量的目的选择对应运营商的出口。例如:如果访问联通的资源,就会自动选择联通的出口链路。但如果所有的流量都要通过联通的链路访问资源,反而会导致这条链路阻塞。因此,ISP选路只是基础,需要结合其他“宏观调控”手段,将流量分担到其他链路上。

选路基本原则二:基于业务选路,把好钢用在刀刃上

“抓大放小”是网络优化中最朴素的原则。下一代防火墙可以通过对应用、用户、QoS标签的识别,把关键用户和关键业务的流量识别出来,继而使用最优的出口资源进行保障。承载业务的出口资源可能是一条物理链路,也可能是一个VPN通道。区分优先级的好处是在资源有限的前提下实现了用户体验的最大化。易于业务的选路同样是智能选路的基本原则,可以和其他负载分担方法结合使用。

分流方法一:基于链路带宽选路

基于链路带宽选路,是根据链路的实际承载能力分担流量的方法。例如:出口有两条链路,一条带宽200Mbps,另外一条500Mbps。当采用基于带宽选路时,流量的分担比例就会是2:5。这种分流方法最大化地使用了带宽资源,不会出现链路“忙闲不一”的状况。当企业从不同ISP处获得多条带宽不等的链路时,为了充分利用各链路的带宽,提高链路的利用率,可以选择此种选路方式。

分流方法二:基于主备优先级选路

一些大企业的分支会采用双线接入的方式与总部连接。通常以专线接入为主,Internet上的VPN通道为辅;有些企业以有线接入为主,无线接入为辅。主接入质量更高,资费固定,因此被优先使用。辅链路质量稍差,有时会根据使用流量收费,仅在主链路故障或过载时使用。基于主备优先级的选路多用于这种场景,既优先使用了优质资源,又能保证业务的持续可靠。

分流方法三:基于链路质量选路

由于Internet的复杂性,很多时候链路的质量状况并不是持续不变的,很难事先判定。对于这种情况,NGFW能够根据各链路的实时传输质量动态调整流量的分配。对于需要链接总部数据中心的大企业分支,采用基于质量的选路可以有效消除网络不稳定对业务的影响,从而减少专线租用的需求。

分流方法四:基于链路权重选路

如果管理员对链路的情况非常清楚,可以用基于链路权重的选路方法。制定各条链路的分配比例,下一代防火墙将基于这个比例分配流量。这种方法给管理员最大的自主性。当企业从不同ISP处获得多条性能不等的链路时,为了优先使用转发性能最优的链路,保证大多数用户的访问体验,且不浪费其它性能稍差的链路,可以选择此种选路方式。

下一代防火墙将承担更多责任

下一代防火墙部署在网络边界,具备应用识别的能力,用它来承担链路负载分担的角色具备得天独厚的条件。除了传统防火墙、入侵检测、防病毒等安全防护功能外,下一代防火墙在网络中应当承担更多的责任。凭借华为的“智能选路”技术,下一代防火墙可以根据ISP选路和业务优先级进行分流。通过链路带宽、主备优先级、质量和链路权重等多种负载分担算法,充分利用链路资源加速网络访问。

华为USG6000下一代防火墙全系列产品均具备智能选路的能力,包括被誉为“中小企业网络安全的瑞士军刀“的热销款型USG6330,以及新推出的百兆型号USG6306和USG6308,即将在西安举行的2015华为中国合作伙伴大会上亮相。USG6330下一代防火墙集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏等全面防护于一体,同时兼具智能选路的能力,仅需部署一台设备,就能满足中小企业网络防护的各种需求。一经推出,持续热销。与传统的网络安全方案相比,部署USG6330网络拓扑更清晰,维护更简单。充分利用已有带宽,提升上网体验。

2015年3月12日到13日,华为将在西安曲江国际会展中心举办“2015华为中国合作伙伴大会”。本届大会将以“智汇阳光 共襄新程 —— 超越梦想 共铸辉煌”为主题,面向数千家合作伙伴全方位展示华为针对企业市场的ICT产品和解决方案,并发布最新的渠道战略和更加完善的渠道政策。