路由器QoS帶宽质量保障与上网行为管理.docVIP

上网时，我们日常使用的网络功能或服务，都是通过HTTP协议传输的，带宽控管则需要具有识别应用层服务的能力，否则无法管控这些流量。不过如今网络上的流量千奇百怪，各式各样的服务都有其不同的协定或封包。大家可以想像，网络就像条高速公路，网络封包则像台汽车，透过高速公路到达各个不同的目的地。不过，高速公路有所谓的交通承载量，网络理所当然也有，所以当网络上的流量过多时超出额定带宽时，则会造成连接速度过慢，或是造成断线。　　所以，在管理网络时，IT人员可以透过QoS（Quality of service，服务流量品质）或WLB（WAN Load Balance，广域网络负载平衡）来降低网络的负担。通过QoS功能来限制网络服务带宽　　QoS并不是一种协议，它是一种技术的总称。它主要的功能是用来辨识、标记及控管网络流量，而如何达到QoS的效果，各家厂商则都有各自的技术。　　QoS功能会出现在WLB、带宽控制器、路由器等网络设备上，它主要功能是确认流量类型，并且给予带宽限制。IT人员能够确保重要业务的所需要的带宽，亦或是限制特定服务最高可使用的带宽。例如像IT人员要将企业的ERP系统、VPN、视讯会议等重要服务，设定给予保留较多的带宽，如此就算有突发性的流量产生时，也能透过QoS保障服务的稳定性。　　大多数设备的QoS功能，仅针对Layer 3网络第三层来管理带宽，或是限制Layer 4第四层的TCP或UDP服务端口。过去，针对Layer 3及Layer 4的QoS功能，还能应付大多应用服务。不过，现在像QQ等即时通讯软件、土豆、YouTube、P2P、在线影音等应用，大多都是通过HTTP（80端口）或SSL（443端口）传输封包，造成IT人员无法管理各项应用服务的带宽。QoS可控管应用服务频宽　　现在的网络流量类型太多、太复杂，若企业不管理流量，所有的网络服务都能任意使用，其网络服务质量在品质上则会明显受到偶发性流量影响。以网络流媒体为例，企业若是没有控管带宽，让使用者自行使用的话，则会带给企业互联网带宽很大的负担。像从这张流量图，我们可以看到在17点12分使用QoS策略前，流媒体影音造成的瞬间流量可高达1.4Mbps。而在使用管控策略后，则能将所有的网络影音流量限制在400Kbps。过去与现在QoS管控带宽的差异　　上图为传统的QoS功能，由于只能针对Layer 3或Layer 4限制流量，就像图中上方的流量，传统QoS只能辨识流量到协议及服务端口，像许多网络服务都会使用HTTP的80端口来进出，但在传统的QoS功能中，则无法识别。更别提那些通过任意短口进行传递的P2P软件及语音功能，基本上都会被归类到未知流量中。　　下图新QoS则具备应用层服务识别的功能，与传统的QoS不能识别HTTP流量内容不同，它能辨识出其中包含了SAP的服务，而其馀的则为浏览网页。传统QoS所不能识未知的流量，在新技术应用下，则能识别包含的P2P及VoIP网络电话的服务包。　　而当VoIP网络电话与P2P流量，能够各自被识别出来时，管理者就能透过QoS功能，分别给2者不同的带宽政策。但若是传统的QoS功能，则会被管理者以未知流量混合在一起进行管理。能否辨识出更多应用层网络封包类型，成为新QoS管理流量上的重点功能　　试着想像封包是一辆汽车，而QoS扮演的角色类似于交流管理检查哨。具备Layer 7的QoS功能，是能够检视封包并给予标记，接着设备再依照QoS的政策给予相对应的带宽。所以QoS为了要能辨识应用层服务，需要具备DPI（Deep Packet Inspection，深度封包检测）功能，用来检测封包的类型。而这边所指的DPI，与防火牆及IPS的DPI功能不同，QoS的DPI主要是察看及比对封包的特征码，而资安设备的DPI则是用来解析封包内容。　　QoS通过DPI解析封包后，大多还是透过封包内的字串、传输频率等资料，去比对特征码以确认封包类型。但是如果要针对网站进行QoS，由于封包皆是透过HTTP协定去传输，并且网站的类型及数量太过庞大，要进行辨识不是件容易的事情。　　目前有不少设备的QoS功能皆可透视到应用层的网络传输，但差别在于各家所能看到的服务类型多寡。QoS所能看到的封包类型越仔细，IT人员则越能够根据企业所需的功能，去管理相对应的网络环境。以ＱＱ来说，企业中的业务部门需要通过商务ＱＱ工作时，是不会受到限制的，但IT人员可以透过QoS功能，封锁私人ＱＱ和ＱＱ游戏、影音等非工作上的流量，选择性开放网站给员工使用。众多应用服务存在于HTTP中　　在云端服务开始流行后，网络流量的类型就开始变得复杂，并且许多厂商纷纷将服务从Ｃ／Ｓ客户端的形式转移到网页上，让使用者只要通过浏览器，就能够使用应用功能。像是Saa