10款頻寬管理設備產品採購大特輯

六月一日起，中華電信的寬頻連線有了一波新降幅，這件事情可以看出使用者存取網路服務的比重越來越大，且對頻寬以及費用的敏感度越來越高。在連線費用逐漸降低，網路服務越來越多的情況下，企業必須盡力防止服務壅塞甚至停擺的問題出現，以免影響到整個商業流程。因此我們測試10款頻寬管理設備，作為企業採購時的參考。

負載平衡可分為Server Load Balance、WAN Load Balance與LAN Load Balance三種。其中除了Server Load Balance偏重在平衡伺服器的負載量之外，其他兩種都可歸類成頻寬管理的功能。頻寬管理的發展相當久，最早是由QoS功能開始，依據不同的服務與政策設定調整所有封包的通過順序，透過頻寬管理設備的調整，可以讓重要的網路服務可以得到順暢的管道，並且也不會阻礙其他較不在乎速度的服務運作。QoS的技術包含了各式各樣的技術，第二層部分可以從實體部分定義該連接埠的傳輸優先權；也能夠在第三層中，規範任兩點間傳輸內容的先後次序，依據公司獨特的需求，設定適合的政策。早期ADSL的連線費用差距相當大，大頻寬的線路價格遠高於多條小頻寬線路，因此支援多條網際網路連線的連線管理設備也應運而起。最初的訴求是整合多條小頻寬的線路，構成較大的連線頻寬，不但可以降低使用成本，也可獲得較好的連線品質。除此之外，也可以保持網際網路連線隨時暢通，並且讓多條線路彼此備援，平時也能夠平衡主要線路的流量負荷。

Server Load Balance
Server Load Balance設備的功能在於平衡企業內部眾多伺服器的負載量，透過伺服器負載平衡設備可以將過大的流量轉向至其他相同內容與功能的伺服器上，避免單一伺服器負擔過重，而造成服務中斷。

以最常見的Web負載平衡為例，要達到這項功能，就必須要讓所有Port80/443的封包都先進入SLB，並且由SLB查詢後端LAN或WAN上所有網頁伺服器的負載量，包含處理器的負載、記憶體的負載、流量大小與Session數目，甚至是用戶端與伺服器的連線速度都可以作為負載平衡時的指標，讓所有伺服器都可以維持一定的負載量。當用戶端連接該網址時，其實是連接上SLB而不是直接連上網頁伺服器，所有的連線都透過SLB轉址到各個伺服器，這樣才能作到有效地監控。

WAN Load Balance
WAN Load Balance設備即為我們一般所稱的Multi-Homing設備，當網際網路連線有兩條以上時，就可以使用WLB透過多條連外線路，平衡內部網路與網際網路之間傳遞的負載量，讓重要的服務通過頻寬較大的連線，而讓對品質較不要求的服務藉由其他線路連接網際網路，並且可以避免因為單一連線故障而造成服務停擺。

在環境建置上，WLB應放置在防火牆之前，因為以防火牆的機制而言，並沒有辦法處理由多條線路進入的封包，必須有一中介裝置將所有封包的來源IP位址轉換成同一IP位址才有辦法處理。現在有許多整合型設備除了具備WLB功能之外，同時也提供防火牆與簡易的IDS/IPS功能，對於預算較為吃緊的中小企業而言，是不錯的選擇。

LAN Load Balance
LAN Load Balance設備通常僅具備一組WAN與LAN埠，主要目標與SLB或WLB不同，是透過QoS機制調整LAN端封包的傳遞順序，讓重要的封包可以優先通過界接區的傳輸瓶頸，避免因壅塞而降低服務品質。除此之外，擁有多個據點的企業，也可以在各據點上建置具有封包壓縮功能的設備，縮小整體企業網路內傳遞的封包，提升傳遞速率並且降低對網際網路的影響。

LLB設備應該放置在封包類型複雜的節點，一般而言大多放置在界接區域且有大量封包流過的地方。在這個位置上，LLB可以有效調控進出封包的順序，甚至暫停非必要封包的傳遞，避免線路壅塞的狀況出現，能夠有效提高線路的使用效能。以目前設備而言，除了專用設備之外，有許多的交換器與路由器都兼具此類功能，只要在建置時妥善規劃也能夠達到功效。由價格訴求轉向服務品質

伴隨著價格不斷下滑，整合頻寬的能力已經不再是企業對連線管理設備的主要考量，相反地，由於企業普遍的電子化，許多日常商務行為已經漸漸透過網頁、電子郵件或是檔案傳輸進行著，甚至連一般公告事項也改用常見的即時通訊軟體，企業需要的是網際網路連線可以隨時保持順暢，除了不會因為任何發生事故而影響了商業通訊之外，還需要能夠自動選擇線路，讓各項服務都保持在最佳品質。為了因應這種需要，整合頻寬功能已經不敷使用，必須從被動的檢測並切換線路，升級成主動式監控網路連線狀態並選擇最佳傳輸路徑的方式，這時就必須導入多種路由功能與判斷法則，並且透過權限的區分，讓各條線路各有所司，分散並且平衡各條連線的負荷量，提升網路服務的品質。

在頻寬夠大的時候，平衡連線負載就足以應付企業通訊所需，但受限於實際的環境因素，企業往往沒有辦法取得足夠的頻寬，必須要排定封包傳送的先後順序，許多設備因此加入了頻寬管理的技術，讓功能更強大，應用更方便。兩種功能搭配起來，便可以讓特定協定的封包，從最快的網路連線送給對方，不但可以維持網路穩定，也能夠有效的提高工作效率。功能整合 vs. 效能強化

綜觀目前市場上的設備，可以很明顯的發現功能整合風氣已經逐漸形成，許多設備除了原先具備的技術之外，還附加了許多相關的功能。對使用者而言，不但能夠透過單一產品獲得多種用途，也能夠降低建置時所需的費用。

以WLB設備而言，除了原有的線路負載平衡功能之外，由於所在的位置特殊，為了保障基本的設備安全及可用性，都會搭配防火牆、IDS、IPS等功能以確保本機的安全性，避免因受到DoS攻擊而造成停擺；同時為了避免設備的單點故障，高可用性（High Availability）就是相當重要的一項功能，將可能發生的狀況降至最低；另外因為建置位置的關係，通常還會加入QoS的功能，加強對封包的控制能力，並且提高設備的表現能力。

但是就大多數的裝置而言，啟用多種功能很容易造成效能的降低，特別是需要處理器進行運算的路由計算、封包過濾與排序等。如果企業在沒有經過評估就認為可以完全倚靠單一臺設備，有可能在設備還沒因為外界攻擊而失效之前，就因為處理流經的封包導致機器停擺。因此部分廠商認為應該加強設備的專屬效能，讓各個設備各司其職，發揮最大功效，避免設備因為負荷過大而停擺。整合相關設備，打造完善企業連線環境

除了加入頻寬管理功能之外，伴隨著硬體效能的增強與技術的演進，在網路界接處的多種設備—防火牆、路由器乃至於連線管理及頻寬管理設備等，都逐漸開始整合彼此的功能，以增強連線管理能力以及安全防護的能力，藉以打造完善的企業連線環境。

如果把企業內部網路比喻成一座城堡，那麼內部網路與網際網路界接的地方就如同是那唯一可供通過的閘門，而在網路上傳遞的封包就像是每一個進進出出的人一樣川流不息；而往往就會有些惡意人士試圖闖關，因此就必須要增加如防火牆、IDS/IPS、或是專用於特定協定的郵件過濾等設備，檢測所有進出的封包是否正常，不帶有病毒或惡意程式。但是隨著需要檢查的項目越多，就越影響了網路傳輸的效能，不但傳輸上的時間需要增加，設備的負擔也會加重，也影響了處理時間。雖然硬體設備的效能成長相當快速，但是所需處理的封包也越來越多，加上層出不窮的攻擊封包，讓界接區域的效能始終沒辦法有效提升；設備越多就越難管理，一旦出現連線上的問題，資訊人員就必須逐個檢查，也增加了維修時間。

為了解決各種延伸的問題，出現了兩種不同的解決方式：整合所有功能到單一臺設備之中；以及強化專屬效能，降低傳輸時間。功能整合的好處可以降低建置難度與費用，提供較多功能，並且維修檢測方便；不過開啟越多功能，處理器的負擔越大，也會讓整體效能降低，比較適合網際網路流量不大或是中小企業使用。相對的，使用專屬設備可以提供較佳的處理效能，降低傳輸時間，並且可以視需要彈性增加其他設備；不過因為需要採購多臺設備才能達到企業需求，費用較高，建置與維修較為不易，較適用於大型企業或是具有高度敏感性的環境。

目前建置企業網路環境的主要項目，已經從改善內部網路傳輸效能提升到與網際網路界接的區域，在這區域之中，除了需要強度更高的資訊安全防護措施之外，更不能忘記連線頻寬與傳輸效能之間的相關性，如此才能讓企業網路兼顧安全與傳輸效能。路由選擇方式簡述

只有單一線路提供服務時，自然不會產生任何路由問題，但在連接多條線路，並啟動WAN Load Balance的時候，最重要的課題就是路由選擇，當線路選擇錯誤，不論具有多大的頻寬，也很容易造成壅塞，甚至發生無法傳送的狀況。以目前來說，各家廠商都有提供多種路由演算機制，其中最主要的有5種：循環演算法、最少使用者、最小流量、最小位元組以及最快路徑。

循環演算法（Round-Robin）
循環演算法是最簡單的路由選擇方式，設備會從可使用的線路中依序選擇，讓每條線路固定傳送一次。在每次傳送都是固定封包大小及數量的狀況之下，這是很公平且平均的作法，但是隨著網路服務增加，封包大小不盡相同的狀況之下，加權循環演算法（Weighted Round-Robin）就因運而生，管理者或設備會給予每條線路不同的加權指數，經過加權之後的循環比例能夠更接近平衡狀態，也更能夠貼近事實。舉例來說，使用3M的A線路與1M的B線路連接網際網路，在使用循環演算法時，是以A-B-A-B的順序傳送，很明顯地會造成B線路的負載過重，反而沒辦法選擇正確的線路；而採加權循環法的話，傳送的順序會是A-A-A-B，讓較寬的線路負擔較多的流量，能夠有效分散負載，更符合事實。

最少使用者
最少使用者的方式則是選擇使用者最少的線路傳輸封包，就合理的觀念來看，使用者較少的線路應該用量也較少。不過以目前許多網路服務都使用UDP協定傳遞封包，單一封包並沒有固定大小及傳遞時間的限制，採用最少使用者的方式並不見得能夠選擇到正確的線路，相反的，可能會因為誤判反而透過最壅塞的線路傳遞，使得網路瓶頸更形惡化。

最小流量
最小流量的方式是以線路上傳送的封包數為基準，封包數越少表示線路的使用量越少，負載量應該越低。在整體環境都是採用相同傳輸速率的狀況之下，這種作法是相當合理的。不過在網際網路界接處，因為各條連線的頻寬大小不同，較小的頻寬自然只能傳送較少的封包，如果沒有考量到頻寬的問題，也會造成選擇錯誤的狀況。

最小位元組
最小位元組是以目前在線路上傳送的資料量總和為指標，越多資料量表示該線路上的壅塞情況越嚴重。同樣的，如果沒有考量到線路的頻寬大小，還是有可能選擇到錯誤的線路。

最快路徑
最快路徑的方式是以ping、traceroute等偵測程式，每隔一定時間，就檢測每條線路與所設定的監控點之間的反應時間及穩定性。這種作法一方面可以得到哪條連線目前具有最快的反應時間，一方面可以測試這條線路是否能夠正常運作。一般而言，反應時間最快表示這條線路目前順暢度良好，可以正常使用，不過這項作法依然有一定盲點，取決於所測試的網際網路連線與該測試點間的距離，距離越近自然反應時間也越快，因此也有廠商修改檢測的方式，將監控點設置在遠方，而以設備作為起始點，往上追跡固定數量的節點，並由這些節點的反應時間總和作為選擇的依據。

在路徑的選擇上雖然具有多種方式，但是沒有一種方式可以絕對保證所選擇的線路是最好的，並且網路封包傳遞的狀況瞬息萬變，上一秒鐘的檢測結果並不代表現在依然可以沿用。縱然可以選擇多種方式混合評分，但是傳輸上勢必無法經的起這樣的等待，並且設備也不見得能夠承擔的起這些運算負荷。並且企業能夠控制的地方最多僅到頻寬管理設備為止，一旦往上傳送到路由器，就脫離了企業能夠掌控的範圍，而轉由各ISP業者負責。所有的路由選擇方式都僅能幫助封包選擇最佳的傳遞路徑，其他的就只能聽由網際網路自由發揮了。文⊙羅健豪