如何選擇並建置頻寬管理設備

根據需求選擇適當的設備，以達到最佳傳輸效能

頻寬管理設備並不是如同其他設備只需要觀察特定幾項規格，選定之後就可以隨買即用；根據每家企業連接網際網路的方法與行為模式不盡相同，這家企業能夠有效使用的作法，並不能完全複製成為另一家企業的連線模式，因此在正式導入並建置頻寬管理設備之前，下列4項步驟可以作為參考：分析現有流量、設計連線政策、選擇適合產品、實機測試並整合整體環境。統計現有流量，分析服務種類

當企業感到連線速度降低、品質變差時，就應該開始考慮是否要將連線頻寬擴增或最佳化，這兩種方式可以是各自為政，也能夠是相輔相成。不管採取何種方式，第一步都需要先分析企業現有的流量，檢視造成連線瓶頸的問題所在，並且統計企業重要服務的日常流量，為設計連線政策作準備。

根據流量統計報表，我們可以找出何種服務佔據最多頻寬，並依據企業使用型態分析該服務是否重要。一般來說，企業賴以通訊的服務主要有HTTP/HTTPS、POP3/SMTP、FTP、VPN等，並且會與固定的站臺相連接，在流量統計報表中會與一般員工使用時的行為模式不同。在統計企業目前的流量時，先標記出內部網路上的伺服器群，並確認流量大小與服務類型，將優先權設定為最高；其次則是一般員工工作所需的連線功能，大部分員工常用的網路服務都在內部網路上，需要直接通往外界的大多為HTTP/HTTPS與FTP，應將優先權設定為中等；最後是通往其他站臺的連線，如Telnet、即時通訊軟體、點對點軟體等，可將優先權設定為最低。除此之外，還需要分析流量行為模式，標記出各個服務的高峰期與低潮期，以利後續設定連線政策時使用。根據企業需求，設計連線政策

當分析出流量分配狀況與連線頻寬的關係之後，我們便可以得知現有連線頻寬是否能夠滿足企業通訊時所需的頻寬量。如果答案是肯定的，在短時間之內，企業並不一定需要增加連線頻寬與連線管理設備，反而應該加強頻寬管理功能，讓重要與即時性的服務優先通過，並且延緩次要或對品質較不苛求的服務，讓頻寬得到有效的利用，並降低頻寬的耗損。

如果答案是否定的，則必須增添連線頻寬，這時除非重新設計網路連線架構，在不影響現有環境之下，多增加一臺連線管理設備是比較好的選擇。除了線路可以彼此備援之外，還能夠讓特定服務如VoIP、HTTP或FTP等使用專用線路，避免互相干擾並維持一定的傳輸品質。

設計連線政策時，可由三個主要項目制訂：內部網路上的IP位址、服務類別以及時間區段。只要在建置內部網路時有作好明確的分隔，由內部網路上的IP位址就可以得知是該主機是伺服器或是一般PC，伺服器的優先權應高於一般PC，許多連線管理設備中都可以自訂子網域區段，透過這項功能，就可以讓位於特定網段的伺服器優先通過或是利用專用線路與網際網路連線。

其次是服務類別，重要或是對流量較為敏感的服務，應該給予較大的頻寬或是優先通過的權力。部分設備還能夠阻隔點對點軟體，如eDonkey、Kuro等，避免頻寬被佔用。另外還能夠依據時間設定連線原則，在工作時間時僅允許公司許可的服務與站臺通過，避免因為私人使用影響整體頻寬品質。根據需求選擇

根據每個不同的環境與需求，適用的設備也不同，當設定完成連線政策後，就可以根據需求選擇適當的設備。根據產品的趨勢以及發展方向，需要效能較強大的企業網路應使用功能單一的設備，或是將其他功能關閉，由其他專屬設備執行相關功能；如果希望管理方便且降低成本，則可以選擇整合性設備，藉以得到較多的功能。

除了設備本身的功能之外，操作介面以及管理方式也是相當重要的環節，目前大部分的網路設備都可以支援網頁管理介面，不需要另外安裝特殊的管理軟體，管理操作的方式就成為主要的評斷項目，各個管理者的習慣不同，但應以簡潔、明瞭為主要訴求，避免太多繁瑣的控制選項使得管理時不知如何下手。

硬體設計也是頗為重要的一項環節，像是金融、電子商務等企業隨時會因為業務量的成長而需要擴充相關設備，如果現有設備沒有相當的延伸性，只是徒然增加成本，部分連線管理設備提供多個網路連接埠，並可自行定義WAN、LAN或DMZ，可讓企業視需要調整；如果企業網路的變動程度不大，則可以選擇固定式的設備，能夠降低成本，管理時也較為簡便。

至於網際網路連線的選擇則必須以現有連線為基準，備援線路並不是另外申請專線或xDSL就可以，而必須考量到實體網路環境的問題。一般來說，同一家ISP業者給予同一地址的連線都會從同一機房提供服務，並不會因為是多條線路而有不同服務機房，這時企業除了專案申請之外，就必須考慮選擇實體線路不同的ISP，當企業需要的不單是增加頻寬，還需要線路備援時，這項條件就相當重要。以目前來說，許多ISP業者都是仰賴中華電信建置的實體線路，當實體線路發生問題時，不單只是使用中華電信的企業會斷線，連其他使用同一實體線路的ISP服務都會因此停擺，這點是特別需要考慮的。實地測試並與現有設備整合

在採購選擇時則必須要求廠商提供測試，將設備建置入實際環境，並設定所有的連線政策，透過實際使用驗證該設備是否符合環境需求。除了內部網路所需的功能之外，還需要測試外部連入的狀況。經過一段時間的測試，不但可以驗證設備的功能性是否滿足企業所需，也能夠檢視設備的穩定度是否良好。

許多企業目前已經建置好防火牆、IDS/IPS等資安產品，而連線管理設備的網路位置一般是在路由器之後及防火牆之前，部分產品可支援通透模式，不需要修改現有網路設定，必須注意的是原有防火牆的安全防護政策與連線政策是否相同，避免兩臺設備設定不一致造成服務上的困擾。在如金融、保險或電信等較為注重安全措施的企業，則可以考慮將連線管理設備置於防火牆之後，這種作法就需要讓每條連線搭配一臺防火牆設備，以降低建置難度與設定上的問題。

隨著網路服務的增加，流量日漸增加，原有的網路建置架構已經逐漸不敷使用，原因就是在界接處的所有設備都採串接方式連接，在單線進行的狀況下瓶頸就此產生了。根據產品的演進，許多連線管理設備都已經開始加入伺服器負載平衡的功能，對內不但可以支援伺服器的負載平衡，讓網路服務更加順暢，還能夠提供各式網路設備如防火牆、IDS/IPS或是防毒伺服器的負載平衡功能，將原本前後串接的各類伺服器轉成並接的方式。這項作法可以減少網路瓶頸，並且可以藉由設備本身的基礎防堵措施先行過濾，讓合法與正常的封包先行通過，有問題或嫌疑的封包則轉向到各類資安設備上，由這些設備檢測防疫之後再行放行，不但確保了資訊安全防護，也可以讓整體網路傳輸效能增加，避免因為安全而降低了效能。

目前網路設備效能日益增進，效能瓶頸已經從內部網路的設定轉移至界接區域上，不論是保障資訊安全或是提高連線效能，每項設備或多或少都會降低傳輸效能，因此在採購時必須選擇適當的設備，並從整體環境著眼，良好的環境才能發揮出設備應有的功效。

QoS技術簡述
Quality of Service（QoS）技術發展相當久，著眼在保持連線的穩定及順暢，從早期的訊框傳送（Frame Relay）、ATM網路，到目前的TCP/IP以及BGP網路，在路由器端都很重視QoS的機制。在頻寬足夠的時候，QoS本身沒有太大的意義，因為所有的流量都可以很順利的傳遞，這種情況在內部網路是相當明顯的。可是當傳遞到網際網路時，因為有各種不同的限制，以目前的ADSL為例，雖然可以保證連線頻寬，可是在上游部分卻有集縮比的限制，因此往往會造成雖然頻寬足夠，卻沒辦法順利傳輸的狀況，這時候就需要QoS機制協助。QoS包含了排序、流量調節以及許可控制三大部分。

排序（Queuing）
排序的意義就是調整需傳送封包的順序，優先傳遞重要的封包，避免因為壅塞而阻礙服務。目前有四種方式：先進先出（FIFO）、優先權（Priority）、類別（CBQ）、加權公平（WFQ）。 先進先出是藉由設備的記憶體，儲存固定容量的封包，並依據封包進入的順序逐一送出，避免網路上同時湧入過多封包而造成封包碰撞，降低傳輸效能。優先權排序則是先行制訂特定的優先等級，在傳輸中加入封包標頭供設備辨識。當優先權高的封包進入設備之後，優先權低的封包就會被儲存起來，讓高優先權的封包通過，直到沒有高優先權封包存在時，才繼續傳送低優先權的封包。

類別排序又稱為CoS，是類似優先權排序的方式，提供更多分組方式，優先權指數也較多種，能夠提供較為有效的排序功能。加權公平排序則是將封包大小也納入考慮，透過計算加權指數算出每組封包的優先順序並傳送。

流量調節（Traffic Shaping）
流量調節的功能是將原本波動幅度較大的傳輸頻寬，透過排序及延遲傳送的方式，將波動幅度降低，維持穩定的傳輸狀態。

就像是透過一個水桶，底部開有一定大小的洞，不論桶內有多少水，都可以依據一定的流量送出。

許可控制（Admission Control）
這項方式較少使用，多半已整合入防火牆功能。利用連線兩端的IP位址與服務埠訂定不同的管理政策，可以設定頻寬上限或傳輸速率，目前較多的作法是與時程管理結合，提供較有彈性的管理方式。

除了上述三大類頻寬管理的方式之外，另外還有RSVP、QoSR、MPLS等方式，但目前頻寬管理設備都以基本的QoS技術為主，一方面是較高級的管理技術必須要較佳的設備，以目前的硬體架構來說除了高階設備之外，並沒有辦法發揮極佳的效能；另一方面則是在一般使用時，並沒有使用的需要。

雖然MPLS技術儼然已成未來廣域網路中頻寬管理技術的主流，但是在各家標準依然無法完全整合之時，採用基本原則還是最佳的作法。文⊙羅健豪