云時代的優化與管理

伴隨著互聯網應用的快速發展，眾多企事業單位與政府部門都著手進行信息化系統升級，建設更高速的網絡與基于云計算模型的數據中心。但基礎架構的拓展并不能解決一直以來存在的管理難題，用戶依然要在缺乏足夠可視化能力的前提下，與網絡濫用、關鍵業務中斷等情況作斗爭。傳統的流控產品雖然可以在一定程度上解決這個問題，卻難以滿足部署靈活性、數據挖掘深度和統一管理方面的要求，并不適用于以數據中心為代表的新型應用場景。針對這種情況，國內專業應用流量優化解決方案提供商之一的蘇州邁科網絡安全技術股份有限公司（以下簡稱“蘇州邁科”）憑借著在協議分析、應用優化等領域多年的實踐經驗，推出了全新的Matrix分布式網絡應用性能管理解決方案，完成了從產品向應用交付的徹底轉型。

蘇州邁科將Matrix詮釋為一種全網基礎架構下的安全評估與流量控制平臺，該平臺以DPI（Deep Packet Inspect，深度包檢測）、DFI（Deep/Dynamic Flow Inspection，深度流行為檢測）、PFQ（Per-Flow Queuing，基于流的隊列）、RED（Random Early Detective，隨機尾部丟棄）和CPD（Common Performance Database，通用性能數據庫）技術為核心，提供了包括網絡性能分析、應用優化、流量緩存功能在內的一體化解決方案。用戶可以在統一平臺上完成對整網的應用流量優化、用戶身份認證、網絡性能分析等工作，實現應用優先級劃分、帶寬控制與綜合管理的目的。

流控新生

在方案架構上，Matrix平臺由應用管理器（Application Manager，AM）、性能管理器（Performance Manager，PM）與客戶端三大模塊組成，其中AM以分布式部署方式對網絡流量進行采集與處理；PM做為系統樞紐，負責對AM采集的數據進行集中分析與存儲；客戶端則將PM得到的各類統計信息以多種形式展示給用戶。這種控管分離的設計思路，可以讓工作在不同層面的設備各司其職，化解了單一流控產品在性能與管理上的矛盾。

對于AM來說，可以認為是蘇州邁科上一代AOS流控設備的升級版本。該系列產品可基于應用、IP、VLAN、用戶、時間、會話數等元素進行流控策略的設置，在物理鏈路、虛擬鏈路、虛擬通道下實現各類帶寬調配功能，提升網絡資源的利用率。通過內嵌的DPI和DFI智能分類引擎，AM能夠精準分析隨機或動態變化端口的應用，并對使用同一端口的不同應用協議進行識別。我們在該產品的配置界面中看到，AM能夠識別的網絡及應用協議數量已超過1000種，基本涵蓋了當前所有主流2-7層應用協議。

在AM系列產品中，我們還看到一些具有創新意義的功能。用戶認證是目前需求比較廣泛的一類應用，AM可基于用戶身份設定流量管理和應用優化策略，為動態IP環境下的流量管控提供行之有效的解決方案?；趹脜f議的數據緩存則是未來一段時間內被普遍看好的功能特性，在高速發展的互聯網應用面前，傳統緩存設備的有效性已經大不如前。而AM允許用戶將已被甄別出的P2P與在線視頻請求轉發至緩存設備，在大幅節省網絡開銷的同時提升客戶端的應用體驗。對于一些運營商與行業用戶來說，IPv6的部署已經成為現在進行時，AM系列產品也很及時地加入了對IPv6環境的支持，并通過了IPv6 Ready認證，可正常工作在下一代網絡環境中。

產品規格方面，AM系列目前包含多個型號，處理能力從20Mbps拓展至12Gbps，覆蓋了由SMB到運營商在內的所有用戶群體。我們對其中AM-6000這款產品進行了測試，在使用8個千兆接口的情況下，該產品可以對測試儀生成的全部4Gbps HTTP流量進行分析處理，每秒最大HTTP新建連接數超過50000，同時可維護最大400萬個并發連接。需要說明的是，受到測試環境的限制，我們取得的數據并不是AM-6000的極限處理能力。從測試中設備上的資源占用情況看，AM-6000的處理能力仍有很大的提升空間。

管理的可視化革命

流控產品的出現滿足了用戶對應用流量的分析與優化需求，但作為一款獨立的硬件產品，其處理能力總是有限的，同時開啟的功能越多，每個模塊分配到的資源就越少。所以雖然用戶對網絡資源可視化方面的需求不斷增長，流控廠商卻不得不將系統資源優先用來換取性能上的提升。而蘇州邁科則選擇了更為徹底的解決思路，在Matrix方案中將應用流量的分析優化與數據挖掘工作進行了剝離，由不同的硬件設備去實現更加專業的功能特性。

如果將Matrix方案比作分工明確的神經系統，那么諸多AM就是分布在不同位置的神經元。它時刻感知著網絡應用流量的變化，統一分析、管控后再將信息傳遞給PM。PM可以接收SNMP、NetFlow、sFlow、cFlow、Netstream等格式的流量數據，做為數據匯總與挖掘分析的核心，在方案中有著大腦一樣的重要地位。Matrix方案使用了在SNMP基礎上增強的RMON及RMON Ⅱ標準進行數據傳遞，可以還原2-7層流量信息，提供內外網IP與主機對應用的詳細使用情況，賦予用戶完整的網絡可視化的能力。如果Matrix感知到異常情況，還可根據預先設定的閾值進行告警，便于管理者做出快速響應和準確定位，從而簡化排查過程。此外，全網信息在理論上也可以與其他安全設備或方案進行共享，對諸如DDoS攻擊等事件做出智能化的聯動處理。

隨著用戶應用系統的日趨復雜，應用性能的監測評估也應得到足夠多的重視，以滿足對服務水平協議(SLAs)的要求。Matrix方案可以從終端用戶體驗的角度管理基于TCP/UDP的應用性能，測量Web應用的傳輸延時、網絡延時、服務器延時，VoIP應用的丟包、抖動等關鍵性能指標。在更高的層面上，該方案還提供了基于Java和.NET的應用性能監測，結合其他監控管理手段，可以快速準確地評估應用系統的運行效能，判斷出瓶頸發生在于服務器、第三方供應商、ISP還是用戶的瀏覽器或設備上。

眾所周知，海量數據的深度挖掘須有大容量、高性能的存儲子系統做支撐。PM使用了蘇州邁科自主研發的CPD數據庫來存儲歷史數據，在縮小磁盤空間占用的基礎上提升了性能與擴展性。不過對于大型企業、高校、園區乃至運營商的網絡環境來說，數據的挖掘分析工作會面臨更大、更復雜的壓力?？紤]到單臺PM設備可能出現的瓶頸，該公司借用化整為零的思路，又構建了一個分布式數據分析系統。在這個系統中，PM被分為“本地”與“全局”兩個角色，由多臺本地PM共同完成海量數據的分析與存儲工作，再匯總到全局PM，從而避免了網絡帶寬與設備性能方面的瓶頸。用戶也可以真正做到按需部署，根據自身網絡規模選擇合適的方案，且在升級時無縫拓展應用流量控制與分析的能力。

利用分析得到的數據，Matrix為用戶提供了強大的監控管理與報表系統，實時更新網絡流量和設備狀態信息數據，并且做到了實時流量報表和歷史流量報表在同一界面內進行查看，實用性大為增強。該報表系統還支持基于Mac地址、IP地址/IP地址段、對象組、應用/應用組進行查詢，由于引入了主機對的概念，所有主機對的源和目的也都可以作為報表查詢的對象，方便管理者分析每個用戶、每個應用對網絡資源的使用情況。