網路不再出包！　從流量管理掌握應用效能

前言：隨著企業e化應用，網路架構愈加複雜，對網管人來說，要負擔的工作不再只是安裝switch、router、拉好線路而已，還必須時時關注網路是否正常運作，提供同仁1個穩定、順暢的網路環境使用，因此如何做好網路效能及安全管理，是當今企業普遍面臨的問題。

「ERP怎麼這麼慢，一定是網路有問題」、「為什麼連不上Intranet啊！該不會是網路又掛了吧」，上述情形對網管人來說，一定不會感到陌生，每回使用者無法快速或順利的存取網路資源時，總是先認定「網路」出問題；不過，網路架構係由交換器（Switch）、路由器（Router）、伺服器（Server）、應用程式（AP）等多個環節所組成，彼此環環相扣，其中1個環節發生問題，就會影響整體網路的運作和效能。

一般使用者，習慣先將矛頭指向網管；由於癥結點不一定在網路設備，因此，積極的網管態度應是，建立1套有效管理的法則，方能即時掌握網路問題源於何處，甚至是事前預防，拒絕再當有苦說不出的網管人。

網路管理（Network Management）涉及的面向廣泛，Foundry台灣區技術總監呂紹清表示，國際電信聯盟電信標準化部門（ITU-T）的MM.3400 TMN定義是目前業界普遍認同的分類架構，將網路管理分為5大類，分別是故障管理（Fault Management）、組態管理（Configuration Management）、帳號管理（Accounting Management）、效能管理（Performance Management）以及安全管理（Security management），簡稱FCAPS。此外，近1~2年興起的IT服務架構導向管理（IT Infrastructure Library；ITIL）概念，也與企業網路管理有著密不可分的關係。

本專題焦點以效能管理和安全管理為重心，探討IT人員如何透過網路流量的掌握、分析、控制，以維持或提升網路運作的效能，並且進一步強化安全，達到事前預防。

網管人不想再揹黑鍋　不妨先從效能與安全管理下手

以往大多數企業認為網路有問題，90%只知道網路跑得慢，而無法確切了解問題癥結點；加上多數MIS或CIO並不清楚網路上跑了哪些應用，也讓維護工作變得更不容易，如此，代表了資訊部反應慢，且無法達到即時阻斷和修復，「後知後覺」非良好的管理態度。

網路效能通常是指應用程式的運作效能，影響應用程式效能的原因包括AP本身的設計、頻寬大小、設備的負荷量、使用者多寡等，而流量則是網管人員可藉以分析網路狀況的依據。

尚富煜技術部資深經理蔡旻甫指出，流量管理的效益有以下2點：讓應用跑得快以及鞏固安全。首先，在應用跑得順暢部分，隨著技術突破，線路成本下降，企業網路頻寬的取得，較數年前容易和便宜許多，但是，一昧投資頻寬並不代表可獲得較好的效益，因為，網路上可能跑著大量非關鍵的應用，例如P2P，會影響其他應用的工作效益，因此，為了讓重要的應用程式獲得較多資源，將設備、線路投資發揮最大的效益，流量管理是值得IT人員採取的作法。

第2則是強化安全，頻寬增大後，相對網路上的攻擊也可能巨幅成長，不過，等到惡意程式或病毒發作，往往已影響企業網路的正常運作，不過「流量會說話」，反映問題，平日IT人做好流量監控與管理，定期透過工具或自行撈取資料，分析1連串的log紀錄，即可掌握網路狀況，甚至及早看出問題加以修復。

思科（Cisco）技術事業群資深技術顧問錢小山建議，企業IT逐漸與業務整合，網管觀點也該跟著調整，大部分企業內部網路覆蓋率已達95%以上，少數可能已經建立定期的網路流量分析及報告制度，不過，在網路故障和網路安全異常事件部份，普遍仍未制定1套處理機制。

多數企業網管思維 仍停留在網路不斷線　企業規模和業務不同 網管政策差異大

企業流量管理有企業區域網路（LAN），如資料中心（Data Center）內系統的運作，及廣域網路（WAN）2大構面。F5亞太區技術經理Vladimir Yordanov表示，流量管理可分為2個層次：流量監控（Traffic Monitoring）和流量管理（Traffic Management），監控作用僅在於擷取系統中流量傳輸路徑、數據高低，再提供報表讓IT人員參考，例如流量監控軟體；而管理屬於進階作法，透過相關設備依據應用類別，自動配置不同資源，並且進一步採取動作進行改善，像是具主動修機制的管理軟體、負載平衡（Load Balance）、頻寬管理器，資安部分則如入侵防禦設備（IPS）等。

「企業對於流量管理的態度，依企業規模大小、業務性質，有很大的差異，許多中小企業甚至只要求網路不要時常斷線就好」蔡旻甫說。平日重視流量管理的企業，目前仍以對網路依賴甚深、安全需求高和配合法規者為主，如大型企業、金融業，和入口網站或經營電子商務的網路公司。

「為何IT人員須要多花心思管理網路，設備不是都會提供管理功能嗎？」但是，設備的管理機制只能反映問題，例如顯示不同燈號警示管理者，無法進行深入分析、找出事發原因，且僅限於自身設備，因此難提供整體網路架構的情況。有鑒於此，資訊人員可藉由標準化協定、免費軟體或採購工具，提升管理效益。

一般而言，架構單純、設備少的中小企業，可能會採用SNMP（Simple Network Management Protocol）或RMON（Remote Monitoring）等標準協定，掌握設備狀況、流量大小。一般網路裝置，如Router、Switch、Server等，皆支援SNMP標準協定，便於彼此溝通，所以MIS可定期搜集上述設備的SNMP資料，取得設備的使用狀態、警告訊息等，進而掌握網路狀況。

此外，亦可借重免費或開放原始碼的網管工具，例如MRTG（Multi Router Traffic Grapher）或snort，同樣利用SNMP協定，向指定的網路設備索取資料，省去一一蒐集資料的繁複步驟，提供CPU、RAM使用率，網段使用排名，或通知管理者網路阻塞等，但缺點仍是無法提供網路壅塞或斷線的原因。

NetQoS亞太區技術暨業務顧問Wilson Leong認為，企業選擇開放原始碼的網管工具有利也有弊，第1優點在於成本低；第2、網路上討論者眾，更新速度較快。

不過，也有缺點：第1、技術門檻高，操作人員要有相當程度的技能，才能建置、設定完成；第2、免費工具多以Linux開發，但企業的系統以微軟為主，可能出現不適用，或監控效能不佳的狀況，出問題時難有技術支援服務；第3、也是最重要的1點，要符合企業網路環境並不容易，往往須自行客製化，乍看之下，免費取得成本低，但IT人員須先研究透徹此工具、再進行客製，無形中浪費不少時間，因此人事、時間成本較高。偏重特定族群使用，如線上遊戲或軟體公司。

上述方式針對中小企業想看局部項目的分析，大致足夠。不過，對大企業來說，稍嫌不足，無法確切指出哪些環節出錯、原因為何，再加上設備可能多達上百台，所以管理者對於網路設備送出的眾多流量紀錄，往往不知從何下手，若倚賴IT人員一一檢視系統尋找答案，除錯效率較差，無法提供即時協助，難以滿足網路架構複雜的大型企業，因此市場上，許多分析流量的工具孕育而生，例如NetQoS中央流量監控軟體、或是流量管理、負載平衡等硬體。

此類工具的好處，在於透明度和加快解決問題。首先，在透明度部份，由於企業管理系統多分散在不同環節，找出答案需花費許多時間。流量管理工具提供1個集中化的管理介面，便於管理者下達指令與掌握系統運作狀況，以及詳細報表，例如網路上跑了哪些應用、各個網段的流量、使用者為誰，關連度分析等。如果內部網路區段眾多，網管人員同樣可輸入IP或是MAC位址，監看特定主機。

其次，提升了問題解決的效率，例如依據應用程式的重要程度分配不同的頻寬，如SAP、網路電話（VoIP）、IM等，可作為IT人員設定應用程式QoS的參考。另外，系統不間斷地蒐集資訊，分析流量，一旦發現異常，依照企業政策執行動作，例如即時通報管理者或立即阻斷，因此在使用者發現異狀、抱怨之前，MIS已取得相關訊息，提早解決問題。

NetQoS台灣區產品經理王健成舉例，中央網管工具會根據Network、Server和Application的正常狀況，描繪出各種界限值（baseline）或臨界值（threshold），藉此作為日後管理的依據，一旦網路流量超過baseline合理範圍，則會自動發出警訊，並調查影響服務效能的癥結所在，建立起預警中心的管理機制。而在網路安全部分，同樣有助於判斷是否發生病毒、木馬攻擊等狀況，並指出有問題的電腦。

蒐集資料的價值來自於分析

IT人必須建立1個觀念：不論是自行撈取數據，或透過管理工具統計，蒐集得來的資訊還是必須仰賴專業分析，方能反映出背後真正的意義，若無暇分析資料，效益難以展現。

盲目購買流量管理設備未必有用，由於網路效能不佳的原因很多，可能是Server、線路、網路設備本身的侷限，所以IT人第1步應先釐清問題，在心中建立想法，例如想透過工具了解什麼、要看什麼報表，希望系統做到何種程度的功能，例如發生異狀通報即可，或是必須主動做出因應，皆與設備功能、等級、價格有關。

另外，Wilson Leong表示，要做到良好的網路管理，儘關注流量仍是不夠的，必須連伺服器、應用系統一同納入管理，才能做到全方位的掌握。

◎網路設備、品牌太多難管理　網路設備廠商推出中央控管方案

由於企業網路中，總是採購了各種品牌的產品，而廠商提供的管理機制，通常只能管理、監控自家的設備，對企業來說，面臨的問題不僅是成本的增加，更重要的是管理複雜，因此開始有大廠推出可監控其他管理系統的設備，如HP Openview。

但是，此種系統監管軟體，往往只能達到監控，卻無法作出因應，也就是說，僅能「呈現」問題，而無法「解決」問題，例如阻擋或修補，因此網路設備廠商也開始推出自動修復問題的中央管理方案，像是Cisco的Active Network Abstraction（ANA）平台。錢小山表示，ANA平台的概念類似1個虛擬網路，在網路設備之上建立1層管理ANA機制，所有網路流量皆透過ANA進行分配，再利用資料蒐集引擎，藉SNMP、IOS2等標準協定，蒐集設備資訊，再進行Performance、Fault、Configuration的管理。