ADN（Application Delivery Networking，應(yīng)用交付網(wǎng)絡(luò)）是近一年來頻繁出現(xiàn)在媒體與廠商資料中的一個新詞匯，它的出現(xiàn)拉近了廠商與用戶的距離，將關(guān)注的焦點(diǎn)聚集在了用戶的真實訴求上。不過，這一詞匯目前代表的是個比較寬泛的概念，并沒有任何標(biāo)準(zhǔn)去約束、衡量。雖然已有越來越多的廠商開始為用戶提供ADN解決方案，其思路與出發(fā)點(diǎn)卻不盡相同，功能側(cè)重和實現(xiàn)效果更存在著較大差異。傳統(tǒng)安全廠商Blue Coat發(fā)布的ADN解決方案，就結(jié)合自身優(yōu)勢，將重點(diǎn)放在了應(yīng)用監(jiān)控、廣域網(wǎng)優(yōu)化與Web安全三大領(lǐng)域。

通常，用戶在面臨應(yīng)用交付方面的問題時，首先想到的是“開源”的做法。但無休止地升級網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、擴(kuò)大廣域網(wǎng)出口帶寬，并不是一個有延續(xù)性的解決方案，也有悖于當(dāng)前經(jīng)濟(jì)形勢下用戶的投入能力。Blue Coat的解決思路則是先為用戶“截流”，即剔除占用資源的非業(yè)務(wù)流量、阻止各類安全威脅、再優(yōu)化加速真正的業(yè)務(wù)流量，發(fā)揮用戶現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)與接入帶寬的最大潛力。與某些拼接起來的ADN解決方案不同，Blue Coat提供的三種技術(shù)手段之間環(huán)環(huán)相扣，部屬起來具有很好的銜接性。為驗證這些特點(diǎn)，計算機(jī)世界實驗室近日聯(lián)合Blue Coat，對其提供的ADN解決方案進(jìn)行了詳細(xì)測試。

走出實驗室

既然測試對象是應(yīng)用交付解決方案，我們也一改針對產(chǎn)品的測試模式，站在用戶角度，選取了移動辦公這種應(yīng)用模型進(jìn)行考察。這是企業(yè)網(wǎng)絡(luò)中比較有代表性的一類應(yīng)用，涉及到管理、加速、安全等多種需求，傳統(tǒng)方案實現(xiàn)起來較為復(fù)雜，并且很難做到統(tǒng)一協(xié)調(diào)。針對這種情況，Blue Coat的ADN解決方案使用了ProxyClient客戶端軟件與ProxySG網(wǎng)關(guān)的搭配方式，將應(yīng)用交付的相關(guān)特性無縫延展至遠(yuǎn)程節(jié)點(diǎn)。

經(jīng)驗表明，實驗室環(huán)境下的測試很難反映出真實的廣域網(wǎng)加速效果，我們索性將測試環(huán)境完整地搭建在互聯(lián)網(wǎng)上，使用一臺主流配置的筆記本電腦（Intel Core 2 Duo T7500/2G內(nèi)存）在不同網(wǎng)絡(luò)接入條件下進(jìn)行測試。部署在模擬企業(yè)網(wǎng)絡(luò)邊緣的是一臺ProxySG 510，該產(chǎn)品提供了Blue Coat ADN解決方案中涉及到的豐富特性，并負(fù)責(zé)與ProxyClient實施聯(lián)動?？紤]到絕大多數(shù)企業(yè)都會為移動辦公用戶提供VPN接入，在ProxySG 510的外部也部署有IPSec VPN網(wǎng)關(guān)。遠(yuǎn)程用戶必須先與之建立隧道，才可以訪問企業(yè)網(wǎng)絡(luò)。

#p#

廣域網(wǎng)加速——讓應(yīng)用暢通無阻

移動辦公用戶最大的需求，莫過于隨時隨地訪問企業(yè)內(nèi)部資源。在帶寬、鏈路質(zhì)量等多種因素的制約下，大多數(shù)通過廣域網(wǎng)的訪問并不會有很好的應(yīng)用體驗，ADN解決方案帶來的改善是值得評估的重點(diǎn)。我們在ProxySG 510的后端部署了三臺服務(wù)器，分別提供文件共享（CIFS）、郵件（SMTP/POP3）與Web（HTTP）服務(wù)，再使用裝有ProxyClient的電腦從外部進(jìn)行訪問，考察ProxyClient開啟與關(guān)閉狀態(tài)下的實際效果。為更加真實地模擬實際情況，我們還抽象了一些用戶行為，制定了三個比較復(fù)雜的測試用例。

考慮到鏈路質(zhì)量在不同的時間段可能存在差異，測試分別被安排在9-10點(diǎn)、17-18點(diǎn)、0-1點(diǎn)三個時間段進(jìn)行，每個項目都重復(fù)執(zhí)行3遍。由于文件與Web服務(wù)都有一定的緩存機(jī)制，我們在每次測試后都會重啟筆記本電腦，并刪除IE臨時文件；在ProxyClient啟用的情況下，我們還會將緩存與統(tǒng)計信息清零，以便于取得未經(jīng)干擾的準(zhǔn)確數(shù)據(jù)。

我們首先在北京聯(lián)通的ADSL鏈路（上行512Kbps/下行1Mbps）上進(jìn)行測試。長時間的監(jiān)測表明，該鏈路質(zhì)量較為出色，訪問國內(nèi)站點(diǎn)沒有丟包等現(xiàn)象發(fā)生。但由于測試使用的VPN網(wǎng)關(guān)部署在美國，PING三臺應(yīng)用服務(wù)器時會有比較多的丟包，實際訪問效果很不理想。

從測試結(jié)果中可以看出，文件復(fù)制用時相當(dāng)漫長，并且同一時段的三次測試結(jié)果也有不小差異；郵件及Web服務(wù)的情況也與之類似，載入CRM頁面動輒一、兩分鐘的耗時說不定會讓銷售人員與商機(jī)失之交臂。而啟用ProxyClient后的測試結(jié)果則大為改觀，文件復(fù)制所用的時間只有先前的數(shù)十分之一，個別較小的文件甚至在進(jìn)度條出現(xiàn)前就已完成復(fù)制；郵件與Web服務(wù)方面的改善在數(shù)值上雖然沒有那么驚人，卻也有效縮減了之前難以忍受的等待時間，讓應(yīng)用真正有了可用性。#p#

必須承認(rèn)，移動辦公用戶獨(dú)享一條ADSL鏈路的機(jī)會并不多。在賓館、機(jī)場等場合，一般只有更加復(fù)雜（通常也更慢）的共享型網(wǎng)絡(luò)提供使用。針對這種情況，我們將裝有ProxyClient的筆記本電腦接入《計算機(jī)世界》報社的辦公網(wǎng)絡(luò)進(jìn)行了第二輪測試。雖然報社網(wǎng)絡(luò)出口的帶寬遠(yuǎn)遠(yuǎn)大于家用ADSL，但由于用戶眾多、應(yīng)用復(fù)雜，鏈路質(zhì)量并不穩(wěn)定，不同時間段內(nèi)效果差異很大。

禁用ProxyClient的情況下，網(wǎng)絡(luò)最繁忙的9-10點(diǎn)所測得的結(jié)果明顯不如凌晨0-1點(diǎn)，且單項所需時間越長，差異越明顯。由于上午的網(wǎng)絡(luò)丟包率與抖動較高，在大文件復(fù)制過程中甚至還出現(xiàn)過長時間無響應(yīng)，最終出錯的情況；啟用ProxyClient后，三種應(yīng)用在不同時間段內(nèi)都有較好的應(yīng)用體驗。我們感覺，這種穩(wěn)定性方面的提高有效避免了突如其來的等待或中斷，比單純速度提升更有價值。

鏈路質(zhì)量不可改變，ProxyClient卻能為應(yīng)用的效果帶來翻天覆地的變化，其內(nèi)置的優(yōu)化手段功不可沒。該軟件使用了協(xié)議優(yōu)化、字節(jié)緩存、對象緩存與壓縮等技術(shù)，通過減少廣域網(wǎng)流量的方式起到加速作用。協(xié)議優(yōu)化是比較關(guān)鍵的一項技術(shù)，大多數(shù)應(yīng)用都可以從中受益。以文件服務(wù)為例，我們抓取了禁用ProxyClient時登錄服務(wù)器過程中的數(shù)據(jù)包進(jìn)行分析，發(fā)現(xiàn)在47秒鐘內(nèi)雙向僅傳輸了93個包，大量時間都消耗在交互等待及丟包重傳上。而TCP與CIFS協(xié)議的優(yōu)化大幅減少了兩點(diǎn)間交互次數(shù)，將登錄時間壓縮到5秒以內(nèi)，與局域網(wǎng)效果相類似。

壓縮功能可以有效降低需要發(fā)送的數(shù)據(jù)量，對文件復(fù)制等大數(shù)據(jù)量傳輸操作最為有效。不過，本次我們測試使用的RAR文件與BMP文件大小相仿，啟用ProxyClient時前者用時至少超過后者一倍，可見壓縮效果與數(shù)據(jù)類型息息相關(guān)。字節(jié)緩存與對象緩存的意義則主要體現(xiàn)在應(yīng)用模型中，郵件服務(wù)就是最好的例子。當(dāng)乙收到郵件時，兩端的緩存中都保存了附件Word文檔；修改后再次發(fā)送時，只需將變更部分內(nèi)容與其他部分的指針地址回傳即可，從而使達(dá)到加速的效果。此外，我們還嘗試在文件復(fù)制后和文件復(fù)制中途取消后，再次進(jìn)行復(fù)制操作，所用時間都有較大程度的減少，原因自然與郵件服務(wù)如出一轍。

經(jīng)過分析，我們發(fā)現(xiàn)很多應(yīng)用模型都是從多種優(yōu)化技術(shù)的共同作用中受益。但也有一些極端的例子，如網(wǎng)絡(luò)管理者常用的遠(yuǎn)程桌面，RDP協(xié)議本身就對傳輸數(shù)據(jù)做了優(yōu)化，緩存與壓縮技術(shù)在這里基本不起作用。我們專門做了一個針對遠(yuǎn)程桌面功能的主觀對比測試：禁用ProxyClient時，遠(yuǎn)程服務(wù)器響應(yīng)非常慢，光登錄界面就要等很久，輸入用戶名與密碼時回顯延遲較大，框選目標(biāo)時也有明顯的遲滯感；啟用ProxyClient后，遠(yuǎn)端主機(jī)屏幕的刷新速度快了很多，輸入用戶名和密碼時立即可以看到回顯，框選目標(biāo)時感覺也很流暢。測試結(jié)果表明，這類時延敏感型應(yīng)用的效果也可以從協(xié)議優(yōu)化中得到改善。并且越是糟糕的鏈路，效果越明顯。#p#

安全性與易用性

既然是應(yīng)用交付解決方案，就必須盡量全面地提供用戶需要的功能特性。移動辦公用戶在物理上游離于企業(yè)網(wǎng)絡(luò)之外，安全方面的需求決不亞于廣域網(wǎng)加速特性。ProxyClient提供了被動防護(hù)與主動防御相結(jié)合的安全解決方案，一方面，可以利用Blue Coat現(xiàn)有的WebFilter網(wǎng)站數(shù)據(jù)庫，屏蔽已知的可能帶有威脅因素的網(wǎng)站。另一方面，裝有ProxyClient的電腦會自動加入WebPulse云安全體系，成為一個分享并受益的節(jié)點(diǎn)。

如果遭遇惡意軟件入侵或蠕蟲病毒爆發(fā)等突發(fā)事件，WebPulse有可能在本地防病毒軟件未能識別前做出反應(yīng)，將安全威脅攔截在外。此外，利用WebFilter網(wǎng)站數(shù)據(jù)庫的分類與分級特性，移動辦公用戶也可以同步執(zhí)行企業(yè)內(nèi)部的訪問控制策略，在節(jié)省成本的同時規(guī)避不必要的風(fēng)險。我們嘗試著在裝有ProxyClient的筆記本電腦上訪問幾個屬于ProxySG策略中禁止類別的網(wǎng)站，都被有效拒絕，效果令人滿意。

沒有幾個移動辦公用戶能精通IT專業(yè)知識，他們需要的是無障礙解決方案。所以在測試過程中，我們也著重注意了Blue Coat ADN解決方案的易用性。策略制定與ProxySG的調(diào)配是管理員的任務(wù)，普通用戶無需費(fèi)心；而唯一需要打交道的ProxyClient，則“簡單”得令人印象深刻。以部署過程為例，移動辦公用戶只需到指定網(wǎng)址下載安裝一個文件即可，操作起來沒有任何難度。此文件中包含了所有的設(shè)置信息，可以做到即裝即用。軟件主界面下設(shè)狀態(tài)、網(wǎng)絡(luò)與高級三個子頁面，諸如運(yùn)行模式、資源統(tǒng)計等用戶比較感興趣的信息都被集中在首頁。ProxyClient的維護(hù)也令人省心，軟件升級與策略同步都會自動進(jìn)行，不需要人工干預(yù)；管理、加速等功能全部都在后臺完成，客戶端不需要也不能進(jìn)行設(shè)定。簡而言之，雖然ProxyClient實現(xiàn)了許多復(fù)雜特性，對于移動辦公用戶來說卻是完全透明的。

測試點(diǎn)評

ProxyClient的主界面上有一個很有意思的統(tǒng)計圖，用百分比的形式顯示出廣域網(wǎng)加速特性節(jié)省的帶寬。經(jīng)歷了完整測試后，我們反倒覺得這并不是最貼切的表現(xiàn)方式。因為，Blue Coat ADN解決方案給工程師最深刻的感受是時間上的節(jié)省，以及為移動辦公用戶降低風(fēng)險、提高安全系數(shù)。這才是工作效率提高的根本原因，也是企業(yè)降低總體擁有成本的重要因素。 

【編輯推薦】

1. Blue Coat在京推動ADN 優(yōu)化并保護(hù)業(yè)務(wù)應(yīng)用交付
2. 集成ADN——企業(yè)應(yīng)用交付新時代