摘要:本文闡述了如何應用烽火DPI設備解決目前廣電運營商網絡存在的不能對流量進行精細化管理控制問題。
一、DPI技術背景
當前很多地方廣電開展寬帶接入業務的時候,都是通過租用或者合作的形式獲得互聯網出口資源,也就是說,廣電城域網的出口帶寬成本是很高的。為了充分利用出口帶寬資源,提高單位帶寬創造的效益,就需要對P2P等一些價值較低的流量進行管控。另外,傳統電視節目將和互聯網互通,如何保證電視節目傳輸安全以及QoS,對于網絡的管理和控制將顯得尤為重要(圖1.1)。
圖1.1 各種業務對帶寬的搶占
DPI技術的出現,為廣電運營商帶來了曙光,通過部署DPI系統,可以實現:
• 可視化全網:可以深入了解整個網絡帶寬由哪些應用占用(P2P/WEB TV/流媒體/IM/Games等。)
• 流量精細化管理:通過靈活的帶寬管理機制(帶寬整形、QoS管理、限速、提速、封堵等),來限制“高消耗、低價值”的業務和用戶,從而有效的保障關鍵業務、關鍵用戶,提升用戶感知,提高帶寬使用的性價比。
• 豐富的QoS提供能力:根據不同的QoS需求,可提供CBR、VBR、UBR業務,可以在IP網絡中提供虛擬專線業務。
• 及時發現和抑制異常流量:可從網絡通路上第一時間攔截異常流量,避免其對網絡造成破壞性影響。
• 透視全網服務質量,保障關鍵業務質量:可透視全網各種業務的延時、抖動、帶寬占用等QoS指標,從而精確定位QoS劣化點。
• 智能業務性能分析,減少網絡癱瘓和性能劣化的時間。
• 減少或延遲帶寬投入,降低網絡運營成本:通過烽火科技DPI產品解決方案所提供的長期統計報告,可以準確了解網絡帶寬過去、現在和將來的總體使用情況,識別出實際帶寬需求小于實際分配(租用)帶寬的鏈路。對于廣域網(WAN)連接,可以減少或者推遲網絡升級計劃(例如升級為千兆網,購買新的路由器等);從而節省了大筆費用。通過量化依據為帶寬擴容提供科學的決策支持。
• 轉變被動維護局面,先于用戶發現故障:烽火科技DPI產品以其迅捷的故障響應機制和完善的主動監測流程為寬帶網絡的運營維護提供全面的保障機制,加快故障響應處理速度,縮短平均故障響應時間,大大提高了維護效率。
• 提高市場競爭力,樹立移動寬帶精品網品牌。
二、DPI核心技術
2.1 DPI與普通檢測技術區別
普通的報文檢測往往僅分析IP分組的四層以下內容,一般包括源地址、源端口、目的地址、目的端口以及協議類型,如圖1.2所示。
圖1.2 傳統的IP頭部報文分析
然而,僅通過分析IP地址和端口來識別業務存在很多的問題,包括:
1.端口可變的業務。比如BT/EDK等業務,可以由用戶自行設定端口。
2.隱藏在合法端口之后的隧道業務。比如為躲避防火墻封鎖而隱藏在80端口通過隧道傳輸VoIP語音或數據的應用。
3.IP地址可變業務。比如部分應用為了逃避封鎖,不斷變換IP地址。
4.交互式業務。比如FTP/流媒體/VoIP等,其媒體流的端口是通過交互協商出來的,非固定端口。
DPI,Deep Packet Inspection,深度包檢測,通常簡稱為DPI。所謂深度分組包檢測是相對普通報文檢測而言的一種新的檢測技術,即對第七層,也即應用層的內容(凈荷)進行深度分析,從而根據應用層的凈荷特征識別其應用類型或內容。如圖1.3所示。當IP數據包、TCP或者UDP數據流經過基于DPI技術的網絡設備時,DPI引擎通過深入讀取IP包載荷的內容來對OSI 7層協議中的應用層信息進行重組,從而識別出IP包的應用層協議。
圖1.3 DPI技術對應用特征的分析
DPI技術是通過深入重組、分析第七層分組的凈荷內容,匹配業務特征,從而判斷業務和應用類型,DPI技術可以細分不同的應用類型。
2.2 DPI技術介紹
DPI技術主要應用于業務識別和帶寬管理領域,下面就分別將這兩項主要技術進行詳細闡述。
2.2.1 業務識別技術
不同的應用通常會采用不同的協議,而各種協議都有其特殊的特征(除加密應用),這些特征可能是特定的端口、特定的字符串或者特定的Bit序列。基于凈荷特征匹配技術,正是通過識別數據報文中的凈荷特征來確定業務流所承載的應用。根據具體檢測方式的不同,基于凈荷特征匹配技術又可細分為固定(或可變)位置特征匹配、多連接聯合匹配和狀態特征匹配四種分支技術。通過對特征信息的升級,基于凈荷特征匹配技術可以很方便地擴展到對新協議的檢測。
2.2.2 帶寬管理技術
串聯流量控制
串接流控通常以透明模式串接到網絡設備中使用。通過對網絡上的各種類型的應用流量進行分類,并根據控制策略,可將需要控制的P2P 流量數據包丟棄。P2P 數據傳輸的兩端客戶端由于再一定的時間內未收到數據包或確認信息,將啟用TCP/IP 協議的擁塞控制機制或應用層協議進行降速傳輸,從而實現對P2P流量進行控制的目的。
并聯干擾控制
旁路干擾控制主要采用數據包偽裝技術將偽裝的干擾數據包發到正在通信的TCP、UDP 連接中降低連接的數據傳輸速率或者切斷連接以達到流量控制的目的。由于P2P 數據傳輸采用TCP 或UDP方式,因此旁路干擾控制的流量控制方法有如下幾種:
▪ TCP 截斷,通過偽造并發送TCP RST 報文來截斷TCP 連接。
▪ TCP 降速,通過偽造并發送特殊sequence 報文來減小TCP 的滑動窗口值。
▪ UDP 截斷,通過偽造并發送P2P 應用層特殊控制命令方式來截斷UDP 連接。
▪ UDP 降速,通過偽造并發送P2P 應用層特殊控制命令方式來降低UDP連接的傳送速率。
2.2.3 DPI的核心-應用特征庫
DPI技術的核心點在于如何維護一個高準確性、高實時性的應用特征庫,從而保障應用特征識別的準確性、實時性,進而保障運營商對應用的管控準確性和實時性。目前運營商已建設的DPI系統普遍遭遇到應用特征更新不及時、管控效果不佳等問題,均來源于特征庫的準確性和實時性無法得到及時保障。
2.3 烽火DPI功能
用戶行為分析控制:
它能在轉發流量的同時識別各種網絡應用、并實時調整不同的網絡應用占用的帶寬資源,達到優化網絡的效果。用戶行為分析控制系統可以滿足10~100,000用戶不同規模網絡的控制處理,支持多條互聯網服務提供商鏈路,多個用戶區域分區控制。并可以同時支持光口、電口兩種網絡接口,兼容各種網絡,可以輕松對多個鏈路進行控制。用戶行為分析控制系統適用于大中小型企事業、高校、運營商等各種網絡環境。
共享上網檢測:
共享上網檢測系統是專為廣電運營商ISP設計的,用來協助廣電相關部門檢測出哪些用戶使用同一個賬戶共享上網,檢測黑網吧,避免廣電收費流失。并可對檢測出的非法使用進行阻斷、警告、事后處理等處理方式。
互聯網訪問控制:
互聯網訪問控制系統通過捕獲用戶訪問請求,分析和識別用戶所訪問的內容屬于哪一類別,然后根據不同用戶的過濾規則允許或禁止用戶訪問其內容,同時把網內用戶的所有訪問請求產生一個詳細報告,通過該報告可以實現對網內Internet用戶訪問行為的監控、統計和管理,輔助運營商進行決策分析。互聯網訪問控制系統擁有完善的網站分類數據庫,可對網絡中的每個用戶的明細訪問行為進行監控,分析其目的網址的分類,并生成各類圖表供ISP運營商和管理者分析決策。
互聯網信息發布:
互聯網信息發布系統突破了傳統基于網站的互聯網廣告的被動“拉”模式,如訪問新浪只能看到新浪的廣告,而看不到搜狐的廣告,互聯網信息發布系統所推送的內容不在受用戶訪問站點的限制,只要是ISP網內的用戶瀏覽網頁,就可以接收到推送的內容。同時能夠通過收集的用戶上網信息,為運營商了解、分析寬帶用戶的運行情況,提供重要的參考數據與及時的反饋提升寬帶服務的質量。
三、DPI典型部署方式
3.1 固定寬帶互聯網
串聯式部署
系統通過BYPASS設備串聯接入到網絡中,對網絡中的流量進行分析監控,針對非法流量進行策略操作。
這種部署方式優點在于部署簡單,準確監控所有流量,可操作的策略多。可適應運營商各種不同的鏈路環境,但缺點在于增加網絡節點。
并聯式部署
系統通過基于ATCA的一體化設備對鏈路從業務、流量、質量、安全等維度進行分析,并可針對非法VoIP、P2P、一拖N等非法業務實時并聯干擾管控。
這種部署方式優點在于部署簡單,設備數量少,占用機架和功率資源少,擴容直接通過擴業務板卡和數據板卡即可完成,缺點在于數據板卡的處理效率比分布式的單機設備略遜一些,適合鏈路數目多且但鏈路帶寬占用率不是非常高的環境。
3.2 Bypass 設備
ByPass旁路保護系統的針對DPI串行設備的網絡保護裝置,通過檢測串接設備是否正常運行進行保護。一旦串接設備出現故障,則ByPass承擔起聯通網絡的作用,使得物理網絡導通。
圖 Bypass旁路保護系統設備圖
將ByPass串聯入網絡,再將網絡設備并聯在ByPass設備上,將ByPass與DPI各自的串行通訊口相連接,實時監控DPI運行狀態。DPI設備正常工作時網絡由其連通,一旦出現故障或者掉電,ByPass便即刻切換到保護狀態,實時保護網絡。
圖 Bypass旁路保護設備連接圖
