Wi-Fi网络智能管道控制技术的研究

邓博存，王建军，刘己未，刘名茂（.中国电信股份有限公司广州研究院，广东 广州 50630；.人民邮电出版社，北京0006）

0 前言

当前各大运营商大力铺设Wi-Fi网络，Wi-Fi用户数与业务量呈现井喷式增长态势，大量各类应用在Wi-Fi网络上迅速部署，Wi-Fi热点、AP设备、Wi-Fi用户的流量失衡、网络安全问题日益恶化，导致有限的Wi-Fi网络资源消耗极大，严重影响Wi-Fi网络质量与用户的Wi-Fi体验，无法开展QoS差异化Wi-Fi服务。

1 网络现状

在日益增长的宽带需求推动下，带宽滥用的情况也日趋恶化，占用带宽采用先到先得的方式，致使带宽资源严重失控。

通过对Wi-Fi网络长期的数据跟踪与调研可以得知，目前Wi-Fi网络承载业务的流量占比（见图1），主要网络应用以P2P、HTTP为主，合计占比达到了97.5%。

网络中存在大量P2P下载应用和网络视频流，造成正常HTTP业务受到影响，基本带宽难以得到有效保障。由于目前Wi-Fi网络对于单个IP速度和会话数没有进行限制，导致极少部分用户占据大部分带宽流量的严重网络失衡形态，失去了公平性。

目前城域网部署的流控装置仅能根据IP信息识别认证后的Wi-Fi数据流量，对于热点、设备或终端发生的数据业务和流量等行为信息无法进行识别，无法对端到端行为进行智能流量控制与安全防御。

图1 承载业务的流量占比

另外，由于FITAP架构下异厂商通信管理协议不互通，无法针对异厂商设备网络的流量和应用进行实时智能监控与安全控制。

2 技术特点

针对现有网络与技术的特点，Wi-Fi网络智能管道控制技术具有以下三大技术特点。

2.1 实现Wi-Fi网络端到端流量监视与控制

智能管道装置部署于AC层面，实现对热点、AP、终端业务流量数据的关联识别，流控识别最小颗粒度达到AP级别，并根据策略算法智能控制Wi-Fi管道流量，优化带宽，最大限度保护用户网络安全、提升网络运行质量稳定性，解决流量失衡问题。

2.2 实现跨网络管道智能控制

采用标准SNMP网管协议，结合设备MIB OID节点特性，真正实现跨网络异厂商Wi-Fi网络的管道智能控制，突破AC+AP私有协议的限制。

2.3 实现Wi-Fi网络QoS智能控制

基于ASIC可编程芯片架构，关联识别用户MAC信息，跟踪分析网络行为，对七层服务应用进行带宽保障，同时根据管道控制策略实施差异化QoS服务。七层服务应用的控制原理和流程如图2所示。

3 系统架构

智能管道流控模块采用ASIC芯片逻辑进行硬件加速处理，把指令和计算逻辑固化到芯片中（见图3）。该架构不存在X86架构操作系统的安全问题，自身安全性很好并且性能较高。

ASIC芯片对于数据流的处理如图4所示，根据策略表定义对流量进行识别、分析控制、消息存储与输出控制。

图2 七层服务应用的控制原理和流程示意

图3 智能管道流控模块结构

ASIC对P2P的流控是建立在一个分析统计的行为模型基础上的P2P自动学习和探测方式，采用嵌入式软件协同处理的工作方式，并且针对当前P2P应用发展趋势，面向纯粹的应用流的行为特征统计、过滤和分析，最终自动识别各种P2P应用流量。其中，硬件应用流跟踪单元是利用ASIC全硬件应用流统计分析引擎，由芯片直接完成每个应用连接的行为特征；软件应用流过滤单元负责收集和更新HAFT提供的各种统计和分析结果；软件应用流探测单元提供高性能的软件自学习和动态探测引擎；软件应用流处理单元负责避免误识别的设定和配置功能模块。

4 技术原理

4.1 集中转发网络

图4 ASIC芯片对于数据流的处理流程

在集中转发架构中，AC旁挂于BRAS，管道控制器部署于AC与BRAS之间，所有管理流与业务流都流经管道控制器。

管道控制器对流经的各项流量相关信息进行关联匹配处理，生成摘要文件GF，并发送至命令生成器；通过SNMP协议，配置采集器从AC的OID节点获取无线用户各项信息，以及AP、SSID、MAC等信息。

配置采集器对获取到的各项信息进行关联匹配处理，生成摘要文件MF，并发送至命令生成器；命令生成器根据摘要文件GF和MF，进行流控、安全、QoS评价等分析处理后，根据管道控制策略指令集，生成管道控制命令，并发送至管道控制器。

管道控制器根据管道控制命令对流经的所有业务流量进行流量控制、安全防御和QoS处理。

集中转发网络如图5所示。

图5 集中转发网络

4.2 本地转发网络

管道控制器部署于汇聚交换机入口，所有管理流与业务流都流经管道控制器；管道控制器对流经的各项流量相关信息进行关联匹配处理，生成摘要文件GF，并发送至命令生成器。

通过SNMP协议，配置采集器从AC的OID节点获取无线用户各项信息，以及AP、SSID、MAC等信息；配置采集器对获取到的各项信息进行关联匹配处理，生成摘要文件MF，并发送至命令生成器。

命令生成器根据摘要文件GF和MF，进行流控、安全、QoS评价等分析处理后，根据管道控制策略指令集，生成管道控制命令，并发送至管道控制器；管道控制器根据管道控制命令对流经的所有业务流量进行流量控制、安全防御和QoS处理。

本地转发网络如图6所示。

图6 本地转发网络

5 结束语

Wi-Fi智能管道控制技术可以解决目前流量与热点、流量与AP、流量与用户的无法动态关联，以及AC+AP网络兼容性问题的技术瓶颈，实现对热区流量、AP流量与用户流量的行为分析与控制，实现Wi-Fi网络端到端的流量监视与控制。由于智能管道控制点位于AC层面，有利于识别和跟踪设备各类信息与网络行为，有针对地对热点、AP和用户进行流量控制和安全防御，同时有利于部署与实施QoS服务。对提升Wi-Fi网络运行质量、改善用户业务体验均具有实际意义。

［1］IEEE Std 802.11g Wireless LAN Medium Access Control（MAC）and Physical Layer（PHY）Spedifications［S/OL］.［2012-07-11］.http://wenku.baidu.com/view/e8444865783e0912a2162a6a.html.

［2］GB 15629.11-2003信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分：无线局域网媒体访问控制和物理层规范［S］.北京：中国标准出版社，2003.