杨合林
中国移动通信集团设计院有限公司山东分公司,山东济宁 250001
现阶段,中国移动互联网建设初具规模,为移动互联网的大力发展提供了保障,但随着用户规模的增加,中国移动互联网面临着一系列问题,亟待解决。
1)P2P应用由于端口是可变的,很难察觉和管理,对网络带宽消耗极大,运营商 “增量不增收”,有沦为“管道”的风险;2)以Skype 为代表的P2P语音应用给运营商带来长途话费收入大量流失的严重后果,固网运营商长话业务的流失额增长迅速;3)大量的电影、软件下载,网络资源消耗极大,附加在这些文件里的网络病毒也在大量增长,由于病毒泛滥,客户网络容易遭受攻击而中断。
面对各种威胁,中国移动亟需对互联网用户流量进行精确的管理和控制,构建智能管道,为用户提供优质的宽带服务。
2.1.1 DPI技术
DPI技术在分析包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术,可划分为以下三类:
1)特征字识别技术:不同的应用会采用不同的协议,各种协议有其特殊的指纹。特征字识别技术,正是通过识别数据报文中的指纹信息来确定业务所承载的应用;2)应用层网关识别技术:若业务的控制流和业务流分离,其业务流没有任何特征,可通过应用层网关识别出控制流,根据控制流协议选择特定的应用层网关对业务流进行解析,从而识别出相应的业务流;3)行为模式识别技术:对终端的各种行为进行研究,并在此基础上建立行为识别模型,基于行为识别模型,判断客户正在进行的动作或者即将实施的动作。
DPI采用逐包分析、匹配技术,可以对流量中的具体应用类型和协议做到比较准确的识别,但处理速度相对DFI慢;数据包若经过加密,DPI不能识别具体应用。
2.1.2 DFI技术
DFI是一种基于流量行为的应用识别技术,基于流量的行为特征,建立流量特征模型,通过分析会话流量的相关信息来与流量模型对比,从而实现鉴别应用类型。
DFI技术将流量特征与后台流量模型进行直接比较,处理速度快;不受协议加密传输影响;由于同一类型的新应用与旧应用的流量特征变化不大,DFI系统不需要频繁升级流量行为模型; 但DFI只能对应用类型进行笼统分类。
流量控制技术分成两大流派,一是利用协议本身的一些机制,实现流量控制;一是采取缓冲、队列控制的办法,强制性的实现流量控制。
2.2.1 基于协议的流量控制技术
1)TCP降速: TCP协议采用滑动窗口技术来实现端到端的流量控制,可通过伪造并发送特殊sequence报文来减小TCP的滑动窗口值,对连接的两端进行流量控制;2)TCP截断:通过伪造并发送TCP RST/FIN报文来截断TCP连接;3)UDP降速:UDP协议具有非面向连接的单包特性,无法从4层对数据流进行干扰,只能通过7层的协议信令进行干扰,达到流量控制的目的;4)UDP截断:通过伪造并发送应用层特殊控制命令方式来截断UDP连接,该控制方法缺点是随着协议的升级,控制代码也需要频繁地升级,实现起来较麻烦。
2.2.2 基于队列的流量控制技术
基于队列的流量控制技术,将入端口数据进行排队,赋予每个队列一定的调度优先级。队列调度算法目前应用最为广泛的是令牌桶算法和预测丢弃算法RED。
1)令牌桶算法综合考虑了报文长度、优先级,还增加了队列环回机制,算法完善,但实现较为复杂,占用大量的CPU和缓存资源,适合轻载网络环境;2)RED算法,在没有可用网络资源发送数据时,将低优先级的队列中的报文简单丢弃,导致报文重传,造成网络资源浪费。该算法简单,适合在高速网络中实现,实际中应结合延缓报文发送而不是直接丢弃的方法,抑制报文重传。
流量分析和控制的组网技术包括直路和旁路两种方式,二者在控制效果、系统性能以及对网络影响各不相同。
1)直路方式:是指在业务链路上直接部署流量分析和控制设备的方式,控制直接、方便,但存在单点故障和扩展性问题,需要随着应用和业务的更新而不断更新检测库,还需要随着新业务的出现而不断扩充业务功能;2)旁路方式:是指通过端口镜像或分光的方式获得流量的完整拷贝,然后进行复杂的分析,不会对现有网络拓扑造成影响,但控制能力受到较大影响。
根据上文分析,中国移动流量分析和控制系统的建设步骤建议如下。
近期,考虑中国移动网内资源有限,用户访问流量绝大多数为出网流量,建议遵循“重分析,轻控制”的原则,在省网出口/IDC出口链路,集中部署流量分析和控制系统,完成全省用户出省访问业务的分析和控制功能,发现并抑制当前比较严重的业务滥用,积极引导转化用户行为,降低网间流量结算费用,提高用户使用感受。
图1 中国移动流量分析和控制系统建设步骤总结
系统分为流控后台系统和流控前端系统两部分。后台系统在省中心集中建设,负责配置、故障、性能、告警、统计等功能,并与Radius系统接口,实现“用户-IP”的一一对应,通过账户对用户进行分析和控制;前端系统主要完成数据采集、策略执行的功能。
为避免对现有网络拓扑造成影响,建议采用旁路部署方式;流量识别技术采用DPI,保证识别精度;建议采用基于协议的流量控制技术实现对非法业务滥用的控制。
随着中国移动IDC和各地市托管机房互联网内容资源的逐步引入,用户初具规模,网内地市间互访量增加,地市出口带宽压力增大,继续遵循“重分析,轻控制”的原则,建议在各地市城域数据网出口链路部署流量分析和控制系统,采用在省网汇接路由器侧集中建设的方式,在地市侧新增客户端,实现对本地市城域数据网出口流量的分析和一定程度的控制功能。
该时期,城域核心层的出口业务流量大,建议采用旁路部署方式;流量识别技术采用DPI;配合采用基于协议的流量控制技术实现对非法业务滥用的控制。
远期,中国移动在网内资源和用户规模方面,与其他运营商相当,地市内部访问量形成规模,需要在各地市城域数据网内部建设流量分析和控制系统,建设策略由“重分析,轻控制”转变为“分析和控制并重”。
城域数据网内的链路以GE为主,建议采用直路部署方式;流量识别技术采用DPI;配合采用基于队列的流量控制技术实现对全部用户的流量控制。
流控系统的前端服务器采用分布式部署的方式,覆盖SR、BRAS等业务接入控制层路由器的上行链路,并根据需求,覆盖业务量大的汇聚交换机上行链路。
流控系统的后台系统仍采用集中建设的方式,部署在省中心,增强用户管理系统的功能,新增与BOSS系统的接口,实现“用户-IP-服务”的对应关系,实现对用户基于应用的分级服务能力。
流量分析和控制技术的应用,是解决目前互联网面临诸多问题的关键,中国移动应高起点、分步骤的建设流量分析和控制系统,摆脱传统管道的角色,实现对用户、应用的完全可视、可控、可管,构建智能管道,为互联网健康、可持续发展保驾护航。
[1]SIG业务监控网关系列课程.
[2]Allot电信运营商增值建议方案.
[3]IP网监控系统调研与建议.