在现网中,运营商利用流量采集设备进行网络流量采集,通过物理层、数据链路层的信号解析和解帧,获取原始IP报文信息,实现流量控制监管及应用的分析。通常情况下,需要采集设备分析处理的网络流量数据量是庞大的,而以通用CPU为核心的流量采集服务器的运算处理能力十分有限。因此,在采集系统之前,以一定方式对网络流量进行过滤,不仅可以提高流量处理效率,而且可以降低采集服务器负载以及整个系统的功耗和成本。在此背景下,针对网络流量过滤的汇聚分流技术应运而生。其中,分流就是在输出流量超过后端处理能力的情况下,通过服务器集群方式、基于流保持标准实现流量的分发;流量的汇聚,即分流的逆过程,是流量需要集中处理或长途传输的情况下,实现流量的集合。
目前,汇聚分流技术通常包括流量复制、汇聚、分流、过滤等多种操作,实现小流量汇聚,大流量拆分,同源同宿功能,同时可基于网络层信息(如源IP地址、源端口号、协议类型、VlanID等)的规则复制流量,满足后端应用系统(如DPI系统、僵木蠕应用分析类系统等)从IP链路中提取实时数据进行监测、分析、控制的需求。随着5G快速发展,业务流量爆发式增长,之前的汇聚分流技术在流量处理功能和性能方面将逐渐无法满足需求,为在有限资源、有限时间情况下快速获取流量信息,需要汇聚分流技术进一步演变,拥有更强大的流量预处理能力。
5G时代下,移动核心网业务流量倍速增长、新型业务蓬勃发展,为支撑后端采集系统对流量进行更高复杂度、精细度的处理要求,汇聚分流技术也必须与时俱进,随5G业务的需求演进发展。
在数据匹配方面,5G新网络协议应用而生,网络协议种类增多,汇聚分流技术需支持多种协议灵活准确识别;业务场景丰富,汇聚分流技术需支持设备多维度、大容量的规则匹配以实现流量精确分类。
在数据处理方面,带有多层MPLS、VXLAN、ERSPAN、IPSec等隧道协议的数据流量增多,汇聚分流技术需进行对各种隧道协议支持去封装处理;移动核心网各接口信令协议繁多,且需要与用户面流量进行关联,因此汇聚分流技术还应支持报文的截断、打时间戳、打标签等报文预处理功能。
在处理性能方面,基于灵活五元组,特别是内层IP五元组分流的数据流量海量增加时,汇聚分流设备应具备庞大的匹配规则容量及高性能的处理能力;为满足多用户环境需求,汇聚分流设备应支持多级并发的策略处理机制,可以在入接口、中间环节及出接口执行不同的流量策略;另外,汇聚分流设备还应支持大容量、高密度接入及超大规模交换能力等。
在设备形态方面,5G网络控制面和用户面数据分离的架构特点使现网不同节点的流量大小、处理需求存在巨大差异,需要不同形态的汇聚分流设备可以灵活、性价比更高的应用在复杂多变的网络环境。
这些新需求迫使汇聚分流技术及其设备发展变化,主要变化特征有如下三方面。
5G移动核心网需对数据流量进行IMSI筛选,需对不同封装的数据流量基于内层IP五元组分流,需进行特征码匹配进而过滤后端业务系统不必要的流量,需基于信令协议匹配报文进而将不同特性的信令协议报文抓取出来。因此,汇聚分流技术必须满足基于IMSI规则、基于内层IP信息规则、基于传输层特征码规则、基于信令协议规则等数据流量匹配的功能要求,以实现小流量汇聚、大流量拆分,降低后端业务系统处理压力,减少后端服务器数量。
5G网络控制面和用户面数据分离,为关联信令信息和用户信息以满足后端系统不同需求,汇聚分流技术必须支持针对网络报文的预处理功能。例如,支持从会话的维度对输入流量进行统计,并输出NetFlow格式统计信息;支持对内容重复报文进行丢弃,相同内容报文只会输出一份到特定的业务系统;支持对IP-in-IP、VLAN、VXLAN、MPLS、GRE等特定协议的头部剥离,然后将剩余数据进行转发;支持只对原始报文的网络层及传输层头部进行转发,而剩余部分数据进行丢弃;支持修改报文的MAC头部,以用于标识输入端口编号信息或匹配规则编号信息;支持插入时间戳标记标记功能等。
一般的汇聚分流处理功能如IP五元组规则匹配、MAC信息匹配、数据复制转发等利用基本的交换芯片即可实现,而5G时代要求汇聚分流具备精确的数据匹配功能、丰富的报文预处理功能、超快的匹配速度等特点,这需要更高端的芯片技术来搭载工作原理升级改变的汇聚分流技术。
例如基于硬件搜索的TCAM处理器(Ternary Content Addressable Memory,同时三态内容寻址),基本操作为写操作(输入地址和数据,将数据写到指定的地址上,写入速度与RAM相同)、读操作(输入地址和数据,将数据写到指定的地址上,读取速度与RAM相同)及查找操作(输入待查数据,返回该数据被存储的地址,能够从巨大的数据库中进行快速查找,并且返回最佳的匹配地址,最快查找速度能达到每秒一亿次以上),同时能进行精确匹配查找,又能进行模糊匹配查找。网络流量处理器NP从报文头中把需要查找的信息提取出来,这个待查找的信息要整理成和TCAM所存表项的格式一致,称之为KEY;KEY作为TCAM的输入数据,经过与表项对照,如果有匹配的表项,就把该表项所在的地址作为输出,称之为Index;然后将Index作为RAM的地址输入,从RAM里得到所需查找的信息,称之为Data;最后将Data返回给发起查找操作的NP,至此完成一次查找操作。不同的TCAM硬件设计方式可以使汇聚分流技术满足不同数据流量处理的功能及性能需求。
目前,汇聚分流设备形态主要分盒式和框式(插卡式),盒式又分基本盒式和高级盒式,框式有ATCA架构和正交架构两种。设备形态的区分主要依据整机转发能力(理论上,整机转发能力业务板卡的背板带宽乘以业务槽位数得出),目前在市场上,基本盒式分流设备的整机转发能力一般大于3 Tbps,高级盒式分流设备的整机转发能力一般大于800 Gbps,框式分流设备的整机转发能力一般大于12.8 Tbps。
5G网络用户面数据下沉,当流量较小时(省市SGW的S1-U接口、省市信令流量、UPF接口等),采用盒式设备性价比更高,其中基本盒式通常用于流量采集、汇聚、复制,高级盒式用于汇聚后流量处理,实现核心网各种协议的识别、内层IP规则匹配等。对于框式设备,可以应用于5G用户面、数据中心等数据流量采集处理场景,实现超高流量过滤分流转发、超高密度移动网信令解析、超高性能DPI 处理等复杂应用需求。
基本盒式、高级盒式分流设备的主要区别是能否支持如特征码识别匹配、报文去重、报文头输出等复杂的高级功能。框式分流设备正交架构相较于ATCA架构具有更高的端口密度、背板带宽和灵活性,正成为分流设备发展的趋势。随着互联网线路从10 G大规模升级100 G,数据中心的出口带宽快速增长,出现单机房出口带宽超过8 Tbps的情况。传统ATCA架构分流设备处理能力遇到瓶颈,双双星架构分流设备处理能力只能达到4 T,已经无法满足大容量流量同源同宿的需求。而正交架构的分流设备系统由主控板、交换板、业务板(处理板)、后IO板、风扇和电源等组成(如图1所示),机框采用无背板设计,交换板和业务板卡前后对插设计,单板、单机箱接入能力升级,交换能力升级(如图2所示),整机最大容量可达12.8 T,更加适合5G网路下大数据流量的应用场景。
图1 正交架构设备组成
图2 ATCA、正交架构能力对比
汇聚分流设备通过不同接口子卡支持多种类型、多种数率的链路混合接入,实现流量汇聚、分流、提取过滤、复制等功能,如图3所示。
图3 分流器多业务数据采集应用
汇聚分流设备适用于各种大数据采集场景,可以部署在运营商骨干网出口、省网出口、城域网出口、IDC 出口、移动核心网出口等位置,为IDC/ISP信息安全管理系统、僵木蠕监测系统、不良信息检测系统、网络态势感知等系统提供前端的数据流量采集,如图4所示。
图4 分流器在统一DPI数据采集中的应用
汇聚分流设备支持包括IP骨干网、移动核心网的流量采集,支持GTP、GRE等隧道协议的识别、解析与关联输出,支持IPv4和IPv6等双栈与隧道,支持对多种隧道协议的隧道剥离与重封装,支持按照内层IP、GRE KEY等方式分流,如图5所示。
图5 分流器在移动核心网流量采集中的应用
汇聚分流设备支持多种速率、类型的链路串联接入,可以提供光保护板以确保串接链路永久有效,支持丢弃与主动拒绝式的流控方法,可以根据流控策略按用户精细控制,支持全流量转发至业务服务器的后端流控方式,如图6所示。
图6 分流器在串联链路中的应用
3Aradius、HTTP get等报文等包含用户帐号信息或IP地址,如果不加限制直接转发给第三方系统进行处理,存在信息安全风险或法律责任。若在技术上将此类信息屏蔽,既不影响业务实现,又可以保证数据安全。汇聚分流设备可以在数据包指定的固定偏移位置对数据进行加扰脱敏,加扰内容可以自定义,也可以指定为异或算法(内容可恢复),对于特定协议(例如Radius),可对指定域(例如用户帐号、密码)进行加扰脱敏,如图7所示。
图7 分流器在信息加密脱敏中的应用
由于5G网络仍处于建设阶段,现网需要利用高级功能去处理的数据流量相对较少,并且由于处理芯片的局限,目前汇聚分流技术的高级处理能力处在一定的局限水平,在设备端口无法实现高级功能流量的大比例处理。在数据流量的同源同宿处理问题上,同一厂商可以完成不同设备间的同源同宿,异厂商之间理论上可以实现,但在实际操作中存在是否配合的问题,例如异厂商间能否支持相同的散列策略,包括源地址/目的地址散列方式、散列目标链路的数量、负载分担选择算法等,这些导致异厂商间的汇聚分流设备至今无法实现同源同宿的问题。如何实现异厂家间的同源同宿仍然值得研究。