研究与开发
研究与开发
1引言
随着IP技术的不断完善,EverythingOverIP几乎已经
成为一种共识。人们对IP网络的要求从最初的只需承载一
些Web、E-mail等应用逐步转化为要求IP网络进行全业务
承载,包括承载一些语音、视频等实时性很强的应用。
业务承载种类的增多,使得IP网的流量模型日益复
杂,TCP/IP本身就是一个非面向连接的协议,其流量流向具
有高度的不确定性,从而给IP网络流量管理带来了巨大的
困难。随着国内宽带接入的发展,目前针对IP网络的计费
方式大多基于包月机制。P2P应用的高速发展,用户群体不
断扩大,使得城域网络的大部分带宽为P2P应用所挤占(据
不完全统计,城域网中P2P流量占比通常达60%左右),对
其他一些业务的网络质量造成了一定程度的冲击。
鉴于以上情况,针对IP网络进行流量的精确识别,对
各种不同的业务流量进行细分管理就成了迫在眉睫需要解
随着数据网络的发展,IP网络已经承担起多种业务承载网的角色。各类业务对网络的资源需求不
尽相同。因而,在IP网络的管理中需要对各类业务进行有效的识别,了解各类业务对网络资源的消
耗情况。本文分析了现有网络在管理上存在的不足,介绍了流量精确识别的技术,探讨了在网络中
的实现方式。
关键词DPI;DFI;城域网
IP网络流量的识别与管理
陈磊
(中国电信股份有限公司上海分公司上海200000)
摘要
参考文献
1YuY,EstrinD,GovindanR.Geographicalandenergy-aware
routing:aeecursivedatadisseminationprotocolforwirelesssensor
networks.UCLAComputerScienceDepartmentTechnicalReport,
May2001
2KarpB,KungHT.GPSR:greedyperimeterstatelessroutingfor
wirelesssensornetworks.In:Proceedingsofthe6thAnnualACM/
IEEEInternationalConferenceonMobileComputingand
Networking,Boston,MA,August2000
3南湘浩.CPK标识认证,北京:国防工业出版社,2006
4任远,丁有源.一种基于CPK技术的认证方案.信息安全与通
信保密,2007(8)
5IEEEStd1363-2000.IEEEstandardspecificationforpublic-key
cryptography,2000
6KangKD,LiuK,Abu-GhazalehN.Securinggeographicrouting
inwirelesssensornetworks.In:Proceedingsofthe2ndSymposium
onInformationAssurance(SIA)2006,June2006
(收稿日期:2009-09-01)
72
电信科学2009年第10A期
决的问题。只有对流量进行精确识别后,才能了解到网络运
行的真实情况;只有进行有效的流量控制后,才能合理化分
配有限的网络资源,保障各类业务的通信质量,使用户的网
络使用感受提升,使运营商能够摆脱“拥塞-扩容-再拥塞-
再扩容”的被动局面,让互联网用户和网络运营商达到双赢
的目的。
2业务识别的技术原理
IP网络已逐步成为一个全业务承载网络,网络流量的
构成情况比较复杂。从目前的情况来看,IP网络中的流量大
致可分为以下几类。
(1)传统网络应用流量
传统的网络应用主要基于HTTP、FTP、SMTP等协议的
基础应用,这些应用一般都是使用C/S模式。这类业务对于
网络资源的使用一般属于脉冲型,对网络资源的占用比较有
限。一般来说,这类业务对网络传送的质量不是非常敏感。
(2)视频、音频流量
视频、音频流量主要基于C/S模式,当前也有部分采用
P2P技术实现分发,视频流量相对于网络资源的需求较大,
对于网络传送的质量都比较敏感。
(3)P2P下载流量
目前,用户主要使用Bittorrent、Bitcomet、emule、迅雷等
P2P软件下载,这类应用对于网络的传输质量不是非常敏
感。这类应用一般挤占的网络资源较大,而且对网络资源通
常会长时间占用不释放,是当前引起运营网络拥塞的主要
原因。
(4)垃圾流量
主要是一些网络病毒、网络攻击、垃圾邮件等引发的网
络流量,对于网络资源有一定的占用,极端情况下会严重妨
碍网络的正常运行。
当前,在IP网络的管理方面,大多运营商已经利用
Xflow技术进行日常的流量监测和统计分析。Xflow技术对
于应用的识别能力较为有限,只是做一些简单的L2~L4层
信息的检测,即只基于IP报文中的源IP地址、目的IP地
址、源应用端口、目的应用端口、协议类型、TOS位等信息进
行流量的统计分析,对于应用的识别只能通过最简单的应
用端口匹配方式来实现,比如检测到应用端口使用的是
TCP的80端口,则认为这类应用就是HTTP应用,检测到
TCP25端口的则判定为SMTP应用。
Xflow技术在IP网络发展初期,对流量的识别基本可
以满足运营的需要。随着应用软件的发展变革,现在越来越
多的应用软件都支持通过自定义应用端口的方式实现通
信,比如P2P下载软件可以通过手动设置修改缺省端口,改
用TCP80端口进行P2P通信。这样就导致了利用Xflow技
术来监测网络时无法有效对各类流量实现准确的识别。
近几年,为了实现对网络流量的精细识别和控制,在技
术领域不断地在进行相关的研究工作,结合已有的一些技
术手段和分析能力,逐步衍生出了深度包检测(DPI)和动态
流检测(DFI)两种数据分析技术。
DPI除了具备一些常规的应用端口检测功能外,还增加
了应用层分析能力来精确识别各种应用。DFI技术则按照每
个数据流的行为特征,比照已经建立的行为识别模型,对各
类应用进行识别区分。
(1)DPI
DPI技术使用指纹模式匹配技术进行应用识别。各种应
用在通信时,一般都会使用一串具有明显特征的字符串或
bit序列进行协议标识。根据应用种类的不同,通过DPI技术
实现识别的难度也各有不同。
传统的应用都有标准协议作为规范,规定了主机交互
过程中的特定消息和状态迁移机制,在进行应用识别时只
需要针对标准制定特征字,通过在报文中查找这些固有的
特征字就可以准确地识别出相应的应用,比如在报文中查
找到“Port”、“227EnteringPas”的特征字,就可基本断定应
用为FTP应用。相对而言,针对这类应用的识别特征码比较
固定,识别的难度也相对较低。
一些新兴应用,需要进行报文的采样收集,整理出协议
的特征字段。比如,目前通过采样分析,发现通过查找
“0x29000000FF0000003C00000003000000”字符串来判断应
用是否为迅雷下载等。各种软件使用的特征值不同,随着软
件的升级优化,不排除特征字变化的情况发生,针对这类应
用的特征码变化需要长期不断的技术跟进。同时,此类应用
也越来越多地使用加密传输方式,给DPI识别技术带来新
的课题。
另外,有一部分应用(比如SIP、H.323等语音业务)的
业务控制信息和业务流量是相对分离的,它的业务流量是
没有任何特征可言的。对于这些应用,如果单从业务流分析
的话,是无法识别到底是哪一种应用。针对这些应用,DPI
需要使用应用层网关识别技术来实现业务区分。应用层网
关识别技术首先根据特征识别出业务控制信息,再根据控
制流的协议通过应用层网关进行解析,从完整的协议交互
73
研究与开发
中分析出相应的业务流。
(2)DFI
DFI技术的主要原理是针对IP报头内的五元组信息、
VLANID以及TOS/DSCP/EXP等标识出特定的数据流,然
后在一定的时间段内统计流量的平均速率、流持续时间、字
节数量、平均包长大小等流量行为特征,将统计指标与预先
设置的业务流行为特征比对来判定具体的业务种类。比如
P2P下载的流量具有平均包长大小在500字节左右、流持
续时间长、传输速率高等特点,Skype的流量具有包大小在
130~180bit,传输速率10~84kbit/s,持续时间一般在30s
以上,语音流采用UDP报文等特性。通过匹配这些流量的
行为特征,可以对流量进行较好的识别区分。
从两种技术的基本原理看,DPI和DFI都具有各自的
优缺点。DPI主要依靠报文中的特征字、协议指纹以及报文
之间的逻辑关系进行识别,一旦掌握了业务流的特征字就
可以精确定位每一种应用,识别的精确度高,误判率极低。
但是,一旦协议进行加密之后,通过DPI方式对应用进行识
别较难。DFI主要基于统计意义上的流特征信息进行应用
识别,只能分析应用的大类而不能对具体的应用进行识别
(如可识别出P2P下载,但不能区分具体是bitcomet还是迅
雷),同时由于采用统计特性进行应用归类,对于流特征相
近的应用比较容易发生误判;但是因DFI技术不会受特征
字变化、协议加密的影响,因而可以利用DFI技术针对某些
应用大类中的新软件、新版本和一些实施加密传输的应用
实现识别。此外,诸如SPAM(垃圾邮件)的流量单纯通过特
征字方式检测的话就很难与普通的E-mail流量区分出来,
在这时就需要通过DFI技术来加以应用区分。
总的来说,DPI在应用细分、识别精度和扩展功能挖掘
上具有优势,DFI在对新的应用和加密协议识别上优势比
较明显。DPI技术和DFI技术分别适用于不同的场合、不同
的环境,两者无法相互取代。在实际使用中,只有将DPI技
术和DFI技术综合在一起实施,才能更为有效地进行业务
流量的识别。
3业务控制
考虑到DPI和DFI技术各自的优缺点,目前国内外
主要的流量识别控制设备制造商都已经或者计划在自身
的设备中同时支持这两种识别技术,以达到对应用全面
而精细的识别。在应用控制的功能方面,各设备之间的处
理机制存在一定的差异,总体来说可以分为流控模式和
干扰模式。
(1)流控模式
在流控模式情况下,流量都必须流量识别控制设备进
行处理,对于流量能通过多样化的控制手段实现管理控制,
如可以设置允许、拒绝、限速、最大/最小带宽保障、动态带
宽保障、连接数限制、优先级改写等多种流量控制策略、优
先保障对网络质量敏感的业务的通信质量。同时,针对网络
中暂时不能识别的流量,可以统一实施带宽限制或降低优
先级,优化网络资源使用。
所有流量都需经过流量识别控制设备处理,这种模式下
的流量识别控制设备一般以透明桥接方式串接连入网络链
路中。从网络运营的安全性出发,为了保障通信线路的安全
可靠,一般在实施这样的部署时都采用光旁路机制,即在网
络链路中串接入光旁路设备,正常情况下,路由器之间的流
量都经过光旁路设备后导入流量识别控制设备,在流量识别
控制设备进行业务识别并跟进设定的策略对各类业务流量
分别实施相应的流量控制策略后,再送往下一跳路由器。当
流量识别控制设备发生故障时,光旁路设备进行快速自动切
换,使得网络流量不通过流量识别控制设备,而是直接转发
给下一跳路由器,确保业务流不受影响。具体如图1所示。
需要指出的是,在这种模式中设备在逻辑拓扑中以串
接方式接入网络,为了保证在部署完成后,不引入较高的网
络时延,不影响网络的正常使用,对设备的数据转发、策略
实施等处理性能要求比较高。
(2)干扰模式
干扰模式下,流量识别控制设备对于业务流控制通过
专用的控制链路发送干扰包,以达到降低用户连接session
数、影响应用通信等目的。
此模式一般通过在通信链路中接入无源光分路器,
将网络流量复制到流量识别控制设备,由流量识别控制
设备进行流量识别分析后,按设定的策略通过控制链路
发送控制信息到下游路由器,达到业务控制的目的。如
图2所示。
74
电信科学2009年第10A期
在这种部署方式下,因为流量识别控制设备为旁路状
态,因而不会影响原有网络的性能,流量识别控制设备的故
障也不会引起通信链路的中断。
在并接模式中,对于业务流的控制基本上以阻断和干
扰为主(如针对TCP连接发送RST包以达到阻断目的),控
制方式主要是阻断每个session连接,而不是直接控制流量
本身,因而无法做到极精细的带宽控制。在此模式下,进行
控制时,需要经过阻断session连接、反馈测试、控制调整
等一系列的闭环反馈控制环节才能实现,因而在控制效果
的实时性表现方面也有所欠缺。此外,这种模式比较大的
缺陷是限于其控制机理,对于无法识别的流量就无法进行
管理控制。
对比流控模式和干扰模式,主要区别在于干扰方式对
网络的影响较小,不影响网络运行质量,不引入单点故障。
流控模式对流量精确控制的能力方面较好,控制的效果方
面比较明显。
4应用部署
从国内的网络情况看,骨干层网络的上联、互联基本使
用OC192POS链路,接入设备上联基本使用GE端口。
如果要达到对于整个网络业务流量的精确控制的话,
则在接入设备上联侧部署流量识别控制设备最为合适。但
是接入设备相对来说一般都比较多,实现全覆盖势必需要
大量的投资费用,对运营商的前期投入压力过大。为了兼顾
实施效果和投资压力,可以在骨干层和局部地点的接入上
联同时实施流量识别控制,达到点面结合控制的目的。
考虑到骨干层面链路较为重要,如果发生故障的话,影
响的用户面很广,容易引发大量投诉,在骨干层面部署时可
以考虑采用对网络影响较小的干扰模式,以业务识别为主,
业务管控为辅。在OC192链路上通过分光器将流量镜像至
流量识别控制设备,考虑到目前流量识别控制设备的处理
能力问题,可以在分光器和流量识别控制设备之间加入流
量分离器,将10Gbit/s的流量分割成多个GE链路,由多台
流量识别控制设备分别进行业务识别,并进行统一的分析
和流量管控。
在接入上联侧部署时可以使用流控控制模式的设备,
串接在上联链路中,以达到对于网络流量的精细控制。需要
注意的是,虽然在部署中使用了光旁路设备,但是如果光旁
路设备和流量识别控制设备之间发生单链路阻断,光旁路
设备无法监测到这类故障从而没有进行及时切换时,就会
引起网络流量的中断。为了保障网络的安全,需要在网络设
计时充分考虑网络拓扑的冗余性,避免单点故障引发的重
大事故。
在实施完以上的部署后,运营网络内就基本具备了针
对业务的分析管理能力。
通过骨干层面部署的系统可以针对整体网络中的各类
流量进行统计分析,了解各类应用的模式特征,对网络带宽
的使用进行更为合理化的规划。同时,可以粗颗粒地针对一
些特定的应用实施不同的策略管理,实现骨干网络流量的
优化和网络的安全控制。
·对于P2P下载,以疏堵结合为原则,在骨干层通过策
略管控,降低P2P流量对于网络出口等重要链路的
带宽冲击,同时结合P2Pcache技术,将主要的P2P
流量控制在网络内部,缓解电信运营商日益激增的
网络扩容压力。
·对于网络垃圾流量,则应该实施严格的管控措施,一
经发现网络攻击、网络病毒等流量,则立即对其流量
实现过滤,阻隔掉有害的网络流量。
在接入层面,除了实施一部分网络安全过滤、流量管控功
能外,还可以利用系统基于Per_User分析控制的能力,可以为
用户量身定制特定的控制管理策略,或者通过用户自服务方式
由用户自行调整其控制策略,满足用户个性化的需求。
5结束语
通过部署流量识别控制设备,可以实施更好的流量管
控和安全管理,降低了运营商的CAPEX。随着网络应用的
发展,对于流量识别控制技术本身的要求也会越来越高。
随着需求的扩大化,将来的流量识别技术将逐步向网
络设备内嵌功能迁移,以减少网络的物理层次和部署代价。
同时,在未来的网络架构中,流量识别控制设备将和策略管
理系统结合起来,实现对于用户和业务的统一控制,实现对
于业务流量的精细识别、业务控制和QoS保障,作为电信服
务的一个基础运营平台。
(收稿日期:2009-09-01)
75
|
|
