流量分析和控制技術(shù)的研究與系統(tǒng)建設

楊合林

中國移動通信集團設計院有限公司山東分公司，山東濟寧 250001

1 背景

現(xiàn)階段，中國移動互聯(lián)網(wǎng)建設初具規(guī)模，為移動互聯(lián)網(wǎng)的大力發(fā)展提供了保障，但隨著用戶規(guī)模的增加，中國移動互聯(lián)網(wǎng)面臨著一系列問題，亟待解決。

1）P2P應用由于端口是可變的，很難察覺和管理，對網(wǎng)絡帶寬消耗極大，運營商 “增量不增收”，有淪為“管道”的風險；2）以Skype 為代表的P2P語音應用給運營商帶來長途話費收入大量流失的嚴重后果，固網(wǎng)運營商長話業(yè)務的流失額增長迅速；3）大量的電影、軟件下載，網(wǎng)絡資源消耗極大，附加在這些文件里的網(wǎng)絡病毒也在大量增長，由于病毒泛濫，客戶網(wǎng)絡容易遭受攻擊而中斷。

面對各種威脅，中國移動亟需對互聯(lián)網(wǎng)用戶流量進行精確的管理和控制，構(gòu)建智能管道，為用戶提供優(yōu)質(zhì)的寬帶服務。

2 流量分析和控制技術(shù)研究

2.1 流量識別技術(shù)

2.1.1 DPI技術(shù)

DPI技術(shù)在分析包頭的基礎上，增加了對應用層的分析，是一種基于應用層的流量檢測和控制技術(shù)，可劃分為以下三類：

1）特征字識別技術(shù)：不同的應用會采用不同的協(xié)議，各種協(xié)議有其特殊的指紋。特征字識別技術(shù)，正是通過識別數(shù)據(jù)報文中的指紋信息來確定業(yè)務所承載的應用；2）應用層網(wǎng)關識別技術(shù)：若業(yè)務的控制流和業(yè)務流分離，其業(yè)務流沒有任何特征，可通過應用層網(wǎng)關識別出控制流，根據(jù)控制流協(xié)議選擇特定的應用層網(wǎng)關對業(yè)務流進行解析，從而識別出相應的業(yè)務流；3）行為模式識別技術(shù)：對終端的各種行為進行研究，并在此基礎上建立行為識別模型，基于行為識別模型，判斷客戶正在進行的動作或者即將實施的動作。

DPI采用逐包分析、匹配技術(shù)，可以對流量中的具體應用類型和協(xié)議做到比較準確的識別，但處理速度相對DFI慢；數(shù)據(jù)包若經(jīng)過加密，DPI不能識別具體應用。

2.1.2 DFI技術(shù)

DFI是一種基于流量行為的應用識別技術(shù)，基于流量的行為特征，建立流量特征模型，通過分析會話流量的相關信息來與流量模型對比，從而實現(xiàn)鑒別應用類型。

DFI技術(shù)將流量特征與后臺流量模型進行直接比較，處理速度快；不受協(xié)議加密傳輸影響；由于同一類型的新應用與舊應用的流量特征變化不大，DFI系統(tǒng)不需要頻繁升級流量行為模型； 但DFI只能對應用類型進行籠統(tǒng)分類。

2.2 流量控制技術(shù)

流量控制技術(shù)分成兩大流派，一是利用協(xié)議本身的一些機制，實現(xiàn)流量控制；一是采取緩沖、隊列控制的辦法，強制性的實現(xiàn)流量控制。

2.2.1 基于協(xié)議的流量控制技術(shù)

1）TCP降速： TCP協(xié)議采用滑動窗口技術(shù)來實現(xiàn)端到端的流量控制，可通過偽造并發(fā)送特殊sequence報文來減小TCP的滑動窗口值，對連接的兩端進行流量控制；2）TCP截斷：通過偽造并發(fā)送TCP RST/FIN報文來截斷TCP連接；3）UDP降速：UDP協(xié)議具有非面向連接的單包特性，無法從4層對數(shù)據(jù)流進行干擾，只能通過7層的協(xié)議信令進行干擾，達到流量控制的目的；4）UDP截斷：通過偽造并發(fā)送應用層特殊控制命令方式來截斷UDP連接，該控制方法缺點是隨著協(xié)議的升級，控制代碼也需要頻繁地升級，實現(xiàn)起來較麻煩。

2.2.2 基于隊列的流量控制技術(shù)

基于隊列的流量控制技術(shù)，將入端口數(shù)據(jù)進行排隊，賦予每個隊列一定的調(diào)度優(yōu)先級。隊列調(diào)度算法目前應用最為廣泛的是令牌桶算法和預測丟棄算法RED。

1）令牌桶算法綜合考慮了報文長度、優(yōu)先級，還增加了隊列環(huán)回機制，算法完善，但實現(xiàn)較為復雜，占用大量的CPU和緩存資源，適合輕載網(wǎng)絡環(huán)境；2）RED算法，在沒有可用網(wǎng)絡資源發(fā)送數(shù)據(jù)時，將低優(yōu)先級的隊列中的報文簡單丟棄，導致報文重傳，造成網(wǎng)絡資源浪費。該算法簡單，適合在高速網(wǎng)絡中實現(xiàn)，實際中應結(jié)合延緩報文發(fā)送而不是直接丟棄的方法，抑制報文重傳。

2.3 流量分析和控制系統(tǒng)的組網(wǎng)技術(shù)

流量分析和控制的組網(wǎng)技術(shù)包括直路和旁路兩種方式，二者在控制效果、系統(tǒng)性能以及對網(wǎng)絡影響各不相同。

1）直路方式：是指在業(yè)務鏈路上直接部署流量分析和控制設備的方式，控制直接、方便，但存在單點故障和擴展性問題，需要隨著應用和業(yè)務的更新而不斷更新檢測庫，還需要隨著新業(yè)務的出現(xiàn)而不斷擴充業(yè)務功能；2）旁路方式：是指通過端口鏡像或分光的方式獲得流量的完整拷貝，然后進行復雜的分析，不會對現(xiàn)有網(wǎng)絡拓撲造成影響，但控制能力受到較大影響。

3 中國移動流量分析和控制系統(tǒng)建設思路

根據(jù)上文分析，中國移動流量分析和控制系統(tǒng)的建設步驟建議如下。

3.1 近期建設思路

近期，考慮中國移動網(wǎng)內(nèi)資源有限，用戶訪問流量絕大多數(shù)為出網(wǎng)流量，建議遵循“重分析，輕控制”的原則，在省網(wǎng)出口/IDC出口鏈路，集中部署流量分析和控制系統(tǒng)，完成全省用戶出省訪問業(yè)務的分析和控制功能，發(fā)現(xiàn)并抑制當前比較嚴重的業(yè)務濫用，積極引導轉(zhuǎn)化用戶行為，降低網(wǎng)間流量結(jié)算費用，提高用戶使用感受。

圖1 中國移動流量分析和控制系統(tǒng)建設步驟總結(jié)

系統(tǒng)分為流控后臺系統(tǒng)和流控前端系統(tǒng)兩部分。后臺系統(tǒng)在省中心集中建設，負責配置、故障、性能、告警、統(tǒng)計等功能，并與Radius系統(tǒng)接口，實現(xiàn)“用戶-IP”的一一對應，通過賬戶對用戶進行分析和控制；前端系統(tǒng)主要完成數(shù)據(jù)采集、策略執(zhí)行的功能。

為避免對現(xiàn)有網(wǎng)絡拓撲造成影響，建議采用旁路部署方式；流量識別技術(shù)采用DPI，保證識別精度；建議采用基于協(xié)議的流量控制技術(shù)實現(xiàn)對非法業(yè)務濫用的控制。

3.2 中期建設思路

隨著中國移動IDC和各地市托管機房互聯(lián)網(wǎng)內(nèi)容資源的逐步引入，用戶初具規(guī)模，網(wǎng)內(nèi)地市間互訪量增加，地市出口帶寬壓力增大，繼續(xù)遵循“重分析，輕控制”的原則，建議在各地市城域數(shù)據(jù)網(wǎng)出口鏈路部署流量分析和控制系統(tǒng)，采用在省網(wǎng)匯接路由器側(cè)集中建設的方式，在地市側(cè)新增客戶端，實現(xiàn)對本地市城域數(shù)據(jù)網(wǎng)出口流量的分析和一定程度的控制功能。

該時期，城域核心層的出口業(yè)務流量大，建議采用旁路部署方式；流量識別技術(shù)采用DPI；配合采用基于協(xié)議的流量控制技術(shù)實現(xiàn)對非法業(yè)務濫用的控制。

3.3 遠期建設思路

遠期，中國移動在網(wǎng)內(nèi)資源和用戶規(guī)模方面，與其他運營商相當，地市內(nèi)部訪問量形成規(guī)模，需要在各地市城域數(shù)據(jù)網(wǎng)內(nèi)部建設流量分析和控制系統(tǒng)，建設策略由“重分析，輕控制”轉(zhuǎn)變?yōu)椤胺治龊涂刂撇⒅亍薄?/p>

城域數(shù)據(jù)網(wǎng)內(nèi)的鏈路以GE為主，建議采用直路部署方式；流量識別技術(shù)采用DPI；配合采用基于隊列的流量控制技術(shù)實現(xiàn)對全部用戶的流量控制。

流控系統(tǒng)的前端服務器采用分布式部署的方式，覆蓋SR、BRAS等業(yè)務接入控制層路由器的上行鏈路，并根據(jù)需求，覆蓋業(yè)務量大的匯聚交換機上行鏈路。

流控系統(tǒng)的后臺系統(tǒng)仍采用集中建設的方式，部署在省中心，增強用戶管理系統(tǒng)的功能，新增與BOSS系統(tǒng)的接口，實現(xiàn)“用戶-IP-服務”的對應關系，實現(xiàn)對用戶基于應用的分級服務能力。

4 結(jié)論

流量分析和控制技術(shù)的應用，是解決目前互聯(lián)網(wǎng)面臨諸多問題的關鍵，中國移動應高起點、分步驟的建設流量分析和控制系統(tǒng)，擺脫傳統(tǒng)管道的角色，實現(xiàn)對用戶、應用的完全可視、可控、可管，構(gòu)建智能管道，為互聯(lián)網(wǎng)健康、可持續(xù)發(fā)展保駕護航。

[1]SIG業(yè)務監(jiān)控網(wǎng)關系列課程.

[2]Allot電信運營商增值建議方案.

[3]IP網(wǎng)監(jiān)控系統(tǒng)調(diào)研與建議.