胡 俊 程 瑾

摘要:以P2P為代表的網(wǎng)絡(luò)應(yīng)用已經(jīng)給當(dāng)前校園網(wǎng)絡(luò)出口帶寬帶來了前所未有的擁塞和安全問題,而這些問題產(chǎn)生的內(nèi)在原因在于當(dāng)前的網(wǎng)絡(luò)流量管理缺乏應(yīng)用識別控制能力。因此,有必要在網(wǎng)絡(luò)流量管理中引入流量應(yīng)用識別控制技術(shù)。本文介紹了兩種網(wǎng)絡(luò)流量應(yīng)用識別技術(shù)DPI和DFI,并對兩者進行了比較;然后對網(wǎng)絡(luò)流量管理控制技術(shù)在校園網(wǎng)中進行了實施和初步的研究;最后提出了在實際應(yīng)用中需要思考的問題。

關(guān)鍵詞:網(wǎng)絡(luò)流量識別 網(wǎng)絡(luò)流量管理 網(wǎng)絡(luò)流量控制 深度報文檢測 深度流行為檢測

中圖分類號:TP393.06 文獻標(biāo)識碼:B 文章編號:1673-8454(2009)21-0028-03

一、前言

隨著互聯(lián)網(wǎng)的迅猛發(fā)展,寬帶網(wǎng)絡(luò)用戶急劇增加;新型網(wǎng)絡(luò)應(yīng)用大量出現(xiàn)。上述情況導(dǎo)致網(wǎng)絡(luò)流量呈幾何數(shù)增長。從網(wǎng)絡(luò)應(yīng)用的特點來看,除了傳統(tǒng)的網(wǎng)頁瀏覽、收發(fā)電子郵件等數(shù)據(jù)應(yīng)用之外,出現(xiàn)了網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲等對網(wǎng)絡(luò)實時性有較高要求的應(yīng)用,出現(xiàn)了P2P(Peer to Peer)下載等對網(wǎng)絡(luò)帶寬搶占能力極強的應(yīng)用。除此之外,網(wǎng)絡(luò)里面還充斥了大量的病毒等垃圾流量。對于校園網(wǎng)用戶而言,網(wǎng)絡(luò)帶寬資源是有限的。如果不能很好地管理、控制好網(wǎng)絡(luò)流量,一方面將導(dǎo)致P2P等應(yīng)用流量和網(wǎng)絡(luò)攻擊病毒等垃圾流量大量搶占有限的網(wǎng)絡(luò)出口帶寬,從而無法保證網(wǎng)絡(luò)用戶關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量,另一方面,帶寬的無謂消耗,將大大增加網(wǎng)絡(luò)費用的支出。

因此通過適當(dāng)?shù)木W(wǎng)絡(luò)流量管理控制技術(shù),針對不同業(yè)務(wù)制定和實施相應(yīng)策略是解決帶寬增長與業(yè)務(wù)收益、網(wǎng)絡(luò)擴容與用戶體驗之間矛盾的關(guān)鍵所在。

二、校園網(wǎng)出口流量分析

我校校園網(wǎng)未做任何網(wǎng)絡(luò)流量管理控制的出口帶寬狀況,如圖1所示。

根據(jù)對我校校園網(wǎng)出口流量的詳細分析,目前網(wǎng)絡(luò)出口流量具有如下特點:

1.P2P應(yīng)用占據(jù)大量帶寬

P2P技術(shù)是計算機網(wǎng)絡(luò)的一次重大突破,它打破了C/S的流量模型,采用“無集中服務(wù)器”的模式,消除了服務(wù)器的瓶頸問題。因此,當(dāng)P2P軟件出現(xiàn),文件下載、流媒體、VoIP 語音等應(yīng)用受到網(wǎng)絡(luò)用戶的追捧和青睞。由于P2P技術(shù)的特點,P2P應(yīng)用對網(wǎng)絡(luò)帶寬具有極強的搶占能力。P2P技術(shù)在互聯(lián)網(wǎng)上的應(yīng)用超過了Web而成為在流量上占據(jù)統(tǒng)治地位的新型應(yīng)用。根據(jù)圖1的統(tǒng)計分析,我們可以看出,目前網(wǎng)絡(luò)流量的60%以上都是P2P的應(yīng)用。主要的P2P應(yīng)用包括:Thunder(迅雷)、BitTorrent(BT)、eDonkey(電驢)等。

2.關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量無法保證

Web瀏覽是校園網(wǎng)用戶的關(guān)鍵業(yè)務(wù)之一,Web瀏覽已經(jīng)成為網(wǎng)絡(luò)用戶獲取外部信息和進行科研工作的重要手段和內(nèi)容。由于P2P應(yīng)用對帶寬的搶占,導(dǎo)致Web瀏覽速度大幅下降,進而引起用戶強烈不滿。另外網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻、流媒體等業(yè)務(wù)對網(wǎng)絡(luò)質(zhì)量要求較高。傳輸過程中任何一個環(huán)節(jié)出現(xiàn)瓶頸,都會影響應(yīng)用的服務(wù)質(zhì)量。例如,網(wǎng)絡(luò)帶寬不足將導(dǎo)致網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻等應(yīng)用出現(xiàn)信號時斷時續(xù)的現(xiàn)象,讓用戶無法忍受。

3.網(wǎng)絡(luò)安全受到威脅

在過去的一年中,針對網(wǎng)絡(luò)安全的攻擊數(shù)量是前一年的兩倍還多。黑客攻擊手段越來越復(fù)雜,破壞程度越來越大。同時,加入黑客組織的門檻卻越來越低,因為黑客工具越來越先進,操作越來越簡單。隨著黑客與病毒技術(shù)的發(fā)展,加上計算機性能的大幅度提升,攻擊變得越來越難以控制。病毒等帶來的垃圾流量導(dǎo)致了網(wǎng)絡(luò)帶寬的浪費同時也給網(wǎng)絡(luò)管理員帶來前所未有的挑戰(zhàn)。

三、網(wǎng)絡(luò)流量應(yīng)用識別技術(shù)

為了對校園網(wǎng)絡(luò)出口流量進行管理控制,首先必須能夠識別網(wǎng)絡(luò)流量的應(yīng)用類型。一般情況下,我們可以通過IP包頭中的“五元組”信息來確定當(dāng)前流量的基本信息,如源地址、目標(biāo)地址、協(xié)議類型、源端口號、目標(biāo)端口號。在傳統(tǒng)的網(wǎng)絡(luò)中,IP路由器也正是通過這一系列信息來實現(xiàn)一定程度的流量識別和QoS。但隨著網(wǎng)上應(yīng)用類型的不斷豐富,僅通過第四層端口信息已經(jīng)不能真正判斷流量中的應(yīng)用類型,基于開放端口、隨機端口甚至采用加密方式進行傳輸?shù)膽?yīng)用類型在目前的網(wǎng)絡(luò)中比比皆是。在這種情況下,傳統(tǒng)的流量識別和QoS控制技術(shù)顯得捉襟見肘。通過加大對網(wǎng)絡(luò)流量的監(jiān)控力度,可以在一定程度上比較準(zhǔn)確地識別流量中的應(yīng)用類型。目前這一領(lǐng)域主要有深度報文檢測(Deep Packet Inspection,DPI)和深度流行為檢測(Deep Flow Inspection,DFI)兩大技術(shù)體系。

1.深度報文檢測(Deep Packet Inspection,DPI)

DPI是深度報文檢測(Deep Packet Inspection)的簡稱,是一種典型的應(yīng)用識別技術(shù)。DPI技術(shù)之所以稱為“深度” 的檢測技術(shù),是相對于傳統(tǒng)的檢測技術(shù)而言的。傳統(tǒng)的流量檢測技術(shù)僅獲取那些寄存在數(shù)據(jù)包網(wǎng)絡(luò)層和傳輸層協(xié)議頭中的基本信息,通過這些參數(shù)很難獲得足夠多的業(yè)務(wù)應(yīng)用信息。對于當(dāng)前P2P應(yīng)用、VoIP應(yīng)用、IPTV應(yīng)用被廣泛開展的情況,傳統(tǒng)的流量檢測技術(shù)已經(jīng)不能滿足網(wǎng)絡(luò)流量管理的需要了。

DPI技術(shù)對傳統(tǒng)的流量檢測技術(shù)進行了“ 深度”擴展,在獲取數(shù)據(jù)包基本信息的同時,對多個相關(guān)數(shù)據(jù)包的應(yīng)用層協(xié)議頭和協(xié)議負(fù)荷進行掃描,獲取寄存在應(yīng)用層中的特征信息,對網(wǎng)絡(luò)流量進行精細的檢查、監(jiān)控和分析。

DPI技術(shù)通常采用如下的數(shù)據(jù)包分析方法:

(1)傳輸層端口分析。許多應(yīng)用使用默認(rèn)的傳輸層端口號,例如HTTP協(xié)議使用80端口。

(2)特征字段匹配分析。一些應(yīng)用在應(yīng)用層協(xié)議頭,或者應(yīng)用層負(fù)荷中的特定位置中包含特征字段,通過特征字段的識別實現(xiàn)數(shù)據(jù)包檢查、監(jiān)控和分析。

(3)通信交互過程分析。對多個會話的事務(wù)交互過程進行監(jiān)控分析,包括包長度、發(fā)送的包數(shù)目等,實現(xiàn)對網(wǎng)絡(luò)業(yè)務(wù)的檢查、監(jiān)控和分析。

2.深度流行為檢測

DFI是深度流行為檢測(Deep Flow Inspection)的簡稱,也是一種典型應(yīng)用識別技術(shù)。DFI技術(shù)是相對于DPI技術(shù)提出的,為了解決DPI 技術(shù)的執(zhí)行效率、加密流量識別和頻繁升級等問題而出現(xiàn)的。DFI 更關(guān)注于網(wǎng)絡(luò)流量特征的通用性,因此,DFI技術(shù)并不對網(wǎng)絡(luò)流量進行深度的報文檢測,而僅通過對網(wǎng)絡(luò)流量的狀態(tài)、網(wǎng)絡(luò)層和傳輸層信息、業(yè)務(wù)流持續(xù)時間、平均流速率、字節(jié)長度分布等參數(shù)的統(tǒng)計分析,來獲取應(yīng)用類型、應(yīng)用狀態(tài)。

3.兩種識別技術(shù)的比較

兩種技術(shù)的設(shè)計基本目標(biāo)都是為了實現(xiàn)應(yīng)用識別,但兩者在實現(xiàn)原理和技術(shù)細節(jié)方面都存在較大區(qū)別,下面我們從技術(shù)原理、技術(shù)成熟度、識別準(zhǔn)確度、識別精細程度、加密流量識別、系統(tǒng)處理能力等方面對兩種技術(shù)進行比較,比較結(jié)果如表1所示。

從表1中我們可以看出,兩種技術(shù)互有優(yōu)勢,也互有缺陷,DPI技術(shù)適用于需要精細和準(zhǔn)確識別、精細管理的環(huán)境,而DFI技術(shù)適用于需要高效識別,粗放管理的應(yīng)用環(huán)境。

四、網(wǎng)絡(luò)流量管理控制技術(shù)及其在校園網(wǎng)的應(yīng)用

通過網(wǎng)絡(luò)流量應(yīng)用識別技術(shù)區(qū)分出網(wǎng)絡(luò)流量里面各種不同的應(yīng)用類型,進而可以采用QoS控制方法。根據(jù)應(yīng)用類型按策略轉(zhuǎn)發(fā),為其提供不同的服務(wù)質(zhì)量。流量控制技術(shù)可以分成兩個大的流派:一種是結(jié)合協(xié)議本身的設(shè)計機制,巧妙利用協(xié)議本身提供的一些機制,實現(xiàn)流量控制;一種是采取緩沖、隊列控制的辦法,強制性的實現(xiàn)流量控制。對于TCP/IP協(xié)議來說,TCP是面向連接的協(xié)議,提供了很多反饋控制的機制,能夠端到端的控制業(yè)務(wù)的速率。而UDP只是一種盡力而為的協(xié)議,沒有端到端的反饋控制能力,因此,結(jié)合協(xié)議進行流量控制將局限于TCP。對于UDP只能采取緩沖隊列控制進行流量控制。

目前市場上主流的控制技術(shù)有三種:第一,以Packeteer為代表的基于TCP窗口整形的流控技術(shù);第二,以Allot和Cisco為代表的基于隊列的流控技術(shù);第三,以華為和GreenNet為代表的基于干擾的流控技術(shù)。這些技術(shù)和產(chǎn)品各有優(yōu)缺點,但都可以實現(xiàn)對應(yīng)用流量的最大、最小帶寬保障或阻斷等控制效果。

根據(jù)前面我們對校園網(wǎng)絡(luò)出口流量的分析,我們針對不同的應(yīng)用對網(wǎng)絡(luò)流量進行了分類,然后制定和執(zhí)行相應(yīng)的策略。因為策略是根據(jù)實際情況而制定的,因此也要根據(jù)不同需求進行調(diào)整。根據(jù)我們的經(jīng)驗,我們對策略的制定建議如下:

(1)對P2P應(yīng)用流量進行分時段限制。我們知道P2P應(yīng)用是網(wǎng)絡(luò)帶寬的“暴力殺手”,因此,我們必須對P2P應(yīng)用流量進行限制。在網(wǎng)絡(luò)應(yīng)用高峰期間,應(yīng)使P2P應(yīng)用流量占用帶寬不超過總帶寬的30%,在網(wǎng)絡(luò)空閑時間則放開對P2P應(yīng)用的限制。

(2)保障Web瀏覽(HTTP)等關(guān)鍵應(yīng)用帶寬。Web瀏覽是校園網(wǎng)絡(luò)用戶的關(guān)鍵業(yè)務(wù)之一,也是網(wǎng)絡(luò)用戶網(wǎng)速體驗最直接的應(yīng)用。我們建議為其保障40%的出口帶寬,以保證用戶Web瀏覽的效果。

(3)過濾病毒和網(wǎng)絡(luò)攻擊流量。網(wǎng)絡(luò)攻擊、病毒等帶來的垃圾流量不僅危害我們的網(wǎng)絡(luò)安全,也浪費了我們寶貴的網(wǎng)絡(luò)帶寬。根據(jù)病毒和網(wǎng)絡(luò)攻擊流量的應(yīng)用特征,過濾掉病毒和網(wǎng)絡(luò)攻擊造成的垃圾流量。

我校校園網(wǎng)絡(luò)在網(wǎng)絡(luò)流量管理控制技術(shù)應(yīng)用后的出口帶寬的現(xiàn)狀,如圖2所示。

從圖2中我們可以看出,通過執(zhí)行以上流量管理策略,各類應(yīng)用都能夠得到較為合理的帶寬和保證,出口帶寬資源得到了高效利用。在網(wǎng)絡(luò)不是很繁忙的時段,放開P2P應(yīng)用;同時Web瀏覽等關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬也都得到專門保證。在網(wǎng)絡(luò)繁忙時段,則把P2P應(yīng)用限制在一定范圍之內(nèi),優(yōu)先保證關(guān)鍵應(yīng)用的帶寬。另外,過濾了病毒和網(wǎng)絡(luò)攻擊流量,既節(jié)約了帶寬又提高了網(wǎng)絡(luò)安全性。

五、小結(jié)和思考

流量管理控制技術(shù)目前的使用領(lǐng)域主要在于優(yōu)化帶寬使用,解決帶寬不合理占用,網(wǎng)絡(luò)擁塞、安全隱患等問題,以保障關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量和提高用戶上網(wǎng)體驗。將來,流量管理控制技術(shù)將滲透到網(wǎng)絡(luò)的每一個環(huán)節(jié),使未來網(wǎng)絡(luò)成為一個可以快速、高效、準(zhǔn)確識別網(wǎng)絡(luò)中業(yè)務(wù)流、提供區(qū)分服務(wù)的智能網(wǎng)絡(luò)。

在實際應(yīng)用中,技術(shù)發(fā)展、用戶滿意度和法律法規(guī)等諸多因素都會影響流量管理控制技術(shù)在校園網(wǎng)的應(yīng)用。因此,對一些問題必須認(rèn)真思考。

1.技術(shù)缺陷。技術(shù)從來都不是完美的,都有自身較為適用的環(huán)境,都需要不斷地發(fā)展完善。比如對未知P2P、加密P2P業(yè)務(wù)、隱藏在Web流量中的迅雷、私有業(yè)務(wù)的智能識別的研究目前都是流量管理控制技術(shù)的熱點研究領(lǐng)域。因此,在實際使用中選擇何種應(yīng)用識別技術(shù),以及如何保證緊跟應(yīng)用技術(shù)發(fā)展的步伐,是每個網(wǎng)絡(luò)管理員必須面對的問題。流量管理控制技術(shù)的應(yīng)用勢必會對網(wǎng)絡(luò)造成一定的沖擊,那么如何更好地保證網(wǎng)絡(luò)的穩(wěn)定性和業(yè)務(wù)的連續(xù)性也是網(wǎng)絡(luò)管理員必須考慮的問題。

2.用戶滿意度。流量管理控制技術(shù)的應(yīng)用必將影響到用戶對網(wǎng)絡(luò)資源的使用,高優(yōu)先級的用戶能夠得到較好的網(wǎng)絡(luò)應(yīng)用服務(wù)質(zhì)量保障,而對于普通用戶,網(wǎng)絡(luò)應(yīng)用流量的管理勢必影響到用戶隨意使用網(wǎng)絡(luò)資源的行為,這將會使得大多數(shù)普通用戶對校園網(wǎng)認(rèn)可度、滿意度下降,投訴率上升等負(fù)面影響。因此,在具體應(yīng)用中,需要認(rèn)真考慮實施策略、實施粒度等問題,及時把握用戶網(wǎng)絡(luò)使用感受。

3.政策風(fēng)險。由于流量管理控制技術(shù)需要對網(wǎng)絡(luò)中的數(shù)據(jù)流量進行深度的報文解析和數(shù)據(jù)挖掘,可能會涉及個人隱私等法律法規(guī)問題,因此,網(wǎng)絡(luò)管理員在獲得網(wǎng)絡(luò)數(shù)據(jù)流特征信息的方式、用戶數(shù)據(jù)和用戶行為的挖掘深度,以及多維分析數(shù)據(jù)的合理利用方面都需要認(rèn)真仔細地加以思考,盡可能規(guī)避政策法規(guī)的風(fēng)險。

參考文獻:

[1]馬科.業(yè)務(wù)識別與管理系統(tǒng)和網(wǎng)絡(luò)流量的管理[J].現(xiàn)代電信科技,2008(4).

[2]王超.IP網(wǎng)絡(luò)帶寬管理[J].電信技術(shù),2007(5).

[3]楊天路.P2P網(wǎng)絡(luò)技術(shù)原理與系統(tǒng)開發(fā)案例[M].北京:人民郵電出版社,2007.

(編輯:楊馥紅)