楊合林

中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司山東分公司，山東濟(jì)寧 250001

1 背景

現(xiàn)階段，中國(guó)移動(dòng)互聯(lián)網(wǎng)建設(shè)初具規(guī)模，為移動(dòng)互聯(lián)網(wǎng)的大力發(fā)展提供了保障，但隨著用戶規(guī)模的增加，中國(guó)移動(dòng)互聯(lián)網(wǎng)面臨著一系列問題，亟待解決。

1）P2P應(yīng)用由于端口是可變的，很難察覺和管理，對(duì)網(wǎng)絡(luò)帶寬消耗極大，運(yùn)營(yíng)商 “增量不增收”，有淪為“管道”的風(fēng)險(xiǎn)；2）以Skype 為代表的P2P語音應(yīng)用給運(yùn)營(yíng)商帶來長(zhǎng)途話費(fèi)收入大量流失的嚴(yán)重后果，固網(wǎng)運(yùn)營(yíng)商長(zhǎng)話業(yè)務(wù)的流失額增長(zhǎng)迅速；3）大量的電影、軟件下載，網(wǎng)絡(luò)資源消耗極大，附加在這些文件里的網(wǎng)絡(luò)病毒也在大量增長(zhǎng)，由于病毒泛濫，客戶網(wǎng)絡(luò)容易遭受攻擊而中斷。

面對(duì)各種威脅，中國(guó)移動(dòng)亟需對(duì)互聯(lián)網(wǎng)用戶流量進(jìn)行精確的管理和控制，構(gòu)建智能管道，為用戶提供優(yōu)質(zhì)的寬帶服務(wù)。

2 流量分析和控制技術(shù)研究

2.1 流量識(shí)別技術(shù)

2.1.1 DPI技術(shù)

DPI技術(shù)在分析包頭的基礎(chǔ)上，增加了對(duì)應(yīng)用層的分析，是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)，可劃分為以下三類：

1）特征字識(shí)別技術(shù)：不同的應(yīng)用會(huì)采用不同的協(xié)議，各種協(xié)議有其特殊的指紋。特征字識(shí)別技術(shù)，正是通過識(shí)別數(shù)據(jù)報(bào)文中的指紋信息來確定業(yè)務(wù)所承載的應(yīng)用；2）應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)：若業(yè)務(wù)的控制流和業(yè)務(wù)流分離，其業(yè)務(wù)流沒有任何特征，可通過應(yīng)用層網(wǎng)關(guān)識(shí)別出控制流，根據(jù)控制流協(xié)議選擇特定的應(yīng)用層網(wǎng)關(guān)對(duì)業(yè)務(wù)流進(jìn)行解析，從而識(shí)別出相應(yīng)的業(yè)務(wù)流；3）行為模式識(shí)別技術(shù)：對(duì)終端的各種行為進(jìn)行研究，并在此基礎(chǔ)上建立行為識(shí)別模型，基于行為識(shí)別模型，判斷客戶正在進(jìn)行的動(dòng)作或者即將實(shí)施的動(dòng)作。

DPI采用逐包分析、匹配技術(shù)，可以對(duì)流量中的具體應(yīng)用類型和協(xié)議做到比較準(zhǔn)確的識(shí)別，但處理速度相對(duì)DFI慢；數(shù)據(jù)包若經(jīng)過加密，DPI不能識(shí)別具體應(yīng)用。

2.1.2 DFI技術(shù)

DFI是一種基于流量行為的應(yīng)用識(shí)別技術(shù)，基于流量的行為特征，建立流量特征模型，通過分析會(huì)話流量的相關(guān)信息來與流量模型對(duì)比，從而實(shí)現(xiàn)鑒別應(yīng)用類型。

DFI技術(shù)將流量特征與后臺(tái)流量模型進(jìn)行直接比較，處理速度快；不受協(xié)議加密傳輸影響；由于同一類型的新應(yīng)用與舊應(yīng)用的流量特征變化不大，DFI系統(tǒng)不需要頻繁升級(jí)流量行為模型； 但DFI只能對(duì)應(yīng)用類型進(jìn)行籠統(tǒng)分類。

2.2 流量控制技術(shù)

流量控制技術(shù)分成兩大流派，一是利用協(xié)議本身的一些機(jī)制，實(shí)現(xiàn)流量控制；一是采取緩沖、隊(duì)列控制的辦法，強(qiáng)制性的實(shí)現(xiàn)流量控制。

2.2.1 基于協(xié)議的流量控制技術(shù)

1）TCP降速： TCP協(xié)議采用滑動(dòng)窗口技術(shù)來實(shí)現(xiàn)端到端的流量控制，可通過偽造并發(fā)送特殊sequence報(bào)文來減小TCP的滑動(dòng)窗口值，對(duì)連接的兩端進(jìn)行流量控制；2）TCP截?cái)啵和ㄟ^偽造并發(fā)送TCP RST/FIN報(bào)文來截?cái)郥CP連接；3）UDP降速：UDP協(xié)議具有非面向連接的單包特性，無法從4層對(duì)數(shù)據(jù)流進(jìn)行干擾，只能通過7層的協(xié)議信令進(jìn)行干擾，達(dá)到流量控制的目的；4）UDP截?cái)啵和ㄟ^偽造并發(fā)送應(yīng)用層特殊控制命令方式來截?cái)郩DP連接，該控制方法缺點(diǎn)是隨著協(xié)議的升級(jí)，控制代碼也需要頻繁地升級(jí)，實(shí)現(xiàn)起來較麻煩。

2.2.2 基于隊(duì)列的流量控制技術(shù)

基于隊(duì)列的流量控制技術(shù)，將入端口數(shù)據(jù)進(jìn)行排隊(duì)，賦予每個(gè)隊(duì)列一定的調(diào)度優(yōu)先級(jí)。隊(duì)列調(diào)度算法目前應(yīng)用最為廣泛的是令牌桶算法和預(yù)測(cè)丟棄算法RED。

1）令牌桶算法綜合考慮了報(bào)文長(zhǎng)度、優(yōu)先級(jí)，還增加了隊(duì)列環(huán)回機(jī)制，算法完善，但實(shí)現(xiàn)較為復(fù)雜，占用大量的CPU和緩存資源，適合輕載網(wǎng)絡(luò)環(huán)境；2）RED算法，在沒有可用網(wǎng)絡(luò)資源發(fā)送數(shù)據(jù)時(shí)，將低優(yōu)先級(jí)的隊(duì)列中的報(bào)文簡(jiǎn)單丟棄，導(dǎo)致報(bào)文重傳，造成網(wǎng)絡(luò)資源浪費(fèi)。該算法簡(jiǎn)單，適合在高速網(wǎng)絡(luò)中實(shí)現(xiàn)，實(shí)際中應(yīng)結(jié)合延緩報(bào)文發(fā)送而不是直接丟棄的方法，抑制報(bào)文重傳。

2.3 流量分析和控制系統(tǒng)的組網(wǎng)技術(shù)

流量分析和控制的組網(wǎng)技術(shù)包括直路和旁路兩種方式，二者在控制效果、系統(tǒng)性能以及對(duì)網(wǎng)絡(luò)影響各不相同。

1）直路方式：是指在業(yè)務(wù)鏈路上直接部署流量分析和控制設(shè)備的方式，控制直接、方便，但存在單點(diǎn)故障和擴(kuò)展性問題，需要隨著應(yīng)用和業(yè)務(wù)的更新而不斷更新檢測(cè)庫，還需要隨著新業(yè)務(wù)的出現(xiàn)而不斷擴(kuò)充業(yè)務(wù)功能；2）旁路方式：是指通過端口鏡像或分光的方式獲得流量的完整拷貝，然后進(jìn)行復(fù)雜的分析，不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)湓斐捎绊?，但控制能力受到較大影響。

3 中國(guó)移動(dòng)流量分析和控制系統(tǒng)建設(shè)思路

根據(jù)上文分析，中國(guó)移動(dòng)流量分析和控制系統(tǒng)的建設(shè)步驟建議如下。

3.1 近期建設(shè)思路

近期，考慮中國(guó)移動(dòng)網(wǎng)內(nèi)資源有限，用戶訪問流量絕大多數(shù)為出網(wǎng)流量，建議遵循“重分析，輕控制”的原則，在省網(wǎng)出口/IDC出口鏈路，集中部署流量分析和控制系統(tǒng)，完成全省用戶出省訪問業(yè)務(wù)的分析和控制功能，發(fā)現(xiàn)并抑制當(dāng)前比較嚴(yán)重的業(yè)務(wù)濫用，積極引導(dǎo)轉(zhuǎn)化用戶行為，降低網(wǎng)間流量結(jié)算費(fèi)用，提高用戶使用感受。

圖1 中國(guó)移動(dòng)流量分析和控制系統(tǒng)建設(shè)步驟總結(jié)

系統(tǒng)分為流控后臺(tái)系統(tǒng)和流控前端系統(tǒng)兩部分。后臺(tái)系統(tǒng)在省中心集中建設(shè)，負(fù)責(zé)配置、故障、性能、告警、統(tǒng)計(jì)等功能，并與Radius系統(tǒng)接口，實(shí)現(xiàn)“用戶-IP”的一一對(duì)應(yīng)，通過賬戶對(duì)用戶進(jìn)行分析和控制；前端系統(tǒng)主要完成數(shù)據(jù)采集、策略執(zhí)行的功能。

為避免對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)湓斐捎绊?，建議采用旁路部署方式；流量識(shí)別技術(shù)采用DPI，保證識(shí)別精度；建議采用基于協(xié)議的流量控制技術(shù)實(shí)現(xiàn)對(duì)非法業(yè)務(wù)濫用的控制。

3.2 中期建設(shè)思路

隨著中國(guó)移動(dòng)IDC和各地市托管機(jī)房互聯(lián)網(wǎng)內(nèi)容資源的逐步引入，用戶初具規(guī)模，網(wǎng)內(nèi)地市間互訪量增加，地市出口帶寬壓力增大，繼續(xù)遵循“重分析，輕控制”的原則，建議在各地市城域數(shù)據(jù)網(wǎng)出口鏈路部署流量分析和控制系統(tǒng)，采用在省網(wǎng)匯接路由器側(cè)集中建設(shè)的方式，在地市側(cè)新增客戶端，實(shí)現(xiàn)對(duì)本地市城域數(shù)據(jù)網(wǎng)出口流量的分析和一定程度的控制功能。

該時(shí)期，城域核心層的出口業(yè)務(wù)流量大，建議采用旁路部署方式；流量識(shí)別技術(shù)采用DPI；配合采用基于協(xié)議的流量控制技術(shù)實(shí)現(xiàn)對(duì)非法業(yè)務(wù)濫用的控制。

3.3 遠(yuǎn)期建設(shè)思路

遠(yuǎn)期，中國(guó)移動(dòng)在網(wǎng)內(nèi)資源和用戶規(guī)模方面，與其他運(yùn)營(yíng)商相當(dāng)，地市內(nèi)部訪問量形成規(guī)模，需要在各地市城域數(shù)據(jù)網(wǎng)內(nèi)部建設(shè)流量分析和控制系統(tǒng)，建設(shè)策略由“重分析，輕控制”轉(zhuǎn)變?yōu)椤胺治龊涂刂撇⒅亍薄?/p>

城域數(shù)據(jù)網(wǎng)內(nèi)的鏈路以GE為主，建議采用直路部署方式；流量識(shí)別技術(shù)采用DPI；配合采用基于隊(duì)列的流量控制技術(shù)實(shí)現(xiàn)對(duì)全部用戶的流量控制。

流控系統(tǒng)的前端服務(wù)器采用分布式部署的方式，覆蓋SR、BRAS等業(yè)務(wù)接入控制層路由器的上行鏈路，并根據(jù)需求，覆蓋業(yè)務(wù)量大的匯聚交換機(jī)上行鏈路。

流控系統(tǒng)的后臺(tái)系統(tǒng)仍采用集中建設(shè)的方式，部署在省中心，增強(qiáng)用戶管理系統(tǒng)的功能，新增與BOSS系統(tǒng)的接口，實(shí)現(xiàn)“用戶-IP-服務(wù)”的對(duì)應(yīng)關(guān)系，實(shí)現(xiàn)對(duì)用戶基于應(yīng)用的分級(jí)服務(wù)能力。

4 結(jié)論

流量分析和控制技術(shù)的應(yīng)用，是解決目前互聯(lián)網(wǎng)面臨諸多問題的關(guān)鍵，中國(guó)移動(dòng)應(yīng)高起點(diǎn)、分步驟的建設(shè)流量分析和控制系統(tǒng)，擺脫傳統(tǒng)管道的角色，實(shí)現(xiàn)對(duì)用戶、應(yīng)用的完全可視、可控、可管，構(gòu)建智能管道，為互聯(lián)網(wǎng)健康、可持續(xù)發(fā)展保駕護(hù)航。

[1]SIG業(yè)務(wù)監(jiān)控網(wǎng)關(guān)系列課程.

[2]Allot電信運(yùn)營(yíng)商增值建議方案.

[3]IP網(wǎng)監(jiān)控系統(tǒng)調(diào)研與建議.