左衛(wèi)

(海軍駐成都地區(qū)通信軍事代表室成都610041)

基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)研究

左衛(wèi)

(海軍駐成都地區(qū)通信軍事代表室成都610041)

傳統(tǒng)DPI技術(shù)通常被應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域。目前,DPI技術(shù)的發(fā)展態(tài)勢(shì)使得對(duì)于DPI技術(shù)在網(wǎng)管方面的應(yīng)用的研究迫在眉睫。本文介紹了DPI技術(shù)和IP業(yè)務(wù)控制等關(guān)鍵技術(shù),并提出了基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)架構(gòu)。

網(wǎng)絡(luò)精細(xì)化管控;DPI;業(yè)務(wù)控制

0 引言

目前的通信網(wǎng)網(wǎng)管技術(shù)手段只能對(duì)網(wǎng)元進(jìn)行粗粒度管理,對(duì)應(yīng)用業(yè)務(wù)的管理手段極為欠缺,隨著網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大和業(yè)務(wù)的不斷增多,對(duì)網(wǎng)絡(luò)進(jìn)行精細(xì)化管控的要求迫在眉睫。目前,在網(wǎng)絡(luò)的精細(xì)化管理方面具有如下需求:

(1)基于QoS的帶寬管理能力

根據(jù)不同等級(jí)的QoS需求,基于應(yīng)用的業(yè)務(wù)等級(jí)提供相應(yīng)等級(jí)的帶寬;

(2)及時(shí)發(fā)現(xiàn)和抑制異常流量

能夠在網(wǎng)絡(luò)通路上在第一時(shí)間攔截異常流量,避免異常流量對(duì)網(wǎng)絡(luò)造成破壞性影響;

(3)可視化全網(wǎng)

可以深入了解哪些應(yīng)用占用(P2P/WEB TV/流媒體/IM/Games等)了整個(gè)網(wǎng)絡(luò)帶寬由,熱點(diǎn)區(qū)域、應(yīng)用、用戶是哪些;

(4)流量精細(xì)化管理

通過(guò)靈活的帶寬管理機(jī)制,如帶寬整形、限速、提速、封堵、QoS管理等,來(lái)限制“低價(jià)值、高消耗”的用戶和業(yè)務(wù),從而有效地保障關(guān)鍵用戶、關(guān)鍵業(yè)務(wù),提高帶寬使用的性價(jià)比,提升用戶感知;

(5)透視全網(wǎng)服務(wù)質(zhì)量,保障關(guān)鍵業(yè)務(wù)質(zhì)量

通過(guò)透視全網(wǎng)各種業(yè)務(wù)的帶寬占用、抖動(dòng)、延時(shí)等QoS指標(biāo),能夠精確定位QoS劣化點(diǎn)。

由于現(xiàn)有IP網(wǎng)絡(luò)缺乏深度的業(yè)務(wù)識(shí)別和控制能力,難以滿足網(wǎng)絡(luò)的精細(xì)化管控需要。因此通信網(wǎng)絡(luò)急需引入有效的業(yè)務(wù)識(shí)別和控制機(jī)制,實(shí)現(xiàn)多業(yè)務(wù)承載基礎(chǔ)上的精細(xì)化運(yùn)營(yíng)。要實(shí)現(xiàn)業(yè)務(wù)層面的控制,必須先有業(yè)務(wù)層面的識(shí)別技術(shù),深度報(bào)文檢測(cè)(DPI)技術(shù)在能夠感知網(wǎng)絡(luò)應(yīng)用,給運(yùn)營(yíng)商提供網(wǎng)絡(luò)精細(xì)化管控的手段。所謂“深度”是和普通的報(bào)文檢測(cè)相比較而言的,普通報(bào)文檢測(cè)僅分析IP包的層4以下的內(nèi)容,包括源端口、目的端口、源地址、目的地址以及業(yè)務(wù)類型,而DPI主要針對(duì)應(yīng)用層分析,識(shí)別各種應(yīng)用及其內(nèi)容。

目前,網(wǎng)絡(luò)精細(xì)化管控技術(shù)已經(jīng)引起國(guó)內(nèi)外研究單位和運(yùn)營(yíng)商的關(guān)注,他們也各自推出了相應(yīng)的解決方案。本文將重點(diǎn)探討DPI技術(shù)與業(yè)務(wù)控制技術(shù),以及基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)解決方案。

1 深度業(yè)務(wù)感知技術(shù)概述

新一代業(yè)務(wù)應(yīng)用(以P2P和VoIP為代表)給傳統(tǒng)的商業(yè)模式和價(jià)值鏈帶來(lái)了改變,也給用戶、企業(yè)和運(yùn)營(yíng)商在網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、業(yè)務(wù)運(yùn)維等方面提出了許多問(wèn)題。而這正是因?yàn)閭鹘y(tǒng)網(wǎng)絡(luò)本身缺乏業(yè)務(wù)層的管控能力,所以無(wú)法對(duì)網(wǎng)絡(luò)業(yè)務(wù)和用戶進(jìn)行識(shí)別。因此,有必要在傳統(tǒng)網(wǎng)絡(luò)中引入業(yè)務(wù)層管控能力。

正是在這種背景下,深度業(yè)務(wù)感知系統(tǒng)應(yīng)運(yùn)而生。深度業(yè)務(wù)感知系統(tǒng)具有深度的報(bào)文和流行為分析能力,因此能夠?qū)I(yè)務(wù)的數(shù)據(jù)類型或/和行為進(jìn)行識(shí)別,可以基于策略控制信息管理業(yè)務(wù)數(shù)據(jù),能夠向傳統(tǒng)的承載網(wǎng)絡(luò)提供強(qiáng)大的業(yè)務(wù)管控能力。

深度業(yè)務(wù)感知系統(tǒng)是針對(duì)現(xiàn)有網(wǎng)絡(luò)缺乏對(duì)應(yīng)用層業(yè)務(wù)的感知和控制能力的為問(wèn)題提出的解決方案。該系統(tǒng)能夠進(jìn)行高數(shù)據(jù)流處理,具備網(wǎng)絡(luò)應(yīng)用層業(yè)務(wù)識(shí)別和流量管理能力。深度業(yè)務(wù)感知系統(tǒng)依托基于數(shù)據(jù)流狀態(tài)的深度報(bào)文檢測(cè)(DPI)技術(shù)(包括數(shù)據(jù)流行為檢測(cè)和數(shù)據(jù)流特征檢測(cè)技術(shù)),能夠?qū)W(wǎng)絡(luò)傳輸層到應(yīng)用層的業(yè)務(wù)進(jìn)行識(shí)別,然后通過(guò)QoS保證以及丟棄、整形、干擾等方式對(duì)已識(shí)別出的數(shù)據(jù)流實(shí)施控制和管理。

深度業(yè)務(wù)感知系統(tǒng)是未來(lái)的電信級(jí)網(wǎng)絡(luò)中的重要組成部分,它能夠幫助運(yùn)營(yíng)商實(shí)現(xiàn)網(wǎng)絡(luò)資源管理和精細(xì)化運(yùn)營(yíng)、企業(yè)核心業(yè)務(wù)保障、網(wǎng)絡(luò)安全維護(hù)等諸多功能。

深度業(yè)務(wù)感知系統(tǒng)主要由業(yè)務(wù)識(shí)別功能模塊、業(yè)務(wù)控制功能模塊、業(yè)務(wù)特征信息庫(kù)、策略信息庫(kù)、統(tǒng)計(jì)模塊、存儲(chǔ)模塊、管理模塊和接口模塊構(gòu)成。

下圖顯示了深度業(yè)務(wù)感知系統(tǒng)的系統(tǒng)構(gòu)成:

圖1 深度業(yè)務(wù)感知系統(tǒng)的系統(tǒng)構(gòu)成

系統(tǒng)構(gòu)成的具體描述如下:

(1)業(yè)務(wù)識(shí)別功能模塊

該模塊通過(guò)對(duì)業(yè)務(wù)數(shù)據(jù)報(bào)文進(jìn)行深度協(xié)議解析以及對(duì)業(yè)務(wù)數(shù)據(jù)流量行為進(jìn)行統(tǒng)計(jì)分析、或特征匹配等方式,對(duì)業(yè)務(wù)數(shù)據(jù)的類型、內(nèi)容、狀態(tài)進(jìn)行識(shí)別和統(tǒng)計(jì)分析,從而在數(shù)據(jù)流中區(qū)分和識(shí)別出特定條件的業(yè)務(wù)數(shù)據(jù)。該模塊是整個(gè)深度業(yè)務(wù)感知系統(tǒng)的核心功能模塊。

(2)業(yè)務(wù)控制功能模塊

在DPI技術(shù)識(shí)別出各類業(yè)務(wù)流之后,該模塊根據(jù)網(wǎng)絡(luò)配置的相關(guān)策略條件,如用戶、時(shí)間、歷史流量、帶寬等要求,對(duì)業(yè)務(wù)流進(jìn)行控制。控制方法包括:正常轉(zhuǎn)發(fā)、限制帶寬、阻塞、整形、重標(biāo)記優(yōu)先級(jí)等。例如:可以根據(jù)業(yè)務(wù)優(yōu)先級(jí),為不同優(yōu)先級(jí)的業(yè)務(wù)分配不同的預(yù)留帶寬;干擾或阻斷非法業(yè)務(wù)等。

(3)業(yè)務(wù)特征信息庫(kù)

該信息庫(kù)與業(yè)務(wù)數(shù)據(jù)識(shí)別功能模塊相連接,用于存儲(chǔ)和管理業(yè)務(wù)數(shù)據(jù)識(shí)別過(guò)程中所涉及的識(shí)別規(guī)則,提供實(shí)時(shí)的業(yè)務(wù)數(shù)據(jù)識(shí)別功能的支持。

(4)策略信息庫(kù)

策略庫(kù)與業(yè)務(wù)控制功能模塊相連接,用于存儲(chǔ)和管理業(yè)務(wù)數(shù)據(jù)控制相關(guān)的各種控制策略信息。

業(yè)務(wù)控制策略一般在策略信息庫(kù)中集中存儲(chǔ),動(dòng)態(tài)下發(fā)。

(5)管理模塊

該模塊負(fù)責(zé)整個(gè)深度業(yè)務(wù)感知系統(tǒng)的管理維護(hù),包括操作維護(hù)管理、策略管理、配置管理、資源管理、網(wǎng)絡(luò)管理等,是整個(gè)系統(tǒng)的核心功能模塊。

(6)統(tǒng)計(jì)模塊

該模塊負(fù)責(zé)呈現(xiàn)系統(tǒng)實(shí)時(shí)和歷史的業(yè)務(wù)數(shù)據(jù)識(shí)別和業(yè)務(wù)數(shù)據(jù)控制的結(jié)果信息、業(yè)務(wù)類型、流量、趨勢(shì)、狀態(tài)的統(tǒng)計(jì)信息,為網(wǎng)絡(luò)管理提供重要依據(jù)。

(7)存儲(chǔ)模塊

該模塊存儲(chǔ)系統(tǒng)業(yè)務(wù)數(shù)據(jù)識(shí)別的結(jié)果信息,包括業(yè)務(wù)類型、流量、狀態(tài)等,并且對(duì)特定條件的網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)進(jìn)行備份。

基于DPI的網(wǎng)絡(luò)精細(xì)化管控系統(tǒng)借鑒深度業(yè)務(wù)感知技術(shù)的技術(shù)理念,將DPI技術(shù)和業(yè)務(wù)控制技術(shù)引入網(wǎng)絡(luò)管控系統(tǒng),以業(yè)務(wù)識(shí)別為基礎(chǔ),以業(yè)務(wù)管控為目標(biāo),并且依托策略控制技術(shù),實(shí)現(xiàn)了網(wǎng)絡(luò)的精細(xì)化管理。

2 DPI技術(shù)綜述

DPI的技術(shù)原理及技術(shù)分類如下所述[1]:

2.1 DPI技術(shù)原理

DPI(Deep Packet Inspect,深度報(bào)文檢測(cè))技術(shù),所謂深度是和普通報(bào)文檢測(cè)相比較而言,普通報(bào)文檢測(cè)僅是通過(guò)對(duì)IP包的五元組信息進(jìn)行分析,從而確定當(dāng)前流量的基本信息。DPI技術(shù)對(duì)報(bào)文的4到7層信息進(jìn)行分析,通過(guò)將數(shù)據(jù)信息包的分析深入到內(nèi)容,通過(guò)充分理解各種應(yīng)用協(xié)議的payload(載荷)的各個(gè)字段的變化規(guī)律和流程,從而把多個(gè)數(shù)據(jù)包關(guān)聯(lián)到一個(gè)數(shù)據(jù)流當(dāng)中。DPI技術(shù)原理如下圖所示。

圖2 DPI技術(shù)原理

與傳統(tǒng)的QoS控制技術(shù)和IP包流量識(shí)別相比,DPI技術(shù)是在對(duì)數(shù)據(jù)流進(jìn)行IP五元組(源端口、目的端口、源IP地址、目的IP地址、協(xié)議類型)檢測(cè)的基礎(chǔ)上,進(jìn)一步深度檢測(cè)流量數(shù)據(jù)的應(yīng)用層信息,依據(jù)端口號(hào)、協(xié)議類型、特征字符串和流量行為特征等參數(shù),獲取業(yè)務(wù)狀態(tài)、業(yè)務(wù)類型和業(yè)務(wù)內(nèi)容等信息的一種應(yīng)用識(shí)別技術(shù)。

2.2 DPI應(yīng)用識(shí)別技術(shù)分類

DPI技術(shù)的關(guān)鍵是通過(guò)高效地識(shí)別網(wǎng)絡(luò)的應(yīng)用,從而將網(wǎng)絡(luò)上的流量數(shù)據(jù)報(bào)文根據(jù)五元組分為一個(gè)個(gè)應(yīng)用流,并通過(guò)識(shí)別技術(shù)對(duì)應(yīng)用流中特定的數(shù)據(jù)報(bào)文進(jìn)行探測(cè),從而確定應(yīng)用流對(duì)應(yīng)的應(yīng)用或者用戶動(dòng)作。

DPI識(shí)別技術(shù)包括以下3類:

(1)特征字的識(shí)別技術(shù)

不同的應(yīng)用采用的不同的協(xié)議都有其各自特殊的指紋,這些指紋可能是特定的端口、特定的Bit序列或特定的字符串?；谔卣髯值淖R(shí)別技術(shù)能夠通過(guò)識(shí)別流量數(shù)據(jù)報(bào)文中的指紋信息來(lái)確定對(duì)應(yīng)業(yè)務(wù)所承載的應(yīng)用。基于特征字的識(shí)別技術(shù)依據(jù)具體檢測(cè)方式的不同,又可細(xì)分為變動(dòng)特征位置匹配、固定特征位置匹配和狀態(tài)特征字三種分支技術(shù)。在實(shí)際應(yīng)用過(guò)程中,通過(guò)對(duì)指紋信息的升級(jí),可以方便地?cái)U(kuò)展到對(duì)新協(xié)議的檢測(cè)。

(2)應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)

某些業(yè)務(wù)的業(yè)務(wù)流和控制流是分離的,業(yè)務(wù)流沒有任何特征。應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)主要應(yīng)用于識(shí)別此類業(yè)務(wù)。其實(shí)現(xiàn)過(guò)程是:首先由應(yīng)用層網(wǎng)關(guān)識(shí)別出業(yè)務(wù)的控制流,并根據(jù)控制流協(xié)議選擇相應(yīng)的應(yīng)用層網(wǎng)關(guān)對(duì)該業(yè)務(wù)流進(jìn)行解析,從而識(shí)別出相應(yīng)的業(yè)務(wù)流。

(3)行為模式識(shí)別技術(shù)

行為模式實(shí)現(xiàn)過(guò)程是:首先對(duì)終端的各種行為進(jìn)行研究,然后在此基礎(chǔ)上建立行為識(shí)別模型,然后基于行為識(shí)別模型,判斷出用戶正在進(jìn)行的動(dòng)作或者即將實(shí)施的動(dòng)作。行為模式識(shí)別技術(shù)應(yīng)用于那些無(wú)法通過(guò)協(xié)議本身就能判別的業(yè)務(wù)。如:普通的Email業(yè)務(wù)流和SPAM(垃圾郵件)業(yè)務(wù)流從Email的內(nèi)容上看是完全一致的,只有通過(guò)對(duì)用戶行為進(jìn)行分析,才能夠準(zhǔn)確地識(shí)別出SPAM業(yè)務(wù)。

這三類識(shí)別技術(shù)分別適用于不同類型的應(yīng)用協(xié)議,無(wú)法相互替代,只有綜合地運(yùn)用這些技術(shù),才能靈活有效地識(shí)別網(wǎng)絡(luò)上的應(yīng)用。

3 IP業(yè)務(wù)控制技術(shù)

3.1 流量控制技術(shù)

網(wǎng)絡(luò)流量控制的目標(biāo)是及時(shí)了解正在運(yùn)行的網(wǎng)絡(luò)中業(yè)務(wù)流量的具體分布情況,及時(shí)地了解網(wǎng)絡(luò)延遲、網(wǎng)絡(luò)擁塞等情況,并在此基礎(chǔ)上對(duì)網(wǎng)絡(luò)流量進(jìn)行登記、統(tǒng)計(jì)和分析,從而使得網(wǎng)絡(luò)管理員能夠根據(jù)實(shí)際情況制定出及時(shí)有效的網(wǎng)絡(luò)流量控制策略,確保重要業(yè)務(wù)數(shù)據(jù)不延遲、不丟棄,保證網(wǎng)絡(luò)的高效運(yùn)行。

如果網(wǎng)絡(luò)中沒有實(shí)施流量控制策略機(jī)制,而是采取服務(wù)質(zhì)量的盡力而為服務(wù)模式,任憑網(wǎng)絡(luò)用戶隨時(shí)發(fā)出任意數(shù)量的數(shù)據(jù),那么這種網(wǎng)絡(luò)將是非常不穩(wěn)定的,甚至有崩潰的可能性。因?yàn)檫@種盡力而為的服務(wù)模式的流量控制是不采取任何策略機(jī)制的,發(fā)送和接收數(shù)據(jù)不需要得到事先批準(zhǔn),也不需要通知網(wǎng)絡(luò),網(wǎng)絡(luò)中的數(shù)據(jù)沒有大小、誰(shuí)優(yōu)先之說(shuō),哪個(gè)數(shù)據(jù)先到達(dá)就先為哪個(gè)數(shù)據(jù)進(jìn)行服務(wù)。通常服務(wù)質(zhì)量的盡力而為模式是現(xiàn)在互聯(lián)網(wǎng)的默認(rèn)服務(wù)模型,實(shí)現(xiàn)這種服務(wù)的調(diào)度算法通常是先進(jìn)先出隊(duì)列,該模式比較適合于傳輸傳統(tǒng)的業(yè)務(wù)流量,對(duì)服務(wù)質(zhì)量有較高要求的網(wǎng)絡(luò)業(yè)務(wù)顯然不適合。

主流的流量控制技術(shù)包括:TCP窗口整形技術(shù)、旁路干擾技術(shù)、PFQ技術(shù)等[2]。

(1)TCP窗口整形技術(shù)

TCP窗口整形技術(shù)是流量控制中一種重要技術(shù)。TCP窗口整形技術(shù)的實(shí)現(xiàn)方法是:接收方根據(jù)自己的數(shù)據(jù)接受能力,通過(guò)滑動(dòng)窗口機(jī)制來(lái)限制發(fā)送方的數(shù)據(jù)傳輸速率。其實(shí)現(xiàn)方式舉例如下:在主機(jī)X、Y之間架設(shè)一個(gè)流量控制設(shè)備,如果主機(jī)X和Y需要相互通信,那么主機(jī)X、Y必須通過(guò)中間架設(shè)的流量控制設(shè)備進(jìn)行通信。即如果主機(jī)X和Y之間需要建立一個(gè)TCP連接并進(jìn)行通信,則主機(jī)X和Y不直接握手,而是分別和流量控制設(shè)備建立握手,然后流量控制設(shè)備就可以根據(jù)自己的策略配置來(lái)調(diào)整TCP窗口的大小,之后通知主機(jī)X、Y按照調(diào)整后TCP窗口的大小來(lái)進(jìn)行數(shù)據(jù)傳送,從而達(dá)到流量控制的目的。

國(guó)務(wù)院關(guān)于重大決策部署開展情況實(shí)地督察，每一個(gè)督察組也都有明察暗訪。第二十四督察組目睹了某地車管所上午九點(diǎn)才上班，十一點(diǎn)就停止工作；大貨車司機(jī)排長(zhǎng)隊(duì)等待查驗(yàn)，被定成不合格，再找黑中介交2000元錢立馬合格。樁樁件件督察組看在眼里、記在心上。他們感慨，這才把百姓辦事難真正看清了，將這個(gè)車管所的四名負(fù)責(zé)人免職、處分，冤枉嗎？！

TCP窗口整形技術(shù)的優(yōu)勢(shì)在于:該技術(shù)可以對(duì)每個(gè)TCP會(huì)話進(jìn)行監(jiān)控和干擾,能夠有效控制信息源發(fā)送信息量的數(shù)量、發(fā)送時(shí)間和頻率,而且通過(guò)TCP窗口整形使流量變得平滑,并且傳輸效率有較大提高。TCP窗口整形技術(shù)不釆用隊(duì)列技術(shù),網(wǎng)絡(luò)中所有主機(jī)發(fā)送的數(shù)據(jù)量能夠得到統(tǒng)一控制,路由器上不會(huì)堆積大量隊(duì)列,這樣可以減小信息的丟失率,降低重發(fā)率。不過(guò)TCP窗口整形技術(shù)劣勢(shì)也是比較明顯的:首先這項(xiàng)技術(shù)不支持UDP流量控制,因此,網(wǎng)絡(luò)中的大部分P2P應(yīng)用和VoIP應(yīng)用就得不到有效控制。而且在流量較大情況下,控制會(huì)出現(xiàn)較大誤差,因此TCP窗口整形的應(yīng)用存在一定的局限性。

(2)旁路干擾技術(shù)

旁路干擾技術(shù)與TCP窗口整形技術(shù)的最大區(qū)別在于:旁路干擾技術(shù)的控制設(shè)備不是用串聯(lián)的方式部署在網(wǎng)絡(luò)中,而是旁路部署在網(wǎng)絡(luò)中的,因此,它不需要與通信雙方的主機(jī)建立握手過(guò)程。對(duì)于TCP流量,控制設(shè)備會(huì)復(fù)制流量的五元組信息,即源端口、目的端口、源地址、目的地址以及協(xié)議類型,然后交換通信雙方的端口和IP地址,偽裝成數(shù)據(jù)流通信的雙方,將干擾的數(shù)據(jù)包發(fā)給源地址或目的地址,中斷雙方的數(shù)據(jù)流連接或是引發(fā)TCP重傳,從而達(dá)到流量控制的目的。對(duì)于UDP流量,由于UDP數(shù)據(jù)包本身沒有狀態(tài)協(xié)議,因此無(wú)法在第四層進(jìn)行干擾,但可以通過(guò)對(duì)第七層的協(xié)議信令進(jìn)行干擾,從而達(dá)到流量控制的目的。

旁路干擾模式對(duì)鏈路的影響較小,擴(kuò)展能力較強(qiáng)。但是其基于旁路的部署方式使得該模式的控制能力有所下降。

(3)PFQ技術(shù)

PFQ(Per－Flow Queuing)的機(jī)制是:不是通過(guò)調(diào)整TCP窗口的大小來(lái)控制流量,而是建立若干隊(duì)列,每個(gè)流對(duì)應(yīng)不同的隊(duì)列,而后通過(guò)調(diào)整隊(duì)列的大小來(lái)讓流有序的通過(guò)。例如:VoIP應(yīng)用數(shù)據(jù)流限制為2M/S,就先定義一個(gè)2M大小的隊(duì)列,經(jīng)過(guò)流量識(shí)別處理之后,把識(shí)別為VoIP應(yīng)用的數(shù)據(jù)流放入這個(gè)隊(duì)列中。由于隊(duì)列的容積被限制在2M,所以進(jìn)入的VoIP流量就被自然地限制在了2M之內(nèi)。此外,還可以將隊(duì)列進(jìn)行細(xì)分,如VoIP隊(duì)列可以細(xì)分為許多的小隊(duì)列,分別對(duì)應(yīng)VoIP協(xié)議的不同應(yīng)用,如Skype,MSN等,這樣就可以實(shí)現(xiàn)更為精細(xì)化的控制。

PFQ是一種直接實(shí)現(xiàn)IP QoS的機(jī)制,它的主要優(yōu)點(diǎn)是:該機(jī)制能夠最大限度的使用可用帶寬,這就確保了最高的鏈接使用率;此外,它的精確性也非常的高,可以依據(jù)不同的策略定義來(lái)控制網(wǎng)絡(luò)帶寬。由于定義的隊(duì)列相互不同,因此就避免了沖突和數(shù)據(jù)包丟失,使得流量暢通。并且隊(duì)列技術(shù)采用的是公平排隊(duì),兩個(gè)具有同樣優(yōu)先級(jí)的連接會(huì)得到同樣的帶寬,這也克服了TCP窗口技術(shù)誤差較大的缺點(diǎn),此外該機(jī)制可以對(duì)TCP流和UDP流釆用相同的算法,能夠?qū)崿F(xiàn)了大流量控制的需求。

3.2 基于策略的業(yè)務(wù)控制技術(shù)

其識(shí)別和控制流程圖3所示。

圖3 DPI的識(shí)別和控制流程

其中,DPI的業(yè)務(wù)控制功能包括阻斷、重定向、重標(biāo)識(shí)、速率限制、會(huì)話數(shù)限制、配額限制、QoS等。

(1)阻斷(deny)

阻斷功能與路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的阻斷功能相似,對(duì)數(shù)據(jù)包執(zhí)行相應(yīng)的配置策略,數(shù)據(jù)包識(shí)別后在進(jìn)入DPI設(shè)備時(shí)被丟棄。

(2)重定向(redirect)

重定向功能通過(guò)更改下一跳的IP地址或更改訪問(wèn)的URL來(lái)實(shí)現(xiàn),將流量重定向到另一個(gè)設(shè)備或?qū)g覽器重定向到一個(gè)URL。

(3)重標(biāo)識(shí)(remark)

重標(biāo)識(shí)(remark)功能是對(duì)業(yè)務(wù)進(jìn)行識(shí)別后更改業(yè)務(wù)流的類別標(biāo)記,該類別標(biāo)記在DiffServ體系中指DSCP,即為IP報(bào)文頭部TOS字段的前6個(gè)bits。目前RFC主要定義了BE、EF、AF3種標(biāo)準(zhǔn)業(yè)務(wù),并定義了AF的4個(gè)類別3種丟棄級(jí)別。重標(biāo)識(shí)對(duì)目標(biāo)應(yīng)用進(jìn)行分組后實(shí)施優(yōu)先級(jí)管理,主要是降低一些不受歡迎的應(yīng)用分組的處理優(yōu)先級(jí)。

(4)限速(limit rate)

限速功能是對(duì)業(yè)務(wù)流設(shè)置突發(fā)信息速率PIR和承諾信息速率CIR,或同時(shí)設(shè)置突發(fā)信息速率PIR和承諾信息速率CIR,限速可以針對(duì)單向或雙向的流量。

(5)配額限制(quota)

配額限制功能是對(duì)目標(biāo)應(yīng)用設(shè)定時(shí)長(zhǎng)配額和流量配額等,超出配額部分丟棄;該功能也可結(jié)合計(jì)費(fèi)策略,對(duì)超出計(jì)費(fèi)配額部分額外收費(fèi)。

(6)QoS

QoS功能是指通過(guò)隊(duì)列調(diào)度機(jī)制、優(yōu)先轉(zhuǎn)發(fā)機(jī)制、流量整形機(jī)制和丟棄算法等對(duì)業(yè)務(wù)流量進(jìn)行控制。對(duì)于識(shí)別出的每類業(yè)務(wù),DPI可以根據(jù)預(yù)先設(shè)置的組合條件,如帶寬、歷史流量、用戶、時(shí)間等,對(duì)業(yè)務(wù)流進(jìn)行控制。

業(yè)務(wù)控制的策略一般集中配置在策略服務(wù)器中,下發(fā)給業(yè)務(wù)控制設(shè)備或網(wǎng)關(guān)執(zhí)行。

4 基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)架構(gòu)

針對(duì)通信網(wǎng),網(wǎng)絡(luò)精細(xì)化管控的目標(biāo)是:

1)流量管理:控制P2P流量,防止這種“垃圾流量”占用了太多的帶寬,而影響其它應(yīng)用;

2)安全:識(shí)別出并能抑制DOS攻擊和其它的惡意危害網(wǎng)絡(luò)安全的行為;

3)網(wǎng)絡(luò)資源使用的控制;

4)業(yè)務(wù)優(yōu)化:例如個(gè)性業(yè)務(wù)和內(nèi)容過(guò)濾;

5)全局業(yè)務(wù)控制策略應(yīng)用。

結(jié)合前面的技術(shù)分析,本文提出基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)架構(gòu)。該技術(shù)架構(gòu)的優(yōu)勢(shì)在于:該技術(shù)架構(gòu)彌補(bǔ)了傳統(tǒng)網(wǎng)管系統(tǒng)缺乏網(wǎng)絡(luò)感知能力,尤其是應(yīng)用層業(yè)務(wù)的感知能力,以及缺乏控制能力的缺陷,基于該技術(shù)架構(gòu)的網(wǎng)管系統(tǒng)能夠提供網(wǎng)絡(luò)安全態(tài)勢(shì)分析、用戶行為分析和差異化服務(wù)等精細(xì)化管控能力。該技術(shù)架構(gòu)如圖4所示。

圖4 基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)架構(gòu)

(1)采集層功能

數(shù)據(jù)采集層從網(wǎng)絡(luò)接口獲取網(wǎng)絡(luò)數(shù)據(jù)包,采集對(duì)象包括:流量數(shù)據(jù)、Qos數(shù)據(jù)和應(yīng)用數(shù)據(jù)。

(2)識(shí)別控制層功能

識(shí)別功能模塊內(nèi)置可更新的網(wǎng)址分類庫(kù)及應(yīng)用識(shí)別庫(kù),根據(jù)業(yè)務(wù)特征精確識(shí)別應(yīng)用業(yè)務(wù)。

識(shí)別功能模塊將識(shí)別結(jié)果輸出到策略服務(wù)器,由策略服務(wù)器生成業(yè)務(wù)控制策略下發(fā)業(yè)務(wù)控制模塊。

(3)應(yīng)用層

基于DPI的網(wǎng)絡(luò)精細(xì)化管控系統(tǒng)的應(yīng)用包括:安全態(tài)勢(shì)分析、用戶行為分析和差異化服務(wù)。

5 結(jié)語(yǔ)

本論文對(duì)基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)涉及的關(guān)鍵技術(shù)進(jìn)行了分析和研究,并且提出了基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)架構(gòu),該技術(shù)研究成果對(duì)實(shí)現(xiàn)網(wǎng)絡(luò)精細(xì)化管控具有指導(dǎo)意義。

[1] 陳繡瑤.DPI帶寬管理技術(shù)的研究與應(yīng)用[J].計(jì)算機(jī)與現(xiàn)代化,2010(9):59－61.

[2] 程園杰.基于DPI技術(shù)的流量控制系統(tǒng)的設(shè)計(jì)與實(shí)施[D].北京:北京郵電大學(xué),2012.

[3] 王洪波.基于RouterOS系統(tǒng)的流量控制策略研究[D].成都:電子科技大學(xué),2012.

Study on Fine Control of Network based on DPI

ZUO Wei
(Navy Minitary Representation Office in Chengdu,Chengdu Sichuan 610041,China)

The traditional DPI technology is often used in the field of network security.At present,owing to the development trend of DPI technology,it is extemely urgent to make the research of the DPI technology applies in network management.This paper introduces the key technologies such as the DPI and IP service control,and proposes the architecture of DPI－based fine control of network.

fine control of network;DPI;service control

TN918.91

A

1009－8054(2015)01－0090－05

2014－10－20

左 衛(wèi)(1971—),男,本科,工程師,主要研究方向?yàn)橥ㄐ偶夹g(shù)?！?/p>