基于DPI的网络精细化管控技术研究
2015-09-18左卫
左卫
(海军驻成都地区通信军事代表室成都610041)
基于DPI的网络精细化管控技术研究
左卫
(海军驻成都地区通信军事代表室成都610041)
传统DPI技术通常被应用在网络安全领域。目前,DPI技术的发展态势使得对于DPI技术在网管方面的应用的研究迫在眉睫。本文介绍了DPI技术和IP业务控制等关键技术,并提出了基于DPI的网络精细化管控技术架构。
网络精细化管控;DPI;业务控制
0 引言
目前的通信网网管技术手段只能对网元进行粗粒度管理,对应用业务的管理手段极为欠缺,随着网络规模的日益扩大和业务的不断增多,对网络进行精细化管控的要求迫在眉睫。目前,在网络的精细化管理方面具有如下需求:
(1)基于QoS的带宽管理能力
根据不同等级的QoS需求,基于应用的业务等级提供相应等级的带宽;
(2)及时发现和抑制异常流量
能够在网络通路上在第一时间拦截异常流量,避免异常流量对网络造成破坏性影响;
(3)可视化全网
可以深入了解哪些应用占用(P2P/WEB TV/流媒体/IM/Games等)了整个网络带宽由,热点区域、应用、用户是哪些;
(4)流量精细化管理
通过灵活的带宽管理机制,如带宽整形、限速、提速、封堵、QoS管理等,来限制“低价值、高消耗”的用户和业务,从而有效地保障关键用户、关键业务,提高带宽使用的性价比,提升用户感知;
(5)透视全网服务质量,保障关键业务质量
通过透视全网各种业务的带宽占用、抖动、延时等QoS指标,能够精确定位QoS劣化点。
由于现有IP网络缺乏深度的业务识别和控制能力,难以满足网络的精细化管控需要。因此通信网络急需引入有效的业务识别和控制机制,实现多业务承载基础上的精细化运营。要实现业务层面的控制,必须先有业务层面的识别技术,深度报文检测(DPI)技术在能够感知网络应用,给运营商提供网络精细化管控的手段。所谓“深度”是和普通的报文检测相比较而言的,普通报文检测仅分析IP包的层4以下的内容,包括源端口、目的端口、源地址、目的地址以及业务类型,而DPI主要针对应用层分析,识别各种应用及其内容。
目前,网络精细化管控技术已经引起国内外研究单位和运营商的关注,他们也各自推出了相应的解决方案。本文将重点探讨DPI技术与业务控制技术,以及基于DPI的网络精细化管控技术解决方案。
1 深度业务感知技术概述
新一代业务应用(以P2P和VoIP为代表)给传统的商业模式和价值链带来了改变,也给用户、企业和运营商在网络安全、网络管理、业务运维等方面提出了许多问题。而这正是因为传统网络本身缺乏业务层的管控能力,所以无法对网络业务和用户进行识别。因此,有必要在传统网络中引入业务层管控能力。
正是在这种背景下,深度业务感知系统应运而生。深度业务感知系统具有深度的报文和流行为分析能力,因此能够对业务的数据类型或/和行为进行识别,可以基于策略控制信息管理业务数据,能够向传统的承载网络提供强大的业务管控能力。
深度业务感知系统是针对现有网络缺乏对应用层业务的感知和控制能力的为问题提出的解决方案。该系统能够进行高数据流处理,具备网络应用层业务识别和流量管理能力。深度业务感知系统依托基于数据流状态的深度报文检测(DPI)技术(包括数据流行为检测和数据流特征检测技术),能够对网络传输层到应用层的业务进行识别,然后通过QoS保证以及丢弃、整形、干扰等方式对已识别出的数据流实施控制和管理。
深度业务感知系统是未来的电信级网络中的重要组成部分,它能够帮助运营商实现网络资源管理和精细化运营、企业核心业务保障、网络安全维护等诸多功能。
深度业务感知系统主要由业务识别功能模块、业务控制功能模块、业务特征信息库、策略信息库、统计模块、存储模块、管理模块和接口模块构成。
下图显示了深度业务感知系统的系统构成:
图1 深度业务感知系统的系统构成
系统构成的具体描述如下:
(1)业务识别功能模块
该模块通过对业务数据报文进行深度协议解析以及对业务数据流量行为进行统计分析、或特征匹配等方式,对业务数据的类型、内容、状态进行识别和统计分析,从而在数据流中区分和识别出特定条件的业务数据。该模块是整个深度业务感知系统的核心功能模块。
(2)业务控制功能模块
在DPI技术识别出各类业务流之后,该模块根据网络配置的相关策略条件,如用户、时间、历史流量、带宽等要求,对业务流进行控制。控制方法包括:正常转发、限制带宽、阻塞、整形、重标记优先级等。例如:可以根据业务优先级,为不同优先级的业务分配不同的预留带宽;干扰或阻断非法业务等。
(3)业务特征信息库
该信息库与业务数据识别功能模块相连接,用于存储和管理业务数据识别过程中所涉及的识别规则,提供实时的业务数据识别功能的支持。
(4)策略信息库
策略库与业务控制功能模块相连接,用于存储和管理业务数据控制相关的各种控制策略信息。
业务控制策略一般在策略信息库中集中存储,动态下发。
(5)管理模块
该模块负责整个深度业务感知系统的管理维护,包括操作维护管理、策略管理、配置管理、资源管理、网络管理等,是整个系统的核心功能模块。
(6)统计模块
该模块负责呈现系统实时和历史的业务数据识别和业务数据控制的结果信息、业务类型、流量、趋势、状态的统计信息,为网络管理提供重要依据。
(7)存储模块
该模块存储系统业务数据识别的结果信息,包括业务类型、流量、状态等,并且对特定条件的网络业务数据进行备份。
基于DPI的网络精细化管控系统借鉴深度业务感知技术的技术理念,将DPI技术和业务控制技术引入网络管控系统,以业务识别为基础,以业务管控为目标,并且依托策略控制技术,实现了网络的精细化管理。
2 DPI技术综述
DPI的技术原理及技术分类如下所述[1]:
2.1 DPI技术原理
DPI(Deep Packet Inspect,深度报文检测)技术,所谓深度是和普通报文检测相比较而言,普通报文检测仅是通过对IP包的五元组信息进行分析,从而确定当前流量的基本信息。DPI技术对报文的4到7层信息进行分析,通过将数据信息包的分析深入到内容,通过充分理解各种应用协议的payload(载荷)的各个字段的变化规律和流程,从而把多个数据包关联到一个数据流当中。DPI技术原理如下图所示。
图2 DPI技术原理
与传统的QoS控制技术和IP包流量识别相比,DPI技术是在对数据流进行IP五元组(源端口、目的端口、源IP地址、目的IP地址、协议类型)检测的基础上,进一步深度检测流量数据的应用层信息,依据端口号、协议类型、特征字符串和流量行为特征等参数,获取业务状态、业务类型和业务内容等信息的一种应用识别技术。
2.2 DPI应用识别技术分类
DPI技术的关键是通过高效地识别网络的应用,从而将网络上的流量数据报文根据五元组分为一个个应用流,并通过识别技术对应用流中特定的数据报文进行探测,从而确定应用流对应的应用或者用户动作。
DPI识别技术包括以下3类:
(1)特征字的识别技术
不同的应用采用的不同的协议都有其各自特殊的指纹,这些指纹可能是特定的端口、特定的Bit序列或特定的字符串。基于特征字的识别技术能够通过识别流量数据报文中的指纹信息来确定对应业务所承载的应用。基于特征字的识别技术依据具体检测方式的不同,又可细分为变动特征位置匹配、固定特征位置匹配和状态特征字三种分支技术。在实际应用过程中,通过对指纹信息的升级,可以方便地扩展到对新协议的检测。
(2)应用层网关识别技术
某些业务的业务流和控制流是分离的,业务流没有任何特征。应用层网关识别技术主要应用于识别此类业务。其实现过程是:首先由应用层网关识别出业务的控制流,并根据控制流协议选择相应的应用层网关对该业务流进行解析,从而识别出相应的业务流。
(3)行为模式识别技术
行为模式实现过程是:首先对终端的各种行为进行研究,然后在此基础上建立行为识别模型,然后基于行为识别模型,判断出用户正在进行的动作或者即将实施的动作。行为模式识别技术应用于那些无法通过协议本身就能判别的业务。如:普通的Email业务流和SPAM(垃圾邮件)业务流从Email的内容上看是完全一致的,只有通过对用户行为进行分析,才能够准确地识别出SPAM业务。
这三类识别技术分别适用于不同类型的应用协议,无法相互替代,只有综合地运用这些技术,才能灵活有效地识别网络上的应用。
3 IP业务控制技术
3.1 流量控制技术
网络流量控制的目标是及时了解正在运行的网络中业务流量的具体分布情况,及时地了解网络延迟、网络拥塞等情况,并在此基础上对网络流量进行登记、统计和分析,从而使得网络管理员能够根据实际情况制定出及时有效的网络流量控制策略,确保重要业务数据不延迟、不丢弃,保证网络的高效运行。
如果网络中没有实施流量控制策略机制,而是采取服务质量的尽力而为服务模式,任凭网络用户随时发出任意数量的数据,那么这种网络将是非常不稳定的,甚至有崩溃的可能性。因为这种尽力而为的服务模式的流量控制是不采取任何策略机制的,发送和接收数据不需要得到事先批准,也不需要通知网络,网络中的数据没有大小、谁优先之说,哪个数据先到达就先为哪个数据进行服务。通常服务质量的尽力而为模式是现在互联网的默认服务模型,实现这种服务的调度算法通常是先进先出队列,该模式比较适合于传输传统的业务流量,对服务质量有较高要求的网络业务显然不适合。
主流的流量控制技术包括:TCP窗口整形技术、旁路干扰技术、PFQ技术等[2]。
(1)TCP窗口整形技术
TCP窗口整形技术是流量控制中一种重要技术。TCP窗口整形技术的实现方法是:接收方根据自己的数据接受能力,通过滑动窗口机制来限制发送方的数据传输速率。其实现方式举例如下:在主机X、Y之间架设一个流量控制设备,如果主机X和Y需要相互通信,那么主机X、Y必须通过中间架设的流量控制设备进行通信。即如果主机X和Y之间需要建立一个TCP连接并进行通信,则主机X和Y不直接握手,而是分别和流量控制设备建立握手,然后流量控制设备就可以根据自己的策略配置来调整TCP窗口的大小,之后通知主机X、Y按照调整后TCP窗口的大小来进行数据传送,从而达到流量控制的目的。
国务院关于重大决策部署开展情况实地督察,每一个督察组也都有明察暗访。第二十四督察组目睹了某地车管所上午九点才上班,十一点就停止工作;大货车司机排长队等待查验,被定成不合格,再找黑中介交2000元钱立马合格。桩桩件件督察组看在眼里、记在心上。他们感慨,这才把百姓办事难真正看清了,将这个车管所的四名负责人免职、处分,冤枉吗?!
TCP窗口整形技术的优势在于:该技术可以对每个TCP会话进行监控和干扰,能够有效控制信息源发送信息量的数量、发送时间和频率,而且通过TCP窗口整形使流量变得平滑,并且传输效率有较大提高。TCP窗口整形技术不釆用队列技术,网络中所有主机发送的数据量能够得到统一控制,路由器上不会堆积大量队列,这样可以减小信息的丢失率,降低重发率。不过TCP窗口整形技术劣势也是比较明显的:首先这项技术不支持UDP流量控制,因此,网络中的大部分P2P应用和VoIP应用就得不到有效控制。而且在流量较大情况下,控制会出现较大误差,因此TCP窗口整形的应用存在一定的局限性。
(2)旁路干扰技术
旁路干扰技术与TCP窗口整形技术的最大区别在于:旁路干扰技术的控制设备不是用串联的方式部署在网络中,而是旁路部署在网络中的,因此,它不需要与通信双方的主机建立握手过程。对于TCP流量,控制设备会复制流量的五元组信息,即源端口、目的端口、源地址、目的地址以及协议类型,然后交换通信双方的端口和IP地址,伪装成数据流通信的双方,将干扰的数据包发给源地址或目的地址,中断双方的数据流连接或是引发TCP重传,从而达到流量控制的目的。对于UDP流量,由于UDP数据包本身没有状态协议,因此无法在第四层进行干扰,但可以通过对第七层的协议信令进行干扰,从而达到流量控制的目的。
旁路干扰模式对链路的影响较小,扩展能力较强。但是其基于旁路的部署方式使得该模式的控制能力有所下降。
(3)PFQ技术
PFQ(Per-Flow Queuing)的机制是:不是通过调整TCP窗口的大小来控制流量,而是建立若干队列,每个流对应不同的队列,而后通过调整队列的大小来让流有序的通过。例如:VoIP应用数据流限制为2M/S,就先定义一个2M大小的队列,经过流量识别处理之后,把识别为VoIP应用的数据流放入这个队列中。由于队列的容积被限制在2M,所以进入的VoIP流量就被自然地限制在了2M之内。此外,还可以将队列进行细分,如VoIP队列可以细分为许多的小队列,分别对应VoIP协议的不同应用,如Skype,MSN等,这样就可以实现更为精细化的控制。
PFQ是一种直接实现IP QoS的机制,它的主要优点是:该机制能够最大限度的使用可用带宽,这就确保了最高的链接使用率;此外,它的精确性也非常的高,可以依据不同的策略定义来控制网络带宽。由于定义的队列相互不同,因此就避免了冲突和数据包丢失,使得流量畅通。并且队列技术采用的是公平排队,两个具有同样优先级的连接会得到同样的带宽,这也克服了TCP窗口技术误差较大的缺点,此外该机制可以对TCP流和UDP流釆用相同的算法,能够实现了大流量控制的需求。
3.2 基于策略的业务控制技术
其识别和控制流程图3所示。
图3 DPI的识别和控制流程
其中,DPI的业务控制功能包括阻断、重定向、重标识、速率限制、会话数限制、配额限制、QoS等。
(1)阻断(deny)
阻断功能与路由器、交换机等网络设备的阻断功能相似,对数据包执行相应的配置策略,数据包识别后在进入DPI设备时被丢弃。
(2)重定向(redirect)
重定向功能通过更改下一跳的IP地址或更改访问的URL来实现,将流量重定向到另一个设备或将浏览器重定向到一个URL。
(3)重标识(remark)
重标识(remark)功能是对业务进行识别后更改业务流的类别标记,该类别标记在DiffServ体系中指DSCP,即为IP报文头部TOS字段的前6个bits。目前RFC主要定义了BE、EF、AF3种标准业务,并定义了AF的4个类别3种丢弃级别。重标识对目标应用进行分组后实施优先级管理,主要是降低一些不受欢迎的应用分组的处理优先级。
(4)限速(limit rate)
限速功能是对业务流设置突发信息速率PIR和承诺信息速率CIR,或同时设置突发信息速率PIR和承诺信息速率CIR,限速可以针对单向或双向的流量。
(5)配额限制(quota)
配额限制功能是对目标应用设定时长配额和流量配额等,超出配额部分丢弃;该功能也可结合计费策略,对超出计费配额部分额外收费。
(6)QoS
QoS功能是指通过队列调度机制、优先转发机制、流量整形机制和丢弃算法等对业务流量进行控制。对于识别出的每类业务,DPI可以根据预先设置的组合条件,如带宽、历史流量、用户、时间等,对业务流进行控制。
业务控制的策略一般集中配置在策略服务器中,下发给业务控制设备或网关执行。
4 基于DPI的网络精细化管控技术架构
针对通信网,网络精细化管控的目标是:
1)流量管理:控制P2P流量,防止这种“垃圾流量”占用了太多的带宽,而影响其它应用;
2)安全:识别出并能抑制DOS攻击和其它的恶意危害网络安全的行为;
3)网络资源使用的控制;
4)业务优化:例如个性业务和内容过滤;
5)全局业务控制策略应用。
结合前面的技术分析,本文提出基于DPI的网络精细化管控技术架构。该技术架构的优势在于:该技术架构弥补了传统网管系统缺乏网络感知能力,尤其是应用层业务的感知能力,以及缺乏控制能力的缺陷,基于该技术架构的网管系统能够提供网络安全态势分析、用户行为分析和差异化服务等精细化管控能力。该技术架构如图4所示。
图4 基于DPI的网络精细化管控技术架构
(1)采集层功能
数据采集层从网络接口获取网络数据包,采集对象包括:流量数据、Qos数据和应用数据。
(2)识别控制层功能
识别功能模块内置可更新的网址分类库及应用识别库,根据业务特征精确识别应用业务。
识别功能模块将识别结果输出到策略服务器,由策略服务器生成业务控制策略下发业务控制模块。
(3)应用层
基于DPI的网络精细化管控系统的应用包括:安全态势分析、用户行为分析和差异化服务。
5 结语
本论文对基于DPI的网络精细化管控技术涉及的关键技术进行了分析和研究,并且提出了基于DPI的网络精细化管控技术架构,该技术研究成果对实现网络精细化管控具有指导意义。
[1] 陈绣瑶.DPI带宽管理技术的研究与应用[J].计算机与现代化,2010(9):59-61.
[2] 程园杰.基于DPI技术的流量控制系统的设计与实施[D].北京:北京邮电大学,2012.
[3] 王洪波.基于RouterOS系统的流量控制策略研究[D].成都:电子科技大学,2012.
Study on Fine Control of Network based on DPI
ZUO Wei
(Navy Minitary Representation Office in Chengdu,Chengdu Sichuan 610041,China)
The traditional DPI technology is often used in the field of network security.At present,owing to the development trend of DPI technology,it is extemely urgent to make the research of the DPI technology applies in network management.This paper introduces the key technologies such as the DPI and IP service control,and proposes the architecture of DPI-based fine control of network.
fine control of network;DPI;service control
TN918.91
A
1009-8054(2015)01-0090-05
2014-10-20
左 卫(1971—),男,本科,工程师,主要研究方向为通信技术。■