摘要:本文通過(guò)對(duì)IP骨干網(wǎng)絡(luò)帶寬管理需求和網(wǎng)絡(luò)結(jié)構(gòu)的分析,結(jié)合DPI和DFI兩種帶寬管理技術(shù)體系的特點(diǎn),對(duì)運(yùn)營(yíng)商不同網(wǎng)絡(luò)環(huán)境的帶寬控制重點(diǎn)進(jìn)行了分析并提出了帶寬管理技術(shù)的選擇建議。
1 IP網(wǎng)絡(luò)帶寬管理及應(yīng)用優(yōu)化需求分析
隨著互聯(lián)網(wǎng)的逐步發(fā)展,網(wǎng)上用戶和業(yè)務(wù)流量在不斷增長(zhǎng),除傳統(tǒng)數(shù)據(jù)業(yè)務(wù)外,網(wǎng)絡(luò)電話、網(wǎng)絡(luò)視頻、P2P下載等新型網(wǎng)絡(luò)應(yīng)用使得骨干網(wǎng)絡(luò)中話音、視頻、點(diǎn)到點(diǎn)下載流量在呈幾何基數(shù)級(jí)膨脹趨勢(shì)。今天的互聯(lián)網(wǎng)用戶中,沒(méi)有聽說(shuō)或使用過(guò)Skype、QQ、MSN、BT、Emule、PPLive等應(yīng)用的恐怕已經(jīng)是極少數(shù)。
對(duì)于用戶而言,新型的業(yè)務(wù)和流量類型使他們的網(wǎng)上應(yīng)用變得種類繁多日益豐富;對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商而言,用戶和業(yè)務(wù)流量的增長(zhǎng)在表面看來(lái)是再好不過(guò)的事情,但事實(shí)情況往往事與愿違:
目前,國(guó)內(nèi)各級(jí)運(yùn)營(yíng)商的網(wǎng)絡(luò)從網(wǎng)內(nèi)匯聚鏈路到核心網(wǎng)絡(luò)出口鏈路都不同程度地存在帶寬資源緊張的問(wèn)題。某運(yùn)營(yíng)商在其國(guó)內(nèi)互聯(lián)出口擴(kuò)容一條2.5G電路的第2天,該條鏈路的利用率就達(dá)到了90%以上;
在不斷增長(zhǎng)的網(wǎng)絡(luò)業(yè)務(wù)流量當(dāng)中,只有一部分是能夠給目前的骨干網(wǎng)運(yùn)營(yíng)商帶來(lái)真正業(yè)務(wù)收益的流量。許多“低價(jià)值”的業(yè)務(wù)流量在最大限度的侵占網(wǎng)絡(luò)帶寬的同時(shí),對(duì)很多運(yùn)營(yíng)商的當(dāng)前業(yè)務(wù)造成一定程度的沖擊和影響,丟包率、網(wǎng)絡(luò)時(shí)延及抖動(dòng)大大增加,網(wǎng)絡(luò)服務(wù)質(zhì)量惡化,部分對(duì)端到端QoS要求較高的語(yǔ)音、視頻、游戲類業(yè)務(wù)的發(fā)展受到很大影響。
對(duì)于今天的骨干網(wǎng)運(yùn)營(yíng)商而言,通過(guò)適當(dāng)?shù)膸捁芾砑夹g(shù)來(lái)解決帶寬增長(zhǎng)與業(yè)務(wù)收益、網(wǎng)絡(luò)擴(kuò)容與用戶體驗(yàn)之間的不對(duì)稱關(guān)系,實(shí)現(xiàn)對(duì)用戶和業(yè)務(wù)的分級(jí)化識(shí)別管理,和基于用戶和用戶業(yè)務(wù)流量的管理和計(jì)費(fèi)顯得尤為重要。
2 主流帶寬管理技術(shù)介紹
一般情況下,我們可以通過(guò)IP包頭中的“5 Tuples”,即“五元組”信息來(lái)確定當(dāng)前流量的基本信息,如源、目標(biāo)地址,協(xié)議類型,源、目的端口號(hào);在傳統(tǒng)的網(wǎng)絡(luò)中,IP路由器也正是通過(guò)這一系列信息來(lái)實(shí)現(xiàn)一定程度的流量識(shí)別和QoS。但隨著網(wǎng)上應(yīng)用類型的不斷豐富,僅通過(guò)第四層端口信息已經(jīng)不能夠真正判斷流量中的應(yīng)用類型,基于開放端口、隨機(jī)端口甚至采用加密方式進(jìn)行傳輸?shù)膽?yīng)用類型在目前的網(wǎng)絡(luò)中比比皆是,在這種情況下,傳統(tǒng)的流量識(shí)別和QoS控制技術(shù)逐漸顯得捉襟見肘。通過(guò)加大對(duì)網(wǎng)絡(luò)流量的監(jiān)控緯度,可以在一定程度上比較準(zhǔn)確地識(shí)別流量中的用戶應(yīng)用類型,目前在這一領(lǐng)域主要可以分為DPI(深度包檢測(cè))和DFI(深度/動(dòng)態(tài)流檢測(cè))兩大技術(shù)體系。
·DPI(Deep Packet Inspection)深度包檢測(cè)技術(shù)
DPI技術(shù)是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù),當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過(guò)基于DPI技術(shù)的帶寬管理系統(tǒng)時(shí),該系統(tǒng)通過(guò)深入讀取IP包載荷的內(nèi)容來(lái)對(duì)OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組,從而得到整個(gè)應(yīng)用程序的內(nèi)容,然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行整形操作。
基于DPI技術(shù)的帶寬管理解決方案與我們熟知的防病毒軟件系統(tǒng)在某些方面比較類似,即其能識(shí)別的應(yīng)用類型必須為系統(tǒng)已知的,以用戶熟知的BT為例,其Handshake的協(xié)議特征字為“.BitTorrent Protocol”;換句話說(shuō),防病毒系統(tǒng)后臺(tái)要有一個(gè)龐大的病毒特征數(shù)據(jù)庫(kù),基于DPI技術(shù)的帶寬管理系統(tǒng)也要維護(hù)一個(gè)應(yīng)用特征數(shù)據(jù)庫(kù),當(dāng)流量經(jīng)過(guò)時(shí),通過(guò)將解包后的應(yīng)用信息與后臺(tái)特征數(shù)據(jù)庫(kù)進(jìn)行比較來(lái)確定應(yīng)用類型;而當(dāng)有新的應(yīng)用出現(xiàn)時(shí),后臺(tái)的應(yīng)用特征數(shù)據(jù)庫(kù)也要更新才能具有對(duì)新型應(yīng)用的識(shí)別和控制能力。
·DFI(Deep/Dynamic Packet Inspection)深度/動(dòng)態(tài)流檢測(cè)技術(shù)
DFI技術(shù)是一種較新的應(yīng)用流量監(jiān)控技術(shù),與DPI進(jìn)行應(yīng)用層的載荷匹配不同,DFI采用的是一種基于流量行為的應(yīng)用識(shí)別技術(shù),即不同的應(yīng)用類型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)各有不同。
例如,網(wǎng)上IP話音流量體現(xiàn)在流狀態(tài)上的特征就非常明顯:RTP流的包長(zhǎng)相對(duì)固定,一般在130到220字節(jié)之間,連接速率較低,在20kbps至84kbps之間,同時(shí)會(huì)話持續(xù)時(shí)間也相對(duì)較長(zhǎng);而基于P2P下載應(yīng)用的流量模型特點(diǎn)為平均包長(zhǎng)都在450字節(jié)以上、下載時(shí)間長(zhǎng)、連接速率高、首選傳輸層協(xié)議為TCP等;DFI技術(shù)正是基于這一系列流量的行為特征,通過(guò)分析會(huì)話連接流的包長(zhǎng)、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來(lái)鑒別應(yīng)用類型。
·技術(shù)比較
從DPI和DFI兩種帶寬管理技術(shù)體系的原理不難看出,兩者在應(yīng)用識(shí)別準(zhǔn)確度、系統(tǒng)處理能力、控制力度、維護(hù)成本等方面還是存在著一定的差異。
應(yīng)用識(shí)別:如果把網(wǎng)絡(luò)中將來(lái)要部署的帶寬管理系統(tǒng)比作一個(gè)郵局的話,采用DPI技術(shù)的郵局對(duì)每一封過(guò)往的郵件(即數(shù)據(jù)包)都要打開信封,讀完信件內(nèi)容后才把信再次送出去;而采用DFI技術(shù)的郵局則只是根據(jù)信封大小、體積、重量、厚薄程度等狀態(tài)信息來(lái)判斷信件內(nèi)容的大概。由此可見,采用DPI方式可以對(duì)流量中的具體應(yīng)用類型做到比較準(zhǔn)確的識(shí)別,如對(duì)于P2P的下載流量可以通過(guò)讀取包的內(nèi)容而獲知應(yīng)用是BT、EDonkey還是Thunder等哪一種具體類型;而采用DFI方式只能對(duì)應(yīng)用進(jìn)行大致分類,如對(duì)滿足上述流量模型的應(yīng)用統(tǒng)一識(shí)別為P2P流量,對(duì)滿足IP話音流量模型的應(yīng)用統(tǒng)一歸類為VoIP流量,而無(wú)法判斷該話音流量是基于SIP還是H.323等不同協(xié)議應(yīng)用。但是,如果應(yīng)用流量是經(jīng)過(guò)加密后在網(wǎng)上傳輸?shù),采用DPI方式的流控技術(shù)則無(wú)能為力,原理很簡(jiǎn)單:回到剛才郵局的例子,如果信件是用密文寫的,如果沒(méi)有解密算法,打開信封后面對(duì)的只能是一堆亂碼;而DFI方式的流控技術(shù)則不受影響,應(yīng)用流的狀態(tài)特征不會(huì)因加密與否而改變。
系統(tǒng)處理能力:在同等的硬件條件下,檢測(cè)任務(wù)多的系統(tǒng)肯定要比檢測(cè)任務(wù)少的系統(tǒng)耗費(fèi)更多的資源和時(shí)間,采用DPI技術(shù)由于要逐包進(jìn)行拆包操作,并與后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行匹配,因此對(duì)系統(tǒng)的處理能力要求相對(duì)較高;采用DFI技術(shù)進(jìn)行流量分析則可以達(dá)到比較高的處理能力。目前多數(shù)基于DPI的帶寬管理系統(tǒng)所能達(dá)到的處理能力一般在線速1G左右,而基于DFI的系統(tǒng)則可以達(dá)到線速10G的流量監(jiān)控能力。
控制效果:采用DPI和DFI技術(shù)的帶寬管理系統(tǒng)在對(duì)具體應(yīng)用進(jìn)行帶寬控制的時(shí)候采用的基本上都是TCP的滑窗機(jī)制或隊(duì)列控制技術(shù),都可以實(shí)現(xiàn)對(duì)應(yīng)用流量的最大、最小帶寬保障或阻斷等控制效果。
維護(hù)成本:基于DPI技術(shù)的帶寬管理系統(tǒng)需通過(guò)升級(jí)后臺(tái)應(yīng)用數(shù)據(jù)庫(kù)來(lái)支持對(duì)新型應(yīng)用的識(shí)別,因此需要定期升級(jí)后臺(tái)應(yīng)用特征數(shù)據(jù)庫(kù);基于DFI技術(shù)的系統(tǒng)在管理維護(hù)上的工作量要少于DPI的系統(tǒng),原因是同一類型的應(yīng)用其流量模型相對(duì)固定,如P2P下載流量,即使有新的應(yīng)用出現(xiàn),其流量特征不會(huì)出現(xiàn)大的變化。
3 帶寬管理技術(shù)應(yīng)用分析
根據(jù)前面的技術(shù)分析,DPI和DFI兩種技術(shù)體系各有利弊,而目前運(yùn)營(yíng)商對(duì)帶寬管理的具體需求也隨控制點(diǎn)位置的不同而各有側(cè)重,只有在適合的位置選擇了適合的控制技術(shù)才真正能夠?qū)崿F(xiàn)理想的帶寬控制效果。
運(yùn)營(yíng)商的IP骨干網(wǎng)通常可分為三級(jí)結(jié)構(gòu):核心層、流量匯聚層、業(yè)務(wù)接入層,如圖1(運(yùn)營(yíng)商網(wǎng)絡(luò)帶寬管理需求點(diǎn)分析)所示:
Internet數(shù)據(jù)、VPN、IP話音等等不同類型的用戶業(yè)務(wù)通過(guò)DSL、城域?qū)拵У确绞浇尤霕I(yè)務(wù)接入層,由城域網(wǎng)內(nèi)的多業(yè)務(wù)交換機(jī)或路由器匯聚(圖1所示位置3)至地市節(jié)點(diǎn)的節(jié)點(diǎn)路由器;流量匯聚層一般以省為單位,每個(gè)地市的匯聚路由器通過(guò)雙星型或Mesh鏈路上連至省網(wǎng)匯聚核心節(jié)點(diǎn)路由器;在圖1位置2處省網(wǎng)匯聚路由器通過(guò)背靠背的連接將流量匯聚至網(wǎng)絡(luò)核心層的骨干網(wǎng)路由器;通常情況下,骨干網(wǎng)通過(guò)幾個(gè)集中的POP點(diǎn)與其他運(yùn)營(yíng)商的骨干網(wǎng)互聯(lián)互通,交換路由和用戶業(yè)務(wù)流量。
圖1:運(yùn)營(yíng)商網(wǎng)絡(luò)帶寬管理需求點(diǎn)分析
多數(shù)運(yùn)營(yíng)商會(huì)首先選擇在全網(wǎng)出口節(jié)點(diǎn),即圖1所示的位置1處,在整個(gè)網(wǎng)絡(luò)與其他運(yùn)營(yíng)商網(wǎng)絡(luò)或NAP點(diǎn)互聯(lián)的出口鏈路實(shí)施第一階段的帶寬管理和流量?jī)?yōu)化,在該位置進(jìn)行流量?jī)?yōu)化的首要目的是為了減少網(wǎng)絡(luò)中“低價(jià)值”業(yè)務(wù)流量對(duì)出口帶寬的侵占,緩解出口電路的擁塞狀況,減輕網(wǎng)絡(luò)擴(kuò)容壓力。
接下來(lái),可在網(wǎng)絡(luò)匯聚層和業(yè)務(wù)接入層實(shí)施進(jìn)一步的帶寬管理措施,除了優(yōu)化流量成分外,在圖示位置2和3處應(yīng)該進(jìn)一步強(qiáng)調(diào)帶寬“管理”的概念,即不單單通過(guò)帶寬管理系統(tǒng)限制某幾類應(yīng)用的帶寬,而更應(yīng)該通過(guò)該系統(tǒng)的帶寬保障作用,對(duì)網(wǎng)內(nèi)用戶關(guān)注的實(shí)時(shí)交互業(yè)務(wù)、大客戶業(yè)務(wù)流量等“高價(jià)值”流量提供服務(wù)質(zhì)量保障,為其提供全程全網(wǎng)的QoS保障和SLA承諾。
結(jié)合表1中不同帶寬管理需求點(diǎn)的鏈路類型,在全網(wǎng)實(shí)施帶寬管理的初期,可首先在網(wǎng)絡(luò)核心和匯聚鏈路中集中部署基于DFI的帶寬管理系統(tǒng),利用對(duì)高速鏈路環(huán)境的支持和良好的系統(tǒng)處理能力,在骨干網(wǎng)核心提供一個(gè)高效的應(yīng)用識(shí)別和帶寬分配機(jī)制,保障有效的流控控制效果;隨后在用戶業(yè)務(wù)接入側(cè)部署基于DPI的帶寬管理系統(tǒng),一方面可為應(yīng)用流量提供進(jìn)一步較為精確的識(shí)別和控制,另一方面可通過(guò)對(duì)用戶業(yè)務(wù)流量的分析和統(tǒng)計(jì),掌握用戶對(duì)業(yè)務(wù)需求的第一手資料,在保障網(wǎng)絡(luò)不同業(yè)務(wù)QoS的同時(shí)開發(fā)更多用戶關(guān)注的新業(yè)務(wù)應(yīng)用,真正把網(wǎng)絡(luò)帶寬變成可有機(jī)利用、按需分配的資源。
作者:王超 趙文杰 來(lái)源:泰爾網(wǎng)