烽火DPI打造可控高效的廣電網(wǎng)絡(luò)[圖]

摘要：本文闡述了如何應(yīng)用烽火DPI設(shè)備解決目前廣電運(yùn)營商網(wǎng)絡(luò)存在的不能對流量進(jìn)行精細(xì)化管理控制問題。

一、DPI技術(shù)背景

當(dāng)前很多地方廣電開展寬帶接入業(yè)務(wù)的時(shí)候，都是通過租用或者合作的形式獲得互聯(lián)網(wǎng)出口資源，也就是說，廣電城域網(wǎng)的出口帶寬成本是很高的。為了充分利用出口帶寬資源，提高單位帶寬創(chuàng)造的效益，就需要對P2P等一些價(jià)值較低的流量進(jìn)行管控。另外，傳統(tǒng)電視節(jié)目將和互聯(lián)網(wǎng)互通，如何保證電視節(jié)目傳輸安全以及QoS，對于網(wǎng)絡(luò)的管理和控制將顯得尤為重要（圖1.1）。

圖1.1 各種業(yè)務(wù)對帶寬的搶占

DPI技術(shù)的出現(xiàn)，為廣電運(yùn)營商帶來了曙光，通過部署DPI系統(tǒng)，可以實(shí)現(xiàn)：

• 可視化全網(wǎng)：可以深入了解整個網(wǎng)絡(luò)帶寬由哪些應(yīng)用占用（P2P/WEB TV/流媒體/IM/Games等。）

• 流量精細(xì)化管理：通過靈活的帶寬管理機(jī)制（帶寬整形、QoS管理、限速、提速、封堵等），來限制“高消耗、低價(jià)值”的業(yè)務(wù)和用戶，從而有效的保障關(guān)鍵業(yè)務(wù)、關(guān)鍵用戶，提升用戶感知，提高帶寬使用的性價(jià)比。

• 豐富的QoS提供能力：根據(jù)不同的QoS需求，可提供CBR、VBR、UBR業(yè)務(wù)，可以在IP網(wǎng)絡(luò)中提供虛擬專線業(yè)務(wù)。

• 及時(shí)發(fā)現(xiàn)和抑制異常流量：可從網(wǎng)絡(luò)通路上第一時(shí)間攔截異常流量，避免其對網(wǎng)絡(luò)造成破壞性影響。

• 透視全網(wǎng)服務(wù)質(zhì)量，保障關(guān)鍵業(yè)務(wù)質(zhì)量：可透視全網(wǎng)各種業(yè)務(wù)的延時(shí)、抖動、帶寬占用等QoS指標(biāo)，從而精確定位QoS劣化點(diǎn)。

• 智能業(yè)務(wù)性能分析，減少網(wǎng)絡(luò)癱瘓和性能劣化的時(shí)間。

• 減少或延遲帶寬投入，降低網(wǎng)絡(luò)運(yùn)營成本：通過烽火科技DPI產(chǎn)品解決方案所提供的長期統(tǒng)計(jì)報(bào)告，可以準(zhǔn)確了解網(wǎng)絡(luò)帶寬過去、現(xiàn)在和將來的總體使用情況，識別出實(shí)際帶寬需求小于實(shí)際分配（租用）帶寬的鏈路。對于廣域網(wǎng)（WAN）連接，可以減少或者推遲網(wǎng)絡(luò)升級計(jì)劃（例如升級為千兆網(wǎng)，購買新的路由器等）；從而節(jié)省了大筆費(fèi)用。通過量化依據(jù)為帶寬擴(kuò)容提供科學(xué)的決策支持。

• 轉(zhuǎn)變被動維護(hù)局面，先于用戶發(fā)現(xiàn)故障：烽火科技DPI產(chǎn)品以其迅捷的故障響應(yīng)機(jī)制和完善的主動監(jiān)測流程為寬帶網(wǎng)絡(luò)的運(yùn)營維護(hù)提供全面的保障機(jī)制，加快故障響應(yīng)處理速度，縮短平均故障響應(yīng)時(shí)間，大大提高了維護(hù)效率。

• 提高市場競爭力，樹立移動寬帶精品網(wǎng)品牌。

二、DPI核心技術(shù)

2.1  DPI與普通檢測技術(shù)區(qū)別

普通的報(bào)文檢測往往僅分析IP分組的四層以下內(nèi)容，一般包括源地址、源端口、目的地址、目的端口以及協(xié)議類型，如圖1.2所示。

圖1.2 傳統(tǒng)的IP頭部報(bào)文分析

然而，僅通過分析IP地址和端口來識別業(yè)務(wù)存在很多的問題，包括：

1．端口可變的業(yè)務(wù)。比如BT/EDK等業(yè)務(wù)，可以由用戶自行設(shè)定端口。

2．隱藏在合法端口之后的隧道業(yè)務(wù)。比如為躲避防火墻封鎖而隱藏在80端口通過隧道傳輸VoIP語音或數(shù)據(jù)的應(yīng)用。

3．IP地址可變業(yè)務(wù)。比如部分應(yīng)用為了逃避封鎖，不斷變換IP地址。

4．交互式業(yè)務(wù)。比如FTP/流媒體/VoIP等，其媒體流的端口是通過交互協(xié)商出來的，非固定端口。

DPI，Deep Packet Inspection，深度包檢測，通常簡稱為DPI。所謂深度分組包檢測是相對普通報(bào)文檢測而言的一種新的檢測技術(shù)，即對第七層，也即應(yīng)用層的內(nèi)容（凈荷）進(jìn)行深度分析，從而根據(jù)應(yīng)用層的凈荷特征識別其應(yīng)用類型或內(nèi)容。如圖1.3所示。當(dāng)IP數(shù)據(jù)包、TCP或者UDP數(shù)據(jù)流經(jīng)過基于DPI技術(shù)的網(wǎng)絡(luò)設(shè)備時(shí)，DPI引擎通過深入讀取IP包載荷的內(nèi)容來對OSI 7層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而識別出IP包的應(yīng)用層協(xié)議。

圖1.3 DPI技術(shù)對應(yīng)用特征的分析

DPI技術(shù)是通過深入重組、分析第七層分組的凈荷內(nèi)容，匹配業(yè)務(wù)特征，從而判斷業(yè)務(wù)和應(yīng)用類型，DPI技術(shù)可以細(xì)分不同的應(yīng)用類型。

2.2  DPI技術(shù)介紹

DPI技術(shù)主要應(yīng)用于業(yè)務(wù)識別和帶寬管理領(lǐng)域，下面就分別將這兩項(xiàng)主要技術(shù)進(jìn)行詳細(xì)闡述。

2.2.1  業(yè)務(wù)識別技術(shù)

不同的應(yīng)用通常會采用不同的協(xié)議，而各種協(xié)議都有其特殊的特征（除加密應(yīng)用），這些特征可能是特定的端口、特定的字符串或者特定的Bit序列�；�于凈荷特征匹配技術(shù)，正是通過識別數(shù)據(jù)報(bào)文中的凈荷特征來確定業(yè)務(wù)流所承載的應(yīng)用。根據(jù)具體檢測方式的不同，基于凈荷特征匹配技術(shù)又可細(xì)分為固定（或可變）位置特征匹配、多連接聯(lián)合匹配和狀態(tài)特征匹配四種分支技術(shù)。通過對特征信息的升級，基于凈荷特征匹配技術(shù)可以很方便地?cái)U(kuò)展到對新協(xié)議的檢測。

2.2.2  帶寬管理技術(shù)

串聯(lián)流量控制

串接流控通常以透明模式串接到網(wǎng)絡(luò)設(shè)備中使用。通過對網(wǎng)絡(luò)上的各種類型的應(yīng)用流量進(jìn)行分類，并根據(jù)控制策略，可將需要控制的P2P 流量數(shù)據(jù)包丟棄。P2P 數(shù)據(jù)傳輸?shù)膬啥丝蛻舳擞捎谠僖欢ǖ臅r(shí)間內(nèi)未收到數(shù)據(jù)包或確認(rèn)信息，將啟用TCP/IP 協(xié)議的擁塞控制機(jī)制或應(yīng)用層協(xié)議進(jìn)行降速傳輸，從而實(shí)現(xiàn)對P2P流量進(jìn)行控制的目的。

并聯(lián)干擾控制

旁路干擾控制主要采用數(shù)據(jù)包偽裝技術(shù)將偽裝的干擾數(shù)據(jù)包發(fā)到正在通信的TCP、UDP 連接中降低連接的數(shù)據(jù)傳輸速率或者切斷連接以達(dá)到流量控制的目的。由于P2P 數(shù)據(jù)傳輸采用TCP 或UDP方式，因此旁路干擾控制的流量控制方法有如下幾種：

▪ TCP 截?cái)啵�通過偽造并發(fā)送TCP RST 報(bào)文來截?cái)郥CP 連接。

▪ TCP 降速，通過偽造并發(fā)送特殊sequence 報(bào)文來減小TCP 的滑動窗口值。

▪ UDP 截?cái)�，通過偽造并發(fā)送P2P 應(yīng)用層特殊控制命令方式來截?cái)郩DP 連接。

▪ UDP 降速，通過偽造并發(fā)送P2P 應(yīng)用層特殊控制命令方式來降低UDP連接的傳送速率。

2.2.3  DPI的核心－應(yīng)用特征庫

DPI技術(shù)的核心點(diǎn)在于如何維護(hù)一個高準(zhǔn)確性、高實(shí)時(shí)性的應(yīng)用特征庫，從而保障應(yīng)用特征識別的準(zhǔn)確性、實(shí)時(shí)性，進(jìn)而保障運(yùn)營商對應(yīng)用的管控準(zhǔn)確性和實(shí)時(shí)性。目前運(yùn)營商已建設(shè)的DPI系統(tǒng)普遍遭遇到應(yīng)用特征更新不及時(shí)、管控效果不佳等問題，均來源于特征庫的準(zhǔn)確性和實(shí)時(shí)性無法得到及時(shí)保障。

2.3  烽火DPI功能

用戶行為分析控制：

它能在轉(zhuǎn)發(fā)流量的同時(shí)識別各種網(wǎng)絡(luò)應(yīng)用、并實(shí)時(shí)調(diào)整不同的網(wǎng)絡(luò)應(yīng)用占用的帶寬資源，達(dá)到優(yōu)化網(wǎng)絡(luò)的效果。用戶行為分析控制系統(tǒng)可以滿足10～100,000用戶不同規(guī)模網(wǎng)絡(luò)的控制處理，支持多條互聯(lián)網(wǎng)服務(wù)提供商鏈路，多個用戶區(qū)域分區(qū)控制。并可以同時(shí)支持光口、電口兩種網(wǎng)絡(luò)接口，兼容各種網(wǎng)絡(luò)，可以輕松對多個鏈路進(jìn)行控制。用戶行為分析控制系統(tǒng)適用于大中小型企事業(yè)、高校、運(yùn)營商等各種網(wǎng)絡(luò)環(huán)境。

共享上網(wǎng)檢測：

共享上網(wǎng)檢測系統(tǒng)是專為廣電運(yùn)營商ISP設(shè)計(jì)的，用來協(xié)助廣電相關(guān)部門檢測出哪些用戶使用同一個賬戶共享上網(wǎng)，檢測黑網(wǎng)吧，避免廣電收費(fèi)流失。并可對檢測出的非法使用進(jìn)行阻斷、警告、事后處理等處理方式。

互聯(lián)網(wǎng)訪問控制：

互聯(lián)網(wǎng)訪問控制系統(tǒng)通過捕獲用戶訪問請求，分析和識別用戶所訪問的內(nèi)容屬于哪一類別，然后根據(jù)不同用戶的過濾規(guī)則允許或禁止用戶訪問其內(nèi)容，同時(shí)把網(wǎng)內(nèi)用戶的所有訪問請求產(chǎn)生一個詳細(xì)報(bào)告，通過該報(bào)告可以實(shí)現(xiàn)對網(wǎng)內(nèi)Internet用戶訪問行為的監(jiān)控、統(tǒng)計(jì)和管理，輔助運(yùn)營商進(jìn)行決策分析�；ヂ�(lián)網(wǎng)訪問控制系統(tǒng)擁有完善的網(wǎng)站分類數(shù)據(jù)庫，可對網(wǎng)絡(luò)中的每個用戶的明細(xì)訪問行為進(jìn)行監(jiān)控，分析其目的網(wǎng)址的分類，并生成各類圖表供ISP運(yùn)營商和管理者分析決策。

互聯(lián)網(wǎng)信息發(fā)布：

互聯(lián)網(wǎng)信息發(fā)布系統(tǒng)突破了傳統(tǒng)基于網(wǎng)站的互聯(lián)網(wǎng)廣告的被動“拉”模式，如訪問新浪只能看到新浪的廣告，而看不到搜狐的廣告，互聯(lián)網(wǎng)信息發(fā)布系統(tǒng)所推送的內(nèi)容不在受用戶訪問站點(diǎn)的限制，只要是ISP網(wǎng)內(nèi)的用戶瀏覽網(wǎng)頁，就可以接收到推送的內(nèi)容。同時(shí)能夠通過收集的用戶上網(wǎng)信息，為運(yùn)營商了解、分析寬帶用戶的運(yùn)行情況，提供重要的參考數(shù)據(jù)與及時(shí)的反饋提升寬帶服務(wù)的質(zhì)量。

三、DPI典型部署方式

3.1  固定寬帶互聯(lián)網(wǎng)

串聯(lián)式部署

系統(tǒng)通過BYPASS設(shè)備串聯(lián)接入到網(wǎng)絡(luò)中,對網(wǎng)絡(luò)中的流量進(jìn)行分析監(jiān)控,針對非法流量進(jìn)行策略操作。

這種部署方式優(yōu)點(diǎn)在于部署簡單，準(zhǔn)確監(jiān)控所有流量，可操作的策略多。可適應(yīng)運(yùn)營商各種不同的鏈路環(huán)境，但缺點(diǎn)在于增加網(wǎng)絡(luò)節(jié)點(diǎn)。

并聯(lián)式部署

系統(tǒng)通過基于ATCA的一體化設(shè)備對鏈路從業(yè)務(wù)、流量、質(zhì)量、安全等維度進(jìn)行分析，并可針對非法VoIP、P2P、一拖N等非法業(yè)務(wù)實(shí)時(shí)并聯(lián)干擾管控。

這種部署方式優(yōu)點(diǎn)在于部署簡單，設(shè)備數(shù)量少，占用機(jī)架和功率資源少，擴(kuò)容直接通過擴(kuò)業(yè)務(wù)板卡和數(shù)據(jù)板卡即可完成，缺點(diǎn)在于數(shù)據(jù)板卡的處理效率比分布式的單機(jī)設(shè)備略遜一些，適合鏈路數(shù)目多且但鏈路帶寬占用率不是非常高的環(huán)境。

3.2 Bypass 設(shè)備

ByPass旁路保護(hù)系統(tǒng)的針對DPI串行設(shè)備的網(wǎng)絡(luò)保護(hù)裝置，通過檢測串接設(shè)備是否正常運(yùn)行進(jìn)行保護(hù)。一旦串接設(shè)備出現(xiàn)故障，則ByPass承擔(dān)起聯(lián)通網(wǎng)絡(luò)的作用，使得物理網(wǎng)絡(luò)導(dǎo)通。

圖  Bypass旁路保護(hù)系統(tǒng)設(shè)備圖

將ByPass串聯(lián)入網(wǎng)絡(luò)，再將網(wǎng)絡(luò)設(shè)備并聯(lián)在ByPass設(shè)備上，將ByPass與DPI各自的串行通訊口相連接，實(shí)時(shí)監(jiān)控DPI運(yùn)行狀態(tài)。DPI設(shè)備正常工作時(shí)網(wǎng)絡(luò)由其連通，一旦出現(xiàn)故障或者掉電，ByPass便即刻切換到保護(hù)狀態(tài)，實(shí)時(shí)保護(hù)網(wǎng)絡(luò)。

圖 Bypass旁路保護(hù)設(shè)備連接圖