左衛(wèi)

(海軍駐成都地區(qū)通信軍事代表室成都610041)

基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)研究

左衛(wèi)

(海軍駐成都地區(qū)通信軍事代表室成都610041)

傳統(tǒng)DPI技術(shù)通常被應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域。目前,DPI技術(shù)的發(fā)展態(tài)勢使得對于DPI技術(shù)在網(wǎng)管方面的應(yīng)用的研究迫在眉睫。本文介紹了DPI技術(shù)和IP業(yè)務(wù)控制等關(guān)鍵技術(shù),并提出了基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)架構(gòu)。

網(wǎng)絡(luò)精細(xì)化管控;DPI;業(yè)務(wù)控制

0 引言

目前的通信網(wǎng)網(wǎng)管技術(shù)手段只能對網(wǎng)元進行粗粒度管理,對應(yīng)用業(yè)務(wù)的管理手段極為欠缺,隨著網(wǎng)絡(luò)規(guī)模的日益擴大和業(yè)務(wù)的不斷增多,對網(wǎng)絡(luò)進行精細(xì)化管控的要求迫在眉睫。目前,在網(wǎng)絡(luò)的精細(xì)化管理方面具有如下需求:

(1)基于QoS的帶寬管理能力

根據(jù)不同等級的QoS需求,基于應(yīng)用的業(yè)務(wù)等級提供相應(yīng)等級的帶寬;

(2)及時發(fā)現(xiàn)和抑制異常流量

能夠在網(wǎng)絡(luò)通路上在第一時間攔截異常流量,避免異常流量對網(wǎng)絡(luò)造成破壞性影響;

(3)可視化全網(wǎng)

可以深入了解哪些應(yīng)用占用(P2P/WEB TV/流媒體/IM/Games等)了整個網(wǎng)絡(luò)帶寬由,熱點區(qū)域、應(yīng)用、用戶是哪些;

(4)流量精細(xì)化管理

通過靈活的帶寬管理機制,如帶寬整形、限速、提速、封堵、QoS管理等,來限制“低價值、高消耗”的用戶和業(yè)務(wù),從而有效地保障關(guān)鍵用戶、關(guān)鍵業(yè)務(wù),提高帶寬使用的性價比,提升用戶感知;

(5)透視全網(wǎng)服務(wù)質(zhì)量,保障關(guān)鍵業(yè)務(wù)質(zhì)量

通過透視全網(wǎng)各種業(yè)務(wù)的帶寬占用、抖動、延時等QoS指標(biāo),能夠精確定位QoS劣化點。

由于現(xiàn)有IP網(wǎng)絡(luò)缺乏深度的業(yè)務(wù)識別和控制能力,難以滿足網(wǎng)絡(luò)的精細(xì)化管控需要。因此通信網(wǎng)絡(luò)急需引入有效的業(yè)務(wù)識別和控制機制,實現(xiàn)多業(yè)務(wù)承載基礎(chǔ)上的精細(xì)化運營。要實現(xiàn)業(yè)務(wù)層面的控制,必須先有業(yè)務(wù)層面的識別技術(shù),深度報文檢測(DPI)技術(shù)在能夠感知網(wǎng)絡(luò)應(yīng)用,給運營商提供網(wǎng)絡(luò)精細(xì)化管控的手段。所謂“深度”是和普通的報文檢測相比較而言的,普通報文檢測僅分析IP包的層4以下的內(nèi)容,包括源端口、目的端口、源地址、目的地址以及業(yè)務(wù)類型,而DPI主要針對應(yīng)用層分析,識別各種應(yīng)用及其內(nèi)容。

目前,網(wǎng)絡(luò)精細(xì)化管控技術(shù)已經(jīng)引起國內(nèi)外研究單位和運營商的關(guān)注,他們也各自推出了相應(yīng)的解決方案。本文將重點探討DPI技術(shù)與業(yè)務(wù)控制技術(shù),以及基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)解決方案。

1 深度業(yè)務(wù)感知技術(shù)概述

新一代業(yè)務(wù)應(yīng)用(以P2P和VoIP為代表)給傳統(tǒng)的商業(yè)模式和價值鏈帶來了改變,也給用戶、企業(yè)和運營商在網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、業(yè)務(wù)運維等方面提出了許多問題。而這正是因為傳統(tǒng)網(wǎng)絡(luò)本身缺乏業(yè)務(wù)層的管控能力,所以無法對網(wǎng)絡(luò)業(yè)務(wù)和用戶進行識別。因此,有必要在傳統(tǒng)網(wǎng)絡(luò)中引入業(yè)務(wù)層管控能力。

正是在這種背景下,深度業(yè)務(wù)感知系統(tǒng)應(yīng)運而生。深度業(yè)務(wù)感知系統(tǒng)具有深度的報文和流行為分析能力,因此能夠?qū)I(yè)務(wù)的數(shù)據(jù)類型或/和行為進行識別,可以基于策略控制信息管理業(yè)務(wù)數(shù)據(jù),能夠向傳統(tǒng)的承載網(wǎng)絡(luò)提供強大的業(yè)務(wù)管控能力。

深度業(yè)務(wù)感知系統(tǒng)是針對現(xiàn)有網(wǎng)絡(luò)缺乏對應(yīng)用層業(yè)務(wù)的感知和控制能力的為問題提出的解決方案。該系統(tǒng)能夠進行高數(shù)據(jù)流處理,具備網(wǎng)絡(luò)應(yīng)用層業(yè)務(wù)識別和流量管理能力。深度業(yè)務(wù)感知系統(tǒng)依托基于數(shù)據(jù)流狀態(tài)的深度報文檢測(DPI)技術(shù)(包括數(shù)據(jù)流行為檢測和數(shù)據(jù)流特征檢測技術(shù)),能夠?qū)W(wǎng)絡(luò)傳輸層到應(yīng)用層的業(yè)務(wù)進行識別,然后通過QoS保證以及丟棄、整形、干擾等方式對已識別出的數(shù)據(jù)流實施控制和管理。

深度業(yè)務(wù)感知系統(tǒng)是未來的電信級網(wǎng)絡(luò)中的重要組成部分,它能夠幫助運營商實現(xiàn)網(wǎng)絡(luò)資源管理和精細(xì)化運營、企業(yè)核心業(yè)務(wù)保障、網(wǎng)絡(luò)安全維護等諸多功能。

深度業(yè)務(wù)感知系統(tǒng)主要由業(yè)務(wù)識別功能模塊、業(yè)務(wù)控制功能模塊、業(yè)務(wù)特征信息庫、策略信息庫、統(tǒng)計模塊、存儲模塊、管理模塊和接口模塊構(gòu)成。

下圖顯示了深度業(yè)務(wù)感知系統(tǒng)的系統(tǒng)構(gòu)成:

圖1 深度業(yè)務(wù)感知系統(tǒng)的系統(tǒng)構(gòu)成

系統(tǒng)構(gòu)成的具體描述如下:

(1)業(yè)務(wù)識別功能模塊

該模塊通過對業(yè)務(wù)數(shù)據(jù)報文進行深度協(xié)議解析以及對業(yè)務(wù)數(shù)據(jù)流量行為進行統(tǒng)計分析、或特征匹配等方式,對業(yè)務(wù)數(shù)據(jù)的類型、內(nèi)容、狀態(tài)進行識別和統(tǒng)計分析,從而在數(shù)據(jù)流中區(qū)分和識別出特定條件的業(yè)務(wù)數(shù)據(jù)。該模塊是整個深度業(yè)務(wù)感知系統(tǒng)的核心功能模塊。

(2)業(yè)務(wù)控制功能模塊

在DPI技術(shù)識別出各類業(yè)務(wù)流之后,該模塊根據(jù)網(wǎng)絡(luò)配置的相關(guān)策略條件,如用戶、時間、歷史流量、帶寬等要求,對業(yè)務(wù)流進行控制?？刂品椒ò?正常轉(zhuǎn)發(fā)、限制帶寬、阻塞、整形、重標(biāo)記優(yōu)先級等。例如:可以根據(jù)業(yè)務(wù)優(yōu)先級,為不同優(yōu)先級的業(yè)務(wù)分配不同的預(yù)留帶寬;干擾或阻斷非法業(yè)務(wù)等。

(3)業(yè)務(wù)特征信息庫

該信息庫與業(yè)務(wù)數(shù)據(jù)識別功能模塊相連接,用于存儲和管理業(yè)務(wù)數(shù)據(jù)識別過程中所涉及的識別規(guī)則,提供實時的業(yè)務(wù)數(shù)據(jù)識別功能的支持。

(4)策略信息庫

策略庫與業(yè)務(wù)控制功能模塊相連接,用于存儲和管理業(yè)務(wù)數(shù)據(jù)控制相關(guān)的各種控制策略信息。

業(yè)務(wù)控制策略一般在策略信息庫中集中存儲,動態(tài)下發(fā)。

(5)管理模塊

該模塊負(fù)責(zé)整個深度業(yè)務(wù)感知系統(tǒng)的管理維護,包括操作維護管理、策略管理、配置管理、資源管理、網(wǎng)絡(luò)管理等,是整個系統(tǒng)的核心功能模塊。

(6)統(tǒng)計模塊

該模塊負(fù)責(zé)呈現(xiàn)系統(tǒng)實時和歷史的業(yè)務(wù)數(shù)據(jù)識別和業(yè)務(wù)數(shù)據(jù)控制的結(jié)果信息、業(yè)務(wù)類型、流量、趨勢、狀態(tài)的統(tǒng)計信息,為網(wǎng)絡(luò)管理提供重要依據(jù)。

(7)存儲模塊

該模塊存儲系統(tǒng)業(yè)務(wù)數(shù)據(jù)識別的結(jié)果信息,包括業(yè)務(wù)類型、流量、狀態(tài)等,并且對特定條件的網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)進行備份。

基于DPI的網(wǎng)絡(luò)精細(xì)化管控系統(tǒng)借鑒深度業(yè)務(wù)感知技術(shù)的技術(shù)理念,將DPI技術(shù)和業(yè)務(wù)控制技術(shù)引入網(wǎng)絡(luò)管控系統(tǒng),以業(yè)務(wù)識別為基礎(chǔ),以業(yè)務(wù)管控為目標(biāo),并且依托策略控制技術(shù),實現(xiàn)了網(wǎng)絡(luò)的精細(xì)化管理。

2 DPI技術(shù)綜述

DPI的技術(shù)原理及技術(shù)分類如下所述[1]:

2.1 DPI技術(shù)原理

DPI(Deep Packet Inspect,深度報文檢測)技術(shù),所謂深度是和普通報文檢測相比較而言,普通報文檢測僅是通過對IP包的五元組信息進行分析,從而確定當(dāng)前流量的基本信息。DPI技術(shù)對報文的4到7層信息進行分析,通過將數(shù)據(jù)信息包的分析深入到內(nèi)容,通過充分理解各種應(yīng)用協(xié)議的payload(載荷)的各個字段的變化規(guī)律和流程,從而把多個數(shù)據(jù)包關(guān)聯(lián)到一個數(shù)據(jù)流當(dāng)中。DPI技術(shù)原理如下圖所示。

圖2 DPI技術(shù)原理

與傳統(tǒng)的QoS控制技術(shù)和IP包流量識別相比,DPI技術(shù)是在對數(shù)據(jù)流進行IP五元組(源端口、目的端口、源IP地址、目的IP地址、協(xié)議類型)檢測的基礎(chǔ)上,進一步深度檢測流量數(shù)據(jù)的應(yīng)用層信息,依據(jù)端口號、協(xié)議類型、特征字符串和流量行為特征等參數(shù),獲取業(yè)務(wù)狀態(tài)、業(yè)務(wù)類型和業(yè)務(wù)內(nèi)容等信息的一種應(yīng)用識別技術(shù)。

2.2 DPI應(yīng)用識別技術(shù)分類

DPI技術(shù)的關(guān)鍵是通過高效地識別網(wǎng)絡(luò)的應(yīng)用,從而將網(wǎng)絡(luò)上的流量數(shù)據(jù)報文根據(jù)五元組分為一個個應(yīng)用流,并通過識別技術(shù)對應(yīng)用流中特定的數(shù)據(jù)報文進行探測,從而確定應(yīng)用流對應(yīng)的應(yīng)用或者用戶動作。

DPI識別技術(shù)包括以下3類:

(1)特征字的識別技術(shù)

不同的應(yīng)用采用的不同的協(xié)議都有其各自特殊的指紋,這些指紋可能是特定的端口、特定的Bit序列或特定的字符串。基于特征字的識別技術(shù)能夠通過識別流量數(shù)據(jù)報文中的指紋信息來確定對應(yīng)業(yè)務(wù)所承載的應(yīng)用。基于特征字的識別技術(shù)依據(jù)具體檢測方式的不同,又可細(xì)分為變動特征位置匹配、固定特征位置匹配和狀態(tài)特征字三種分支技術(shù)。在實際應(yīng)用過程中,通過對指紋信息的升級,可以方便地擴展到對新協(xié)議的檢測。

(2)應(yīng)用層網(wǎng)關(guān)識別技術(shù)

某些業(yè)務(wù)的業(yè)務(wù)流和控制流是分離的,業(yè)務(wù)流沒有任何特征。應(yīng)用層網(wǎng)關(guān)識別技術(shù)主要應(yīng)用于識別此類業(yè)務(wù)。其實現(xiàn)過程是:首先由應(yīng)用層網(wǎng)關(guān)識別出業(yè)務(wù)的控制流,并根據(jù)控制流協(xié)議選擇相應(yīng)的應(yīng)用層網(wǎng)關(guān)對該業(yè)務(wù)流進行解析,從而識別出相應(yīng)的業(yè)務(wù)流。

(3)行為模式識別技術(shù)

行為模式實現(xiàn)過程是:首先對終端的各種行為進行研究,然后在此基礎(chǔ)上建立行為識別模型,然后基于行為識別模型,判斷出用戶正在進行的動作或者即將實施的動作。行為模式識別技術(shù)應(yīng)用于那些無法通過協(xié)議本身就能判別的業(yè)務(wù)。如:普通的Email業(yè)務(wù)流和SPAM(垃圾郵件)業(yè)務(wù)流從Email的內(nèi)容上看是完全一致的,只有通過對用戶行為進行分析,才能夠準(zhǔn)確地識別出SPAM業(yè)務(wù)。

這三類識別技術(shù)分別適用于不同類型的應(yīng)用協(xié)議,無法相互替代,只有綜合地運用這些技術(shù),才能靈活有效地識別網(wǎng)絡(luò)上的應(yīng)用。

3 IP業(yè)務(wù)控制技術(shù)

3.1 流量控制技術(shù)

網(wǎng)絡(luò)流量控制的目標(biāo)是及時了解正在運行的網(wǎng)絡(luò)中業(yè)務(wù)流量的具體分布情況,及時地了解網(wǎng)絡(luò)延遲、網(wǎng)絡(luò)擁塞等情況,并在此基礎(chǔ)上對網(wǎng)絡(luò)流量進行登記、統(tǒng)計和分析,從而使得網(wǎng)絡(luò)管理員能夠根據(jù)實際情況制定出及時有效的網(wǎng)絡(luò)流量控制策略,確保重要業(yè)務(wù)數(shù)據(jù)不延遲、不丟棄,保證網(wǎng)絡(luò)的高效運行。

如果網(wǎng)絡(luò)中沒有實施流量控制策略機制,而是采取服務(wù)質(zhì)量的盡力而為服務(wù)模式,任憑網(wǎng)絡(luò)用戶隨時發(fā)出任意數(shù)量的數(shù)據(jù),那么這種網(wǎng)絡(luò)將是非常不穩(wěn)定的,甚至有崩潰的可能性。因為這種盡力而為的服務(wù)模式的流量控制是不采取任何策略機制的,發(fā)送和接收數(shù)據(jù)不需要得到事先批準(zhǔn),也不需要通知網(wǎng)絡(luò),網(wǎng)絡(luò)中的數(shù)據(jù)沒有大小、誰優(yōu)先之說,哪個數(shù)據(jù)先到達(dá)就先為哪個數(shù)據(jù)進行服務(wù)。通常服務(wù)質(zhì)量的盡力而為模式是現(xiàn)在互聯(lián)網(wǎng)的默認(rèn)服務(wù)模型,實現(xiàn)這種服務(wù)的調(diào)度算法通常是先進先出隊列,該模式比較適合于傳輸傳統(tǒng)的業(yè)務(wù)流量,對服務(wù)質(zhì)量有較高要求的網(wǎng)絡(luò)業(yè)務(wù)顯然不適合。

主流的流量控制技術(shù)包括:TCP窗口整形技術(shù)、旁路干擾技術(shù)、PFQ技術(shù)等[2]。

(1)TCP窗口整形技術(shù)

TCP窗口整形技術(shù)是流量控制中一種重要技術(shù)。TCP窗口整形技術(shù)的實現(xiàn)方法是:接收方根據(jù)自己的數(shù)據(jù)接受能力,通過滑動窗口機制來限制發(fā)送方的數(shù)據(jù)傳輸速率。其實現(xiàn)方式舉例如下:在主機X、Y之間架設(shè)一個流量控制設(shè)備,如果主機X和Y需要相互通信,那么主機X、Y必須通過中間架設(shè)的流量控制設(shè)備進行通信。即如果主機X和Y之間需要建立一個TCP連接并進行通信,則主機X和Y不直接握手,而是分別和流量控制設(shè)備建立握手,然后流量控制設(shè)備就可以根據(jù)自己的策略配置來調(diào)整TCP窗口的大小,之后通知主機X、Y按照調(diào)整后TCP窗口的大小來進行數(shù)據(jù)傳送,從而達(dá)到流量控制的目的。

國務(wù)院關(guān)于重大決策部署開展情況實地督察，每一個督察組也都有明察暗訪。第二十四督察組目睹了某地車管所上午九點才上班，十一點就停止工作；大貨車司機排長隊等待查驗，被定成不合格，再找黑中介交2000元錢立馬合格。樁樁件件督察組看在眼里、記在心上。他們感慨，這才把百姓辦事難真正看清了，將這個車管所的四名負(fù)責(zé)人免職、處分，冤枉嗎？！

TCP窗口整形技術(shù)的優(yōu)勢在于:該技術(shù)可以對每個TCP會話進行監(jiān)控和干擾,能夠有效控制信息源發(fā)送信息量的數(shù)量、發(fā)送時間和頻率,而且通過TCP窗口整形使流量變得平滑,并且傳輸效率有較大提高。TCP窗口整形技術(shù)不釆用隊列技術(shù),網(wǎng)絡(luò)中所有主機發(fā)送的數(shù)據(jù)量能夠得到統(tǒng)一控制,路由器上不會堆積大量隊列,這樣可以減小信息的丟失率,降低重發(fā)率。不過TCP窗口整形技術(shù)劣勢也是比較明顯的:首先這項技術(shù)不支持UDP流量控制,因此,網(wǎng)絡(luò)中的大部分P2P應(yīng)用和VoIP應(yīng)用就得不到有效控制。而且在流量較大情況下,控制會出現(xiàn)較大誤差,因此TCP窗口整形的應(yīng)用存在一定的局限性。

(2)旁路干擾技術(shù)

旁路干擾技術(shù)與TCP窗口整形技術(shù)的最大區(qū)別在于:旁路干擾技術(shù)的控制設(shè)備不是用串聯(lián)的方式部署在網(wǎng)絡(luò)中,而是旁路部署在網(wǎng)絡(luò)中的,因此,它不需要與通信雙方的主機建立握手過程。對于TCP流量,控制設(shè)備會復(fù)制流量的五元組信息,即源端口、目的端口、源地址、目的地址以及協(xié)議類型,然后交換通信雙方的端口和IP地址,偽裝成數(shù)據(jù)流通信的雙方,將干擾的數(shù)據(jù)包發(fā)給源地址或目的地址,中斷雙方的數(shù)據(jù)流連接或是引發(fā)TCP重傳,從而達(dá)到流量控制的目的。對于UDP流量,由于UDP數(shù)據(jù)包本身沒有狀態(tài)協(xié)議,因此無法在第四層進行干擾,但可以通過對第七層的協(xié)議信令進行干擾,從而達(dá)到流量控制的目的。

旁路干擾模式對鏈路的影響較小,擴展能力較強。但是其基于旁路的部署方式使得該模式的控制能力有所下降。

(3)PFQ技術(shù)

PFQ(Per－Flow Queuing)的機制是:不是通過調(diào)整TCP窗口的大小來控制流量,而是建立若干隊列,每個流對應(yīng)不同的隊列,而后通過調(diào)整隊列的大小來讓流有序的通過。例如:VoIP應(yīng)用數(shù)據(jù)流限制為2M/S,就先定義一個2M大小的隊列,經(jīng)過流量識別處理之后,把識別為VoIP應(yīng)用的數(shù)據(jù)流放入這個隊列中。由于隊列的容積被限制在2M,所以進入的VoIP流量就被自然地限制在了2M之內(nèi)。此外,還可以將隊列進行細(xì)分,如VoIP隊列可以細(xì)分為許多的小隊列,分別對應(yīng)VoIP協(xié)議的不同應(yīng)用,如Skype,MSN等,這樣就可以實現(xiàn)更為精細(xì)化的控制。

PFQ是一種直接實現(xiàn)IP QoS的機制,它的主要優(yōu)點是:該機制能夠最大限度的使用可用帶寬,這就確保了最高的鏈接使用率;此外,它的精確性也非常的高,可以依據(jù)不同的策略定義來控制網(wǎng)絡(luò)帶寬。由于定義的隊列相互不同,因此就避免了沖突和數(shù)據(jù)包丟失,使得流量暢通。并且隊列技術(shù)采用的是公平排隊,兩個具有同樣優(yōu)先級的連接會得到同樣的帶寬,這也克服了TCP窗口技術(shù)誤差較大的缺點,此外該機制可以對TCP流和UDP流釆用相同的算法,能夠?qū)崿F(xiàn)了大流量控制的需求。

3.2 基于策略的業(yè)務(wù)控制技術(shù)

其識別和控制流程圖3所示。

圖3 DPI的識別和控制流程

其中,DPI的業(yè)務(wù)控制功能包括阻斷、重定向、重標(biāo)識、速率限制、會話數(shù)限制、配額限制、QoS等。

(1)阻斷(deny)

阻斷功能與路由器、交換機等網(wǎng)絡(luò)設(shè)備的阻斷功能相似,對數(shù)據(jù)包執(zhí)行相應(yīng)的配置策略,數(shù)據(jù)包識別后在進入DPI設(shè)備時被丟棄。

(2)重定向(redirect)

重定向功能通過更改下一跳的IP地址或更改訪問的URL來實現(xiàn),將流量重定向到另一個設(shè)備或?qū)g覽器重定向到一個URL。

(3)重標(biāo)識(remark)

重標(biāo)識(remark)功能是對業(yè)務(wù)進行識別后更改業(yè)務(wù)流的類別標(biāo)記,該類別標(biāo)記在DiffServ體系中指DSCP,即為IP報文頭部TOS字段的前6個bits。目前RFC主要定義了BE、EF、AF3種標(biāo)準(zhǔn)業(yè)務(wù),并定義了AF的4個類別3種丟棄級別。重標(biāo)識對目標(biāo)應(yīng)用進行分組后實施優(yōu)先級管理,主要是降低一些不受歡迎的應(yīng)用分組的處理優(yōu)先級。

(4)限速(limit rate)

限速功能是對業(yè)務(wù)流設(shè)置突發(fā)信息速率PIR和承諾信息速率CIR,或同時設(shè)置突發(fā)信息速率PIR和承諾信息速率CIR,限速可以針對單向或雙向的流量。

(5)配額限制(quota)

配額限制功能是對目標(biāo)應(yīng)用設(shè)定時長配額和流量配額等,超出配額部分丟棄;該功能也可結(jié)合計費策略,對超出計費配額部分額外收費。

(6)QoS

QoS功能是指通過隊列調(diào)度機制、優(yōu)先轉(zhuǎn)發(fā)機制、流量整形機制和丟棄算法等對業(yè)務(wù)流量進行控制。對于識別出的每類業(yè)務(wù),DPI可以根據(jù)預(yù)先設(shè)置的組合條件,如帶寬、歷史流量、用戶、時間等,對業(yè)務(wù)流進行控制。

業(yè)務(wù)控制的策略一般集中配置在策略服務(wù)器中,下發(fā)給業(yè)務(wù)控制設(shè)備或網(wǎng)關(guān)執(zhí)行。

4 基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)架構(gòu)

針對通信網(wǎng),網(wǎng)絡(luò)精細(xì)化管控的目標(biāo)是:

1)流量管理:控制P2P流量,防止這種“垃圾流量”占用了太多的帶寬,而影響其它應(yīng)用;

2)安全:識別出并能抑制DOS攻擊和其它的惡意危害網(wǎng)絡(luò)安全的行為;

3)網(wǎng)絡(luò)資源使用的控制;

4)業(yè)務(wù)優(yōu)化:例如個性業(yè)務(wù)和內(nèi)容過濾;

5)全局業(yè)務(wù)控制策略應(yīng)用。

結(jié)合前面的技術(shù)分析,本文提出基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)架構(gòu)。該技術(shù)架構(gòu)的優(yōu)勢在于:該技術(shù)架構(gòu)彌補了傳統(tǒng)網(wǎng)管系統(tǒng)缺乏網(wǎng)絡(luò)感知能力,尤其是應(yīng)用層業(yè)務(wù)的感知能力,以及缺乏控制能力的缺陷,基于該技術(shù)架構(gòu)的網(wǎng)管系統(tǒng)能夠提供網(wǎng)絡(luò)安全態(tài)勢分析、用戶行為分析和差異化服務(wù)等精細(xì)化管控能力。該技術(shù)架構(gòu)如圖4所示。

圖4 基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)架構(gòu)

(1)采集層功能

數(shù)據(jù)采集層從網(wǎng)絡(luò)接口獲取網(wǎng)絡(luò)數(shù)據(jù)包,采集對象包括:流量數(shù)據(jù)、Qos數(shù)據(jù)和應(yīng)用數(shù)據(jù)。

(2)識別控制層功能

識別功能模塊內(nèi)置可更新的網(wǎng)址分類庫及應(yīng)用識別庫,根據(jù)業(yè)務(wù)特征精確識別應(yīng)用業(yè)務(wù)。

識別功能模塊將識別結(jié)果輸出到策略服務(wù)器,由策略服務(wù)器生成業(yè)務(wù)控制策略下發(fā)業(yè)務(wù)控制模塊。

(3)應(yīng)用層

基于DPI的網(wǎng)絡(luò)精細(xì)化管控系統(tǒng)的應(yīng)用包括:安全態(tài)勢分析、用戶行為分析和差異化服務(wù)。

5 結(jié)語

本論文對基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)涉及的關(guān)鍵技術(shù)進行了分析和研究,并且提出了基于DPI的網(wǎng)絡(luò)精細(xì)化管控技術(shù)架構(gòu),該技術(shù)研究成果對實現(xiàn)網(wǎng)絡(luò)精細(xì)化管控具有指導(dǎo)意義。

[1] 陳繡瑤.DPI帶寬管理技術(shù)的研究與應(yīng)用[J].計算機與現(xiàn)代化,2010(9):59－61.

[2] 程園杰.基于DPI技術(shù)的流量控制系統(tǒng)的設(shè)計與實施[D].北京:北京郵電大學(xué),2012.

[3] 王洪波.基于RouterOS系統(tǒng)的流量控制策略研究[D].成都:電子科技大學(xué),2012.

Study on Fine Control of Network based on DPI

ZUO Wei
(Navy Minitary Representation Office in Chengdu,Chengdu Sichuan 610041,China)

The traditional DPI technology is often used in the field of network security.At present,owing to the development trend of DPI technology,it is extemely urgent to make the research of the DPI technology applies in network management.This paper introduces the key technologies such as the DPI and IP service control,and proposes the architecture of DPI－based fine control of network.

fine control of network;DPI;service control

TN918.91

A

1009－8054(2015)01－0090－05

2014－10－20

左 衛(wèi)(1971—),男,本科,工程師,主要研究方向為通信技術(shù)?！?/p>