朱斌 江西省郵電規(guī)劃設(shè)計院有限公司 南昌市 330000

0 背景

隨著我國互聯(lián)網(wǎng)的高速發(fā)展，互聯(lián)網(wǎng)應(yīng)用層出不窮，對我國經(jīng)濟、政治、文化、社會影響越來越大。由此，政府各部門對網(wǎng)絡(luò)安全和信息安全越來越重視，同時運營商對信息安全和大數(shù)據(jù)運營越來越重視，由此政府和運營商均需提取現(xiàn)有網(wǎng)絡(luò)中的數(shù)據(jù)進行分析。

本論文提出運營商融合D P I（D e e p P a c k e t Inspection 深度包檢測）采集方案，統(tǒng)一提取現(xiàn)有網(wǎng)絡(luò)中源數(shù)據(jù)，通過標準化數(shù)據(jù)格式，快速為各個政府部門和運營商提供數(shù)據(jù)。

1 信息源

目前，我國互聯(lián)網(wǎng)用戶主要是通過寬帶IP上網(wǎng)和手機上網(wǎng)這2種方式，各種互聯(lián)網(wǎng)應(yīng)用和內(nèi)容（如新浪網(wǎng)、騰訊視頻、阿里云等），主要放置在IDC（Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心）機房，國外網(wǎng)站/內(nèi)容主要通過我國與他國的國家互聯(lián)接口，進入國內(nèi)。各個數(shù)據(jù)源具體如下：

（1）寬帶IP網(wǎng)

寬帶IP網(wǎng)是通過家庭寬帶撥號上網(wǎng)、互聯(lián)網(wǎng)專線接入、VPDN及MPLS VPN等，采用光纖/網(wǎng)線等方式，為用戶提供互聯(lián)網(wǎng)聯(lián)接，中國電信、中國聯(lián)通、中國移動等運營商基本上在每個城市均建設(shè)了一張寬帶IP網(wǎng)絡(luò)。

（2）移動互聯(lián)網(wǎng)

移動互聯(lián)網(wǎng)是一種通過智能移動終端，采用移動無線通信方式（包括3G、4G等）實現(xiàn)互聯(lián)網(wǎng)聯(lián)接。中國電信、中國聯(lián)通、中國移動等運營商通過鐵塔/基站等方式，為用戶終端提供接入服務(wù)，同時，通過省集中的核心網(wǎng)，實現(xiàn)與互聯(lián)網(wǎng)的對接。

（3）IDC網(wǎng)絡(luò)

IDC網(wǎng)絡(luò)系統(tǒng)，就是內(nèi)容服務(wù)商（如百度、阿里、騰訊等）利用已有的運營商互聯(lián)網(wǎng)通信線路、帶寬資源，通過服務(wù)器和軟件系統(tǒng)，為用戶提供網(wǎng)站、商城、視頻源等互聯(lián)網(wǎng)服務(wù)。

（4）國際互通接口

中國電信、中國聯(lián)通、中國移動均采用全國集中、多點冗余備份的方式，實現(xiàn)我國與國際互聯(lián)網(wǎng)業(yè)務(wù)的聯(lián)接。

2 平臺功能

融合DPI采集系統(tǒng)，負責實現(xiàn)鏈路流量的統(tǒng)一提取和采集的功能：

（1）單次分光：并接場景下物理光路一次分光，串接場景下通過Bypass實現(xiàn)鏈路保護。

（2）統(tǒng)一分流：主要實現(xiàn)小流量匯聚，大流量拆分，同源同宿功能，同時具備簡單鏡像能力，可基于網(wǎng)絡(luò)層信息（如源IP地址、源端口號、目的IP地址、目的端口號、協(xié)議類型、、VlanID等）的規(guī)則復(fù)制流量提供給上層應(yīng)用。

（3）標準化采集：解析識別原始流量，實現(xiàn)xDR數(shù)據(jù)合成、統(tǒng)計分析、流控封堵、還原等功能，同時具備智能鏡像能力，可基于應(yīng)用層信息（如應(yīng)用特征碼、關(guān)鍵字內(nèi)容等）的規(guī)則復(fù)制流量提供給上層應(yīng)用。

3 詳細方案

原則上每個采集點應(yīng)杜絕多次分光，部署一套DPI采集系統(tǒng)實現(xiàn)統(tǒng)一分流和標準化采集，同時滿足上層多個應(yīng)用的需求。將分流模塊和其他場景模塊物理分離，逐步實現(xiàn)解耦。

采集系統(tǒng)按照統(tǒng)一標準部署融合DPI采集設(shè)備，通過并接方式，對所有鏈路的IN和OUT方向的數(shù)據(jù)均進行采集，就能采集了全量數(shù)據(jù)。

圖1 每條鏈路的采集方案示意圖

運營商的4張數(shù)據(jù)源網(wǎng)絡(luò)具體采集方案如下：

3.1 寬帶IP網(wǎng)

對寬帶IP網(wǎng)絡(luò)的全部流量進行采集，考慮到每個城市有多個區(qū)縣，所有業(yè)務(wù)流量均要經(jīng)過城市出口路由器，建議將采集系統(tǒng)設(shè)置在城市出口路由器側(cè)，如下圖：

圖2 寬帶IP網(wǎng)絡(luò)采集方案示意圖

需采集鏈路（以A城市鏈路為例）計算如下表：

表1 A城市寬帶IP網(wǎng)出口鏈路匯總表

對鏈路的IN和OUT方向均進行采集，則需采集的數(shù)量如下：

表2 A城市寬帶IP網(wǎng)出口鏈路采集需求表

3.2 移動互聯(lián)網(wǎng)

融合DPI設(shè)備應(yīng)對移動通信網(wǎng)絡(luò)的省集中核心網(wǎng)的信令面（S6aa、S1-MME、S110/S11,Gx/RRx、Radius、L2TP、Mw/MMg/Mj/ISC/GGm、Cx/Dx/SSh/Zh等接口）及用戶面（S1-U、S5//8、S2a、Gnn/Gp等接口）所涉及的鏈路進行采集。如下圖所示：

圖3 移動核心網(wǎng)邏輯示意圖

由于核心網(wǎng)網(wǎng)元之間的接口所涉及的鏈路，均通過核心網(wǎng)CE進行互聯(lián)，對移動互聯(lián)網(wǎng)的鏈路只需采集核心網(wǎng)CE與各個網(wǎng)元之間的鏈路，集采系統(tǒng)建議設(shè)置在核心網(wǎng)CE側(cè)，如下圖：

圖4 移動核心網(wǎng)采集方案示意圖

3.3 IDC網(wǎng)絡(luò)

目前，各個城市均建設(shè)了若干個IDC機房/網(wǎng)絡(luò)系統(tǒng)，其中由一部分服務(wù)于本城市的城市級，還有一部分服務(wù)于全省乃至全國。

考慮到我國關(guān)于IDC網(wǎng)絡(luò)的信息安全和網(wǎng)絡(luò)安全規(guī)范和要求較多，建議在集采系統(tǒng)設(shè)置在IDC機房側(cè)。如下圖：

圖5 IDC網(wǎng)絡(luò)采集方案示意圖

3.4 國際互通接口

中國電信、中國聯(lián)通、中國移動等運營商的國際出口，基本設(shè)置在北京、上海、廣州，其他城市均沒有設(shè)置國際出口，采集如下圖：

圖6 國際互通接口采集方案示意圖

4 結(jié)束語

融合DPI采集平臺，按照“單次分光、統(tǒng)一分流、標準化采集”統(tǒng)一標準部署融合DPI采集設(shè)備，通過并接方式，采集運營商的4張數(shù)據(jù)源網(wǎng)絡(luò)全部數(shù)據(jù)。運營商就能更快速準確的為各個政府部門提供源數(shù)據(jù)，保障我國信息和網(wǎng)絡(luò)安全，維護社會穩(wěn)定和保障經(jīng)濟發(fā)展，同時也能更好的為運營商各類分析平臺提供大數(shù)據(jù)，提升運營能力和降低成本。