1 引言

在現(xiàn)網(wǎng)中，運(yùn)營(yíng)商利用流量采集設(shè)備進(jìn)行網(wǎng)絡(luò)流量采集，通過(guò)物理層、數(shù)據(jù)鏈路層的信號(hào)解析和解幀，獲取原始IP報(bào)文信息，實(shí)現(xiàn)流量控制監(jiān)管及應(yīng)用的分析。通常情況下，需要采集設(shè)備分析處理的網(wǎng)絡(luò)流量數(shù)據(jù)量是龐大的，而以通用CPU為核心的流量采集服務(wù)器的運(yùn)算處理能力十分有限。因此，在采集系統(tǒng)之前，以一定方式對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾，不僅可以提高流量處理效率，而且可以降低采集服務(wù)器負(fù)載以及整個(gè)系統(tǒng)的功耗和成本。在此背景下，針對(duì)網(wǎng)絡(luò)流量過(guò)濾的匯聚分流技術(shù)應(yīng)運(yùn)而生。其中，分流就是在輸出流量超過(guò)后端處理能力的情況下，通過(guò)服務(wù)器集群方式、基于流保持標(biāo)準(zhǔn)實(shí)現(xiàn)流量的分發(fā)；流量的匯聚，即分流的逆過(guò)程，是流量需要集中處理或長(zhǎng)途傳輸?shù)那闆r下，實(shí)現(xiàn)流量的集合。

目前，匯聚分流技術(shù)通常包括流量復(fù)制、匯聚、分流、過(guò)濾等多種操作，實(shí)現(xiàn)小流量匯聚，大流量拆分，同源同宿功能，同時(shí)可基于網(wǎng)絡(luò)層信息（如源IP地址、源端口號(hào)、協(xié)議類型、VlanID等）的規(guī)則復(fù)制流量，滿足后端應(yīng)用系統(tǒng)（如DPI系統(tǒng)、僵木蠕應(yīng)用分析類系統(tǒng)等）從IP鏈路中提取實(shí)時(shí)數(shù)據(jù)進(jìn)行監(jiān)測(cè)、分析、控制的需求。隨著5G快速發(fā)展，業(yè)務(wù)流量爆發(fā)式增長(zhǎng)，之前的匯聚分流技術(shù)在流量處理功能和性能方面將逐漸無(wú)法滿足需求，為在有限資源、有限時(shí)間情況下快速獲取流量信息，需要匯聚分流技術(shù)進(jìn)一步演變，擁有更強(qiáng)大的流量預(yù)處理能力。

2 5G時(shí)代匯聚分流技術(shù)的演進(jìn)特征

5G時(shí)代下，移動(dòng)核心網(wǎng)業(yè)務(wù)流量倍速增長(zhǎng)、新型業(yè)務(wù)蓬勃發(fā)展，為支撐后端采集系統(tǒng)對(duì)流量進(jìn)行更高復(fù)雜度、精細(xì)度的處理要求，匯聚分流技術(shù)也必須與時(shí)俱進(jìn)，隨5G業(yè)務(wù)的需求演進(jìn)發(fā)展。

在數(shù)據(jù)匹配方面，5G新網(wǎng)絡(luò)協(xié)議應(yīng)用而生，網(wǎng)絡(luò)協(xié)議種類增多，匯聚分流技術(shù)需支持多種協(xié)議靈活準(zhǔn)確識(shí)別；業(yè)務(wù)場(chǎng)景豐富，匯聚分流技術(shù)需支持設(shè)備多維度、大容量的規(guī)則匹配以實(shí)現(xiàn)流量精確分類。

在數(shù)據(jù)處理方面，帶有多層MPLS、VXLAN、ERSPAN、IPSec等隧道協(xié)議的數(shù)據(jù)流量增多，匯聚分流技術(shù)需進(jìn)行對(duì)各種隧道協(xié)議支持去封裝處理；移動(dòng)核心網(wǎng)各接口信令協(xié)議繁多，且需要與用戶面流量進(jìn)行關(guān)聯(lián)，因此匯聚分流技術(shù)還應(yīng)支持報(bào)文的截?cái)唷⒋驎r(shí)間戳、打標(biāo)簽等報(bào)文預(yù)處理功能。

在處理性能方面，基于靈活五元組，特別是內(nèi)層IP五元組分流的數(shù)據(jù)流量海量增加時(shí)，匯聚分流設(shè)備應(yīng)具備龐大的匹配規(guī)則容量及高性能的處理能力；為滿足多用戶環(huán)境需求，匯聚分流設(shè)備應(yīng)支持多級(jí)并發(fā)的策略處理機(jī)制，可以在入接口、中間環(huán)節(jié)及出接口執(zhí)行不同的流量策略；另外，匯聚分流設(shè)備還應(yīng)支持大容量、高密度接入及超大規(guī)模交換能力等。

在設(shè)備形態(tài)方面，5G網(wǎng)絡(luò)控制面和用戶面數(shù)據(jù)分離的架構(gòu)特點(diǎn)使現(xiàn)網(wǎng)不同節(jié)點(diǎn)的流量大小、處理需求存在巨大差異，需要不同形態(tài)的匯聚分流設(shè)備可以靈活、性價(jià)比更高的應(yīng)用在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境。

這些新需求迫使匯聚分流技術(shù)及其設(shè)備發(fā)展變化，主要變化特征有如下三方面。

2.1 需支持更多的流處理功能

5G移動(dòng)核心網(wǎng)需對(duì)數(shù)據(jù)流量進(jìn)行IMSI篩選，需對(duì)不同封裝的數(shù)據(jù)流量基于內(nèi)層IP五元組分流，需進(jìn)行特征碼匹配進(jìn)而過(guò)濾后端業(yè)務(wù)系統(tǒng)不必要的流量，需基于信令協(xié)議匹配報(bào)文進(jìn)而將不同特性的信令協(xié)議報(bào)文抓取出來(lái)。因此，匯聚分流技術(shù)必須滿足基于IMSI規(guī)則、基于內(nèi)層IP信息規(guī)則、基于傳輸層特征碼規(guī)則、基于信令協(xié)議規(guī)則等數(shù)據(jù)流量匹配的功能要求，以實(shí)現(xiàn)小流量匯聚、大流量拆分，降低后端業(yè)務(wù)系統(tǒng)處理壓力，減少后端服務(wù)器數(shù)量。

5G網(wǎng)絡(luò)控制面和用戶面數(shù)據(jù)分離，為關(guān)聯(lián)信令信息和用戶信息以滿足后端系統(tǒng)不同需求，匯聚分流技術(shù)必須支持針對(duì)網(wǎng)絡(luò)報(bào)文的預(yù)處理功能。例如，支持從會(huì)話的維度對(duì)輸入流量進(jìn)行統(tǒng)計(jì)，并輸出NetFlow格式統(tǒng)計(jì)信息；支持對(duì)內(nèi)容重復(fù)報(bào)文進(jìn)行丟棄，相同內(nèi)容報(bào)文只會(huì)輸出一份到特定的業(yè)務(wù)系統(tǒng)；支持對(duì)IP-in-IP、VLAN、VXLAN、MPLS、GRE等特定協(xié)議的頭部剝離，然后將剩余數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)；支持只對(duì)原始報(bào)文的網(wǎng)絡(luò)層及傳輸層頭部進(jìn)行轉(zhuǎn)發(fā)，而剩余部分?jǐn)?shù)據(jù)進(jìn)行丟棄；支持修改報(bào)文的MAC頭部，以用于標(biāo)識(shí)輸入端口編號(hào)信息或匹配規(guī)則編號(hào)信息；支持插入時(shí)間戳標(biāo)記標(biāo)記功能等。

2.2 需要更高端的芯片技術(shù)

一般的匯聚分流處理功能如IP五元組規(guī)則匹配、MAC信息匹配、數(shù)據(jù)復(fù)制轉(zhuǎn)發(fā)等利用基本的交換芯片即可實(shí)現(xiàn)，而5G時(shí)代要求匯聚分流具備精確的數(shù)據(jù)匹配功能、豐富的報(bào)文預(yù)處理功能、超快的匹配速度等特點(diǎn)，這需要更高端的芯片技術(shù)來(lái)搭載工作原理升級(jí)改變的匯聚分流技術(shù)。

例如基于硬件搜索的TCAM處理器（Ternary Content Addressable Memory，同時(shí)三態(tài)內(nèi)容尋址），基本操作為寫(xiě)操作（輸入地址和數(shù)據(jù)，將數(shù)據(jù)寫(xiě)到指定的地址上，寫(xiě)入速度與RAM相同）、讀操作（輸入地址和數(shù)據(jù)，將數(shù)據(jù)寫(xiě)到指定的地址上，讀取速度與RAM相同）及查找操作（輸入待查數(shù)據(jù)，返回該數(shù)據(jù)被存儲(chǔ)的地址，能夠從巨大的數(shù)據(jù)庫(kù)中進(jìn)行快速查找，并且返回最佳的匹配地址，最快查找速度能達(dá)到每秒一億次以上），同時(shí)能進(jìn)行精確匹配查找，又能進(jìn)行模糊匹配查找。網(wǎng)絡(luò)流量處理器NP從報(bào)文頭中把需要查找的信息提取出來(lái)，這個(gè)待查找的信息要整理成和TCAM所存表項(xiàng)的格式一致，稱之為KEY；KEY作為T(mén)CAM的輸入數(shù)據(jù)，經(jīng)過(guò)與表項(xiàng)對(duì)照，如果有匹配的表項(xiàng)，就把該表項(xiàng)所在的地址作為輸出，稱之為Index；然后將Index作為RAM的地址輸入，從RAM里得到所需查找的信息，稱之為Data；最后將Data返回給發(fā)起查找操作的NP，至此完成一次查找操作。不同的TCAM硬件設(shè)計(jì)方式可以使匯聚分流技術(shù)滿足不同數(shù)據(jù)流量處理的功能及性能需求。

2.3 5G網(wǎng)絡(luò)環(huán)境需要不同形態(tài)的物理設(shè)備

目前，匯聚分流設(shè)備形態(tài)主要分盒式和框式（插卡式），盒式又分基本盒式和高級(jí)盒式，框式有ATCA架構(gòu)和正交架構(gòu)兩種。設(shè)備形態(tài)的區(qū)分主要依據(jù)整機(jī)轉(zhuǎn)發(fā)能力（理論上，整機(jī)轉(zhuǎn)發(fā)能力業(yè)務(wù)板卡的背板帶寬乘以業(yè)務(wù)槽位數(shù)得出），目前在市場(chǎng)上，基本盒式分流設(shè)備的整機(jī)轉(zhuǎn)發(fā)能力一般大于3 Tbps，高級(jí)盒式分流設(shè)備的整機(jī)轉(zhuǎn)發(fā)能力一般大于800 Gbps，框式分流設(shè)備的整機(jī)轉(zhuǎn)發(fā)能力一般大于12.8 Tbps。

5G網(wǎng)絡(luò)用戶面數(shù)據(jù)下沉，當(dāng)流量較小時(shí)（省市SGW的S1-U接口、省市信令流量、UPF接口等），采用盒式設(shè)備性價(jià)比更高，其中基本盒式通常用于流量采集、匯聚、復(fù)制，高級(jí)盒式用于匯聚后流量處理，實(shí)現(xiàn)核心網(wǎng)各種協(xié)議的識(shí)別、內(nèi)層IP規(guī)則匹配等。對(duì)于框式設(shè)備，可以應(yīng)用于5G用戶面、數(shù)據(jù)中心等數(shù)據(jù)流量采集處理場(chǎng)景，實(shí)現(xiàn)超高流量過(guò)濾分流轉(zhuǎn)發(fā)、超高密度移動(dòng)網(wǎng)信令解析、超高性能DPI 處理等復(fù)雜應(yīng)用需求。

基本盒式、高級(jí)盒式分流設(shè)備的主要區(qū)別是能否支持如特征碼識(shí)別匹配、報(bào)文去重、報(bào)文頭輸出等復(fù)雜的高級(jí)功能。框式分流設(shè)備正交架構(gòu)相較于ATCA架構(gòu)具有更高的端口密度、背板帶寬和靈活性，正成為分流設(shè)備發(fā)展的趨勢(shì)。隨著互聯(lián)網(wǎng)線路從10 G大規(guī)模升級(jí)100 G，數(shù)據(jù)中心的出口帶寬快速增長(zhǎng)，出現(xiàn)單機(jī)房出口帶寬超過(guò)8 Tbps的情況。傳統(tǒng)ATCA架構(gòu)分流設(shè)備處理能力遇到瓶頸，雙雙星架構(gòu)分流設(shè)備處理能力只能達(dá)到4 T，已經(jīng)無(wú)法滿足大容量流量同源同宿的需求。而正交架構(gòu)的分流設(shè)備系統(tǒng)由主控板、交換板、業(yè)務(wù)板（處理板）、后IO板、風(fēng)扇和電源等組成（如圖1所示），機(jī)框采用無(wú)背板設(shè)計(jì)，交換板和業(yè)務(wù)板卡前后對(duì)插設(shè)計(jì)，單板、單機(jī)箱接入能力升級(jí)，交換能力升級(jí)（如圖2所示），整機(jī)最大容量可達(dá)12.8 T，更加適合5G網(wǎng)路下大數(shù)據(jù)流量的應(yīng)用場(chǎng)景。

圖1 正交架構(gòu)設(shè)備組成

圖2 ATCA、正交架構(gòu)能力對(duì)比

3.匯聚分流設(shè)備的關(guān)鍵應(yīng)用

3.1 多業(yè)務(wù)數(shù)據(jù)采集應(yīng)用

匯聚分流設(shè)備通過(guò)不同接口子卡支持多種類型、多種數(shù)率的鏈路混合接入，實(shí)現(xiàn)流量匯聚、分流、提取過(guò)濾、復(fù)制等功能，如圖3所示。

圖3 分流器多業(yè)務(wù)數(shù)據(jù)采集應(yīng)用

3.2 統(tǒng)一DPI數(shù)據(jù)采集

匯聚分流設(shè)備適用于各種大數(shù)據(jù)采集場(chǎng)景，可以部署在運(yùn)營(yíng)商骨干網(wǎng)出口、省網(wǎng)出口、城域網(wǎng)出口、IDC 出口、移動(dòng)核心網(wǎng)出口等位置，為IDC/ISP信息安全管理系統(tǒng)、僵木蠕監(jiān)測(cè)系統(tǒng)、不良信息檢測(cè)系統(tǒng)、網(wǎng)絡(luò)態(tài)勢(shì)感知等系統(tǒng)提供前端的數(shù)據(jù)流量采集，如圖4所示。

圖4 分流器在統(tǒng)一DPI數(shù)據(jù)采集中的應(yīng)用

3.3 移動(dòng)核心網(wǎng)應(yīng)用

匯聚分流設(shè)備支持包括IP骨干網(wǎng)、移動(dòng)核心網(wǎng)的流量采集，支持GTP、GRE等隧道協(xié)議的識(shí)別、解析與關(guān)聯(lián)輸出，支持IPv4和IPv6等雙棧與隧道，支持對(duì)多種隧道協(xié)議的隧道剝離與重封裝，支持按照內(nèi)層IP、GRE KEY等方式分流，如圖5所示。

圖5 分流器在移動(dòng)核心網(wǎng)流量采集中的應(yīng)用

3.4 串聯(lián)流控應(yīng)用

匯聚分流設(shè)備支持多種速率、類型的鏈路串聯(lián)接入，可以提供光保護(hù)板以確保串接鏈路永久有效，支持丟棄與主動(dòng)拒絕式的流控方法，可以根據(jù)流控策略按用戶精細(xì)控制，支持全流量轉(zhuǎn)發(fā)至業(yè)務(wù)服務(wù)器的后端流控方式，如圖6所示。

3.5 3Aradius信息加密或脫敏

圖6 分流器在串聯(lián)鏈路中的應(yīng)用

3Aradius、HTTP get等報(bào)文等包含用戶帳號(hào)信息或IP地址，如果不加限制直接轉(zhuǎn)發(fā)給第三方系統(tǒng)進(jìn)行處理，存在信息安全風(fēng)險(xiǎn)或法律責(zé)任。若在技術(shù)上將此類信息屏蔽，既不影響業(yè)務(wù)實(shí)現(xiàn)，又可以保證數(shù)據(jù)安全。匯聚分流設(shè)備可以在數(shù)據(jù)包指定的固定偏移位置對(duì)數(shù)據(jù)進(jìn)行加擾脫敏，加擾內(nèi)容可以自定義，也可以指定為異或算法（內(nèi)容可恢復(fù)），對(duì)于特定協(xié)議（例如Radius），可對(duì)指定域（例如用戶帳號(hào)、密碼）進(jìn)行加擾脫敏，如圖7所示。

圖7 分流器在信息加密脫敏中的應(yīng)用

4 5G時(shí)代匯聚分流技術(shù)的挑戰(zhàn)

由于5G網(wǎng)絡(luò)仍處于建設(shè)階段，現(xiàn)網(wǎng)需要利用高級(jí)功能去處理的數(shù)據(jù)流量相對(duì)較少，并且由于處理芯片的局限，目前匯聚分流技術(shù)的高級(jí)處理能力處在一定的局限水平，在設(shè)備端口無(wú)法實(shí)現(xiàn)高級(jí)功能流量的大比例處理。在數(shù)據(jù)流量的同源同宿處理問(wèn)題上，同一廠商可以完成不同設(shè)備間的同源同宿，異廠商之間理論上可以實(shí)現(xiàn)，但在實(shí)際操作中存在是否配合的問(wèn)題，例如異廠商間能否支持相同的散列策略，包括源地址/目的地址散列方式、散列目標(biāo)鏈路的數(shù)量、負(fù)載分擔(dān)選擇算法等，這些導(dǎo)致異廠商間的匯聚分流設(shè)備至今無(wú)法實(shí)現(xiàn)同源同宿的問(wèn)題。如何實(shí)現(xiàn)異廠家間的同源同宿仍然值得研究。