在現(xiàn)網(wǎng)中,運(yùn)營(yíng)商利用流量采集設(shè)備進(jìn)行網(wǎng)絡(luò)流量采集,通過(guò)物理層、數(shù)據(jù)鏈路層的信號(hào)解析和解幀,獲取原始IP報(bào)文信息,實(shí)現(xiàn)流量控制監(jiān)管及應(yīng)用的分析。通常情況下,需要采集設(shè)備分析處理的網(wǎng)絡(luò)流量數(shù)據(jù)量是龐大的,而以通用CPU為核心的流量采集服務(wù)器的運(yùn)算處理能力十分有限。因此,在采集系統(tǒng)之前,以一定方式對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾,不僅可以提高流量處理效率,而且可以降低采集服務(wù)器負(fù)載以及整個(gè)系統(tǒng)的功耗和成本。在此背景下,針對(duì)網(wǎng)絡(luò)流量過(guò)濾的匯聚分流技術(shù)應(yīng)運(yùn)而生。其中,分流就是在輸出流量超過(guò)后端處理能力的情況下,通過(guò)服務(wù)器集群方式、基于流保持標(biāo)準(zhǔn)實(shí)現(xiàn)流量的分發(fā);流量的匯聚,即分流的逆過(guò)程,是流量需要集中處理或長(zhǎng)途傳輸?shù)那闆r下,實(shí)現(xiàn)流量的集合。
目前,匯聚分流技術(shù)通常包括流量復(fù)制、匯聚、分流、過(guò)濾等多種操作,實(shí)現(xiàn)小流量匯聚,大流量拆分,同源同宿功能,同時(shí)可基于網(wǎng)絡(luò)層信息(如源IP地址、源端口號(hào)、協(xié)議類型、VlanID等)的規(guī)則復(fù)制流量,滿足后端應(yīng)用系統(tǒng)(如DPI系統(tǒng)、僵木蠕應(yīng)用分析類系統(tǒng)等)從IP鏈路中提取實(shí)時(shí)數(shù)據(jù)進(jìn)行監(jiān)測(cè)、分析、控制的需求。隨著5G快速發(fā)展,業(yè)務(wù)流量爆發(fā)式增長(zhǎng),之前的匯聚分流技術(shù)在流量處理功能和性能方面將逐漸無(wú)法滿足需求,為在有限資源、有限時(shí)間情況下快速獲取流量信息,需要匯聚分流技術(shù)進(jìn)一步演變,擁有更強(qiáng)大的流量預(yù)處理能力。
5G時(shí)代下,移動(dòng)核心網(wǎng)業(yè)務(wù)流量倍速增長(zhǎng)、新型業(yè)務(wù)蓬勃發(fā)展,為支撐后端采集系統(tǒng)對(duì)流量進(jìn)行更高復(fù)雜度、精細(xì)度的處理要求,匯聚分流技術(shù)也必須與時(shí)俱進(jìn),隨5G業(yè)務(wù)的需求演進(jìn)發(fā)展。
在數(shù)據(jù)匹配方面,5G新網(wǎng)絡(luò)協(xié)議應(yīng)用而生,網(wǎng)絡(luò)協(xié)議種類增多,匯聚分流技術(shù)需支持多種協(xié)議靈活準(zhǔn)確識(shí)別;業(yè)務(wù)場(chǎng)景豐富,匯聚分流技術(shù)需支持設(shè)備多維度、大容量的規(guī)則匹配以實(shí)現(xiàn)流量精確分類。
在數(shù)據(jù)處理方面,帶有多層MPLS、VXLAN、ERSPAN、IPSec等隧道協(xié)議的數(shù)據(jù)流量增多,匯聚分流技術(shù)需進(jìn)行對(duì)各種隧道協(xié)議支持去封裝處理;移動(dòng)核心網(wǎng)各接口信令協(xié)議繁多,且需要與用戶面流量進(jìn)行關(guān)聯(lián),因此匯聚分流技術(shù)還應(yīng)支持報(bào)文的截?cái)?、打時(shí)間戳、打標(biāo)簽等報(bào)文預(yù)處理功能。
在處理性能方面,基于靈活五元組,特別是內(nèi)層IP五元組分流的數(shù)據(jù)流量海量增加時(shí),匯聚分流設(shè)備應(yīng)具備龐大的匹配規(guī)則容量及高性能的處理能力;為滿足多用戶環(huán)境需求,匯聚分流設(shè)備應(yīng)支持多級(jí)并發(fā)的策略處理機(jī)制,可以在入接口、中間環(huán)節(jié)及出接口執(zhí)行不同的流量策略;另外,匯聚分流設(shè)備還應(yīng)支持大容量、高密度接入及超大規(guī)模交換能力等。
在設(shè)備形態(tài)方面,5G網(wǎng)絡(luò)控制面和用戶面數(shù)據(jù)分離的架構(gòu)特點(diǎn)使現(xiàn)網(wǎng)不同節(jié)點(diǎn)的流量大小、處理需求存在巨大差異,需要不同形態(tài)的匯聚分流設(shè)備可以靈活、性價(jià)比更高的應(yīng)用在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境。
這些新需求迫使匯聚分流技術(shù)及其設(shè)備發(fā)展變化,主要變化特征有如下三方面。
5G移動(dòng)核心網(wǎng)需對(duì)數(shù)據(jù)流量進(jìn)行IMSI篩選,需對(duì)不同封裝的數(shù)據(jù)流量基于內(nèi)層IP五元組分流,需進(jìn)行特征碼匹配進(jìn)而過(guò)濾后端業(yè)務(wù)系統(tǒng)不必要的流量,需基于信令協(xié)議匹配報(bào)文進(jìn)而將不同特性的信令協(xié)議報(bào)文抓取出來(lái)。因此,匯聚分流技術(shù)必須滿足基于IMSI規(guī)則、基于內(nèi)層IP信息規(guī)則、基于傳輸層特征碼規(guī)則、基于信令協(xié)議規(guī)則等數(shù)據(jù)流量匹配的功能要求,以實(shí)現(xiàn)小流量匯聚、大流量拆分,降低后端業(yè)務(wù)系統(tǒng)處理壓力,減少后端服務(wù)器數(shù)量。
5G網(wǎng)絡(luò)控制面和用戶面數(shù)據(jù)分離,為關(guān)聯(lián)信令信息和用戶信息以滿足后端系統(tǒng)不同需求,匯聚分流技術(shù)必須支持針對(duì)網(wǎng)絡(luò)報(bào)文的預(yù)處理功能。例如,支持從會(huì)話的維度對(duì)輸入流量進(jìn)行統(tǒng)計(jì),并輸出NetFlow格式統(tǒng)計(jì)信息;支持對(duì)內(nèi)容重復(fù)報(bào)文進(jìn)行丟棄,相同內(nèi)容報(bào)文只會(huì)輸出一份到特定的業(yè)務(wù)系統(tǒng);支持對(duì)IP-in-IP、VLAN、VXLAN、MPLS、GRE等特定協(xié)議的頭部剝離,然后將剩余數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā);支持只對(duì)原始報(bào)文的網(wǎng)絡(luò)層及傳輸層頭部進(jìn)行轉(zhuǎn)發(fā),而剩余部分?jǐn)?shù)據(jù)進(jìn)行丟棄;支持修改報(bào)文的MAC頭部,以用于標(biāo)識(shí)輸入端口編號(hào)信息或匹配規(guī)則編號(hào)信息;支持插入時(shí)間戳標(biāo)記標(biāo)記功能等。
一般的匯聚分流處理功能如IP五元組規(guī)則匹配、MAC信息匹配、數(shù)據(jù)復(fù)制轉(zhuǎn)發(fā)等利用基本的交換芯片即可實(shí)現(xiàn),而5G時(shí)代要求匯聚分流具備精確的數(shù)據(jù)匹配功能、豐富的報(bào)文預(yù)處理功能、超快的匹配速度等特點(diǎn),這需要更高端的芯片技術(shù)來(lái)搭載工作原理升級(jí)改變的匯聚分流技術(shù)。
例如基于硬件搜索的TCAM處理器(Ternary Content Addressable Memory,同時(shí)三態(tài)內(nèi)容尋址),基本操作為寫(xiě)操作(輸入地址和數(shù)據(jù),將數(shù)據(jù)寫(xiě)到指定的地址上,寫(xiě)入速度與RAM相同)、讀操作(輸入地址和數(shù)據(jù),將數(shù)據(jù)寫(xiě)到指定的地址上,讀取速度與RAM相同)及查找操作(輸入待查數(shù)據(jù),返回該數(shù)據(jù)被存儲(chǔ)的地址,能夠從巨大的數(shù)據(jù)庫(kù)中進(jìn)行快速查找,并且返回最佳的匹配地址,最快查找速度能達(dá)到每秒一億次以上),同時(shí)能進(jìn)行精確匹配查找,又能進(jìn)行模糊匹配查找。網(wǎng)絡(luò)流量處理器NP從報(bào)文頭中把需要查找的信息提取出來(lái),這個(gè)待查找的信息要整理成和TCAM所存表項(xiàng)的格式一致,稱之為KEY;KEY作為T(mén)CAM的輸入數(shù)據(jù),經(jīng)過(guò)與表項(xiàng)對(duì)照,如果有匹配的表項(xiàng),就把該表項(xiàng)所在的地址作為輸出,稱之為Index;然后將Index作為RAM的地址輸入,從RAM里得到所需查找的信息,稱之為Data;最后將Data返回給發(fā)起查找操作的NP,至此完成一次查找操作。不同的TCAM硬件設(shè)計(jì)方式可以使匯聚分流技術(shù)滿足不同數(shù)據(jù)流量處理的功能及性能需求。
目前,匯聚分流設(shè)備形態(tài)主要分盒式和框式(插卡式),盒式又分基本盒式和高級(jí)盒式,框式有ATCA架構(gòu)和正交架構(gòu)兩種。設(shè)備形態(tài)的區(qū)分主要依據(jù)整機(jī)轉(zhuǎn)發(fā)能力(理論上,整機(jī)轉(zhuǎn)發(fā)能力業(yè)務(wù)板卡的背板帶寬乘以業(yè)務(wù)槽位數(shù)得出),目前在市場(chǎng)上,基本盒式分流設(shè)備的整機(jī)轉(zhuǎn)發(fā)能力一般大于3 Tbps,高級(jí)盒式分流設(shè)備的整機(jī)轉(zhuǎn)發(fā)能力一般大于800 Gbps,框式分流設(shè)備的整機(jī)轉(zhuǎn)發(fā)能力一般大于12.8 Tbps。
5G網(wǎng)絡(luò)用戶面數(shù)據(jù)下沉,當(dāng)流量較小時(shí)(省市SGW的S1-U接口、省市信令流量、UPF接口等),采用盒式設(shè)備性價(jià)比更高,其中基本盒式通常用于流量采集、匯聚、復(fù)制,高級(jí)盒式用于匯聚后流量處理,實(shí)現(xiàn)核心網(wǎng)各種協(xié)議的識(shí)別、內(nèi)層IP規(guī)則匹配等。對(duì)于框式設(shè)備,可以應(yīng)用于5G用戶面、數(shù)據(jù)中心等數(shù)據(jù)流量采集處理場(chǎng)景,實(shí)現(xiàn)超高流量過(guò)濾分流轉(zhuǎn)發(fā)、超高密度移動(dòng)網(wǎng)信令解析、超高性能DPI 處理等復(fù)雜應(yīng)用需求。
基本盒式、高級(jí)盒式分流設(shè)備的主要區(qū)別是能否支持如特征碼識(shí)別匹配、報(bào)文去重、報(bào)文頭輸出等復(fù)雜的高級(jí)功能??蚴椒至髟O(shè)備正交架構(gòu)相較于ATCA架構(gòu)具有更高的端口密度、背板帶寬和靈活性,正成為分流設(shè)備發(fā)展的趨勢(shì)。隨著互聯(lián)網(wǎng)線路從10 G大規(guī)模升級(jí)100 G,數(shù)據(jù)中心的出口帶寬快速增長(zhǎng),出現(xiàn)單機(jī)房出口帶寬超過(guò)8 Tbps的情況。傳統(tǒng)ATCA架構(gòu)分流設(shè)備處理能力遇到瓶頸,雙雙星架構(gòu)分流設(shè)備處理能力只能達(dá)到4 T,已經(jīng)無(wú)法滿足大容量流量同源同宿的需求。而正交架構(gòu)的分流設(shè)備系統(tǒng)由主控板、交換板、業(yè)務(wù)板(處理板)、后IO板、風(fēng)扇和電源等組成(如圖1所示),機(jī)框采用無(wú)背板設(shè)計(jì),交換板和業(yè)務(wù)板卡前后對(duì)插設(shè)計(jì),單板、單機(jī)箱接入能力升級(jí),交換能力升級(jí)(如圖2所示),整機(jī)最大容量可達(dá)12.8 T,更加適合5G網(wǎng)路下大數(shù)據(jù)流量的應(yīng)用場(chǎng)景。
圖1 正交架構(gòu)設(shè)備組成
圖2 ATCA、正交架構(gòu)能力對(duì)比
匯聚分流設(shè)備通過(guò)不同接口子卡支持多種類型、多種數(shù)率的鏈路混合接入,實(shí)現(xiàn)流量匯聚、分流、提取過(guò)濾、復(fù)制等功能,如圖3所示。
圖3 分流器多業(yè)務(wù)數(shù)據(jù)采集應(yīng)用
匯聚分流設(shè)備適用于各種大數(shù)據(jù)采集場(chǎng)景,可以部署在運(yùn)營(yíng)商骨干網(wǎng)出口、省網(wǎng)出口、城域網(wǎng)出口、IDC 出口、移動(dòng)核心網(wǎng)出口等位置,為IDC/ISP信息安全管理系統(tǒng)、僵木蠕監(jiān)測(cè)系統(tǒng)、不良信息檢測(cè)系統(tǒng)、網(wǎng)絡(luò)態(tài)勢(shì)感知等系統(tǒng)提供前端的數(shù)據(jù)流量采集,如圖4所示。
圖4 分流器在統(tǒng)一DPI數(shù)據(jù)采集中的應(yīng)用
匯聚分流設(shè)備支持包括IP骨干網(wǎng)、移動(dòng)核心網(wǎng)的流量采集,支持GTP、GRE等隧道協(xié)議的識(shí)別、解析與關(guān)聯(lián)輸出,支持IPv4和IPv6等雙棧與隧道,支持對(duì)多種隧道協(xié)議的隧道剝離與重封裝,支持按照內(nèi)層IP、GRE KEY等方式分流,如圖5所示。
圖5 分流器在移動(dòng)核心網(wǎng)流量采集中的應(yīng)用
匯聚分流設(shè)備支持多種速率、類型的鏈路串聯(lián)接入,可以提供光保護(hù)板以確保串接鏈路永久有效,支持丟棄與主動(dòng)拒絕式的流控方法,可以根據(jù)流控策略按用戶精細(xì)控制,支持全流量轉(zhuǎn)發(fā)至業(yè)務(wù)服務(wù)器的后端流控方式,如圖6所示。
圖6 分流器在串聯(lián)鏈路中的應(yīng)用
3Aradius、HTTP get等報(bào)文等包含用戶帳號(hào)信息或IP地址,如果不加限制直接轉(zhuǎn)發(fā)給第三方系統(tǒng)進(jìn)行處理,存在信息安全風(fēng)險(xiǎn)或法律責(zé)任。若在技術(shù)上將此類信息屏蔽,既不影響業(yè)務(wù)實(shí)現(xiàn),又可以保證數(shù)據(jù)安全。匯聚分流設(shè)備可以在數(shù)據(jù)包指定的固定偏移位置對(duì)數(shù)據(jù)進(jìn)行加擾脫敏,加擾內(nèi)容可以自定義,也可以指定為異或算法(內(nèi)容可恢復(fù)),對(duì)于特定協(xié)議(例如Radius),可對(duì)指定域(例如用戶帳號(hào)、密碼)進(jìn)行加擾脫敏,如圖7所示。
圖7 分流器在信息加密脫敏中的應(yīng)用
由于5G網(wǎng)絡(luò)仍處于建設(shè)階段,現(xiàn)網(wǎng)需要利用高級(jí)功能去處理的數(shù)據(jù)流量相對(duì)較少,并且由于處理芯片的局限,目前匯聚分流技術(shù)的高級(jí)處理能力處在一定的局限水平,在設(shè)備端口無(wú)法實(shí)現(xiàn)高級(jí)功能流量的大比例處理。在數(shù)據(jù)流量的同源同宿處理問(wèn)題上,同一廠商可以完成不同設(shè)備間的同源同宿,異廠商之間理論上可以實(shí)現(xiàn),但在實(shí)際操作中存在是否配合的問(wèn)題,例如異廠商間能否支持相同的散列策略,包括源地址/目的地址散列方式、散列目標(biāo)鏈路的數(shù)量、負(fù)載分擔(dān)選擇算法等,這些導(dǎo)致異廠商間的匯聚分流設(shè)備至今無(wú)法實(shí)現(xiàn)同源同宿的問(wèn)題。如何實(shí)現(xiàn)異廠家間的同源同宿仍然值得研究。