流量分析和控制技術的研究與系統建設

楊合林

中國移動通信集團設計院有限公司山東分公司，山東濟寧 250001

1 背景

現階段，中國移動互聯網建設初具規模，為移動互聯網的大力發展提供了保障，但隨著用戶規模的增加，中國移動互聯網面臨著一系列問題，亟待解決。

1）P2P應用由于端口是可變的，很難察覺和管理，對網絡帶寬消耗極大，運營商 “增量不增收”，有淪為“管道”的風險；2）以Skype 為代表的P2P語音應用給運營商帶來長途話費收入大量流失的嚴重后果，固網運營商長話業務的流失額增長迅速；3）大量的電影、軟件下載，網絡資源消耗極大，附加在這些文件里的網絡病毒也在大量增長，由于病毒泛濫，客戶網絡容易遭受攻擊而中斷。

面對各種威脅，中國移動亟需對互聯網用戶流量進行精確的管理和控制，構建智能管道，為用戶提供優質的寬帶服務。

2 流量分析和控制技術研究

2.1 流量識別技術

2.1.1 DPI技術

DPI技術在分析包頭的基礎上，增加了對應用層的分析，是一種基于應用層的流量檢測和控制技術，可劃分為以下三類：

1）特征字識別技術：不同的應用會采用不同的協議，各種協議有其特殊的指紋。特征字識別技術，正是通過識別數據報文中的指紋信息來確定業務所承載的應用；2）應用層網關識別技術：若業務的控制流和業務流分離，其業務流沒有任何特征，可通過應用層網關識別出控制流，根據控制流協議選擇特定的應用層網關對業務流進行解析，從而識別出相應的業務流；3）行為模式識別技術：對終端的各種行為進行研究，并在此基礎上建立行為識別模型，基于行為識別模型，判斷客戶正在進行的動作或者即將實施的動作。

DPI采用逐包分析、匹配技術，可以對流量中的具體應用類型和協議做到比較準確的識別，但處理速度相對DFI慢；數據包若經過加密，DPI不能識別具體應用。

2.1.2 DFI技術

DFI是一種基于流量行為的應用識別技術，基于流量的行為特征，建立流量特征模型，通過分析會話流量的相關信息來與流量模型對比，從而實現鑒別應用類型。

DFI技術將流量特征與后臺流量模型進行直接比較，處理速度快；不受協議加密傳輸影響；由于同一類型的新應用與舊應用的流量特征變化不大，DFI系統不需要頻繁升級流量行為模型； 但DFI只能對應用類型進行籠統分類。

2.2 流量控制技術

流量控制技術分成兩大流派，一是利用協議本身的一些機制，實現流量控制；一是采取緩沖、隊列控制的辦法，強制性的實現流量控制。

2.2.1 基于協議的流量控制技術

1）TCP降速： TCP協議采用滑動窗口技術來實現端到端的流量控制，可通過偽造并發送特殊sequence報文來減小TCP的滑動窗口值，對連接的兩端進行流量控制；2）TCP截斷：通過偽造并發送TCP RST/FIN報文來截斷TCP連接；3）UDP降速：UDP協議具有非面向連接的單包特性，無法從4層對數據流進行干擾，只能通過7層的協議信令進行干擾，達到流量控制的目的；4）UDP截斷：通過偽造并發送應用層特殊控制命令方式來截斷UDP連接，該控制方法缺點是隨著協議的升級，控制代碼也需要頻繁地升級，實現起來較麻煩。

2.2.2 基于隊列的流量控制技術

基于隊列的流量控制技術，將入端口數據進行排隊，賦予每個隊列一定的調度優先級。隊列調度算法目前應用最為廣泛的是令牌桶算法和預測丟棄算法RED。

1）令牌桶算法綜合考慮了報文長度、優先級，還增加了隊列環回機制，算法完善，但實現較為復雜，占用大量的CPU和緩存資源，適合輕載網絡環境；2）RED算法，在沒有可用網絡資源發送數據時，將低優先級的隊列中的報文簡單丟棄，導致報文重傳，造成網絡資源浪費。該算法簡單，適合在高速網絡中實現，實際中應結合延緩報文發送而不是直接丟棄的方法，抑制報文重傳。

2.3 流量分析和控制系統的組網技術

流量分析和控制的組網技術包括直路和旁路兩種方式，二者在控制效果、系統性能以及對網絡影響各不相同。

1）直路方式：是指在業務鏈路上直接部署流量分析和控制設備的方式，控制直接、方便，但存在單點故障和擴展性問題，需要隨著應用和業務的更新而不斷更新檢測庫，還需要隨著新業務的出現而不斷擴充業務功能；2）旁路方式：是指通過端口鏡像或分光的方式獲得流量的完整拷貝，然后進行復雜的分析，不會對現有網絡拓撲造成影響，但控制能力受到較大影響。

3 中國移動流量分析和控制系統建設思路

根據上文分析，中國移動流量分析和控制系統的建設步驟建議如下。

3.1 近期建設思路

近期，考慮中國移動網內資源有限，用戶訪問流量絕大多數為出網流量，建議遵循“重分析，輕控制”的原則，在省網出口/IDC出口鏈路，集中部署流量分析和控制系統，完成全省用戶出省訪問業務的分析和控制功能，發現并抑制當前比較嚴重的業務濫用，積極引導轉化用戶行為，降低網間流量結算費用，提高用戶使用感受。

圖1 中國移動流量分析和控制系統建設步驟總結

系統分為流控后臺系統和流控前端系統兩部分。后臺系統在省中心集中建設，負責配置、故障、性能、告警、統計等功能，并與Radius系統接口，實現“用戶-IP”的一一對應，通過賬戶對用戶進行分析和控制；前端系統主要完成數據采集、策略執行的功能。

為避免對現有網絡拓撲造成影響，建議采用旁路部署方式；流量識別技術采用DPI，保證識別精度；建議采用基于協議的流量控制技術實現對非法業務濫用的控制。

3.2 中期建設思路

隨著中國移動IDC和各地市托管機房互聯網內容資源的逐步引入，用戶初具規模，網內地市間互訪量增加，地市出口帶寬壓力增大，繼續遵循“重分析，輕控制”的原則，建議在各地市城域數據網出口鏈路部署流量分析和控制系統，采用在省網匯接路由器側集中建設的方式，在地市側新增客戶端，實現對本地市城域數據網出口流量的分析和一定程度的控制功能。

該時期，城域核心層的出口業務流量大，建議采用旁路部署方式；流量識別技術采用DPI；配合采用基于協議的流量控制技術實現對非法業務濫用的控制。

3.3 遠期建設思路

遠期，中國移動在網內資源和用戶規模方面，與其他運營商相當，地市內部訪問量形成規模，需要在各地市城域數據網內部建設流量分析和控制系統，建設策略由“重分析，輕控制”轉變為“分析和控制并重”。

城域數據網內的鏈路以GE為主，建議采用直路部署方式；流量識別技術采用DPI；配合采用基于隊列的流量控制技術實現對全部用戶的流量控制。

流控系統的前端服務器采用分布式部署的方式，覆蓋SR、BRAS等業務接入控制層路由器的上行鏈路，并根據需求，覆蓋業務量大的匯聚交換機上行鏈路。

流控系統的后臺系統仍采用集中建設的方式，部署在省中心，增強用戶管理系統的功能，新增與BOSS系統的接口，實現“用戶-IP-服務”的對應關系，實現對用戶基于應用的分級服務能力。

4 結論

流量分析和控制技術的應用，是解決目前互聯網面臨諸多問題的關鍵，中國移動應高起點、分步驟的建設流量分析和控制系統，擺脫傳統管道的角色，實現對用戶、應用的完全可視、可控、可管，構建智能管道，為互聯網健康、可持續發展保駕護航。

[1]SIG業務監控網關系列課程.

[2]Allot電信運營商增值建議方案.

[3]IP網監控系統調研與建議.