IDC運營商網絡流量控制系統設計與實現

付旭升

引言；今天對網絡管理的要求已經不僅僅是速度與帶寬,網絡管理員需要了解網絡的使用情況與業務行為。流量管理解決方案能夠幫助用戶推動業務的發展,包括降低運營成本以及新增服務內容。對與業務無關的流量進行控制,緩解網絡中IP數據流之間的競爭與擁塞,目前許多公司都能提供一系列監測與管理工具,通過這些工具,能夠為用戶提供全網的可視性與性能監測、實現實時地對有害流量的發現與控制、并對應用、數據流、連接、協議以及網絡運行趨勢等進行跟蹤和統計匯報。

對于運營商和服務提供商,網絡智能就是對流量進行控制并實現平均每個用戶收益最大化,即對現有的網絡基礎設施進行更有效的利用并且能夠提供層次化的服務以提高收益。服務商的流量管理解決方案全面滿足了運營商和服務提供商等客戶的需求。借助能夠識別和控制包括P2P、VoIP、視頻、HTTP或游戲等在內的多種應用的能力,一些公司的流量管理解決方案為用戶提供智能的網絡可視性、前所未有的高體驗質量(QoE)以及安全性。通過部署新的基于應用的服務、追蹤網絡行為與趨勢、提供創新的計費模式以及自助服務特性,同時該解決方案能夠幫助用戶在增加收入的同時提高用戶滿意度。高速數據、高質量視頻通信等寬帶業務的需求日趨迫切。這類業務要求網絡能以數百MbPS甚至上千MbpS的速率傳輸和交換數據、語音和圖象等綜合信息,即要求網絡要實現高速化和寬帶化甚至是光纖化。但是許多與工作無關的應用占去了絕大部分網絡帶寬,這嚴重地影響了網頁瀏覽、郵件收發、視頻會議等應用的正常運行,而傳統防火墻對應用層的流量管理又無能為力,因此,如何精確地給流量分類并有效地控制成為了一個重要的課題。

傳統防火墻都工作在051模型的第2、3或4層,通過對數據包的源/目的IP地址、MAC地址、TCP/UDP端口等進行過濾,實現對網絡流量的監視。一般的過濾策略都是通過對當前數據包的包頭來做的,并不關心整個連接信息。傳統防火墻對網絡流量的一般處理方法有阻塞某種協議常用端口、切斷客戶端和服務器的連接等。隨著網絡的發展,網絡應用的增多,越來越多的應用開始使用動態端口,再加上近年來很多應用都是通過web端口80進行的,有些P2P就可以偽裝成HTTP的流量,因此采用傳統防火墻對端口處理的方法己經無法對數據包進行準確有效地識別與控制。因此為了更好地識別與控制網絡流量,尤其是對P2P類流量地識別與控制,必須使用第7層對流量分析的方法。

流量控制設備可以實現協議分析功能,下面研究的就是在上述公司設備分析下的網絡協議。流量控制設備不是簡單地限制用戶在給定時間內能夠接收的帶寬,而是通過增加特定時段的字節上限(如每天份額),將完全攔截或限制接入降到最小值。這樣就可以讓用戶感到更公平,因為他們不必再爭奪某個時間點的可用資源,而是每人都可以平分到一塊“蛋糕”。注意,該平臺能夠在應用級別實施限制,這表明可以特別針對P2P流量設立字節上限。這種方法比在用戶級別(如對每個用戶的日常流量進行限制)限制字節上限要先進,因為它能更好地為用戶提供基于應用的隔離,從而打消用戶的顧慮:無論P2P使用多少字節,他或她都不會丟失其它關鍵應用(如VPN和電子郵件)的接入。subscribe:Manager(SM)是流量控制設備一個組成部分,負責為流量控制設備提供動態用戶信息,讓流量控制系統可以根據用戶賬號進行策略設置,生成以用戶為基準的數據報告。SubscriberManager(sM)就像一座橋梁連接著AAA系統和流量控制系統系統。

NGSESM首先可以提供ADSL環境下,以及其他寬帶比如LAN,賬戶和lP地址的動態對應,這些對應信息會存貯在流量控制設備中,并最終報告在報表服務器中,用戶可以根據這些信息對于每個寬帶賬戶進行深度的業務分析和業務控制,此外,NGSE還可以支持對大客戶固定lP系統的支持,對全部用戶可以統一進行分析和報告。其工作流程簡述如下:從Radiu、Server實時采集用戶上下線的信息,并記錄在高效數據庫內。當用戶上線流量控制設備發出詢問請求時,將數據庫中的用戶信息回應給流量控制設備。當用戶下線,主動發送用戶下線信息到,以便流量控制設備清理內部DB。同步流量控制設備策略組,并可設置用戶的策略組歸屬,實現基于用戶的策略控制。提供管理員操作接口,可以管理維護固定IP用戶的信息。

帶寬的資源發展受到傳輸的影響而發展速度降低,如何利用有限的資源創造最大的效益,是互聯網運營商面臨的課題。流量控制設備固然能降低用戶所占用的帶寬,但是相應的用戶感知也會下降,影響運營商的客戶規模。運營商應該把市場和技術相結合,創造更多的新業務讓用戶來關注,真正的把互聯網帶寬變成可控制的,能夠按需求分配的資源，“疏堵結合,為我所用”,才能使電信運營商、信息提供商和客戶構建健康和諧的平臺。

參考文獻：

[l]劉芳，網絡流量監測與控制，北京郵電大學出版社2009

[2]常莉，校園網絡流量的監控策略，吉林大學出版社2010

[3]李庭芳，DFI技術保障網絡流控智能管理，電子科技出版社2011

[4]顧碗儀,張杰，全光通信網,北京郵電大學出版社,2008

[5]倪冰,陳運，P2P流量監控技術，西安交通大學出版社,2009