应用流量监控核心技术探讨
2014/10/10 13:12:54【摘要】 随着互联网业务及技术的发展,运商网络出口拥塞程度增高,业务流量的时延和丢包率等质量指标严重劣化,已经威胁到业务发展。为了加强对网络中各种业务流量的综合管理,运营商应在网络中部署专用的流量综合管理设备。本文对目前存在的各种流量监控技术进行探讨分析,论证各种优缺点,并提出部署建议。
一、主要流量识别技术
流量识别是为了解链路中流量组成,为精细化流量控制做基础,目前主流的流量识别技术包括DPI、DFI和混合分析等。
DPI(Deep Packet Inspection)技术是通过对监控的链路中的数据包解包到七层,通过端口识别、特征字识别、协议指纹识别和协议状态机识别等方法进行匹配进行流量识别。DPI通过进行深入包分析,根据应用的已知的特征值进行匹配,适用于未加密应用,要求建立完整的应用特征值库并不断更新.其采用的“不识别即归入普通流量”的原则,会造识别率偏差。解析到七层的实时分析对系统性能要求较高。
DFI(Deep Flow Inspection)是另一种流量识别技术,Flow定义为格式参考<源IP、源Port、目的IP、目的Port..>的链路中的单向连接信息。DFI通过对监控并累计链路中的flow的速率、带宽、包大小等网络层信息,结合已经掌握的应用的相关信息以及应用交互过程进行匹配获得分析结果。DFI处理不需要到七层,比较适合做高速流量分析。DFI根据业务本身的网络流量特点进行分类,通过学习和积累,掌握和优化各种业务的特征,能适应不同的应用及变种,也适用于加密应用。DFI配合应用行为特征,将比较高的提高识别率。DFI存在对小类应用识别不准等缺陷。
DFI和DPI结合的办法是将两种办法结合使用。
二、主要流量控制技术比较
流量控制的主要目的是通过控制用户的部分低价值流量,同时尽量减少对用户感知的影响,分为直接控制和间接控制两种。
直接控制采用串接的连接方式,流量直接通过控制设备,通过流量细粒度分类、队列、包缓冲(packet buffer)、整形等方法,实现对流量的控制。直接控制效果明显,不强制挂断连接,只是通过网络层的控制,降低了单个连接的资源数,整体上不影响用户感知。
间接控制的方法主要是使用某种机制强制关闭连接或者改动TCP滑动窗口值等方式达到调控带宽的目的。间接控制会导致对单个用户的体验造成影响.
基于压缩或缓存是另一种新的流控手段,在尽量不丢弃报文不损失数据的情况下减少实际连接的数据传输量。
三、系统连接方式
目前流控系统有两类主要连接方式,即直接串接入电路的串接方式和通过分光旁路电路流量的旁路方式,对比如下:
1)并接控制向用户侧发送干扰报文,有法律风险。使用串接控制,通过有选择地进行报文丢弃、替换、时延、抖动等实现干扰劣化,不会有法律风险。
2)串接方式可以实施全面的流量控制,而并接控制能够控制的业务种类和支持的控制方式都很有限。
3)并接方式无法控制多数经过加密的业务流量。串接方式虽然对于强加密的协议也无法做到应用层面的完全破解,但是可以根据识别出的大类型,针对连接实施有效的流量控制。
4)串接方式控制粒度更精确,并接方式无法满足精确控制需求。
5)串接流量控制设备还可以根据用户和业务识别结果,对流量重新标记,为全网的流量控制打好基础。而并接设备无法实现此种功能.
较之于并接方式,串接方式在流量控制方面有明显的优势。
四、结束语
鉴于不同技术的不同特点,建议在不同应用场景使用不同的技术,在综合流量管理的场景,建议使用DFI/DPI结合和串接的方式。在精细化运营的场景,建议使用DFI/DPI结合和旁接的方式。
TAG:
评论加载中...
|