應用流量監控核心技術探討

【摘要】 隨著互聯網業務及技術的發展，運商網絡出口擁塞程度增高，業務流量的時延和丟包率等質量指標嚴重劣化，已經威脅到業務發展。為了加強對網絡中各種業務流量的綜合管理，運營商應在網絡中部署專用的流量綜合管理設備。本文對目前存在的各種流量監控技術進行探討分析，論證各種優缺點，并提出部署建議。

一、主要流量識別技術

流量識別是為了解鏈路中流量組成，為精細化流量控制做基礎，目前主流的流量識別技術包括DPI、DFI和混合分析等。

DPI(Deep Packet Inspection)技術是通過對監控的鏈路中的數據包解包到七層，通過端口識別、特征字識別、協議指紋識別和協議狀態機識別等方法進行匹配進行流量識別。DPI通過進行深入包分析，根據應用的已知的特征值進行匹配，適用于未加密應用，要求建立完整的應用特征值庫并不斷更新.其采用的“不識別即歸入普通流量”的原則，會造識別率偏差。解析到七層的實時分析對系統性能要求較高。

DFI(Deep Flow Inspection)是另一種流量識別技術，Flow定義為格式參考<源IP、源Port、目的IP、目的Port..>的鏈路中的單向連接信息。DFI通過對監控并累計鏈路中的flow的速率、帶寬、包大小等網絡層信息，結合已經掌握的應用的相關信息以及應用交互過程進行匹配獲得分析結果。DFI處理不需要到七層，比較適合做高速流量分析。DFI根據業務本身的網絡流量特點進行分類，通過學習和積累，掌握和優化各種業務的特征，能適應不同的應用及變種，也適用于加密應用。DFI配合應用行為特征，將比較高的提高識別率。DFI存在對小類應用識別不準等缺陷。

DFI和DPI結合的辦法是將兩種辦法結合使用。

二、主要流量控制技術比較

流量控制的主要目的是通過控制用戶的部分低價值流量，同時盡量減少對用戶感知的影響，分為直接控制和間接控制兩種。

直接控制采用串接的連接方式，流量直接通過控制設備，通過流量細粒度分類、隊列、包緩沖(packet buffer)、整形等方法，實現對流量的控制。直接控制效果明顯，不強制掛斷連接，只是通過網絡層的控制，降低了單個連接的資源數，整體上不影響用戶感知。

間接控制的方法主要是使用某種機制強制關閉連接或者改動TCP滑動窗口值等方式達到調控帶寬的目的。間接控制會導致對單個用戶的體驗造成影響.

基于壓縮或緩存是另一種新的流控手段，在盡量不丟棄報文不損失數據的情況下減少實際連接的數據傳輸量。

三、系統連接方式

目前流控系統有兩類主要連接方式,即直接串接入電路的串接方式和通過分光旁路電路流量的旁路方式,對比如下:

1）并接控制向用戶側發送干擾報文，有法律風險。使用串接控制，通過有選擇地進行報文丟棄、替換、時延、抖動等實現干擾劣化，不會有法律風險。

2）串接方式可以實施全面的流量控制，而并接控制能夠控制的業務種類和支持的控制方式都很有限。

3）并接方式無法控制多數經過加密的業務流量。串接方式雖然對于強加密的協議也無法做到應用層面的完全破解，但是可以根據識別出的大類型，針對連接實施有效的流量控制。

4）串接方式控制粒度更精確，并接方式無法滿足精確控制需求。

5）串接流量控制設備還可以根據用戶和業務識別結果，對流量重新標記，為全網的流量控制打好基礎。而并接設備無法實現此種功能.

較之于并接方式，串接方式在流量控制方面有明顯的優勢。

四、結束語

鑒于不同技術的不同特點，建議在不同應用場景使用不同的技術，在綜合流量管理的場景，建議使用DFI/DPI結合和串接的方式。在精細化運營的場景，建議使用DFI/DPI結合和旁接的方式。

評論加載中... 內容： 評論者： 驗證碼：