技术前沿——DPI:经营IP何须雾里看花? (转自文/潘灏涛)
随着IP业务的爆炸性发展,如果不能清楚地了解网络的运转状况,也不了解不同的业务类型对带宽的消耗情况,唯一知道的就是带宽又不够了——这势必将运营商推进一个“拥塞-扩容-再拥塞-再扩容”的怪圈。DPI技术能帮助运营商走出这一怪圈吗?
源于运营需求
欣欣向荣的宽带业务,给运营商带来机遇的同时也带来了挑战。一方面,P2P、网络游戏、WebTV、VoIP等应用的普及,为运营商吸纳了大批客户,同时也带来带宽管理、内容计费、信息安全等一系列新的课题。
其中,表现最突出的是P2P应用。P2P技术打破了C/S流量模型,采用“无集中服务器”模式,消除了服务器的瓶颈问题,迅速渗透到文件下载、流媒体,VoIP等业务领域。据统计,目前P2P的流量已经占到网络流量的50%以上,并且这一数字还呈现出不断上升的趋势,甚至被认为是一种杀手级应用和革命性技术。但是,运营商目前在宽带网络的规划和建设模式,显然无法适应P2P应用的流量模型,加上网络设备缺乏有效的技术监管手段,不能感知到P2P应用,导致网络运营商对网络的运行情况无法有效管理,网络出现不同程度的拥塞现象,运营陷入困境。
无法实现内容计费是影响运营商进一步发展的另一道坎。所谓内容计费是指运营商通过对数据包进行深度分析,区分出用户的业务类型,并按照业务特征设置合理的费率。反观现状,数据业务和内容服务不断丰富,但不完善的内容计费方式却不能将业务增量转化为等量的收益增量,反而有些业务的收益还有所下降。另一方面,提供语音、IM、游戏等应用的ISP、ICP,则利用廉价的网络资源,大力发展用户,攫取蛋糕上的奶油,对此运营商只能望洋兴叹,成为他人的铺路石。目前内容计费已经成为无线网关的门槛特性,所有的无线运营商都已经开始部署,固网运营商也在进行多种有益的尝试和研究。
内容安全是令运营商头疼的又一个问题。近年来,来自网络的攻击或入侵,给用户、运营商造成了非常巨大的损失。虽然防火墙能够缓解一部分攻击,但对于那些藏身于IP包净荷之中的病毒,防火墙显然力不从心。近年来,网络攻击的趋势正逐渐转向高层应用。据Gartner统计,目前70%以上的网络攻击事件都集中在应用层,而且这一比例还在不断攀高。由此可见,内容安全已经成为信息安全不可忽视的关键环节。
无法实现业务识别,无法实现内容计费,也无法满足信息安全的需要,这些问题不但增加了运营商的运营成本,而且也降低了用户的满意度。于是,如何深度感知网络应用,提供网络业务控制和管理手段,构建可运营、可管理的网络,成为运营商关注的焦点。所谓深度包检测是相对普通报文分析而言的一种新技术,普通报文检测仅仅分析IP包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI则在此基础上,增加了对应用层的分析,可识别出各种应用及其内容。
事实上,DPI技术已经在企业网的安全保障体系中有所应用,只是由于其适用范围小,没有引起足够重视,而真正促使DPI技术走上前台的正是P2P应用和内容计费。
三大识别技术
DPI将网络上的数据报文根据五元组分为一个个的应用流,并通过识别技术对应用流中的特定数据报文进行探测,从而确定应用流对应的应用或者用户的动作。针对不同的协议类型,识别技术可划分为以下三类。
第一类是基于特征字的识别技术:不同的应用通常会采用不同的协议,而各种协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或者特定的Bit序列。基于特征字的识别技术,正是通过识别数据报文中的指纹信息来确定业务流所承载的应用。根据具体检测方式的不同,基于特征字的识别技术又可细分为固定位置特征字匹配、变动位置特征字匹配和状态特征字匹配三种分支技术。通过对指纹信息的升级,基于特征字的识别技术可以很方便地扩展到对新协议的检测。
以Bittorrent协议的识别为例,我们可以通过反向工程的方法对其对等协议进行分析,所谓对等协议指的是peer与peer之间交换信息的一种协议。对等协议总是由一个“握手”开始,后面是循环的消息流,每个消息的前面,都有一个数字来表示消息的长度。在握手流程中,首先发送“19”,跟着是字符串“BitTorrentprotocol”。因此可以确定,“19BitTorrentProtocol”就是Bittorrent协议的特征字。
第二类是应用层网关识别技术:我们知道,有一类业务的控制流与业务流是分离的,其业务流没有任何特征。应用层网关识别技术针对的对象就是这一类业务,首先由应用层网关识别出控制流,并根据控制流协议选择特定的应用层网关对业务流进行解析,从而识别出相应的业务流。
对于每一个协议,需要有不同的应用层网关对其进行分析。例如,SIP、H323协议都属于这种类型的协议。SIP、H323通过信令交互过程,协商得到其数据通道,一般是RTP格式封装的语音流。也就是说,纯粹检测RTP流并不能确定这条RTP流是通过哪种协议建立起来的,只有通过检测SIP或H323的协议交互,才能得到其完整的分析。
第三类是行为模式识别技术:在实施行为模式识别技术之前,运营商必须首先对终端的各种行为进行研究,并在此基础上建立起行为识别模型。基于行为识别模型,行为模式识别技术即可根据用户已经实施的行为,判断用户正在进行的动作或者即将实施的动作。
行为模式识别技术通常用于那些无法由协议本身就能判定的业务。例如,从Email的内容看,SPAM(垃圾邮件)业务流与普通邮件业务流两者没有区别,只有进一步分析才能识别出SPAM邮件。具体可通过发送邮件的速率、目的邮件地址数目、变化频率、源邮件地址数目、变化频率、邮件被拒绝的频率等参数,建立起行为识别模型,并以此分拣出垃圾邮件。
这三类识别技术分别适用于不同类型的协议,它们之间无法相互替代。综合运用这三种识别技术,运营商即可高效、灵活地识别出网络上的各种应用。
如何实现模式匹配和数据转发?
DPI的关键在于,它要不断地在格式不定的数据包中判断出各种特征字,实现这一过程的基础技术就是模式匹配(Pattern-Matching)。通俗地讲,就是字符串匹配,即从数据中搜索是否存在目标字符串。通常,目标字符串采用正则表达式(Regularexpression_r)标准语法来描述。
模式匹配可通过以下三种方式实现。
第一种方式是软件模式匹配:在字符串匹配算法中,匹配一个字符串的算法称为单模,而同时匹配多个字符串的算法则称为多模,BM算法是典型的单模式匹配算法,AC(Aho-Corasick)算法则是典型的多模匹配算法。CPU多核化的趋势大大地提高了软件模式匹配的性能,如某多核处理器已经达到8个核,每核4个硬线程,基本IP处理性能达到5Gbps。
第二种方式是TCAM模式匹配:TCAM是一种进行用于查表操作的专用芯片,其特点是一次命中,查找速度与表的大小无关。这种方式特别适合路由表/ACL表的高速查找,由于这种方式要求匹配字符串的位置必须相对固定,因此不适合DPI可变位置的查找。目前已经有厂家尝试在TCAM外面增加逻辑电路,以此来扩展TCAM模式的灵活性。
第三种方式是ASCI模块匹配:通过把正则表达式解释器ASCI化,把需要检测的字符串通过正则表达式编译后,加载到芯片中,进行特征字库升级。
比较三种模式匹配技术,TCAM方式的灵活性低,实现难度大,功耗高,不是发展方向;软件方式的灵活性高,而且随着多核CPU的普及,性能快速提高;内容检测ASCI性能较高,灵活性也高。总体来讲,软件模式匹配和ASCI模式匹配是未来的主流发展方向。
在识别出业务类型后,下一步就是如何高速转发这些业务数据流。NP(NetworkProcessor)是一种理想的数据转发处理器,它兼顾了业务的灵活性和高速转发性能,目前40G的NP处理器已经商用,非常适合高速数据转发。
从DPI的基本功能看,没有哪一种器件能够兼顾识别和高速控制转发的双重要求。识别功能强调灵活性,主要采用多核CPU或者内容识别ASIC来实现,而控制转发强调高性能,NP是最佳处理器。从发展的角度看,NP+多核CPU/ASIC很可能成为高端DPI的未来方向。
支持运营商重构价值链
在运营商从管道提供商向综合信息提供商演进的过程中,DPI技术对于重构增值业务价值链起着非常重要的支撑作用。如图1所示,在业务网关位置增强业务识别和运营能力,可为ISP、ICP、用户提供一个共同健康发展的平台。
图1DPI支持价值链重构
在运营商重建价值链的过程中,DPI的第一个支撑作用就是识别业务,并提供策略管理。业务识别技术分为两大类别,即DPI业务识别和IMS架构的业务识别。DPI业务识别是由网络设备根据业务流进行检测和识别,而IMS架构则是通过应用层通知网络设备业务的标识。IMS架构适合于那些由运营商集中运营的C/S模型的业务(如NGN),而DPI业务识别则适合于非运营商的业务,以及利用P2P承载的业务,两种技术互为补充。在完成业务识别后,运营商即可根据用户的业务策略,实施相应的QoS技术,保障用户定制的业务质量,而对于其它业务则可采用尽力而为的转发方式。
DPI的另一个支撑作用就是支持灵活的内容计费机制。所谓内容计费,是指运营商可以根据不同的服务内容来制订有差别化的资费模式,其关键之处就是不同业务不同价值,而业务识别则是实现内容计费的前提,如果不能实现业务识别,那么内容计费也就无从谈起。
能否实现内容计费是重构价值链的重要前提。通过业务识别,运营商可实现五种基于内容的计费方式:基于内容价值的按时长计费、基于内容价值的按事件或者动作次数计费、基于内容价值的按数据流量计费、基于内容价值的按QoS计费,以及上述方式的组合计费。可以看出,内容计费方式比现有的计费方式更加透明、简单和易于理解,也与我们日常生活中的其它交易或消费体验比较接近,此外内容计费还能够给SP、CP创造一个更加公平、公正的竞争环境,从而促进整个内容服务价值链健康发展。
未来展望
随着需求推动和技术的不断成熟,DPI技术会像IP地址过滤器(ACL)一样,作为一种网络设备增强的过滤器,部署在BRAS、GGSN、SR中,逐步将用户管理、安全控制、精细的业务控制等能力有机地集成在一起,实现各类业务的动态感知、策略控制、QoS保障,以及网络与业务的安全保障等功能,降低运营商的资本性支出(CAPEX)与运营支出(OPEX),为运营商提供一个电信业务的基础运营平台。