DPI和DFI技术原理

DPI和DFI技术原理 DPI和DFI带宽管理技术 一、当前状况和挑战 固网转型，宽带成为最大亮点，欣欣向荣的宽带业务发展给运营商带来了可观利润和客户。但是，随着网络应用层出不穷，P2P、网络游戏、IPTV、WEBTV等新兴业务，占用了互联网大部分带宽，以BT和Edonkey为代的P2P应用已经占据了整个互联网流量的2/3以上，运营商的基础网络建设陷入了“拥塞-扩容-再拥塞”的非正常局面，盈利能力相应降低。 的带宽，在我国宽带不限时包从目前国内统计来看，P2P跨域的流量在干线占用了80% 月资费模式下，网络的绝大部分带宽被少量用户所占用，而这些用户并未支付相应的成本开销，却影响了其他大部分用户的网络质量，因此，运营商的服务质量也出现问题。 造成以上现象的主要原因是运营商对用户缺少一个有效的控制和区分手段，运营商既不知道用户在网上干什么，也没有办法给不同用户提供一个不同的服务质量、服务等级的保证，当然就不能根据业务特性设置合理的费率，不能将业务增量转化为收益增量，反而被提供语音、IM、游戏等应用的ISP、ICP，利用廉价的网络资源，大力发展客户，撷取了蛋糕上的奶油。 无法实现业务识别、内容计费增加了运营商的运营成本，降低了客户的满意度。于是，如何深度感知网络应用，提供网络业务控制和管理手段，构建可以运营、可以管理的和谐网络，对P2P有效限制，合理引导，化不利为我所用已经成为电信运营商目前亟需研究的一个热门课题。 二、带宽管理技术 通过加大对网络流量的监控，可以在一定程度上比较准确地识别流量中的业务类型，其中DPI(DeepPacketInspection，深度包检测)和DFI(Deep/DynamicFlow Inspection，深度/动态流检测)两大技术体系的技术已经在国外商用，通过网络设备根据业务流进行检测和识别，其适合于检测非运营商的业务，以及利用P2P承载的业务。 IMS(IPMulti-mediaSubsystem，IP多媒体子系统)架构则是通过应用层网络设备业务的识别，适合于运营商集中运营的C/S模型的业务，如VOIP业务，从而为业务内容提供计费和电信级的安全保证和服务，向要求服务质量高的、需要带宽保证的客户提供QoS保障。IMS技术是发展方向，但其技术部署和策略应用将是复杂的、长期的过程，因此本文不作介绍。 1、DPI技术 传统的IP包流量识别和QoS控制技术，仅对IP包头中的“5Tuples”,即“五元组”信息进行分析，来确定当前流量的基本信息，传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障的，但其仅仅分析IP包的四层以下的内容，包括源地址、目的地址、源端口、目的端口以及类型，随着网上应用类型的不断丰富，仅通过第四层端口信息已经不能真正判断流量中的应用类型，更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。DPI技术技术在分析包头的基础上，增加了对应用层的分 析，是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流经过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对OSI7层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。针对不同的协议类型，DPI识别技术可划分为以下三类: 第一类是特征字的识别技术:不同的应用通常会采用不同的协议，而各种协议都有其特殊的指纹，这些指纹可能是特定的端口、特定的字符串或者特定的Bit序列。基于特征字的识别技术，正是通过识别数据报文中的指纹信息来确定业务所承载的应用。根据具体检测方式的不同，基于特征字的识别技术又可细分为固定特征位置匹配、变动特征位置匹配和状态特征字匹配三种分支技术。通过对指纹信息的升级，基于特征字的识别技术可以方便的扩展到对新协议的检测。 第二类是应用层网关识别技术:在业务中，有一类的控制流和业务流是分离的，如与7号信令相关的业务，其业务流没有任何特征，应用层网管识别技术针对的对象就是此类业务，首先由应用层网管识别出控制流，并根据控制流协议选择特定的应用层网关对业务流进行解析，从而识别出相应的业务流。对于每一个协议，需要不同的应用层网关对其进行分析。例如:H323、SIP等协议，就属于此类，其通过信令交互过程，协商得到其数据通道，一般是RTP封装的语音流，纯粹检测RTP流并不能确定这条RTP流是通过那种协议建立起来的，即判断其是何种业务，只有通过检测SIP或H232的协议交互，才能得到其完整的分析。 第三类是行为模式识别技术:在实施行为模式技术之前，运营商首先必须先对终端的各种行为进行研究，并在此基础上建立行为识别模型，基于行为识别模型，行为模式识别技术即根据客户已经实施的行为，判断客户正在进行的动作或者即将实施的动作。 行为模式识别技术通常用于那些无法由协议本身就能判别的业务，例如:从电子邮件的内容看，垃圾邮件和普通邮件的业务流两者间根本没有区别，只有进一步分析，具体根据发送邮件的大小、频率，目的邮件和源邮件地址、变化的频率和被拒绝的频率等综合分析，建立综合识别模型，才能判断是否为垃圾邮件。 这三类识别技术分别适用于不同类型的协议，相互之间无法替代，只有综合的运用这三大技术，才能有效的灵活的识别网络上的各类应用，从而实现控制和计费。 2、DFI技术 与DPI进行应用层的载荷匹配不同，DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。例如，网上IP语音流量体现在流状态上的特征就非常明显:RTP流的包长相对固定，一般在130,220byte，连接速率较低，为20,84kbit/s，同时会话持续时间也相对较长;而基于P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型。 3、优缺点 DFI处理速度相对快:采用DPI技术由于要逐包进行拆包操作，并与后台数据库进行匹配对比;采用DFI技术进行流量分析仅需将流量特征与后台流量模型比较即可，因此，目前多数基于DPI的带宽管理系统的处理能力达到线速1Gbit/s左右，而基于DFI的系统则可以达到线速10Gbit/s的流量监控能力，完全可以满足运营商需求; DFI维护成本相对较低:基于DPI技术的带宽管理系统，总是滞后新应用，需要紧跟新协议和新型应用的产生而不断升级后台应用数据库，否则就不能有效识别、管理新技术下的带宽，提高模式匹配效率;而基于DFI技术的系统在管理维护上的工作量要少于DPI系统，因为同一类型的新应用与旧应用的流量特征不会出现大的变化，因此不需要频繁升级流量行为模型。 识别准确率方面各有千秋:由于DPI采用逐包分析、模式匹配技术，因此，可以对流量中的具体应用类型和协议做到比较准确的识别;而DFI仅对流量行为分析，因此只能对应用类型进行笼统分类，如对满足P2P流量模型的应用统一识别为P2P流量，对符合网络语音流量模型的类型统一归类为VOIP流量，但是无法判断该流量是否采用H.323或其他协议。如果数据包是经过加密传输的，则采用DPI方式的流控技术则不能识别其具体应用，而DFI方式的流控技术则不受影响，因为应用流的状态行为特征不会因加密而根本改变。