MSCG——Multi-Service Control Gateway
IP多业务承载解决方案中,网络边缘汇聚层一方面担负着对业务实施安全、QoS控制,降低对接入网管理控制的难度,保证各类业务以合法身份安全地接入核心网;另一方面是因各种业务的所有流量均经过边缘汇聚进入核心网或接入网,故汇聚层设备的汇聚处理能力也必在考虑之中,以达实际有效的业务支撑和运营管理的目的。为此,IP多业务承载网需要在核心网边缘部署具备大容量的多业务控制网关(MSCG),具有在网络边缘对用户呼叫的各类业务进行合法性检验、动态业务感知和区分、对各类业务可以实施策略控制、保障业务的QoS、提供网络资源的合理分配、进行业务的多种分流等一系列功能。故多业务控制网关MSCG在城域网汇聚层将扮演着极其重要的角色。
摘要:DPI在国内典型的应用就是P2P流量识别与控制、VoIP业务检测与控制。事实上基于应用层协议分析的DPI,适用于几乎全部的互联网应用层业务识别、流量分析和业务控制。若通过北向接口与BOSS系统加以关联,就可以组建一套完整的客户行为分析系统和IP业务差异化服务控制系统。本文主要讨论DPI的应用现状和发展思路。
关键词:DPI 业务识别 流量分析 业务控制 客户行为分析 差异化服
1.DPI技术用于区分比特的颜色
“一个短信,几十个字节,1毛钱一条,每年收入约300亿元;而一部电影占据高达几个G的字节,只收几毛钱,却很少有人愿意支付。”【1】 2007年6月中国电信韦乐平总工在谈到固网转型面临的挑战时这样表示到,他把原因归结为短信是连接型业务,包括电话、VPN等连接型业务都是具有卖点的赢利业务;而视频等内容型业务尽管吃带宽很高,产生收入的能力却很弱。这个问题事实上涉及到了互联网和电信网的特性差异(开放性与封闭性)和收费模式差异(包月制与按流量收费)问题。表现出来就是:互联网精神倡导“我的地盘我做主”、“不知道对端是一个人还是一条狗”;电信网的特征是“用户可识别、业务可区分、质量可控制、网络可管理”。改变这个现状的技术和政策焦点就是:
比特到底有没有颜色,能不能区分出来?
运营商到底能不能找到更好的手段控制和管理互联网络?
运营商到底能在多大程度上(涉及授权问题)来对网络进行监视和控制?
如果一定要从互联网这个透明管道里根据不同业务区分出比特的颜色来,如P2P、VoIP、HTTP、FTP等,那么这个任务就是由IP业务识别与控制系统(DPI)来完成的。DPI能够分辨具体用户、具体应用的数据流,从而可以对用户的应用部署QoS、安全及其它策略。DPI可以帮助实现对网络内部奥秘的透视性和对网络资源的控制。运营商如果无法了解网络,那么也无法控制网络。DPI提供了这样的手段,可以分辨出经过网络的任何流量,以决定对这些流量的控制策略。
Cisco认为“一旦运营者完全掌握、了解了网络之后,就需要挖掘网络的潜力以创造更多收入,DPI系统可以做为一种工具来发现更多的业务机会。将来并不是简单地推出基于速率分级的业务,而是完全基于应用的业务等级,使用DPI系统在实现基于限额带宽、基于站点计费后,可以推出基于内容收费的业务。”
图1 DPI技术应用系统组成示意图
Cisco的Gadekar认为DPI的部署有三个阶段:第一阶段是“网络应用分析”,这个阶段运营商可以对网络有更深入的了解,这样DPI可以以旁路(passive)模式部署,而无需串接部署,部署在全局就可以。第二个阶段是全局流量优化和流量管理,通过提高互动性应用的优先级、降低“带宽杀手”的优先级。这个阶段,DPI部署在网络边缘,在汇聚设备后面,例如BRAS。第三个阶段,这将是每个运营商的最终目标,可以动态地订制某些业务。需要支持不同的计费模式、业务生成,DPI解决方案一般都会跟AAA服务器、策略服务器、计费系统紧密集成(见图1)。这是DPI+PS的阶段,用以实现按业务内容、按用户使用情况计费。
图2 按业务内容计费模型
中国电信从2005年就开始了DPI的现场测试,中国网通亦于2007年9月发布了企业标准“IP业务识别与控制系统”。
比较戏剧性的事情是,不测不知道,一测吓一跳,中国电信和中国网通测试后发现在IP网络的各种流量中,P2P占了大约一半。例如实测到某光纤+LAN用户2天内总计下载了90GB、上传了109GB文件;经估算, 平均7%左右的用户使用P2P应用占用了总带宽的46.2%, 下行带宽的37.9%, 上行带宽的66.6%。
难怪2003年前后ADSL个人业务开通后城域网带宽就一直被塞得满满的,原来都是P2P惹的祸。其中居前两位的P2P下载协议分别是BitTorrent和eDonkey/eMule,当时的检测设备已经具备了对识别出来的P2P进行限制的手段,如限制会话连接数、P2P带宽等。
于是就出现了后来大家看到的2006-2007年国内吵的沸沸扬扬的P2P封杀之争,争论的焦点是运营商到底有没有权利管制P2P流量,结论是没有,所以各地的封杀举措不得不停下来。
图3 P2P流量约占一半,且限制后大幅减少
但对于VoIP就是另外一回事了。我国对涉及PSTN落地的VoIP实行严加管制政策,2005年7月18日信产部下发各地通信管理局和运营商总部的电函(2005)413号《通知》里明确要求:除中国电信和中国网通能够在部分地区(中国电信用户:广东深圳、江西上饶;中国网通:吉林长春、山东泰安)进行PC-Phone方式IP电话商用试验外,任何单位和个人都不得从事这项业务。因此运营商封堵非法VoIP是名正言顺的。从效果上来看,在国内传统的网管和信令分析厂商的针对性开发下,技术成熟的非常快,VoIP识别率已经高到足够实现封堵的目的。
图4 VoIP检测技术趋于成熟
2.DPI的实现机理[2]
DPI全称为“Deep Packet Inspection”,称为“深度包检测”。所谓“深度”是和普通的报文分析层次相比较而言的,“普通报文检测”仅分析IP包的4层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI 除了对前面的层次分析外,还增加了应用层分析,识别各种应用及其内容。
图5 DPI检测的内容范围
普通报文检测是通过端口号来识别应用类型的。如检测到端口号为80时,则认为该应用代表着普通上网应用。而当前网络上的一些应用会采用隐藏或假冒端口号的方式躲避检测和监管,造成仿冒合法报文的数据流侵蚀着网络,例如P2P下载软件eMule大多采用动态协商端口机制。此时采用L2~L4层的传统检测方法已无能为力了。DPI 技术就是通过对应用流中的数据报文内容进行探测,从而确定数据报文的真正应用。因为非法应用可以隐藏端口号,但目前较难以隐藏应用层的协议特征。DPI的识别技术可以分为以下几大类:
(1)基于“特征字”的识别技术:不同的应用通常依赖于不同的协议,而不同的协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或者特定的bit 序列。基于“特征字”的识别技术通过对业务流中特定数据报文中的“指纹”信息的检测以确定业务流承载的应用。根据具体检测方式的不同,基于“特征字”的识别技术又可以被分为固定位置特征字匹配、变动位置的特征匹配以及状态特征匹配三种技术。通过对“指纹”信息的升级,基于特征的识别技术可以很方便的进行功能扩展,实现对新协议的检测。
DPI的关键在于,它要不断地在格式不定的数据包中判断出各种特征字,实现这一过程的基础技术就是模式匹配(Pattern-Matching)。通俗地讲,就是字符串匹配,即从数据中搜索是否存在目标字符串。通常,目标字符串采用正则表达式(Regular Expression)标准语法来描述。
例如:Bittorrent 协议的识别,通过反向工程的方法对其对等协议进行分析,所谓对等协议指的是peer与peer之间交换信息的协议。对等协议由一个握手开始,后面是循环的消息流,每个消息的前面,都有一个数字来表示消息的长度。在其握手过程中,首先是发送19,跟着是字符串“BitTorrent protocol”。那么“19BitTorrent Protocol”就是Bittorrent的“特征字”。
(2)应用层网关识别技术:某些业务的控制流和业务流是分离的,业务流没有任何特征。这种情况下,我们就需要采用应用层网关识别技术。应用层网关需要先识别出控制流,并根据控制流的协议通过特定的应用层网关对其进行解析,从协议内容中识别出相应的业务流。对于每一个协议,需要有不同的应用层网关对其进行分析。如SIP、H323协议都属于这种类型。SIP/H323通过信令交互过程,协商得到其数据通道,一般是RTP格式封装的语音流。也就是说,纯粹检测RTP流并不能得出这条RTP流是通过哪种协议建立的。只有通过检测SIP/H323的协议交互,才能得到其完整的分析。
(3)行为模式识别技术:行为模式识别技术基于对终端已经实施的行为的分析,判断出用户正在进行的动作或者即将实施的动作。行为模式识别技术通常用于无法根据协议判断的业务的识别。例如:SPAM(垃圾邮件)业务流和普通的Email业务流从Email的内容上看是完全一致的,只有通过对用户行为的统计和分析,才能够准确的识别出SPAM业务。
以VoIP检测为例说明DPI识别技术。VoIP使用的协议体系如图6(上)所示,目前VoIP所采用的信令主流协议包括:H.323、SIP、MGCP、Megaco等,实际网络中部署的VoIP系统可能采用私有呼叫控制协议或者将标准信令协议通过非标准端口传输,更有甚者修改标准的信令协议,如大名鼎鼎的Skype和Skinny都是企业私有的协议,其中Skinny是Cisco IP电话机(或IP Softphone)采用的通信协议。通过DPI系统解析VoIP建立和拆卸呼叫所使用的信令协议,从而获得目前网络上正在进行的会话信息,作为检测VoIP的手段。由于VoIP信令部分数据非常少,仅仅占VoIP流的2%,VoIP信令协议完全可能经过加密或者隧道传输处理。所以还需要辅以对媒体流的检测来提高识别率。媒体流在网络中的传输具有一定特征(比如说绝大多数采用RTP协议传输,且语音编码格式没有协议流那么千变万化,相对比较标准化一些,如G.729,G.711等),从而可以通过媒体流检测算法从网络数据包中检测所有的媒体会话信息。 将这两者结合起来实施联合检测,可以取得满意的效果,最后再辅以行为模式识别,可以起到相互验证确认的作用,综合下来现场测试的准确率超过了90%。
 |
 |
| 主叫号码 |
被叫号码 |
主叫网关 |
被叫网关 |
主叫网守 |
| 861065232914 |
0082328146960 |
61.49.198.90 |
210.3.42.37 |
202.83.197.197 |
图6 通过信令流检测VoIP的实例
3.主流DPI厂商的进展动向
2004-2007年,亚洲的运营商因为P2P流量增加和高额的互联互通(off-net traffic)成本最先采用DPI产品。欧洲也是比较早的采用DPI技术的,但却是因为另外一个截然不同的原因:由于提供DSL业务的运营商间激烈的竞争,运营商们部署DPI技术来提供差异化的服务,并与BOSS、策略服务器(PS)组合起来联动(如图1)。在美国,MSOs,即有线运营商是最早采用DPI技术的,因为比起DLS运营商来,MSOs在“用户最后一公里处”面临更激烈的竞争。而最近,美国很多大的有线和无线运营商也开始大规模应用DPI技术,这是因为IPTV的部署。
根据Light Reading Inside的研究报告【3】,2006年8月,全球主流DPI厂商的产品定位及客户定位如图所示,Allot、Cisco、Caspian、Sandvine等主要针对运营商市场,而F5,Paketeer等致力于企业市场;国内的厂商着力于P2P、VoIP的检测和封堵,这些厂商包括:南京信风、宽广电信、西岭科技、北京畅讯信通科技、中创信测等。当时市场上GE接口的产品主要针对中低端应用,POS 2.5G的产品已经成熟,可针对运营商的边缘网络部署;针对骨干网的POS 10G接口产品也出现了。
图7 各DPI厂商的定位
此时DPI技术的部署也遇到了一个前所未有的挑战,因为其倡导的新商业模式受到了欧美网络中立争论(vociferous debate over network neutrality)的直接影响,争论的焦点围绕能否确保“非歧视性的互联互通”网络环境,即SP和最终用户是否同意运营商采取措施区分比特的颜色并进行差异化控制策略,运营商也因此在部署DPI时持谨慎态度(例如Google的看家狗软件,可以做到自动探测ISP对用户的数据包做了什么,并留存详细记录以备法律诉讼),因此DPI在一轮热烈的全球测试之后并未获得大规模的部署。国内外应用协议的使用热度有一定差异,而国内DPI厂家在本地化方面往往是优于国外厂家的,所以,在目前为止的国内市场上,国内厂家占据了较大市场份额,这跟现阶段国内应用需求有关的,主要是对协议的全面识别和少量P2P应用控制。2007年9月,Caspian宣布倒闭,并停止运营,其他厂商包括Cisco在内此后的很长一段时间内也都没有后续产品更新。
Light Reading Inside 2007年11月的分析报告显示:DPI被证实可以用于更广泛的范围,包括网络安全(利用DPI技术可以更有效的辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及类似尼姆达这样的蠕虫病毒)、服务打包、服务管理等;还有一个新出现的领域就是当前不断增长的移动互联网高速接入服务商对DPI表现除了很大的兴趣,因为他们面临着和其固网竞争对手同样的经济前景问题,除非找到一种合适的方法能够管理和定价(monetize)移动互联络。
2007年DPI市场进一步分散化,产品特性亦呈现出分化演进的态势,主要表现在以下方面:
表1 DPI产品的差异化趋向
| 差异项 |
详 细 |
| 扩展性 |
DPI盒子的容量,衡量指标是用户数、流量数、有线速率下能处理的总带宽数。近期的产品宣称达到了单向10G bit/s在线线速检测。高速率的实现是通过部署一组或者多卡机架式解决方案。 |
| 设备样式 |
在客户网络中的合适点位提供专用机箱的能力(刀片式、路由器或者客户需要的其它类型) |
| 可编程能力 |
一些非硬件芯片厂商强调了编程能力及灵活性。例如,Bivio Networks认为“DPI不会屈降于硬件解决方案”。 |
| 价格 |
很显然,价格是与其它因素相关的折衷结果。价格因容量、提供的应用数而变。 |
| 有效性 |
准确识别流量的能力及跟上每天出现的新类型流量,如新应用、病毒、堡垒网络等。移动互联网的出现创造了一个新的差异化领域,有一些危险是移动独有的,如吸电攻击。 |
| 兼容性 |
集成内部技术或第三方技术的能力。 |
| 报表灵活性 |
运营者想看到可视化的流量,因此对可信赖的、可扩展的、健壮的报表工具的重要性要有远见。 |
| 在线或离线分析 |
在线DPI成本高昂,离线DPI仍有自动采取动作的选择或者手动完成。 |
| 网络接口范围 |
包括:E1、T1、OC3、OC12、STM1及GE |
4.客户行为分析【4】
从上面P2P和VoIP检测与控制的实例中已经可以看出来,只要有需求,DPI可以对各种应用做针对性的协议分析(包括热门应用和冷门应用),分析的程度可以足够高到满足网络管理和控制的需要。这样的热门应用领域很多,如在线游戏、在线视频、网络安全、垃圾邮件等等,甚至可以对即时通信(如QQ、MSN)等做针对性的协议监控。这样,即便是在不做信息还原的前提下(因为涉及到监管政策授权),也能做深入的客户行为分析。当然,国家安全部门可以有权据此执行信息安全检测与举证操作,这属于DPI客户行为分析系统在国家安全领域的应用。
如以虚拟拨号方式的用户上网账号(或专线客户的IP地址)为对象可以分析出:
活跃度:流量、报文长度、带宽占用率、上网次数、上网时长、收发流量比等;
业务分析:各种主要业务的使用量和所占比例,如;用户访问的地域和运营商、用户上网喜好分析(新闻、娱乐、游戏、聊天等)、站点及站点内部频道对比分析等;
异常流量分析:端口扫描分析、异常报文分析、连接分析、ICMP分析等;QoS:
交互式业务质量、媒体类业务质量等。
根据这些信息,服务提供商在营销或推出新产品时,可以进行针对性营销。例如:
向影视爱好者推销IPTV;
向垃圾邮件受害者推销反垃圾邮件产品;
向游戏爱好者推销新的游戏产品。
5.DPI的发展方向
当前电信网发展的基本方向之一是基于全IP的网络融合,即在核心网、特别是接入网层面的语音IP化。具体内容包括以软交换为代表的NGN基本完成部署,以IAD(综合接入设备)、AG(接入网关)和HG(家庭网关)为代表的接入终端IP化。如果说NGN承载网和IP城域网的融合、共用是承载网络层面的融合,那么语音、数据、IPTV集成于业务控制网关(如家庭网关)则是业务层面的融合。现在面对的问题是IP网里长期固有的安全问题、QoS问题仍然存在,这对传统上高可靠、高安全的语音业务来说是个很大的威胁。而我们过去在网络层面所做的各种解决方案尝试,包括TE(流量工程)、IP/MPLS DiffServ、802.11P等没有能取得满意效果,最简单最有效的方式仍然是超带宽规划(Over Provision)。
DPI从应用层面提供了一种清晰有效的解决方案,特别是其发展第三阶段的DPI的策略控制功能使之成为NGN架构IMS、TISPAN里不可缺的部分,DPI位于架构的网络层,为业务控制和网络控制提供全面信息。
图8 DPI系统在典型NGN架构里的位置
现在,这种思路已经有了可商用化产品。如Cisco的7600系列,华为的ME60和Redback的SmartEdge 1200,具有代表性产品如华为的多业务控制网关(MSCG),戏称为IP网的“首席运营关”,可提供一种层次化的DPI解决方案,在功能与性能方面取得了均衡。它的工作方式是:当大量数据流由用户侧汇聚涌入多业务控制网关MSCG时,首先由MSCG的直通业务处理层区分出运营的NGN语音、IPTV或大客户专线业务,这些不需要进行DPI 处理的数据流称其为直通业务,它们不用消耗DPI 处理的资源;其次在MSCG内部将Internet数据分流到内置的DPI 处理层,该层可深度识别BT、eDonkey、eMmule等大众化P2P业务流,经业务识别后可优化带宽和提供内容计费;当网络中出现更加复杂的业务流时,可以将Internet数据流的识别工作交给MSCG外置的DPI 引擎来担负,内置DPI 处理层将接受来自外置DPI 引擎返回的识别结果并进行相应的业务服务和控制。故MSCG层次化DPI 解决方案的内置业务感知识别处理机制保证了DPI 技术应用系统处理的吞吐量;而外置DPI 引擎则保证了系统业务识别的灵活性和广泛性,从而解决了因实施DPI 技术应用引发的网络拥塞问题。【5】
图9 DPI层次化部署解决方案
这样一来,DPI使网络变的对维护者可见、质量评测系统使网络变的可评价,业务策略管理系统相当于业务的大脑和控制者,直接对业务所经的计费认证系统、数据设备、宽带接入服务器、宽带接入设备发出指令。这些系统使网络成为一个智能的业务网,从容应对网络故障、安全攻击、网络拥塞、等其它恶性事件。实现精细网络控制,对用户和运营商均带来益处。因此,DPI系统必定会集成进下一代网络汇聚设备。不论是下一代的BRAS(宽带接入服务器)还是下一代的CMTS(有线调制解调器终端系统),运营商对这些设备具体DPI功能的需求都会越来越强烈。CISCO认为,DPI的功能不仅网络边缘设备应该具备,在网络之间对接的设备上也必须具备,即最终会全网部署DPI系统