摘 要 对IP设备、中继、路由协议及应用数据流进行监测、分析、分类、整形、控制和拥塞避免,尽早实施流量策略,防范攻击,抑制异常报文,规范使用P2P提高传输效能,使网络轻载运行,确保安全。
关键词 流量策略 深度检测DPI 不间断转发NSF 实时传输协议RTP 对等联网P2P
1 引言
IP技术飞速发展,基于IP的新业务如3G、NGN、全球眼、新视通、IPTV、P2P等层出不穷,低时延、小抖动、高QoS的实时业务越来越多,用户对质量要求进一步提高;而黑客攻击、病毒入侵、端口扫描、P2P应用等泛滥成灾,宽带应用要求安全管理带宽资源,实时监控网络掌握流量动态、建立分析系统及时采取有效措施势在必行。
本文采用三维结构格式,纵向参照互联网层次,从低到高逐层描述物理层、链路层、IP层、传输层、应用层的流量特征;竖向以流量分类、检测和控制等策略对其施加影响;横向以时间为轴分析以往和当前,预测未来;综合考虑、系统实现IP网络可运维、可管理、具有QoS保证的多业务承载平台。
2 物理层:关注设备负载和中继流量;3G、NGN启用新平面
分析设备CPU和内存使用率,设置预警门限防止负荷高引起性能劣化服务质量降低;主控、引擎板冗余热备份,路由处理板增强备份或状态转换加快切换速度,增配交换板实现线速转发,SR做为MPLS PE、专线和多播网关,BAS实现PPPoE拨号,接入网取消路由功能,网络扁平化减少交换机级连层次;MPLS VPN配置路由反射器减轻汇聚负担;设备互联启用身份认证,使用动态口令限制非法访问避免安全隐患。
LAN、ADSL接入限速,光进铜退、DSLAM下移、引入ADSL2+减少线路质量差导致报文重传增加开销。核心、汇聚及接入层中继双归属、多归属或同层迂回保护,确保至少两条不同的传输通路;分析同向中继及每条链路带宽,均衡分担流量负荷,超过预警门限采取网络扩容、路由调度、流量切换等措施;双归属中继利用率达50%时增加带宽,保证任一中继故障时另一电路完全能承载全部流量。
深度分析网络结构、性能指标及业务能力掌握拥塞程度,根据以往、当前流量评估、预测未来变化趋势;建立分析系统动态学习历史数据,剔除异常并不断调整和逼近使修正数据与事实吻合,获取总体流量水平、波动、跳变等参数,确定可信区间作为监测基础为发现异常提供依据,利用偏差检测、实时对比审计突发蠕虫、变种病毒或黑客行为,阻挡攻击蔓延,防止网络瘫痪。
现有IP网络承载3G和NGN,服务会受到普通业务的影响,QoS和策略路由的部署一定程度解决质量问题,但过多使用将影响设备性能;3G、NGN极高的通信品质要求建设第二核心IP平面,在没有传统业务的网络上有效保证质量;NGN和3G对带宽要求并不高,第二平面不需频繁扩容,可长期满足业务发展。
3 链路层:抑制广播报文
VLAN将单广播域局域网逻辑分为多广播域,VLAN划分可基于端口,VLAN内的机器无需位于同一物理位置,VLAN内的流量如广播、多播或单播不会被发送到另一VLAN中,实现不同VLAN间的流量隔离,VLAN有效提升通信性能、实现虚拟工作组、基于VLAN的访问控制,提高网络安全,采用QinQ技术使VLAN嵌套以扩展VLAN;用户端交换机多是共享式,为限制广播流量提高感知,局域网核心交换机采用具有VLAN功能的设备。链路层启用生成树协议SPT避免产生环路。
4 IP层:保证动态路由协议产生的路由表稳定
采用动态协议的路由器更新路由表,在接受消息前核实发送方,BGP、OSPF等启用MD5认证,确保收到合法信息;OSPF设置NSSA减小路由振荡范围降低收敛时间;部署不间断转发实现路由快速切换,在处理板倒换时转发表保持不变,数据包持续转发,有效抑制路由表动荡,减少动态路由协议频繁更新产生大量的系统报文开销,使路由协议平稳运行;合理分配、使用并汇聚IP地址,优化聚合路由,避免环路产生保证网络稳定。
结合RPF源地址校验、访问控制列表过滤Ping扫描、ICMP超长报文,防范DoS攻击,抑制异常流量。将IP报头分类处理,ACL可用IP源/目的地址、ICMP、IGMP及协议域等字段实现包过滤,防火墙可根据IP报头通过ACL实现访问控制;部署基于DiffServ的QoS策略区分用户业务,网络边缘实现分类、标记和带宽控制,网络内按优先顺序转发IP包,通过流量监测、拥塞管理和队列调度等QoS机制保障不同等级IP数据包的质量,提高传输性能。
5 TCP/UDP:QoS策略保障端到端的传输质量
IP网络开展实时应用,分别从业务和承载网络实施QoS:业务设备对丢包、时延、抖动、包错序等恢复和补偿,调整数据流量适应带宽变化;承载网络对端到端的QoS提供保障。实时业务的QoS要求IP网络在承载端到端码流时,丢包少、延迟小、抖动低,见表1。
丢包率表明数据链路的拥塞状况,对QoS影响最严重。时延由传输、排队等待、路由器处理时间构成。在单播或多播网络中实时传输协议、实时传输控制协议实现流媒体数据的按序传输数据包、流量控制和降低拥塞提供可靠保证。
将TCP/UDP报头分类,ACL按标准或扩展访问控制规则过滤数据包,用TCP/UDP的源/目的端口、TCP标志ACK和RST以及时间属性实现。TCP/UDP扫描对不同端口请求连接探测服务类型,记录对21、23、25、53、80、8000、8080等的连接,当收到多个数据包对不常用端口请求时通知防火墙阻断;增强防火墙根据IP的内容防范应用层攻击,如检测SMTP命令、IDS、SYN Flooding等,基于状态的增强型防火墙可实现动态访问列表的生成。UDP在多播多个相同媒体时减少同质流量,有效节约带宽。
6 应用层:按应用分类,监控异常流量,思考ISP如何从P2P的使用中获益
将IP宏观业务的微观报文合理细分,确定各类应用对网络承载的要求和指标,了解用户主观认知度提高感知,根据预定策略实施精细管理控制流量,见表2。
流量采集有全镜像、SNMP和Netflow:全镜像提供丰富的应用层信息,按协议、端口、IP地址、蠕虫、攻击报文等模式统计,深度检测应用业务区别异常流量;检测和控制分离:旁路侦听、采集、分析和识别数据流并制定策略,控制采用串路,由控制设备基于管理策略对流量安全管控。SNMP提取设备Agent的管理对象信息库收集的流量变化信息。
Netflow由设备提供的机制实现。
流量控制策略有:限流,即带宽分配,指定用户可获得的流量带宽;整形,使业务流速率符合规定但增加延迟;重定向,把用户定向到提示安全的资源站点;标记,设置报文的DS域或IP优先级;阻断,发TCP RST断线报文限制接入;丢弃,根据预设规则丢掉报文。监督流量规模限制在合理范围,惩罚超出部分,保护资源和利益。
P2P建立动态、分散的逻辑网络,用于大范围的文件交换、深度搜索、对等计算、协同工作,解决互联网传递的弱链接问题,是思想的革命、技术的飞跃;融和P2P的服务器不承担沉重的数据转发,只管理和引导用户有效消除内容孤岛,使信息流动更通畅,避免传输瓶颈及阻塞。P2P效应和用户数平方呈正比,连接的可能性呈几何级数递增,客户的需要是我们追求的目标,短消息、游戏、聊天体现互联网本质,ICQ、MSN是互联网实时工具,电驴和BT是主要下载方式,P2P降低硬件投入和内容供应成本,对分布式网络的边缘利用开拓新的前景。
但P2P带来异常的峰值流量,导致网络拥塞、性能下降,影响WWW、E-mail的使用;适当控制P2P规模要在应用层分析数据包识别P2P协议特征码,许多P2P使用不同协议、动态端口,基于IP和端口分类难以跟踪和控制。P2P应用的普及,70%左右的带宽资源被其占据,在宽带收益上ISP面临挑战和机遇,全面限制P2P不切实际,建立基于应用、流量计费的经营模式似乎可以两全其美。
7 总结
IP网络作为多业务承载平台,众多应用穿透其中,必须确保IP流量有条不紊、秩序井然,有效提高通信的可靠性和安全性;P2P使用本质和Web一样,封堵不是好办法,如何在P2P的应用中获得更多收益是ISP面临的急需换位思考的问题。
由于本网页不支持图片与公式效果,如有需要请参阅杂志。
