IP网络带宽管理技术及应用分析

1  IP网络带宽管理及应用优化需求分析

随着互联网的逐步发展，网上用户和业务流量在不断增长，除传统数据业务外，网络电话、网络视频、P2P下载等新型网络应用使得骨干网络中话音、视频、点到点下载流量在呈几何基数级膨胀趋势。今天的互联网用户中，没有听说或使用过Skype、QQ、MSN、BT、Emule、PPLive等应用的恐怕已经是极少数。

对于用户而言，新型的业务和流量类型使他们的网上应用变得种类繁多日益丰富；对于网络运营商而言，用户和业务流量的增长在表面看来是再好不过的事情，但事实情况往往事与愿违：

目前，国内各级运营商的网络从网内汇聚链路到核心网络出口链路都不同程度地存在带宽资源紧张的问题。某运营商在其国内互联出口扩容一条2.5G电路的第2天，该条链路的利用率就达到了90％以上；

在不断增长的网络业务流量当中，只有一部分是能够给目前的骨干网运营商带来真正业务收益的流量。许多“低价值”的业务流量在最大限度的侵占网络带宽的同时，对很多运营商的当前业务造成一定程度的冲击和影响，丢包率、网络时延及抖动大大增加，网络服务质量恶化，部分对端到端QoS要求较高的语音、视频、游戏类业务的发展受到很大影响。

对于今天的骨干网运营商而言，通过适当的带宽管理技术来解决带宽增长与业务收益、网络扩容与用户体验之间的不对称关系，实现对用户和业务的分级化识别管理，和基于用户和用户业务流量的管理和计费显得尤为重要。

2 主流带宽管理技术介绍

一般情况下，我们可以通过IP包头中的“5 Tuples”,即“五元组”信息来确定当前流量的基本信息，如源、目标地址，协议类型，源、目的端口号；在传统的网络中，IP路由器也 正是通过这一系列信息来实现一定程度的流量识别和QoS。但随着网上应用类型的不断丰富，仅通过第四层端口信息已经不能够真正判断流量中的应用类型，基于 开放端口、随机端口甚至采用加密方式进行传输的应用类型在目前的网络中比比皆是，在这种情况下，传统的流量识别和QoS控制技术逐渐显得捉襟见肘。通过加 大对网络流量的监控纬度，可以在一定程度上比较准确地识别流量中的用户应用类型，目前在这一领域主要可以分为DPI（深度包检测）和DFI(深度/动态流 检测)两大技术体系。

·DPI(Deep Packet Inspection)深度包检测技术

DPI技术是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。

基于DPI技术的带宽管理解决方案与我们熟知的防病毒软件系统在某些方面比较类似，即其能识别的应用类型必须为系统已知的，以用户熟知的BT为例， 其Handshake的协议特征字为“.BitTorrent Protocol”；换句话说，防病毒系统后台要有一个庞大的病毒特征数据库，基于DPI技术的带宽管理系统也要维护一个应用特征数据库，当流量经过时， 通过将解包后的应用信息与后台特征数据库进行比较来确定应用类型；而当有新的应用出现时，后台的应用特征数据库也要更新才能具有对新型应用的识别和控制能 力。

·DFI(Deep/Dynamic Packet Inspection)深度/动态流检测技术

DFI技术是一种较新的应用流量监控技术，与DPI进行应用层的载荷匹配不同，DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。

例如，网上IP话音流量体现在流状态上的特征就非常明显：RTP流的包长相对固定，一般在130到220字节之间，连接速率较低，在20kbps至 84kbps之间，同时会话持续时间也相对较长；而基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层 协议为TCP等；DFI技术正是基于这一系列流量的行为特征，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。

·技术比较

从DPI和DFI两种带宽管理技术体系的原理不难看出，两者在应用识别准确度、系统处理能力、控制力度、维护成本等方面还是存在着一定的差异。

应用识别：如果把网络中将来要部署的带宽管理系统比作一个邮局的话，采用DPI技术的邮局对每一封过往的邮件（即数据包）都要打开信封，读完信件内 容后才把信再次送出去；而采用DFI技术的邮局则只是根据信封大小、体积、重量、厚薄程度等状态信息来判断信件内容的大概。由此可见，采用DPI方式可以 对流量中的具体应用类型做到比较准确的识别，如对于P2P的下载流量可以通过读取包的内容而获知应用是BT、EDonkey还是Thunder等哪一种具 体类型；而采用DFI方式只能对应用进行大致分类，如对满足上述流量模型的应用统一识别为P2P流量，对满足IP话音流量模型的应用统一归类为VoIP流量，而无法判断该话音流量是基于SIP还是H.323等 不同协议应用。但是，如果应用流量是经过加密后在网上传输的，采用DPI方式的流控技术则无能为力，原理很简单：回到刚才邮局的例子，如果信件是用密文写 的，如果没有解密算法，打开信封后面对的只能是一堆乱码；而DFI方式的流控技术则不受影响，应用流的状态特征不会因加密与否而改变。

系统处理能力：在同等的硬件条件下，检测任务多的系统肯定要比检测任务少的系统耗费更多的资源和时间，采用DPI技术由于要逐包进行拆包操作，并与 后台数据库进行匹配，因此对系统的处理能力要求相对较高；采用DFI技术进行流量分析则可以达到比较高的处理能力。目前多数基于DPI的带宽管理系统所能 达到的处理能力一般在线速1G左右，而基于DFI的系统则可以达到线速10G的流量监控能力。

控制效果：采用DPI和DFI技术的带宽管理系统在对具体应用进行带宽控制的时候采用的基本上都是TCP的滑窗机制或队列控制技术，都可以实现对应用流量的最大、最小带宽保障或阻断等控制效果。

维护成本：基于DPI技术的带宽管理系统需通过升级后台应用数据库来支持对新型应用的识别，因此需要定期升级后台应用特征数据库；基于DFI技术的 系统在管理维护上的工作量要少于DPI的系统，原因是同一类型的应用其流量模型相对固定，如P2P下载流量，即使有新的应用出现，其流量特征不会出现大的 变化。

3 带宽管理技术应用分析

根据前面的技术分析，DPI和DFI两种技术体系各有利弊，而目前运营商对带宽管理的具体需求也随控制点位置的不同而各有侧重，只有在适合的位置选择了适合的控制技术才真正能够实现理想的带宽控制效果。

运营商的IP骨干网通常可分为三级结构：核心层、流量汇聚层、业务接入层，如图1（运营商网络带宽管理需求点分析）所示：

Internet数据、VPN、IP话音等等不同类型的用户业务通过DSL、城域宽带等方式接入业务接入层，由城域网内的多业务交换机或 路由器汇聚（图1所示位置3）至地市节点的节点路由器；流量汇聚层一般以省为单位，每个地市的汇聚路由器通过双星型或Mesh链路上连至省网汇聚核心节点 路由器；在图1位置2处省网汇聚路由器通过背靠背的连接将流量汇聚至网络核心层的骨干网路由器；通常情况下，骨干网通过几个集中的POP点与其他运营商的 骨干网互联互通，交换路由和用户业务流量。

图1：运营商网络带宽管理需求点分析

多数运营商会首先选择在全网出口节点，即图1所示的位置1处，在整个网络与其他运营商网络或NAP点互联的出口链路实施 第一阶段的带宽管理和流量优化，在该位置进行流量优化的首要目的是为了减少网络中“低价值”业务流量对出口带宽的侵占，缓解出口电路的拥塞状况，减轻网络 扩容压力。

接下来，可在网络汇聚层和业务接入层实施进一步的带宽管理措施，除了优化流量成分外，在图示位置2和3处应该进一步强调带宽“管理”的概念，即不单 单通过带宽管理系统限制某几类应用的带宽，而更应该通过该系统的带宽保障作用，对网内用户关注的实时交互业务、大客户业务流量等“高价值”流量提供服务质 量保障，为其提供全程全网的QoS保障和SLA承诺。

结合表1中不同带宽管理需求点的链路类型，在全网实施带宽管理的初期，可首先在网络核心和汇聚链路中集中部署基于DFI的带宽管理系统，利用对高速 链路环境的支持和良好的系统处理能力，在骨干网核心提供一个高效的应用识别和带宽分配机制，保障有效的流控控制效果；随后在用户业务接入侧部署基于DPI 的带宽管理系统，一方面可为应用流量提供进一步较为精确的识别和控制，另一方面可通过对用户业务流量的分析和统计，掌握用户对业务需求的第一手资料，在保 障网络不同业务QoS的同时开发更多用户关注的新业务应用，真正把网络带宽变成可有机利用、按需分配的资源。