在线不卡av_久久精品一二_HD在线播放中文字幕,国产色影院,美女污视频在线观看,动漫性做爰视频在线

骨干網流量采集、匯聚與分流關鍵技術

1、應用背景

骨干網流量采集主要應用于運行商廣告推送、運行商計費取證服務、運行商信令監控服務、園區網審計、大數據分析等應用領域。

我們在骨干網流量采集領域,經常會遇到采集、負載均衡、分流、匯聚等各種術語,這些術語之間是什么關系呢?

所謂流量采集,就是將網絡流量通過物理層、數據鏈路層的信號解析和解幀,實現IP原始報文的獲取。由于以通用CPU為核心的傳統分析平臺的處理能力總是有限的,所以一定方式的過濾(或稱為流量衰減),不僅可以降低后端服務器的負載,而且可以降低整個系統的功耗和成本。另外,要實現流量采集,必須實現鏈路層的轉換,如對POS、WAN進行轉換,或者高速率鏈路如40G POS到10GE的轉換,100GE到10GE的轉換。采集之后的輸出有通過以太網報文輸出(PET采集設備:m.sontodotutoriales.com/pet320flq.html)或者PCI總線直接到服務器內存(智能網卡:m.sontodotutoriales.com/pcap2.html)兩種。

而負載均衡與分流基本上屬于同一個術語,就是在輸出流量超過后端處理能力的情況下,以服務器集群方式處理流量的一種方式,流量分發一般基于流保持方式,即同源同宿同MAC。傳統的Hash方式雖然能夠將報文散列到不同的后端處理端,但是由于存在巨流,分流效果一般不會很好,自適應分流方式具有更好的均衡性。負載均衡與分流稍微有一點區別,一般說負載均衡時,會強調采集設備對后端處理能力的感知性,能夠動態調整;而分流則一般由采集設備自主分配流量(受后端控制)。

匯聚(m.sontodotutoriales.com/tc2402.html)是負載均衡或者分流的逆過程,當前的匯聚,一般用于千兆到萬兆,主要用于需要長途傳輸流量,或者后端分離服務器基于萬兆網卡而采集流量基于千兆兩種場合。

2、用戶需求

(1)如何實現高密度,低功耗的采集設備:在選擇廠家時要特別注意其設備的密度,交換容量、輸入接口密度,輸出接口密度,輸入輸出是否能夠復用等。通常情況下,高密度的設備其單位流量的平均功耗要小,而非ATCA獨立設備比ATCA設備功耗要小。

(2)如何降低用戶成本:輸入輸出接口復用是降低成本的有效方式,如一個萬兆接口,如果其輸入接口可以為WAN,而輸出接口可以是10GE,則可以有效降低用戶的成本。用戶接口是否可以更換,平臺是否能夠平滑升級也是要考慮的問題。另外,非ATCA獨立設備一般比ATCA設備價格更便宜。

(4)分流均衡性:Hash算法的選擇是分流均衡性的關鍵,例如,CRC32比CRC16的均衡性要好,而CRC16又比異或的均衡性要好。好的均衡性依賴于采集設備的智能,當存在巨流時,要能夠自動將同一個MAC上新產生的流量調整到其他的服務器。另外,當后端分析服務器出現故障時,要能夠自動切換。

3、關鍵技術

3.1 100G成幀關鍵技術

隨著多核處理、虛擬化、網絡存儲等技術的發展,企業計算環境和骨干鏈路對鏈路帶寬的要求越來越高。對當前數據中心中的10G以太網計算機設備和將來40G以太網需要交換機到交換機之間的連接采用100G接口。同樣的要求,在ISP處也有。100G是現在將來一段時間內Internt互聯及新服務和消費者及企業用戶的完美解決方案。

由于IPTV、視頻點播等業務,遠程存儲、移動寬帶業務、VPN服務等廣泛應用,運營商骨干網的流量在持續增加,Internet服務提供商(ISP)和網絡服務提供商(NSP)對高帶寬的需求不斷增加。目前,客戶到運營商的連接已經在快速擴展到10GE,典型情況下,骨干網絡的連接需要客戶連接的4到10倍,才能保證足夠的性能。

按照IEEE 802.3ba標準,100G Base-R PCS Cores包括100G擾碼處理,64b/66b編碼和解碼,多Lane分發,邊界對其插入、塊同步以及時鐘解耦等技術。

MLD(Multi-Lane Distribution)模塊將數據分發到20個虛擬的Lane上。實現了CGMII(100G介質介質獨立接口)。當前沒有一種媒體(光纖或電信號)能夠單流直接傳輸100Gb/s以太網信號,2010年IEEE802.3ba標準正式發布,在光傳輸接口上針對不同傳輸距離定義了100GBASE-SR10、100GBASE-LR4和100GBASE-ER4三種接口規范。100GBASE-SR10采用10對OM3 MMF/OM4 MMF光纖,每路光纖傳輸速率為10Gb/s,傳輸距離分別是100m/150m,100GBASE-LR4和100GBASE-ER4都采用SMF,采用LAN WDM技術用4個不同波長的光來傳輸,每個波長傳輸25Gb/s數據,傳輸距離分別是10km和40km。

同樣的電氣接口也采用并行Lane來傳輸數據,IEEE802.3ba標準定義的CAUI接口,使用10 Lane電氣接口,每個Lane傳輸10Gb/s數據。為了有效利用10 Lane來傳輸100GE數據必須解決多通道的數據封裝映射、對齊等問題,這是本成果中解決的關鍵技術,IEEE802.3ba標準中這個功能是在PCS中實現的。

戎騰的解決方案是:光接口采用的是商用的100GE的CFP或者CFP2光模塊,實現100GE光信號到CAUI電接口的轉換,通過使用不同光模塊可以支持100GBASE-SR10、100GBASE-LR4和100GBASE-ER4等應用場合,光模塊輸出的是10路10Gbps的數據,再進行后續的處理。

3.2 軟過濾技術

流量過濾本質上是一種報文分類技術,雖然本文僅闡述骨干網流量采集的關鍵技術,實際上,報文分類是防火墻、QoS、區分服務(DiffServ)、入侵檢測系統、網絡取證系統的基礎,雖然有EGT-PC、RFC、Efficuts等較為經典的軟件算法,目前應用普遍的仍然是基于硬件搜索引擎TCAM(Ternary Content Addressing Memory)的方式,主要原因是高速骨干網絡對報文分類性能的要求非常高,已有的軟件算法或者規則增加的可擴展性不好,或者進行規則更新的靈活性不強。通常,評估一種報文分類方法是否可行,有下面一些指標:

  1. 性能:隨著規則的不斷增加,是否能夠快速地進行報文分類,能夠在不同的鏈路登記上達到線速分類的速率要求;
  2. 存儲空間要求:隨著規則數量的增加,對存儲空間的要求應該比較平穩地增長;
  3. 靈活性:能夠快速進行規則更新,規則的更新通常應該能夠捕獲到下一個背靠背報文;
  4. 經濟性:能夠使用較低的成本實現該算法,例如不需要復雜的體系結構,不需要額外增加元器件等;
  5. 適用性:對于增加額外的過濾域的可擴展性。

比較已有的方法和算法,目前尚無一種相對完備的解決方案,如表1所示。


表1 報文分類方法(算法)對比


方法或算法

 性能 存儲空間要求 靈活性 經濟性 適用性

TCAM

    

RFC

    

EGT-PC

    

Efficuts

  


在大規模流量采集體系結構中,由于計算結點的處理能力不可能覆蓋所有的流量,對于已通過其他手段證實其合法的流量,可以直接過濾而不需送到計算單元中進行大規模的還原、存儲與數據挖掘,因此高性能、存儲空間要求不高、靈活性、經濟性和適用性好的方法是其必然要求。

在整個數據處理流程中,報文提取可以通過MPE技術實現10G POS和10G以太網的報文獲取,流管理由于涉及復雜的超時、存儲空間申請、鏈表查找等操作,一般不適合于硬件處理。而多元組匹配傳統上使用TCAM實現,特征匹配使用專用加速搜索引擎。




圖1 數據采集流程


考慮TCAM的經濟性、適用性,采購周期等綜合因素,戎騰網絡創造性的提出了一種基于FPGA的CMT(Common Mask Tree)算法,算法在研制的PET平臺上,實現了320G的性能。

其基本方法為將規則集中的每一條規則轉換為相應的多維前綴,并利用這些前綴的公共掩碼將傳統前綴匹配問題轉化為多級精確匹配問題,后者可用哈希表達到O(1)的查找速率。同時利用原子操作實現了一套FPGA環境下的快速規則更新算法。

3.3 軟硬協同的3G/LTE監控技術

3G和LTE的廣泛部署,為移動終端的普及提供了基礎。截止2014年6月,中國網民規模達到6.32億,其中使用手機上網的用戶比例達到83.4%,已經超過使用PC上網的用戶比例(80.9%)。

移動網絡的發展也產生了新的網絡安全問題,利用移動通信互聯網逃避監管的網絡行為也在不斷增加。犯罪人員利用互聯網的高科技性和虛擬性,使其犯罪行為時常無法對其進行懲罰或是有效的預防。主要的安全挑戰包括:

(1)用戶從傳統固網遷移到移動網絡后,對網絡攻擊行為和網絡犯罪如何快速反應、定位和溯源;

(2)新業務管控難度大:微博、社交網站等新業務具有兩面性,安全管控的難度大;

(3)如何通過數據挖掘,提取有價值的情報和攻擊信息。

面對錯綜復雜的移動網絡業務和多樣的終端類型,原有的網絡安全管控手段已顯得力不從心。如果缺乏針對3G/LTE網絡的細粒度安全管控措施,相關監管機構將難以掌控不同客戶及終端的網絡行為;更為嚴重的是,傳統互聯網中一些不良信息,如非法宣傳、網絡病毒、網絡攻擊、垃圾郵件等,借助LTE網絡這一平臺可能在更大范圍內傳播泛濫,對網絡安全和可信造成嚴重威脅。

為解決移動無線網絡的數據取證問題,有兩種可能的技術途徑:一是從空口上抓取數據包并進行分析,這種方式一方面需要部署的設備特別多,另外空口數據解密有其固有的困難;另一種方式是數據落地后進行流量獲取,又有在基站后端、移動核心網和互聯網三種不同的采集位置。分析比較三種不同的采集位置,基站后端部署點具有鏈路多,安裝困難的特點;而互聯網采集則無法溯源;移動核心網鏈路較少(一般一個省8條到64條),具有完整的上網認證信息、用戶通信流量和信令流量,是比較可靠的數據采集點,但是移動核心網的流量不同于傳統的固網流量。3G/LTE核心網絡審計的復雜性,主要表現在封裝方式復雜。 這種復雜性為網絡取證帶來了以下挑戰:

(1)取證前端設備是一種輔助設備,而非實際產生經濟效益的設備,不可能如GGSN、PDSN那么昂貴,即必須在整體成本控制的前提下,提高前端設備的性價比;

(2)由于在某些制式中,一個以太網幀中可能封裝上百個終端分片,這些分片是以特殊字符分割的。因此,必須進行全包掃描以定位終端分片,而留給每個報文的處理時間并不長。在當前核心網普遍采用10G以太網鏈路的情況下,每個報文的處理時間只有37ns。要在37ns的時間內進行全包掃描,并定位每個終端的報文分片,必須采用非常規的手段。單就整個處理流程的中全包掃描一個環節,目前實際上尚沒有能夠掃到20Gbps的商用掃描技術。

(3)必須將登錄認證信息與IP地址關聯:網絡取證的最終目的是定位有非法網絡行為的用戶,由于目前在移動網絡中普遍采用動態IP地址分配技術,單純定位違法IP已經無法解決真正的溯源問題,必須將IMSI號與用戶報文關聯,使得一旦非常行為被發現,即可通過IMSI號找到現實世界的真實用戶。 為解決無線移動網絡數據取證面臨的挑戰,并充分考慮移動網絡的特點,戎騰網絡設計實現了軟硬結合的3G/LTE系統結構。通過普通固網線卡收集流量,識別3G/LTE報文,并定位終端分片的位置;然后分流到綜合業務處理卡(CDP1000),并在CDP1000上采用定制硬件完成流量聚合和報文提取,通過多核NPU完成三層分片重組、VJ解壓縮;完整的的報文獲取后,實現高速流管理和內容搜索。

4、小結

網絡技術的發展日新月益,當前三網融合已經成為大的趨勢,3G已經鋪開應用,LTE已經試點運行,由于光進銅退帶動了PON技術的迅猛發展及廣泛應用,這些都是傳統取證平臺不具備的功能,留下了監管和信令分析的空白,必須適時研制新的設備,幫助運營商優化網絡,并使互聯網社會與現實社會一樣處于良序運行狀態中。 而在傳統的固網領域,全國10G POS等骨干鏈路已經達到上萬條,必須采用通過新的技術創新降低原有取證系統的成本。

同時,由于大數據時代的來臨,廣告商開始日益關注網絡廣告、ISP服務商不僅關注網絡運營情況(ISP流量分析領域),也需要給用戶一個計費的清晰列表(ISP計費取證領域),這些應用造就了一個新的行業,或者說一種新的設備提供商——智能流量探針。

戎騰網絡結合自身十余年在此領域的深耕,突破了系列關鍵技術,實現了高性能、高性價比、功能豐富的互聯網骨干鏈路采集、匯聚與分流設備。