1、,陈钊 18651873200 ,FiberHome Networks | Great Customers Network Solutions,烽火网络,DPI产品及解决方案,提纲, DPI产品概述 DPI关键技术 DPI系统应用 DPI产品介绍,三网融合运营商进入全业务竞争时代,电信运营商和有线电视运营商业务互相渗透 通过全业务绑定及价格策略互相争夺客户 电信运营商通过铺设FTTH来提供IPTV业务,抢夺有线电视运营商TV业务 有线电视运营商通过自建移动网络或MVNO的方式进入传统电信运营商的移动领域,形成全业务竞争,三网融合时代需要利用有限的资源,为用户提供精细化、差异化的服务;对业务实现
2、更进一步的可管、可控,实现可选择的精细化运营。,DPI是运营商业务精细化控制的最佳选择,运营商业务精准管控的需求,提纲, DPI产品概述 DPI关键技术 DPI系统应用 DPI产品介绍,DPI系统架构,DPI软件应用系统采用B/S(浏览器/服务器)架构设计,用户使用网络终端通过浏览器访问软件系统。 数据流从网络接口进入系统后,在底层操作系统直接转发,由网络DMA引擎直接将流量信息导入系统中。首先业务驱动模块将包交付给业务分析模块,业务分析模块通过DPI(深层包挖掘)技术将数据包解析、打开,并且根据包内数据识别出相应的协议后转发给策略引擎。策略引擎根据用户设置的不同网络应用的控制方案进行实时控制
3、,最后通过业务转发模块将网络流从端口输出,同时将分析数据分发给数据统计模块,生成图表信息,存储进数据库。,DPI系统的三代解决方案,第一代:旁路方式,旁路控制系统,USER,HOST,通知主机用户终止传输数据,连接中断,建立连接,镜像流量数据,分析发现其为非法流量,向用户发送欺骗信息,第二代:浅串行方式,浅串行控制系统,USER,HOST,浅串行控制系统通过检测网络流量发现有非法流量,可以直接干预切断流量,但会造成连接中断,建立连接,第三代:深串行方式,USER,HOST,深串行控制系统,深串行控制系统可以实时对数据流和数据包进行分析控制,对包操作时不会造成网络流的中断,建立连接,放行,拦截,
4、放行,另外,深串行控制系统还可以使用队列缓存,使网络连接的传输速率在合理范围内减缓,但是不会造成连接中断,零存储技术,零存储技术,精细化控制,实现网络细节控制 自动策略调整 特殊用户带宽定制 空闲带宽借用 单用户通道 细致图表呈现 异常用户警告 最低带宽保障,了解网络流量的细节,一个精细化分析单元:一个用户,一个协议,一种策略,多种图表详细呈现,便于洞察、分析作出更合理的商务决策,一目了然谁占用了资源,哪些网站经常被访问,精细化控制,一个精细化控制单元:一个用户,一个协议,一种策略。,根据用户的不同类型,划分了不同的区域分组,而最精细的分类,就是每个用户。 根据协议的种类,划分出不同的通道,最
5、精细的分类,就是就是每个协议。 通过在两个维度上进行控制,形成了一个矩阵。我们可以看到,在每个小区域中,也包含有通道,协议等的分类。而每一种通道,可以应用在任何级别的区域中。,控制矩阵引擎,动作 容许/拒绝 限流 弹出警示页面 URL过滤 实施正向/反向NAT 流量复制 双网搭桥 双网双速 行为审计 应用三速 IPV4到IPV6转换 共享上网限制 广告推送 页面重定向,触发条件 用户名 源IP地址/目的IP地址 源端口/目的端口 应用类型 时间 VLAN 物理端口,Traffic Matrix Engine,策略映射,将策略作为一个单独的控制元素,与区域、通道并列。在控制矩阵中,通过区域、通道
6、确认所控制的对象,从策略引擎中加载预先设定好的控制方案,从而实现了策略引擎与控制目标的分离。,QFIFO,网络数据送交到用户行为分析控制系统的业务分析模块处理进入高速缓冲区,在缓冲区内,数据转发模块会按照网络应用的优先级,将这些网络数据送入不同优先级的队列中去。拥有高优先级的队列将优先转发数据,由于http、stmp、pop3这些应用的优先级高,所以系统会将其转发到高优先级的队列中。关键应用就可以在第一时间被系统转发,使得网络用户可以获得更好的体验。,动态环形数据库,数据库可以根据活跃协议数目调整在数据库中所需的空间大小,其动态存储的方式使数据存储量大量减少,同时具有非常高效的查询速度。由于动
7、态环形数据库的占用存储空间小,处理速度快这个特点,用户行为分析控制系统的网络流量数据可以精确到一分钟以内,并且可以储存无限期的历史数据(受数据库存储空间限制)。,提纲, DPI产品概述 DPI关键技术 DPI系统应用 DPI产品介绍,运营商DPI市场系统功能,用户行为分析控制,永无止境的用户需求,没有流控技术, 路修的再宽也不能保证效率!,我们怎样找到问题,怎样控制那些流量?,网络运维人员对网络中应用情况没有有效工具进行统计和分析,特别是当运营商网络普遍升级为10GE以上的链路时。 大量P2P和视频应用挤占了网络带宽,关键应用无法得到应有的保障。,对此我完全不知情,用户行为分析控制,用户行为分
8、析控制-流量统计分析,针对网络流量进行深入分析,并根据分析结果,挖掘出有价值的流量统计数据和用户行为数据等,为优化网络和针对性营销等提供重要依据,网络容量和结构改造,业务 流量分析,针对网络中的流量,结合各种技术进行分析挖掘,得出网络中流量构成、流量流向等有价值的信息。可实现的功能包括网络流量构成分析、特定应用分布分析、异常流量分析、特定业务流量趋势分析等,网络容量和结构改造,用户行为分析,针对具体网络用户或用户群进行的分析和数据挖掘,可得出特定用户或用户群的网络习惯和应用构成等有价值的信息可实现的功能包括用户应用构成分析、特定业务的用户分布分析等,当网络流量经过系统时,控制矩阵引擎将: 首先
9、探测IP包中流信息,如源IP地址、目的IP地址,同时通过探测数据包中的用户名信息确定用户; 然后解开IP包,对第七层应用层协议进行分析,了解流量中包含哪些应用; 至此,系统透过两个维度的探测,形成了一个二维矩阵,每一个焦点代表用户是谁、上网在做什么事情这个焦点就是一个精细的控制点,用户可以对这个精细的控制点任意的按照时间来调整其大小; 对于每一个精细控制点的流量,系统都将予以记录,然后输出图表,便于用户查看。,精细控制点,图形化展现,网络应用感知,上网用户感知,用户行为分析控制-流量控制矩阵,用户行为分析控制-P2P应用类型,用户行为分析控制-P2P识别技术,用户行为分析控制-P2P识别技术,
10、特征字识别,协议指纹 识别,协议状态机 识别,通信特征 识别,实现机制 采用Traffic shaping的方式限制应用业务流量 采用scheduling保证业务流量的优先转发,高等级业务流量(重要客户、关键业务)优先转发低等级业务按照比例分配带宽资源,用户行为分析控制-P2P控制技术(QOS),将TCP/UDP报文全部丢弃,可阻断源端与目的端的TCP/UDP连接 将TCP报文部分丢弃,可使发送端调整TCP窗口大小,自动降低发送速率,从而降低源端到目的端全路径的发送速率,用户行为分析控制-P2P控制技术(丢弃/部分丢弃),阻断TCP连接 伪造TCP Reset报文,向源和目的端分别发送 阻断U
11、DP连接 伪造ICMP Unreachable报文,向源端发送 有可能被用户防火墙拦截而失效,用户行为分析控制-P2P控制技术(阻断TCP/UDP连接),用户行为分析控制双速网技术,校园内网,Internet,20M,4M,链路选择与带宽分配 能根据源IP地址、目标IP地址划分用户组,能为同一个用户访问不同的目的地址分配多种带宽; 能实现正向和反向NAT功能,实现多网搭桥功能; 能为不同的网络应用设置优先级,从而充分利用宝贵的带宽,减缓核心网的扩容压力 能分时段进行不同策略进行控制,便于为不同的用户提供差异化的功能;,管控精细 高精度的三维矩阵控制:最小控制颗粒度可精细到四个“一”,即:一个I
12、P(网络用户)、一种协议、一个时间段内、一个策略。 全面灵活的用户分组:可以支持多种方式单独划分控制对象,也支持混合方式划分控制对象。划分条件可以是源/目标IP信息(地址段、地址范围、单个地址)、链路、用户组、用户ID、源/目标MAC地址、物理端口地址等。 灵活的协议分组:用户可以自行定义协议的分组,并且可以根据协议特征字、协议端口自行添加协议,创建用户自己规划的协议分组进行相应的流量控制或者保护。支持将同类协议设置为协议组,支持将协议或协议组划分成通道(即虚拟的网络流量通道VC),虚拟通道可以应用各种控制策略。并且支持单个IP多个微通道,自定义微通道协议组,微通道带宽限制。 极强的协议识别能
13、力,协议库长期更新可保证90%以上的识别率,现网测试情况下,识别率可达95%-97%。,用户行为分析控制-产品优势及特点,高安全性 用户行为分析控制主要以透明网桥形式部署,无需增加其他设备,不会改变现网结构。支持Bypass旁路保护系统,满足安全性要求高的用户需求。扩展时,按照线路进行设备的增加即可,对于多设备应用的情况,提供统一的管理平台,方便用户进行管理。,用户行为分析控制-产品优势及特点,互联网访问控制-产品优势及特点,提供与OSS系统、帐务系统、RADIUS系统的通信接口; 支持radius数据的采集; 可按用户账号、IP地址、网络协议、端口、URL进行过滤; 支持用户自定义URL黑白
14、名单功能; 支持上网时段控制(最小单位为半小时); 用户可选择定制访问非法URL时的阻止界面; 可对搜索引擎进行关键字搜索过滤;,管理员可管理URL库; 用户自助服务及帐号身份认证; 管理员可管理要过滤的关键字,实时监视记录用户的上网访问行为,可对URL库进行分类管理; 管理员可定制多种套餐提供给用户自己选择; 支持网络游戏、即时通信工具的控制; 为管理员提供用户上网行为记录查询; 管理员可定制端口、IP地址控制策略;,互联网访问控制-功能特点,互联网访问控制系统一般放置在ISP网络的中心交换机或与接入服务器连接的交换机上。将路由器或接入服务器与交换机连接端口的数据流量镜像(Port Mirr
15、oring)到访问控制系统与交换机连接的端口,使访问控制系统能监听到网内所有用户的访问请求包。这种工作方式不会影响网络现有流量,无需改动现有网络结构。当ISP网内的某一用户发起访问Internet的请求后,该请求经过中心交换机时,访问控制系统将会监听到该请求。一方面,路由器会将收到的请求发送到Internet,另一方面,DPI会将请求与用户的控制策略进行查询匹配;如果请求的URL是合法的,访问控制系统不做出任何处理;如果要请求的URL是非法的,访问控制系统将向客户端发送一个屏蔽网页,提示用户刚才的操作是属于非法操作,同时结束该会话。对其它类型的Internet访问,除了没有屏蔽页面外,控制的原
16、理基本相同。,互联网访问控制-工作原理,互联网访问控制-系统结构,访问控制系统的一个节点逻辑上分为两个部分:业务管理机和系统运营设备。 核心的分发和过滤功能比较单一,节点的管理涉及面广,包括下面几个部分: 用户个人服务平台:位于业务管理机上,供最终用户使用,用户可在此完成开停服务、转换套餐等; 节点业务管理控制台:位于业务管理机,负责处理本地的业务,如用户的管理、套餐修改、本地库管理、计费等; 节点系统管理控制台:位于系统运营设备上,负责DPI设备的系统维护和配置等。,信息发布-背景,中国电信正在努力实现从“综合电信服务提供商”向“综合信息服务提供商”的转变。,互联网营销方式正悄悄向精确营销发
17、展 窄告(Narrow AD) 本地搜索 用户行为分析 数据挖掘,各种各样的互联网增值业务正在创造巨大的价值,并以令人惊讶的速度高速增长。 例如互联网广告市场; 微软的“下一个方向”。,信息发布-发布方式,互联网信息(广告或公益信息)推送,是根据采集到的用户信息(用户在搜索引擎上键入的关键字、用户正在浏览的网页内容、用户IP地址所属区域等)向用户推送事先编辑好的信息。 可以有多种信息推送方式 实时方式、非实时方式 通栏广告、弹出页面 无差别随机推送、内容关联推送 信息推送的覆盖面和强度,可以灵活控制,随时调整。,信息发布-推送方式对比,信息发布-与搜索引擎对比,信息发布-系统构成与部署方式,整
18、个系统可划分为前端、后端和管理运营中心三部分 其中前端和后端系统根据当地骨干链路出口情况部署; 管理中心与前端后端系统可部署在不同的地理位置; 管理中心和后端系统之间远程通信。 例如,假设某地区共12个10G出口链路,分布在3个不同地理位置的机房,每个机房4条链路 需在三个局各部署一套前端/后端系统,每个局处理4条10G链路流量。 选择一个局的机房部署管理中心,或另建管理中心。,前端系统 不对骨干链路引入任何干扰的前提下接入骨干链路全流量(地市出口流量); 采集和捕获用户HTTP符合特征的流量; 将特征数据分发到后端系统。 后端系统 后端系统为多机负载均衡和备份; 后端系统通过千兆GE口直接接入网络; 关键字/URL与推送信息的关联数据库,存储在后端系统; 从前端分发的特征数据,提取关键字、URL等,向用户推送信息; 统计各项数据,推送次数、点击次数等。 管理运营中心 整个系统管理和运营的界面; 机器人程序; 维护和更新广告信息关联数据库,并更新给远程后端系统; 从后端系统接收各项统计和报告,形成报表。,信息发布-系统构成与部署方式,应用场景-DPI,提纲, DPI产品概述 DPI关键技术 DPI系统应用 DPI产品介绍,产品介绍,PL-302,pL-202,PL-502,产品介绍,产品介绍-运营级设备,产品介绍-Bypass设备,产品介绍-Bypass设备组网架构,
