DPI(深度包检测)技术(DOC可编).docVIP

DPI技术介绍 DPI技术产生的背景 近年来，网络新业务层出不穷，有对等网络（Peer-to-Peer，简称P2P）、VoIP、流媒体、Web TV、音视频聊天、互动在线游戏和虚拟现实等。这些新业务的普及为运营商吸纳了大量的客户资源，同时也对网络的底层流量模型和上层应用模式产生了很大的冲击，带来带宽管理、内容计费、信息安全、舆论管控等一系列新的问题。尤其是P2P、VoIP、流媒体等业务，当前P2P业务的流量已 图1 各种业务对带宽的抢占 占互联网数据流量的50%-70%，如果再加上流媒体等业务，新业务的数据流量是相当巨大的，这打破了以往“高带宽、低负载”的IP网络QoS提供模式，在很大程度上加重了网络拥塞，降低了网络性能，劣化了网络服务质量，妨碍了正常的网络业务的开展和关键应用的普及。同时，P2P的广泛使用也给网络的信息安全监测管理带来了极大的挑战。由于P2P流量的带宽吞噬特性，简单的网络升级扩容是无法满足运营商数据流量增长需要的，加上网络设备缺乏有效的技术监管手段，不能实现对P2P/WEB TV等新兴业务的感知和识别，导致网络运营商对网络的运行情况无法有效管理。 传统的网络运维管理，往往通过设备网管实现对网元级的管理，后来发展至网络级管理，可以对上层的简单应用进行管控，而这些应用级管控技术大多采用简单网络管理协议SNMP或者基于端口的流量识别进行进行分析和管理。 因此，如何深度感知互联网/移动互联网业务，提供应用级管控手段，构建“可运营、可管理”的网络，成为运营商关注的焦点。 DPI技术的出现，为互联网和移动互联网运营商带来了曙光，通过部署DPI系统，可以： 可视化全网。可以深入了解整个网络带宽由哪些应用占用（P2P/WEB TV/流媒体/IM/Games等。），哪些用户（手机号码/上网账号）是大用户，哪些小区是带宽吞噬大户，哪些手机终端使用业务最多… 流量精细化管理。通过灵活的带宽管理机制（带宽整形、QoS管理、限速、提速、封堵等。。），来限制“高消耗、低价值”的业务和用户，从而有效的保障关键业务、关键用户，提升用户感知，提高带宽使用的性价比。 丰富的QoS提供能力。根据不同的QoS需求，可提供CBR、VBR、UBR业务，可以在IP网络中提供虚拟专线业务。减少或延迟带宽投入，降低网络运营成本。通过解决方案所提供的长期统计报告，可以准确了解网络带宽过去、现在和将来的总体使用情况，识别出实际带宽需求小于实际分配（租用）带宽的链路。对于广域网（WAN）连接，可以减少或者推迟网络升级计划（例如升级为千兆网，购买新的路由器等）；从而节省了大笔费用。通过量化依据为带宽扩容提供科学的决策支持。转变被动维护局面，先于用户发现故障。以其迅捷的故障响应机制和完善的主动监测流程为宽带网络的运营维护提供全面的保障机制，加快故障响应处理速度，缩短平均故障响应时间，大大提高了维护效率。传统的业务识别方法 普通的报文检测往往仅分析IP分组的四层以下内容，一般包括源地址、源端口、目的地址、目的端口以及协议类型，如图1所示。 图1 传统的IP头部报文分析 然而，仅通过分析IP地址和端口来识别业务存在很多的问题，包括： 1．端口可变的业务。比如BT/EDK等业务，可以由用户自行设定端口。 2．隐藏在合法端口之后的隧道业务。比如为躲避防火墙封锁而隐藏在80端口通过隧道传输VoIP语音或数据的应用。 3．IP地址可变业务。比如部分应用为了逃避封锁，不断变换IP地址。 4．交互式业务。比如FTP/流媒体/VoIP等，其媒体流的端口是通过交互协商出来的，非固定端口。 深度分组检测－DPI DPI，Deep Packet Inspection，深度分组检测，通常简称为DPI。所谓深度分组检测是相对普通报文检测而言的一种新的检测技术，即对第七层，也即应用层的内容（净荷）进行深度分析，从而根据应用层的净荷特征识别其应用类型或内容。如图2所示。当IP数据包、TCP或者UDP数据流经过基于DPI技术的网络设备时，DPI引擎通过深入读取IP包载荷的内容来对OSI 7层协议中的应用层信息进行重组，从而识别出IP包的应用层协议。 图2 DPI技术对应用特征的分析 传统业务识别与DPI的对比 传统的业务识别方法是通过分析5元组或7元组信息（增加输入输出接口索引信息），无法细分不同的应用类型，尤其是应用类型不依赖于5元组或7元组信息的应用。 而DPI技术是通过深入重组、分析第七层分组的净荷内容，匹配业务特征，从而判断业务和应用类型，DPI技术可以细分不同的应用类型。 DPI关键技术介绍 DPI技术主要应用于业务识别和带宽管理领域，下面就分别将这两项主要技术进行详细阐述。 业务识别技术 净荷特征匹配技术 不同的应用通常会采用不同的协议，而各