运营商互联网流控系统部署分析

摘要：从运营商对互联网流量控制系统的需求分析入手，通过对节点位置、链路位置、部署方式、控制策略、部署成本等方面的综合分析比较，提出了流控系统适宜于运营商网络部署位置及方式等建议。

1 引言

随着互联网业务应用类型越来越复杂，数据传送量迅速增加，对网络的带宽需求也日益扩大，互联网运营商在保持并提高宽带IP网络赢利方面面临新的机遇和挑战。为了在适应用户日益复杂的业务应用，以及满足不断增加的带宽需求的同时，确保运营商网络具备良好的可控性，并满足用户服务质量要求，运营商开始在网络上部署流量控制与分析系统。本文从运营商流控部署的需求分析入手，重点讨论流量控制系统部署位置、部署方式的选择问题。

2 流控系统部署需求分析

流控系统是互联网流量控制与分析系统的简称，一套流控系统通常由一台或多台独立机箱的设备组成，主要包括流控主设备、bypass(故障流量旁路)部件、控制与分析软件、管理服务器。流控系统一般都是基于DPI深度包检测技术对应用层内容进行逐包分析，可以在业务识别与控制、安全检测与防护、用户行为分析及增值业务方面实现很多功能。

根据运营商互联网的应用情况，其部署流控系统的主要需求如下：

(1)P2P控制

目前部署流控系统的主要目的是针对P2P的应用，以减少网间的结算成本，提升网内绝大部分用户的正常互联网业务体验。

(2)流量流向分析

了解流量分布，识别流量特性，对流量流向进行统计分析，分析用户行为、业务特点，为策略制定、业务组织、市场发展提供决策依据。

(3)VoIP检测

根据工业和信息化部相关打击非法互联网协议电话文件的要求，对网内非法VoIP用户进行监测。通过数据分析追查处理非法VoIP用户。

(4)开展增值业务辅助手段

加强对互联网业务的深度分析，逐步实现精细化经营、差异化服务；在精准分析和有效控制互联网业务的基础上，实现互联网业务由管道化经营向个性化的增值服务经营模式转变。

此外，根据网络结构、业务及流量流向特点不同，对流控策略的要求可以更为灵活和多样化。

3 流控系统部署位置选择

3.1 流量控制系统的部署位置

流量控制系统的部署位置从理论上比较灵活，可以部署在网络各层面节点的互联链路上，或采用旁路镜像方式仅对网络业务流量进行监测分析(见图1)。根据部署目的和控制范围的不同，其可部署的网络位置也不同。

     图1 流控系统部署方式

(1)如用于服务优化和网络资源控制，则应部署在有一定汇聚功能的链路上，如图1的c，d所示位置。
     (2)如用于宽带分级服务，则应部署在网络边缘的用户接入层上，如图1的a，b所示位置。
     (3)如用于业务感知和流量监测，则可以采用旁路方式部署在需要监测的网络节点上，如图1的a，b，c，d所示位置。

3.2 流控系统可部署的几种情况

根据网络结构和控制需要，流控系统可部署在网络的不同节点和不同的链路位置上，具体部署的位置通常可有表1所示的几种情况。

表1 流量系统可部署的集中情况
    

(1)节点位置比较

流控系统部署的位置可以是骨干出口、省干上行、省网出口和城域网上行，从管理的层面上来区分可归结为两类，在骨干出口集中部署和省内独立部署，其总体上的优劣势说明如下。

●骨干出口集中部署流控系统

在骨干出口集中部署流控系统的优点主要是能够监控到整网的流量流向情况，并针对全网进行集中的P2P的检测和控制、非法VoIP的检测和控制，投资相对较少并且易管理；在骨干出口集中部署流控系统的缺点是难以控制省际的P2P流量，对于各省不同的流控策略需求实现和管理起来比较复杂，而且对于省内用户来讲，由于部署流控所带来的用户体验提升的感知度较弱，对于省干链路的P2P占用、带宽扩容的压力并没有得到有效缓解。

●各省独立部署流控系统

省干上行、省网出口和城域网上行都属于省内独立部署流控系统。各省独立部署流控系统的优势就是各省可以结合自己省内的情况，对流控系统提出各种需求，如非法VoIP、安全防护等，对于P2P流量控制方面也可以制定相对灵活的管理和控制策略，如大客户白名单等；对于省公司来说，这种部署方式在流控效果上无疑是最有效的，大大减缓了省公司在链路扩容方面的压力。在各省分别部署流控系统的缺点就是整体投资较大。

表2所示的是流控系统在具体4类不同节点位置部署时，在控制范围、控制链路、控制策略、流量分析、VoIP检测、部署成本等方面进行详细的比较分析。

表2 流控系统在4类不同节点的比较
    

作为电信运营商，出于对带宽合理利用、提升用户体验、保障业务安全等方面的综合考虑，建议采用在骨干互联互通口统一部署+省内独立部署相结合的方式进行流控系统的部署。骨干互联互通出口部署的控制关注点在于资源控制，省内独立部署则应根据各省的实际情况选在适当位置，控制的关注点依据所在网络层级从省网出口到城域网上行，依次为资源控制、服务优化、带宽分级服务。两种方式相结合以形成互补，达到较为全面的流量控制目的。

(2)链路位置比较

确定了流控系统部署的节点位置后，就需要针对所部署的节点深入分析具体的链路接入位置。就一个节点而言，从链路的方向上可分为上行和下行；从链路的属性上可分为长途和本地。流控系统部署的链路位置及性质对应关系如表3所示。

表3 流控系统部署的链路位置及性质对应关系
    

●网关内联链路、网关外联链路的比较

流控系统部署于出口网关的内、外联链路时所需要的处理能力大体相同。节点内部互联链路，一般为GE或者10GE，部署流控系统比较方便，可较好的保证流控效果的稳定性。如部署在节点外联链路上，出口的开通、调整、接口变化、带宽变化等因素都会导致流控设备的部署数量、接口类型、控制策略的频繁调整，既影响流控的部署速度，又影响控制策略和效果的稳定。因此，建议流控系统部署在节点内部网关内联链路上(网关内侧)。

●长途链路、本地链路比较

本地链路中断的可能性远小于长途链路。本地链路中断时较长途链路更易处理和恢复。本地链路中断后迂回流量对骨干网的影响较小，长途链路中断后流量将分散迂回，迂回链路上的流控系统对迂回流量控制力度不够，可能导致迂回链路拥塞。因此，建议流控系统部署在本地链路上。

4 流控系统部署方式选择

对于流控系统的部署方式主要有两种，一种是通过直路方式(串接方式)部署，另一种是通过旁路方式(并接方式)部署，两种部署方式在技术控制原理上有根本的差别。

直路方式是流控系统直接串接在网络中，通过Bypass设备连接到链路中。其主要控制方式为采用流量整形技术对进出设备的流量进行识别，识别后针对事先做好的策略，将默认为非法流量的报文进行直接丢弃动作，这样从而达到降低网络流量的目的。

直路方式的优点是可以对单用户的业务流量进行控制，控制粒度可以做到比较精细。缺点是由于监控设备必须部署到网络流量真实路径上，很有可能形成处理瓶颈和单点故障。另外，值得关注的是流量控制的目的虽然达到，但是在流控系统部署前面链路的带宽并没有被释放，存在着一定的阶梯效应问题。

旁路方式是在目标链路上进行线路分光，将分光线路接入流控系统。流控系统采用数据包伪装技术将伪装的干扰数据包发到目标链路上正在通信的TCP，UDP连接中，降低连接的数据传输速率或者切断连接，达到流量控制的目的，从而实现从端到端的源头控制。

旁路方式的优点是不会对原有网络性能造成太大影响，而且能够实现端到端的带宽控制，流量的控制效果也比较显著。缺陷就是难以做到针对很小流量或者单用户小流量的精准控制。

根据部署流控系统的目的和所起到的作用不同，选择不同的部署方式。当考虑以下应用时建议选择直路方式：

(1)主要目的是针对P2P等应用，以减少网间的结算成本，提升网络内绝大部分用户的正常互联网业务的体验。
     (2)需要对整体流量进行细微控制。
     (3)需要对单用户流量精准控制。

当考虑下述应用和目的时建议选择旁路方式：

(1)业务监控方面的需求，如宽带私接检测、非法VoIP检测、异常流量监测、Web推送等。
     (2)和其他第三方系统进行方案联动，如与异常流量清洗系统联动、与互联网内容缓存系统联动等。
     (3)为规避流控过程中的带宽"阶梯效应"。

5 结束语

在实施部署时，除了部署位置及部署方式上的考虑外，还应考虑的其他因素有：

(1)流控系统的流处理能力；同其他设备一样，流控系统也具有自身处理能力的上限，包括流量、带宽、同时在线用户数、流的数量、流的产生速度等等，因此在链路上部署流控系统时，应考虑上述参数对设备性能的影响。
     (2)控制策略的灵活性；实施业务控制时，需要根据不同用户、不同的目的地址、不同的时间段等因素进行流控策略设置，因此流控系统的部署应该考虑到网络管理人员能够方便的对上述参数进行灵活的调整。
     (3)此外还要考虑流控系统发生失效时，对网络的总体影响。

总之，随着网络业务日趋丰富，网络流量高速增长，运营商之间的竞争也逐渐激烈，以高投资为特征，追求简单规模扩张的粗放型竞争模式已经不适应今后的发展形式。挖掘现有网络资源潜力，控制网络互联成本，提供有吸引力的增值业务，提高网络运维水平已成为在激烈竞争中的制胜策略。而要实现这些，对网络流量进行可靠、有效的监控与分析就显得尤为重要。