扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
目前较多设备往往都是通过路由器,防火墙等改装而成,但是要满足OC192线速需求的设备往往价格非常的高,对于整个网络进行全面的监控投入十分巨大。因此采用特殊算法和器件对网络数据进行分析的同时降低设备价格对于VoIP的全网监控是一个可行的解决办法。本文在解决实际问题的同时提出新型的算法和结构,对于目前的网络测量,网络计费都可以作为一种借鉴方法。
一、概述
过去的几十年中,以TCP/IP为核心技术的互联网得到了极大的发展,并已经成为普通人日常生活的一部分。网络测量在互联网发展的早期并不为人们所重视,那时网络的设计者更关注于提升网络的速度、容量和覆盖范围。随着互联网规模的不断扩大和网络结构的日益复杂,网络本身也显示出了许多问题,比如说病毒,网络攻击,垃圾邮件等等。这些问题的解决需要我们对于网络的基本特征和网络行为做进一步的了解。而网络学科作为一门具有实验物理学性质的学科要想进一步发展又必须依赖于网络真实数据的获得,因此互联网的测量和分析已经成为当今网络研究者所关心的重要课题之一。
网络测量所研究的主要内容就在于通过使用各种工具对网络当前的参数进行测量,并进行相应的分析。网络测量的分类标准有多种,根据测量的方式分为主动测量和被动测量;根据测量点的多少,分为单点测量和多点测量;根据被测量者知情与否,分为协作式测量与非协作式测量;根据测量所采用的协议,分为基于BGP,OSPF等路由协议的测量、基于TCP/IP等网络及传输层协议的测量以及基于SNMP,DNS等应用层协议的测量等;根据测量的内容又可分为拓扑测量与性能测量等。网络中的参数可以主要分为:可用性(Availability)、丢失率(Loss)、延迟(Delay)、吞吐量(Throughput)等几个方面。
随着网络技术的不断进步和网络融合趋势的不断增强,IP网络上开始承载越来越多的传统电信网和电视网上的业务;与此同时,互联网也不断涌现更多的新业务。对于网络应用的测量也越来越受到研究人员的重视。尤其是VoIP业务的应用在Internet网络上发展速度尤其惊人。VoIP协议不断涌现,目前已经在网络中流行的协议包括H.323、MGCP、SIP、SKYPE。VoIP是一个CTI(三网合一)的一个典型应用,它利用现有的数据网Internet作为基础的承载网络,将传统的电信语音信号进行编码,然后在Internet上进行数据通信,完成语音的接续。
出于商业或者安全的目的,我们需要对这种新型的业务进行监督。传统的电信网络监测由于网络是一个树形结构,同时集中控制,非常有利于监测,但是Internet网络存在的结构是网状,同时没有集中控制,所示需要新的设备来完成监督和监测,这是我们设计VoIP监测的出发点。
二、系统描述与评价指标
1.系统描述
某个骨干网络有n条出口,在某一段时间其中流过的数据包设为,其中存在m条VoIP(协议不尽),在经过系统黑盒子分析后得到这m条呼叫记录的元组(),分别是源IP地址、目的IP地址、源端口、目的端口、协议类型、创建时间、呼叫时长。
问题的难点在于IETF为许多应用定义了一些公共的端口(Well-Knownport)用于提供应用标识。不同应用的识别可以通过检测网络报文中的端口号完成。目前绝大多数实际网络之上的应用测量工作采用的也是这种仅仅通过IP报头中的五元组(源IP地址、源端口号、目的IP地址、目的端口号和协议号)进行识别的方法。
但是,随着互联网技术的不断发展,尤其是VoIP技术的广泛应用,仅仅靠端口号标识已经无法识别网络中的不同应用,这些应用主要是一些使用流媒体技术的新兴应用。另外,由于防火墙的广泛应用,越来越多的应用开始故意的使用一定范围内随机的或者是完全随机的端口,除此之外,有些应用不仅仅会使用非标准化的端口,有的时候还会故意的占用一些特殊的端口(比如说HTTP的80端口),来达到迷惑防火墙的目的。概括来说,目前网络上的应用识别和分类所遇到的困难主要有以下几点:端口的随机化;应用的隐藏;新应用的不断出现;网络贷款的不断提高。
系统的分析不能在传统意义上的五元组匹配的方式进行,而必须使用更为高层的应用层的数据分析。
2.评价指标
我们的目标是设计与实现一种新的网络语音应用层程序的识别与分析系统,这个系统有如下的特点:
(1)线速分析骨干网络数据。电信级系统的基本要求就是在骨干网络上的设备具有高度的稳定性,与峰值流量的稳定性。这个特点保证使得设备无论是串接或者是并行接入骨干网络线路的时候不会对于整体网络的影响。 [Page]
(2)软硬件系统的成本价格。由于Internet通信的特点,要将呼叫进行监控时必须要对整个网络进行布控,因此需要设备台数较多,因此降低单位设备价格对于整个系统的投入十分有利。
三、相关工作:
当前,网络测量已经成为了网络研究人员所关注的热点问题。在国内外,已经有各种组织和研究机构对其进行了大量的研究。这主要包括以下几大方面。
(1)从标准制定方面来看:互联网的标准化组织IETF其下属的IPPMWG、IPFIXWG、PSAMPWG等工作组都在进行有关网络测量的研究。其中IPPM工作负责组织制定了有关的互联网数据传输的质量,性能和可靠性相关指标;IPFIX工作组主要研究IP设备输出数据流信息的相关标准;PSAMP工作组则主要研究通过使用统计学和其它方法进行报文采样的相关标准化工作。
(2)从研究机构来看:比较著名的进行大规模网络测量研究的国际组织有NLANR、CAIDA、PLANETLAB等。这其中美国的应用网络研究国家实验室NLANR(NationalLaboratoryforApplied Network Research)下属的AMP(Active Measurement Project)和PAM(Passive Measurement and Analysis Project)项目对于美国的学术网络进行了大规模的主动测量和被动测量的相关研究,是网络测量领域非常有影响力的项目。CAIDA(Cooperative Association for Internet Data Analysis)是一个由商业,政府和研究机构共同组成的专门从事网络测量相关研究的国际组织,做出了很多有影响力的研究工作,开发了很多网络测量工具,同时该组织也提供相关的试验源数据供研究人员进行分析。PlanetLab项目所关注的重点则主要在Overlay网络之上的相关网络测量。
(3)从学术研究上来看:随着网络测量越来越受到研究人员的重视,这几年来也有大量的相关研究成果产生。国际上比较著名的计算机组织比如说IEEE和ACM都有专门的会议对行这方面的研究进行交流。比较著名的国际会议有ACM组织的SIGCOM会议赞助的IMC(InternetMeasurementConference),PAM(Passive& Active Measurement Workshop)等。除此之外在IPOM、NOMS以及INFOCOM等与网络管理和网络技术研究相关的会议中也有许多相关的学术论文发表,对网络测量及其相关研究做出了很多理论工作。
(4)从VoIP测量技术方面来看:国内外的研究处在一个发展的阶段,各个协议有相关的网络管平台和网管标准来对呼叫进行集中控制.集中起来进行控制的研究目前还是一个盲点.我们的工作利用网络测量技术在VoIP方面进行应用,同时根据VoIP测量本身的特点提出了一个体系结构和核心查找器件,在这方面进行了有益的尝试。
四、VoIP监测系统
1.术语
接入网:省、市、自治区的各种网络接入服务器之间构成的网络。
骨干网:各个接入网的上一级网络,相当于OSPF协议的Area0。
流量镜像:利用路由交换机的流量镜像功能,将某个设备端口的流量按照某种方式镜像产生到该设备另外一个空闲的端口上。
语音干扰:在原有话音的基础上加入一些合成的提示音(常见于剩余通话时间提示),或者加入噪声干扰,是的通话质量降低。
2.系统结构
网络监测系统是一个采用跨接或者镜像分析互连网络数据的系统。它的主要功能是从海量的数据包中快速过滤出需要的信息,然后对过滤出的数据进行分析,得出监测结果。例如某IP群用户的网络访问目的,所有互联网H.323呼叫信息,ICQ信息中包含特定字符的用户等等。网络监测系统相对于网络计费系统来说的特点是需要处理高速的数据流,过滤出的有用信息非常少。因此降低了监测成本与监测速度比的核心就是采用简单的硬件设备,来完成数据的过滤。
目前的网络监测系统很多都是利用现有的高端路由器或者防火墙来进行改造,这样的做法优点是开发周期短,但是缺点是大量的硬件配置闲置与巨大成本投入。本文介绍的网络监测系统的结构能够利用简单的器件来完成高速的过滤,能够在节省开发周期的同时减少硬件成本的投入。
下面先介绍网络监测系统在网络的架设与连接方式。网络监测设备的实际机架物理图,这个物理结构不是必须的。但这样可充分利用网络监测设备的连接特点,既能连接汇聚层或者骨干层的设备,同时也使用了接入设备。
网络监测设备的两种逻辑连接结构。这两种方式各有优缺点,第一种方式需要对网络首先进行断网或者数据流的转向(首先利用其它设备进行通信然后进行施工),同时监测设备的性能直接影响到整个网络的性能,对于监测设备这种周边设备,很少有运营商愿意接受。第二种方式是采用路由交换机的镜像功能来进行数据的取得,但是也存在问题,利于路由交换机的速率较低一般都在2.5G以下。 [Page]
3.设计与实现
(1)硬件系统
硬件的结构,其中数据从光纤数据接口经过模块转化为实际的数据包,由于大多数光纤的速度为OC48(2.5G)或者OC192(10G)的接口,对于这样高速度的数据进行缓存然后分析按照目前SDRAM的速度来说是不可能实现的,同时网络VoIP数据的特点就是VoIP只占整个网络流量的很少一部分,而且在分析的过程中只需要分析协议的开始于结尾信息(经过实际分析发现只有百万分之二一下的流量)。于是我们在设备中加入了一个并行硬件过滤系统,来将整个网络流量的绝大多数过滤。
(2)并行硬件过滤系统结构
这个系统模拟人的思维过程。在我们长期对于人类思维模式的分析中我们发现有时候我们不能准确的记住某个画面或者某个人物(相比计算机来说)。但是当情景再现或者整个人出现在我们面前的时候我们就能立刻认出来。同时这种认出也是一种在很少概率情况下允许错误的。BloomFilter的出现模拟了人的思维过程,BloomFilter在可调整的允许地范围内设定匹配错误的几率,通过少量的存储来完成搜索的过滤。
但是对于电信级的应用来说,需要达到线速的处理,而且准确率需要达到99.999%的情况下使用BloomFilter已经意义不大,而且BloomFilter实现起来仍然需要大量设备与存取器件,我们设计出一种新的算法:并行硬件过滤算法,同时采用硬件实现了该算法。
(3)算法介绍
令表示一串字符表,我们将整个字符分段.下面的表1给出了一个例子,其中m=6。
下面我们将纵向上的一个串放到一个环形数字图上进行分析。令分别表示的纵向方向上存在最大空袭的最大值和最小值。以表1的第一个串为例,按照从小到大,在构成环的方式。其中可以看出01010101与11000011之间的空隙最大,因此max()=11000011,min()=01010101.由于空隙的出现有可能在两端(例如:00000000和11111111之间),我们设置一个位寄存器flag来记录是否存在这样的现象。
对于任何进行匹配的字符串,取出相应的字段K,然后按照下面的伪码来进行分析。
if(min
if(flag=0)丢弃该包
else本节匹配
else
if(flag=0)本节匹配
else丢弃该包
(4)硬件实现
硬件的实现结构,改结构实现上面的伪码算法.值得注意的是该硬件结构需要硬件少,而且都是高速器件,因此完全可以满足OC192的百万包/秒的速度。
由于这种查找具有并行的特点,因此采用硬件复制的方法进行并行查找,同时在查找结果进行逻辑乘的运算,输出就是匹配结果。
(5)算法分析的试验结果
算法的第一个特点就是算法构造简单、实现硬件简单、高速。第二个特点就是排除的可能性很好。假设某个字段排除的可能性为,那么对于n个并行器件的排除的可能性为,当时 。这个结果表明有98.65%的数据包将不经过分析而直接被排除。
将现有的VoIP协议关键字段放入查找结构,在匹配的过程中只有百分之二的数据包进入缓冲,OC192的网络流量只有204.8Mb的流量进入缓冲分析,采用嵌入式系统进行分析是低端设备就可以完成的。
五、效果评价
当前我们已经成功实现VoIP监测系统,并且在福建各地市电信的骨干网进行应用。这个系统核心技术部件包括:
(1)并行硬件过滤系统,这个系统模拟人的记忆思维模式,在利用少量并行器件进行网络海量数据包的过滤。这个系统能够保证被过滤的数据包不是需要协议,而过滤后的数据允许部分错误判断地特点,快速将网络流量的95%以上进行过滤,从而在低端嵌入式系统就能实现线速分析骨干网络数据。
(2)设备利用低端器件完成骨干网络的监测任务,对于设备的价格降低十分有利,相比其他OC192的设备相比价格比同类设备低一个数量级。
通过在实际部署、采集和分析,发现我省IP网络上确实存在一定的VoIP话务量,部分地区VoIP分流的长途话务量较大。以厦门本地网测试为例说明测试情况及控制效果。
经过对厦门城域网汇聚层交换机Cisco6509的一条上行千兆链路连续一天的测试,发现了20多个语音网关在利用厦门电信的互联网进行语音业务,呼叫量共计1157次。其中至台湾的几个VoIP网关(台湾Savecom公司)呼叫量占90%以上,由于测试设备为100M端口,抽样率为10%左右,该中继上实际产生的呼叫应该约为11570次左右,大量分流了厦门的长途电话业务。目前,厦门分公司已针对分析结果,对台湾的VOIP网关IP地址进行了封堵。
六、结论
VoIP监测系统利用VoIP协议本身特点,采用新型算法和硬件结构,来完成网络数据的过滤,在达到高比率过去的情况下保证电信级的应用。在采用低端设备来完成高速网络数据分析的任务,降低了设备的成本,为大面积,多层次的布置分析系统奠定了基础。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。