太阳能路灯厂家
免费服务热线

Free service

hotline

010-00000000
太阳能路灯厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

得新应手构建和谐的互联网新日

发布时间:2020-01-15 15:51:40 阅读: 来源:太阳能路灯厂家

北京畅讯信通科技有限公司/文

“互联网”已经家喻户晓,不仅是当代高科技的产物,也不可或缺地成为社会发展的动力和经济变革的杠杆。随着藉助于各种自主自发(非标准)的交互工具(如P2P)的使用,网络流媒体成为互联网应用的主流,从而导致对网络的带宽需求大幅度增加,网络传输流量与日俱增。同时,由于直觉的用户体验(QoE)逐渐成为衡量抽象的服务品质(QoS)尺度,也使得应用和服务难以调合的矛盾日益突出,其中一个直接负效应结果是动摇了互联网发展的基石和环境。

而不可回避的是,互联网的服务基本停滞在原始水平(技术上,40年前诞生的TCP/IP协议以及不断扩展的外围辅助兼容协议并不具备对网络应用的管理能力),事实证明没有管理的简单网络基础设施扩容不仅远不能满足互联网应用的快速增长而且扩容投资也无法得到相应的回报。

畅讯科技从2001年开始对网络流量进行研究和分析,在算法、集成电路设计和系统设备上持续研发。2005年在国内市场率先推出基于DPI(深度包检测)技术的高性能电信级产品QQSG,在应用开拓中QQSG得到完善并形成产品的系列化和相关配套解决方案和技术服务平台。根据我们的认识和理解,本文对DPI的技术和应用前景抒一管之见。

DPI技术的一般表述

DPI(Deep Packet Inspection)是一种用来实现识别数据包内容的工具。必须明确的是,这里所指的“数据包内容”并不是用户交互的内容数据信息,而是指封装传送用户内容数据信息的第2层到第7层的协议信息(即OSI的7层网络结构)。传统的网络设备基本上都是基于标准的网络协议在技术和工程上实现不同层次的功能(如2/3层交换机,3层路由器,4层防火墙),在第4层以上的应用协议是层次化地被封装在网络协议(TCP/IP)内,而传统的网络传输设备遵循着“尽力而为:Best Effort”的原则既无必要也无法知道所处理的交换或路由的网络数据流里是由哪些应用(协议)组成。DPI填补了这一技术空白,并且在与其它技术组合后实现从对网络流的粗犷型管理到对应用和用户颗粒化(Granularity)的精细管理之补充或转变,以及对进一步应用服务需求的必要扩展。

DPI技术应用的必要性

“按需服务:service-on-demand或bandwidth-on-demand”曾经在过去的网络基础设施规划和网络流量管理(Traffic Management)中就一直是个优化目标,不尽如人意的主要障碍包括缺少支配性的市场应用驱动力和服务的增长点以及相关实现的技术手段和能力。从2005年开始P2P(peer-to-peer)工具在国内互联网上呈爆炸性的应用,问题首先引起2级运营商(或驻地运营商、接入运营商)的关注和重视并开始部署基于DPI技术的网络设备,主要目的是为了缓解P2P应用占用了高达90%所租赁的有限出口带宽而对运营服务和运营成本造成的巨大压力。

P2P从其技术体系结构上应该说是一个开创性的成功应用,从文件共享下载和上传到VoIP无疑颠覆了某些传统的技术应用。但是在应用的背后存在鲜为人知或易于被忽略对网络安全的巨大的杀伤力和为此要付出的高昂代价,主要表现在:

* 带宽——P2P的有效应用基础是“对等性”,共享使得参与P2P的用户既是内容使用者(下载:Client)也是内容提供者(上传:Server),由于P2P的用户是动态和随机地构成交互连接,P2P的机制要保证下载和上传的完整性和一致性就必须要连续不断地发出请求搜索和发现新的用户或新的内容源。同时,由于P2P的下载可以是在后台批处理运行(无需人机交互),在这种P2P多用户集中大并发情况下,传输网络的带宽会被很快占用殆尽而造成堵塞或网速降低。

* 对话——又称链接或Session是TCP协议的属性。不仅P2P应用而且目前大多数音视频服务站点在建立一个点到点的交互连接后隐含着十数个乃至数十个并发对话(Concurrent Sessions)。在千兆带宽中存在数百万个并发对话是目前网络中常见的(在传统的网络和网络标准应用中并不会出现这样大量并发对话),对网络安全所带来的直接冲击所导致的结果或现象是导致一类拒绝服务(DOS-like)而并非完全由于传输带宽的因素:

- 现有典型高档服务器处理并发对话数的最大能力一般在2000~3000个,饱和时服务器整体性能会急剧下降。

- 并发对话的传输一般是以64字节(Bytes)短信息包为主,现有的网络设备(如路由器)在处理大量并发短信息包时性能(即吞吐量、丢包率、延时、抖动)会大大下降。

通过DPI技术以及相应的网络产品和解决方案对P2P应用的管理能避免网络的基础设施资源被无序滥用,也使P2P应用得以健康发展,进而保证对互联网绝大多数用户的服务。尽管如此,DPI技术的应用决不仅仅是在网络流量管理上,事实证明DPI技术在网络安全、服务整合和管理等方面也有显著功效,其应用领域也随之增加。此外,需要DPI技术的已经不仅仅是有线电信运营商了。速度更快、日益普及的移动网络数据服务提供商对DPI技术越来越感兴趣。因为如果他们不能对网络流量进行有效管理以保持盈利的模式,无疑也会重蹈覆辙。

DPI技术应用的充分性

在实际应用中,“网络安全”往往多为涉及防火墙、防病毒、防攻击、防垃圾邮件等。从网络运营的角度,网络安全更多的是关注基础设施的可靠性(Reliability)、稳定性(Stability)以保证相应的服务能够可推送(Deliverability)和可使用(Availability)。客观地说,如果网络的运营安全没有保障,网络的应用安全也就无从谈起了。

感谢国际标准化组织、网络运营商、设备制造商的多年共同努力,网络的基础设施的使用和运营对于标准化的网络应用已是相当成熟和完善的。如果今天互联网的应用仍然是基于标准的(如TELNET、FTP、HTTP、SNMP),网络的运营安全应该是有保障的。但是这个假设不成立,而且可能永远不会成立,因为驱动互联网发展的应用不再仅仅是标准化的。上述P2P应用只是一个范例,但可见它所造成的影响已足以动摇网络基础设施可靠性和稳定性的根基;同时没有相应管理能力的服务也只是形同虚设,最终殃及池鱼的不仅是最终用户而且运营商自身也深受其害。

基于DPI技术的电信级网络设备可以透明地串接在网络中的任何一个节点,实时地提供网络的运营安全的规范支持,如同电力网中的保险丝和交通网中的信号灯;同时在线地提供各种运营服务策略执行的支持,如同民航票务系统中的服务绿色通道;进一步地通过统计分析为网络基础设施的规划和决策以及提高服务能力和水准提供定量的参考依据。

另一方面,DPI技术也是对现有网络应用安全技术的补充。作为一个例子,目前穿透标准防火墙是已知绝大部分互联网应用所必须具备的缺省功能。DPI技术与其它技术组合可有效地具备识别和过滤能力,实现与防火墙在网络应用安全保障的互补。

DPI技术应用的约束

综上所述,DPI技术的发展动力和主要应用目标是互联网上各种非标准的应用。尽管DPI技术可以有不同的实现方法,但是存在不可逾越的约束:

* 标准与非标准的网络应用本质上的区别主要在于前者是通用型的而后者是地区或地域型的(包括如文化背景,政策法规等影响因素),同时非标准的网络应用发展速度可谓日新月异。因此,不可能有一种如同交换机或路由器的通用型基于DPI技术的设备,既能满足“西”又能适应“东”。

* 基于DPI技术的网络设备与传统网络设备的主要本质区别在于前者必须具备可编程以及周期性的升级和扩展的能力,同样这是由于非标准的市场应用环境所决定的;后者是网络基础设施的组成之一,并不可能轻易变更(包括各种配置)。

* 网络应用以及相应的网络流量的一个特点是高速和具有动态、随机的时效性。不管是粗犷型的传统流量管理还是基于DPI技术的精细化流量管理,如果不能做出实时地反应无疑将会是事倍功半(甚至可能“弄巧成拙”)。这是以软件型的或离线型实现DPI技术的方案所无法跨越的一个“门槛”或存在的“制肘”。

归纳

DPI技术是在互联网快速发展的新环境中应运而生并正在得到广泛的应用。DPI技术同时也是一个概念,实现可实用的设备和方案是需要与其他技术有机结合的一个系统工程。DPI技术的真正价值在于由市场(或用户)需求导向下不断地提供新的、精而细的功能和可定向的技术服务和支持。

运用DPI技术实现网络运营的精细化管理不是控制更不是封堵,而是从网络安全的角度优化网络资源和网络服务,提高网络的使用率,保障网络应用的有序和谐,推动互联网良性发展。

DPI技术具有通用性,但不具备标准性,因为应用的环境确定了研发路线;应用的特点制约了实现方法;应用的目的决定了使用门槛。

广义下的互联网是由“应用互动平台”和“物理传输平台”所组成的全球性信息系统。作为网络基础设施,物理传输平台支撑着应用互动平台,“皮之不存,毛将焉附”的关系是显而易见的。因此,网络的精细化管理是个“纲”,纲举目张。

名医汇

专家挂号

名医汇