AceNet公司官宇：流量控制技术在广电宽带、三网融合中的应用和思考

下一代网络融合与发展中国峰会现场，AceNet公司中国区技术总监官宇演讲。

2009年8月23-24日，下一代网络融合与发展中国峰会(CNCS)在北京京都信苑宾馆召开，会议由国家广播电视电影总局指导，中国广播电视协会，BIRTV组委会主办，中广互联，电信传播研究中心承办。DVBCN数字电视中文网是本届论坛的协办单位。

　　图为：下一代网络融合与发展中国峰会现场，AceNet公司中国区技术总监官宇演讲。

　　以下为实录：

　　官宇(AceNet公司中国区技术总监)：尊敬的嘉宾各位领导、专家上午好！

　　昨天论坛上蒋总说IP网络有两个突破，一个是QoS，另外一个是安全问题。AceNet公司主要的方向就是解决QoS和安全上的问题。

　　我的演讲主要分三个部分：

　　第一，给大家介绍一下目前流控技术在广电宽带运营商的应用情况和解决的问题。

　　第二，AceNet“流控墙”和“流量安全”概念。

　　第三，应用层流控技术在三网融合中应用的思考。

　　2005年以后互联网上出现了一个重要的应用，就是P2P的应用，给网络带来了非常大的影响。影响到底在哪儿？很多人都有不同的看法。我们作为一个专家的流控的厂商，针对P2P做了很多研究。P2P对网络构成最大的威胁在哪儿？因为用户网络的行为模型发生了变化，才会导致现在的网络拥塞。我们在之前看到所有的网络都是以客户端和服务器之间的交互，用这种访问模型去构建现在所有的网络。而且我们的网络产品也是基于这种模型去设计和建造的。P2P出现之后，所有网络的模型，用户和用户之间产生了非常大交互的数据量，这样就形成一个扁平网状的模型。这种模型现在我们构建出来的基于星形连接的模式是不适合P2P新的网络访问模型，这样就给整个网络带来非常大的灾难性的影响。

　　P2P时代到来了，带来什么问题和变化呢？每一个用户开启的应用程序越来越多了，单个用户的并发会话数越来越多，如果你开一个新浪的新闻，同时产生的并发会话会有100多个，但是这个会话很快在一两秒就结束了。但是如果P2P的用户，会在瞬间产生非常大的并发会话，而且这个并发会话持续非常长时间。我们做了很多统计，如果一个正常的用户开启P2P的流量，它的并发会话数长时间维持在4、5千。如果这个用户中了木马病毒，在向外发攻击的时候，我们在一个高校里截到最高的数据，一个单个的PC机产生的并发会话数有19000个，非常惊人。

　　另外，UDP报文比例迅速增加。过去UDP只是用来DNS解析用的，现在大量UDP报文被当作语音和视频，因为它不是面向连接，它传输的延迟非常小。所以大量的UDP报文做语音和视频实时交互的流量。很多地方统计UDP报文已经超过60%。五前年UDP在网络中的报文不超过20%，现在已经超过60%。

　　另外，小包比例特别高。几年前我们有一个统计数据，小包的比例只有大概不到20%。这是我们在北京的海淀宽带做的统计。小于128字节的报文已经超过了40%。大于1K的报文超过了35%。实际上根据报文的比例做一个分布，它是一个哑铃形的分布，大量的报文是小包，小包是用来传语音视频，还有TCP的握手信号、协商报文。

　　小包增加了以后给现在很多网络设备带来很大的影响和负担，这就是网络设备一个重要的性能指标，只看吞吐是不行的，要看包交换率。

　　现在很多广电运营商都在尝试用各种各样的流控技术来解决网络拥塞问题。实际上我们作为一个专业的流控厂商，凡是我们面对的用户全都有网络拥塞的问题，也不光是我们面对，还有很多我们没有面对，几乎所有的网络现在都有拥塞的问题。

　　拥塞的控制和流控的识别是什么，最早所谓第一代P2P的控制，通过防火墙、P2P常用的端口的封闭，来解决P2P网络的影响。但是很快发现不行，因为P2P会慢慢自己去改，很快用80的端口、25110的端口，根本没法封，不可能封。如果封了，邮件和外部访问就用不了。后面就会用专业的流控设备，基于应用层的特征字的方式去识别P2P的应用。但是很快就发现又不行，发现我们有加密的BT，迅雷原来不加密，后来也加密了。还有一些其它的像Skype整个就是加密，加密的流量怎么识别？你在关键字里再也破译不到特征字，在报文里过滤不到特征字，这时就需要升级专业的流控设备，就要通过行为特征的分析，去发现加密的BT应用、加密的P2P的应用。

　　控制手段现在应用最多的是用在线的方式，对识别的流量做带宽的控制或者带宽的保障。在电信里边有很多应用是旁路的方式，旁路的方式只能解决TCP，给TCP的报文，发现TCP的链接是需要阻断的话，它就向两边发包，通过旁路干扰的方式阻断这个链接。 另外还有一种方式，通过修改TCP报文头中的滑窗参考的方式控制客户端和服务器之间的传输速率。这两种方式都是只能控制TCP的报文，现在网络中大量UDP的报文，用这两种方式是无能为力的。

　　另外，对单个用户使用的带宽做精确的控制，网络资源包括我们常说的带宽，还包括我刚才提到的并发会话数。对这两个要素做一个精确的控制，对缓解网络拥塞是有非常大的作用。

　　归根到底，P2P时代对网络的影响最大的问题是5%的用户占用了90%的网络资源。我们如果要是把这个问题解决好了，就会大量地缓解网络拥塞问题，我们是有很多实践的。我们之前在海淀宽带有一台设备，我们通过对用户的带宽和并发会话数的控制，达到了对网络出口带宽利用率的大幅度提升。在相同的带宽的情况下，对每一个IP占用的带宽和每一个IP使用最多的并发会话数做控制之后，同样的带宽、同样的资源，我们承载的并发用户数增加了几乎一倍。这从一个侧面去帮助运营商提升网络的利用率，帮助运营商挣到钱。

　　我们提出两个概念，一个是流控墙，另外一个是“流量安全”。这两个概念都是AceNet首先提出来的。为什么提出来流控墙呢？我们看一下传统的流控设备和防火墙之间到底存在什么问题。这里有一个最标准的部署模式，透明的流控设备和防火墙之间。流控设备部署在防火墙里，这样防火墙本身和流控是不能交互的，没有任何交互。有一点，防火墙挂的DMZ区的流量，这个流量怎么管理和分析就存在很大问题。从内网访问DMZ区，我们可以通过流控做分析和控制。从外网访问DMZ区就不行。有把这根线从流控设备这边绕一圈，又存在一个问题，从内网访问DMZ区过了两遍，被统计了两遍。另外防火墙和流控设备不能互动，外面的状况发生改变，一条网络被拥塞堵得满满，你这边做带宽保证一点效果都没有。这边开视频会议，那边传一个大文件，把入口堵住，再做带宽保证没有用，会议还是没法开，甚至断了都不知道。

　　我们在实践过程中经常遇到内网产生攻击流量，大流量上来的时候，传统的流控设备都是X86、NP，两种情况，一种被打死，另外一种是直接把攻击流量通过。在最需要流控设备分析攻击流量来源的时候，你不负责任让它通过，这时就不知道来源了。对于网管来说，发现有异常流量来的时候，要找到异常流量来源的时候，在没有流控设备的时候是非常痛苦的事情，没有半天时间是查不到的。

　　另外一种部署模式，这是把流控设备部署在防火墙外边[FS:Page]，这种部署模式同样DMZ区的流量访问控制解决不了，从内网来的访问DMZ区又不经过流控设备。

　　防火墙做了地址转换，你在流控里看不到原始IP，只能看到转换以后的IP，这时出现安全问题你没法定位。

　　传统的流控又不能支持负载均衡，如果要有多链路，跨接在上面解决不了问题，一条链路10%的负载，另外一条链路99%负载的时候，这个问题就解决不了。

　　另外，流控设备不是安全产品，它需要保护。我们经常看到这种部署模式的时候，在外边再加一个防火墙，我们叫做汉堡包方式，把流控设备还要再保护一下。

　　这都是我们说的防火墙和传统的流控设备不能互动造成的问题。AceNet提出了一个流控墙的概念，我们把防火墙、流量控制和多链路出口的负载均衡集成在一个芯片里边去解决这个问题，这种部署模式就把刚才我前面两张图里列举的防火墙和流控设备不能互动造成的问题全面地做了。AceNet最强的是我们把二层到七层的流量分析和控制用芯片来完成了，这个芯片非常大，大概有3000多万门芯片，全世界采用芯片的模式去解决流控问题，只有我们和思科公司，剩下都是采用X86的方式或者NP的方式。而且我们比思科强的地方是，我们把防火墙和负载均衡能力功能全部集成在这个芯片里边，思科只解决流控问题。

　　我们能够解决：P2P的问题、带宽保障的问题、安全问题、做地址转换、用户认证、审计。我们做的是一个多层次的流控，流控包括带宽，包括QoS，包括并发会话数，对这三个要素做一个综合的控制。

　　(图)这是我们能够识别和控制的一部分流量，一部分P2P的协议和AM的协议。其实迅雷大家现在用了很多，目前在网络中看到最大的流量就是迅雷，我们在很多高校里看到迅雷的流量几乎超过60%，迅雷对现在的网络影响非常大，严格意义上讲迅雷是流氓软件，虽然给大家带来了很多下载方面速率上的体验，非常好，但是它严格意义上讲是流氓软件。为什么？首先，它带来很大的安全隐患。你用迅雷在你自己的FTTP服务器上上传和下载的时候会很快，比你直接去用FTTP工具访问快很多。但是只要用迅雷访问过一次，它就会把你的用户名和密码都记下来，记在迅雷的服务器上。以后再有人去访问这个文件的时候，再也不用去敲用户名和密码，都用你的用户名和密码去访问，你的这些私有信息在他那儿全都记下来了，会造成非常大的安全隐患。不知道你们注意过没有，去年年初有一个新闻地香港警察的卧底名单泄露了，谁干的呢？就是FOXY。FOXY在香港和台湾比较流行的一种P2P软件，跟迅雷差不多。P2P的软件都会带来很多安全隐患。

　　迅雷还流氓在什么地方呢？它在不跟你打招呼的情况下不断向外传东西，除非把迅雷关掉，否则你同时下载的东西都别别人分享，这是一般人不能忍受的，至少会影响计算机的性能，CPU负载会很高。

　　AceNet首先提出来一个流量安全的概念。传统的流控是流量的可视和流量的可控，我们又提出来流量的可追溯。为什么提出这个概念？我们实际上在实践的过程中，通过我们的流控设备发现了很多网络安全事件，我们第一时间发现了网络安全事件，并且定位了网络安全事件，而且还能追溯网络安全事件。南京师范大学有一次内网服务器中病毒，当时给全网都造成非常大的影响，跑得非常慢，通过我们的设备直接看到了这个异常的用户，这个服务器的并发会话数超过19000，影响非常大。老师直接通过我们的设备定位到这个服务器，一看IP就知道这个服务器。把这个服务器网线一拔掉，这个网络就安全了。这种事情太多，都是通过我们的设备解决网络安全问题。我们提出流量安全的概念。

　　(图)最重要的是我们的日志和审计的功能，这是我们非常强的地方。我们用芯片的方式把我们需要的日志打成UDP包送给日志服务器，这边流量再大都不会影响我生成日志的性能。所以，我们能够在非常大的大带宽底下解决日志审计的问题，这也就是我们去解决公安部82号令要求的地址转换日志，需要做地址转换日志的需求。像很多我们的运营商、高校都存在这个问题。虽然有82号令规定你要做地址转换日志，但是我没有这么高性能的设备能够解决这个问题。我们通过流控设备能够帮他去解决这个问题。我们把每一个并发会话数都做了日志，然后对它的URL外部访问都做了记录，FTTP、Email，甚至MSN的聊天内容都可以做记录。

　　(图)这是我们的基础数据，我们做地址转换以后的IP和端口都会把它记录下来，并且我们能够基于基层协议应用的事业，我们记住这是DP，这是迅雷，多长发起时间、结束时间、持续时间，都记录下来，这是我们的基础数据。通过这些数据我们可以做分析，可以看到流量的前十名，我们可以看到IP流量的构成，可以看到这个IP是迅雷，绝大多数流量都是迅雷。

　　(图)我们点击这个按纽可以看到访问的IP地址的分布，比如现在是杭州，我们知道杭州市的IP，我们还知道杭州以外浙江省的IP，我们还是国内的IP，还是国外的IP。另外，点击了这个图标之后，很重要我们能够看到三个图，一个是基于时间的单个IP带宽的占用情况、变化情况，我们可以看到这个IP在峰值的时候流量超过100M。我们可以看到这个图的并发会话数是根据时间发生变化，这个图是每秒新建连接数的变化情况。我们可以看到其实一个正常的用户，不是中病毒的情况，每秒新建连接数不到30次，非常少。但是一旦有异常流量的时候，我们截到最高的图4000多个，不断向外发攻击。通过这三张图其实就可以定义一个用户的网络行为是不是异常。

　　我们点击前面一个图的小图标之后，我们还可以看到这一个用户迅雷这一种流量根据时间变化的情况。我们的统计是非常细致的，细致到什么程度？按照用户的话说，已经可以当分析仪用了。

　　黑名单的功能，可以自动把异常流量的用户放到黑名单里，黑名单可以自动惩罚。一个是要么让他断网。另外，要么把他的带宽和并发会话数压得很低，让它对网络影响非常小。这是针对异常流量用户的控制手段。如果用我们的web认证，会弹出一个小窗口，告诉这个用户已经进入黑名单，请你跟网管联系。

　　最后，我们在思考应用层的流控技术在现在讨论的三网融合中应该怎么去用的问题。

　　我们现在在讲三网融合实际上是建高速公路的情况，我们把一个高速公路建起来了，流控做的事情是给高速公路划线，给它设置各种交通的标志，给它设红绿灯。有些车能够上什么样的道路，必须是什么速度，哪些道路是不能上的，流控就是干这些事情，解决QoS的问题。

　　三网融合以后我们看到3T、3Tnet，在非常大带宽，在用户到了30M、50M的情况下、是不是还有流控问题呢？是一样的，现在绝对不能非常乐观地说我在做试验网的时候带宽非常大，根本就没有遇到过流控的问题，没有遇到过拥塞的问题，拥塞以后就不会在实际应用中出现，这个概念是不会的。就像我们在56K的情况下想象不到1M、2M带宽会拥塞，但是我们真正用到1M、2M带宽，大家遇到的拥塞时时刻刻都在体会、感受。当用户升级到30M同样存在着拥塞的问题。我们一定要考虑网络融合的时候，在设计标准、设计方案的时候就要考虑到流控的问题。

　　应用层的流控，这个技术能够给网络融合带来什么好处呢？实际上我们可以去识别出来你的各种各样增值的应用，对这些增值的应用有特殊的控制手段，然后给你带来非常多灵活的收费方式、定价方式，有各种各样的带宽保障[FS:Page]，给它不同的贷款，甚至他实时要求特制的带宽，我们都可以用。另外，我们还可以及时发现网络异常行为，在大带宽的情况下，异常行为的用户对网络的影响就更大了。另外，我们需要在三网融合考虑应用层流控的时候需要注意的一些问题，一个就是它部署的位置。另外，选用的平台。因为带宽非常大，X86和NP的方式肯定不行。另外，考虑全网络QoS，另外一旦你应用到了可增值的流量，一定要非常容易识别的才行。流控要和日志认证结合，流控和网络安全系统结合。

　　(图)流控到底能干什么？我们的流控部署在这里，这边是宽带的接入用户，我们可以把这些流控的数据都统计记录在数据库里边。同时给这些用户分配一些帐号，我们可以通过前台的服务器，让用户访问，能够看到自己的流控。就像我们现在通过网站可以查询我们的手机话单、通话记录一样，可以随时查询我们自己流量的玖单。技术可以非常详细。

　　另外，我们可以让用户定制自己的报表，每周发一个报表还是每一个月发一个报表，让用户自己心里非常清楚自己的流量到底是什么样子。有机是三网融合以后，各种业务都多了，可以分业务地给各种各样的报表。

　　一旦有异常流量涌上来，我们可以第一时间通知用户，告诉现在有异常，是不是检查一下、杀一下毒，给用户非常好的体验。

　　以后可能流控用得越来越多，还有更多的应用方式，也是大家集思广益。