淺析VoIP監測

　　摘  要：近年來(lái)隨著(zhù)技術(shù)的發(fā)展,VoIP逐漸取代傳統的長(cháng)話(huà)業(yè)務(wù),相應的對VoIP業(yè)務(wù)進(jìn)行監測的需求也應用而生。目前較多設備往往都是通過(guò)路由器,防火墻等改裝而成,但是要滿(mǎn)足OC192線(xiàn)速需求的設備往往價(jià)格非常的高,對于整個(gè)網(wǎng)絡(luò )進(jìn)行全面的監控投入十分巨大。因此采用特殊算法和器件對網(wǎng)絡(luò )數據進(jìn)行分析的同時(shí)降低設備價(jià)格對于VoIP的全網(wǎng)監控是一個(gè)可行的解決辦法。本文在解決實(shí)際問(wèn)題的同時(shí)提出新型的算法和結構,對于目前的網(wǎng)絡(luò )測量,網(wǎng)絡(luò )計費都可以作為一種借鑒方法。

　　關(guān)鍵詞：VoIP　 并行硬件過(guò)濾　 OC192

一、概述

　　過(guò)去的幾十年中，以TCP/IP為核心技術(shù)的互聯(lián)網(wǎng)得到了極大的發(fā)展，并已經(jīng)成為普通人日常生活的一部分。網(wǎng)絡(luò )測量在互聯(lián)網(wǎng)發(fā)展的早期并不為人們所重視，那時(shí)網(wǎng)絡(luò )的設計者更關(guān)注于提升網(wǎng)絡(luò )的速度、容量和覆蓋范圍。隨著(zhù)互聯(lián)網(wǎng)規模的不斷擴大和網(wǎng)絡(luò )結構的日益復雜，網(wǎng)絡(luò )本身也顯示出了許多問(wèn)題，比如說(shuō)病毒，網(wǎng)絡(luò )攻擊，垃圾郵件等等。這些問(wèn)題的解決需要我們對于網(wǎng)絡(luò )的基本特征和網(wǎng)絡(luò )行為做進(jìn)一步的了解。而網(wǎng)絡(luò )學(xué)科作為一門(mén)具有實(shí)驗物理學(xué)性質(zhì)的學(xué)科要想進(jìn)一步發(fā)展又必須依賴(lài)于網(wǎng)絡(luò )真實(shí)數據的獲得，因此互聯(lián)網(wǎng)的測量和分析已經(jīng)成為當今網(wǎng)絡(luò )研究者所關(guān)心的重要課題之一。

　　網(wǎng)絡(luò )測量所研究的主要內容就在于通過(guò)使用各種工具對網(wǎng)絡(luò )當前的參數進(jìn)行測量，并進(jìn)行相應的分析。網(wǎng)絡(luò )測量的分類(lèi)標準有多種，根據測量的方式分為主動(dòng)測量和被動(dòng)測量；根據測量點(diǎn)的多少，分為單點(diǎn)測量和多點(diǎn)測量；根據被測量者知情與否,分為協(xié)作式測量與非協(xié)作式測量；根據測量所采用的協(xié)議,分為基于BGP,OSPF等路由協(xié)議的測量、基于TCP/IP等網(wǎng)絡(luò )及傳輸層協(xié)議的測量以及基于SNMP，DNS等應用層協(xié)議的測量等；根據測量的內容又可分為拓撲測量與性能測量等。網(wǎng)絡(luò )中的參數可以主要分為:可用性（Availability）、丟失率（Loss）、延遲（Delay）、吞吐量（Throughput）等幾個(gè)方面。

　　隨著(zhù)網(wǎng)絡(luò )技術(shù)的不斷進(jìn)步和網(wǎng)絡(luò )融合趨勢的不斷增強，IP網(wǎng)絡(luò )上開(kāi)始承載越來(lái)越多的傳統電信網(wǎng)和電視網(wǎng)上的業(yè)務(wù)；與此同時(shí)，互聯(lián)網(wǎng)也不斷涌現更多的新業(yè)務(wù)。對于網(wǎng)絡(luò )應用的測量也越來(lái)越受到研究人員的重視。尤其是VoIP業(yè)務(wù)的應用在Internet網(wǎng)絡(luò )上發(fā)展速度尤其驚人。VoIP協(xié)議不斷涌現,目前已經(jīng)在網(wǎng)絡(luò )中流行的協(xié)議包括H.323、MGCP、SIP、SKYPE。VoIP是一個(gè)CTI(三網(wǎng)合一)的一個(gè)典型應用,它利用現有的數據網(wǎng)Internet作為基礎的承載網(wǎng)絡(luò ),將傳統的電信語(yǔ)音信號進(jìn)行編碼,然后在Internet上進(jìn)行數據通信,完成語(yǔ)音的接續。常見(jiàn)的網(wǎng)絡(luò )拓撲圖如圖2所示。

　　出于商業(yè)或者安全的目的,我們需要對這種新型的業(yè)務(wù)進(jìn)行監督。傳統的電信網(wǎng)絡(luò )監測由于網(wǎng)絡(luò )是一個(gè)樹(shù)形結構,同時(shí)集中控制,非常有利于監測,但是Internet網(wǎng)絡(luò )存在的結構是網(wǎng)狀,同時(shí)沒(méi)有集中控制,所示需要新的設備來(lái)完成監督和監測，這是我們設計 VoIP監測的出發(fā)點(diǎn)。

二、 系統描述與評價(jià)指標

　?。保到y描述

　　某個(gè)骨干網(wǎng)絡(luò )有n條出口,在某一段時(shí)間其中流過(guò)的數據包設為 ,其中存在m條VoIP(協(xié)議不盡),在經(jīng)過(guò)系統黑盒子分析后得到這m條呼叫記錄的元組( ),分別是源IP地址、目的IP地址、源端口、目的端口、協(xié)議類(lèi)型、創(chuàng )建時(shí)間、呼叫時(shí)長(cháng)。

　　問(wèn)題的難點(diǎn)在于IETF為許多應用定義了一些公共的端口（Well-Known port）用于提供應用標識。不同應用的識別可以通過(guò)檢測網(wǎng)絡(luò )報文中的端口號完成。目前絕大多數實(shí)際網(wǎng)絡(luò )之上的應用測量工作采用的也是這種僅僅通過(guò)IP報頭中的五元組（源IP地址、源端口號、目的IP地址、目的端口號和協(xié)議號）進(jìn)行識別的方法。

　　但是，隨著(zhù)互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，尤其是VoIP技術(shù)的廣泛應用，僅僅靠端口號標識已經(jīng)無(wú)法識別網(wǎng)絡(luò )中的不同應用，這些應用主要是一些使用流媒體技術(shù)的新興應用。另外，由于防火墻的廣泛應用，越來(lái)越多的應用開(kāi)始故意的使用一定范圍內隨機的或者是完全隨機的端口，除此之外，有些應用不僅僅會(huì )使用非標準化的端口，有的時(shí)候還會(huì )故意的占用一些特殊的端口（比如說(shuō)HTTP的80端口），來(lái)達到迷惑防火墻的目的。概括來(lái)說(shuō)，目前網(wǎng)絡(luò )上的應用識別和分類(lèi)所遇到的困難主要有以下幾點(diǎn)：端口的隨機化；應用的隱藏；新應用的不斷出現；網(wǎng)絡(luò )貸款的不斷提高。

　　系統的分析不能在傳統意義上的五元組匹配的方式進(jìn)行,而必須使用更為高層的應用層的數據分析。

　?。玻?nbsp;      評價(jià)指標

　　我們的目標是設計與實(shí)現一種新的網(wǎng)絡(luò )語(yǔ)音應用層程序的識別與分析系統，這個(gè)系統有如下的特點(diǎn)：

　?。ǎ保?nbsp;   線(xiàn)速分析骨干網(wǎng)絡(luò )數據。電信級系統的基本要求就是在骨干網(wǎng)絡(luò )上的設備具有高度的穩定性，與峰值流量的穩定性。這個(gè)特點(diǎn)保證使得設備無(wú)論是串接或者是并行接入骨干網(wǎng)絡(luò )線(xiàn)路的時(shí)候不會(huì )對于整體網(wǎng)絡(luò )的影響。

　?。ǎ玻?nbsp;   軟硬件系統的成本價(jià)格。由于Internet通信的特點(diǎn),要將呼叫進(jìn)行監控時(shí)必須要對整個(gè)網(wǎng)絡(luò )進(jìn)行布控,因此需要設備臺數較多,因此降低單位設備價(jià)格對于整個(gè)系統的投入十分有利。 
三、相關(guān)工作：

　　當前，網(wǎng)絡(luò )測量已經(jīng)成為了網(wǎng)絡(luò )研究人員所關(guān)注的熱點(diǎn)問(wèn)題。在國內外，已經(jīng)有各種組織和研究機構對其進(jìn)行了大量的研究。這主要包括以下幾大方面。

　?。ǎ保臉藴手贫ǚ矫鎭?lái)看：互聯(lián)網(wǎng)的標準化組織IETF其下屬的IPPM WG、IPFIX WG、PSAMP WG等工作組都在進(jìn)行有關(guān)網(wǎng)絡(luò )測量的研究。其中IPPM工作負責組織制定了有關(guān)的互聯(lián)網(wǎng)數據傳輸的質(zhì)量，性能和可靠性相關(guān)指標；IPFIX工作組主要研究IP設備輸出數據流信息的相關(guān)標準；PSAMP工作組則主要研究通過(guò)使用統計學(xué)和其它方法進(jìn)行報文采樣的相關(guān)標準化工作。

　?。ǎ玻难芯繖C構來(lái)看：比較著(zhù)名的進(jìn)行大規模網(wǎng)絡(luò )測量研究的國際組織有NLANR、CAIDA、PLANETLAB等。這其中美國的應用網(wǎng)絡(luò )研究國家實(shí)驗室NLANR（National Laboratory for Applied Network Research）下屬的AMP(Active Measurement Project)和PAM（Passive Measurement and Analysis Project）項目對于美國的學(xué)術(shù)網(wǎng)絡(luò )進(jìn)行了大規模的主動(dòng)測量和被動(dòng)測量的相關(guān)研究，是網(wǎng)絡(luò )測量領(lǐng)域非常有影響力的項目。CAIDA（Cooperative Association for Internet Data Analysis）是一個(gè)由商業(yè)，政府和研究機構共同組成的專(zhuān)門(mén)從事網(wǎng)絡(luò )測量相關(guān)研究的國際組織，做出了很多有影響力的研究工作，開(kāi)發(fā)了很多網(wǎng)絡(luò )測量工具，同時(shí)該組織也提供相關(guān)的試驗源數據供研究人員進(jìn)行分析。PlanetLab項目所關(guān)注的重點(diǎn)則主要在Overlay網(wǎng)絡(luò )之上的相關(guān)網(wǎng)絡(luò )測量。

　?。ǎ常膶W(xué)術(shù)研究上來(lái)看：隨著(zhù)網(wǎng)絡(luò )測量越來(lái)越受到研究人員的重視，這幾年來(lái)也有大量的相關(guān)研究成果產(chǎn)生。國際上比較著(zhù)名的計算機組織比如說(shuō)IEEE和ACM都有專(zhuān)門(mén)的會(huì )議對行這方面的研究進(jìn)行交流。比較著(zhù)名的國際會(huì )議有ACM組織的SIGCOM會(huì )議贊助的IMC（Internet Measurement Conference），PAM（Passive & Active Measurement Workshop）等。除此之外在IPOM、NOMS以及INFOCOM等與網(wǎng)絡(luò )管理和網(wǎng)絡(luò )技術(shù)研究相關(guān)的會(huì )議中也有許多相關(guān)的學(xué)術(shù)論文發(fā)表，對網(wǎng)絡(luò )測量及其相關(guān)研究做出了很多理論工作。

　?。ǎ矗腣oIP測量技術(shù)方面來(lái)看:國內外的研究處在一個(gè)發(fā)展的階段,各個(gè)協(xié)議有相關(guān)的網(wǎng)絡(luò )管平臺和網(wǎng)管標準來(lái)對呼叫進(jìn)行集中控制.集中起來(lái)進(jìn)行控制的研究目前還是一個(gè)盲點(diǎn).我們的工作利用網(wǎng)絡(luò )測量技術(shù)在VoIP方面進(jìn)行應用,同時(shí)根據VoIP測量本身的特點(diǎn)提出了一個(gè)體系結構和核心查找器件,在這方面進(jìn)行了有益的嘗試。

四、 VOIP監測系統

　?。保?nbsp;       術(shù)語(yǔ)

　　接入網(wǎng)：省、市、自治區的各種網(wǎng)絡(luò )接入服務(wù)器之間構成的網(wǎng)絡(luò )。

　　骨干網(wǎng)：各個(gè)接入網(wǎng)的上一級網(wǎng)絡(luò ),相當于OSPF協(xié)議的Area0。

　　流量鏡像：利用路由交換機的流量鏡像功能,將某個(gè)設備端口的流量按照某種方式鏡像產(chǎn)生到該設備另外一個(gè)空閑的端口上。
語(yǔ)音干擾：在原有話(huà)音的基礎上加入一些合成的提示音（常見(jiàn)于剩余通話(huà)時(shí)間提示）,或者加入噪聲干擾,是的通話(huà)質(zhì)量降低。

　?。玻?nbsp;       系統結構

　　網(wǎng)絡(luò )監測系統是一個(gè)采用跨接或者鏡像分析互連網(wǎng)絡(luò )數據的系統。它的主要功能是從海量的數據包中快速過(guò)濾出需要的信息，然后對過(guò)濾出的數據進(jìn)行分析，得出監測結果。例如某IP群用戶(hù)的網(wǎng)絡(luò )訪(fǎng)問(wèn)目的，所有互聯(lián)網(wǎng)H.323呼叫信息，ICQ信息中包含特定字符的用戶(hù)等等。網(wǎng)絡(luò )監測系統相對于網(wǎng)絡(luò )計費系統來(lái)說(shuō)的特點(diǎn)是需要處理高速的數據流，過(guò)濾出的有用信息非常少。因此降低了監測成本與監測速度比的核心就是采用簡(jiǎn)單的硬件設備，來(lái)完成數據的過(guò)濾。

　　目前的網(wǎng)絡(luò )監測系統很多都是利用現有的高端路由器或者防火墻來(lái)進(jìn)行改造，這樣的做法優(yōu)點(diǎn)是開(kāi)發(fā)周期短，但是缺點(diǎn)是大量的硬件配置閑置與巨大成本投入。本文介紹的網(wǎng)絡(luò )監測系統的結構能夠利用簡(jiǎn)單的器件來(lái)完成高速的過(guò)濾，能夠在節省開(kāi)發(fā)周期的同時(shí)減少硬件成本的投入。

　　下面先介紹網(wǎng)絡(luò )監測系統在網(wǎng)絡(luò )的架設與連接方式。圖3是網(wǎng)絡(luò )監測設備的實(shí)際機架物理圖，這個(gè)物理結構不是必須的。但這樣可充分利用網(wǎng)絡(luò )監測設備的連接特點(diǎn)，既能連接匯聚層或者骨干層的設備，同時(shí)也使用了接入設備。


　　圖4是網(wǎng)絡(luò )監測設備的兩種邏輯連接結構。這兩種方式各有優(yōu)缺點(diǎn)，第一種方式需要對網(wǎng)絡(luò )首先進(jìn)行斷網(wǎng)或者數據流的轉向（首先利用其它設備進(jìn)行通信然后進(jìn)行施工），同時(shí)監測設備的性能直接影響到整個(gè)網(wǎng)絡(luò )的性能，對于監測設備這種周邊設備，很少有運營(yíng)商愿意接受。第二種方式是采用路由交換機的鏡像功能來(lái)進(jìn)行數據的取得，但是也存在問(wèn)題，利于路由交換機的速率較低一般都在2.5G以下。 
３．       設計與實(shí)現

　?。ǎ保?nbsp;硬件系統

　　圖５描述硬件的結構,其中數據從光纖數據接口經(jīng)過(guò)模塊轉化為實(shí)際的數據包,由于大多數光纖的速度為OC48(2.5G)或者OC192(10G)的接口,對于這樣高速度的數據進(jìn)行緩存然后分析按照目前SDRAM的速度來(lái)說(shuō)是不可能實(shí)現的,同時(shí)網(wǎng)絡(luò )VoIP數據的特點(diǎn)就是VoIP只占整個(gè)網(wǎng)絡(luò )流量的很少一部分,而且在分析的過(guò)程中只需要分析協(xié)議的開(kāi)始于結尾信息(經(jīng)過(guò)實(shí)際分析發(fā)現只有百萬(wàn)分之二一下的流量)。于是我們在設備中加入了一個(gè)并行硬件過(guò)濾系統,來(lái)將整個(gè)網(wǎng)絡(luò )流量的絕大多數過(guò)濾。

　　(2)并行硬件過(guò)濾系統結構

　　這個(gè)系統模擬人的思維過(guò)程。在我們長(cháng)期對于人類(lèi)思維模式的分析中我們發(fā)現有時(shí)候我們不能準確的記住某個(gè)畫(huà)面或者某個(gè)人物(相比計算機來(lái)說(shuō))。但是當情景再現或者整個(gè)人出現在我們面前的時(shí)候我們就能立刻認出來(lái)。同時(shí)這種認出也是一種在很少概率情況下允許錯誤的。Bloom Filter的出現模擬了人的思維過(guò)程, Bloom Filter在可調整的允許地范圍內設定匹配錯誤的幾率,通過(guò)少量的存儲來(lái)完成搜索的過(guò)濾。

　　但是對于電信級的應用來(lái)說(shuō),需要達到線(xiàn)速的處理,而且準確率需要達到99.999%的情況下使用Bloom Filter已經(jīng)意義不大,而且Bloom Filter實(shí)現起來(lái)仍然需要大量設備與存取器件,我們設計出一種新的算法: 并行硬件過(guò)濾算法,同時(shí)采用硬件實(shí)現了該算法。

　?。ǎ常?nbsp;   算法介紹

　　令 表示一串字符表 ,我們將整個(gè)字符分段.下面的表1給出了一個(gè)例子,其中 m=6。

　　下面我們將縱向上的一個(gè)串放到一個(gè)環(huán)形數字圖上進(jìn)行分析。令 分別表示的縱向方向上存在最大空襲的最大值和最小值。以表1的第一個(gè)串為例,按照從小到大,在構成環(huán)的方式。其中可以看出01010101與11000011之間的空隙最大,因此max()=11000011,min()=01010101.由于空隙的出現有可能在兩端(例如:00000000和11111111之間),我們設置一個(gè)位寄存器flag來(lái)記錄是否存在這樣的現象。

　　對于任何進(jìn)行匹配的字符串,取出相應的字段K,然后按照下面的偽碼來(lái)進(jìn)行分析。

　　if(min<k<max)

　　if(flag = 0)丟棄該包

　　else 本節匹配

　　else

　　if(flag = 0) 本節匹配

　　else丟棄該包

　?。ǎ矗?nbsp;   硬件實(shí)現

　　圖7介紹了硬件的實(shí)現結構,改結構實(shí)現上面的偽碼算法.值得注意的是該硬件結構需要硬件少,而且都是高速器件,因此完全可以滿(mǎn)足OC192的百萬(wàn)包/秒的速度。

　　由于這種查找具有并行的特點(diǎn),因此采用硬件復制的方法進(jìn)行并行查找,同時(shí)在查找結果進(jìn)行邏輯乘的運算,輸出就是匹配結果。

　?。ǎ担?nbsp;   算法分析的試驗結果

　　算法的第一個(gè)特點(diǎn)就是算法構造簡(jiǎn)單、實(shí)現硬件簡(jiǎn)單、高速。第二個(gè)特點(diǎn)就是排除的可能性很好。假設某個(gè)字段排除的可能性為 ,那么對于n個(gè)并行器件的排除的可能性為 ,當 時(shí) 。這個(gè)結果表明有98.65%的數據包將不經(jīng)過(guò)分析而直接被排除。

　　將現有的VoIP協(xié)議關(guān)鍵字段放入查找結構,在匹配的過(guò)程中只有百分之二的數據包進(jìn)入緩沖,OC192的網(wǎng)絡(luò )流量只有204.8Mb的流量進(jìn)入緩沖分析,采用嵌入式系統進(jìn)行分析是低端設備就可以完成的。

五、效果評價(jià)

　　當前我們已經(jīng)成功實(shí)現VoIP監測系統，并且在福建各地市電信的骨干網(wǎng)進(jìn)行應用。這個(gè)系統核心技術(shù)部件包括：

　?。ǎ保┎⑿杏布^(guò)濾系統，這個(gè)系統模擬人的記憶思維模式，在利用少量并行器件進(jìn)行網(wǎng)絡(luò )海量數據包的過(guò)濾。這個(gè)系統能夠保證被過(guò)濾的數據包不是需要協(xié)議，而過(guò)濾后的數據允許部分錯誤判斷地特點(diǎn)，快速將網(wǎng)絡(luò )流量的95％以上進(jìn)行過(guò)濾，從而在低端嵌入式系統就能實(shí)現線(xiàn)速分析骨干網(wǎng)絡(luò )數據。

　?。ǎ玻┰O備利用低端器件完成骨干網(wǎng)絡(luò )的監測任務(wù),對于設備的價(jià)格降低十分有利,相比其他OC192的設備相比價(jià)格比同類(lèi)設備低一個(gè)數量級。

　　通過(guò)在實(shí)際部署、采集和分析，發(fā)現我省IP網(wǎng)絡(luò )上確實(shí)存在一定的VoIP話(huà)務(wù)量，部分地區VoIP分流的長(cháng)途話(huà)務(wù)量較大。以廈門(mén)本地網(wǎng)測試為例說(shuō)明測試情況及控制效果。

　　經(jīng)過(guò)對廈門(mén)城域網(wǎng)匯聚層交換機Cisco6509的一條上行千兆鏈路連續一天的測試，發(fā)現了20多個(gè)語(yǔ)音網(wǎng)關(guān)在利用廈門(mén)電信的互聯(lián)網(wǎng)進(jìn)行語(yǔ)音業(yè)務(wù)，呼叫量共計1157次。其中至臺灣的幾個(gè)VoIP網(wǎng)關(guān)（臺灣Savecom公司）呼叫量占90%以上，由于測試設備為100M端口，抽樣率為10%左右，該中繼上實(shí)際產(chǎn)生的呼叫應該約為11570次左右，大量分流了廈門(mén)的長(cháng)途電話(huà)業(yè)務(wù)。目前，廈門(mén)分公司已針對分析結果，對臺灣的VOIP網(wǎng)關(guān)IP地址進(jìn)行了封堵，結果如下：第一次封堵4個(gè)IP的次日（3月1日），廈門(mén)電信的臺灣發(fā)話(huà)應答次數（基本等同于話(huà)單數）增長(cháng)59%，話(huà)務(wù)量增長(cháng)62%；第二次封堵另4個(gè)IP的次日（3月14日），廈門(mén)電信的臺灣發(fā)話(huà)應答次數增長(cháng)59%，話(huà)務(wù)量增長(cháng)17%。

　　3月份（計費月）廈門(mén)電信的臺灣發(fā)話(huà)應答次數增長(cháng)112%，話(huà)務(wù)量增長(cháng)63%；國際話(huà)務(wù)（含臺灣）應答次數增長(cháng)30%，話(huà)務(wù)量增長(cháng)39%；扣除臺灣話(huà)務(wù)后的國際話(huà)務(wù)應答次數增長(cháng)16%，話(huà)務(wù)量增長(cháng)18%；3月份臺灣話(huà)務(wù)占國際話(huà)務(wù)的33.5%。
同期（3月份）廈門(mén)電信香港發(fā)話(huà)應答次數增長(cháng)19%，話(huà)務(wù)量增長(cháng)15%；澳門(mén)發(fā)話(huà)應答次數增長(cháng)2%，話(huà)務(wù)量增長(cháng)8%。

六結論

　　VoIP監測系統利用VoIP協(xié)議本身特點(diǎn),采用新型算法和硬件結構,來(lái)完成網(wǎng)絡(luò )數據的過(guò)濾,在達到高比率過(guò)去的情況下保證電信級的應用。在采用低端設備來(lái)完成高速網(wǎng)絡(luò )數據分析的任務(wù),降低了設備的成本,為大面積,多層次的布置分析系統奠定了基礎。 


 

tcp/ip相關(guān)文章:tcp/ip是什么