- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
iBRAS智能宽带网关技术白皮书-6W100-整本手册.pdf (567.42 KB)
iBRAS智能宽带网关技术白皮书
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
在运营商网络中,BRAS(Broadband Remote Access Server,宽带远程接入服务器)设备通常位于城域网边缘的区域核心机房,主要用于管理宽带用户的接入,包括DSL(Digital Subscriber Line,数字用户线路)、FTTx(Fiber to the x,光纤到户、光纤到房间或光纤到楼栋等)或无线等接入方式,并为接入用户提供鉴权、账号管理、地址分配、计费和QoS服务质量管理等服务。如图1所示,BRAS即是区域内大量用户接入网络的“门户”,同时又是宽带接入网和城域骨干网的连接点。
图1 BRAS设备的网络位置
iBRAS(Intelligent Broadband Remote Access Server,智能宽带远程接入服务器)也称为智能宽带网关。iBRAS是在BRAS设备的基础上增加“智能化”的AI软硬件和算力平台,使得BRAS设备可以为海量用户的不同业务提供差异化服务质量保障和全面的业务质量分析,从而为运营商提供更加精细化的运营手段。
BRAS设备的发展和演进主要包括三个阶段:
· BRAS 1.0阶段:使用转控一体化的专用硬件设备作为BRAS,如图2所示,这种BRAS设备通常是在路由器架构上添加了支持用户接入管理,认证、授权和计费以及地址管理等功能组件。转控一体化BRAS设备的硬件主要包括主控板卡和接口线路板卡,主控板用于实现用户接入管理、认证和地址管理等控制平面功能,接口线路板卡用于PPPoE等方式拨号管理并进行流量的高速转发。
图2 转控一体的BRAS设备架构
随着宽带接入用户数量和业务流量的快速增长,转控一体化BRAS设备的不可避免地出现了一些问题:
¡ 资源利用不均衡,成本高昂:随着业务发展,运营商需要新增和大量部署BRAS设备,但是不同区域用户数量分布不均,导致部署在不同区域的转控一体化BRAS设备资源利用率不均衡,用户和业务量较少的部分区域部署的BRAS设备无法得到充分利用,成本投入高,但效果却不明显。如果进行业务负载均衡的调整则需要进行业务割接,操作复杂。
¡ 业务部署和维护复杂:大量新增转控一体化BRAS设备均需要逐台配置部署和维护,管理维护成本高。
¡ 更新扩容周期长:转发平面和控制平面紧耦合,不能单独升级和扩容。例如,线路板卡槽位不足但主控卡资源仍充裕的情况下,仍需要新增独立设备进行扩容。更新和扩容部署需要很长的周期才能实施完成。
· BRAS 2.0阶段:转控分离的vBRAS(Virtual Broadband Remote Access Server,虚拟化宽带远程接入服务器)架构利用NFV(Network Function Virtulization,网络功能虚拟化)技术,将BRAS设备控制平面的功能和转发平面功能虚拟化,即用软件功能替代实体设备,并且将控制平面的功能部署在通用服务器硬件上。从保护投资的角度看,转发平面功能既可以利用原BRAS设备实现也可以部署在通用服务器硬件上,从而实现转发平面和控制平面的分离和解耦。如图3所示,转控分离的vBRAS设备架构上分为两部分:
¡ vBRAS UP(User Plane,转发平面):vBRAS转发平面主要负责路由学习和管理,流量转发、统计和QoS等能力。
¡ vBRAS CP(Control Plane,控制平面):vBRAS控制平面采用标准化的接口统一管理所有vBRAS UP,并且仅负责用户管理、地址管理、认证、鉴权和计费(AAA)等功能。
图3 转控分离的vBRAS设备架构和网络位置
在大规模宽带用户接入场景中,采用转控分离的vBRAS架构带来诸多好处:
¡ 设备资源利用率提升,成本降低:转发平面和控制平面解耦之后,多vBRAS UP共享一台vBRAS CP设备,控制平面资源得到充分利用。而转发平面的vBRAS UP仍可以利用转控一体化BRAS,节省成本。
¡ 业务部署和维护简单:无需逐台BRAS设备配置业务,仅需在vBRAS CP上进行一次AAA、QoS等通用配置,vBRAS CP就可以将通用功能下发给所有vBRAS UP,简化了配置步骤。
¡ 更新扩容周期短:通用服务器上部署的vBRAS CP/vBRAS CP可以支持弹性扩容和缩容,控制平面和转发平面不再耦合后,可以根据业务需求单独扩容转发vBRAS UP或者单独扩容vBRAS CP设备,更新扩容周期极短。
· BRAS 3.0阶段:随着互联网去中心化的概念和应用的兴起,人人都可以是互联网内容的生产者和提供者,由此衍生的直播业务需求、交互式业务应用需求使宽带接入用户的业务类型变得更加复杂和多样。新业务类型对于宽带接入网络精细化运维和服务质量提出了挑战。现有BRAS设备均无法根据用户业务来提供更高的质量保障和更好的服务体验。为了应对不同用户和业务的差异化需求,作为用户接入网络“门户”的BRAS设备应该变得更加智能。智能宽带网关iBRAS就是这种背景下,借助AI软硬件和算力平台实现一种解决方案。如图4所示,H3C的iBRAS设备在vBRAS设备的基础上增加了支持智能应用感知的硬件APA(Application Aware,业务感知)插卡和APA后台。
图4 智能宽带网关iBRAS网络位置示意图
部署iBRAS方案可以为运营商和用户带来的价值包括:
· 业务感知和智能调度:iBRAS通过新增智能软硬件来分析数据报文,能够识别出95%以上的用户业务流量,并对流量类型进行标识。基于业务标识,iBRAS可以对流量应用不同的处理策略,例如对用户流量进行加速、流量监管或流量镜像等功能、为运营商提供了精细化运维的手段。
· 质量分析:通过后台支撑系统,iBRAS从光功率、传输时延、丢包率和下载速率等维度分析单用户网络质量,向管理员提供主动运维的信息,从而提升网络质量,避免服务质量投诉。同时也可以对用户上网行为偏好和使用习惯进行分析,为精准营销提供参考。
· 安全防护:iBRAS支持识别非法钓鱼网站,对相关访问进行警示和阻断,保护用户的财产安全。
· 边缘算力:iBRAS通过连接边缘算力中心,为低时延的一些业务提供通用的存储和算力服务。例如,为云游戏业务进行画面渲染。
如图5所示,iBRAS的逻辑架构中保留了vBRAS架构中的控制平面和转发平面,对于iBRAS的智能化功能主要由两个部分配合实现:
· BRAS转发平面上的APA插卡:也叫做SA(Service Awareness,业务感知)单板。转发平面接口卡接收到用户上行业务报文时,将流量引入到APA插卡来分析用户的业务流量,并识别和标记每用户每种业务流量所属的应用类别。APA插卡在应用识别的基础上,根据应用类别叠加其他增值业务,例如对识别后的流量执行镜像、加速、监管或者阻断等操作。
· 支持业务感知能力的APA后台:APA后台通常为H3C的控制器,它通过北向接口连接OSS(Operating Support System,运维支撑系统)和BSS(Business Support System,业务支撑系统),并为OSS/BSS提供支撑。其中,OSS系统通过APA后台为网络提供故障管理、设备管理和配置管理等功能,BSS系统则基于APA后台数据分析结果为用户提供业务开通和营销等服务。APA后台与iBRAS的转发平面和控制平面通过南向接口互联。APA后台可以管理应用识别的特征库、下发用户流量转发的策略、对流量进行分析统计。APA后台作为一套软件系统可以部署在MEC(Multi-access Edge Computing,多接入边缘计算)服务器的资源池中,为用户业务提供低时延的边缘计算服务,提升用户体验。
图5 iBRAS的逻辑架构示意图
应用识别是iBRAS的核心能力,其他的关键业务能力依赖应用识别来实现。
传统的流量分类方式一般是在边缘设备利用ACL对报文的五元组(源IP地址、目的IP地址、源端口、目的端口以及协议类型)分析,根据五元组实现报文分类。但是仅仅通过五元组信息并不能识别出所有类型的应用,而且设备的硬件ACL资源有限,应用类型不断增加,传统的流量分类并不适用于大规模复杂应用识别的场景。
iBRAS的应用识别是一种可以对报文传输层及应用层进行深度识别的技术,它利用以下手段支持识别95%以上的应用类型:
· 通过比对报文携带的源、目的端口和一些应用服务的知名端口来识别报文所属的应用。如表1所示,以下仅列出部分协议和服务对应的知名端口号信息。
|
端口号 |
协议 |
服务 |
描述 |
|
20 |
TCP |
FTP |
文件传输协议(数据传输) |
|
21 |
TCP |
FTP |
文件传输协议(命令控制) |
|
22 |
TCP |
SSH |
安全外壳协议 |
|
23 |
TCP |
Telnet |
未加密的文本通信协议 |
|
25 |
TCP |
SMTP |
简单邮件传输协议 |
|
53 |
TCP/UDP |
DNS |
域名系统 |
|
67 |
UDP |
DHCP |
动态主机配置协议(服务器端) |
|
68 |
UDP |
DHCP |
动态主机配置协议(客户端) |
|
69 |
UDP |
TFTP |
简单文件传输协议 |
|
80 |
TCP |
HTTP |
超文本传输协议 |
|
110 |
TCP |
POP3 |
邮局协议版本3 |
|
123 |
UDP |
NTP |
网络时间协议 |
|
143 |
TCP |
IMAP |
互联网信息访问协议 |
|
161 |
UDP |
SNMP |
简单网络管理协议 |
|
162 |
UDP |
SNMP Trap |
SNMP陷阱 |
|
389 |
TCP |
LDAP |
轻量级目录访问协议 |
|
443 |
TCP |
HTTPS |
安全的超文本传输协议 |
|
3389 |
TCP |
RDP |
远程桌面协议 |
|
5060 |
TCP/UDP |
SIP |
会话初始协议 |
|
5061 |
TCP |
SIP over TLS |
通过TLS的会话初始协议 |
· iBRAS通过主动嗅探技术,创建应用与IP地址对应的关系数据库。部分互联网服务提供商的服务器的IP地址一般是固定的,通过一定的自动化收集工作,建立不同应用与服务器的IP地址的对应关系数据库,就可以快速通过报文中的IP地址识别应用类型。
· 通过分析报文应用层的特征信息,比对加载在APA插卡上定期更新的应用特征库来精准识别报文所属的应用。如所图6示,使用HTTP访问A网站,A网站的URL中包括“example”字符,则报文在应用层将携带对应的关键字符信息,特征库中标识“example”字符对应的网站为A,即可判断出该流量是访问A网站的HTTP流量。
· 针对加密流量,iBRAS利用机器学习算法,提取TLS(Transport Layer Security,传输层安全)握手阶段指纹和TLS传输阶段流指纹,可在不依赖SNI(Server Name Indication,服务器名称指示)和证书的情况下,精准识别TLS加密流量。
图7 iBRAS利用机器学习算法识别TLS加密流量
· 基于对流量和行为的多级分析模型来识别应用。例如,某些应用数据包的长度、到达时间序列和传输间隔均符合一定规律,根据多报文的统计规律就可以识别出报文所属的应用。
应用识别功能会将识别后的应用流量进行分类,并标记不同类型流量。
如图8所示,应用识别支持对应用流量进行两级分类。例如,爱奇艺,优酷,抖音等应用的流量将被划分为视频大类应用,QQ和微信流量均属于即时消息类应用。应用识别功能为视频大类的流量分配一个Major ID,而后再对视频大类流量进行细分,为不同应用的视频大类流量分配一个Minor ID。因此,对于同一应用的流量可以同时存在Major ID和Minor ID两个标识,这样,可以方便后续对一组应用类型或者某个单一类型流量规划流量转发的策略。Major ID和Minor ID统称为APP ID。
系统中存在为应用预定义的Major ID和Minor ID,也可以由管理员对应用自定义Major ID和Minor ID。
如图9所示,用户的业务流量被识别且分配了APP ID之后,APA插卡基于APP ID可以将指定的应用重定向到专用加速通道中转发,并且使流量跳过查询路由表再转发的流程,达到应用加速的效果。
如图10、图11所示,APA插卡支持对一些特殊的数据报文流量或者协议报文流量进行流量管控,例如对于互联网中的挖矿流量和PCDN(Peer To Peer Content Delivery Network,点到点内容分发网络)流量支持:
· 直接丢弃该应用报文,阻隔流量;
· 限制相关应用的连接数量;
· 对指定应用报文进行流量监管。
如图12所示,通过预定义和自定义的URL分类库,APA插卡能够对指定的非法URL地址进行阻断或重定向,非法URL地址可以是精准定义也可以是模糊定义的。URL分类库可以实时更新升级。
图12 对访问指定的URL地址流量阻断或重定向
如图13所示,APA插卡支持将特定APP ID标识的应用流量镜像复制到指定的出接口或监控组。通过镜像出接口连接监控设备,可以在不影响业务的情况下分析流量详细信息。流量镜像主要用于网络监控和故障排除、网络攻击防范等场景。
APA后台可以通过与外部特征库中心定期同步来获取最新的特征库信息,也可以手工加载特征库获取最新的特征库信息,并通过与iBRAS转发平面的南向接口将特征库加载到APA插卡上,保证APA插卡上的特征库适配现网业务的变化,从而提升应用识别的准确性。
APA后台特征库升级的过程中设备无需断电重启,当前正在进行应用识别的业务也不会受到特征库升级的影响。
对识别后的应用流量标识APP ID之后,如果需要对特定流量执行镜像、加速、监管或者阻断等操作,就需要在APA后台上创建用户策略。APA后台将用户策略下发给iBRAS控制平面,iBRAS控制平面再下发给APA插卡,由APA插卡来执行对应的转发动作。作为控制器的APA后台负责管理、创建和维护这些流量转发策略,这种功能叫做用户策略管理。
为了保障用户的服务质量体验,基于用户+业务粒度的精细化质量分析是iBRAS必不可少的能力。APA后台通过APA插卡上报的数据信息,对用户各种业务流量进行QoE(Quality of Experience,体验质量)分析,并通过可视化界面来呈现用户业务流量的QoE分析结果。APA后台可以提供两方面的分析能力:
· 多维度的指标分析统计:如表2所示,APA后台对于网页浏览体验、游戏体验、上传下载体验以及视频流媒体体验提供多维度指标分析。以热门的FPS、MOBA类游戏体验为例,用户端到服务器的时延非常影响游戏体验。通过应用识别功能标记出游戏流量后,iBRAS后台可以基于心跳消息测量出从用户到APA插卡,以及APA插卡到服务器端的时延,从而判断业务质量的优劣。APA后台还支持按时间或用户粒度来查询指标分析统计信息,通过导出报表或者Web可视化界面方式呈现,协助运维人员分析业务质量变化,并进行主动运维。
|
指标分类 |
分析统计指标 |
单位 |
|
网页浏览体验 |
页面响应成功率 |
% |
|
页面响应时延 |
ms |
|
|
页面内容下载速率 |
kbps |
|
|
游戏和下载&上传体验 |
TCP连接建立时延 |
ms |
|
数据上行和下行传输时延 |
ms |
|
|
上行和下行丢包率 |
% |
|
|
单流速率 |
kbps |
|
|
视频流媒体体验 |
视频流媒体播放卡顿率 |
% |
|
视频流媒体卡顿频次 |
次/min |
|
|
视频流媒体卡顿占比 |
% |
|
|
视频流媒体下载速率 |
kbps |
· 逐段的质量界定:宽带上网业务通常需要经过家庭或企业局域网、网络运营商的接入网、城域网、骨干网以及ISP(Internet Service Provider,互联网服务提供商)网络,对于这种长流程业务,运营商在分析网络质量时需要逐段来分析不同网络的时延和抖动等数据,并基于逐段采集的网络质量数据来定位网络质量发生劣化的具体位置和原因。借助APA后台可以实现这种逐段的质量界定功能。如图14所示,基于多维度的指标分析统计,APA后台可以得到PPPoE拨号时延t1,用户侧数据上行时延t2,网络侧数据下行时延t3,计算得到家庭内网时延Δt=t2-t1。通过逐段分析比较传输时延大小定位网络质量问题出现的位置。
随着互联网游戏产业和直播产业的发展,宽带用户对于游戏和直播的时延和稳定性越来越敏感,用户选择运营商宽带的重要标准之一就是时延低、稳定性好。
常见的手游和端游通常都要求用户端到服务器端的时延稳定且低于100ms,用户才能流畅游玩。一些多人在线竞技类游戏甚至要求端到端时延稳定地低于50ms。对于线上赛事直播、游戏直播和电商直播等业务,通常要求实时和用户弹幕交互且直播无卡顿,还需要提供内容快速审核服务。这些业务对于网络时延和稳定性的要求很高。iBRAS解决方案可以为接入宽带用户指定业务提供可靠的质量保证。
如图15所示,个人家庭网络中存在游戏业务流量、直播业务流量以及普通Internet访问流量。接入用户认证完成后,不同业务流量在iBRAS上进行应用识别,并标记APP ID。
· iBRAS将游戏业务流量引入SRv6隧道A,通过隧道转发到游戏加速的POP节点上,在POP节点将游戏业务通过连接游戏服务器的运营商加速通道转发。从iBRAS到POP节点,从POP节点到互联网中的游戏服务器都可以通过SRv6隧道来保障业务转发路径,并通过iFIT测量等手段动态切换隧道来保证SRv6隧道的网络质量。对于高质量赛事直播、游戏直播和电商直播等业务也可以进行类似处理。网络运营商可以将稳定的加速服务作为增值业务的卖点。
· 对于普通Internet访问流量,则无需提供质量保障,仅提供“尽力而为”网络服务。
如图16所示,对于一些小微企业,单独采购部署并维护防火墙或者安全管控设备的成本较高,运营商可以为企业提供包含增值服务的专线。
对于工作视频会议、语音等关键业务流量,在iBRAS上引入加速通道转发,而在办公时间内对非办公业务流量进行阻断或者严格限速。同时运营商还可以为企业用户提供安全防护能力,iBRAS充当部分防火墙的功能,避免恶意网站或者钓鱼网站对企业内网产生安全威胁。
图16 企业专线业务示意图
PCDN(Peer to Peer Content Delivery Network,点对点的内容分发网络)技术利用家庭宽带用户的上行带宽和本地设备上碎片化的缓存为其他用户提供了内容分发服务。当家庭宽带用户PCDN节点足够多的时候,用户能够从其他用户获取到时延更低的视频或大文件内容服务。但PCDN流量将极大地占用接入网络有限的上行带宽资源,同时,PCDN流量也影响其他正常用户,特别是专线用户的业务体验。PCDN流量的泛滥还影响了运营商向CDN服务商提供流量带宽的收益。因此,运营商希望对PCDN流量进行识别和管控。
如图17所示,在iBRAS上识别出PCDN流量,并对PCDN流量进行带宽限速,降低PCDN流量对其他专业业务网络质量的影响。
图17 PCDN流量管控示意图
支持
