90系列DFX设备技术白皮书-V1 3_CH

90系列DFX设备技术白皮书通信数据侦察站系统系统设计手册90系列DFX设备技术白皮书CEIEC目录1概述11.1产品定位11.2产品优势11.3产品形态22系统架构22.1系统硬件架构22.2系统软件架构33系统规格53.1技术规格53.2业务处理板63.2.148端口10GE63.2.224端口10GE64功能特性74.1领先的应用识别技术74.2全流量的日志记录74.3基于应用的精细化分流84.4关键元数据提取85典型应用105.1普通部署105.2网络审计115.3流量管控121 概述1.1 产品定位随着智能终端的普及和网络技术的蓬勃发展，新型业务不断涌现，各操作系统的应用种类和数量层出不穷，应用感知和业务细分迫在眉睫。90系列 DFX设备内置DPI模块，具备深度报文解析和应用协议解析能力，可以实时获取到相关固网和移动互联网行为数据，提供给后端的业务系统，用于给后端展现用户行为、应用特征、以及安全态势分析打下快速、完全、专业的技术基础。DFX设备支持独立部署，也可以与串接设备或并接分流设备配合使用。与串接设备一体化部署时，通过串接设备获取流量数据后发送给DFX进行流量解析，进而发给后端业务系统作深度分析，然后再将更新后的策略写入到串接设备中，进而实现网络管理。与分流设备一体化部署时，除了已有分流设备的功能以外，新增的DPI模块会对数据流量进行更精细的筛选，不仅仅是基于传统模式下的五元组或关键字ACL，而且能够从报文结构的三四层感知增强为报文结构的七层应用感知，以达到更精准的数据细分和收敛。1.2 产品优势90系列DFX具有如下产品优势：u 在接入采集层即可实现海量且精准的应用识别 相比流/连接/会话提供更加细致的识别颗粒度； 领先于模式匹配的识别方法。u 能够为后端大数据和业务系统提供丰富的全量日志，使用户行为全息可视 通联、用户日志； 兼容标准大数据格式规范； 全量日志有效补充现有系统。u 部署灵活 支持与分流设备或串接设备一体化部署； 也可以外置于分流设备并兼容现有系统。u 超强性能，可有效应对业务扩容等长远发展的需要 每DPI单板最大可达100Gbps处理性能； 整机最大可达2Tbps处理性能。u 电信级可靠性 运营商级软硬件架构设计； 超过20Tbps带宽的实际部署。u 运维便利 应用插件库热升级，业务无中断； 图形化管理界面，所见即所得。1.3 产品形态90系列DFX设备有9002、9005、9012、9020四款产品，如下：图 11产品形态2 系统架构2.1 系统硬件架构产品系统硬件采用分布式架构设计，可根据实际应用灵活配置业务处理板，提供大容量高密度业务处理能力。图 21系统硬件架构业务处理板可接入流量，进行业务处理和分析，并进行日志文件输出。若业务需要跨单板处理则可通过高速背板转发至目的业务处理板进行处理。背板交换矩阵可工作在冗余模式或者负载均衡模式。表 21硬件架构主控交换板单板包含设备主控单元和交换单元，交换单元完成各个业务处理板之间数据交换，提供1+1主备冗余，满足电信级可靠性。背板提供Crossbar/CLOS交换，目前提供单槽位480Gbps交换带宽。业务处理板主处理芯片为MCP芯片，可对外提供物理端口，用于L4L7层流量分类处理。2.2 系统软件架构90系列DFX产品的系统软件采用功能模块化设计，有效地保持各功能独立、减少软件耦合和程序依赖，降低故障率和风险影响。图 22系统软件架构DFX系统软件主要分为应用分类识别和流管理两大模块。应用分类模块细分有初始化模块、控制模块、应用数据提取模块、应用识别引擎和应用协议库，主要由业务处理板实现。其中初始化模块和控制模块是软件的固有模块，主要负责其他模块的加载、控制等。应用数据提取模块则负责从流量中提取应用数据；应用识别引擎可以将流量数据与协议库进行比对进而实现识别。同时，应用协议库会持续不断地进行在线更新，保证协议库的最新。流管理模块细分有L2-L4协议解析、隧道管理、流表、IP分片重组、TCP流还原、五元组过滤和特征码过滤，主要由线路处理板和业务处理板配合实现精细化分流。主要进行针对流量或流表的处理操作。图 23 DFX产品数据包处理流程数据流量进入DFX，根据应用感知引擎中的应用插件库识别出数据流量的应用ID和元数据等流量信息，输出所有流量的全息日志，并可配置详细的基于应用层面的规则对流量进行精细化分流，输出全流量数据和细化后的分类流量到后端业务系统。3 系统规格3.1 技术规格表 31技术规格产品9002900590129020物理参数尺寸（mm）175mm（高）442mm（宽）450mm（深）440mm（高）442mm （宽）450mm （深）755mm（高）442mm（宽）450mm（深）1775mm（高）442mm （宽）512mm （深）重量27kg52kg89kg400000小时MTTR30分钟热插拔主控板、所有业务接口板均支持热拔插冗余备份主控模块、电源模块电源功耗电源条件交流电源：100V240V，50Hz 60Hz直流电源：-57V-40V高压直流：192V 400V单板功耗单槽位处理板最大功耗为350W满配功耗850W1750W4200W7200W环境要求环境温度工作环境温度：-0+45存储环境温度：-40+70环境湿度相对湿度10%90%，非凝结抗震抗7级地震防雷4KV3.2 业务处理板3.2.1 48端口10GE该板卡可提供48个万兆以太网接口，实现对包从L2L7的各种处理，以满足实际组网中的复杂应用。该板卡所用的光模块是可插拔的SFP光模块，任意端口都支持万兆以太网常用的几种距离。图 31 48端口10GE3.2.2 24端口10GE该板卡可提供24个万兆以太网接口，实现对包从L2L7的各种处理，以满足实际组网中的复杂应用。该板卡所用的光模块是可插拔的SFP光模块，任意端口都支持万兆以太网常用的几种距离。图 32 24端口10GE4 功能特性4.1 领先的应用识别技术DFX支持精准的应用识别技术，目前能够识别的应用有30000多种，包含聊天、上网、视频、邮件、VPN等60多种应用大类，能够支持HTTP、P2P、DNS、POP3等近100种常见协议类型；覆盖PC端、移动端及各类操作系统，并且支持协议特征的持续更新。 目前DFX设备的识别技术有以下两种： 显式识别：基于应用协议字段信息特征匹配识别手段。 隐式识别：针对单个数据包进行匹配识别；针对同一会话中的多个数据包提出识别信息，进行匹配；针对不同会话中的多个数据包进行关联匹配识别；针对不可逆向分析或加密的私有协议，基于统计模型进行综合分析识别。4.2 全流量的日志记录在传统的模式下，70%的数据流量会直接被丢弃，而被丢弃的流量可能包含一些有用的信息，导致后续发生事故后追溯困难。而DFX内置DPI模块，拥有全流量解析及日志输出功能，可以有效地将接入的全部流量识别、解析并转化为日志输送给后端大数据分析系统，作为流量还原的有效补充，使用户行为全息可视。目前可提供的日志包括： 通联日志：包含终端标识、应用标识、业务标识、时间、流量统计、HTTP URL访问，DNS查询，特定应用的登录退出等； 用户日志：移动网的用户标识、终端标识、位置信息等。4.3 基于应用的精细化分流DFX产品，支持基于应用的精细化分流，且各分类规则优先级可配置。图 41精细化分流在将流量按应用标识规则分流的基础上，DFX还支持： 根据上网账号将流量分类； 根据物理位置信息将流量分类； 根据特殊规则（如 HTTP URL规则）将流量分类；并且，DFX支持以上各种分流规则的混合运用，同时支持配置多种优先级。4.4 关键元数据提取元数据指对数据及信息资源的关键性描述信息，例如邮件发件人、LBS信息（用户经纬度信息）等都属于元数据的范畴。图6所示即为邮件类元数据的细分。图 42邮件类元数据细分目前DFX支持多达300+ 种的元数据提取。而且不只包含例如HTTP网址这些基础元数据信息，还包括特色业务的元数据类型： LBS信息：用户应用提供的精确位置信息，经纬度信息； 用户名/密码：针对某些应用明文传输的登陆用户名和密码信息；125 典型应用5.1 普通部署图 51DFX配合大数据平台（一体化）部署场景如上图所示，DFX设备支持一体化部署或者单独部署的方式，能够应用于固网流量解析和移动互联网流量解析场景。固网流量和移动互联网流量在经过DFX后，会在DFX设备中进行高效的业务识别与细分。低价值数据（例如视频等）会在设备中进行有效地收敛或终结。客户所关心的流量会被细分为具体业务，发送给相应的数据还原设备。而其他流量也会被DFX设备以日志的形式发送给后端的大数据平台，供后台大数据系统进行深度数据挖掘和业务实现。5.2 网络审计图 52网络审计部署场景如上图所示，DFX可前置分流设备，通过分流设备导出部分或者全部流量给DFX，通过DFX的应用识别及全流量日志记录功能，或根据配置的特征规则等鉴别特征或异常流量，并输出与展示日志数据，以实现网络流量统计、APP流量统计、特征流量统计和异常流量统计等功能。客户所关心的固网和移动互联网流量能够被完全解析输出统计日志，从而可以帮助用户对所管辖的网络有更完善和清晰的流量模型。5.3 流量管控图 53网络管理部署场景如上图Error! Reference