《iMaster NCE-WAN V100R020C10 应用体验技术白皮书》由会员分享,可在线阅读,更多相关《iMaster NCE-WAN V100R020C10 应用体验技术白皮书(39页珍藏版)》请在金锄头文库上搜索。
1、iMaster NCE-WAN V100R020C10应用体验技术白皮书文档版本01发布日期2021-01-30华为技术有限公司iiiMaster NCE-WAN异地容灾技术白皮书目 录目 录1 应用体验31.1 概述31.1.1 需求分析31.1.2 总体方案31.2 应用识别41.2.1 概述41.2.2 首包识别51.2.3 特征识别61.3 应用选路91.3.1 概述91.3.2 隧道质量检测121.3.3 总体流程131.3.4 部署方案151.4 QOS161.4.1 概述161.4.2 总体流程171.4.3 部署方案191.5 广域网优化221.5.1 概述221.5.2 FE
2、C优化231.5.3 多路包复制291.5.4 逐包负载分担30iMaster NCE-WAN异地容灾技术白皮书1 应用体验1 应用体验1.1 概述1.1.1 需求分析企业应用种类繁多,常见的有生产类、协同类、云化、娱乐类等各类应用。不同企业应用对带宽和链路质量要求各不相同,例如,在协同类应用中,实时视频会议对链路的丢包率、延迟、抖动容忍度非常低,如果链路出现丢包就会导致卡顿、花屏;而生产类应用中,邮件、FTP文件传输类应用则对丢包相对不敏感但是对带宽要求高,应尽快完成传输。因此各类应用对链路的需求各不相同。从企业各种应用对网络的需求来看,传统WAN有以下问题:1、不同价值的应用运用在相同链路
3、上这包含了两层含义,以语音通话和FTP文件传输为例:一、语音通话和文件传输这两种应用对链路质量要求不同,但是当目的地址相同时,传统路由技术不能识别应用,不能把不同企业应用分流到不同链路上,这就可能导致网络拥塞;二、网络拥塞后,传统技术做不到让低价值的文件传输应用避让语音通话应用。例如把FTP流量调整到Internet链路,从而保证语音通话一直运行在高质量的MPLS链路上。2、链路质量下降时应用不能动态选路传统的IP网络使用路由协议计算报文的路径,这些路由协议(BGP/OSPF等)只看到报文,却看不到应用。因此,路由协议的算法仅考虑报文可达性,而不考虑链路质量对应用可用性的影响。这导致网络运维管
4、理和应用体验管理间存在鸿沟,只能靠网络运维人员静态配置网络。在链路质量变化时,通过手工方式调整网络转发路径,无法及时根据链路质量的变化动态选择转发路径。3、链路质量劣化时缺少有效改善手段由于Internet不提供可靠的传输,所以在网络发生丢包时应用的传输效率会降低。当企业无法选择更好的链路时,缺少有效的改善手段,导致应用体验变差。例如,语音应用在数据包丢失过多时会导致语音模糊听不清,甚至呼叫中断,因此需要利用网络优化技术解决此类问题。1.1.2 总体方案从传统WAN的问题可以看到,企业需要一种可以识别应用并且保障应用体验的方案。SD-WAN解决方案针对以上问题,提出了企业应用体验保障方案。如下
5、图所示,包含以下几方面:图1-1 应用体验方案1、应用识别应用识别是指根据网络流量的特征,确定流量归属的企业应用的技术。因为不同企业应用对链路质量的要求各不相同,所以对应的优化保障措施也有所不同,所以应用识别是体验保障方案的前提。2、应用选路传统网络技术不能根据不同应用对链路质量的不同要求动态选择路径。而应用选路方案是基于企业应用对链路质量的要求,通过对多个WAN链路状态的持续监控,对应用进行链路选择的方案,可以使高价值的企业应用运行在高质量的链路上。3、QoSQoS方案在传统的QoS技术(流量监管、流量整形、队列调度等)功能基础上进一步扩展,可以感知企业业务,从而对纷繁的企业应用提供差异化服
6、务。此外,在企业多部门需要隔离的场景下,还提供基于企业部门的服务质量保障,形成“业务-部门-站点”这种层次化的质量保障方案。4、广域优化(V100R019C10版本)广域优化是提高数据在WAN上传输质量和效率的技术的集合。SD-WAN解决方案的广域优化技术关注如何在低质量的链路上获得良好的企业应用体验,提供丢包补偿技术,可以在链路质量下降出现大量丢包时仍能保证视频不卡顿和花屏。此外,也提供传输优化和数据优化技术以提升数据传输的效率。总之,SD-WAN会综合利用应用识别、智能动态选路、QoS、广域优化技术提升应用体验,提高带宽利用率,解决企业WAN互联中应用体验的保障问题。1.2 应用识别1.2
7、.1 概述应用识别是CPE上的一项基础功能,用于为CPE提供各种策略的匹配对象。通过应用识别功能能够精确的识别到某一应用程序,从而便于后续基于应用程序去制定选路策略、QoS策略、安全策略等。华为SD-WAN CPE支持的应用识别技术包括特征识别和首包识别。l 特征识别特征识别是通过匹配应用发送报文的特征识别出应用的一种技术,也称特征识别。特征识别能够精确地识别各种常见的应用程序。例如,网页游戏和网页视频都是使用HTTP协议8080端口进行数据传输,传统设备通过端口号和协议都无法将这两种应用程序区分开,而CPE能通过每种应用程序的特征有效区分这两种应用程序。l 首包识别首包识别是指应用的第一个报
8、文到达设备时,设备就能识别出该应用程序。以TCP应用为例,传统的识别方式在TCP三次握手阶段,由于报文中没有载荷设备无法识别出应用。而对于首包识别,设备通过TCP的SYN报文就能识别出该应用。首包识别通过静态识别表和DNS关联识别两种方式来识别应用。1.2.2 首包识别首包识别在应用的第一个报文到达时即可识别出应用类型,相比特征识别可以带来两个优势:无须关注应用的载荷,解决特征识别对一部分加密应用无法识别的问题;应用的识别效率更高,对设备的性能消耗更小。首包识别技术通常用于以下场景:l 在基于应用的选路场景中,如果在第一个数据报文就能正确识别应用,让流量走在正确的链路上,就可以避免应用在识别前
9、走A链路,识别后走B链路,链路切换影响应用的体验。l 出于安全集中管控的需要,企业分支访问internet通常采用在总部部署防火墙,然后分支集中从总部去访问internet。但在云化应用场景中,SaaS和可信网络的流量需要从分支机构直接发送到Internet,而不是将流量绕行到数据中心,那样既会浪费带宽,又会增加网络时延。因此需要通过首包识别技术,第一时间将SaaS应用识别出来,针对该部分流量做localbreakout。l 在安全场景中,首包识别能让应用在第一个报文就匹配安全策略,及时阻断恶意应用,避免安全风险和流量浪费。并且首包识别无须关注应用的载荷,可以解决加密的应用流量无法识别的问题。
10、首包识别提供静态识别表和DNS关联识别两种识别应用的技术:一、静态识别表技术针对IP地址、端口号、协议类型固定的应用,可以将应用的三元组信息记录到静态识别表中。当数据流的第一个报文到达设备后,将进行静态识别表匹配查找,如果命中表项,表示该数据流即为该表项对应的应用类型。静态识别表,主要用于首包识别的自定义应用场景。对于用户在AC界面上通过IP地址、端口号、协议类型自定义应用的场景,设备优先使用报文的“目的IP地址+目的端口+协议类型”进行查表匹配;如果未匹配,再尝试使用报文的设备优先使用报文的“源IP地址+源端口+协议类型”进行查表匹配;如果二者均未匹配,再通过特征识别方式进行应用识别。二、D
11、NS关联识别方式首包识别还提供了基于DNS的识别技术,如果应用是以域名方式定义的,当DNS解析时,CPE可以将域名()和DNS应答的IP地址(1.1.1.1)进行匹配和缓存,从而在后续TCP握手时根据首包的IP地址就可以检测出应用类型,如下图所示。图1-2 DNS关联识别DNS关联识别在数据流量加密的场景下也可以使用。虽然数据经过加密后,对外显示的是无法理解的密文,但是前面的DNS关联识别过程是相同的,所以加密流量也可以识别。规格说明:当前版本,CPE的特征库通过域名方式定义了一些知名SAAS应用,这些知名SAAS应用的识别采用DNS关联技术;当前版本尚不支持通过自定义域名的方式去实现DNS关
12、联识别。1.2.3 特征识别特征识别是通过匹配应用报文的特征从而识别出应用的一种技术。对于基于TCP的应用,由于TCP握手阶段的三次握手报文不传输应用载荷,因此只有在握手成功后,传输有载荷的报文时才能进行识别。相比首包识别,特征识别识别应用更细致精确。特征识别考察应用的特征信息不再是简单的DSCP、协议号、IP地址和端口号,而是报文载荷中的某些特征关键字、应用发送报文的速率、多个报文的长度序列等信息。特征识别对这些信息进行更细致综合地考察,从而确定报文所属的应用。由此可见,特征识别适合应用在多通道协议或者端口号不固定的场景。从识别方法上看,特征识别识别应用一般有报文特征字识别、关联识别、行为识
13、别和动态映射表识别等。一、报文特征字识别对于未公开的协议(例如当前多数的P2P、IM、VoIP)厂家出于多方面的考虑,不公开其协议细节,这时可通过报文流中的某些有明显特征的字符序列来识别应用。这类方法工作量大,而且协议的变化快,必须不断进行技术跟踪才能保证检测的高效可靠。报文特征字识别方法中,如果单个报文的特征比较弱,就需要结合多个报文的特征来增强特征,这样特征识别过程就有单报文识别和多报文识别两种情况。多报文识别由于需要检测和记录多个报文的检测结果,所以资源开销高于单报文识别。同时也由于无法做到首包识别,会影响需要首包识别的业务。二、关联识别有一些应用采用协议通道和数据通道分离的方式通信,实
14、际传输数据的数据通道是动态协商出来的。如图1-3所示, VoIP、各种P2P应用以及一些文件传输类应用(例如FTP)仅仅采用端口识别的方式只能发现协议通道,而真正的音频、视频和文字的数据传输通道无法识别。图1-3 动态协商端口多媒体通信中,实际的音频、视频和文字通道是协商后再动态产生的。这些通道的源、目的端口号,不同于初始连接时的知名端口号,这些端口号被承载于协商的报文内容中。因此需要解析协商报文,提取动态协商的端口号,然后将这样的流量标记为相应应用的类型。我们将这种需要多个通道协同检测的技术称为关联识别技术。三、行为识别对应用报文的行为特征分析,是指对报文中端口的范围、报文长度统计、报文发送
15、频度、报文收发比例以及目的地址的分散程度等情况综合识别应用。例如在VoIP应用中,语音数据报文长度通常较为稳定,发送频率较为恒定;P2P网络应用单IP的连接数多、每个连接的端口号都不同;文件共享数据报文比较大并且大小稳定,等等。通过这些行为特征可以识别应用。行为识别适用于比较复杂的协议和加密协议识别的场景。复杂协议没有特征关键字可以作为识别特征,而加密协议在初步判断时,也看不出来与其他加密报文的区别。四、动态映射表方式与首包识别表类似,动态映射表里面也记录报文五元组、DSCP等信息,用于首包匹配时查表识别应用。不同的是,这些信息是特征识别的结果,并且是动态加入的。如图1-4所示, 在CPE1通过特征识别,将识别结果(如应用A和应用B)导入网络控制器,然后再分发到其他CPE。其他CPE可以共享这些识别信息,复用这些识别结果,这就是动态映射表方式。图1-4 动态映射流程规格说明:1、当应用的报文到达应用识别模块时,先进行首包识别,如果首包识别出该应用,不再进行特征识别;如果首包识别未识别出该应用,会进行特征识别。2、CPE特征识别的能力主要依赖CPE的应用识别特征库,CPE出厂预置了特
