Dr.COM APG防代理网关技术白皮书

1、共享接入面临的困惑

对于大多数提供宽带接入运营的场景,如运营商、高校、酒店、小区、政府机关等,对于共享接入是比较敏感的管理课题,共享接入本身会带来收入损失、干扰溯源、内网安全隐患、带宽资源恶意占用等等负面问题,但另一方面,随着智能移动终端的大量普及,WLAN接入已经变成了人们生活、学习、工作中不可或缺的重要组成部分,Wi-Fi环境下PC+移动终端的“一拖N”的使用模式又确实是现今宽带接入的常见模式,管理和体验因此产生了两难问题。

  同时,各类宽带运营商场景网络千差万别,共享接入手段更新换代快,现有的防私接共享的技术手段下运营商疲于应付且效果不理想。如何提供完善有效的共享接入管理,体验和管理取得较好的平衡点,是各类宽带运营商共同面对的困惑。

2、产品概述

Dr.COM APG共享接入管理网关(Anti-Proxy Gateway)是广州热点专门针对宽带共享接入管理设计和开发的网络行为分析及管理网关设备,主要向有线及无线宽带运营商提供用户共享私接行为的实时控制和监控,避免共享接入行为带来的潜在风险和损失,使运营商的网络运营更加健康有序和可持续发展。

  Dr.COM APG拥有自主知识产权,集成广州热点多年成熟高效的软硬件体系架构,配以先进的行为分析及控制引擎、灵活多样的管理控制策略,实时分析用户网络行为,实时匹配管控策略,并可配合用户原有认证计费系统,实现更精细化的实名用户认证管理解决方案。

3、产品原理

3.1 传统识别手段的局限

传统的共享接入检测主要以IPid Track和TCP option timestamp两种检测手段,其主要目的识别通过NAT共享接入的用户,其主要根据windows 7等早期操作系统发出的TCP包头中IPid简单递增的特征进行多个NAT接入用户的检测。

  然而现今的互联网环境下,接入终端操作系统已进入windows10、Mac OS系统、iOS9、安卓5.0为核心的时代,这些主流操作系统即使在单机单用户环境下,IPid已经不是简单递增,其发出的混合数据流本身就带有乱序特征,所以基于IPid和TCP时间戳的检测手段已经无法有效检测共享接入设备以及接入数量。同时这种基于IP层的检测手段也无法识别用户终端类型,也就无法实现基于终端类型的一拖N策略的精细化管理。

3.2 Dr.COM APG高性能DPI识别

针对传统共享接入检测手段的局限,Dr.COM APG采用DPI(Deep Packet Inspection)深度包检测技术,在应用层协议上做深度分析,并综合应用特征UA分析和网络应用程序特征码分析两种手段,利用十多年不断成熟完善的软硬件体系架构,实现高效实时的共享接入设备终端类型、终端数量、共享接入方式等检测。

  Dr.COM APG采用基于智能建模技术和基于综合特征的多识别引擎的识别机制,应用先进的数学建模技术,不仅能识别常规应用,而且能智能、准确地识别隐藏在常规协议中的网络业务,特别是版本更新频繁的业务能做到一定程度的自适应性。目前产品支持高达1000种以上的应用业务识别,能有效识别用户运行的共享接入程序,以及用户运行共享接入程序后网络应用发生相应改变的特征。

  除了识别引擎,Dr.COM APG同时还具有实时准确的全方位用户行为控制引擎,与应用层识别引擎相配合完成精确的用户共享接入管理。

  Dr.COM APG通过以上设计,在应用过程对用户进行共享接入管理,实现了不依赖客户端软件、支持有线无线网任意认证方式,利用丰富可随时更新的应用层代理特征库,准确检测出网络中存在的共享上网用户行为,准确控制用户实现何种程度的共享接入。

4、产品架构

Dr.COM APG的产品架构图如下:

Dr.COM APG主要由识别引擎、控制引擎和后台管理三部分组成,识别引擎完成对用户internet业务流的DPI识别,控制引擎则支持网关模式和旁挂模式下不同的用户控制,网关模式下可直接控制用户接入,旁挂模式下则可通过认证接口,如Radius 、HTTP等方式下发控制策略给第三方认证服务器或BAS;后台管理用于Dr.COM APG的各项策略配置、在线监控和设备管理等功能,以及详尽的共享接入管理效果监测统计图表。

  Dr.COM APG硬件采用多核CPU平台,能够支持最多双链路万兆接入环境,提供最大40Gbps交换容量,包处理能力达到3000万包每秒,支持链路聚合和双机热备功能。同时提供Bypass功能,当设备掉电、负载过高、软件故障等情况下均可自动启用Bypass,保证业务链路通畅。

5、产品特点

5.1 高精准度的软硬件共享接入识别

  • 主干路上实时分析用户第7层应用报文,识别代理私接特征
  • 分析过程无溢出报文,无漏洞,天然防破解防屏蔽
  • 无需部署客户端,支持有线无线网任意认证方式
  • 提供特征库更新,有效快速识别新型代理接入应用

5.2 柔性精细化控制策略

  • 先反馈后控制:柔性策略、清晰感知、减少投诉
  • 主被动反馈结合:主动页面提示、微信通知、自助查询
  • 多样化控制策略:降速、下线、隔离、警告(HTTP插入)
  • 终端类型、数量组合策略,兼顾体验和私接控制
  • 起控次数阈值
  • 不同用户组不同共享接入管理策略
  • 白名单和黑名单功能
  • 支持Dr.COM 认证计费系统用户组控制策略同步

5.3 与第三方Radius AAA/BRAS对接私接用户管理

  • 支持与第三方认证服务器、AC/BAS厂家实现防代理私接业务联动,目前已支持华为、华三、中兴、思科、爱立信、神码等十多个有线无线网络设备厂家
  • 通过第三方Radius认证服务器实时获取共享接入用户实名账号,共享管理日志显示用户账号名,溯源管理更清晰
  • 支持与Dr.COM认证计费系统实现用户组策略同步,实现单点登录统一管理

5.4 高度灵活的部署适应性

  • 支持旁挂镜像和网关式部署
  • 支持Radius中继模式部署
  • 支持Dr.COM认证计费网关内置部署
  • 支持纯软及虚拟化部署

6、典型部署方案

6.1 独立网关部署

适用场景:

  • 已部署2166,需要升级DPI防代理功能的场景
  • 同时需要部署认证计费网关和DPI防代理的用户场景

产品部署位置:

  • 网络主干出口处,核心交换机和路由器中间

方案特点:

  • Dr.COM APG采用透明网桥方式,原网络配置、网络应用没有影响
  • 无需与其他系统对接,直接对私接用户IP进行警告、降速、下线、隔离等策略
  • 同时可内置日志审计模块(选购),实现82号令日志采集功能

6.2 串接配合第三方BRAS认证平台部署

适用场景:

  • 不具备出口镜像实施条件,已部署认证计费系统的客户
  • 需要对共享接入用户进行实名化管理并与认证计费系统同步控制的客户

产品部署位置:

  • 网络主干出口处,核心交换机和路由器中间

方案特点:

  • Dr.COM APG采用透明网桥方式
  • Dr.COM APG启用Radius中继模式(BRAS的Radius指向Dr.COM APG,Dr.COM APG中继指向原认证服务器)
  • Dr.COM APG采集用户认证信息(账号、NAS-ID、策略组等)后与共享接入行为管理关联
  • 为了实现用户行为管理与认证计费系统同步,Dr.COM APG识别用户私接行为后,按照BRAS厂家Radius报文格式下发控制策略至BRAS执行,并通知认证计费系统对该用户进行相应在线处理操作

工作流程:

以发现用户私接通知BRAS将该用户下线为例,流程如下:

6.3 旁挂配合第三方BRAS认证平台部署

适用场景:

  • 具备出口镜像环境,已部署认证计费系统的客户
  • 需要对共享接入用户进行实名化管理并与认证计费系统同步控制的客户

产品部署位置:

  • 旁挂到核心,从核心或BRAS将出口镜像到Dr.COM APG

方案特点:

  • Dr.COM APG启用Radius中继模式(BRAS的Radius指向Dr.COM APG,Dr.COM APG中继指向原认证服务器)
  • Dr.COM APG采集用户认证信息(账号、NAS-ID、策略组等)后与共享接入行为管理关联
  • 为了实现用户行为管理与认证计费系统同步,Dr.COM APG识别用户私接行为后,按照BRAS厂家Radius报文格式下发控制策略至BRAS执行,并通知认证计费系统对该用户进行相应在线处理操作

6.4 旁挂配合Dr.COM认证计费平台部署

Dr.COM 认证计费平台旁挂场景:

Dr.COM 认证计费平台串接场景:

适用场景:

  • 具备出口镜像环境,已部署Dr.COM认证计费系统的客户
  • 需要对共享接入用户进行实名化管理并与认证计费系统同步控制的客户

产品部署位置:

  • 旁挂到核心,从核心或BRAS将出口镜像到Dr.COM APG

方案特点:

  • Dr.COM APG与Dr.COM认证计费系统具备业务接口,可实现统一用户组策略、认证信息同步、单点登录管理等