【ACE适用 V6.0软件平台】ACE如何配置智能DFI

功能原理：

DFI即流行为识别，与DPI相对应；后者是通过特征码来识别协议，而前者是通过流的行为来识别协议。

1、Service Node识别

Service Node加密协议二元组识别法（二元组指的是 外网IP + 服务端口），一些P2P协议，如迅雷下载，可以通过DPI识别出来，如果识别出来的协议，特征码里面带有p2p flag，则记录该连接的外网IP地址和服务端口号；当后继再有新的与该地址的该端口连接建立时，则直接跳过DPI/DFI协议识别过程，直接将新的连接标记为之前已经识别出来的协议。

2、模型一，单连接模型

某内网源IP跟多个外网目的IP地址存在且只存在一个连接，并且这些连接的目的端口号都是不相同的(忽略源端口)，此源IP上满足这样条件的连接数量：

TCP类型的累积数量达到10个；

UDP类型的累积数量达到15个；

此时如果DPI识别不出来这些应用，则DFI就将其划为P2P COMMON加密流量。

说明：在有些网络环境中，可以忽略目的端口号的重复性检查：即允许目的端口有重复的。

3、模型二，多连接模型

某内网源IP跟多个外网目的IP地址存在且存在两个以上(含两个)连接(忽略源端口和目的端口)，此源IP上满足这样条件的目的IP地址的数量：

累积数量达到5个(UDP类型的达到5个或者TCP类型的达到5个，两者为分开统计)；

此时如果DPI识别不出来这些应用，则DFI就将其划为P2P COMMON加密流量。

4、模型三，正向查找

某个连接，通过DPI/DFI被第一次识别出来，并且识别出来的协议类型为p2p协议(此为特征码中的P2P Flag决定)，此时会查找同一个内网源IP地址下，且源端口相同的其他的连接，如果找到的某个连接目前也没有被识别出来(正在分析中的协议或Others协议)，则会将该连接的7层协议ID号设置成跟前述已经识别出来的那个P2P连接协议类型一样的值。

默认遍历深度为100，该参数可以通过clish(state_check_depth命令)调整，重启后生效。查找同一个内网源IP且源端口相同的连接的数量，默认最大为100个，100个以后的则不再进行查找，并且遍历的这100个连接包含所有已经识别出来和未被识别出来的，并非仅是那些未被识别出来的连接。

5、模型四，反向查找

某个连接，在创建时，或经过DPI的识别后，会出现以下几种可能：

1）该连接仍然未被识别出来(正在分析中的协议或Others协议)，此时首先会找同一个内网源IP地址下，且源端口相同，且4层协议也相同(TCP/UDP)的其他的连接；

2）找到的某个连接的协议类型已经被识别出来，且该连接类型为p2p协议(此为特征码中的P2P Flag决定的)，则会将这个正在创建的且未被识别出来的新的连接的7层协议的ID号设置成跟找到的这个已识别出来并且具有p2p flag的连接的7层协议的ID号一样的值；

3）在上述的同内网源IP、同源端口、同4层协议的连接查找中，仍未得到合适的7层协议ID号，则会：继续在同内网源IP、同源端口、不同4层协议(如：如果该新创建的连接时UDP类型的，则会查找TCP类型的连接)的连接中查找；

4）找到的某个连接的协议类型已经被识别出来，且该连接类型为p2p协议(此为特征码中的P2P Flag决定的)，则：会将这个正在创建的且未被识别出来的新的连接的7层协议的ID号设置成跟找到的这个已识别出来并且具有p2p flag的连接的7层协议的ID号一样的值。

默认遍历深度：1(该参数可以通过clish(check_depth命令)调整，重启后生效)

说明：   1）模型一和模型二的连接累计数量，也是可以通过clish进行调整的，但这些参数都是经过大量的分析得出来的值，不建议调整。

2）模型三和模型四的遍历深度，都可以通过clish进行调整；且目前没有设置最大上限值，调整的参数可以保存。建议调整不超过1000，若设备部署在NAT后，DFI无实际意义。

3）当用户网络中的加密流量比较多，Others流量比较大时，可以适当放大上述两个参数，但放大之后会带来设备性能的下降，尤其是遇到伪造源IP攻击时，设备性能下降最为明显。因此一般用户网络不建议将上述两个参数调整的太大。

6、模型流程图

一、组网需求：

为了提高P2P应用（如：迅雷、BT或电驴）识别的正确性，不仅需要启用全部的DPI功能，还需要启用智能DFI功能，本案例将详细介绍智能DFI的各功能项和日常维护；

二、配置步骤：

1、智能DFI的默认选项

• 智能DFI整体功能默认开启；
• servicenode默认关闭；
• thunder tcp/udp识别6.0.03版本默认开启；
• DFI port check功能默认开启；方案A中TCP类型的连接数量累积阀值，默认是10
• DPFI multi link mode默认开启；方案B中目的地址累积阀值，默认是5
• 正向查找默认开启，端口深度默认为100；
• 反向查找默认开启，端口深度默认为1；

ruijie# show dfi

<========dfi config info:========>

  servicenode enabled                           //servicenode 功能是否开启，默认是关闭的

dfi enabled                                        //DFI功能是否开启，默认是开启的

dfi thunder tcp enable                      //是否开启迅雷识别TCP协议的P2P加密流量，默认关闭

dfi thunder udp enable                    //是否开启迅雷识别UDP协议的P2P加密流量，默认关闭

dfi port check enabled             //方案A中是否忽略目的端口的重复性检查，默认是开启的,该配置变更，最好重启设备，动态修改该配置会带来不确定影响

dfi multi link mode enabled             //是否开启方案B，默认是开启的

dfi p2p udp state counter 15          //方案A中，UDP类型连接数量的累积阀值

dfi p2p tcp state counter 10          //方案A中，TCP类型连接数量的累积阀值

dfi p2p multi link state counter 5   //方案B中，目的地址数量的累积阀值

dfi p2p port check depth 100         //端口反查深度，主要是用于迅雷加密流量的识别，这个值越大协议识别的效果越好，但是越大也会消耗越多的CPU资源

<========dfi statistics info:========>

dfi thunder by tcp pkt len count: 0

dfi thunder by udp pkt len count: 0

dfi thunder by http: 0

dfi p2p udp found 0

dfi p2p tcp found 0

dfi p2p multi link udp found 0

dfi p2p multi link tcp found 0

2、智能DFI配置

DFI功能启用，可以在配置模式下配置，推荐在设备上线前将servicenode和thunder tcp/udp功能开启，以便提高整体识别率；

ruijie# configure

ruijie(config-dfi)# servicenode

ruijie(config-dfi)# thunder tcp

ruijie(config-dfi)# thunder udp

ruijie(config-dfi)#

check_depth                //迅雷加密识别，端口反查的深度，默认是1

dfi                       //开启dfi功能，默认是开启的

multi_counter             //方案B中目的地址累积阀值，默认是5

multi_link                //开启方案B的识别，默认是开启的

servicenode             //开启servicenode，默认关闭

state_check_depth        //设置正向查找端口深度，默认是1。

port_check                //开启方案A中对于目的端口重复性检查，默认是开启的

tcp_state_counter           //方案A中，TCP类型的连接数量累积阀值，默认是10

thunder tcp                   //方案迅雷识别TCP协议的P2P加密流量

thunder udp                  //方案迅雷识别UDP协议的P2P加密流量

udp_state_counter           //方案A中，UDP类型的连接数量累积阀值，默认是15

no dfi                     //关闭DFI功能

no multi_link             //关闭方案B的识别

  no port_check            //关闭方案A中对于连接的目的端口号的重复性检查

 no servicenode           //关闭servicenode，默认关闭

说明：修改智能DFI任意配置都需要重启设备才能生效，开启DFI功能都需要消耗一定的CPU资源。

3、查看DFI使用和识别情况

       开启智能DFI一段时间后，可以通过show dfi命令查看各功能的识别情况；

  ruijie# show dfi

<========dfi config info:========>

servicenode disabled

dfi enabled

dfi thunder tcp disable

dfi thunder udp disable

dfi port check enabled

dfi multi link mode enabled

dfi p2p udp state counter 15

dfi p2p tcp state counter 10

dfi p2p multi link state counter 5

dfi p2p port check depth 1

state p2p port check depth 101

<========dfi statistics info:========>    //以下部分是只读的信息，不可以配置，主要用作问题分析

dfi thunder by tcp pkt len count: 444132         //自设备启动以来,通过迅雷识别方案识别出的TCP类型的P2P加密流量的会话数量

dfi thunder by udp pkt len count: 227579       //自设备启动以来,通过迅雷识别方案识别出的UDP类型的P2P加密流量的会话数量

dfi thunder by http: 28140010                   //自设备启动以来,通过迅雷识别方案识别出的伪装HTTP下载类型流量的会话数量

 dfi p2p udp found 4173053                       //自设备启动以来，通过方案A识别出的UDP类型的P2P加密流量的会话数量。

 dfi p2p tcp found 17317156                      //自设备启动以来，通过方案A识别出的TCP类型的P2P加密流量的会话数量。

 dfi p2p multi link udp found 971113          //自设备启动以来，通过方案B识别出的UDP类型的P2P加密流量的会话数量

 dfi p2p multi link tcp found 25411363       //自设备启动以来，通过方案B识别出的TCP类型的P2P加密流量的会话数量

4、保存配置

命令行下通过write memory 保存配置

ruijie# write memory

Building configuration...

Running configuration saved

ruijie#