加密流量无法识别？AsterNOS 为何能在不拆包的情况下精准分类 HTTPS 业务？

智见流量，线速调度：AsterNOS 基于 Geo-Engine 的识别与转发方案

随着企业网络带宽向 100G 演进以及云服务的全面普及，传统的基于"IP 五元组"的路由策略已逐渐落伍。服务器 IP 的频繁动态变化、单个 CDN IP 对多服务的复用，以及复杂匹配规则带来的转发性能瓶颈，成为网络工程师面临的三大核心痛点。

AsterNOS-VPP 通过创新的 GeoSite/GeoIP 技术，摒弃了臃肿的传统 DPI 插件，仅通过解析报文头即可实现线速转发，完美适配 TLS 1.3 加密环境，将流量控制权重新交还给网络工程师 。

AsterNOS Geo-Engine 工作逻辑

AsterNOS 将网络策略的重心从单纯的"地址"转向了身份（Identity）与来源（Origin），其工作流遵循高效的"三步法"：

识别（Identification）

• GeoIP：按地理区域（如中国、美国）实时分类流量 。
• GeoSite：按具体应用（如 YouTube、办公应用、游戏）精准识别。

定义（Definition）

关联标准功能模块，确定处理动作：如策略路由（PBR）、安全访问控制（ACL）或带宽限速（QoS）。

执行（Execution）

• 将定义的策略灵活绑定至物理或逻辑接口。

技术深度：为什么选择 GeoSite 而非传统 DPI？

在高性能网络环境下，AsterNOS 选择了 GeoSite 路径，在多个技术维度上实现了对传统 L7 DPI 的超越：

|-----------|------------------------|-------------------------------|
| 维度 | 传统 DPI | AsterNOS-VPP (Geo-Engine) |
| 检测深度 | L7 载荷 | L4-L7 报文头/握手信息 |
| 性能影响 | 高。需流重组和正则匹配，CPU 负担重 | 极小。仅解析报文头特征，维持线速转发 |
| 加密流量 | 差。面对 TLS 1.3 全加密载荷基本失效 | 优。基于 SNI 和 DNS 关联，原生兼容 |
| 规则透明度 | 黑盒。用户不可见且依赖厂商维护 | 白盒。兼容开源 .dat 格式，支持自定义更新 |

多协议域名提取机制

为了在数据面实现线速识别，AsterNOS 开发了 geosite_plugin.so 插件，通过解析不同协议的特征字段提取域名：

• HTTPS/TLS ：解析 TLS 握手阶段的 SNI（服务器名称指示）字段。

• HTTP/1.1 ：解析请求头中的 Host 字段。

  

• DNS ：作为代理或网关时，直接从 Query Name 提取 。

• SOCKS5 ：提取 DST.ADDR 域名字段 。

核心算法与匹配流程

系统通过高效的数据结构确保在海量规则下依然保持极高性能：

• IP 匹配：利用 PATRICIA Trie（帕特里夏树） 管理 IP 掩码，支持最长前缀匹配（LPM），可从成千上万条规则中瞬时锁定最精确结果。
• 域名匹配：采用 Trie 树结构加速根域名及后缀匹配。

业务流处理路径

1. 域名提取：进入 geosite_input 节点提取域名。
2. 会话查询：优先查询现有会话表，复用结果以减少开销。
3. 多级匹配：优先进行域名特征匹配；若无匹配，则利用 DNS 解析结果匹配 GeoIP 规则；最后降级使用纯 IP 匹配。

典型应用场景

应用感知路由（PBR）

痛点：应用 IP 经常变动，导致昂贵的专线流量与廉价 ISP 流量分配策略失效。

方案：基于域名编写策略。只要 SNI 匹配 geosite:zoom，无论 IP 如何变化，流量均自动导向专线。

伪代码示例：

pbr-map SMART_ROUTING
match geosite ZOOM set nexthop <Premium_Gateway_IP>
match geosite MICROSOFT set nexthop <Premium_Gateway_IP>

地理围栏与安全合规

方案：在 VPP 转发面直接利用 GeoIP/GeoSite 阻断违规流量（如禁止特定国家 IP 访问或办公时间限制社交媒体），不消耗下游防火墙资源。

伪代码示例：

access-list SECURE_ACL
# Deny all media websites (based on domain classification)
rule 10 deny geosite CATEGORY-MEDIA
# Block US IPs (based on geo-location)
rule 20 deny geoip US

精准 QoS 流量整形

方案：针对共享同一 443 端口的加密流量（如 Zoom 与 YouTube），通过初始握手阶段的应用识别，创建动态会话，实现精准限速。

伪代码示例：

#Define the throttle policy
traffic behavior LIMIT_STREAMING
car sr-tcm cir 100 cbs 6400
#Create Stateful ACL
access-list REFLECT_L3 APP_QOS_POLICY
rule 10 geosite YOUTUBE traffic-behavior LIMIT_STREAMING

硬件平台支持

AsterNOS-VPP 深度适配星融元 ET 系列智能业务处理平台：

• ET2500 系列：紧凑型设计（220mm 宽），提供 4x10GE、4x2.5GE、8x1GE 接口，支持可选 POE++ 供电。

• ET3600 系列：高性能标准机架型（440mm 宽），最高支持 4x100GE (QSFP28) 接口，具备冗余电源与风扇模块。