Пользователей глобальной сети, по статистике, в мире становится все больше и больше. А так как ресурс сетей не бесконечен, трафик в них нужно как-то оптимизировать. Для этого операторы связи и интернет-провайдеры используют так называемые DPI-системы (Deep Packet Inspection, «глубокая проверка пакетов»).
Как именно DPI делает телеком-сеть стабильнее
Параллельно такая система решает множество задач, но вот две основные — она блокирует нежелательные сетевые протоколы и сайты, анализирует пакеты трафика. При этом важно придерживаться разумного баланса — не заблокировать нужное и не пропустить ненужное. Это достигается с помощью четких критериев фильтрации, где главный — безопасность пользователей.
Также DPI-системы могут заниматься сбором данных, которые оператор далее может использовать для целей маркетинга. Качество этих данных будет достаточно высоким — можно собрать информацию о геолокации, используемых тарифных планах, приложениях, ОС, устройствах и многом другом.
Выбирая конкретное DPI-решения, провайдеру критически важно смотреть на скорость, с которой обрабатывается трафик пользователей. Некоторые решения даже сейчас предлагают 160 Гб/сек, хотя это уже морально устаревшие показатели. По-настоящему качественные решения сегодня на одном процессоре могут достигать цифры в до 200 Гб/сек.
Как работают системы Deep Packet Inspection
DPI-системы работают качественнее традиционных фаерволов, анализируя содержимое пакетов, а не только их заголовки. Поэтому, они находят и блокируют доступ к ненужным ресурсам, а также распределяют нагрузку на сеть провайдера так, чтобы ее общая пропускная способность не снижалась. У отдельных DPI-решений есть возможность защиты от DDoS-атак. Также они учитывают косвенные признаки нежелательных программ и протоколов. Например, пакеты, характерные для торрентов.
Есть три способа установки Deep Packet Inspection:
- Ассиметрично. Здесь система руководствуется заранее заданными правилами. Главное преимущество — все будет работать даже не на очень мощном оборудовании. Однако, не будет возможности пользоваться аналитикой.
- В разрыв. Здесь DPI-решение размещается на границе сети оператора, после пограничного маршрутизатора. Благодаря этому все пакеты идут через DPI.
- С зеркалированием трафика через оптические сплиттеры или SPAN-порты. В этой схеме в сеть вносятся минимальные изменения.
Что внутри у DPI-системы
Обычно они включают в себя сервер и программное обеспечение (сама DPI-система). В качестве примера можно привести СКАТ DPI — она использует серверы на базе Intel Xeon. Именно благодаря этому у пользователей нет зависимости от конкретных брендов «железа».
Российские DPI-решения
СКАТ DPI
Это решение способно обрабатывать трафик быстро — скоростью до до 200 Гбит/сек на одном процессоре. Также система умеет:
- блокировать доступ к конкретным ресурсам;
- давать приоритеты конкретным типам трафика;
- поведенчески анализировать пакеты;
- управлять трафиком на уровне протоколов и приложений, глубоко анализировать его;
- кэшировать аудио и видео;
- задавать один единый публичный IPv4 нескольким пользователям, чтобы легко перейти с IPv4 на IPv6;
- пресекать DoS/DDoS-атаки.
Протей
Еще одна отечественная разработка, которая может:
- использовать статистический и сигнатурный анализ, что помогает обнаружить использование конкретных приложений;
- перенаправлять трафик на ресурсы, необходимые провайдеру;
- эффективно использовать полосу пропускания;
- собирать информацию о поведении абонентов;
- находить и удалять нежелательные программы;
- блокировать DDoS-атаки.
Минусы: частично аппаратная реализация, и цена, которая может оказаться высокой.
Carbon Reductor DPI X
DPI-решение среди своих достоинств называет:
- понятный интерфейс;
- рациональное использование ресурсов;
- блокировку нежелательных интернет-сервисов.
Зарубежные DPI-решения
Allot Secure Service Gateway
Израильская DPI-система, завоевавшая определенную популярность. Представляет собой несколько мультисервисных платформ для защиты и оптимизации сети провайдера. Как результат — расходы на обслуживание снижаются. Среди плюсов:
- бесшовная интеграция в операторскую сеть, анализ пакетов в реальном времени;
- сбор данных о сетевой загруженности, что позволяет анализировать производительность;
- можно интегрировать Allot Secure Service Gateway с решениями других компаний.
В качестве недостатков можно упомянуть необходимость лицензирования дополнительных функций и довольно высокую стоимость.
Cisco ASR9001
Решение, которое внедрено у многих операторов. В числе плюсов здесь высокая настраиваемость сервисов, совместимость с транспортными сетями Carrier Ethernet и неплохая масштабируемость. Но серьезным недостатком является низкая пропускная способность, всего лишь 120 Гб/с.
Ericsson SmartEdge 1200
Тоже известное решение, но функционирует оно только в сетях IPv4. Сегодня использовать его можно только в составе маленьких сетей, которые не будут масштабироваться. В любом другом случае имеет смысл выбрать что-то, что более отвечает требованиям времени.
Вывод
Deep Packet Inspection — проверенное и гибко настраиваемое решение для оптимизации сети оператора. Например, есть возможность выставить настройки так, чтобы исключить торрент-трафик. Таким образом, скорость доступа у всех клиентов останется высокой, а расходы на обслуживание инфраструктуры станут ниже.
DPI-решения фактически являются индустриальным стандартом при решении задачи по оптимизации сети без дополнительных издержек.
Возможность всегда видеть, каким именно типом трафика пользуются абоненты и анализировать его, гарантирует стабильную и предсказуемую работу сети, а значит, и удовлетворенность пользователей. Вам остается только выбрать то решение, которое подойдет конкретно под ваши задачи и точно не устареет через несколько лет.