/ Flickr / Andrew Hart / CC
Глобальный рынок систем глубокого анализа трафика (DPI) в 2013 году оценивался практически в 742 млн долларов США. По прогнозу аналитиков, к 2020 он вырастет более чем в 6 раз и будет оцениваться в 4,7 млрд. DPI-системы в основном применяют интернет-провайдеры и операторы связи, которые стремятся защитить своих абонентов и оптимизировать полосу пропускания до клиента за счет фильтров, приоритетов и кешей.
DPI выполняет анализ всех проходящих через неё пакетов вплоть до 7 уровня модели OSI и распознает приложения, не использующие для обмена данными заранее известные заголовки и структуры. Однако система DPI сама по себе не решает проблемы и задачи, описанные выше. Она взаимодействует с другими устройствами и сервисами сети передачи данных оператора. Об этом сегодня и поговорим.
Взаимодействие с другими системами
Стандарты и спецификации для мобильных сетей не разрабатываются каждым оператором отдельно, этим занимается созданный в 1998 году 3GPP (3rd Generation Partnership Project).
Центральным понятием сетей, построенных по стандартам 3GPP, является PCC (Policy and Charging Control). Решения этого класса позволяют персонифицировать услуги, активно управлять трафиком и качеством обслуживания, используя PCC-правила для принятия PCC-решений. Осуществляет применение этих PCC-правил к трафику функция PCEF (Policy and Charging Enforcement Function). Системы DPI являются частью PCEF, сканируя весь проходящий трафик и применяя к нему требуемые политики.
Однако в схеме имеются и другие элементы, например PCRF (Policy Control and Charging Rules Function) – это решение по применению политик обслуживания абонентов для установления параметров QoS и правил тарификации в зависимости от различных условий. Еще есть OCS (Online Charging System), осуществляющая тарификацию услуг и контролирующая баланс абонента.
Следует отметить систему биллинга, которая хранит базу данных баланса абонентов и предоставляет ее серверу OCS, и репозиторий UDR (User Data Repository), осуществляющий хранение данных пользователей (сервисы, доступные абоненту, параметры QoS и другие). Полный список задействованных компонентов вы можете найти в нашем блоге.
Схемы подключения DPI
Основных схем подключения устройства глубокого анализа трафика к оборудованию оператора здесь две – это так называемая установка «в разрыв» (активная схема) и зеркалирование трафика (пассивная схема).
Схема установки «в разрыв»
Этот вид подключения используется для реализации функционала любой системы DPI. В этом случае система анализа трафика подключается после граничного маршрутизатора в разрыв uplink.
Преимуществом такой схемы является то, что через DPI проходит абсолютно весь трафик. Это позволяет осуществлять приоритизацию, а также настраивать уведомления, кеширование и другие функции. Однако такой тип подключения обладает существенным недостатком: устройство DPI становится точкой отказа – если оно выходит из строя, связь полностью обрывается.
Но есть способы решения этой проблемы:
- Использовать в составе системы DPI bypass-устройство, которое в случае выхода из строя основного фронтенда начнет «гнать» трафик через себя (анализ трафика проводиться не будет).
- Использовать резервную платформу DPI, которая бы осуществляла фильтрацию трафика в случае выхода из строя основной.
Схема зеркалирования трафика
Зеркалирование трафика осуществляется через SPAN-порты или оптические сплиттеры. При такой схеме возможен анализ истории посещений в реальном времени, переадресация запросов блокировки, кеширование и работа с бонусными программами.
Плюсами этого варианта подключения являются минимальные изменения в структуре действующей сети и отсутствие необходимости использовать bypass-карту. В этом случае есть возможность снимать аналитику с трафика, подключить кеш-сервер и «зеркалить» трафик на оборудование СОРМ, но весь функционал системы DPI реализовать не получится.
Отметим, что оба варианта подключения поддерживает наше решение СКАТ DPI, позволяющее ограничить размер занимаемой полосы по группам протоколов, управлять приоритетом проходящих через него пакетов, блокировать рекламный контент и др. Более подробную информацию о системе вы можете найти по ссылке.
Вместо заключения
DPI-системы, которые появились в результате объединения нескольких более молодых систем фильтрации пакетов (если вам интересно, историю зарождения DPI и информацию о предшественниках решения вы можете найти здесь и здесь), позволили упростить процессы поддержки и администрирования сетей и сайтов, повысили защищенность последних от разного рода атак и расширили область применимости технологий анализа трафика.
Подробно о том, как применяются DPI, мы поговорим в нашем следующем материале. Будем рады вашим предложениям по темам для дальнейшего рассмотрения в блоге.
Комментарии (9)
RicoX
26.10.2016 19:26+2Добавлю ложку дегтя в рекламную статью.
Зеркалирование трафика осуществляется через SPAN-порты или оптические сплиттеры. При такой схеме возможен анализ истории посещений в реальном времени, переадресация запросов блокировки, кеширование и работа с бонусными программами.
Так вот переадресация запросов блокировки работает не корректно, нами выявлено частичное пропадание пакетов блокировок, тикет был открыт уже пару месяцев назад, специалисты VAS Experts проблему подтвердили, даже выпустили патченую версию fastdpi с параметром emit_duplication, который проблему сгладил, но не решил, стенд для локализации проблемы со стороны компании не собран до сих пор, продолжаем периодически писать отписки представителям «Ревизор» почему у нас периодически при проверках выскакивают не заблокированные ресурсы, компанию называть от которой тикет открыт не буду, должны помнить.
VASExperts
30.10.2016 02:34Уважаемый клиент, обращаем Ваше внимание, что в процессе диагностики определили, что проблема, скорее всего, связана с периодической потерей пакетов, исходящих от СКАТ, в сети. В связи с этим СКАТ не может прервать обращение клиента к запрещенному ресурсу. Данная проблема «плавающая» и, вероятнее всего, происходит при росте нагрузки на сеть.
Как Вы правильно отметили, частично нивелируется повторными отправками пакетов, изменение которое мы оперативно подготовили для Вас.
В случае подключения на зеркало трафика мы всегда отмечаем, что здесь идет работа на опережение, и возможны пропуски трафика, поэтому рекомендованной схемой работы с гарантированным результатом фильтрации трафика является схема установки СКАТ «в линию».
Несмотря на это, схема с зеркалированием успешно работает у многих клиентов, и у большинства клиентов не наблюдается подобных проблем. Стенд готовим, но из-за дополнительного оборудования, которое ожидаем на днях, сроки затянулись.RicoX
30.10.2016 06:48Обращаю ваше внимание, что с нашей стороны уже неоднократно было доказано, что это лишь отписка с вашей стороны, от нежелания/невозможности разобраться в проблеме, вы предлагаете мне еще сюда вывалить все логи и графики, которые есть в тикете, чтоб доказать обратное? Мы меняли SPAN порты на сплиттеры, меняли коммутаторы, делали напрямую включения, смотрели логи со всего железа, все что было предложено вашим саппортом, потерь пакетов нет, а проблема есть.
В случае подключения на зеркало трафика мы всегда отмечаем, что здесь идет работа на опережение, и возможны пропуски трафика
Выносите эту фразу пожалуйста во всю документацию и весь рекламный материал, в том числе прошу добавить в данную рекламную статью, если можно жирным шрифтом, чтоб никто вдруг случайно не подумал, что схему «на зеркале» можно использовать в живой сети без проблем.
поэтому рекомендованной схемой работы с гарантированным результатом фильтрации трафика является схема установки СКАТ «в линию».
Да, была такая схема изначально, но напоминаю вам, что в ней невозможна инкапсуляция ответов в PPPoE трафик, что делает невозможным применение этой схемы у нас, да об этом тоже напишите в следующей рекламной статье, т.к. это выяснилось уже ПОСЛЕ установки СКАТ в продакшин.VASExperts
01.11.2016 10:23RicoX, ранее мы отметили, что есть достаточное количество успешных инсталляций СКАТ на зеркале трафика. Для подтверждения мы можем связать Вас с клиентами. Для этого просьба указать о Вашем желании в заявке в поддержку. Решение конкретно Вашей проблемы просим оставить в рамках тикета в технической поддержке.
Мы указали, что возможная проблема находится в вашей сети. Периодически мы сталкиваемся со сложностью диагностики, так как не имеем доступа к сети оператора.
Мы не оставили решение Вашей проблемы. Как отметили ранее, в связи с задержкой в поставке комплектующих для стенда мы не можем оперативно протестировать Ваш случай.RicoX
01.11.2016 10:29Больной что вы возмущаетесь, что вам отрезали не ту ногу, у нас есть достаточно других пациентов, которым отрезали нужную, можем дать их контакты. Вы вышли на публичную площадку с рекламой, будьте готовы слышать критику в свой адрес и адрес продукта.
Loxmatiymamont
Руки чешутся добавить ссылку на подкаст с Дмитрием Молдовановым из VAS Experts, где он обстоятельно рассказал где и как используется DPI в современном мире.
nazargulov
Смешной рассказ про клистрим в начале подкаста. Слухи на уровне бабушек с подъезда. В общем, индустрия DPI все там же — QoS, СОРМ и примитивные разговоры про куки.
С нетерпением жду рассказ про мобильный трафик от экспертов.