/ Unsplash / israel palacio
Сценарии использования
Приоритезация трафика. Несколько лет назад трафик Netflix в сети австралийского провайдера составил четверть от общего объема. Это повлияло на качество работы остальных интернет-сервисов с точки зрения пользователей. DPI-решения помогают обойти такие проблемы и оптимизируют загруженности сети с помощью приоритизации «прожорливых» протоколов.
Аналогичный подход позволяет работать со всплесками трафика. Обычно они предсказуемы и происходят в определенные дни и часы. Чтобы совладать с пиками нагрузки, операторы оплачивают дополнительную полосу. Однако расширять пропускную способность может быть невыгодно, поскольку «окно активности» мало и нестабильно. Приоритизация помогает провайдеру экономить и не терять в качестве пользовательского опыта клиентов. Например, для оптимизации трафика нашу систему использует оператор связи из Латинской Америки Yota de Nicaragua. Лестница приоритетов выстроена следующим образом: служебный трафик, DNS, MPEG4 и HTTP.
Кэширование. Для видеоконтента на YouTube, обновлений ОС, а также браузеров и антивирусов можно использовать кэш-сервер на базе DPI. Он распространяет эти данные локально. Аналогичную задачу выполняет Google Global Cache. Серверы GGC корпорация размещает в сетях локальных провайдеров, поближе к пользователям. На этих устройствах временно хранят наиболее востребованный контент. Такой подход ускоряет доступ к сервисам вроде YouTube, Google Play, Google Maps и экономит полосу пропускания как корпорации, так и операторам связи.
Пара свежих материалов из нашего блога на Хабре:
Уведомление абонентов. И вывод нотификаций вроде сроков проведения технических работ или ЧП. Так в правительстве обсуждают соответствующее постановление. Провайдеров могут обязать сообщать абонентам информацию о техногенных катастрофах, пожарах, ураганах и так далее.
Защита сети. Для борьбы с DDoS, оператор должен выяснить: откуда атакуют сеть, кто её атакует и какой из клиентов попал под удар. DPI помогает ответить на эти вопросы. Например, в СКАТ DPI от VAS Experts для этих задач есть мини-файрвол. Система выявляет аномалии в сети, уведомляет клиентов о подозрительной активности и блокирует доступ злоумышленникам. Дополнительно DPI работает в паре с антивирусными, антиспам-решениями, а также DLP-системами.
В итоге DPI решает сразу несколько задач: от оптимизации каналов связи до защиты от атак злоумышленников. Далее поговорим немного о том, как эти системы интегрируют в сеть.
Варианты подключения DPI
Чаще всего используют две схемы подключения DPI в сети интернет-провайдера. Первая — установка «в разрыв», а вторая — зеркалирование трафика.
Установка «в разрыв». DPI устанавливают за граничным маршрутизатором, как бы «разрывая» внешний канал провайдера. Например, по этой модели развернут DPI у Yota de Nicaragua.
Но такая схема подразумевает появление единой точки отказа. Сбой в работе DPI выведет из строя сеть целиком. Поэтому провайдеры часто устанавливают резервную систему, которая принимает нагрузку в случае ЧП.
Зеркалирование трафика. Трафик направляют через SPAN-порты или оптические разветвители. Так, не нужно модифицировать архитектуру сети и использовать bypass-карты. Эта схема позволяет подключать кэш-серверы и обрабатывать запросы СОРМ. Но полная функциональность DPI-системы будет недоступна.
Альтернативная схема подключения. Если нужно обрабатывать только веб-трафик, можно прибегнуть к ассиметричной схеме. В этом случае задействуется так называемая маршрутизация на основе политик (PBR). HTTP-трафик занимает малую часть полосы пропускания, поэтому такая DPI-система заработает даже на относительно слабом оборудовании. Но в этом случае нельзя использовать аналитику.
В итоге выбор модели подключения DPI-зависит от требуемой отказоустойчивости и функциональности.
О чем мы пишем в корпоративном блоге VAS Experts:
Комментарии (18)
Gorthauer87
11.10.2019 19:36+1А как же сетевой нейтралитет?
VASExperts Автор
11.10.2019 19:42Как и с применением любых систем, необходимо следовать локальному законодательству. Тему мы рассматривали в одном из наших материалов. Как показывает практика, ситуация может меняться.
Gorthauer87
11.10.2019 19:48Законодательство это одно, в конце концов немцы, когда жгли евреев тоже следовали локальному законодательству. Меня интересует общечеловеческие ценности и вопросы морали, а dpi это такая штука, которая очень легко будет вести к злоупотреблениям, поэтому если вот так вот просто снимать с себя ответственность в пользу локальных законов, то это ничто иное, как сделка с совестью.
VASExperts Автор
11.10.2019 20:03+1Давайте поговорим об этом. К сожалению, ваш провайдер как юр.лицо не влияет на законодательство и не может участвовать в его реформировании. Но соблюдать он его обязан. Отсюда — возможность (или отсутствие) заниматься приоритизацией трафика, если вы о сетевом нейтралитете говорите.
Gorthauer87
11.10.2019 20:24Наш провайдер как минимум может в содружестве с другими лоббировать интересы своих пользователей.
Дальше, если юр лицо не может не соблюдать эти правила, то его сотрудники вполне вправе в случае несогласия с генеральной линией просто написать заявление на увольнение, в результате чего соблюдать всякую дичь просто будет не кому.
К тому же даже если им деваться некуда из за ипотеки и прочих обязательство, то уж разработчики точно могут держаться подальше от всех эти мутных тем с DPI, к чему я их и призываю.
dmitryredkin
12.10.2019 15:30— Нас так учили, понимаете?..
— Всех учили. Но почему ты оказался первым учеником?
Е.Шварц
vrangel
11.10.2019 20:24+2Вы рассматриваете DPI с точки зрения пессимизаций какого-либо трафика. Конечно, есть операторы, которые ограничивают протоколы. Но DPI нормальные провайдеры используют во благо. Например, распределение приоритетов внутри пользовательской полосы. Это когда вы скачиваете торрент и youtube не страдает. Очень сильно повышает лояльность пользователей.
Gorthauer87
11.10.2019 20:33Такое уж время и хотелось бы чтобы только такое использование DPI и было разрешено, а во всем интернете были хорошо прописаны базовые права в цифровую эпоху.
Gorthauer87
11.10.2019 21:05А вообще, в идеальном мире хорошо было бы чтобы клиент имел доступ к настройкам этого самого dpi относительно своего трафика.
vrangel
11.10.2019 21:11+2Я вот не согласен. В идеальном мире все сервисы должны просто работать и клиент не должен догадываться о каком-то DPI. Пусть специалисты провайдера там ковыряются, они за это мой месячный платеж получают. А если плохо наковыряли — я уйду к другому провайдеру, у нас же рынок.
ledocool
12.10.2019 06:23В идеальном мире вас не ограничивают одним из двух предложенных вариантов, а каждый может найти себе что-то что ему ближе.
JustDont
Не вижу ничего про товарища майора.
VASExperts Автор
Пожалуйста: материал из нашего блога и вебинар.
JustDont
Я о том, что это очень показательно, что вы не включили этот раздел в «сценарии использования».
VASExperts Автор
Кажется, «секрет Полишинеля» раскрыт.