В нашем сегодняшнем материале мы расскажем о том, как DPI-системы помогают интернет-провайдерам экономить, защищать данные клиентов, и поговорим о способах подключения.


/ Unsplash / israel palacio

Сценарии использования


Приоритезация трафика. Несколько лет назад трафик Netflix в сети австралийского провайдера составил четверть от общего объема. Это повлияло на качество работы остальных интернет-сервисов с точки зрения пользователей. DPI-решения помогают обойти такие проблемы и оптимизируют загруженности сети с помощью приоритизации «прожорливых» протоколов.

Аналогичный подход позволяет работать со всплесками трафика. Обычно они предсказуемы и происходят в определенные дни и часы. Чтобы совладать с пиками нагрузки, операторы оплачивают дополнительную полосу. Однако расширять пропускную способность может быть невыгодно, поскольку «окно активности» мало и нестабильно. Приоритизация помогает провайдеру экономить и не терять в качестве пользовательского опыта клиентов. Например, для оптимизации трафика нашу систему использует оператор связи из Латинской Америки Yota de Nicaragua. Лестница приоритетов выстроена следующим образом: служебный трафик, DNS, MPEG4 и HTTP.

Кэширование. Для видеоконтента на YouTube, обновлений ОС, а также браузеров и антивирусов можно использовать кэш-сервер на базе DPI. Он распространяет эти данные локально. Аналогичную задачу выполняет Google Global Cache. Серверы GGC корпорация размещает в сетях локальных провайдеров, поближе к пользователям. На этих устройствах временно хранят наиболее востребованный контент. Такой подход ускоряет доступ к сервисам вроде YouTube, Google Play, Google Maps и экономит полосу пропускания как корпорации, так и операторам связи.

Пара свежих материалов из нашего блога на Хабре:


Уведомление абонентов. И вывод нотификаций вроде сроков проведения технических работ или ЧП. Так в правительстве обсуждают соответствующее постановление. Провайдеров могут обязать сообщать абонентам информацию о техногенных катастрофах, пожарах, ураганах и так далее.

Защита сети. Для борьбы с DDoS, оператор должен выяснить: откуда атакуют сеть, кто её атакует и какой из клиентов попал под удар. DPI помогает ответить на эти вопросы. Например, в СКАТ DPI от VAS Experts для этих задач есть мини-файрвол. Система выявляет аномалии в сети, уведомляет клиентов о подозрительной активности и блокирует доступ злоумышленникам. Дополнительно DPI работает в паре с антивирусными, антиспам-решениями, а также DLP-системами.

В итоге DPI решает сразу несколько задач: от оптимизации каналов связи до защиты от атак злоумышленников. Далее поговорим немного о том, как эти системы интегрируют в сеть.

Варианты подключения DPI


Чаще всего используют две схемы подключения DPI в сети интернет-провайдера. Первая — установка «в разрыв», а вторая — зеркалирование трафика.

Установка «в разрыв». DPI устанавливают за граничным маршрутизатором, как бы «разрывая» внешний канал провайдера. Например, по этой модели развернут DPI у Yota de Nicaragua.



Но такая схема подразумевает появление единой точки отказа. Сбой в работе DPI выведет из строя сеть целиком. Поэтому провайдеры часто устанавливают резервную систему, которая принимает нагрузку в случае ЧП.

Зеркалирование трафика. Трафик направляют через SPAN-порты или оптические разветвители. Так, не нужно модифицировать архитектуру сети и использовать bypass-карты. Эта схема позволяет подключать кэш-серверы и обрабатывать запросы СОРМ. Но полная функциональность DPI-системы будет недоступна.



Альтернативная схема подключения. Если нужно обрабатывать только веб-трафик, можно прибегнуть к ассиметричной схеме. В этом случае задействуется так называемая маршрутизация на основе политик (PBR). HTTP-трафик занимает малую часть полосы пропускания, поэтому такая DPI-система заработает даже на относительно слабом оборудовании. Но в этом случае нельзя использовать аналитику.



В итоге выбор модели подключения DPI-зависит от требуемой отказоустойчивости и функциональности.

О чем мы пишем в корпоративном блоге VAS Experts:

Комментарии (18)


  1. JustDont
    11.10.2019 19:19
    -1

    Сценарии использования

    Не вижу ничего про товарища майора.


    1. VASExperts Автор
      11.10.2019 19:24

      Пожалуйста: материал из нашего блога и вебинар.


      1. JustDont
        11.10.2019 19:26
        -1

        Я о том, что это очень показательно, что вы не включили этот раздел в «сценарии использования».


        1. VASExperts Автор
          11.10.2019 19:33
          +1

          Кажется, «секрет Полишинеля» раскрыт.


  1. Gorthauer87
    11.10.2019 19:36
    +1

    А как же сетевой нейтралитет?


    1. VASExperts Автор
      11.10.2019 19:42

      Как и с применением любых систем, необходимо следовать локальному законодательству. Тему мы рассматривали в одном из наших материалов. Как показывает практика, ситуация может меняться.


      1. Gorthauer87
        11.10.2019 19:48

        Законодательство это одно, в конце концов немцы, когда жгли евреев тоже следовали локальному законодательству. Меня интересует общечеловеческие ценности и вопросы морали, а dpi это такая штука, которая очень легко будет вести к злоупотреблениям, поэтому если вот так вот просто снимать с себя ответственность в пользу локальных законов, то это ничто иное, как сделка с совестью.


        1. VASExperts Автор
          11.10.2019 20:03
          +1

          Давайте поговорим об этом. К сожалению, ваш провайдер как юр.лицо не влияет на законодательство и не может участвовать в его реформировании. Но соблюдать он его обязан. Отсюда — возможность (или отсутствие) заниматься приоритизацией трафика, если вы о сетевом нейтралитете говорите.


          1. Gorthauer87
            11.10.2019 20:24

            Наш провайдер как минимум может в содружестве с другими лоббировать интересы своих пользователей.
            Дальше, если юр лицо не может не соблюдать эти правила, то его сотрудники вполне вправе в случае несогласия с генеральной линией просто написать заявление на увольнение, в результате чего соблюдать всякую дичь просто будет не кому.
            К тому же даже если им деваться некуда из за ипотеки и прочих обязательство, то уж разработчики точно могут держаться подальше от всех эти мутных тем с DPI, к чему я их и призываю.


          1. dmitryredkin
            12.10.2019 15:30

            — Нас так учили, понимаете?..
            — Всех учили. Но почему ты оказался первым учеником?

            Е.Шварц


        1. vrangel
          11.10.2019 20:24
          +2

          Вы рассматриваете DPI с точки зрения пессимизаций какого-либо трафика. Конечно, есть операторы, которые ограничивают протоколы. Но DPI нормальные провайдеры используют во благо. Например, распределение приоритетов внутри пользовательской полосы. Это когда вы скачиваете торрент и youtube не страдает. Очень сильно повышает лояльность пользователей.


          1. Gorthauer87
            11.10.2019 20:33

            Такое уж время и хотелось бы чтобы только такое использование DPI и было разрешено, а во всем интернете были хорошо прописаны базовые права в цифровую эпоху.


          1. Gorthauer87
            11.10.2019 21:05

            А вообще, в идеальном мире хорошо было бы чтобы клиент имел доступ к настройкам этого самого dpi относительно своего трафика.


            1. vrangel
              11.10.2019 21:11
              +2

              Я вот не согласен. В идеальном мире все сервисы должны просто работать и клиент не должен догадываться о каком-то DPI. Пусть специалисты провайдера там ковыряются, они за это мой месячный платеж получают. А если плохо наковыряли — я уйду к другому провайдеру, у нас же рынок.


              1. ledocool
                12.10.2019 06:23

                В идеальном мире вас не ограничивают одним из двух предложенных вариантов, а каждый может найти себе что-то что ему ближе.


          1. sim2q
            13.10.2019 20:26

            DNS, MPEG4 и HTTP.
            Эх… а раньше в первых строчках где-то был ssh


        1. Ecomp
          12.10.2019 20:27

          Точно немцы? Не нацисты?


          1. Gorthauer87
            12.10.2019 20:29

            Пожалуй вы правы