В нашем сегодняшнем материале мы расскажем о том, как DPI-системы помогают интернет-провайдерам экономить, защищать данные клиентов, и поговорим о способах подключения.


/ Unsplash / israel palacio

Сценарии использования

Приоритезация трафика. Несколько лет назад трафик Netflix в сети австралийского провайдера составил четверть от общего объема. Это повлияло на качество работы остальных интернет-сервисов с точки зрения пользователей. DPI-решения помогают обойти такие проблемы и оптимизируют загруженности сети с помощью приоритизации «прожорливых» протоколов.

Аналогичный подход позволяет работать со всплесками трафика. Обычно они предсказуемы и происходят в определенные дни и часы. Чтобы совладать с пиками нагрузки, операторы оплачивают дополнительную полосу. Однако расширять пропускную способность может быть невыгодно, поскольку «окно активности» мало и нестабильно. Приоритизация помогает провайдеру экономить и не терять в качестве пользовательского опыта клиентов. Например, для оптимизации трафика нашу систему использует оператор связи из Латинской Америки Yota de Nicaragua. Лестница приоритетов выстроена следующим образом: служебный трафик, DNS, MPEG4 и HTTP.

Кэширование. Для видеоконтента на YouTube, обновлений ОС, а также браузеров и антивирусов можно использовать кэш-сервер на базе DPI. Он распространяет эти данные локально. Аналогичную задачу выполняет Google Global Cache. Серверы GGC корпорация размещает в сетях локальных провайдеров, поближе к пользователям. На этих устройствах временно хранят наиболее востребованный контент. Такой подход ускоряет доступ к сервисам вроде YouTube, Google Play, Google Maps и экономит полосу пропускания как корпорации, так и операторам связи.

Пара свежих материалов из нашего блога на Хабре:

• Инструментарий для провайдера: тематические вебинары о системах для работы с трафиком и их настройке
• В каких странах «самый медленный» интернет и кто исправляет ситуацию в труднодоступных регионах
• Перспективы квантовых сетей: кто ими занимается и почему

Уведомление абонентов. И вывод нотификаций вроде сроков проведения технических работ или ЧП. Так в правительстве обсуждают соответствующее постановление. Провайдеров могут обязать сообщать абонентам информацию о техногенных катастрофах, пожарах, ураганах и так далее.

Защита сети. Для борьбы с DDoS, оператор должен выяснить: откуда атакуют сеть, кто её атакует и какой из клиентов попал под удар. DPI помогает ответить на эти вопросы. Например, в СКАТ DPI от VAS Experts для этих задач есть мини-файрвол. Система выявляет аномалии в сети, уведомляет клиентов о подозрительной активности и блокирует доступ злоумышленникам. Дополнительно DPI работает в паре с антивирусными, антиспам-решениями, а также DLP-системами.

В итоге DPI решает сразу несколько задач: от оптимизации каналов связи до защиты от атак злоумышленников. Далее поговорим немного о том, как эти системы интегрируют в сеть.

Варианты подключения DPI

Чаще всего используют две схемы подключения DPI в сети интернет-провайдера. Первая — установка «в разрыв», а вторая — зеркалирование трафика.

Установка «в разрыв». DPI устанавливают за граничным маршрутизатором, как бы «разрывая» внешний канал провайдера. Например, по этой модели развернут DPI у Yota de Nicaragua.



Но такая схема подразумевает появление единой точки отказа. Сбой в работе DPI выведет из строя сеть целиком. Поэтому провайдеры часто устанавливают резервную систему, которая принимает нагрузку в случае ЧП.

Зеркалирование трафика. Трафик направляют через SPAN-порты или оптические разветвители. Так, не нужно модифицировать архитектуру сети и использовать bypass-карты. Эта схема позволяет подключать кэш-серверы и обрабатывать запросы СОРМ. Но полная функциональность DPI-системы будет недоступна.



Альтернативная схема подключения. Если нужно обрабатывать только веб-трафик, можно прибегнуть к ассиметричной схеме. В этом случае задействуется так называемая маршрутизация на основе политик (PBR). HTTP-трафик занимает малую часть полосы пропускания, поэтому такая DPI-система заработает даже на относительно слабом оборудовании. Но в этом случае нельзя использовать аналитику.



В итоге выбор модели подключения DPI-зависит от требуемой отказоустойчивости и функциональности.

О чем мы пишем в корпоративном блоге VAS Experts:

• Внедрение IPv6 — FAQ для интернет-провайдеров
• DPI в корпоративных сетях: интеграция с MicroSoft Active Directory
• «Выстрел в ногу»: критические ошибки в строительстве сетей операторов связи