Что мы сделали за год — новые решения ePDG, LBS, PCEF для операторов связи, система AntiDDoS и не только

За 2025 год мы разработали несколько новых инструментов для операторов связи: они расширяют покрытие мобильной сети, помогают формировать тарифную сетку и защищают инфраструктуру. Также мы добавили функциональность, которая поможет администраторам телекомов автоматизировать управление инфраструктурой. 

Новые решения для телекомов

В 2025 году мы работали над продуктами для мобильных сетей — развивали решения, позволяющие расширять покрытие сотовой связи — в том числе там, где классическая инфраструктура работает нестабильно или перегружена. Параллельно прокачали инструменты управления трафиком, чтобы операторы могли эффективнее поддерживать качество сервисов и разрабатывать индивидуальные тарифные планы для клиентов.

Policy and Charging Enforcement Function (PCEF ^[1]). Когда иностранные вендоры ушли с российского рынка, мобильные операторы оказались в непростой ситуации. Поставки оборудования замедлились, а планы по запуску новых тарифов пришлось пересматривать. Чтобы решить проблему, несколько российских компаний предложили решение для гибкой настройки тарифных политик — такой сервис представили и мы в VAS Experts.

PCEF — это модуль системы СКАТ, который помогает операторам управлять трафиком. Система распознает приложения, приоритизирует real-time-сервисы и даже помогает отражать сетевые атаки. Чтобы анализировать поведение пользователей в сети, применяется ^[2] машинное обучение. Так, система может находить аномалии, когда вредоносный трафик маскируется под легитимный. Кроме того, PCEF прогнозирует пики нагрузки — учитываются исторические данные, сезонность, пользовательские паттерны.

Система AntiDDoS ^[3]. 2025-й без преувеличения стал годом DDoS-атак. Злоумышленники продолжили ^[4] использовать ботнеты, а интенсивность DDoS-атак выросла почти в четыре раза — сложившимся трендам посвящен один из обзорных материалов в нашем блоге ^[5]. В отдельных кампаниях злоумышленники отправляли ^[6] более 10 млрд пакетов в секунду с 404 тыс. уникальных IP-адресов. Подобные атаки перестали быть «дымовой завесой», отвлекающим маневром для проведения изощренных взломов. Сегодня это полноценный инструмент давления, цель которого — нанести максимальный ущерб инфраструктуре. 

Рост мощности атак подтолкнул развитие сегмента профессиональных решений для защиты от DDoS. По оценкам аналитиков, осенью прошлого года спрос на такие системы вырос более чем в два раза. Мы в VAS Experts разработали СКАТ AntiDDoS специально для телекомов и операторов связи, потому что они оказываются под ударом чаще других — атаки на них затрагивают сразу тысячи клиентов из разных сфер: бизнеса, некоммерческих организаций, госструктур.

Базовая защита закрывает самые распространенные сценарии — от SYN Flood и UDP Flood до HTTP Flood — и подходит для постоянной защиты сети. Трафик оператора проходит через систему СКАТ DPI, которая отправляет данные в модуль QoE для анализа. На основе этих данных формируется профиль трафика без ботнет-активности. Далее, система использует нейросетевые алгоритмы, чтобы отличать вредоносный трафик от легитимного и останавливать атаку до того, как она повлияет на работу сервисов.

Packet Data Network Gateway (PGW ^[7]). Это — наш собственный шлюз пакетной передачи данных. Он отвечает за маршрутизацию и трансляцию сетевых адресов (NAT), следит за политиками QoS в сетях 4G и 5G, отвечает за интеграцию с системами онлайн- и офлайн-тарификации. PGW подключается к инфраструктуре оператора через интерфейсы S5/S8 для работы с мобильными шлюзами и SGi — для выхода во внешние сети. Управлять системой можно через CLI или веб-интерфейс, а API ускоряет запуск новых сервисов.

Evolved Packet Data Gateway (ePDG ^[8]). Это — шлюз, который расширяет ^[9] покрытие мобильной связи и является одним из ключевых компонентов VoLTE и VoWiFi для звонков через интернет. Идея в том, чтобы сформировать защищенный канал от устройства пользователя к сети оператора и разговаривать по Wi-Fi в местах со слабым покрытием.

Сегодня отечественные операторы связи «раскатывают» технологию звонков через интернет — не только в Москве и Петербурге, но и в регионах. У некоторых операторов совокупный объем голосового трафика, проходящего через VoLTE и VoWiFi, уже превышает 45%. Эти технологии используют ^[10] и компании: они позволяют организовать связь между сотрудниками без привязки к мобильной сети. При этом поставщики решений для построения подобной инфраструктуры (вроде Cisco и Nokia) ушли с рынка, поэтому операторам нужны альтернативы. 

Наш шлюз ePDG состоит ^[11] из трех компонентов: ядра, которое отвечает за логику работы и качество связи, а также модулей авторизации абонентов и управления туннелями. Смартфон подключается к ePDG по защищенному каналу, проходит аутентификацию по SIM-карте, а затем шлюз связывает абонента с ядром мобильной сети (EPC).

Location-based service (LBS ^[12]). Еще мы разработали новый модуль для виртуальных мобильных операторов. Он выручает там, где GPS дает сбой: система определяет местоположение абонента по параметрам сотовой сети, а также по Wi-Fi и Bluetooth. Координаты рассчитываются по времени прохождения сигнала от базовой станции до смартфона, в том числе с оглядкой на базы данных хотспотов. При этом алгоритмы машинного обучения помогают уточнить местоположение при неполных данных.

По сути, LBS дает операторам инструмент для обработки геоданных и позволяет предлагать абонентам соответствующие сервисы: возможность собирать аналитику перемещений покупателей, отслеживать грузы и курьеров, реализовать родительский контроль — и они будут работать даже при сбоях GPS и ГЛОНАСС.

Новый личный кабинет. Сегодня наши решения развернуты на инфраструктуре более чем двух тысяч крупных операторов связи — не только в России и СНГ, но и в Аргентине, Турции, Никарагуа, других странах. При этом количество продуктов перевалило за дюжину. Чтобы ими было удобно управлять, мы разработали новый личный кабинет ^[13] — единое пространство для работы со всеми сервисами оператора. Там можно ^[14] управлять лицензиями и видеть: уникальные ID, объем лицензируемого трафика, подключенные и доступные опции. Также мы собрали в личном кабинете полезные ресурсы и организовали базу знаний со ссылками на актуальные разделы документации, библиотекой статей от экспертов и описанием новых продуктов для операторов связи.

Что мы улучшили

В 2025 году мы представили не только новые решения, но и улучшили существующие. Поработали над обновлением системы классификации пакетов, оптимизировали работу ее компонентов на мобильных устройствах и добавили возможности автоматизации для администраторов, обслуживающих инфраструктуру операторов.

СКАТ DPI. Это наша система классификации пакетов, которая объединяет три продукта для провайдеров: BRAS, CG-NAT и DPI. В прошлом году мы представили мажорный релиз 14.0 ^[15] с новыми функциями. В частности, появилась поддержка терминации L2TP для управления абонентскими туннелями. Такой подход разгружает сети, повышает безопасность и упрощает настройку правил для трафика удаленных пользователей. Также мы добавили универсальную командную оболочку — с ее помощью удобно просматривать конфигурации и логи, управлять DHCP-арендой IPv4 и IPv6.

Обновление получил ^[16] и модуль Wi-Fi HotSpot для авторизации пользователей в публичных и корпоративных Wi-Fi-сетях. Мы обновили портал: интерфейс стал современнее, страницы загружаются быстрее и корректно отображаются на любых устройствах. Мы улучшили совместимость с браузерами и добавили возможности кастомизации — теперь можно менять шрифты, цвета и фон, а также адаптировать внешний вид портала под фирменный стиль с помощью CSS:

В целом мы продолжили развивать СКАТ DPI не только на российском рынке, но и за рубежом. В прошлом году мы помогли ^[17] одному из ближневосточных телеком-операторов перейти на нашу платформу и отказаться от решений Sandvine — когда компания покинула рынки более чем 50 стран. Мы спроектировали архитектуру, поставили оборудование, провели тесты и локализовали решение — в том числе, разработали сигнатуры для популярных в регионе приложений. Кроме того, мы планируем продвигать российские решения в Индии и уже заключили ^[18] партнерское соглашение с одной из местных компаний, специализирующихся на кибербезопасности.

ОС VEOS. В прошлом году наш серверный дистрибутив с лицензией GNU GPL был включен ^[19] в реестр российского программного обеспечения. Мы развиваем проект с конца 2021 года — с тех пор, как компания Red Hat прекратила поддержку своего дистрибутива CentOS Linux 8. VEOS предназначена для корпоративных сетей и заточена под работу с нашими продуктами: СКАТ DPI, BRAS, CG-NAT, системой аналитики QoE.

BRAS. Компонент сети, который управляет подключениями абонентов, отвечает за маршрутизацию трафика, авторизацию, биллинг и ряд других задач. BRAS обычно интегрируется с коммутаторами, маршрутизаторами, и в крупных сетях, где нужно обслуживать тысячи и десятки тысяч пользователей, его настройка быстро превращается в трудоемкий процесс [особенно если все изменения вносятся вручную].

Чтобы упростить эту работу, мы внедрили ^[20] автоматизацию конфигурации BRAS с помощью Ansible и текстовых файлов в формате YAML. Такой подход снижает нагрузку на инженеров, убирает человеческий фактор — главную причину ошибок — и помогает избежать опечаток, пропущенных параметров и несогласованных настроек.

• На пути к квантовому интернету: ключевые сложности и инициативы ^[21]. Дорога к квантовому интернету извилиста и терниста. Согласно оценкам специалистов, мы до сих пор находимся на самых ранних этапах развития технологии, поскольку вынуждены использовать доверенные квантовые повторители. В статье обсуждаем технологические барьеры, с которыми сталкиваются инженеры в данной области.

• Что нового в мире атомных часов — исследования ^[22]. Смотрим на свежие разработки, призванные увеличить точность атомных часов — в том числе оптические и ядерные часы — и переопределить продолжительность секунды в мировом масштабе.