- PVSM.RU - https://www.pvsm.ru -

Краткое руководство по DPI: сценарии использования

В нашем сегодняшнем материале мы расскажем о том, как DPI-системы помогают интернет-провайдерам экономить, защищать данные клиентов, и поговорим о способах подключения.

Краткое руководство по DPI: сценарии использования - 1 [1]
/ Unsplash / israel palacio [2]

Сценарии использования

Приоритезация трафика. Несколько лет назад трафик Netflix в сети австралийского провайдера составил четверть [3] от общего объема. Это повлияло на качество работы остальных интернет-сервисов с точки зрения пользователей. DPI-решения помогают обойти такие проблемы и оптимизируют загруженности сети с помощью приоритизации «прожорливых» протоколов.

Аналогичный подход позволяет работать со всплесками трафика. Обычно они предсказуемы и происходят в определенные дни и часы. Чтобы совладать с пиками нагрузки, операторы оплачивают дополнительную полосу. Однако расширять пропускную способность может быть невыгодно, поскольку «окно активности» мало и нестабильно. Приоритизация помогает провайдеру экономить и не терять в качестве пользовательского опыта клиентов. Например, для оптимизации трафика нашу систему использует [4] оператор связи из Латинской Америки Yota de Nicaragua. Лестница приоритетов выстроена следующим образом: служебный трафик, DNS, MPEG4 и HTTP.

Кэширование. Для видеоконтента на YouTube, обновлений ОС, а также браузеров и антивирусов можно использовать кэш-сервер на базе DPI. Он распространяет эти данные локально. Аналогичную задачу выполняет Google Global Cache. Серверы GGC корпорация размещает в сетях локальных провайдеров, поближе к пользователям. На этих устройствах временно хранят наиболее востребованный контент. Такой подход ускоряет доступ к сервисам вроде YouTube, Google Play, Google Maps и экономит полосу пропускания как корпорации, так и операторам связи.

Пара свежих материалов из нашего блога на Хабре:

Уведомление абонентов. И вывод нотификаций вроде сроков проведения технических работ или ЧП. Так в правительстве обсуждают соответствующее постановление [8]. Провайдеров могут обязать сообщать абонентам информацию о техногенных катастрофах, пожарах, ураганах и так далее.

Защита сети. Для борьбы с DDoS, оператор должен выяснить: откуда атакуют сеть, кто её атакует и какой из клиентов попал под удар. DPI помогает ответить на эти вопросы. Например, в СКАТ DPI от VAS Experts для этих задач есть мини-файрвол [9]. Система выявляет аномалии в сети, уведомляет клиентов о подозрительной активности и блокирует доступ злоумышленникам. Дополнительно DPI работает в паре с антивирусными, антиспам-решениями, а также DLP-системами [10].

В итоге DPI решает сразу несколько задач: от оптимизации каналов связи до защиты от атак злоумышленников. Далее поговорим немного о том, как эти системы интегрируют в сеть.

Варианты подключения DPI

Чаще всего используют две схемы подключения DPI в сети интернет-провайдера. Первая — установка «в разрыв», а вторая — зеркалирование трафика.

Установка «в разрыв». DPI устанавливают за граничным маршрутизатором, как бы «разрывая» внешний канал провайдера. Например, по этой модели развернут [4] DPI у Yota de Nicaragua.

Краткое руководство по DPI: сценарии использования - 2

Но такая схема подразумевает появление единой точки отказа. Сбой в работе DPI выведет из строя сеть целиком. Поэтому провайдеры часто устанавливают резервную систему, которая принимает нагрузку в случае ЧП.

Зеркалирование трафика. Трафик направляют через SPAN-порты или оптические разветвители. Так, не нужно модифицировать архитектуру сети и использовать bypass-карты. Эта схема позволяет подключать кэш-серверы и обрабатывать запросы СОРМ [11]. Но полная функциональность DPI-системы будет недоступна.

Краткое руководство по DPI: сценарии использования - 3

Альтернативная схема подключения. Если нужно обрабатывать только веб-трафик, можно прибегнуть к ассиметричной схеме. В этом случае задействуется так называемая маршрутизация на основе политик (PBR). HTTP-трафик занимает малую часть полосы пропускания, поэтому такая DPI-система заработает даже на относительно слабом оборудовании. Но в этом случае нельзя использовать аналитику.

Краткое руководство по DPI: сценарии использования - 4

В итоге выбор модели подключения DPI-зависит от требуемой отказоустойчивости и функциональности.

О чем мы пишем в корпоративном блоге VAS Experts:

Автор: VAS Experts

Источник [15]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/razrabotka-sistem-svyazi/332936

Ссылки в тексте:

[1] Image: https://habr.com/ru/company/vasexperts/blog/471178/

[2] israel palacio: https://unsplash.com/photos/ImcUkZ72oUs

[3] составил четверть: https://mashable.com/2015/04/20/netflix-traffic-explodes/

[4] использует: https://vasexperts.ru/blog/skat/predostavlenie-dostupa-k-internetu-v-latinskoj-amerike-kejs-yota-de-nicaragua/

[5] Инструментарий для провайдера: тематические вебинары о системах для работы с трафиком и их настройке: https://habr.com/ru/company/vasexperts/blog/466567/

[6] В каких странах «самый медленный» интернет и кто исправляет ситуацию в труднодоступных регионах: https://habr.com/ru/company/vasexperts/blog/468999/

[7] Перспективы квантовых сетей: кто ими занимается и почему: https://habr.com/ru/company/vasexperts/blog/466949/

[8] обсуждают соответствующее постановление: https://regulation.gov.ru/projects#npa=70146

[9] есть мини-файрвол: https://vasexperts.ru/blog/bezopasnost/borba-s-botnetami-i-ddos-funkciya-minifirewall-v-skat-dpi/

[10] DLP-системами: https://vasexperts.ru/blog/dpi/texnologiya-dpi-v-sistemax-dlp-dlya-korporativnoj-bezopasnosti/

[11] СОРМ: https://ru.wikipedia.org/wiki/%D0%A1%D0%9E%D0%A0%D0%9C

[12] Внедрение IPv6 — FAQ для интернет-провайдеров: https://vasexperts.ru/blog/seti/vnedrenie-ipv6-faq-dlya-internet-provajderov/

[13] DPI в корпоративных сетях: интеграция с MicroSoft Active Directory: https://vasexperts.ru/blog/integraciya-ms-ad/

[14] «Выстрел в ногу»: критические ошибки в строительстве сетей операторов связи: https://vasexperts.ru/blog/telekom/ekonomiya-na-spichkax-i-neskolko-sposobov-vystrelit-sebe-v-nogu-kriticheskie-oshibki-v-stroitelstve-setej-operatorov-svyazi/

[15] Источник: https://habr.com/ru/post/471178/?utm_source=habrahabr&utm_medium=rss&utm_campaign=471178