- PVSM.RU - https://www.pvsm.ru -
В нашем сегодняшнем материале мы расскажем о том, как DPI-системы помогают интернет-провайдерам экономить, защищать данные клиентов, и поговорим о способах подключения.
[1]
/ Unsplash / israel palacio [2]
Приоритезация трафика. Несколько лет назад трафик Netflix в сети австралийского провайдера составил четверть [3] от общего объема. Это повлияло на качество работы остальных интернет-сервисов с точки зрения пользователей. DPI-решения помогают обойти такие проблемы и оптимизируют загруженности сети с помощью приоритизации «прожорливых» протоколов.
Аналогичный подход позволяет работать со всплесками трафика. Обычно они предсказуемы и происходят в определенные дни и часы. Чтобы совладать с пиками нагрузки, операторы оплачивают дополнительную полосу. Однако расширять пропускную способность может быть невыгодно, поскольку «окно активности» мало и нестабильно. Приоритизация помогает провайдеру экономить и не терять в качестве пользовательского опыта клиентов. Например, для оптимизации трафика нашу систему использует [4] оператор связи из Латинской Америки Yota de Nicaragua. Лестница приоритетов выстроена следующим образом: служебный трафик, DNS, MPEG4 и HTTP.
Кэширование. Для видеоконтента на YouTube, обновлений ОС, а также браузеров и антивирусов можно использовать кэш-сервер на базе DPI. Он распространяет эти данные локально. Аналогичную задачу выполняет Google Global Cache. Серверы GGC корпорация размещает в сетях локальных провайдеров, поближе к пользователям. На этих устройствах временно хранят наиболее востребованный контент. Такой подход ускоряет доступ к сервисам вроде YouTube, Google Play, Google Maps и экономит полосу пропускания как корпорации, так и операторам связи.
Пара свежих материалов из нашего блога на Хабре:
Уведомление абонентов. И вывод нотификаций вроде сроков проведения технических работ или ЧП. Так в правительстве обсуждают соответствующее постановление [8]. Провайдеров могут обязать сообщать абонентам информацию о техногенных катастрофах, пожарах, ураганах и так далее.
Защита сети. Для борьбы с DDoS, оператор должен выяснить: откуда атакуют сеть, кто её атакует и какой из клиентов попал под удар. DPI помогает ответить на эти вопросы. Например, в СКАТ DPI от VAS Experts для этих задач есть мини-файрвол [9]. Система выявляет аномалии в сети, уведомляет клиентов о подозрительной активности и блокирует доступ злоумышленникам. Дополнительно DPI работает в паре с антивирусными, антиспам-решениями, а также DLP-системами [10].
В итоге DPI решает сразу несколько задач: от оптимизации каналов связи до защиты от атак злоумышленников. Далее поговорим немного о том, как эти системы интегрируют в сеть.
Чаще всего используют две схемы подключения DPI в сети интернет-провайдера. Первая — установка «в разрыв», а вторая — зеркалирование трафика.
Установка «в разрыв». DPI устанавливают за граничным маршрутизатором, как бы «разрывая» внешний канал провайдера. Например, по этой модели развернут [4] DPI у Yota de Nicaragua.
Но такая схема подразумевает появление единой точки отказа. Сбой в работе DPI выведет из строя сеть целиком. Поэтому провайдеры часто устанавливают резервную систему, которая принимает нагрузку в случае ЧП.
Зеркалирование трафика. Трафик направляют через SPAN-порты или оптические разветвители. Так, не нужно модифицировать архитектуру сети и использовать bypass-карты. Эта схема позволяет подключать кэш-серверы и обрабатывать запросы СОРМ [11]. Но полная функциональность DPI-системы будет недоступна.
Альтернативная схема подключения. Если нужно обрабатывать только веб-трафик, можно прибегнуть к ассиметричной схеме. В этом случае задействуется так называемая маршрутизация на основе политик (PBR). HTTP-трафик занимает малую часть полосы пропускания, поэтому такая DPI-система заработает даже на относительно слабом оборудовании. Но в этом случае нельзя использовать аналитику.
В итоге выбор модели подключения DPI-зависит от требуемой отказоустойчивости и функциональности.
О чем мы пишем в корпоративном блоге VAS Experts:
Автор: VAS Experts
Источник [15]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/razrabotka-sistem-svyazi/332936
Ссылки в тексте:
[1] Image: https://habr.com/ru/company/vasexperts/blog/471178/
[2] israel palacio: https://unsplash.com/photos/ImcUkZ72oUs
[3] составил четверть: https://mashable.com/2015/04/20/netflix-traffic-explodes/
[4] использует: https://vasexperts.ru/blog/skat/predostavlenie-dostupa-k-internetu-v-latinskoj-amerike-kejs-yota-de-nicaragua/
[5] Инструментарий для провайдера: тематические вебинары о системах для работы с трафиком и их настройке: https://habr.com/ru/company/vasexperts/blog/466567/
[6] В каких странах «самый медленный» интернет и кто исправляет ситуацию в труднодоступных регионах: https://habr.com/ru/company/vasexperts/blog/468999/
[7] Перспективы квантовых сетей: кто ими занимается и почему: https://habr.com/ru/company/vasexperts/blog/466949/
[8] обсуждают соответствующее постановление: https://regulation.gov.ru/projects#npa=70146
[9] есть мини-файрвол: https://vasexperts.ru/blog/bezopasnost/borba-s-botnetami-i-ddos-funkciya-minifirewall-v-skat-dpi/
[10] DLP-системами: https://vasexperts.ru/blog/dpi/texnologiya-dpi-v-sistemax-dlp-dlya-korporativnoj-bezopasnosti/
[11] СОРМ: https://ru.wikipedia.org/wiki/%D0%A1%D0%9E%D0%A0%D0%9C
[12] Внедрение IPv6 — FAQ для интернет-провайдеров: https://vasexperts.ru/blog/seti/vnedrenie-ipv6-faq-dlya-internet-provajderov/
[13] DPI в корпоративных сетях: интеграция с MicroSoft Active Directory: https://vasexperts.ru/blog/integraciya-ms-ad/
[14] «Выстрел в ногу»: критические ошибки в строительстве сетей операторов связи: https://vasexperts.ru/blog/telekom/ekonomiya-na-spichkax-i-neskolko-sposobov-vystrelit-sebe-v-nogu-kriticheskie-oshibki-v-stroitelstve-setej-operatorov-svyazi/
[15] Источник: https://habr.com/ru/post/471178/?utm_source=habrahabr&utm_medium=rss&utm_campaign=471178
Нажмите здесь для печати.