Любопытно какой там стоит WiFi модуль и хватит ли его производительности для высокобитрейтного контента. Дело в том, что свежий nexus 7 с тегрой несёт на борту чип, который WiFi на скоростях быстрее, чем 65Mbps, не умеет. Это приводит к тому, что канала порой не хватает для FHD контента с битрейтом от 30Mbps. Эта проблема, конечно, высосана из пальца, т.к. FHD на планшете нафиг не нужно, но она показывает, насколько важен WiFi модуль.
Цена хороша, с минимальной маржой относительно штатов.
Я свой купил месяца полтора назад, девайсом очень доволен, возложенные на него задачи он решает на ура.
BTW, сегодня вроде как OTA обновление должно появиться на 4.1.2. Из видимого там должна горизонтальная ориентация главного меню появиться.
ИМХО не мешало бы добавить информации по типам LSA и уделить больше времени выводам OSPF database, т.к. оно является куда более показательным, чем таблица маршрутизации. Траблшутинг OSPF без понимания LSA представляется трудно реализуемым.
У меня D8000 и minidlna, работающий на NAS от Synology. notify_interval выставлен в 90 (сборщиком пакета, не мной), видимо, для таких случаев. Я запустил на роутере tcpdump и вижу, что телевизор делает опрос на присутствие DLNA-сервера раз в 10 секунд порцией пакетов. Может вам багрепорт в самсунговский саппорт написать? Явно косяк телевизора.
Я откушал каши из этого топора сильно ранее, ещё в январе, когда прошивка была совсем другой. Спустя пару месяцев поедания этой каши было принято решение купить NAS, а чём я ни на минуту не пожалел, чего и желаю автору. Однако, описанная тобой связка помогла мне убедиться в том, что необходим автономный NAS, а также чётко сформировать требования к нему.
А вообще N56 клёвый, благодаря стараниями Padavan и ещё нескольких людей девайс представляет собой одно из самых интересных решений на рынке.
Да много кто умеет. Я купил себе Synology, там тоже всё из коробки работает. И никаких танцев с бубном, всё работает нативно как родная капсула, без создания образов и монтирований.
Как раз сейчас жду курьера с этим телефоном, решил купить брату на день рождения. Обзор вышел очень своевременно:) По цене/качеству за эти деньги я не нашёл достойных альтернатив. Была надежда на Desire C, но эти процессор с экраном портят всю идею… One V всё же подороже будет.
1998 год был. Pentium 233MMX, 32Mb RAM, HDD на 2.5 гига, видеокарта S3 Virge DX/GX с 2Mb памяти, SoundBlaster 16, CD-читалка 24x и 15" монитор Nokia с 85Гц развёрткой на 1024x768. На мамке была разводка для подключения внешней USB-планки. Этот конфиг пережил 95, 98 и линолеум. Процессор как-то раз был яростно разогнан до 266MHz при помощи перетыкания джамперов на мамке, после чего ЧСВ выросло раз в десять как минимум, и я просыл хакером.
Т.к. я был 13-летней школотой, компьютер в основном выполнял роль игровой платформы. Всё стандартно, doom, duke nukem, larry и nfs 2.
Держу виртуалбокс только ради редактирования в MS Visio, которого в моей работе много. Аналоги под мак, увы, унылы. В режиме read-only использую OmniGraffle, но что-либо редактировать в нём — мука.
У большинства какти внедрен к примеру. С плагинами он способен на всё.
Какти клёвый, да, но возвращаемся к вопросу о саппорте, которого с точки зрения SLA нет. Да и сервера СХД с базой данных бесплатными не будут.
Вы уж определитесь — нужно решение «всё в одном», или нет?
С точки зрения провайдера, есть две разные задачи: зарезать скорость Васе до тарифной и узнать, чем же он занимался. В первом случае — причем тут NBAR?
Элементарно — тарифные планы, привязанные к приложениям. К примеру, тарифный план с месячным лимитом по битторренту и с подавлением голосовых приложений (рассматриваем лишь техническую составляющую, само такое зарезание это порочная практика).
нет смысла включать те сигнатуры, что не представляют угрозы
Эмм, а смысл их писать тогда если он угрозу не представляют?
То есть никаких отличий от классического ERSPAN?
Это лишь один из вариантов, как я сказал, из немасштабируемых. Правильные вендоры делают иначе. В тот момент, когда коробка детектит SYN ACK, но при этом SYN она не видела, она делает бродкаст своим друзьям с вопросом, не видел ли кто-то из них SYN для этого соединения. В случае положительного ответа один из девайсов юникастом отвечает, что да, и далее они начинают обмениваться сигналингом, которого достаточно для определения приложения в рамках отдельно взятого соединения. Несколько более интеллектуально, чем ERSPAN, согласитесь. Работает как часы.
А сейчас выясняется, что Вы просто про него не знаете…
Вот и узнаю, как и вы что-то новое сейчас узнаёте, хоть и со скепсисом.
Но вопрос отображения данных уже не относится к вопросу отлавливания и анализа пакетов, тут как раз никакого rocket science.
Согласен, это другая песня. Которая, тем не менее, DPI-вендорами решается из коробки.
А уж представьте себе, сколько стоит разработка такой сложной штуки, как ядро Linux :)
Это вообще показательный пример того, что упорство порождает чудеса. Ладно, к примеру, софт тоже опенсорсный. Но он же может сломаться, а SP любят SLA, т.к. они могут предоставлять коммерческие услуги для корпоративных клиентов на базе формирования отчётов. Если оно сломается, оператор может не получить денег.
Понятия не имею. Если сильно надо — могу погуглить.
Но опять же, если мы говорим о порядочном провайдере, то сенсор будет лишь получать копию трафика, а не стоять на его пути.
Тренды развития интернета показывают, что порядочных становится всё меньше и меньше. Сегодня они втихаря зарубают нежелательный для них трафик, а завтра будут делать это совершенно открыто, предлагая тарифные планы, собираемые из кирпичиков приложений. Для ШПД это пока не так актуально, а вот для мобильщиков это уже сегодняшний день. Что касается больших DPI, то там задержки характеризуются цифрами, попадающими под определение submillisecond.
1) 15гб/с гарантируют.
2) Бандл WS-C6506-E-NAM3-K9 (по названию все понятно?) стоит по GPL $95k. Аналогично с 6509 — $98k. И нет, шасси cat6500 как раз самое дешевое в нем, слоты — не проблема.
Да, вижу, за 98k мы ещё и суп впридачу получаем. Ок, посчитаем DPI, за который я так ратую.
Берём двухюнитовое шасси (нет смысла ставить многослотовое решение для такого перформанса). Коробка с 10G дырками стоит $60k. Она способна перелопатить 30Gbps. Лицензия только под сбор статистики (функционал NAM) стоит $80k. Итого $140k. Если добавить в 6500 бандл ещё один NAM-бандл с софтом, то тут и без калькулятора всё понятно. Если же мы купим лицензию для DPI для интеллектуального шейпинга-филтеринга, то моя спека вырастает на $50k, т.е что-то в районе $190k выходит. GPL, разумеется. Тут вы можете сказать, что 6500 ещё и считчить умеет, на что я отвечу, что DPI ещё и управлять трафиком может.
Иными словами — я могу предоставить коробку, которая гарантированно (не только в пике) осилит, скажем, 120гб/с анализа трафика (линейные карты тоже надо куда-то втыкать), а маршрутизировать суммарно сможет теоретически под 2тб/с (хотя останется слишком мало слотов, чтобы этим воспользоваться).
Соберём 120Gbps, у меня есть такой DPI. 6513-E с SUP2T (иначе мы не прокачаем NAM на полную), 8 слотов забиваем NAM, что даёт нам 120Gbps. И в один слот пихаем 8-слотовый десяточный модуль, дабы откуда-то брать трафик. Бандл 6513 с SUP2T стоит $44k (бандлов с NAM на нём нет), десяточная карточка $40k. Прибавляем 8 бандлов NAM, получаем $760k. Всякая требуха ещё тысяч на 15. Итого получается где-то $860k.
DPI под 120Gbps будет стоить дороже, в районе $950k-$1M, в зависимости от мощности дополнительной обвязки. Но он за эти деньги будет ещё и управлять трафиком, а не просто рисовать красивые картинки. И занимает почти в два раза меньше места — 13RU против 20RU. Просто рисовать картинки — я уже считал выше 2RU-коробку под 30Gbps. Ставим 4 таких девайса на сайт, и получаем $560k в GPL. Профит очевиден.
Ага.
Ок, оно действительно продвинулось в своём развитии. А нетфлоу-коллектор ещё небось денег стоит в случае масштабов SP, да?
Это следует из возможности экспортировать статистику.
Я не о том, я подразумевал полиси-сервер, который, как правило, входит в состав биллинга. Я о том, что есть сферический юзер с именем Вася. Есть ли возможность при помощи NBAR повесить на него определённую политику в соответствии с его тарифным планом? С условием, что Вася адрес получает по DHCP (ну или PPPoE) и каждый раз разный. На ASR1k, ясное дело, можно. Интересует всё остальное, где есть NBAR.
У IPS сильно больше сигнатур.
Можно на цифры взглянуть? В IPS же ещё эвристика во все поля?
А никак. Саппортиться будет тот же sourcefire.
Ок, для энтерпрайза покатит, для SP — вряд ли.
У меня дома оно прекрасно делает match protocol skype, иосу где-то год уже.
Думаю, с uTP и тому подобным проблем тоже не будет.
Написать свою сигнатуру не проблема ;)
Скайп свежий? Unknown трафика не фиксируется?) uTP не так сложно распознать, яростный UDP мелкими пакетами. Я имел в виду крипотованный торрент, он не так очевиден. Написание своих сигнатур — это ок.
А не существует (даже теоретически) решений, действительно качественно работающих с асимметричным роутингом. Не верьте маркетологам.
Мне не надо верить или не верить, я вижу как оно реально работает на коробках моего заказчика, мне этого достаточно. Есть решения, позволяющие идентифицировать 100% асимметричного трафика при том условии, что весь интересующий трафик проходит через девайсы, работающие в составе однго комплекса, т.е. ни один пакет не проходит мимо DPI, пусть даже и разнесённых территориально. Но эти решения не очень масштабируемы, т.к. девайсы пеерсылают друг другу as is весь трафик, считающийся асимметричным. При высоком уровне асимметрии это засада. TCP-шную асимметрию с использованием интеллектуального механизма взаимодействия коробок (по сути синхронизация стейтов) пара вендоров распознавать умеет, никакого rocket-science тут нет, всё довольно логично и стройно. UDP сильно сложнее, но тоже есть механизмы, вполне работоспособные.
Может, надо не подозревать, а просто знать?
Ну вот не знаю я NBAR, застрелиться мне теперь?
На основе тех же данных по количеству пакетиков за определенный интервал времени :)
Маркетологи умеют промывать мозги…
Ну они же рисуют эти графики, верно? Посчитать циферки это полдела, а построить быстро и качественно работающую систему, позволяющую из этих пустых цифр рисовать то, что мне требуется — это совсем другое. В случае покупки нормального DPI заказчик получает это сразу из коробки, и без работы с напильником для достижения нужного результата, за минимальные сроки. Видел своими глазами DPI-решения, рисующие гарфики по полчаса. И в то же время видел такие, которые делают то же самое за 5 секунд. Можете оценить, сколько денег будет стоить разработка софта, который будет лазить в нетфлоу-коллектор, выискивать там циферки и рисовать графики в режиме реального времени?
Где-то на четверть проседает.
Запомним, спасибо. Кстати, какая задержка в трафик вносится при работе NBAR? Порядок микросекунд или миллисекунд?
Так откройте глаза и взгляните например на блейд Cisco NAMВсё бы ничего, но перформанс хилый, стоит дорого, занимает драгоценные слоты в недешёвой коробке. Увы.
Честно говоря, не очень заметно. Вы оперируете маркетинговыми терминами, но не назвали ни одного конкретного довода.
Мне кажется, выше мои доводы, хоть и не все, но указаны. Вы можете предложить мне вменяемое интегрированное решение, рассчитанное на близкую к сотне гиг производительность в режиме полной загрузки коробки?
То есть тот же NBAR на цискиных роутерах, с прикрученным netflow. А он ЗНАЧИТЕЛЬНО быстрее IPSа.
NBAR. Удивлён, что эта унылость ещё жива, думал загнётся. Если вам будет так угодно, то да, это типа NBAR. Оно умеет по Netflow отдавать статистику по каждому приложению? А интегрироваться с биллингом будет? Если это ASR1k, тогда ок, поверю, что да, вроде как BRAS пытаются изобразить из него.
То есть тем более данная реализация DPI значительно проще, чем IPS
В чём если не секрет? Какую задержку вносит IPS?
Снорт бесплатен
И как мне это ставить в проекте масштабов страны? Как оно будет саппортиться?
Да, даже более примитивный роутерный NBAR легко отличит различит HTTPS, skype и торренты.
Ну-ну, сами-то проверяли на сложных протоколах, таких как skype и шифрованный торрент? Как часто обновляются сигнатуры NBAR? На офсайте вижу последний апдейт аж от 27 января, а на дворе середина мая. Скайп частенько делает протокольные изменения, после очередного из них ваш NBAR сядет в лужу. С новыми протоколами аналогично. А, да, а как у NBAR с асимметричным трафиком дела обстоят? Под асимметричным я понимаю такой трафик, который заходит в сеть через одну коробку, а выходит через другую. Т.е. NBAR видит только одно направление данных в рамках информационного потока. Какого рода статистику можно собрать при помощи NBAR? Подозреваю, что довольно унылую, в то время как нормальные DPI коробки рисуют самые разнообразные графики, которые могут быть весьма полезны при планировании сети и разработке/модификации тарифных планов. И, наконец, что происходит с загрузкой CPU при работе NBAR? Не надо пытаться мне доказать, что всё-в-одном-флаконе будет лучше, чем stand-alone решение, разработанное для решения этой и только это задачи, это немного бесполезно, я в теме DPI варюсь не первый год. Видел я это несчастье на ASR1k, и на MX тоже видел — неедущее дерьмо. Циска вон всё никак не угомонится, заявили, что будут делать DPI на CRS и ASR9k. У джунипера хотя бы мозгов хватило забить на это.
Всё, что я озвучил выше, относится исключительно к SP рынку. В энтерпрайзе всё сильно проще, там и NBAR хватит.
чем же он там таким сложным занимается?
Глубокий анализ всех проходящих пакетов с разбивкой по приложениям (HTTP, Skype, Bittorrent, Streaming Media, RTP и т.д. более полутора тысяч сигнатур). Можно собирать статистику, делать шейпинг per-application per-subscriber, собирать разные интересные логи по абонентским сессиям, сливать трафик наружу для ребят в погонах, для работы VAS и т.д., дофига чего интересного можно сделать.
Под FDX я имел в виду следующее. Есть два сетевых устройства (роутера, свитча, фаервола, неважно), между ними висит 10G линк. DPI включается в разрыв этого линка, т.е. он имеет два интерфейса, по одному в сторону каждого из устройств. 10G FDX означает, что девайс перелопатит трафик даже в том случае, если каждое из устройств будет генерить его с битрейтом 10Gbps. С точки зрения сетевых устройств DPI — штука совершенно прозрачная на L2.
По поводу 12 ядер — всё дело в вылизанности продукта под конкретную задачу и специфику железа. Если софт заточен под конкретный процессор, это одна оптимизация. Если же он заточен под целое семейство процессоров, то это совсем другая песня. На упомянутом мной девайсе (а на самом деле это по сути своей блэйд, коих может быть несколько штук) помимо ксеонов стоит 48 гиг RAM. Стоит такой модуль вместе с лицензией $150k. Сколько стоит ваш снорт?
Когда я говорил про ксеоны, я имел в виду достаточно мощный DPI девайс, исполняющий нечто куда сложнее, чем IPS. Указано это было для примера того, для чего можно использовать софтовые коробки, и зачем на них могут понадобиться 40G дырки. Но, как обычно в интернетах, всё свелось к полемике, мы забыли с чего всё началось.
Моей ошбикой было использовать слово «ядро», прошу прощения. Я имел в виду бордеры, а также PE-коробки. Использую рядовые сервера с вполне себе обычными процессорами, никаких выделенных NPU или PPE, всё на CPU роутится. По поводу мощности CPU могу сказать следующее — двух Xeon L5638 хватает, чтобы перелопатить 10gbps в фуллдуплексе, и сделать это интеллектуально, со всякими шейперами, и прочими прелестями. Ежедневно работаю с девайсами, построенными на этих камнях.
Мне кажется, у нас разговор не в ту степь пошёл.
Ещё раз — просветитесь, на чём у яндекса роутеры всю жизнь работали. В свободном доступе информации, увы, нет, но если у вас есть знакомые в соответствующих кругах, то поспрашивайте, будете удивлены. Если коротко, то там нечто сугубо самописное и очень производительное.
Предлагаю на этом дискуссию закончить. Я сказал, в каком направлении копать.
На будущее — в текущем ряде маршрутизаторов Cisco всё, что ниже 7600 — это софтовые девайсы, не имеющие специализированных NPU.
Я свой купил месяца полтора назад, девайсом очень доволен, возложенные на него задачи он решает на ура.
BTW, сегодня вроде как OTA обновление должно появиться на 4.1.2. Из видимого там должна горизонтальная ориентация главного меню появиться.
А вообще N56 клёвый, благодаря стараниями Padavan и ещё нескольких людей девайс представляет собой одно из самых интересных решений на рынке.
Т.к. я был 13-летней школотой, компьютер в основном выполнял роль игровой платформы. Всё стандартно, doom, duke nukem, larry и nfs 2.
Какти клёвый, да, но возвращаемся к вопросу о саппорте, которого с точки зрения SLA нет. Да и сервера СХД с базой данных бесплатными не будут.
Вы уж определитесь — нужно решение «всё в одном», или нет?
С точки зрения провайдера, есть две разные задачи: зарезать скорость Васе до тарифной и узнать, чем же он занимался. В первом случае — причем тут NBAR?
Элементарно — тарифные планы, привязанные к приложениям. К примеру, тарифный план с месячным лимитом по битторренту и с подавлением голосовых приложений (рассматриваем лишь техническую составляющую, само такое зарезание это порочная практика).
нет смысла включать те сигнатуры, что не представляют угрозы
Эмм, а смысл их писать тогда если он угрозу не представляют?
То есть никаких отличий от классического ERSPAN?
Это лишь один из вариантов, как я сказал, из немасштабируемых. Правильные вендоры делают иначе. В тот момент, когда коробка детектит SYN ACK, но при этом SYN она не видела, она делает бродкаст своим друзьям с вопросом, не видел ли кто-то из них SYN для этого соединения. В случае положительного ответа один из девайсов юникастом отвечает, что да, и далее они начинают обмениваться сигналингом, которого достаточно для определения приложения в рамках отдельно взятого соединения. Несколько более интеллектуально, чем ERSPAN, согласитесь. Работает как часы.
А сейчас выясняется, что Вы просто про него не знаете…
Вот и узнаю, как и вы что-то новое сейчас узнаёте, хоть и со скепсисом.
Но вопрос отображения данных уже не относится к вопросу отлавливания и анализа пакетов, тут как раз никакого rocket science.
Согласен, это другая песня. Которая, тем не менее, DPI-вендорами решается из коробки.
А уж представьте себе, сколько стоит разработка такой сложной штуки, как ядро Linux :)
Это вообще показательный пример того, что упорство порождает чудеса. Ладно, к примеру, софт тоже опенсорсный. Но он же может сломаться, а SP любят SLA, т.к. они могут предоставлять коммерческие услуги для корпоративных клиентов на базе формирования отчётов. Если оно сломается, оператор может не получить денег.
Понятия не имею. Если сильно надо — могу погуглить.
Но опять же, если мы говорим о порядочном провайдере, то сенсор будет лишь получать копию трафика, а не стоять на его пути.
Тренды развития интернета показывают, что порядочных становится всё меньше и меньше. Сегодня они втихаря зарубают нежелательный для них трафик, а завтра будут делать это совершенно открыто, предлагая тарифные планы, собираемые из кирпичиков приложений. Для ШПД это пока не так актуально, а вот для мобильщиков это уже сегодняшний день. Что касается больших DPI, то там задержки характеризуются цифрами, попадающими под определение submillisecond.
1) 15гб/с гарантируют.
2) Бандл WS-C6506-E-NAM3-K9 (по названию все понятно?) стоит по GPL $95k. Аналогично с 6509 — $98k. И нет, шасси cat6500 как раз самое дешевое в нем, слоты — не проблема.
Да, вижу, за 98k мы ещё и суп впридачу получаем. Ок, посчитаем DPI, за который я так ратую.
Берём двухюнитовое шасси (нет смысла ставить многослотовое решение для такого перформанса). Коробка с 10G дырками стоит $60k. Она способна перелопатить 30Gbps. Лицензия только под сбор статистики (функционал NAM) стоит $80k. Итого $140k. Если добавить в 6500 бандл ещё один NAM-бандл с софтом, то тут и без калькулятора всё понятно. Если же мы купим лицензию для DPI для интеллектуального шейпинга-филтеринга, то моя спека вырастает на $50k, т.е что-то в районе $190k выходит. GPL, разумеется. Тут вы можете сказать, что 6500 ещё и считчить умеет, на что я отвечу, что DPI ещё и управлять трафиком может.
Иными словами — я могу предоставить коробку, которая гарантированно (не только в пике) осилит, скажем, 120гб/с анализа трафика (линейные карты тоже надо куда-то втыкать), а маршрутизировать суммарно сможет теоретически под 2тб/с (хотя останется слишком мало слотов, чтобы этим воспользоваться).
Соберём 120Gbps, у меня есть такой DPI. 6513-E с SUP2T (иначе мы не прокачаем NAM на полную), 8 слотов забиваем NAM, что даёт нам 120Gbps. И в один слот пихаем 8-слотовый десяточный модуль, дабы откуда-то брать трафик. Бандл 6513 с SUP2T стоит $44k (бандлов с NAM на нём нет), десяточная карточка $40k. Прибавляем 8 бандлов NAM, получаем $760k. Всякая требуха ещё тысяч на 15. Итого получается где-то $860k.
DPI под 120Gbps будет стоить дороже, в районе $950k-$1M, в зависимости от мощности дополнительной обвязки. Но он за эти деньги будет ещё и управлять трафиком, а не просто рисовать красивые картинки. И занимает почти в два раза меньше места — 13RU против 20RU. Просто рисовать картинки — я уже считал выше 2RU-коробку под 30Gbps. Ставим 4 таких девайса на сайт, и получаем $560k в GPL. Профит очевиден.
Ок, оно действительно продвинулось в своём развитии. А нетфлоу-коллектор ещё небось денег стоит в случае масштабов SP, да?
Это следует из возможности экспортировать статистику.
Я не о том, я подразумевал полиси-сервер, который, как правило, входит в состав биллинга. Я о том, что есть сферический юзер с именем Вася. Есть ли возможность при помощи NBAR повесить на него определённую политику в соответствии с его тарифным планом? С условием, что Вася адрес получает по DHCP (ну или PPPoE) и каждый раз разный. На ASR1k, ясное дело, можно. Интересует всё остальное, где есть NBAR.
У IPS сильно больше сигнатур.
Можно на цифры взглянуть? В IPS же ещё эвристика во все поля?
А никак. Саппортиться будет тот же sourcefire.
Ок, для энтерпрайза покатит, для SP — вряд ли.
У меня дома оно прекрасно делает match protocol skype, иосу где-то год уже.
Думаю, с uTP и тому подобным проблем тоже не будет.
Написать свою сигнатуру не проблема ;)
Скайп свежий? Unknown трафика не фиксируется?) uTP не так сложно распознать, яростный UDP мелкими пакетами. Я имел в виду крипотованный торрент, он не так очевиден. Написание своих сигнатур — это ок.
А не существует (даже теоретически) решений, действительно качественно работающих с асимметричным роутингом. Не верьте маркетологам.
Мне не надо верить или не верить, я вижу как оно реально работает на коробках моего заказчика, мне этого достаточно. Есть решения, позволяющие идентифицировать 100% асимметричного трафика при том условии, что весь интересующий трафик проходит через девайсы, работающие в составе однго комплекса, т.е. ни один пакет не проходит мимо DPI, пусть даже и разнесённых территориально. Но эти решения не очень масштабируемы, т.к. девайсы пеерсылают друг другу as is весь трафик, считающийся асимметричным. При высоком уровне асимметрии это засада. TCP-шную асимметрию с использованием интеллектуального механизма взаимодействия коробок (по сути синхронизация стейтов) пара вендоров распознавать умеет, никакого rocket-science тут нет, всё довольно логично и стройно. UDP сильно сложнее, но тоже есть механизмы, вполне работоспособные.
Может, надо не подозревать, а просто знать?
Ну вот не знаю я NBAR, застрелиться мне теперь?
На основе тех же данных по количеству пакетиков за определенный интервал времени :)
Маркетологи умеют промывать мозги…
Ну они же рисуют эти графики, верно? Посчитать циферки это полдела, а построить быстро и качественно работающую систему, позволяющую из этих пустых цифр рисовать то, что мне требуется — это совсем другое. В случае покупки нормального DPI заказчик получает это сразу из коробки, и без работы с напильником для достижения нужного результата, за минимальные сроки. Видел своими глазами DPI-решения, рисующие гарфики по полчаса. И в то же время видел такие, которые делают то же самое за 5 секунд. Можете оценить, сколько денег будет стоить разработка софта, который будет лазить в нетфлоу-коллектор, выискивать там циферки и рисовать графики в режиме реального времени?
Где-то на четверть проседает.
Запомним, спасибо. Кстати, какая задержка в трафик вносится при работе NBAR? Порядок микросекунд или миллисекунд?
Так откройте глаза и взгляните например на блейд Cisco NAMВсё бы ничего, но перформанс хилый, стоит дорого, занимает драгоценные слоты в недешёвой коробке. Увы.
Честно говоря, не очень заметно. Вы оперируете маркетинговыми терминами, но не назвали ни одного конкретного довода.
Мне кажется, выше мои доводы, хоть и не все, но указаны. Вы можете предложить мне вменяемое интегрированное решение, рассчитанное на близкую к сотне гиг производительность в режиме полной загрузки коробки?
NBAR. Удивлён, что эта унылость ещё жива, думал загнётся. Если вам будет так угодно, то да, это типа NBAR. Оно умеет по Netflow отдавать статистику по каждому приложению? А интегрироваться с биллингом будет? Если это ASR1k, тогда ок, поверю, что да, вроде как BRAS пытаются изобразить из него.
То есть тем более данная реализация DPI значительно проще, чем IPS
В чём если не секрет? Какую задержку вносит IPS?
Снорт бесплатен
И как мне это ставить в проекте масштабов страны? Как оно будет саппортиться?
Да, даже более примитивный роутерный NBAR легко отличит различит HTTPS, skype и торренты.
Ну-ну, сами-то проверяли на сложных протоколах, таких как skype и шифрованный торрент? Как часто обновляются сигнатуры NBAR? На офсайте вижу последний апдейт аж от 27 января, а на дворе середина мая. Скайп частенько делает протокольные изменения, после очередного из них ваш NBAR сядет в лужу. С новыми протоколами аналогично. А, да, а как у NBAR с асимметричным трафиком дела обстоят? Под асимметричным я понимаю такой трафик, который заходит в сеть через одну коробку, а выходит через другую. Т.е. NBAR видит только одно направление данных в рамках информационного потока. Какого рода статистику можно собрать при помощи NBAR? Подозреваю, что довольно унылую, в то время как нормальные DPI коробки рисуют самые разнообразные графики, которые могут быть весьма полезны при планировании сети и разработке/модификации тарифных планов. И, наконец, что происходит с загрузкой CPU при работе NBAR? Не надо пытаться мне доказать, что всё-в-одном-флаконе будет лучше, чем stand-alone решение, разработанное для решения этой и только это задачи, это немного бесполезно, я в теме DPI варюсь не первый год. Видел я это несчастье на ASR1k, и на MX тоже видел — неедущее дерьмо. Циска вон всё никак не угомонится, заявили, что будут делать DPI на CRS и ASR9k. У джунипера хотя бы мозгов хватило забить на это.
Всё, что я озвучил выше, относится исключительно к SP рынку. В энтерпрайзе всё сильно проще, там и NBAR хватит.
Глубокий анализ всех проходящих пакетов с разбивкой по приложениям (HTTP, Skype, Bittorrent, Streaming Media, RTP и т.д. более полутора тысяч сигнатур). Можно собирать статистику, делать шейпинг per-application per-subscriber, собирать разные интересные логи по абонентским сессиям, сливать трафик наружу для ребят в погонах, для работы VAS и т.д., дофига чего интересного можно сделать.
Под FDX я имел в виду следующее. Есть два сетевых устройства (роутера, свитча, фаервола, неважно), между ними висит 10G линк. DPI включается в разрыв этого линка, т.е. он имеет два интерфейса, по одному в сторону каждого из устройств. 10G FDX означает, что девайс перелопатит трафик даже в том случае, если каждое из устройств будет генерить его с битрейтом 10Gbps. С точки зрения сетевых устройств DPI — штука совершенно прозрачная на L2.
По поводу 12 ядер — всё дело в вылизанности продукта под конкретную задачу и специфику железа. Если софт заточен под конкретный процессор, это одна оптимизация. Если же он заточен под целое семейство процессоров, то это совсем другая песня. На упомянутом мной девайсе (а на самом деле это по сути своей блэйд, коих может быть несколько штук) помимо ксеонов стоит 48 гиг RAM. Стоит такой модуль вместе с лицензией $150k. Сколько стоит ваш снорт?
По поводу безмозглых пакетодробилок уже не согласен. Товарищ salium умело аргументировал тут habrahabr.ru/company/senetsy/blog/114887/#comment_4662903
Ещё раз — просветитесь, на чём у яндекса роутеры всю жизнь работали. В свободном доступе информации, увы, нет, но если у вас есть знакомые в соответствующих кругах, то поспрашивайте, будете удивлены. Если коротко, то там нечто сугубо самописное и очень производительное.
На будущее — в текущем ряде маршрутизаторов Cisco всё, что ниже 7600 — это софтовые девайсы, не имеющие специализированных NPU.