Краткое руководство по DPI: сценарии использования

    В нашем сегодняшнем материале мы расскажем о том, как DPI-системы помогают интернет-провайдерам экономить, защищать данные клиентов, и поговорим о способах подключения.


    / Unsplash / israel palacio

    Сценарии использования


    Приоритезация трафика. Несколько лет назад трафик Netflix в сети австралийского провайдера составил четверть от общего объема. Это повлияло на качество работы остальных интернет-сервисов с точки зрения пользователей. DPI-решения помогают обойти такие проблемы и оптимизируют загруженности сети с помощью приоритизации «прожорливых» протоколов.

    Аналогичный подход позволяет работать со всплесками трафика. Обычно они предсказуемы и происходят в определенные дни и часы. Чтобы совладать с пиками нагрузки, операторы оплачивают дополнительную полосу. Однако расширять пропускную способность может быть невыгодно, поскольку «окно активности» мало и нестабильно. Приоритизация помогает провайдеру экономить и не терять в качестве пользовательского опыта клиентов. Например, для оптимизации трафика нашу систему использует оператор связи из Латинской Америки Yota de Nicaragua. Лестница приоритетов выстроена следующим образом: служебный трафик, DNS, MPEG4 и HTTP.

    Кэширование. Для видеоконтента на YouTube, обновлений ОС, а также браузеров и антивирусов можно использовать кэш-сервер на базе DPI. Он распространяет эти данные локально. Аналогичную задачу выполняет Google Global Cache. Серверы GGC корпорация размещает в сетях локальных провайдеров, поближе к пользователям. На этих устройствах временно хранят наиболее востребованный контент. Такой подход ускоряет доступ к сервисам вроде YouTube, Google Play, Google Maps и экономит полосу пропускания как корпорации, так и операторам связи.

    Пара свежих материалов из нашего блога на Хабре:


    Уведомление абонентов. И вывод нотификаций вроде сроков проведения технических работ или ЧП. Так в правительстве обсуждают соответствующее постановление. Провайдеров могут обязать сообщать абонентам информацию о техногенных катастрофах, пожарах, ураганах и так далее.

    Защита сети. Для борьбы с DDoS, оператор должен выяснить: откуда атакуют сеть, кто её атакует и какой из клиентов попал под удар. DPI помогает ответить на эти вопросы. Например, в СКАТ DPI от VAS Experts для этих задач есть мини-файрвол. Система выявляет аномалии в сети, уведомляет клиентов о подозрительной активности и блокирует доступ злоумышленникам. Дополнительно DPI работает в паре с антивирусными, антиспам-решениями, а также DLP-системами.

    В итоге DPI решает сразу несколько задач: от оптимизации каналов связи до защиты от атак злоумышленников. Далее поговорим немного о том, как эти системы интегрируют в сеть.

    Варианты подключения DPI


    Чаще всего используют две схемы подключения DPI в сети интернет-провайдера. Первая — установка «в разрыв», а вторая — зеркалирование трафика.

    Установка «в разрыв». DPI устанавливают за граничным маршрутизатором, как бы «разрывая» внешний канал провайдера. Например, по этой модели развернут DPI у Yota de Nicaragua.



    Но такая схема подразумевает появление единой точки отказа. Сбой в работе DPI выведет из строя сеть целиком. Поэтому провайдеры часто устанавливают резервную систему, которая принимает нагрузку в случае ЧП.

    Зеркалирование трафика. Трафик направляют через SPAN-порты или оптические разветвители. Так, не нужно модифицировать архитектуру сети и использовать bypass-карты. Эта схема позволяет подключать кэш-серверы и обрабатывать запросы СОРМ. Но полная функциональность DPI-системы будет недоступна.



    Альтернативная схема подключения. Если нужно обрабатывать только веб-трафик, можно прибегнуть к ассиметричной схеме. В этом случае задействуется так называемая маршрутизация на основе политик (PBR). HTTP-трафик занимает малую часть полосы пропускания, поэтому такая DPI-система заработает даже на относительно слабом оборудовании. Но в этом случае нельзя использовать аналитику.



    В итоге выбор модели подключения DPI-зависит от требуемой отказоустойчивости и функциональности.

    О чем мы пишем в корпоративном блоге VAS Experts:

    VAS Experts
    Разработчик платформы глубокого анализа трафика

    Комментарии 18

      +1
      Сценарии использования

      Не вижу ничего про товарища майора.
        –1
        Пожалуйста: материал из нашего блога и вебинар.
          +1
          Я о том, что это очень показательно, что вы не включили этот раздел в «сценарии использования».
            –1
            Кажется, «секрет Полишинеля» раскрыт.
        +3

        А как же сетевой нейтралитет?

          –1
          Как и с применением любых систем, необходимо следовать локальному законодательству. Тему мы рассматривали в одном из наших материалов. Как показывает практика, ситуация может меняться.
            +1

            Законодательство это одно, в конце концов немцы, когда жгли евреев тоже следовали локальному законодательству. Меня интересует общечеловеческие ценности и вопросы морали, а dpi это такая штука, которая очень легко будет вести к злоупотреблениям, поэтому если вот так вот просто снимать с себя ответственность в пользу локальных законов, то это ничто иное, как сделка с совестью.

              –1
              Давайте поговорим об этом. К сожалению, ваш провайдер как юр.лицо не влияет на законодательство и не может участвовать в его реформировании. Но соблюдать он его обязан. Отсюда — возможность (или отсутствие) заниматься приоритизацией трафика, если вы о сетевом нейтралитете говорите.
                +1

                Наш провайдер как минимум может в содружестве с другими лоббировать интересы своих пользователей.
                Дальше, если юр лицо не может не соблюдать эти правила, то его сотрудники вполне вправе в случае несогласия с генеральной линией просто написать заявление на увольнение, в результате чего соблюдать всякую дичь просто будет не кому.
                К тому же даже если им деваться некуда из за ипотеки и прочих обязательство, то уж разработчики точно могут держаться подальше от всех эти мутных тем с DPI, к чему я их и призываю.

                  0
                  — Нас так учили, понимаете?..
                  — Всех учили. Но почему ты оказался первым учеником?

                  Е.Шварц
                  +3
                  Вы рассматриваете DPI с точки зрения пессимизаций какого-либо трафика. Конечно, есть операторы, которые ограничивают протоколы. Но DPI нормальные провайдеры используют во благо. Например, распределение приоритетов внутри пользовательской полосы. Это когда вы скачиваете торрент и youtube не страдает. Очень сильно повышает лояльность пользователей.
                    +1

                    Такое уж время и хотелось бы чтобы только такое использование DPI и было разрешено, а во всем интернете были хорошо прописаны базовые права в цифровую эпоху.

                      +2

                      А вообще, в идеальном мире хорошо было бы чтобы клиент имел доступ к настройкам этого самого dpi относительно своего трафика.

                        +2
                        Я вот не согласен. В идеальном мире все сервисы должны просто работать и клиент не должен догадываться о каком-то DPI. Пусть специалисты провайдера там ковыряются, они за это мой месячный платеж получают. А если плохо наковыряли — я уйду к другому провайдеру, у нас же рынок.
                          +3
                          В идеальном мире вас не ограничивают одним из двух предложенных вариантов, а каждый может найти себе что-то что ему ближе.
                        0
                        DNS, MPEG4 и HTTP.
                        Эх… а раньше в первых строчках где-то был ssh
                      • НЛО прилетело и опубликовало эту надпись здесь
                          0

                          Пожалуй вы правы

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое