Пользователей глобальной сети, по статистике, в мире становится все больше и больше. А так как ресурс сетей не бесконечен, трафик в них нужно как-то оптимизировать. Для этого операторы связи и интернет-провайдеры используют так называемые DPI-системы (Deep Packet Inspection, «глубокая проверка пакетов»).
Как именно DPI делает телеком-сеть стабильнее
Параллельно такая система решает множество задач, но вот две основные — она блокирует нежелательные сетевые протоколы и сайты, анализирует пакеты трафика. При этом важно придерживаться разумного баланса — не заблокировать нужное и не пропустить ненужное. Это достигается с помощью четких критериев фильтрации, где главный — безопасность пользователей.
Также DPI-системы могут заниматься сбором данных, которые оператор далее может использовать для целей маркетинга. Качество этих данных будет достаточно высоким — можно собрать информацию о геолокации, используемых тарифных планах, приложениях, ОС, устройствах и многом другом.
Выбирая конкретное DPI-решения, провайдеру критически важно смотреть на скорость, с которой обрабатывается трафик пользователей. Некоторые решения даже сейчас предлагают 160 Гб/сек, хотя это уже морально устаревшие показатели. По-настоящему качественные решения сегодня на одном процессоре могут достигать цифры в до 200 Гб/сек.
Как работают системы Deep Packet Inspection
DPI-системы работают качественнее традиционных фаерволов, анализируя содержимое пакетов, а не только их заголовки. Поэтому, они находят и блокируют доступ к ненужным ресурсам, а также распределяют нагрузку на сеть провайдера так, чтобы ее общая пропускная способность не снижалась. У отдельных DPI-решений есть возможность защиты от DDoS-атак. Также они учитывают косвенные признаки нежелательных программ и протоколов. Например, пакеты, характерные для торрентов.
Есть три способа установки Deep Packet Inspection:
- Ассиметрично. Здесь система руководствуется заранее заданными правилами. Главное преимущество — все будет работать даже не на очень мощном оборудовании. Однако, не будет возможности пользоваться аналитикой.
- В разрыв. Здесь DPI-решение размещается на границе сети оператора, после пограничного маршрутизатора. Благодаря этому все пакеты идут через DPI.
- С зеркалированием трафика через оптические сплиттеры или SPAN-порты. В этой схеме в сеть вносятся минимальные изменения.
Что внутри у DPI-системы
Обычно они включают в себя сервер и программное обеспечение (сама DPI-система).
Оборудование
Существует больший акцент делается на глубокий анализ пакетов – это происходит в легких после отказа от как SOPA и PIPA счетов. Многие современные методы DPI медленно и дорого, особенно для высоких пропускной способности приложений. В настоящее время разрабатываются более эффективные методы DPI. Специализированные маршрутизаторы теперь могут выполнять DPI; Маршрутизаторы вооружившись словарем программ помогут определить цели , лежащие в основе локальной сети и интернет – трафик они маршрутизация. Cisco Systems в настоящее время на их второй итерации DPI включен маршрутизаторы, с их анонса G2 маршрутизатора Cisco ISR.
Для чего применяется DPI?
Реализация QoS
С точки зрения эксплуатации, оператор может контролировать утилизацию подключенных через DPI каналов на уровне приложений. Раньше он решал задачи реализации QoS (Quality of Service) исключительно средствами построения очередей на основании маркировки трафика служебными битами в заголовках IP, 802.1q и MPLS, выделяя наиболее приоритетный трафик (разного рода VPN’ы, IPTV, SIP и т. д.) и гарантируя ему определённую пропускную способность в любой момент времени. Трафик типа Best Effort, к которому относится весь интернет трафик домашних абонентов (HSI — High Speed Internet), оставался фактически без контроля, что давало возможность тому же Bittorrent забрать себе всю свободную полосу, что, в свою очередь, вело к деградации любых других веб-приложений. С использованием DPI у оператора появляется возможность распределить канал между различными приложениями. К примеру, в ночные часы разрешить трафику Bittorrent забирать себе больше полосы, чем днём, в часы-пик, когда в сети ходит большое количество другого веб-трафика. Другая популярная мера у многих мобильных операторов — блокировка Skype-трафика, а также любых видов SIP-телефонии. Вместо полной блокировки оператор может разрешать работу данных протоколов, но на очень низкой скорости с соответствующей деградацией качества предоставления сервиса у конкретного приложения, чтобы вынудить пользователя платить за услуги традиционной телефонии, либо за специальный пакет услуг, разрешающий доступ к VoIP-сервисам.
Subscriber Management
Важным моментом является то, что правила, на основании которых выполняется шейпинг/блокировка, могут быть заданы посредством двух основных базисов — per-service или per-subscriber. В первом случае простейшим образом оговаривается, что конкретному приложению позволяется утилизировать определённую полосу. Во втором привязка приложения к полосе осуществляется для каждого подписчика или группы подписчиков независимо от других, что производится через интеграцию DPI с существующими OSS/BSS системами оператора. То есть можно настроить систему таким образом, что подписчик Вася, который за неделю накачал торрентов на 100 гигабайт, до конца месяца будет ограничен по скорости скачивания этих же торрентов на уровне 70 % от купленного им тарифа. А у подписчика Пети, который купил дополнительную услугу под названием «Skype без проблем», трафик приложения Skype не будет блокироваться ни при каких условиях, но любой другой — легко. Можно сделать привязку к User-Agent и разрешить браузинг только при помощи рекомендуемых браузеров, можно делать хитрые редиректы в зависимости от типа браузера или ОС. Иными словами, гибкость тарифных планов и опций ограничена лишь здравым смыслом. Если же речь идёт о трафике мобильных операторов, то DPI позволяет контролировать загрузку каждой базовой станции в отдельности, справедливо распределяя ресурсы БС таким образом, чтобы все пользователи остались довольны качеством сервиса. Большинство производителей пакетного ядра EPC (Evolved Packet Core) для LTE интегрирует в свой PDN-GW функциональность DPI, приспособленный для решения задач мобильных операторов.
