Введення в DPI: Склад системи і схеми підключення

Привіт, Хабр! Ми в VAS Experts спеціалізуємося на створенні та впровадженні сервісів в області контролю і аналізу інтернет-трафіку. У нашому блозі ми будемо ділитися власним досвідом роботи і розповідати про те, як влаштовані ті чи інші технології, що мають відношення до нашої сфері діяльності.


/ Flickr / Andrew Hart / CC

Глобальний ринок систем глибокого аналізу трафіку (DPI) в 2013 році оцінювався практично в 742 млн доларів США. За прогнозом аналітиків, до 2020 він виросте більш ніж в 6 разів і буде оцениваться в 4,7 млрд. DPI-системи в основному застосовують інтернет-провайдери і оператори зв'язку, які прагнуть захистити своїх абонентів і оптимізувати смугу пропускання до клієнта за рахунок фільтрів, пріоритетів і кешей.

DPI виконує аналіз всіх проходять через неї пакетів аж до 7 рівня моделі OSI і розпізнає програми, які не використовують для обміну даними заздалегідь відомі заголовки і структури. Однак система DPI сама по собі не вирішує проблеми і завдання, описані вище. Вона взаємодіє з іншими пристроями і сервісами мережі передачі даних оператора. Про це сьогодні й поговоримо.

Взаємодія з іншими системами
Стандарти і специфікації для мобільних мереж не розробляються кожним оператором окремо, цим займається створений в 1998 році 3GPP (3rd Generation Partnership Project).

Центральним поняттям мереж, побудованих за стандартами 3GPP, є PCC (Policy and Charging Control). Вирішення цього класу дозволяють персоніфікувати послуги, активно управляти трафіком і якістю обслуговування, використовуючи PCC-правила для прийняття PCC-рішень. Здійснює застосування цих PCC-правил до трафіку функція PCEF (Policy and Charging Enforcement Function). Системи DPI є частиною PCEF, скануючи весь проходить трафік і застосовуючи до нього необхідні політики.

Проте в схемі є і другие елементи, наприклад PCRF (Control Policy and Charging Rules Function) – це рішення по застосуванню політик обслуговування абонентів для встановлення параметрів QoS і правил тарифікації залежно від різних умов. Ще є OCS (Online Charging System), здійснює тарифікацію послуг і контролює баланс абонента.

Слід зазначити систему білінгу, яка зберігає базу даних балансу абонентів і надає її серверу OCS, і репозиторій UDR (User Data Repository), що здійснює зберігання даних користувачів (сервіси, доступні абоненту, параметри QoS та інші). Повний список задіяних компонентів ви можете знайти в нашому блог.

Схеми підключення DPI
Основних схем підключення пристрою глибокого аналізу трафіку до обладнання оператора тут дві – це так звана установка «в розрив» (активна схема) і віддзеркалення трафіку (пасивна схема).

Схема установки «в розрив»

Цей вид підключення використовується для реалізації функціоналу будь-якої системи DPI. В цьому випадку система аналізу трафіку підключається після граничного маршрутизатора в розрив uplink.



Перевагою такої схеми є те, що через DPI проходить абсолютно весь трафік. Це дозволяє здійснювати пріоритизацію, а також налаштувати повідомлення, кешування та інші функції. Однак такий тип підключення володіє істотним недоліком: пристрій DPI стає точкою відмови – якщо воно виходить з ладу, зв'язок повністю обривається.

Але є способи вирішення цієї проблеми:

  • Використовувати в складі системи DPI bypass-пристрій, що в разі виходу з ладу основного фронтенда почне «гнати» трафік через себе (аналіз трафіку проводитися не буде).
  • Використовувати резервну платформу DPI, яка б здійснювала фільтрацію трафіку в разі виходу з ладу основної.
Схема віддзеркалення трафіку

Віддзеркалення трафіку здійснюється через SPAN-порти або оптичні сплітери. При такій схемі можливий аналіз історії відвідувань в реальному часі, переадресація запитів блокування, кешування і робота з бонусними програмами.



Плюсами цього варіанту підключення є мінімальні зміни в структурі чинної мережі і відсутність необхідності використовувати bypass-карту. В цьому випадку є можливість знімати аналітику з трафіку, підключити кеш-сервер і «дзеркаль» трафік на обладнання СОРМ, але весь функціонал системи DPI реалізувати не вийде.

Відзначимо, що обидва варіанти підключення підтримує наше рішення СКАТ DPI, що дозволяє обмежити розмір займаної смуги по групах протоколів, управляти пріоритетом проходять через нього пакетів, блокувати рекламний контент і ін. Більш детальну інформацію про систему ви можете знайти на посилання.

Замість висновку
DPI-системи, які з'явилися в результаті об'єднання декількох більш молодих систем фільтрації пакетів (якщо вам цікаво, історію зародження DPI і інформацію про попередників рішення ви можете знайти на тут, здесь), дозволили спростити процеси підтримки та адміністрування мереж і сайтів, підвищили захищеність останніх від різного роду атак і расширили область застосування технологій аналізу трафіку.

Докладно про те, як застосовуються DPI, ми поговоримо в нашому наступному матеріалі. Будемо раді вашим пропозиціям по темах для подальшого розгляду в блозі.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.