DPI се подготвя за нова вълна. Максимално удовлетворение на клиентите при минимизиране на разходите. Ефективно Proxing за байпас IP ключалки

Предлагаме на Вашето внимание интервю с човек, а не да е запознат с устройството и спецификата на работа. В днешния разговор обсъждахме въпроси, които са актуални напоследък И за руско-говорящия сегмент на интернет: ролята на държавата и нейната мрежова цензура, както и докосва примери за скритото управление на интернет и обществото и обществото за примера на Китай.

Самият герой на интервю искаше да остане анонимно. Това е бившият руски ИТ специалист, който живее в континентален Китай в продължение на 6 години, работещ в местната телекомуникационна компания от старши администраторски инженер. Това е сериозен разговор за мрежовите технологии ... предпочитан срещу самата мрежа, както и за бъдещето на глобалната мрежа и откритостта на нашето общество.

Случаят дори не е в инициативите на руската държава - като гъбите започнаха да се появяват вече частни фирми, които предлагат собствени решения Обшивка на мрежата, същите филтри за трафик в списъците на Roskomnadzor и Министерството на правосъдието, като известния редуктор на въглерод. Ето защо си струва да разгледаме този китайски опит с цялата сериозност и внимателност, за да осъзнаем цялата дълбочина на този норка предварително, в която сме толкова усърдно да се опитваме да лопата.

- разкажете ми за голямата китайска защитна стена, която самите китайци наричат \u200b\u200bкато "златен щит", в който е той технически план? Каква е основната му цел?

В момента това са три компонента, три дракон, на които се основава - дълбоки технологии за инспекция на пакети, свързваща сонда и поддържащи векторни машини (SVM). Всички заедно, те са много напреднал филтър, който блокира достъпа до забранени ресурси на комунистическата партия от външния интернет.

В същото време тя заявява, че той твърди, че трябва да защитава психиката на китайците от намереното влияние на Запада, според други, това е откровено държавно цензура на международната част на интернет.

- Да разгледаме подробно всеки от тези компоненти. И така, какво е дълбока пакетна проверка?

Говорейки накратко, това е технология с ниско ниво и филтриращи мрежови пакети по тяхното съдържание. Тук веднага трябва да държите червена функция: фундаментална разлика от всички познати пожарникари е, че DPI анализира не толкова пакетни заглавия (които, разбира се, също), колко се разбива в съдържанието на транзитния трафик в OSI нива от второто и по-високо.

Подчертаваме всичко това се прави в реално време и от гледна точка на външния наблюдател, без закъснения или трафик с трафик са практически забележими.

- В Русия наскоро пишат много за въвеждането на DPI, много федерални оператори (особено това се отнася до мобилните оператори) Дори твърдяно вече го има в работна форма. Възможно ли е да се каже, че сме приети от китайски опит?

Руски и китайски DPI, в допълнение към цялостното име и принципи на работа, практически нищо не се обединява. Въпросът тук е основно върху мащаба и сериозността на тяхното прилагане. Тъй като е очевидно от описания по-горе метод на работа, DPI консумира прекъсване на ресурсите, защото всички многобройни операции, произведени от тях (например, дефрагментиране на пакети, тяхното разопаковаване, разпознаване на типове данни и протоколи, съдържание на сканиране, многобройни евристика и много повече) трябва да се появят в реално време. Следователно основният критерий за степента на сериозност на ДПЗ е дълбочината на транзитния анализ на трафика, който може да си позволи тази система, за да се поддържа приемливо ниво на латентност.

Ако имате аналогии с Antivirus technology - колко дълбоко може да си позволи да се потопите в процесора емулатор код за проверяване на файла? Дори ако техническите възможности и ресурси ви позволяват да преместите кода до безкрайност, потапяне във всички нови клонове и процедури, общите изисквания за системна латентност винаги имат вълна от специфични ограничения, така че дълбочината на потапяне винаги е ограничена.

Често в тази ситуация се прилагат технологично или оптимизиране на ноу-хау и можете да отидете в противен случай - просто радикално увеличаване компютърна мощност. Така че, когато говорим за китайски DPI, трябва да разберете, че това е последният начин - той е реалистичен за центъра за данни с най-истинския районния град, който използва интелигентността на ROOH (рояка Intellegence) за управление на данните за балансиране и обработка между безбройните данни възли.

Връщайки се към въпроса - ако местните изпълнения на DPI струват, доколкото си представя, до 50 милиона долара, тогава китайската национална система се приближава към милиарда. Руският DPI е технически неспособен да извърши наистина дълбок анализ на преминаването на пакети и това означава, че бариерните бариери потенциално ще струват на страните от квалифицирани потребители с много различни начини. Затова руската DPI китайска завръщането ...

- Отидете на втория китайски дракон - какво е "свързваща сонда"?

Това по-нататъшно развитие на DPI е сплайсинг на прокси сървър и механизъм за филтриране на ниско ниво. В този случай, когато се опитате да се свържете с всяка услуга извън националния мрежов шлюз, "замразяването" на такова искане и последващата усъвършенствана връзка от целевия адрес е вече от името на DPI. Това, така да се каже, проактивна система за тестване и идентификация на вида на заявените в външен интернет Услуги.

Ако, например, използвате услуга, забранена в Китай, нейният клиентски протокол трябва да бъде сериозно описан, за да може да преодолее механизма за подпис на търсачката на DPI. Когато се използва срещу вас, свързващата сонда ще изисква отстъпление за отговор вече от сървъра, т.е. Като цяло няма да можете да използвате стандартни обществени услуги в случай на забраната им.

Понастоящем връзката сонда позволява достатъчно и ниски ресурси за определяне на вида на външната услуга, която потребителят от Китай иска да използва. Ако имате по-престой постоянен пример, тази технология е успешно приложена срещу мрежата I2P наслагване на мрежата, след което е блокиран в Китай.

- Между другото, какво мога да кажа за Tor, i2p или VPN системи? Как наистина са ефективни в условия на подобна агресивна цензура на мрежата?

Не искам да изчезнат никого, но те са неефективни и изобщо не, те изобщо не са като шум на "народния молвер" - всички системи, споменати в Китай, отдавна са блокирани. Освен това можете да блокирате tor или i2p можете да десетите различни начини, най-лесният от който е блокирането на bootstrap-процедури по време на инициализацията на техните клиенти. Блокирайте по такъв начин входни възли на тези мрежи (например, възли на директория Tor) е тривиална задача дори за администратора на средния ръб. Ако говорим за възможностите, че правителството на Китай, преди всичко, имам предвид високотехнологията DUBIK DPI - това е тривиалната задача.

Можете да погледнете в I2P NetDB - няма възел с китайски IP, но ако погледнете отворената статистика на потребителите на услугата на TOR, тогава те определят максимума от 1000 уникален китайски IP на месец и това е много милиарда Доларната страна като Китай, която има най-големия интернет - потребители в света.

Между другото, в този случай, "пробивът" китайците прилагат OBFSproxy, въпреки че блокирането му, доколкото мога да преценя, на този етап от развитието на великия китайски Firevola не представлява технически трудности, просто е лишен от Значение поради малкия брой потребители на тази екзотична технология, както и постоянни неуспехи в нейната работа.

- Как са нещата с VPN и SSH?

Ситуацията с VPN е доста противоречива - отделни доставчици са агресивно потиснати, някои почти не. Ключалките му са широко известни Китай Unicom - един от най-големите основни доставчици на континентален Китай. В момента те се определят и повече от 5 разновидности на VPN са заключени. За да бъде по-конкретен, това е: OpenVPN, PPTP, L2TP, SSTP и Cisco.

В допълнение, когато следващият конгрес на китайската комунистическа партия минава, интернет се филтрира така, че дори това, което работи в спокойни времена, може да спре да работи в наши дни.

Говорейки по-общо, доколкото знам, правителството на Китай ще лицензира сферата използване на VPN., т.е. след като съответната държава регистрация е разрешена приложение VPN. За правни бизнес цели и ще бъде вашата собствена версия на протокола OpenVPN. След влизането в сила на този закон всички VPN-протоколи, различни от държавната версия, ще бъдат изцяло "рязане" на трансграничния портал.

Що се отнася до SSH услугата, опитите на нейните ключалки също имат място. За редица косвени знаци, такива тестове се извършват в обществени мрежи, в такива случаи можете да намерите много отпаднали или неуспешни връзки с типична грешка "Идентификация на лоша протокол". В същото време, когато се опитате да се свържете със сървъри извън Китай, впоследствие можете да видите няколко фалшиви опита за свързване от китайски IP, предшестващ най-отхвърлената връзка. Вероятно този скрининг на вида на хост връзката тип, която вече обсъдихме по-горе.

Често такива тестови връзки са взети за груба сила, въпреки че в този случай Това е по-скоро опит за пасивната идентификация на отдалечената система / протокол върху характеристиките на характеристиките (сканиране на пръстови отпечатъци).

След идентифициране на такава услуга, нейният адрес се въвежда (като правило, за 1-3 месеца) към съответните филтри и списъци за спиране, за да се избегнат рекурсивни запитвания, за да се спестят ресурси за запазване и идентифициране на хоста. Такива филтри постепенно се попълват с услуги, забранени в Китай. Така че, наред с други неща, поради свързващата сонда, основата на великия китайски Firevola нараства в автоматичен режим и се разширява.

- За да направите нашето описание пълно, нека погледнем последния зловещ дракон - поддържащи векторни машини (SVM).

Бих искал да подчертая, че както сондата за свързване, така и още повече SVM, трябва да се разглежда като разширение, дори по-голямо DPI интелигентност. Методът на поддържащите вектори (SVM) е още една стъпка в тази посока. Това е алгоритъм машинно обучениеИзползва се за автоматично класифициране на големи разтвори на хетерогенни данни.

Вече обсъдихме, че DPI е филтрираща машина, което прави някои данни в потока според статични правила или подписи. За разлика от това, SVM прави възможно сканирането на интернет поток въз основа на статистически анализ Без твърди правила. Например, анализ на честотата на определени знаци, дължини на пакети, анализ на подозрителна дейност с задайте адреси, Обърнете внимание на различни дисбаланси и мрежови аномалии, това открива скрити модели. SVM е интелектуална дюза върху DPI, която, продължавайки с нашата антивирусна аналогия, въвежда евристични способности ("свиване" евристично към процеса на филтриране на интернет трафик.

Ще дам пример: в Китай е невъзможно да се спомене годишнината от протестите на площада на Тананмън в Пекин на 4 юни 1989 г., когато много ученици бяха буквално смачкани от резервоари на вълната на големи бунтове. DPI, динамично сканиращ национален трафик, блокира всеки URL адрес със споменаване на посочената дата.

След като китайците започнаха да означават тази дата, като 35 май (и много други гениални начини) обичайният анализ на подпис е бил значително труден. Но EuRICS на SVM дойде в спасяването, може да признае контекста, да открие такива "подозрителни дати" с минимална човешка намеса.

- Възможно е всичко, което се казва, възможно ли е да се каже, че планираното въвеждане на "всички руски" DPI от страна на Rostelecom е вид зловещо предзначение, черен етикет за целия рут?

Трябва да се разбира, че самият DPI е най-мощният модерен инструментИ как ще се използва, е случаят с моралните и професионалните принципи на тези хора, в чиито ръце ще бъде.

Така че DPI ви позволява да извършите огромен брой полезни за мрежата - много световни доставчици го използват за контрол и балансиране на трафика, мобилните оператори с него събират подробна статистика за всеки отделен потребител, също така тази технология ви позволява да контролирате адаптивно прехвърлянето Оценете отделни опаковки (QoS) и много други. Като цяло, DPI предоставя огромна сума уникални възможности В широк спектър, от висококачествено оформяне за създаване на напреднали шпионски системи от тип призма.

- Резюме от китайските градове - центрове за данни и тяхното ултра-модерно техническо пълнене, какво е китайският интернет от гледна точка на външния наблюдател? Какви са неговите характеристики на развитието, каква е нейната специфичност на адаптацията към подобна цензурираща среда?

- Факт е, че самият интернет е не само в Китай, е доста реактивна среда. Методите за обикновена цензура въз основа на технически средства и груби забрана са слабо приложими за него.

Например, ако един популярен блогър напусне своето критично мнение за правителството на КНР в блога си, преди цензурата, няколко кръстосани публикации на изходното съобщение ще имат време да се появят и блокират. И тогава, ако цензорите започват да ловуват с всички тях, често спонтанно предизвиква ефекта на Streisand - опит за затваряне на информация, напротив, привлича още повече внимание към общността. Това явление е следствие от висока реактивност и самоотразяване на мрежовата среда.

Ето защо, въпреки огромното количество реална цензура в Китай и блокира понякога цели портали на мащаба на голяма информационна агенция, наскоро в страната набира скорост на алтернативната тенденция за използване на нетехнически методи за въздействие върху общественото мнение. Тяхната основна същност - ако сте натиснали устата на противника в мрежата, не винаги е възможно, тогава защо да не водим такива дискусии в посоката, необходима за държавата?

- Прочетох, че наскоро бе обявено, че Китай създаде разделение на държавните анализатори на мненията в интернет, което вкара 2 милиона служители. Предполага се, че тези анализатори ще патрулират виртуалното пространство като основната им работа. Те нямат право да премахнат всякаква информация - задачата им да контролират интернет тенденциите, да изучават обществените настроения на гражданите на ЦНР, както и да ги манипулират според специална техника.

- Да, това е най-невидимата армия на мрежата, чиито оръжия са специални методи за скрито въздействие върху мрежата. За да изясним тази стратегия по-изпъкнала, ще дам истински случай.

Преди около две години китайският интернет избухна от доста странен случай на смърт. Един млад човек, който беше арестуван за незаконно съкращаване до къщата, влезе в китайски затвор. Там той умира след няколко дни с доста странни обстоятелства. Властите официално обясниха причината за смъртта му, че "в затвора той изигра скрива и търси с моделите и, препъвайки се, падна, удряйки главата си за стената." Китайският интернет беше много ярко вдигна тази история, само едно цифрено повикване: на QQ.com. През деня повече от 50 000 коментара се появиха в този случай, всички други интернет платформи също бяха буквално пренаселени за смущение от абсурдността на този инцидент. Да се \u200b\u200bкаже, че цензорите просто физически не се справят с премахването на следите от "Хората" на тези дни - да не казват нищо.

Според забавлението съвпадение, йероглиф "играят скривалище" на китайски има второто значение - "бягането от котката", отколкото китайските блогъри. Дори и след няколко години в интернет, можете да поздравите огромен брой споменали тази история за затворника, починал в китайския затвор. който се блъсна на стената, опитвайки се да избяга от котката" Блогерите се опитват да внесат своята версия на своята версия за фаталната котка, за да донесат абсурд на официалното обяснение до границата, която той е довел до това, което ще се нарича "Интернет МЕМ". Тогава китайският интернет сегмент беше просто строго, цензорите не можеха да повлияят на ситуацията, с техните действия за вземане и премахване на посланията само да изливат масла в огъня, като поръсват недостраняването на маховика и остра критика на правителството на КНР.

И тук, на върха на недоволството, нещо се случи: напълно различен правителствен екип включваше играта, която вместо предишните опити за масивно затваряне на ресурсите неочаквано предложи конкуренция сред най-известните блогъри в Китай. Самите интернет потребители бяха предложени да изберат 5 от най-авторитетните блогъри за тях, които впоследствие дадоха пълен достъп до сцената. Властите им дадоха всички данни, всички факти, свободен достъп до всички свидетели. Тези блогъри изляха мрежата със своите снимки и коментари от сцената, но никога не успяха да добавят нещо ново в достойнствата на тази странна смърт.

Но нещо се случи с общественото мнение - веднага след като информация от сцената започна да тече от независими източници и в огромни дози, веднага щом всички данни станат най-отворени, колкото е възможно - хората почти веднага загубиха интерес в този случай и Степен на възмущение бързо отиде на не. Така, след тази намеса, се оказа бързо да потисне тайфун на антиправителствената епидемия.

По очевидни причини не е възможно да се каже много подобни инциденти в Китай, но е важно за всички такива истории - методите за контрол се развиват, ставайки тънка, скрита и разнообразна. В допълнение към плътно и замразено цензура чрез чисто технически ключалки, в случай на мрежови епидемии се прилагат напълно различни технологии за въздействие върху общественото мнение.

Следователно не е необходимо да се подчертава вниманието само върху техническите средства, които в Китай също се развиват бързо, тъй като са създадени и почитани пряко нови технологии за управление, където всички предимства на интернет често се опитват да използват с a обратен знак - вече за скрит контрол и ограничения за свободата на мненията.

- Възможно ли е по някакъв начин да се сравни интернет на Китай с обичайното рутене според степента на свобода на техните граждани?

- на самия по-ниско ниво В Китай наистина не е практически цензура - ако ги погледнете социални мрежиТе са пренаселени от слухове и обвинения на власт, където истината и безсмисленията на Франк са навити на общата топка на емоциите. Почти никой не го чете, както и лична стена, мисля, че 70% от нещастните участници в нашата социална мрежа vkontakte, които са свободни да пишат там всичко, което отнемат.

Следното ниво е систематична критика, аргумент, ярки и активни блогъри с тяхната аудитория, тук има вече определено напрежение, има активна цензура и премахване на провокативни съобщения. За тримесечие, според данните на киреметолога, царя от Харвард, органите за цензурата на КНР са премахнати до милиони съобщения и коментари към тях. И накрая, третото ниво е най-добрите блогъри с огромна аудитория. Или това са ситуации, в които изстрелват някои тема и получават широк обществен и мрежов резонанс.

Тук са възможни различни варианти Активно противодействие и наказание: Ако блогът на инициатора може да бъде обвинен в нещо, може да бъде арестуван, изваждайки "възпаления зъб с корена". Ако мрежовата епидемия е твърде силна и делокализирана, "мрежовите специални сили" са свързани към случая, който се опитва да "дръпне пара", като използва различни технологии за контрол на гениалното общество чрез мека сила (например, описаната история неуспешен опит Борба с затворника от котка).

Всички тези три едновременно съществуващи нива създават противоречиво мнение и определено объркване, често първото впечатление за лице от трета страна на фалшива пътека. Така че случайни и външни хора по отношение на страната ("туристи") виждат много антиправителствени критики в безименните сметки, което създава фалшиво чувство за относителна свобода. От друга страна, миналата година властите бяха арестувани на веднъж 6 известни блогъри и бяха хвърлени в затвора, обвинявайки ги в "разпространението на слухове за подготовката на военния преврат".

В последния случай не е необходимо да се опитват твърде сериозно да се разберат официалните формулировки, защото когато Уикипедия е била затворена тук, тя е оправдана от борбата с пропагандата на агресията и насилието, която тази безплатна онлайн енциклопедия се твърди по целия свят.

- около три "китайски нива" всичко е ясно. Какво може да се каже за анонимността?

- В Китай няма анонимност. В КНР има закони, които обвързват блогърите, за да се регистрират с посочването на техните реални паспортни данни. Това се прави под претекст за "подобряване на доверието в мрежата един на друг и защита на интересите на трети страни".

Съществува и закон, който изисква документира своята идентичност при приключване на споразумения за получаване на услуги за достъп до интернет. Всички обекти, физически разположени в Китай, се провеждат в Министерството на промишлеността и информационните технологии задължителна регистрация, в която е доста педантично боядисана, какъв е мястото и кой е отговорен за какво. По този начин, с какъвто и да е резултат от събитията, винаги има специфична отговорност за потенциалните нарушения.

Добавете към това постоянен контрол на фона (говоря не само за интернет, не забравяйте поне една скорошна забрана в продажбите на оборудването на САЩ от Huawei, която се оказа полирана бъг или историята на Санкт Петербург за китайските ютия, които са впечатлена обществени мрежи Wi-Fi), където целият ви трафик и дейност в мрежата се наблюдават внимателно и логично. Тук, всеки, дори най-техническият потребител на мрежата перфектно осъзнава, че дейността му е фиксирана.

Например, можете да се опитате да използвате VPN или да съответствате на някой в \u200b\u200bчужбина, като използвате PGP, и с дължимите умения и квалификации може дори да работи. Но в същото време всички са очевидни, че самият факт на използването на такива технологии ще бъде записан, че в бъдеще, по време на разположение с други утежняващи обстоятелства, тя може да доведе до вашето преследване. Euristic филтриращи технологии като SVM, между другото, могат автоматично да завладеят използването на почти всяка криптография, която освен това привлича вниманието към трафика и след това на вашия човек.

Формулира основното наблюдение. След 6 години местен живот имам впечатлението, че Китай със своята система обща контрола и периодично твърдо демонстриращи наказания, опитвайки се да продължат да разработват модел на поведение на гражданите, в рамките на който човек доброволно и подсъзнателно подчини на акта на Самодоцензура, непрекъснато дава на доклад, че всяка стъпка или изявление в мрежата е внимателно фиксирана. Желанието да се въздържаме, движимо предимно с драстичен страх, с течение на времето става втората природа.

Затова стигаме до странна дихотомия за по-либерални европейци: официално можете да напишете това, което мислите, но повечето китайски предпочита това да не го правят. След това децата научават това от бащите си, досега поколенията на постоянно лоялната страна на гражданите се отглеждат без своя гледна точка. В това, между другото, лошите корени от тях ще хвалят колективността и патриархалността ...

- Разглеждайки отстрани, каква е вашата прогноза за рутина? В главата на голямата ни страна, физически обслужващ главния клъстер на руско-говорящия интернет, има постоянен президент, полковник КГБ и член на CPSU от 1975 г., какви тенденции в развитието на мрежата очаквате във връзка с тази?

- Разбира се, всичко ще бъде затегнато. Но нека да изразя вашия скептицизъм - аз лично не мисля, че това ще бъде "китайската версия", защото този подход, вярвам, е изключително силно технологичен. Позволете ми да ви напомня, в Русия все още не знаете как да филтрирате индивидуална уеб страница, забранена от съда, варварска сауна веднага пакет ресурси за техния общ IP.

Затова отново повтарям, не плаша местна мрежа "Китайска версия." Най-вероятно липсата на реални технически способности ще бъде компенсирана от бързи законодатели и чисто административна "груба сила". Единственият често срещан с Китай - с течение на времето, такъв натиск ще формира самцелти в населението в населението. Това означава, че Манера си мисли едно, а да се каже (коментар) други, с постоянен хляб на "как това няма да се случи", което, за да го постави леко, далеч от нормалната човешка комуникация и самоизразяване.

Въпреки това, на руските географски ширини, IMHO, това ще доведе до не на смирение, а за непредсказуемостта на "фантома на свободата на населението".

- Завършихме нашето описание на азиатския интернет Последният въпрос, възложен на ръба: име най-екстремните неща за вашите неща, които могат да бъдат направени в китайския интернет в момента?

- Бих отделил две сериозни точки: това са всички изявления срещу самите цензори и цензура, както и всички покани за колективни народни действия в Thelel.

В първия случай Китай прилага усилията на Titanic, за да направи факта на цензурата, контрола и наблюдението по какъвто и да е начин външно усеща най-обикновените граждани на страната, т.е. това явление не се обсъжда и не е фиксирано. Всеки от вашите опити за открито обсъждане на този конкретен проблем, посочете фактите за контрол, най-вероятно ще имат много сериозни последици (пряко пропорционални на степента на убедителност и сериозност на представените факти). Парадоксът е, че днес е по-безопасно да критикуваме ръководството на комунистическата партия, отколкото методите за контрол на мрежата или обществото.

Що се отнася до второто - ако искате да съберете хора с цел - тя ще бъде строго потисната. За пореден път си спомням за основната част от стратегията: личните критични изявления или фрагментираните критики от гражданите са най-често приемливи, но всички опити за колективни дискусии, самоорганизация или единици въз основа на обща възгледи и, освен това, изхода към те са категорично неприемливи. Поради тази причина мрежата е блокирана дори група любители на велосипед, ако се опитват да се събират масово да се съберат офлайн. Китайските власти се страхуват панично от всякаква консолидация на гражданите, но това е тази функция, както аз вярвам, и ще осигуря по-"възрастен" интернет на бъдещето.

Нови потребители (това са 8 души всяка секунда), в Русия интернет прониква в забравените села, а до 2014 г., че 70% от възрастното население ще бъде на линия.

Такъв говорител е изключително положително засегнат от общата ситуация в телекомуникациите - се появява конкуренцията, качеството на услугите нараства, цената попада върху всички нови и нови технологии на пазара - те дори нямат време да гледат на 40g интерфейси, като 100g вече се появява и тества 400-гигабит (между другото, наскоро имаше статия за факта, че Huawei представи и работещо решение). Потребителят ще забави в високоскоростните услуги: YouTube, безразмерно съхранение на файлове, онлайн радиостанции и телевизия, торенти и P2P мрежи. Всичко това едновременно с различни компютри, X-Dads и телефони. Оптиката вече е подлежала на вашия домашен рутер.
Но тъй като няма хумус без добро и добро без тънка е рядкост. Заедно с радостите идват и идват проблеми.
Ще дам само малък списък на най-важните трудности, които доставчиците и абонатите трябва да се изправят днес:

Високо натоварване на канала към потребителя. Въпреки факта, че мрежата на доставчика в реда и трафика на потребителя е поставена в тарифа, по-голямата част от честотната лента на канала е заета, например поток, който ще страда от глас, http и други данни за абонати
- високо натоварване в каналите на доставчиците, когато много абонати работят потоци или p2p
- по-голямата част от честотната лента се занимава с по-малка част от най-активните абонати
- вируси, червеи и зомбита (ботове) онлайн
- DOS атаки върху оборудването на доставчика или абонатите
- пристанищни скенери

Наистина имах тази ситуация, когато нашите пристанища сканираха в мрежата и след това се опитаха да вземат пароли. Научихме за това само на трупите, когато е бил последван активният процес на бруторите.

Какви са способността ви да коригирате ситуацията в обичайната ситуация?
1) Ниво на канала: контрол въз основа на MAC адреси или номер на VLAN. Може да се реализира на превключватели и маршрутизатори.
2) Мрежово ниво: Можете да блокирате потребителите на IP адреси или да забранят достъп до някои адреси / подмрежи в външна мрежа. Прилагани в рутери.
3) Транспортно ниво: доставчик или ИТ услуга на предприятието може да ограничи използваните пристанища. Например, забранява всичко, с изключение на портове 25, 110 и 80 (поща и http). Да направи и може да бъде на рутера
4) Ниво на приложение: На прокси сървъри или защитни стени можете да използвате най-голямата степен на абстракция - имена на домейни. Но защитните стени, общо казано, имат повече възможности, например защита срещу атаки, тънки настройки политик. Те също така осигуряват определена функция за дълбок анализ на пакетите, но в сравнение със специализираните DPI решения, тя е изключително ограничена.

И дори една от популярните решения сега - използването на QoS мрежата не е панацея.

Използвайки горните възможности, е невъзможно да се следи и контролира трафика на много приложения и протоколи, като например: Skype по-специално и VoIP като цяло, Bittorent, P2P, трафик, преминаващ в тунели (Gre, Ipsec, Qinq и т.н.)

От тези и много други глупаци могат да спасят DPI.. Английски звук Дълбока инспекция на пакети. Той говори за себе си - тази технология, която позволява да се анализира дълбок трафик.

DPI както дълбоко, което прониква дори по-дълбоко - тя работи на всички 7 нива на референтния модел OSI. С него можете да разпознаете трафика на почти всички протоколи и да приложите тези или други действия към него.

Прост пример за живот. Веднъж работех на мястото на доставчика на WiMAX. Имахме доста малка абонатна база, но всички физици (индивиди), а достъпът до интернет е около 30 MB / s. Има един проблем с физиците - те обичат торенти и P2P мрежи. Ако всичко е сравнително просто с последното просто - ако доставчикът не направи това, тогава самите потребители са малко вероятно да си сътрудничат, а след това с торенти истински проблеми. Трафикът на протокола BitTorrent е труден за проследяване със стандартни средства, особено след като механизмите за протокола непрекъснато се адаптират към променящите се реалности. Това се превърна в истинска бич на компанията: в час на най-високата лежаща мрежа.
След това компанията е приела тактическо решение: най-простата, достатъчна производителност, и евтин DPI оборудване, доставен на пропастта и проблемите, решени магически начин. Разбира се, в същото време, особено активните абонати бяха ранени, но в този момент беше необходима такава жертва. След това, разбира се, ситуацията беше променена: през нощта ограничението беше омекочено, каналът беше разширен в интернет и др. Но DPI помогна и като инерционен разтвор и сега в тази мрежа се прилага активно, след като остави това място.

Анализът и контролът на трафика могат да се извършват по три начина:
1) Въз основа на статични правила / политики
2) Приложения / протоколи / атаки / вирусна дейност могат да бъдат признати въз основа на подписи. Като правило, рамката за подписване се предоставя от доставчика и се актуализират автоматично с някаква периодичност.
3) Дълбокото трябва да се разбира в определен философски смисъл. Това не е само дълбоко проникване в пакета, но и дълбок анализ. DPI устройствата могат да анализират поведението, приемащата активност в мрежата. Например, ако има много опити за съединения различни портове Един гост, може да се предположи, че работи скенер на порт, и ако е подобен на различни гостоприемници, но на един пристанище може да бъде червей или вирус.
Благодарение на този поведенчески механизъм, DPI може да разпознае нови VoIP, P2P протоколи или други дори преди изхода на съответния подпис.

В допълнение към необходимите неща, които са изброени по-горе, DPI позволява на доставчика да предостави допълнителни услуги.
- Работата на DPI на работата на DPI почти автоматично ще доведе до увеличаване на безопасността на абоната (защита срещу спам и атаки) и комфорта на нейната работа (успоредно с торентите или проблемите на други абонати няма да засегне по-критични услуги, като глас или видеоклип)
- допълнително оборудване може да осигури тестване на трафика за вируси
- В базата данни на DPI можете да организирате родителски контрол, управляван от самите родители чрез портала.

В допълнение, друга убийствена характеристика на такава част от жлезите е безкрайно поле на лайка за събиране на статистически данни. Например, можете да изберете топ 10 посещаваните сайтове или пет потребители, които най-натоварни канали или които от потребителите отиват в забранените интернет сектори. Просторна за вашата аналитична фантазия, като цяло, безкрайна.
Между другото, DPI оборудването може да ви помогне да откриете потребителите, заговор, нещо тъмно, да проследяват своята дейност в мрежата.
По същество, SURK, която задължава да инсталира всички оператори и има DPI, просто не ви управлявайте.

Ако са около 3-4 години, DPI решенията са относителни редки и прерогативни на големи доставчици, сега тази посока набира скорост и става вече модерна тенденция на съвременния телеком. Прилагане и доставчици и обикновени предприятия за мониторинг или контролиране на дейността на техните служители.

Дали това е добро или лошо? Трудно е да се отговори недвусмислено. Въпреки това, рестрикционната политика вече работи сега. От гледна точка на потребителя, ако с широкото въвеждане на оценката можете да наблюдавате, да следите дейността си в мрежата, сега трафикът ви може да бъде контролиран.
Интернет е по-малко подобен на нашата уютна малка мрежа. В Китай това не е глобален деанионизъм на потребителите.
От гледна точка на доставчиците и службите за сигурност са Мана Небето.

В момента има много решения от различни производители на пазара. Чудовища от телекомуникации са ангажирани в това и напълно тясно специализирани непознати компании в широки кръгове на компанията.

Живеех да има голям доставчик, пропуснах пакети, ограничавайки трафика постепенно. Всички бяха щастие. Или почти всички. Докато някой не е казал: "Имаме малко средство за контрол на трафика." Така че в уютната облицована мрежа се появява DPI. Този млад плост с хартата му се изкачва в самата дълбочина на пакетите, където не е да се получи проста защитна стена.

Системите за DPI (дълбока инспекция на пакети) стават все по-популярни, въпреки тяхната астрономическа цена. Сега почти всеки голям доставчик има собствено решение. Cisco разполага с Cisco Sce, Huawei - SIG9800, Juniper -Vxa. Има по-малко известни компании, които произвеждат предимно DPI оборудване. Например, allot или inline телеком с техните сандвин. Изглежда, че дори руски момчета светят: трафик.

И така, какво е толкова забавно тези комплекси, стоящи от някои трансцендентални пари? Вашият повтарящ се служител е посветил няколко месеца от интеграцията на DPI и имам какво да кажа.

Какви са нашите трафик сега?

1. Базирани на MAC адреси или VLAN. Много грубо.
2. Според IP адресите на получателите или подателите. Така че сега често.
3. Според TCP и UDP портове. Така правят.
4. На прокси сървъри могат да бъдат ограничени от име на домейн. Но представяте ли прокси сървър за абонати в мрежата на доставчика?

Въз основа на горните параметри на пакета можете да изградите ACL или да персонализирате QoS. Но сложи ръката на клавиатурата, можете да ограничите достъпа до блога само в LJ, без да затваряте самия LJ? Можете ли да определите трафик на торент от купчината от останалите?

Това е, в твоите ръце, сега имаш дълъг ужасен инструмент, който получава максимум на транспортното ниво (4 от 7). DPI ви позволява да се сринете в дълбочината на пакета, анализирайки данните на всички нива на OSI от 1-ви до 7-ми. Това и дълбоко. Дори тунели без шифроване (Qinq, Gre, MPL и т.н.) към него в зъбите.

И така, това, което той наистина може:

1. Съберете най-разнообразните статистически данни. Почти всички капризи от търговци сега ще ги представите на чинийка.
2. Филтър (изчезнал) трафик по определени критерии. Има очевиден IP адрес + приложни имена на домейни и протоколи. Например, тук се определя сложен трафик P2P или Skype с взрив.
3. Прилагайте всякакви политики за абонатите. Те могат да бъдат като статични - избирате кого и когато можете, и с какви приоритети - и динамични - има някъде един централизиран сървър, който отговаря на тези въпроси. Между другото, абонатите могат не само да бъдат конвенционални потребители фиксирани мрежиНо също така например безжични, с всички присъщи атрибути (могат да бъдат проследявани от APN, телефонни номера, метод за достъп - Geran, Utran ...)
4. Предотвратяване на атаки. Говорим за мрежови атаки отвън, като DOS, Port Scanning. Някои атаки също са открити отвътре
5. Благодарение на възможността за огледало и пренасочване на трафика, всички видове приятни неща са възможни, като проверка на поща на спам или трафик от уебсайтове за вируси.

Как Шайтан-машината определя атаките и принадлежностите на трафика в един или друг протоколи? За това тя има три начина:

1. Изрично определени правила ..Ru "в HTTP заглавката;
2. Подпис. Те са подготвени от продавача и съдържат набор от голямо разнообразие от правила, въз основа на които трафикът ще бъде филтриран. Възможно е този файл да бъде готов да вземе предвид вашите желания. Файлът за подпис се актуализира периодично и, в зависимост от производителя или автоматично изтеглете чрез оборудване или трябва да го направите ръчно;
3. Анализ на поведението. В този момент цялата философия на думата дълбоко в заглавието. Много DPI системи позволяват на базата на "странности" в поведението на движението за извършване на действия - определят протокол или откриване и предотвратяване на атака.

Най-лесният пример: стартирате пристанищния скенер. Програмата се отнася до посочения адрес и преминава през всичките 65 535 TCP протоколни порта. Таралежът е ясно, че нито една здравословна програма няма да инсталира такива диви съединения - това е звънене на звънеца за DPI, което е нещо, което се налага на мрежата.

Случайно се докосва и дори копая с интерес към решенията на екипа на Sig9810 - DPI Huavei. Затова ще разкажа за нейната интеграция. Мисля, че принципите на работата на оборудването на всеки друг продавач се различават леко.

DPI оборудването се поставя в пропастта, която е много логична. Това е, много грубо говорене, така че:

Всички трафик, разбира се, преминават през системата, където политиците се прилагат върху нея и всички статистически данни се премахват.

По отношение на желязото, DPI се състои от следните компоненти:

1. Околовръстен път;
2. Устройство за предно край;
3. Back-EDD;
4. PPRF сървър (функция за политиката и правилата за таксуване);
5. Превключватели за свързване между компонентите.

Незадължително:

6. Сървъри (състояние на системата за наблюдение, Syslog);

7. Дискови масиви (за съхранение на статистически данни и за сървъри);

8. VAS устройства (услуги с добавена стойност - проверка на спам и вируси, родителски контрол).

Типична схема изглежда така:

Всичко това заедно отнема 2-3 стелажи. Пиеме по ред за всеки от тях.

1) байпас.

Какво се случва, когато добавите друг елемент в мрежата? И още повече багажник? Вярно е, че се появява друга слаба връзка. Байпасът е предназначен да го поправи малко.

В мрежата той е включен първо и предният край вече е свързан с него.

Той има два режима на работа:

1. Защитно. Трафикът преминава директно и не се фокусира върху предния край

2. Работник. Трафикът се обвива на предния край, но в случай, че преминава към директен канал, както и в първия случай.

Байпасът ще се опитва с всички средства за поддържане на връзката.

Преден край се разпада (дъската изгаря) - трафик превключва в защитния канал.

Връзката е разкъсана към предната страна (пристанището изгаря, кабелът е повреден) - трафик превключва в защитния канал.

Електричеството е изключено - трафик превключва в защитния канал.

Байпасът е електрически и оптичен. Електрическият се основава на релето и се използва с медни проводници, т.е. максималната скорост, на канала 1 gb / s.

Оптичният е много охладител. В допълнение към факта, че скоростта на канала е до 10 GB / s, има възможност за отразяване на трафика към задачата - светлинният лъч няма да загуби. Това е, докато трафикът върви по правия канал, копието му се изпраща до предния край. Действията по трафика не могат да бъдат направени други, но статистиката вече може да бъде събрана напълно възможна.

Д.

2) Преден край

Това е здравей в гърлото. Гигабит го носеше през него, в него всеки пакет се разглежда от нападатата, в него е, че трафикът е изложен на всеки абонат в съответствие с политиците.

Всъщност, това е много мощен модулен рутер.

В него има глава - контролният съвет на самото устройство - те обикновено са два - магистър / роб.

Има линейни дъски, отговорни за приемането на трафик, т.е. физически, канал и някои мрежови нива.

Има превключване фабрики, които са отговорни за прехвърлянето на данни между дъските.

И накрая, ръцете са обработващите такси, които са ударили тези купчини, налагат ограничения, събират статистически данни и имат време да взаимодействат с задния край и с PCRF сървъра, искат политики и прехвърляне на данни към тях.

3) назад

Това е огромна плевня, където всичко се съхранява. Има подробности за всички политици, всички събрани статистически данни, подписи, правила за огледално и пренасочване, радиусите се изпращат тук и така нататък. Нещо по всяко време може да бъде премахнато.

По отношение на желязо, Huavei е сървър за острие. Всяка карта е дублирана. Някои от тях са на гореща подмяна, други организират балансиране на натоварването.

4) PCRF сървър

Много грубо казано, той съхранява съответствие: Потребителят е номер на политика. Преден край изпраща идентификатор на абонат към него, той връща номера на политиката, отпред-край иска подробности за съответната политика на задния край.

Като правило, PCRF сървърът е един към много сайтове.

От гледна точка на мрежата DPI можете да разделите на три части:

1) супер висока скорост;

Потребители на трафик

Изчислени от гигабити в секунда

2) Мрежа за взаимодействие на компонент (FE, бъдете, сървър);

Има малък и гиббит трафик (дори тъкат) с интерес. В тази мрежа се случва само официална информация.

3) Контрол и PCRF - задника с външна (за DPI) мрежа.

Това са канали към OMC мрежата (Център за работа и поддръжка) транзит към PCRF сървъра. Също така за целите на услугите - достъп до оборудване и NMS (сървър за управление на мрежата).

На практика

Статистиката може да бъде събрана най-богатата. Ще дам няколко примера:

Общ трафик в града с разделение по различни видове:

Същото под формата на торта:

Какво преобладава хостинг видеоклип:

Топ 10 обекта по брой връзки:

Топ 10 обекта за обема на трафика:

Трафик за всеки абонат отделно в уеб категорията:

Най-активните потребители:

Но пример за прилагането на политик: всичко се прави в движение - и няколко секунди минава между екипа и нейния ефект.

Картината показва политиката, която ограничава политиката общ трафик До 700 KB / s, докато приоритет за видео (зелен) и за P2R (лилав), 200 kB / s е гарантиран.

И този пример за използване на само приоритети. Общото ограничение е и 700 KB / s, най-високият приоритет за видео (зелено), на второ място ftp (червено) и на последното пурпурно P2P

Политиците също могат да заспат много гъвкави:

• ограничаване на общата скорост на движение до блокиране;
• ограничете скоростта на трафика за всяка категория (уеб, видео, p2p, im и т.н.) отделно до блокиране;
• разпределяне на групата за всеки тип трафик (например не повече от мегабит / и, но 200 kB / s трябва да бъдат гарантирани);
• посочете приоритет за всеки тип.

И други по-малко очевидни начини.

Обичам всякакви огромни махина, като Край, Белаза - невъобразимата сила се усеща в наемането на техните двигатели и леката треперене пред тях. Много подобни усещания от работа с DPI. Думите не преминават турбинен поток от въздух от охладители, мигащи десетки светодиоди в тъмнината на машинното помещение, строгата колана на оптичните проводници, протичащи в мистериозен байпас и тези почти неограничени, възможностите, които предоставя. Възможности, които ви правят не от мрежовия администратор, но собственикът.

Бързият растеж и разпространението на голям брой съвременни приложения в мрежите води до факта, че те стават все по-трудни за идентифициране и класифициране. Това води до факта, че съвременните корпоративни мрежи стават невидими за услугите на организациите.

Организациите не знаят как се използват ресурсите корпоративна мрежаКакви приложения работят в нея колко ресурси се използват от нежелани приложения. Липсата на тези знания води до факта, че компаниите не могат да контролират и оптимизират използването на приложения и ресурси на своята корпоративна мрежа. В резултат на това, поради големия брой нежелани приложения в мрежата, претоварването на комуникационните канали и мрежовите ресурси, потребителите имат проблеми с изпълнението на важни и критични бизнес приложения.

Трудностите при откриването на приложения са свързани, преди всичко, с развитието на самите приложения и мрежовите протоколи, които използват. Все повече приложения използват динамично зададени пристанища и следователно традиционни методи Квалификациите на мрежовите връзки на статични TCP / UDP портове не са достатъчни. Приложенията стават все по-затворени и често се използват различни механизми за шифроване и тунелиране. Много приложения в сесиите се приемат както прехвърляне на данни, така и едновременно предаване на гласови и видео потоци. За да получите достъп до приложения, удобно е да използвате уеб интерфейса, тъй като не изисква инсталиране на допълнителен клиентски софтуер - потребителят е достатъчно, за да има само уеб браузър. Използването на уеб браузър е удобен, достъпен и ви позволява да използвате всяко устройство ( персонален компютър, мобилен телефон, таблет и др.) За достъп до приложението. Така много приложения стават "скрити" зад HTTP / HTTPS криптиране протоколи, които им осигуряват предаване и всъщност стават нови транспортни протоколи.

Много традиционни инструменти за класификация мрежов трафик (Например, nbar) не могат да откриват приложения, които използват протокола IPv6 в своя трафик.

Друга тенденция, свързана с разпределението на така наречените облачни технологии, включва консолидацията на всички ресурси на организацията в хостинг доставчика на Центъра за данни. Консолидирането на всички услуги в един център води до факта, че организациите по този начин премахват ресурсите от техните клонове и крайни потребители и стават зависими от производителността и честотната лента на комуникационните канали. Много съществуващи разпределени WAN мрежи са изградени върху остаряло оборудване, което не може да осигури ефективно взаимодействие на потребителски и облачни инфраструктури и въвеждането на облачни услуги поради ниска производителност, липса на възможности за безопасно и надеждно предаване на облачни приложения, както и липса на средства за наблюдение и управление на облачния трафик., Ето защо е необходимо да се разбере колко добре приложенията работят и какво време за реакция от отдалечени потребители.

За такива цели се използва технологията за инспекция на DPI-Deep Packet, устройството или софтуерният комплекс, предназначен за "дълбоко" (до 7 OSI модели) анализ и класификация на пакетите, преминаващи през него. В допълнение към изучаването на пакети за някои стандартни правила, на които недвусмислено можете да определите пакета, принадлежащ към конкретно приложение, да речем, във формата на заглавия, номерата на порта и т.н., системата DPI извършва така нареченото градски анализ Трафик, който ви позволява да разпознавате приложения, които не използват предварително определени заглавия и структури на данни за обмен на данни. Ярък пример за това е BitTorrent. Въз основа на анализа на протоколите, портовете, подписите и т.н., DPI определя кой тип трафик принадлежи този пакет и, в зависимост от дадените правила, тя може да предприеме действия по трафика.

Заслужава да се отбележи, че най-големите играчи и техните продукти на самостоятелния DPI пазар са разпределени комуникации, Procera Networks, Cisco, Sandvine. DPI решенията, интегрирани в рутери, стават все по-популярни. Така правят много - Cisco, Juniper, Ericsson и др. от списъка. Такива решения обикновено са доста компромиси и не могат да предоставят цялата гама от услуги, достъпни за самостоятелни решения. Важно отличителна черта Този DPI е способността да анализира трафика поради събирането на различни видове статистически данни по заявления, по тарифни планове, по региони, по видове абонатни устройства и др. Поради тази причина прекрасният nbar на името на Cisco, въпреки че ви позволява да откривате и контролирате трафика по заявленията, не е пълноправно решение за DPI, защото Той няма редица важни компоненти. Системата DPI обикновено се инсталира на границата на мрежата на оператора в разликата на съществуващите апланти, оставяйки от граничните маршрутизатори. По този начин, всички трафик, които оставят или влизат в мрежата на оператора, преминават през DPI, което дава възможност за наблюдение и контрол. За решения специфични задачи Можете да инсталирате тази система не на границата на мрежата, но да я извадите по-долу, по-близо до крайните потребители, на ниво BRA / CMTS / GGSN / ... може да бъде полезно за тези оператори, които, за редица причини, в допълнение към изхвърлянето външни канали Също така искат да решават задачата да контролирате вътрешния. Естествено, ние говорим за доста големи доставчици на услуги с голяма разпределена мрежа от мащаба на страната и с доста скъпи канали.

Основният проблем на всички съществуващи DPI решения е, че за да се определи недвусмислено принадлежността на един или друг поток от данни към един от мрежови приложенияУстройството, което извършва трафик, трябва да види и двете посоки на сесията. С други думи, входящи и изходящ трафик В рамките на един поток трябва да преминат през едно и също устройство. Ако оборудването разбира, че вижда само една посока в сесията, тя няма способността да корелира този поток с всяка известна категория трафик с всички последващи последици. В това отношение, когато става въпрос за контрол на апланта, възниква много логически въпрос за асиметричния трафик, който за повече или по-малко големи оператори не е екзотично, но най-обичайно. Различните доставчици решават тази задача по различни начини.

Какво следва?

Изпълнение на QoS.

От гледна точка на работата, операторът може да контролира рециклирането на канал, свързан чрез DPI на нивото на приложението. Преди това задачите за изпълнение на QoS (качество на услугата) бяха решени единствено чрез опашки за изграждане на базата на маркировката за трафик чрез сервизни битове през IP, 802.1Q и MPLS заглавия, подчертавайки най-приоритетния трафик (различни VPN, IPTV, SIP и т.н. , и гарантиране на сигурен производителност По всяко време. Най-добри усилия за движение на трафика, към който е свързан целият трафик на интернет трафика (HSI - високоскоростен интернет), остава всъщност без контрол, което дава възможност на същия BitTorrent да вземе цялата свободна група, която от своя страна, доведе до деградация на всяка друга мрежа. Използване на DPI, операторът изглежда способност за разпространение на канала между тях различни приложения. Например, през нощта, позволете трафикът на Bittorrent да избере повече ивици от деня, в пиковите часове, когато голям брой други уеб трафик отиват в мрежата. Друга популярна мярка за много мобилни оператора блокира Skype-трафик, както и всякакъв вид SIP телефония. Вместо пълно блокиране, операторът може да позволи работата на тези протоколи, но при много ниска скорост със съответната деградация на услугата на предоставянето на услуги от конкретно приложение, за да принуди потребителя да плати за традиционни телефонни услуги или за специален пакет Услуги, позволяващи достъп до VoIP услуги.

Абонатно управление.

Важен момент е, че правилата, въз основа на които се извършват оформянето / блокирането, могат да бъдат определени чрез две основни бази - услуга или на абонат. В първия случай най-простото е договорено, че е разрешено конкретно приложение да се разпорежда с определена лента. Във второто, задължителното приложение към лентата се извършва за всеки абонат или група абонати, независимо от други, които се извършват чрез интегриране на DPI със съществуващите системи на OSS / BSS системи. Тези. Можете да конфигурирате системата по такъв начин, че абонатът Вася, който седмично изпомпва торентите на 100 гигабайта, ще бъде ограничен до края на месеца, скоростта на изтегляне на същите торенти на ниво от 70% от закупената тарифа. И абонатът на петила, който е купил допълнителна услуга, наречена "Skype без проблеми", трафик skype приложения Тя няма да бъде блокирана при всякакви условия, но всеки друг е лесен. Можете да направите обвързващ потребителски агент и да разрешите браузъра само с препоръчаните браузъри, можете да направите хитрост пренасочвания в зависимост от вида на браузъра или операционната система. С други думи, гъвкавостта на тарифните планове и опции е ограничена само от здравия разум. Ако говорим за трафика на мобилните оператори, DPI ви позволява да контролирате товаренето на всяка базова станция поотделно, тя е доста разпространение на ресурсите на БС, така че всички потребители да са доволни от качеството на услугата. Разбира се, тази задача може да бъде решена от мобилното ядро, но не винаги е фискално.

Защо всичко е необходимо?

Всичко това звучи, разбира се, не е много оптимистично, но за много оператори по икономически причини е значително по-евтино да се постави системата DPI да контролира изхвърлянето на канали, отколкото да разшири апланта. И го направете без специални загуби на абонатната база, защото Отдавна е известно, че по-голямата част от трафика се генерира около 5% от най-активните абонати. И в този случай операторът е икономически препоръчителен да намали абонатната база, но да плащат по-малко пари за алкинта, защото Най-активните измами ще изчезнат, поради което операторът е принуден всеки месец да плати доста дълга сума за игра. Това е кошмар кошмар на всеки маркетолог, но в някои случаи губят клиенти - печеливши. Деликатността на ситуацията е, че рано или късно този момент идва, когато всички оператори по някакъв начин ще бъдат оформени с DPI. Тези. Ако днес един оператор ще започне да нарязва торенти, най-активните вдлъбнатини ще отидат в друга. След това натоварването на неговите канали ще бъде съобразено с клиентите, ще започнат да се оплакват, че Web Bulling работи лошо. Операторът ще мисли, изчислява и в крайна сметка да купи DPI. И така, докато всички играчи на пазара не получават подобна система. Разбира се, инсталацията на DPI не изважда задачата от оператора до периодичното разширяване на апланти и увеличаване на скоростта на достъп за абонатите. Точно сега тези разширения няма да бъдат неконтролирани. Тези. Операторът винаги ще знае какъв тип трафик и в кое количество ще мине през каналите си, ще бъде предвидено. Разбира се, когато става въпрос за кутии на стойност 1 млн. Долара, тя не е само в аплодите, е необходимо да се разбере това.

Нови моделни услуги

Ние гладко се премествахме в задачата на развитието на мрежата и нейните услуги. Гледайки как абонатите използват групата, закупена от тях, кои приложения се използват, операторът може да проучи нуждите на всяка категория абонати и да им предложи по-гъвкави и перфектни тарифни планове. Например, въз основа на факта, че абонатите на сребърните тарифи активно използват услугите на трета страна SIP-телефония, можете да им предложите допълнителен пакет, който ви позволява да използвате подобна услуга, предоставена от оператора, но с отстъпка. Останалите абонати, ако желаете да използвате най-евтината телефония, ще бъдат мотивирани да отидете на по-скъп курс, закупуване на допълнителни бонуси под формата на скорост. Можете да излезете с много случаи, това е само един от тях. Подходът е много интересен и печеливш за потребителя, така и за оператора. Тенденциите в развитието на телекомуникационния пазар са такива, че за операторите продават тръбата, тъй като те скоро ще бъдат просто нерентабилни, има много изследвания, потвърждаващи това. ARPU не се увеличава, конкуренцията е висока, оборудването трябва да се подобрява все по-често и по-често, разходите за операторите растат и желанието да се направи печалба не се случва никъде. Задачата на DPI в този раздел е да изпълняват нови услуги за предоставяне на крайния потребител. Някои световни оператори вече се преместват в тази идея с малки стъпки. В Русия очевидно този процес ще бъде дълъг и болезнен, защото За да се постигне задачата, е необходимо да се възстановят мозъците на абонатите на друга честота, която е много трудна, защото Човек не трябва да люлее торенти, но да си купя законно съдържание - не е лесно.

DPI знае как да работи в пакет с различни VAS (услуги с добавена стойност) с системи като антиспам, антивирусен, видеофилми и др. Същността на функционалното е освобождаването на част от трафика съгласно посочените критерии на администратор, на устройството на трети страни, за извършване на по-дълбок анализ и обработка.

Много е лесно да се организира предоставянето на потребители на услуги родителски контролкоито стават все по-подходящи.

Специални услуги

В крайна сметка бих искал да кажа няколко думи за това защо е закупен DPI, с изключение на абонатите на тормоза. DPI оборудване, във връзка със способността си да вижда всичко и всичко, което се случва в мрежата, е много интересно устройство за другари в преследването, без което никъде никъде. С помощта на DPI специалните услуги могат да наблюдават мрежовата активност на потребителя. Можете да го припомнете VPN, HTTPS и други чар, които правят невъзможно да се анализира съдържанието. Разбира се, можете да затворите достъпа на потребителите да не се казва, че сайтовете на органите, които са много подходящи във връзка с най-новите събития в законотворчеството в Русия.

Мрежа неутралност

И накрая, бих искал да кажа няколко думи за неутралността на дългите странични мрежи, която съществува в някои страни. Ако накратко, тогава операторите в отсъствието на претоварване на аплодите сега е забранено да се блокират трафика на правни / правни приложения. Тези. Стартиране на селективно блокиране на всеки трафик вече е разрешен само в случай на претоварване. Но в същото време няма ясна формулировка точно кои приложения са легитимни и кои не са. Чрез логиката само съдържанието може да бъде незаконно, а не приложения. Например, детската порнография изрично се отнася до незаконно съдържание, но HTTP и BitTorrent протоколи, чрез които е възможно да се извърши предаването си - е доста законно. Така че тук все още има доста голямо пространство за спорове, а темата, по мое мнение, е много интересна. Досега не миришей с неутралност на мрежата, затова оператори в ръцете ви - всички карти за управление на карти с помощта на DPI.

Да започнем с дефиниции.

Сутиени. - Рутер за мрежи за широколентови мрежи (широколентов дистанционен сървър за достъп). По същество това е крайното оборудване от страна на доставчика, предназначено за директен достъп на потребителите към интернет.

DPI. (Дълбока пакет инспекция) - технология за натрупване на статистически данни, проверка и филтриране на мрежови пакети чрез тяхното съдържание. Това е според съдържанието, а не от заглавната част на пакета, въпреки че последното също е възможно.

Как и сутиените иDPI. помагате ли да запазите броя на абонатите?

За да отговорите на този въпрос, трябва да разберете защо клиентите си тръгват. Не е тайна, че клиентите идват за ниска цена, но отиват поради лошо качество на услугите. Това обикновено се свързва със загуба на пакети или със закъснението им на нивото на сутиена. Може да има много причини, но най-често срещаната е липсата на хардуерна производителност (натоварване на процесора, проблеми с мрежовия адаптер), софтуерни проблеми (не оптимизирана операционна система, неправилно избран софтуер).

Първият проблем може да бъде решен чрез модернизиране на оборудването, ако е възможно. Решението на втория проблем може да изисква достатъчно дълго време. Трябва да се отбележи, че решението на двете задачи може да доведе до широкомащабни промени в мрежовата операторска мрежа.

В допълнение към проблемите с качеството на услугите, руското законодателство играе важна роля, чиято неизпълнение може да води големи глоби и в специални случаи и преглед на лиценза. Обявеният лиценз може да бъде в три случая:

• използването на несертифицирано оборудване;
• нарушение на изискванията за SURR-3;
• предоставяне на достъп до забранени ресурси (FZ-139, FZ-187, FZ-398, FZ-114).

Мисля, че отговорът на предоставения по-рано въпрос е очевиден: използването на модерно високопроизводително сертифицирано оборудване с настоящ софтуер и изпълнението на руското законодателство е гаранция за опазването и растежа на абонатната база, както и "сигурността" на лиценз за предоставяне на телематични услуги.

Проблемът с ниските скорости се разбра, но с DPI можете да наблюдавате и поведението на абоната. Веднага след като потребителят започна да проучва тарифите на други интернет доставчици, системата DPI ще докладва за това на администратора. Да, да, научете историята на посещенията ви е лесно - е трудно да влезете в пакета за трафик, особено криптиран, но най-често това не се изисква. И тогава е достатъчно ръчно да промените настройките за фактуриране, така че абонатът да има всичко, за да "лети", или да му изпрати писмо с "специална оферта". Освен това, модерният DPI може да направи приоритизирането на трафика, т.е. да направи по-широка лента за сърфиране в интернет, например и ограничаване на скоростта на торентите.

Какви са сутиените и колко струва за телекомния оператор?

Обикновено ролята на сутиена е една единица оборудване, ролята на DPI е друга.

Сутиените могат да бъдат разделени на групи по изпълнението и разходите. От своя страна екзекуцията е софтуер и хардуер, в цената - платени и безплатни.

Напълно общ софтуер Отворен код. (Безплатни) Решения са:

• Accel-PPP (съществува за повечето версии на Linux);
• mPD5 - наличен в източник за FreeBSD.

Свободното на етапа на инсталиране на решението в бъдеще изисква наличието на обучен персонал, който ще бъде ангажиран в тяхното обслужване. Освен това помещенията на сутиени не могат да извършват дълбок анализ на трафика.

Търговските решения могат да бъдат както софтуер, така и хардуер.

Многобройните хардуерни решения предлагат Cisco в серията 6xxx и 7xxx и серия Juniper Networks - MX серия. Huawei Me60 продуктите също получават популярност.

Минималната цена за предишното оборудване започва от 100 хиляди рубли. Тази сума включва шаси, минимален контролен съвет за ефективност и електрозахранване. Надстройката се извършва чрез замяна на контролната платка и свързаните с тях модули, които се закупуват отделно. Максималната цена на хардуерните сутиени може да достигне до няколко милиона рубли, а заявеното изпълнение често остава само на хартия.

В допълнение към маршрутизатора, ще трябва да закупите DPI. Цената на Cisco DPI на вторичния пазар, по-специално Cisco SCE8000-2x10G-E, е приблизително равна на 2,5 милиона рубли.

Общата стойност на тези системи не е ограничена. Консумацията на енергия на хардуера DPI е около 1000-1600 вата, монтираният размер в рафта - 5U. Минималната консумация на енергия е от 500 W, монтиран размер в рафт - 3U. В крайна сметка получаваме чудовище минимален размер В 8U и потребление в най-добрия случай, 1,5 kW енергия.

Възможно ли е да комбинирате BRAS и DPI в едно оборудване?

Да, има такива решения. Но няма много производители на такива решения на руския пазар. Повечето от тях не са отегчени със собственото си развитие, но купуват лицензиран чуждестранен двигател - с всички "дупки" за чуждестранни специални услуги. Единственият, който създаде системата от нулата, е експертите на VAS с многофункционалния им DPI Scat. Решението е толкова популярно, че вече е установено за повече от 600 доставчици - четете тези линии и страницата премина през DPI Scat.

Предимства на DPI Skat

• За разлика от хардуерните сутиени със своя специализиран фърмуер, това универсален разтвор. Софтуерната част на DPI Skate може да бъде инсталирана на всеки X86-64 архитектурен сървър, включително вече съществуващи в организацията.
• Собствен сървър за радиус, но можете да използвате трета страна.
• Автоматична обработка на списък с забранени места на Roskomnadzor и Министерството на правосъдието (FZ-139, FZ-187, FZ-398, FZ-114), включително подкрепа на белия списък.
• Сертифициран CSS - No. OS-3-SPD-1538.
• Roskomnadzor (документ) е тестван по отношение на филтриращия интернет трафик за телекомуникационни оператори, за да се ограничи достъпа до забранени ресурси и спазване на руското законодателство.
• Подкрепа за IC SURR-3 (спазване на изискванията на постановлението на правителството на Руската федерация от 27 август 2005 г. № 538).
• Предварително филтър за SEDPET, RETER за SUMM-2 и SURR-3.
• Пълна подкрепа за IPv6, включително пълнене.
• Мястото, заето в рафта - от 1U, минимална консумация на енергия - от 300 W.
• Преди да го закупите, можете да тествате в собствената си мрежа, за да сте сигурни, че качеството на работа.
• Ако желаете, можете да се интегрирате в мрежата на доставчика изключително като DPI.
• Цената не зависи от хода на валутата.
• Руско-говоряща техническа поддръжка.

Трябва също да се отбележи, че скетът непрекъснато се обновява не само за нуждите на руското законодателство, но и при съвременните изисквания за сигурност. От своя страна, вътрешният софтуер е под защитата на държавата.

Софтуерният и хардуерният комплекс Skat DPI е наличен в три опции:

• Вписване. - само филтрирането на трафика в съответствие с изискванията на федералното законодателство.
• База. - Входни характеристики + Допълнителни опции: предпоставки Sorrect, контролен лампер и приоритизиране на трафика, изпращащи уведомления до абонатите.
• Пълна.- База + Гъвкаво управление на абонати, Поддръжка на бели списъци, CG-NAT и DDOS защита.

Заключения?

В условията на трудна конкуренция, качеството на предоставяните услуги показва връзката с източника на доходи на клиентите. Всичко е просто: интернет доставчиците се борят за вас, техните клиенти и инвестират огромни средства в системата за управление на трафика. Ако имате проблеми - пишете техническа поддръжкаОбадете се на гореща линия. Един добър доставчик винаги ще има техническа възможност да направи конкретна връзка с интернет мрежата по-бързо и по-стабилна.