Системы анализа трафика DPI сокращают операционные расходы операторов связи и корпоративных заказчиков
17 декабря 2010
Рубрика: Интернет и сети, Мобильная связь.
Автор: Дмитрий Ржавин.

Активное развитие информационных технологий позволяет все более эффективно использовать их для решения бизнес-задач, что приводит к росту зависимости коммерческих компаний от качества и надежности сетей связи. В свою очередь, внедрение информационных систем в бизнесе, а также снижение цен на подключение к сети Интернет для юридических и физических лиц и появление новых способов использования этого подключения влечет за собой стремительное увеличение объемов информации, передаваемой как внутри корпоративных сетей, так и в сети Интернет.

В результате задача контроля, управления, приоритизации трафика и оптимизации общей нагрузки на сетевую инфраструктуру становится крайне важной не только для операторов связи, но и для корпоративного сектора.

Обычно крупные компании ставят перед собой задачу контроля и эффективного управления трафиком для обеспечения работоспособности корпоративных сетевых сервисов, оптимизации загрузки каналов и сокращения затрат на оплату трафика, генерируемого в корпоративных сетях. Схожие задачи решают и операторы фиксированной и мобильной связи, стремясь предложить клиентам расширенный пакет услуг, с целью сохранения рентабельности бизнеса и повышения доходов в условиях быстрого роста объемов передаваемой информации.

Одним из инструментов, дающим возможность получать надежные, актуальные данные об активности пользователей сети и управлять трафиком, являются системы класса DPI (Deep Packet Inspection). Решения на основе DPI позволяют получать полную картину использования сети, выявлять абонентов, которые потребляют большие объемы трафика, а также эффективно управлять трафиком в режиме реального времени, что помогает создавать или оптимизировать сервисные предложения, повышать качество услуг, управлять сервисными политиками и обеспечивать защиту сети и ее пользователей. Исторические отчеты, предоставляемые системой DPI, способны оказать серьезную помощь при поиске неисправностей, а также позволяют грамотно планировать развитие самой сети и сервисов на ней.

Обычно системы DPI устанавливаются на наиболее загруженных участках сети (магистральные каналы и подключения к вышестоящим сетям) и в точках, где требуется управление сервисом. Изучая проходящие через него пакеты (включая поле данных), DPI определяет, к какому типу приложения относится та или иная сессия и применяет к ней правила, заданные администратором. Таким образом, администратор получает возможность блокировать, ограничивать, приоритизировать или перенаправлять на другие системы трафик, соответствующий указанным условиям. Для определения протоколов, DPI использует правила на основе сигнатурного анализа, а также эвристические и статистические технологии, поэтому указанные администратором правила будут применяться именно на основании передаваемого трафика, даже если этот трафик передается по нестандартным для используемого приложения портам. Кроме того, за счет возможности DPI обнаруживать определенные виды аномалий и богатых возможностей по интеграции с другими системами, его можно использовать для защиты от некоторых сетевых угроз.

DPI для операторов связи
В последнее время операторы связи, предоставляющие услуги физическим лицам, начинают сталкиваться с проблемами, которые связаны со значительным ростом количества широкополосных пользователей Интернета, увеличением популярности файлообменных приложений, потокового видео и других приложений, интенсивно использующих полосу пропускания. Происходящие изменения характера трафика могут негативно влиять на качество интерактивных приложений и сервисов реального времени.

dpi_17_12_2010

Использование технологий DPI позволяет получить понимание о сервисах и приложениях, используемых пользователями сети, четко идентифицировать генерируемый ими трафик, что открывает новые возможности дополнительной дифференциации сервисов, предоставляемых конечным абонентам. Решения класса DPI (Deep Packet Inspection) позволяют анализировать трафик вплоть до уровня приложения, что позволяет решать следующие задачи:
• изучать распределение трафика по приложениям, что дает оператору возможность определять, какой объем полосы пропускания занимают определенные приложения, выделять наиболее популярные протоколы и приложения, знать размер средней полосы пропускания на одного пользователя и т. д.;
• оптимизировать и приоритизировать трафик на уровне абонентов и приложений, что позволяет управлять загрузкой важных каналов (внешние подключения, дорогостоящие межрегиональные каналы), используя механизмы приоритизации или динамического ограничения полосы, предоставляемой приложениям того или иного типа. При этом под ограничивающие политики попадает не весь трафик абонента, а только трафик определенного приложения, относящийся к определенному абоненту или группе абонентов. Решение предоставляет возможности по настройке механизмов приоритизации трафика, что повышает уровень обслуживания абонентов;
• создавать новые тарифные планы — управление трафиком на уровне абонентов и приложений предоставляет оператору связи новые возможности по тарификации абонентов и по введению новых тарифных планов. При этом клиенты получают сервисы по доступной цене, а операторы — гарантированную прибыль. Решение имеет механизмы динамического управления политиками в зависимости от времени суток, загрузки внешних каналов, тарифного плана абонента, класса абонента, объема потребленного трафика, размера квоты и т.д.;
• обеспечивать безопасность абонентов оператора за счет возможности выявления исходящих DDoS-атак и спама — решение позволяет обнаруживать и блокировать «зараженных» абонентов, чьи компьютеры создают угрозу другим пользователям Интернета. Это позволяет оператору связи не только снизить нагрузку на службу поддержки, улучшить имидж и репутацию, но и получить дополнительные доходы от заблокированных абонентов путем продажи дополнительных услуг и ПО.

Системы контроля трафика особенно становятся актуальными у операторов мобильной связи при введении в эксплуатацию сетей нового поколения 3G с предоставлением абоненту более широкой по сравнению с GPRS/EDGE полосы пропускания, когда на первый план выходит тяжелый медиа-контент, потоковое видео и обмен файлами посредством peer-to-peer. Системы, основанные на технологиях DPI, позволяют вводить дифференцированные тарифы на передачу пакетных данных в сетях GPRS/EDGE и 3G с возможностью тарификации трафика абонента не только по объему переданных данных, но и в зависимости от сервиса, которым воспользовался абонент.

dpi_17_12_2010_1

Кроме того, с появлением у абонентов все более совершенных и сложных пользовательских устройств появляется вопрос о необходимости предоставления абоненту услуг по защите от различных сетевых угроз. Примером дополнительных сервисов могут быть услуга по защите от проникновения на мобильный телефон злонамеренного вредоносного кода или услуга URL-фильтрация для «детских» тарифов. Предоставление таких услуг безопасности становится возможным при использовании системы DPI.

Ключевые преимущества решения:
• быстрый возврат инвестиций;
• приоритизация критичных приложений;
• легкое добавление новых сервисов;
• улучшение качества обслуживания;
• возможность продажи персонализированных сервисов;
• защита сети оператора от внутренних угроз.

DPI для корпоративных сетей
Одной из важных задач управления корпоративными сетями крупных, территориально-распределенных компаний является обеспечение работоспособности важных для бизнеса приложений. Как правило, в корпоративных сетях крупных компаний, имеющих развитую инфраструктуру, присутствует трафик разных классов: голосовой трафик, электронная почта, репликация баз данных, видеоконференцсвязь и прочий трафик, в том числе трафик пользователей по доступу в Интернет.

Установив в ключевых точках сети DPI-системы, администраторы сети получают возможность обнаруживать и ограничивать сотрудников, потребляющих большой объем трафика личного характера, и пользователей, нарушающих корпоративные политики использования сети и доступа в Интернет, эффективно управлять приоритизацией трафика, обеспечивая уменьшение нагрузки и повышение доступности межфилиальных каналов, гарантируя надежное функционирование критически важных приложений и сервисов, например, IP-телефонии. В зависимости от поставленных задач, DPI-решения позволяют управлять трафиком не только на уровне каналов, но и на уровне приложений, позволяя решать задачи, связанные с:
• сбором и обработкой статистики о загрузке сети, предоставляя администраторам детальную информацию об использовании каналов связи;
• динамической приоритизацией трафика и управлением полосой пропускания для определенных приложений, позволяя оптимизировать загрузку каналов;
• управлением прохождения трафика в сети — используя возможности решений DPI для перенаправления выбранного трафика на другие устройства обработки трафика, администраторы сети могут реализовать:
• проверку трафика на наличие вирусов;
• категоризацию и ограничение доступа к интернет-ресурсам (URL-фильтрация для обеспечения корпоративных политик использования ресурсов сети Интернет);
• защиту от утечек информации (DLP).

При этом DPI-система выступает как элемент корпоративной сети компании, обеспечивая в комплексе с другими устройствами управления сетью, необходимую функциональность.

Стоит отметить, что компания может и не устанавливать у себя DPI-системы, а воспользоваться соответствующей услугой по мониторингу и управлению корпоративным интернет-трафиком от своего телекоммуникационного оператора в случае, если он обладает необходимым функционалом.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте