Не секрет, что стремительные темпы роста объема передаваемой мультимедийной информации и количества пользователей на сегодняшний день являются главной особенностью развития сетевого пространства. Почти каждый день появляется огромное количество новых абонентов, которые сразу же окунаются в мир высокоскоростных сервисов, таких как youtube, онлайн-радио и телевидение, торренты и сети P2P. Однако, вместе с увеличением объемов растут и проблемы с качеством, безопасностью быстротой доставки сетевых услуг.
Как операторы так и простые абоненты, все чаще сталкиваются с такими трудностями как :
– Рост загрузки канала к пользователю. Например, работа торрентов может занимать большую часть пропускного канала и в этом случае даже при нормальном функционировании провайдера и не превышении тарифного траффика, страдает качество приема-передачи голоса, http и других сервисов предоставляемых абоненту
– Перегрузка каналов провайдера, если множество абонентов используют P2P
– Сетевые вирусы, черви и боты
– DDOS-атаки на провайдера или непосредственно на абонентов
– Работа сканеров портов.
Как правило, эти проблемы пытаются решить при помощи блокировки пользователей по ip-адресам или запрета на доступ к определенным адресам во внешних сетях или в подсетях, контроля на уровне номеров VLAN или MAC адресов, ограничения используемых портов, или применения доменных имен на прокси-серверах или файерволлах. Однако, всех этих методов все-таки недостаточно. Максимально полное решение проблем бесперебойной работы, обеспечения безопасности и качества сетевых услуг могут предоставить только специализированные DPI устройства.
DPI (Deep Packet Inspection - с английского «глубокий анализ пакетов») — это технология, позволяющая накапливать статистические данные, проверять и фильтровать сетевые пакеты по их содержимому, что дает возможность проводить глубокий анализ трафика. Такой анализ позволяет распознать трафик любых протоколов и соответственно применить к нему различные действия.
Анализ и контроль трафика DPI устройствами
DPI-устройства производят анализ и контроль трафика тремя основными способами:
1) Распознавание приложений/протоколов/вирусных атак на основе обновляемых баз сигнатур, которые автоматически предоставляются вендорами-производителями dpi-устройств.
2) При помощи использования статистических политик и правил
3) Анализ активности и поведения хостов в сети. Например, если с какого-то IP-адреса производится множество попыток соединений на разные порты одного хоста, это, скорее всего работа сканера портов, а вот если множество попыток соединений производится на разные хосты, но на один порт, то это, предположительно, вирус или червь.
Благодаря такому «поведенческому» анализу устройства DPI могут распознавать новые протоколы VoIP, P2P и т. п. даже до выхода соответствующей сигнатуры.
Помимо перечисленных выше способов контроля за работой сети, DPI позволяет провайдеру обеспечивать более высокий уровень безопасности абонента, защищая его от атак и спама, и делая работу пользователей более комфортной. Это означает, что наличие проблем в сети у других абонентов или запуск торрент-треккеров не отразятся на качестве работы таких критичных сервисов, как голос или видео.Также, дополнительно, dpi-оборудование производит проверку трафика на наличие вирусов. Кроме того, на базе DPI можно обеспечить управляемый родителями через портал родительский контроль доступа к различным сайтам и услугам в Сети.
Для применения DPI-технологии существует два основных варианта решений - интегрированные и самостоятельные устройства. Не смотря на рост популярности интегрированных решений DPI, они не могут предоставить весь спектр сервисов, доступных самостоятельным устройствам. Наиболее существенной особенностью такого самостоятельного DPI является анализ трафика за счёт сбора статистики с распределением по разным типам, регионам, приложениям и тарифным планам разных абонентов.
Решения Allot Communications:
Компании-производители самостоятельных DPI-устройств предпочитают использовать различные поведенческие модели соответствующих протоколов, и,как следствие, точность анализа у них тоже отличается. Одним из ведущих разработчиков и производителей на рынке stand-alone DPI решений является компания Allot Communications. Компания была основана в 1997 году в Тель-Авиве. Вскоре она начала активное продвижение своей продукции в странах Европы и Азии. За время своего существования компания Allot Communications завоевала заслуженное доверие клиентов, в числе которых крупные сервис-провайдеры, телекоммуникационные операторы, хостинг-центры и корпоративные заказчики, такие как Coca-Cola, ВВС и Daimler Chrysler. Разработки Allot Communications в сфере сетевой безопасности входят в состав продуктов Alvarion, инсталлированных и в России. В Японии, Франции, США и Сингапуре были открыты собственные представительства компании.
Allot Communications предлагает своим клиентам модели DPI-устройств в самом широком ценовом диапазоне в зависимости от класса и производительности, которая может колебаться от сотни Мбит/с до 160 Гбит/с FDX. Корпоративный сегмент решений предполагает подключения на невысокой скорости по медным интерфейсам типа 10/100/100, тогда как решения операторского класса рассчитаны на подключение большого количества линков 1GE и 10GE.
Корпоративные решения
Позволяют сервис-провайдерам и предприятиям получать и анализировать информацию о своих сетях в режиме реального времени, что помогает увеличить эффективность использования ресурсов.
Преимущества и особенности корпоративных решений:
- Производится гарантированная защита производительности бизнес-приложений чувствительных ко времени (CRM, ERP, SAP/Oracle, Citrix, VoIP, VPN, Video Streaming и т.п.)
- Ограничение полосы для приложений HTTP, FTP, P2P.
- Максимизация бизнес-использования ресурсов сети и защита инвестиций в существующую сетевую инфраструктуру
- Защита от неравномерного использования траффика пользователями (меньшее количество пользователей не может использовать больший объем полосы пропускания) .
- Мониторинг работы приложений (какие приложения используют большую часть ресурсов)
- Мониторинг использования приложений пользователями.
Операторские решения
Обеспечивают существенную экономию для провайдеров на затратах на интернет, в свою очередь, сами провайдеры могут предоставить потребителям услуги гарантированного качества (QoS) и увеличить количество своих абонентов без необходимости расширять собственные инфраструктуры.
Преимущества и особенности операторских решений:
- Основанное на разграничениях управление траффиком
- Основная полоса не загружается управляющим портом
- Формирование и классификация траффика
- Длительный срок хранения статистических данных и управление трафиком в режиме реального времени.
- Высокая производительность – от 2 до 20Gbps, обслуживание до 20 миллионов одновременных IP-потоков.
- Удобный дисплей и передняя контрольная LCD панель, набор клавиш для простого запуска и работы в реальном времени
Линейка продукции Allot Communications
NetEnforcer
Устройства Allot NetEnforcer осуществляют детальный анализ траффика и управление им в широкополосных и глобальных сетях.
Особенности устройств NetEnforcer:
- Анализ проводится как по отдельным пользователям, так и по отдельным приложениям.
- NetEnforcer дает возможность идентифицировать сотни различных протоколов, приложений и профилей пользователей, динамически распределяя полосу пропускания, согласно с заданных провайдером политик.
NetXplorer
Системы управления Allot NetXplorer предоставляют детальную картину общего трафика сети. При работе совместно с оборудованием NetEnforcer, данные системы обеспечивают весь необходимый набор инструментов для максимальной оптимизации IP-трафика.
Особенности систем NetXplorer :
- Широкий функционал и интуитивно-понятный интерфейс
- Возможность генерировать разнообразные отчеты
- Отслеживание использования полосы пропускания, по каждому пользователю и по каждому приложению
- Анализ различных диаграмм использования трафика.
- Идентификация и нейтрализация атак
- Преобразование коммерческих решений в политики по управлению услугами и трафиком
Subscriber Management Platform (SMP)
Платформа Allot SMP обеспечивает сервис-провайдерам оптимизированную возможность построения интеллектуальной сети, способной предоставлять различные соответствующие сервисы каждому абоненту, и позволяет провайдерам сохранять контроль над общим использованием сетевых ресурсов.
Особенности платформы Allot SMP:
- Управление выделенными ресурсами и установка политик для оптимизации предложений под каждого клиента
- Визуализация активности абонентов
Система Service Gateway
Cистема Allot Service Gateway сочетает в себе производительные мощности DPI и дополнительные службы, представляя собой целиком интегрированную платформу класса оператора.
Особенности системы Service Gateway:
- Идентификация информации о пользователях и приложениях для каждого потока трафика при помощи помощью одиночного процесса DPI.
- Обработка потока данных дополнительными службами, такими как мониторинг , генератор отчетов и качество обслуживания (QoS)
- Дополнительные приложения для фильтрации потока данных, контроль источника для блокировки угроз безопасности, предотвращения отказа услуг и сбора данных для биллинга.
Тенденции развития рынка телекоммуникаций в настоящее время расширяют спектр требований к операторам. Сейчас просто продавать каналы связи становится нерентабельно, а сетевые угрозы и лавинообразный рост сетевого траффика и жёсткая конкуренция среди производителей сетевого оборудования делают использование DPI решений одним из важнейших способов поставлять качественные и безопасные услуг конечному пользователю.