Технология DPI для широкополосного доступа

Телекоммуникационная отрасль по всему миру находится в процессе конвергенции наследованных и новых сетевых услуг к общей IP-инфраструктуре. И хотя глобальные IP-сети создали огромные возможности для пользователей, для роста и трансформации бизнеса, они также привели к возникновению новых проблем для поставщиков услуг, работающих с этими сетями. Одна из таких насущных проблем для поставщиков услуг Интернета — умение контролировать трафик в своей сети.

Так, например, большая и растущая доля интернет-активности приходится на P2P-трафик (peer-to-peer). Как правило он не приносит дохода поставщикам услуг, но занимает немалую долю ресурсов сети. В результате неконтролируемый P2P-трафик повышает издержки и требует дополнительных усилий на выстраивание инфраструктуры сети. Более того, поставщики услуг могут терпеть убытки, когда неконтролируемость тех или иных сетевых приложений ведет к разрушению приносящих доход услуг (например, VoIP), приводя к нарушениям соглашения об уровне обслуживания (SLA). Нарушение SLA могут также вызвать распределенные атаки «отказа в обслуживании» — DDoS.

Решение этих и других подобных проблем находится за пределами возможностей стандартных коммутаторов, маршрутизаторов и межсетевых экранов, которые «заглядывают» в передаваемые пакеты, как правило, не далее TCP/UDP-портов. Поэтому такие устройства не умеют различать, например, приложения, передаваемые поверх протокола HTTP, где помимо Web-страниц могут передаваться голос, видео, мгновенные сообщения и тот же P2P-трафик.

Помочь оператору во всех этих, а также многих других случаях может технология глубокого исследования пакетов — DPI (Deep Packet Inspection). Термин DPI относится к устройствам и технологиям, которые позволяют проверять содержимое пакетов и выполнять определенные действия на основе этого содержимого.

Если пользоваться почтовой аналогией, то пакет — аналог почтового письма, адрес на конверте аналогичен заголовку пакета, информация внутри — аналог полезной нагрузки. DPI — аналог принятия решений по обработке почтовой корреспонденции не только на основе адреса, но и учитывая содержимое письма.

Иногда употребляют более общий термин — DPP (Deep Packet Processing), который подразумевает такие действия над пакетами, как модификация, фильтрация или перенаправление. Сегодня оба термина — DPI и DPP — часто используются как взаимозаменяемые.

Как это работает?

Разнообразие организации IP-связи таково, что для доступа к данным на уровне приложений недостаточно разбирать заголовки пакетов до 4-го уровня. Например, HTTP-трафик может передаваться с использованием стека Ethernet/IP/TCP/HTTP и тот же трафик в 3G-сети использует стек Ethernet/IP/UDP/GTP/IP/TCP/HTTP, где GTP — протокол туннелирования GPRS. Поэтому при анализе пакетов DPI-платформа использует так называемый граф протоколов, который для каждого из протоколов IP-стека указывает возможные способы инкапсуляции на следующем уровне.

Но и «добравшись» по стеку до приложения, не всегда его можно однозначно идентифицировать по номеру TCP/UDP-порта. Не все приложения имеют зарегистрированные в IANA порты (например, Skype). Один из основных методов, используемых в DPI-платформах для этих целей — поверка сигнатур протоколов и приложений. Под сигнатурой понимается шаблон описания данных, который выбирается для уникальной идентификации связанного с ним приложения/протокола. Каждая DPI-платформа хранит библиотеку сигнатур, которая пополняется при появлении новых версий или приложений.

Помимо сигнатурного метода также используется анализ сетевых транзакций, который тоже может иметь специфичные для каждого из приложений и протоколов характеристики (размер полезной нагрузки, количество и размеры пакетов в ответ на запрос, позиция фиксированных строк или байт внутри пакета и т.д.). В арсенале DPI есть методы, основанные на статистическом и поведенческом характере потока данных и другие эвристические методы.

Понятно, что извлечение информации из пакета и ее анализ требуют значительных вычислительных ресурсов, а одно из основных требований к DPI-платформе — выполнять сканирование пакетов на скорости канала передачи данных. Еще одно непременное требование к DPI-продуктам — гибкость применения,то есть возможность добавлять новые возможности и сценарии обработки трафика.

Первое поколение DPI продуктов было приспособлено для решения узких задач и не являлось достаточно гибким для решения возникающих проблем или внедрения новых услуг, что вело к необходимости добавления в сеть нового оборудования. Добавление новых аппаратных средств может быть очень дорогостоящим, а также создавать дополнительные точки отказа, уменьшая общий уровень доступности услуг. Кроме того, применение специализированных DPI-продуктов не позволяет быстро и своевременно реагировать на новые требования.

Второе поколение DPI продуктов — программируемые DPI устройства — позволяет избежать добавления новых аппаратных средств и реорганизации сети. Новое поколение DPI базируется на многоядерных сетевых процессорах, что позволяет выполнять множество DPI-приложений на скорости канала и добавлять новую функциональность, используя только обновление программного обеспечения.

Ключевые проблемы сетевой инфраструктуры

Прежде чем говорить о применении DPI-платформ в сетях поставщиков услуг, несколько слов необходимо сказать об основных проблемах, с которыми поставщики услуг сталкиваются в IP-ориентированном мире.

Во-первых, широкополосные интернет-услуги — товарные сервисы с очень низким коэффициентом доходности. Как только наследуемые услуги мигрируют к IP, они (что важно) создают новые приносящие доход IP-услуги (сверх обычного интернет-доступа), которые обеспечивают высокий уровень доходности.

Во-вторых, поставщикам услуг важно оптимизировать емкость своей сети для предоставления широкого спектра услуг различным абонентам так, чтобы занимаемая полоса и отвечала максимальной удовлетворенности абонентов, и обеспечивала прибыльность услуги.

И, наконец, угрозы DDoS и других атак возрастают. Поставщики услуг должны иметь возможность защищать свои сети от текущих и возникающих угроз безопасности.

Миграция к сетевой инфраструктуре с DPI

Для решения проблем IP-конвергенции многие поставщики услуг используют технологию DPI, что позволяет осуществлять мониторинг и контроль трафика на всех уровнях стека протоколов (в том числе на уровне приложений) на основе набора правил.

Есть три основные движущие силы применения платформ DPI в сети:

• максимизация прибыли от услуг;
• минимизация капитальных (CAPEX) и эксплуатационных (OPEX) затрат;
• ограничение рисков угроз безопасности сети.

Максимизация прибыли от услуг

Функциональность программируемых DPI позволяет поставщикам услуг предлагать широкий спектр прибыльных услуг поверх базового широкополосного доступа. Сегодня многие поставщики услуг сфокусированы на предоставлении базового набора услуг, состоящего из интернет-доступа, телефонии и ТВ-служб. Однако, даже основным телефонным и ТВ-услугам угрожает распространение глобальных интернет-услуг голосовой связи (Skype, SipNet, GoogleTalk) и видео-контента (YouTube, iTunes, Netflix). Для того чтобы оправдать большие средства, которые вкладываются в инфраструктуру широкополосной связи, очень важно, чтобы поставщик услуги отказался от модели «тупой трубы» в пользу модели «умной трубы» с премиум-сервисами.

Используя концепцию «умной трубы», поставщики услуг могут играть ключевую роль в цепочке создания стоимости новых широкополосных услуг.

Премиум-услуги требуют управления трафиком, мониторинга и модификации содержимого на уровне приложений. Например, пользователь может подписаться на игровой сервис, который обеспечивает дополнительную полосу для игрового сайта в определенные часы. Другой пример — премиум-подписка на интернет-услугу «видео-по-запросу», которая предлагает дополнительную полосу для видео реального времени, просматриваемого поверх интернет-соединения. Поставщики услуг могут реализовывать биллинг, основанный на использовании определенных сетевых приложений.

Еще один класс премиум-сервисов связан со вставкой и/или изменением содержимого в потоках приложения. Например, вставка рекламы в видеопотоки позволит транслировать персонализированную рекламу на основе выявленных предпочтений абонента.

Как видно из этих примеров, чтобы принять участие в цепочке формирования доходов от интернет-услуг премиум-класса, оператор должен иметь возможность осуществлять мониторинг и контроль сетевого трафика и содержимого на уровне приложений. Важно также, что DPI-продукты обладают гибкостью для поддержки новых услуг и при соответствующих рыночных возможностях позволяют поставщикам услуг адаптировать свои приложения к динамически меняющимся требованиям рынка.

Максимальное удовлетворение клиентов при минимизации затрат

Не менее важно, чтобы поставщики услуг минимизировали свои капитальные и эксплуатационные расходы при развертывании новых услуг.

Это означает, что требования к сетевым ресурсам должны быть оптимизированы для согласования возможностей по доставке услуги и удовлетворенности пользователей. Эта проблема большинства сегодняшних сетей, потому что сетевые элементы не в состоянии осуществлять управление трафиком выше 4-го уровня. Так как большинство Web-приложений выполняется поверх HTTP на TCP-порту 80, то для стандартных коммутаторов и маршрутизаторов невозможно классифицировать такие приложения и управлять трафиком, он весь классифицируется как HTTP-трафик.

Текущие тенденции в сфере услуг интернет-контента указывают, что требования для управления трафиком непредсказуемы. Поэтому поставщики услуг должны реализовывать новые DPI-решения, где программное обеспечение может быть обновлено для поддержки новых требований к управлению и контролю трафика по мере необходимости.

Эффективно управляя сетевым трафиком на основе приложений, поставщики услуг могут оптимизировать использование ресурсов сети, что влияет на сокращение как капитальных, так и эксплуатационных затрат.

Максимизация сетевой безопасности

DPI также требуются для того, чтобы обеспечить лучшую в своем классе сетевую безопасность. Угрозы, включая такие, как DDoS-атаки, распространение червей, мошенничество с кредитными картами и др., продолжают расти количественно и качественно. Чтобы защитить сети от этих угроз, необходимо внедрять межсетевые экраны на уровне приложений, системы обнаружения и предотвращения вторжений, мониторинг, основанный на идентификации пользователя, услуг и, самое главное, необходимо уметь осуществлять контроль и мониторинг сетевого трафика на основе все более сложных стратегий (например, анализ поведения приложения и аномалий протокола). Таким образом для все более изощренных угроз важно иметь возможность добавлять новые функции обеспечения безопасности в сети по мере необходимости. Новое поколение DPI позволяет бороться с новыми угрозами без замены оборудования и реорганизации сети.

DPI — значительная инновация в области сетевых технологий, которая формирует основу многих современных услуг и услуг следующего поколения.

Для сетей поставщиков услуг DPI-приложения включают в себя персонализацию услуг абонентам, контент-ориентированный биллинг, внедрение ранжированных по качеству и оплате услуг, расширенное управление P2P-трафиком, обеспечение повышенного уровня безопасности и другие возможности.

DPI обеспечивает лучшую визуализацию данных, управляемость, дополнительные возможности создания услуг, повышения их эксплуатационной и коммерческой эффективности.

При выборе DPI-устройства для своей сети прежде всего необходимо рассмотреть набор его функций и решить, какие из них важны для вас, а какие нет и какие из функций вы хотели бы иметь. Например, во многих случаях IP-мобильность не нужна, но нужна поддержка биллинга, в других случаях — наоборот. Будьте в курсе всех доступных возможностей; некоторые DPI не поддерживают функции безопасности, некоторые — биллинг и т.д. Каждый поставщик услуг уникален, и выбор DPI должен отражать его индивидуальные сетевые требования.