Geekly Articles each Day

DPIテクノロジーブリーフ-ディープパケットインスペクション

数年間、私は積極的にDPIのトピックに取り組み、プレセールを実装し、これらのソリューションを直接実装しました。 ハブのDPIトピックはあまり公開されていないため、このトピックを書くように促されました。そのため、主要なサービスプロバイダーや大企業のユーザーがネットワークのインテリジェントなトラフィック管理に使用するデバイスについて少しお話ししたいと思います。必要です。

基本


DPIシステムは、その名前が示すとおり、通過するすべてのパケットの詳細な分析を実行します。 「深い」という用語は、標準ポート番号だけでなく、OSIモデルの上位レベルでのパッケージの分析を意味します。 パッケージが特定のアプリケーションに属しているかどうかを一意に判別できる特定の標準パターンを使用して、たとえばヘッダー、ポート番号などの形式でパッケージを調査することに加えて、DPIシステムはトラフィックのいわゆる動作分析も実行します。これにより、使用しないアプリケーションを認識できますデータ交換の既知のヘッダーとデータ構造。 これの顕著な例はBittorrentです。 それらを識別するために、Source_IP:port-Destination_IP:port、パケットサイズ、単位時間あたりの新しいセッションを開く頻度など、同じ特性を持つ一連のパケットが、そのようなアプリケーションに対応する動作(ヒューリスティック)モデルを使用して分析されます。 当然、対応するプロトコルの動作モデルの解釈が非常に多いのと同じくらい多くのそのような鉄の製造業者が存在します。つまり、検出の精度も異なります。 メーカーについて話しているので、スタンドアロンDPI市場の最大のプレーヤーとその製品は、 Allot CommunicationsProcera NetworksCiscoSandvineであることに注意する価値があります。 ルーターに統合されたDPIソリューションは、ますます一般的になっています。 多くがこれを行います-シスコ、ジュニパー、エリクソンなど リストによると。 原則として、このようなソリューションは非常に妥協的であり、スタンドアロンソリューションで利用可能なサービスの全範囲を提供することはできません。 ただし、ほとんどのタスクではこれで十分です。 サーバーで実行されているソフトウェア製品(OpenDPIなど)を意図的に示していません。その市場は非常に狭く、原則として企業/キャンパスネットワークに限定されていますが、これは私のプロフィールではありません。 このDPIの重要な特徴は、アプリケーションごと、料金プランごと、地域ごと、加入者デバイスの種類ごとなどの内訳を含むさまざまな種類の統計を収集することにより、トラフィックを分析する機能です。 このため、注目すべきCisco NBARは、アプリケーションを介したトラフィックの検出および制御を可能にしますが、本格的なDPIソリューションではありません。 多くの重要なコンポーネントが欠けています。

原則として、DPIシステムはオペレーターのネットワークの境界にインストールされ、既存のアップリンクが境界ルーターを離れるギャップにあります。 したがって、事業者のネットワークを出入りするすべてのトラフィックはDPIを通過するため、監視と制御が可能になります。 特定の問題を解決するには、このシステムをネットワーク境界ではなく、エンドユーザーに近いBRAS / CMTS / GGSN / ...レベルまで下げることができます。これは、さまざまな理由で外部チャネルの利用率も解決したいオペレーターに役立ちます。内部を制御するタスク。 当然、ここでは、全国に大規模な分散ネットワークを持ち、かなり高価なチャネル容量を持つかなり大きなサービスプロバイダーについて話しています。

DPI市場には、まったく異なるウォレットのモデルがあります。 市場に出回っているデバイスのパフォーマンスは、1つのボックスで数百Mbpsから160 Gbps FDXの範囲であり、通常はクラスターに結合できます。 したがって、コストは数千から数百万米ドルと非常に深刻に変動しています。 企業セグメントの場合、ソリューションには10/100/1000タイプの銅線インターフェイスでの低速接続が必要です。 オペレータソリューションは、複数のリンク1GEおよび10GEを接続するように設計されています。 非常に成人向けのソリューションに関しては、これまでのところ、ネットワーク機器の100GEインターフェイスの市場はかなり少なく高価です。しかし、最初の実際のビジネスケースが登場するとすぐに、DPIベンダーは適切なソリューションを提供します。

既存のすべてのDPIソリューションの主な問題は、データストリームがネットワークアプリケーションの1つに属しているかどうかを一意に判断するために、トラフィックを分析するデバイスがセッションの両方向を見なければならないことです。 つまり、同じフロー内のインバウンドおよびアウトバウンドトラフィックは同じデバイスを通過する必要があります。 セッション内で一方向のみを認識していることを機器が理解している場合、このフローを既知のトラフィックカテゴリに関連付け、その後の結果をすべて関連付けることはできません。 これに関して、アップリンクの制御に関しては、非対称トラフィックについて非常に論理的な問題が発生します。これは、多かれ少なかれ大規模な事業者にとっては珍しいものではなく、一般的なものです。 さまざまなベンダーがさまざまな方法でこの問題を解決しています。

一部のお客様にとって重要なもう1つの重要なポイントは、分析するトラフィックに基づいて署名ファイルを更新する頻度です。 一部のベンダーは四半期に1回、週に1回更新しています。 必要に応じて、重要な更新プログラム(たとえば、Skypeの新しいバージョンを検出するためのテクニックを含む)がカレンダーの期限より前にリリースされる場合があります。 原則として、すべてのベンダーは、サポートされるプロトコルのリストに新しいプロトコルを追加し、あらゆる方法で支援するという顧客の要望に適切に関連しています。 各地域の市場に、他の国では実際に存在しない特定のアプリケーションがあることは秘密ではありません。 ロシアおよびCIS諸国では、最も顕著な例はMail.ruエージェントです。 または、たとえば、次のネットワークゲームの後に同様の要求が発生する場合があります。これは一般的なデータストリームから割り当てる必要があります。

次は何ですか?


今、論理的な疑問が生じます-それで、今、これらすべてをどうしますか? オペレータにはかなり強力なツールがあり、その巧みな使用により、ネットワーク操作とその開発のさまざまな問題を解決できます。

QoSの実装

操作の観点から、オペレータはアプリケーションレベルでDPIを介して接続されたチャネルの使用率を制御できます。 以前は、IP、802.1qおよびMPLSヘッダーのサービスビットを使用したトラフィックマーキングに基づくキューイングによって、QoS(Quality of Service)実装タスクのみを解決し、最も優先度の高いトラフィック(さまざまな種類のVPN、IPTV、SIPなど)を強調表示していました、いつでも特定の帯域幅を保証します。 自宅加入者(HSI-高速インターネット)のすべてのインターネットトラフィックを含むベストエフォートなどのトラフィックは、事実上制御されないままであったため、Bittorrentがその無料帯域全体を使用することが可能になり、その結果、他のWebが劣化しましたアプリケーション。 DPIを使用すると、オペレーターは異なるアプリケーション間でチャネルを配布できます。 たとえば、夜間には、Bittorrentトラフィックが、他の多くのWebトラフィックがネットワークを通過するピーク時の日中よりも多くの帯域幅を使用できるようにします。 多くのモバイルオペレーターの間で人気のあるもう1つの手段は、Skypeトラフィックとあらゆる種類のSIPテレフォニーをブロックすることです。 完全にブロックする代わりに、オペレーターはこれらのプロトコルの作業を許可できますが、特定のアプリケーションのサービス品質の低下に対応する非常に低い速度で、ユーザーに従来のテレフォニーサービスまたはVoIPサービスへのアクセスを許可する特別なサービスパッケージの支払いを強制します。

加入者管理

重要な点は、シェーピング/ブロッキングを実行する基準となるルールは、サービスごとまたはサブスクライバごとの2つの主要なベースによって設定できることです。 最初のケースでは、最も簡単な方法で、特定のアプリケーションが特定のストリップをリサイクルできることが規定されています。 第二に、ストリップへのアプリケーションのバインドは、各加入者または加入者のグループに対して他とは独立して実行されます。これは、DPIをオペレーターの既存のOSS / BSSシステムと統合することによって行われます。 つまり 週に100ギガバイトのトレントをダウンロードした加入者Vasyaが、月末までに購入した料金の70%のレベルで同じトレントをダウンロードする速度によって制限されるように、システムを構成できます。 そして、「問題なくSkype」と呼ばれる追加サービスを購入したサブスクライバーPetitから、Skypeアプリケーションのトラフィックはどのような条件下でもブロックされませんが、その他は簡単です。 User-Agentにバインドし、推奨ブラウザのみを使用してブラウジングを有効にできます。ブラウザまたはOSの種類によっては、トリッキーなリダイレクトを行うことができます。 つまり、関税計画とオプションの柔軟性は常識によってのみ制限されます。 モバイルオペレータのトラフィックについて話している場合、DPIを使用すると、各基地局の負荷を個別に制御し、すべてのユーザーがサービスの品質に満足するようにBSリソースを公平に分散できます。 もちろん、この問題はモバイルコアで解決できますが、これは必ずしも予算に限りません。 私はモバイルオペレーターに言及したので、LTE用のEPC(Evolved Packet Core)パッケージのすべての自尊心のあるメーカーは、モバイルオペレーターの問題を解決するために調整されたPDN-GWにDPI機能を統合していることに注意したいと思います。

なぜこれがすべて必要なのですか?

もちろん、これはすべて楽観的ではありませんが、経済的な理由で多くの通信事業者にとっては、アップリンクを拡張するよりもチャネル使用率を制御するためにDPIシステムを使用する方がはるかに安価です。 さらに、加入者ベースを失うことなくこれを行うには、 トラフィックのほとんどは、最もアクティブなサブスクライバの約5%によって生成されることが長い間知られています。 また、この場合、事業者が加入者ベースを下げることは経済的にはより便利ですが、アップリンクに支払うお金は少なくなります。 最もアクティブなロッカーは去ります。そのため、オペレーターは毎月アップリンクに相当額を支払うことを余儀なくされます。 これはどんなマーケティング担当者にとっても悪夢ですが、場合によっては顧客を失うことは有益です。 状況の繊細さは、遅かれ早かれ、すべてのオペレーターが何らかの形でDPIを使用して何かを形成する時点になるという事実にあります。 つまり 今日、あるオペレーターがトレントのハッキングを開始すると、最もアクティブなロッカーはすぐに別のロッカーに移動します。 その後、彼のチャンネルのダウンロードは大幅にスキップされ、クライアントはWebブラウジングがうまく機能していないと不平を言い始めます。 オペレーターはDPIを考え、計算し、最終的に購入します。 市場のすべてのプレーヤーがそのようなシステムを獲得するまで続きます。 もちろん、DPI設定は、定期的にアップリンクを拡張し、加入者のアクセス速度を上げるというタスクをオペレーターから削除しません。 今、これらの拡張機能は制御されません。 つまり オペレーターは常に、どの種類のトラフィックとそのチャネルをどれだけ通過するかを知っています。これは予測可能です。 もちろん、100万ドル相当のボックスに関しては、アップリンクだけではありません。これを理解する必要があります。 ブロードバンドインターネットアクセスサービスのユーザーとしての最初の近似としての私の個人的な意見は、もちろん、何かを切断してブロックすることは悪いことであり、完全に間違っているということです。 しかし、トラフィックの増加のペースでエンジニアの目を通して見ると、DPIの使用は多くのオペレーターにとって救いになります。 今日の急流は、ほぼすべてのアップリンクを完全に引き締めることができます。

新しいサービスモデル

ネットワークとそのサービスの開発というタスクにスムーズに移行しました。 加入者が購入した帯域をどのように使用しているか、どのアプリケーションを使用しているかを見ると、オペレーターは加入者の各カテゴリのニーズを調査し、より柔軟で高度な料金プランを提供できます。 たとえば、シルバー料金の加入者がサードパーティのSIPテレフォニーのサービスを積極的に使用しているという事実に基づいて、オペレーターが提供する同様のサービスを割引価格で使用できる追加パッケージを提供できます。 他の加入者は、より安価な電話を使用したい場合、より高価な料金に切り替えて、速度を上げるという形で追加のボーナスを獲得するように動機付けられます。 多くの場合を考え出すことができますが、これはそのうちの1つにすぎません。 Allot社は、プレゼンテーションでパーソナライズされたサービスのビジョンを提示しました。その抜粋はハブで公開された資料で言及されています このアプローチは非常に興味深いものであり、ユーザーとオペレーターの両方にとって有益です。 電気通信市場の発展の傾向は、オペレーターがパイプを販売するのがすぐに不採算になるようなものであり、現在行っているように、これを確認する多くの研究があります。 ARPUは増加しておらず、競争は激しく、機器をより頻繁にアップグレードする必要があり、オペレーターの費用は増大しており、利益を上げたいという欲求は消えません。 このコンテキストでのDPIのタスクは、エンドユーザーにサービスを提供する新しいモデルを実装することです。 一部のグローバルオペレータは、すでにこのアイデアに向けて少しずつ進んでいます。 ロシアでは、明らかに、このプロセスは長くて苦痛になります。 目標を達成するには、加入者の頭脳を別の周波数に再構築する必要があります。 トレントをダウンロードしないように人を離乳させ、合法的なコンテンツを購入するのは簡単ではありません。 「合法的なコンテンツはどこで入手できますか?」というトピックについて今すぐ議論を開始したくありません。これは別の歌で、これが地面から消えたことを非常にうれしく思います(たとえば、ivi、omlet、zabavaなど、スマートテレビ販売)。 これらのプロジェクトが停止しないことを願っています。 私はまだNetflixを夢見ていませんが、それは素晴らしいことです。

DPIは、スパム対策、ウイルス対策、ビデオオプティマイザーなど、さまざまなVAS(付加価値サービス)システムと連携して機能します。 機能の本質は、より深い分析と処理のために、管理者が設定した基準に従ってトラフィックの一部をサードパーティのデバイスに迂回させることです。

ごく簡単に、ペアレンタルコントロール用のユーザーサービスの提供を整理することができます。

特別サービス

最後に、いじめっ子加入者を除いて、DPIも購入される理由について少しお話したいと思います。 DPI機器は、ネットワーク上で発生しているすべてのものを見ることができるため、制服を着た仲間にとって非常に興味深いデバイスです。 DPIを使用すると、特別なサービスはユーザーのネットワークアクティビティを監視できます。 VPN、HTTPS、およびコンテンツの分析を不可能にするその他の機能をブロックできます。 もちろん、ユーザーが当局にとって好ましくないウェブサイトにアクセスするのをブロックすることができます。これは、ロシアの立法活動の最新の動向に関連して非常に重要です。

ネット中立性

最後に、一部の国に存在するネットワークの長引く中立性について少しお話ししたいと思います。 要するに、現在、アップリンクに過負荷が存在しない場合、正当な/法的アプリケーションのトラフィックをブロックすることは禁止されています。 つまり トラフィックの選択的ブロックの開始は、輻輳の場合にのみ許可されるようになりました。 しかし、同時に、どのアプリケーションが合法で、どのアプリケーションが合法でないかについての明確な言葉はまだありません。 論理的には、コンテンツではなくアプリケーションのみが違法になる可能性があります。 たとえば、児童ポルノは明らかに違法なコンテンツを指しますが、送信に使用できるHTTPおよびBittorrentプロトコルは完全に合法です。 ですから、まだ議論の余地がかなりあり、私の意見では、このトピックは非常に興味深いものです。 これまでのところ、ネットワークの中立の匂いはありません。したがって、オペレーターはDPIを使用するすべての交通制御カードを手にしています。

結論の代わりに


この投稿が、誰かがDPIの知識を少し構築するのに役立ったことを願っています。 次の反対意見のいくつかのポイントでより詳細に停止することを考えます。それらの要求がある場合、トピックは非常に広範囲です。 不必要な論争を避けるために、私は個人的に、ブロードバンドアクセスサービスのユーザーとして、カットされたりブロックされたりすることに反対しています。 ご質問にお答えします。

Source: https://habr.com/ru/post/J111054/

More articles:


All Articles