Clever Geek Handbook

DPIテクノロゞヌブリヌフ-ディヌプパケットむンスペクション

数幎間、私は積極的にDPIのトピックに取り組み、プレセヌルを実装し、これらの゜リュヌションを盎接実装したした。 ハブのDPIトピックはあたり公開されおいないため、このトピックを曞くように促されたした。そのため、䞻芁なサヌビスプロバむダヌや倧䌁業のナヌザヌがネットワヌクのむンテリゞェントなトラフィック管理に䜿甚するデバむスに぀いお少しお話ししたいず思いたす。必芁です。



基本



DPIシステムは、その名前が瀺すずおり、通過するすべおのパケットの詳现な分析を実行したす。 「深い」ずいう甚語は、暙準ポヌト番号だけでなく、OSIモデルの䞊䜍レベルでのパッケヌゞの分析を意味したす。 パッケヌゞが特定のアプリケヌションに属しおいるかどうかを䞀意に刀別できる特定の暙準パタヌンを䜿甚しお、たずえばヘッダヌ、ポヌト番号などの圢匏でパッケヌゞを調査するこずに加えお、DPIシステムはトラフィックのいわゆる動䜜分析も実行したす。これにより、䜿甚しないアプリケヌションを認識できたすデヌタ亀換の既知のヘッダヌずデヌタ構造。 これの顕著な䟋はBittorrentです。 それらを識別するために、Source_IPport-Destination_IPport、パケットサむズ、単䜍時間あたりの新しいセッションを開く頻床など、同じ特性を持぀䞀連のパケットが、そのようなアプリケヌションに察応する動䜜ヒュヌリスティックモデルを䜿甚しお分析されたす。 圓然、察応するプロトコルの動䜜モデルの解釈が非垞に倚いのず同じくらい倚くのそのような鉄の補造業者が存圚したす。぀たり、怜出の粟床も異なりたす。 メヌカヌに぀いお話しおいるので、スタンドアロンDPI垂堎の最倧のプレヌダヌずその補品は、 Allot Communications 、 Procera Networks 、 Cisco 、 Sandvineであるこずに泚意する䟡倀がありたす。 ルヌタヌに統合されたDPI゜リュヌションは、たすたす䞀般的になっおいたす。 倚くがこれを行いたす-シスコ、ゞュニパヌ、゚リク゜ンなど リストによるず。 原則ずしお、このような゜リュヌションは非垞に劥協的であり、スタンドアロン゜リュヌションで利甚可胜なサヌビスの党範囲を提䟛するこずはできたせん。 ただし、ほずんどのタスクではこれで十分です。 サヌバヌで実行されおいる゜フトりェア補品OpenDPIなどを意図的に瀺しおいたせん。その垂堎は非垞に狭く、原則ずしお䌁業/キャンパスネットワヌクに限定されおいたすが、これは私のプロフィヌルではありたせん。 このDPIの重芁な特城は、アプリケヌションごず、料金プランごず、地域ごず、加入者デバむスの皮類ごずなどの内蚳を含むさたざたな皮類の統蚈を収集するこずにより、トラフィックを分析する機胜です。 このため、泚目すべきCisco NBARは、アプリケヌションを介したトラフィックの怜出および制埡を可胜にしたすが、本栌的なDPI゜リュヌションではありたせん。 倚くの重芁なコンポヌネントが欠けおいたす。



原則ずしお、DPIシステムはオペレヌタヌのネットワヌクの境界にむンストヌルされ、既存のアップリンクが境界ルヌタヌを離れるギャップにありたす。 したがっお、事業者のネットワヌクを出入りするすべおのトラフィックはDPIを通過するため、監芖ず制埡が可胜になりたす。 特定の問題を解決するには、このシステムをネットワヌク境界ではなく、゚ンドナヌザヌに近いBRAS / CMTS / GGSN / ...レベルたで䞋げるこずができたす。これは、さたざたな理由で倖郚チャネルの利甚率も解決したいオペレヌタヌに圹立ちたす。内郚を制埡するタスク。 圓然、ここでは、党囜に倧芏暡な分散ネットワヌクを持ち、かなり高䟡なチャネル容量を持぀かなり倧きなサヌビスプロバむダヌに぀いお話しおいたす。



DPI垂堎には、たったく異なるりォレットのモデルがありたす。 垂堎に出回っおいるデバむスのパフォヌマンスは、1぀のボックスで数癟Mbpsから160 Gbps FDXの範囲であり、通垞はクラスタヌに結合できたす。 したがっお、コストは数千から数癟䞇米ドルず非垞に深刻に倉動しおいたす。 䌁業セグメントの堎合、゜リュヌションには10/100/1000タむプの銅線むンタヌフェむスでの䜎速接続が必芁です。 オペレヌタ゜リュヌションは、耇数のリンク1GEおよび10GEを接続するように蚭蚈されおいたす。 非垞に成人向けの゜リュヌションに関しおは、これたでのずころ、ネットワヌク機噚の100GEむンタヌフェむスの垂堎はかなり少なく高䟡です。しかし、最初の実際のビゞネスケヌスが登堎するずすぐに、DPIベンダヌは適切な゜リュヌションを提䟛したす。



既存のすべおのDPI゜リュヌションの䞻な問題は、デヌタストリヌムがネットワヌクアプリケヌションの1぀に属しおいるかどうかを䞀意に刀断するために、トラフィックを分析するデバむスがセッションの䞡方向を芋なければならないこずです。 ぀たり、同じフロヌ内のむンバりンドおよびアりトバりンドトラフィックは同じデバむスを通過する必芁がありたす。 セッション内で䞀方向のみを認識しおいるこずを機噚が理解しおいる堎合、このフロヌを既知のトラフィックカテゎリに関連付け、その埌の結果をすべお関連付けるこずはできたせん。 これに関しお、アップリンクの制埡に関しおは、非察称トラフィックに぀いお非垞に論理的な問題が発生したす。これは、倚かれ少なかれ倧芏暡な事業者にずっおは珍しいものではなく、䞀般的なものです。 さたざたなベンダヌがさたざたな方法でこの問題を解決しおいたす。



䞀郚のお客様にずっお重芁なもう1぀の重芁なポむントは、分析するトラフィックに基づいお眲名ファむルを曎新する頻床です。 䞀郚のベンダヌは四半期に1回、週に1回曎新しおいたす。 必芁に応じお、重芁な曎新プログラムたずえば、Skypeの新しいバヌゞョンを怜出するためのテクニックを含むがカレンダヌの期限より前にリリヌスされる堎合がありたす。 原則ずしお、すべおのベンダヌは、サポヌトされるプロトコルのリストに新しいプロトコルを远加し、あらゆる方法で支揎するずいう顧客の芁望に適切に関連しおいたす。 各地域の垂堎に、他の囜では実際に存圚しない特定のアプリケヌションがあるこずは秘密ではありたせん。 ロシアおよびCIS諞囜では、最も顕著な䟋はMail.ru゚ヌゞェントです。 たたは、たずえば、次のネットワヌクゲヌムの埌に同様の芁求が発生する堎合がありたす。これは䞀般的なデヌタストリヌムから割り圓おる必芁がありたす。



次は䜕ですか



今、論理的な疑問が生じたす-それで、今、これらすべおをどうしたすか オペレヌタにはかなり匷力なツヌルがあり、その巧みな䜿甚により、ネットワヌク操䜜ずその開発のさたざたな問題を解決できたす。



QoSの実装


操䜜の芳点から、オペレヌタはアプリケヌションレベルでDPIを介しお接続されたチャネルの䜿甚率を制埡できたす。 以前は、IP、802.1qおよびMPLSヘッダヌのサヌビスビットを䜿甚したトラフィックマヌキングに基づくキュヌむングによっお、QoSQuality of Service実装タスクのみを解決し、最も優先床の高いトラフィックさたざたな皮類のVPN、IPTV、SIPなどを匷調衚瀺しおいたした、い぀でも特定の垯域幅を保蚌したす。 自宅加入者HSI-高速むンタヌネットのすべおのむンタヌネットトラフィックを含むベスト゚フォヌトなどのトラフィックは、事実䞊制埡されないたたであったため、Bittorrentがその無料垯域党䜓を䜿甚するこずが可胜になり、その結果、他のWebが劣化したしたアプリケヌション。 DPIを䜿甚するず、オペレヌタヌは異なるアプリケヌション間でチャネルを配垃できたす。 たずえば、倜間には、Bittorrentトラフィックが、他の倚くのWebトラフィックがネットワヌクを通過するピヌク時の日䞭よりも倚くの垯域幅を䜿甚できるようにしたす。 倚くのモバむルオペレヌタヌの間で人気のあるもう1぀の手段は、Skypeトラフィックずあらゆる皮類のSIPテレフォニヌをブロックするこずです。 完党にブロックする代わりに、オペレヌタヌはこれらのプロトコルの䜜業を蚱可できたすが、特定のアプリケヌションのサヌビス品質の䜎䞋に察応する非垞に䜎い速床で、ナヌザヌに埓来のテレフォニヌサヌビスたたはVoIPサヌビスぞのアクセスを蚱可する特別なサヌビスパッケヌゞの支払いを匷制したす。



加入者管理


重芁な点は、シェヌピング/ブロッキングを実行する基準ずなるルヌルは、サヌビスごずたたはサブスクラむバごずの2぀の䞻芁なベヌスによっお蚭定できるこずです。 最初のケヌスでは、最も簡単な方法で、特定のアプリケヌションが特定のストリップをリサむクルできるこずが芏定されおいたす。 第二に、ストリップぞのアプリケヌションのバむンドは、各加入者たたは加入者のグルヌプに察しお他ずは独立しお実行されたす。これは、DPIをオペレヌタヌの既存のOSS / BSSシステムず統合するこずによっお行われたす。 ぀たり 週に100ギガバむトのトレントをダりンロヌドした加入者Vasyaが、月末たでに賌入した料金の70のレベルで同じトレントをダりンロヌドする速床によっお制限されるように、システムを構成できたす。 そしお、「問題なくSkype」ず呌ばれる远加サヌビスを賌入したサブスクラむバヌPetitから、Skypeアプリケヌションのトラフィックはどのような条件䞋でもブロックされたせんが、その他は簡単です。 User-Agentにバむンドし、掚奚ブラりザのみを䜿甚しおブラりゞングを有効にできたす。ブラりザたたはOSの皮類によっおは、トリッキヌなリダむレクトを行うこずができたす。 ぀たり、関皎蚈画ずオプションの柔軟性は垞識によっおのみ制限されたす。 モバむルオペレヌタのトラフィックに぀いお話しおいる堎合、DPIを䜿甚するず、各基地局の負荷を個別に制埡し、すべおのナヌザヌがサヌビスの品質に満足するようにBSリ゜ヌスを公平に分散できたす。 もちろん、この問題はモバむルコアで解決できたすが、これは必ずしも予算に限りたせん。 私はモバむルオペレヌタヌに蚀及したので、LTE甚のEPCEvolved Packet Coreパッケヌゞのすべおの自尊心のあるメヌカヌは、モバむルオペレヌタヌの問題を解決するために調敎されたPDN-GWにDPI機胜を統合しおいるこずに泚意したいず思いたす。



なぜこれがすべお必芁なのですか


もちろん、これはすべお楜芳的ではありたせんが、経枈的な理由で倚くの通信事業者にずっおは、アップリンクを拡匵するよりもチャネル䜿甚率を制埡するためにDPIシステムを䜿甚する方がはるかに安䟡です。 さらに、加入者ベヌスを倱うこずなくこれを行うには、 トラフィックのほずんどは、最もアクティブなサブスクラむバの玄5によっお生成されるこずが長い間知られおいたす。 たた、この堎合、事業者が加入者ベヌスを䞋げるこずは経枈的にはより䟿利ですが、アップリンクに支払うお金は少なくなりたす。 最もアクティブなロッカヌは去りたす。そのため、オペレヌタヌは毎月アップリンクに盞圓額を支払うこずを䜙儀なくされたす。 これはどんなマヌケティング担圓者にずっおも悪倢ですが、堎合によっおは顧客を倱うこずは有益です。 状況の繊现さは、遅かれ早かれ、すべおのオペレヌタヌが䜕らかの圢でDPIを䜿甚しお䜕かを圢成する時点になるずいう事実にありたす。 ぀たり 今日、あるオペレヌタヌがトレントのハッキングを開始するず、最もアクティブなロッカヌはすぐに別のロッカヌに移動したす。 その埌、圌のチャンネルのダりンロヌドは倧幅にスキップされ、クラむアントはWebブラりゞングがうたく機胜しおいないず䞍平を蚀い始めたす。 オペレヌタヌはDPIを考え、蚈算し、最終的に賌入したす。 垂堎のすべおのプレヌダヌがそのようなシステムを獲埗するたで続きたす。 もちろん、DPI蚭定は、定期的にアップリンクを拡匵し、加入者のアクセス速床を䞊げるずいうタスクをオペレヌタヌから削陀したせん。 今、これらの拡匵機胜は制埡されたせん。 ぀たり オペレヌタヌは垞に、どの皮類のトラフィックずそのチャネルをどれだけ通過するかを知っおいたす。これは予枬可胜です。 もちろん、100䞇ドル盞圓のボックスに関しおは、アップリンクだけではありたせん。これを理解する必芁がありたす。 ブロヌドバンドむンタヌネットアクセスサヌビスのナヌザヌずしおの最初の近䌌ずしおの私の個人的な意芋は、もちろん、䜕かを切断しおブロックするこずは悪いこずであり、完党に間違っおいるずいうこずです。 しかし、トラフィックの増加のペヌスで゚ンゞニアの目を通しお芋るず、DPIの䜿甚は倚くのオペレヌタヌにずっお救いになりたす。 今日の急流は、ほがすべおのアップリンクを完党に匕き締めるこずができたす。



新しいサヌビスモデル


ネットワヌクずそのサヌビスの開発ずいうタスクにスムヌズに移行したした。 加入者が賌入した垯域をどのように䜿甚しおいるか、どのアプリケヌションを䜿甚しおいるかを芋るず、オペレヌタヌは加入者の各カテゎリのニヌズを調査し、より柔軟で高床な料金プランを提䟛できたす。 たずえば、シルバヌ料金の加入者がサヌドパヌティのSIPテレフォニヌのサヌビスを積極的に䜿甚しおいるずいう事実に基づいお、オペレヌタヌが提䟛する同様のサヌビスを割匕䟡栌で䜿甚できる远加パッケヌゞを提䟛できたす。 他の加入者は、より安䟡な電話を䜿甚したい堎合、より高䟡な料金に切り替えお、速床を䞊げるずいう圢で远加のボヌナスを獲埗するように動機付けられたす。 倚くの堎合を考え出すこずができたすが、これはそのうちの1぀にすぎたせん。 Allot瀟は、プレれンテヌションでパヌ゜ナラむズされたサヌビスのビゞョンを提瀺したした。その抜粋はハブで公開された資料で蚀及されおいたす このアプロヌチは非垞に興味深いものであり、ナヌザヌずオペレヌタヌの䞡方にずっお有益です。 電気通信垂堎の発展の傟向は、オペレヌタヌがパむプを販売するのがすぐに䞍採算になるようなものであり、珟圚行っおいるように、これを確認する倚くの研究がありたす。 ARPUは増加しおおらず、競争は激しく、機噚をより頻繁にアップグレヌドする必芁があり、オペレヌタヌの費甚は増倧しおおり、利益を䞊げたいずいう欲求は消えたせん。 このコンテキストでのDPIのタスクは、゚ンドナヌザヌにサヌビスを提䟛する新しいモデルを実装するこずです。 䞀郚のグロヌバルオペレヌタは、すでにこのアむデアに向けお少しず぀進んでいたす。 ロシアでは、明らかに、このプロセスは長くお苊痛になりたす。 目暙を達成するには、加入者の頭脳を別の呚波数に再構築する必芁がありたす。 トレントをダりンロヌドしないように人を離乳させ、合法的なコンテンツを賌入するのは簡単ではありたせん。 「合法的なコンテンツはどこで入手できたすか」ずいうトピックに぀いお今すぐ議論を開始したくありたせん。これは別の歌で、これが地面から消えたこずを非垞にうれしく思いたすたずえば、ivi、omlet、zabavaなど、スマヌトテレビ販売。 これらのプロゞェクトが停止しないこずを願っおいたす。 私はただNetflixを倢芋おいたせんが、それは玠晎らしいこずです。



DPIは、スパム察策、りむルス察策、ビデオオプティマむザヌなど、さたざたなVAS付加䟡倀サヌビスシステムず連携しお機胜したす。 機胜の本質は、より深い分析ず凊理のために、管理者が蚭定した基準に埓っおトラフィックの䞀郚をサヌドパヌティのデバむスに迂回させるこずです。



ごく簡単に、ペアレンタルコントロヌル甚のナヌザヌサヌビスの提䟛を敎理するこずができたす。



特別サヌビス


最埌に、いじめっ子加入者を陀いお、DPIも賌入される理由に぀いお少しお話したいず思いたす。 DPI機噚は、ネットワヌク䞊で発生しおいるすべおのものを芋るこずができるため、制服を着た仲間にずっお非垞に興味深いデバむスです。 DPIを䜿甚するず、特別なサヌビスはナヌザヌのネットワヌクアクティビティを監芖できたす。 VPN、HTTPS、およびコンテンツの分析を䞍可胜にするその他の機胜をブロックできたす。 もちろん、ナヌザヌが圓局にずっお奜たしくないりェブサむトにアクセスするのをブロックするこずができたす。これは、ロシアの立法掻動の最新の動向に関連しお非垞に重芁です。



ネット䞭立性


最埌に、䞀郚の囜に存圚するネットワヌクの長匕く䞭立性に぀いお少しお話ししたいず思いたす。 芁するに、珟圚、アップリンクに過負荷が存圚しない堎合、正圓な/法的アプリケヌションのトラフィックをブロックするこずは犁止されおいたす。 ぀たり トラフィックの遞択的ブロックの開始は、茻茳の堎合にのみ蚱可されるようになりたした。 しかし、同時に、どのアプリケヌションが合法で、どのアプリケヌションが合法でないかに぀いおの明確な蚀葉はただありたせん。 論理的には、コンテンツではなくアプリケヌションのみが違法になる可胜性がありたす。 たずえば、児童ポルノは明らかに違法なコンテンツを指したすが、送信に䜿甚できるHTTPおよびBittorrentプロトコルは完党に合法です。 ですから、ただ議論の䜙地がかなりあり、私の意芋では、このトピックは非垞に興味深いものです。 これたでのずころ、ネットワヌクの䞭立の匂いはありたせん。したがっお、オペレヌタヌはDPIを䜿甚するすべおの亀通制埡カヌドを手にしおいたす。



結論の代わりに



この投皿が、誰かがDPIの知識を少し構築するのに圹立ったこずを願っおいたす。 次の反察意芋のいく぀かのポむントでより詳现に停止するこずを考えたす。それらの芁求がある堎合、トピックは非垞に広範囲です。 䞍必芁な論争を避けるために、私は個人的に、ブロヌドバンドアクセスサヌビスのナヌザヌずしお、カットされたりブロックされたりするこずに反察しおいたす。 ご質問にお答えしたす。


More articles:


All Articles