sell-st Опубликовано 26 июня, 2010 Доброго дня, господа. Встал вопрос выбора DPI решения, что бы понять что происходит в сети. Поделитесь опытом! Кто что использовал, какие впечатления? У кого какие фишки и функционал? Профессиональные решения (ALU, Arbor, SCE, IPOQUE и т.д) или собственные поделки(OpenDPI или еще что-нибудь). Решений много, все попробовать не успеешь. Расскажите. Заранее благодарен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 26 июня, 2010 Встал вопрос выбора DPI решения, что бы понять что происходит в сети А что вам именно непонятно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sell-st Опубликовано 26 июня, 2010 А что вам именно непонятно? Структуру трафика, потенциальные проблемы, атаки... Собственно то, что предлагают DPI решения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 26 июня, 2010 SCE хороший выбор. А вообще указали бы объемы трафика Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
osvis Опубликовано 26 июня, 2010 Действительно, полосу знать очень важно - от этого можно отталкиваться при принятии решения (если вы точно уверены, что DPI нужен). У ALU решение хорошее, но оно интегрированно в SR 7750. Т.е. не получится купить отдельно девайс, только вместе с шасси маршрутизатора. Советую рассматривать алу, когда помимо задач DPI вам надо решить другие задачи. У Arbora интересное решение, но как только мы показывали стоимость - никто дальше не хотел общаться:)) Далее, sce и айпок. Лично я их разделил так - когда до 1гиг, то лучше брать айпок (дешевле, гораздо удобнее интерфейс настройки через веб, вменяемые люди у дистика). Выше гига надо смотреть, но обычно сиска выигрывала (однако практически всегда в настройке требовалась наша поддержка, сами заказчики не всегда до конца могли разобраться в настройке. В плане настройки айпок легче). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 27 июня, 2010 Встал вопрос выбора DPI решения, что бы понять что происходит в сети.Если вы без DPI не понимаете, что происходит у вас в сети, то DPI вам точно не поможет. ps: sandvine еще Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
A79 Опубликовано 27 июня, 2010 Встал вопрос выбора DPI решения, что бы понять что происходит в сети.Зеркалируйте траф на писюкатор(софта в гоголе вагон ... ) и "понимайте" сколько Вам влезет что происходит.Решений много, все попробовать не успеешь. Расскажите.Пробуйте... а пока будете пробовать там и поймете зачем и для чего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sell-st Опубликовано 27 июня, 2010 Объем трафика 5-10 гигабит, посему зеркалировать в ПК предложение не очень. По этой же причине SCE вызывает сомнения. Там вроде не много можно в одну впихнуть. Решение должно быть масштабируемое в несколько раз. хотя бы до 20 гигабит (трафик нынче растет быстро) давайте предположим, что например ALU есть куда воткнуть. Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так. Опыт "я пробовал это и это" - здорово, но думаю все вы согласны, что все всплывает только при длительной эксплуатации. Спасбио Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 27 июня, 2010 (изменено) Объем трафика 5-10 гигабит, посему зеркалировать в ПК предложение не очень. По этой же причине SCE вызывает сомнения. Там вроде не много можно в одну впихнуть.Решение должно быть масштабируемое в несколько раз. хотя бы до 20 гигабит (трафик нынче растет быстро) давайте предположим, что например ALU есть куда воткнуть. Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так. Опыт "я пробовал это и это" - здорово, но думаю все вы согласны, что все всплывает только при длительной эксплуатации. Спасбио посмотрите на sandvine 14000-серию. Там вроде до 20G декларировалось в недалеком прошлом, да и распознавание трафика, говорят, получше чем на cisco sce... Но на ваш трафик готовьтесь ко взрослому ценнику. Изменено 27 июня, 2010 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 июня, 2010 А если не секрет, то зачем нужны такие штуки провайдеру ШПД? Понять какой трафик генерят и потребляют абоненты? Применять какие-то политики к этому трафику(подрезать, блокировать и т.д.)? Или у Вас датацентр и надо как-то блокировать атаки на сервера/с серверов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sell-st Опубликовано 27 июня, 2010 Коллеги :) Прошу прощения - я возможно не совсем понятно выражаю свой вопрос. Еще раз. Мне не интересно "посмотрите на то, посмотрите на это". Рынок DPI можно изучить очень быстро, буквально за день. Этим я уже озадачился. Меня интересуют РЕАЛЬНЫЕ ОТЗЫВЫ от РЕАЛЬНОГО ИСПОЛЬЗОВАНИЯ. Что-то вроде: Мы используем SCE уже на протяжении года. Трафик около 4 гигабит. Из проблем - не быстрое обновление паттернов для новых протоколов торрентов. Из плюсов - возможность ручного задания паттернов. Думаю такая информация будет полезна всем. Еще раз спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 27 июня, 2010 Меня интересуют РЕАЛЬНЫЕ ОТЗЫВЫ от РЕАЛЬНОГО ИСПОЛЬЗОВАНИЯ. На этом форуме уже было много про реальное использование. Попробуйте поискать. Повторятся авторы вряд ли будут. А если не секрет, то зачем нужны такие штуки провайдеру ШПД? Понять какой трафик генерят и потребляют абоненты? Применять какие-то политики к этому трафику(подрезать, блокировать и т.д.)?Или у Вас датацентр и надо как-то блокировать атаки на сервера/с серверов? Такие железки нужны для одного - p2p. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sell-st Опубликовано 27 июня, 2010 На этом форуме уже было много про реальное использование. Попробуйте поискать. Повторятся авторы вряд ли будут.Будьте добры, ткните носом. Сходу не находится.Да и к тому же, и здесь появляются новые люди и старые люди меняют железо и могут поделиться новым опытом. Было бы здорово, если бы все фидбэки были собраны в одном месте. Им могла бы стать этот тред, но он, к сожалению, уже замусорился :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 27 июня, 2010 Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так.Ок, давайте начнем вот с этого:что бы понять что происходит в сетиИмеется бесценный опыт работы с менеджерками, говорившими: "Мы не понимаем, что происходит в сети! Что за трафик потребляют клиенты! Дайте нам инструмент, который проанализирует трафик и все нам про него покажет! И мы сразу же увеличим доходы в два раза!".Сначала поставили им Arbor PeakFlow SP (который хоть и не является DPI-ем, но более чем пригоден для решения этой задачи). Поглядев в его отчеты менеджерки сказали "Что это за циферки, байтики, протоколы, адреса и AS-ки ?! Мы не понимаем что все это значит!!! Вы дали нам плохой инструмент, он плохо проанализировал тафик! Ставьте то, что проведет более глубокий анализ!". Я думаю очевидно, что они сказали посмотрев на отчеты DPI-систем от разных производителей ? ;) Это я все к тому, что для понимания того, что происходит в сети, DPI не нужен совсем. Достаточно снимать семплированный нетфлоу и анализировать его с помощью flow-tools (ну или Arbor PeakFlow SP, если нужен интуитивно-понятный интерфейс, а не коммандная строка) и уметь правильно интерпретировать отчеты. То, что по нетфлоу вы не сможете различать между собой приложения не использующие стандартных номеров портов - это можно считать стат.погрешностью, так как на фоне p2p-трафика объем остального "непонятного" трафика мал. И даже "шейперы" с "приоритетами", пусть и не такие продвинутые, можно сделать без DPI. DPI нужен когда уже есть идея как его использовать, есть понимание почему "это" нельзя сделать без DPI, есть уверенность что "это" надолго. И тогда уже надо тестировать как работает именно то, что нужно вам. Вы такой задачи не озвучивали :-) Ну а по оборудованию могу сказать, что встроенный оптический bypass для включения в разрыв - это маркетинговый булшит. Срабатывает не всегда, переключается долго, начало и окончание перерыва в прохождении трафика через устройство может отличаться на минуты, по сравнению с временем переключения bypass-а. Это касается всех вендоров (ну, или большинства). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sell-st Опубликовано 27 июня, 2010 Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя. Вот случилась у вас аномалия на сети и ну снимать нетфлоу. Пока снимешь, пока разбрешь - все самое интересное закончится. А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры. Или проанализировать тот же период в прошлом. В общем вариантов использования множество. Мы скатываемся к стандартному течению всех тредов на всех форумов в мире. Подробнее вот здесь: http://ov7a.habrahabr.ru/blog/96414/ Давайте ближе к теме. Не будем обсуждать зачем мне это, для чего, как лучше и все такое. Просто если есть опыт эксплуатации - поделитесь. Если нет - почитайте других. Может пригодится. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 27 июня, 2010 Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.Вот случилась у вас аномалия на сети и ну снимать нетфлоу. Пока снимешь, пока разбрешь - все самое интересное закончится. А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры. Или проанализировать тот же период в прошлом. В общем вариантов использования множество. Тогда Arbor PeakFlow SP - это именно то готовое решение, что вам нужно. Данные NetFlow он собирает постоянно, а не по нажатию на кнопку "снять". Аномалию увидите с задержкой в несколько минут, а если удачно настроите под себя - он даже сам о ней сообщит.Если это решение кажется дорогим, то все это можно сделать и на базе flow-tools своими силами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
A79 Опубликовано 27 июня, 2010 Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.Для себя кого? тех спецов? так у них и так полно возможностей и инструментов анализировать и знают какой траф прет и счем боротся. А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры.Так надо не тех. спецам. Если это не барыги из ком. службы то Вас славная когорта инженегров телекома в интерпрайзе тоже любить небудет.Подробнее вот здесь: http://ov7a.habrahabr.ru/blog/96414/ Это замечательная ссылка... так вот Вы под ние не подходите. Бисер перед Вами пометали уже.Встал вопрос выбора DPI решения, что бы понять что происходит в сети.Оцените эту фразу, потом приводите ссылки с хабра ибо инженера и так знают что искать и где... и никакое барыжье решение им не требуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Goog Опубликовано 28 июня, 2010 По теме вопроса - лучшее что щупал/видел в продакшене - Allot NetEnforcer и SCE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 28 июня, 2010 (изменено) Еще у Redback есть DPI. Производительность одноного модуля DPI – порядка 5 Гбит/с. Целевой перформанс 10G. Сами пользуемся SCE (8000 и 2000), полностью довольны. Изменено 28 июня, 2010 пользователем caz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arturslt Опубликовано 23 сентября, 2011 Американский форум: Ты задаешь вопрос, и тебе на него отвечают. Еврейский форум: Ты задаешь вопрос, и тебе на него отвечают вопросом. Русский форум: Ты задаешь вопрос, и тебе долго и упорно обьясняют, какой ты ***к. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 24 сентября, 2011 А вот с этим http://www.proceranetworks.com/ кто-нибудь сталкивался ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 24 сентября, 2011 Американский форум: Ты задаешь вопрос, и тебе на него отвечают ...что искомая информация подаётся на "таких то курсах"(m kUSD) или подешевле, на "таком то семинаре"(n kUSD), а когда ты просишь "а без курсов?" - тебе отвечают, что сначала курсы, а потом - подробности обсудим. :) Еврейский форум: Ты задаешь вопрос, и тебе на него отвечают вопросом ...получают ёмкий ответ и объявляют тебя ярым антисемитом, а ты их оголтелыми сионистами. :) Русский форум: Ты задаешь вопрос, и тебе долго и упорно обьясняют, какой ты ***к ...о чём ты и сам, впрочем, догадывался. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...