Jump to content
Калькуляторы

DPI поделитесь опытом

Доброго дня, господа.

Встал вопрос выбора DPI решения, что бы понять что происходит в сети.

Поделитесь опытом! Кто что использовал, какие впечатления? У кого какие фишки и функционал?

Профессиональные решения (ALU, Arbor, SCE, IPOQUE и т.д) или собственные поделки(OpenDPI или еще что-нибудь).

Решений много, все попробовать не успеешь. Расскажите.

Заранее благодарен.

 

 

 

 

Share this post


Link to post
Share on other sites

Встал вопрос выбора DPI решения, что бы понять что происходит в сети

А что вам именно непонятно?

Share this post


Link to post
Share on other sites
А что вам именно непонятно?

Структуру трафика, потенциальные проблемы, атаки...

Собственно то, что предлагают DPI решения.

Share this post


Link to post
Share on other sites

SCE хороший выбор. А вообще указали бы объемы трафика

Share this post


Link to post
Share on other sites

Действительно, полосу знать очень важно - от этого можно отталкиваться при принятии решения (если вы точно уверены, что DPI нужен).

У ALU решение хорошее, но оно интегрированно в SR 7750. Т.е. не получится купить отдельно девайс, только вместе с шасси маршрутизатора. Советую рассматривать алу, когда помимо задач DPI вам надо решить другие задачи.

У Arbora интересное решение, но как только мы показывали стоимость - никто дальше не хотел общаться:))

Далее, sce и айпок. Лично я их разделил так - когда до 1гиг, то лучше брать айпок (дешевле, гораздо удобнее интерфейс настройки через веб, вменяемые люди у дистика). Выше гига надо смотреть, но обычно сиска выигрывала (однако практически всегда в настройке требовалась наша поддержка, сами заказчики не всегда до конца могли разобраться в настройке. В плане настройки айпок легче).

Share this post


Link to post
Share on other sites
Встал вопрос выбора DPI решения, что бы понять что происходит в сети.
Если вы без DPI не понимаете, что происходит у вас в сети, то DPI вам точно не поможет.

 

 

ps: sandvine еще

Share this post


Link to post
Share on other sites
Встал вопрос выбора DPI решения, что бы понять что происходит в сети.
Зеркалируйте траф на писюкатор(софта в гоголе вагон ... ) и "понимайте" сколько Вам влезет что происходит.
Решений много, все попробовать не успеешь. Расскажите.
Пробуйте... а пока будете пробовать там и поймете зачем и для чего.

Share this post


Link to post
Share on other sites

Объем трафика 5-10 гигабит, посему зеркалировать в ПК предложение не очень. По этой же причине SCE вызывает сомнения. Там вроде не много можно в одну впихнуть.

Решение должно быть масштабируемое в несколько раз. хотя бы до 20 гигабит (трафик нынче растет быстро)

давайте предположим, что например ALU есть куда воткнуть.

 

Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так.

Опыт "я пробовал это и это" - здорово, но думаю все вы согласны, что все всплывает только при длительной эксплуатации.

Спасбио

Share this post


Link to post
Share on other sites
Объем трафика 5-10 гигабит, посему зеркалировать в ПК предложение не очень. По этой же причине SCE вызывает сомнения. Там вроде не много можно в одну впихнуть.

Решение должно быть масштабируемое в несколько раз. хотя бы до 20 гигабит (трафик нынче растет быстро)

давайте предположим, что например ALU есть куда воткнуть.

 

Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так.

Опыт "я пробовал это и это" - здорово, но думаю все вы согласны, что все всплывает только при длительной эксплуатации.

Спасбио

посмотрите на sandvine 14000-серию. Там вроде до 20G декларировалось в недалеком прошлом, да и распознавание трафика, говорят, получше чем на cisco sce... Но на ваш трафик готовьтесь ко взрослому ценнику.

Edited by Konstantin Klimchev

Share this post


Link to post
Share on other sites

А если не секрет, то зачем нужны такие штуки провайдеру ШПД? Понять какой трафик генерят и потребляют абоненты? Применять какие-то политики к этому трафику(подрезать, блокировать и т.д.)?

Или у Вас датацентр и надо как-то блокировать атаки на сервера/с серверов?

Share this post


Link to post
Share on other sites

Коллеги :) Прошу прощения - я возможно не совсем понятно выражаю свой вопрос.

Еще раз. Мне не интересно "посмотрите на то, посмотрите на это". Рынок DPI можно изучить очень быстро, буквально за день. Этим я уже озадачился.

 

Меня интересуют РЕАЛЬНЫЕ ОТЗЫВЫ от РЕАЛЬНОГО ИСПОЛЬЗОВАНИЯ.

Что-то вроде:

 

Мы используем SCE уже на протяжении года.

Трафик около 4 гигабит.

Из проблем - не быстрое обновление паттернов для новых протоколов торрентов.

Из плюсов - возможность ручного задания паттернов.

 

Думаю такая информация будет полезна всем.

Еще раз спасибо.

Share this post


Link to post
Share on other sites
Меня интересуют РЕАЛЬНЫЕ ОТЗЫВЫ от РЕАЛЬНОГО ИСПОЛЬЗОВАНИЯ.

На этом форуме уже было много про реальное использование. Попробуйте поискать. Повторятся авторы вряд ли будут.

 

А если не секрет, то зачем нужны такие штуки провайдеру ШПД? Понять какой трафик генерят и потребляют абоненты? Применять какие-то политики к этому трафику(подрезать, блокировать и т.д.)?

Или у Вас датацентр и надо как-то блокировать атаки на сервера/с серверов?

Такие железки нужны для одного - p2p.

Share this post


Link to post
Share on other sites
На этом форуме уже было много про реальное использование. Попробуйте поискать. Повторятся авторы вряд ли будут.
Будьте добры, ткните носом. Сходу не находится.

Да и к тому же, и здесь появляются новые люди и старые люди меняют железо и могут поделиться новым опытом.

 

Было бы здорово, если бы все фидбэки были собраны в одном месте. Им могла бы стать этот тред, но он, к сожалению, уже замусорился :)

Share this post


Link to post
Share on other sites
Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так.
Ок, давайте начнем вот с этого:
что бы понять что происходит в сети
Имеется бесценный опыт работы с менеджерками, говорившими: "Мы не понимаем, что происходит в сети! Что за трафик потребляют клиенты! Дайте нам инструмент, который проанализирует трафик и все нам про него покажет! И мы сразу же увеличим доходы в два раза!".

Сначала поставили им Arbor PeakFlow SP (который хоть и не является DPI-ем, но более чем пригоден для решения этой задачи). Поглядев в его отчеты менеджерки сказали "Что это за циферки, байтики, протоколы, адреса и AS-ки ?! Мы не понимаем что все это значит!!! Вы дали нам плохой инструмент, он плохо проанализировал тафик! Ставьте то, что проведет более глубокий анализ!". Я думаю очевидно, что они сказали посмотрев на отчеты DPI-систем от разных производителей ? ;)

 

Это я все к тому, что для понимания того, что происходит в сети, DPI не нужен совсем. Достаточно снимать семплированный нетфлоу и анализировать его с помощью flow-tools (ну или Arbor PeakFlow SP, если нужен интуитивно-понятный интерфейс, а не коммандная строка) и уметь правильно интерпретировать отчеты. То, что по нетфлоу вы не сможете различать между собой приложения не использующие стандартных номеров портов - это можно считать стат.погрешностью, так как на фоне p2p-трафика объем остального "непонятного" трафика мал. И даже "шейперы" с "приоритетами", пусть и не такие продвинутые, можно сделать без DPI.

 

DPI нужен когда уже есть идея как его использовать, есть понимание почему "это" нельзя сделать без DPI, есть уверенность что "это" надолго. И тогда уже надо тестировать как работает именно то, что нужно вам. Вы такой задачи не озвучивали :-)

 

 

Ну а по оборудованию могу сказать, что встроенный оптический bypass для включения в разрыв - это маркетинговый булшит. Срабатывает не всегда, переключается долго, начало и окончание перерыва в прохождении трафика через устройство может отличаться на минуты, по сравнению с временем переключения bypass-а. Это касается всех вендоров (ну, или большинства).

Share this post


Link to post
Share on other sites

Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.

Вот случилась у вас аномалия на сети и ну снимать нетфлоу. Пока снимешь, пока разбрешь - все самое интересное закончится.

А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры.

Или проанализировать тот же период в прошлом. В общем вариантов использования множество.

 

Мы скатываемся к стандартному течению всех тредов на всех форумов в мире. Подробнее вот здесь: http://ov7a.habrahabr.ru/blog/96414/

Давайте ближе к теме. Не будем обсуждать зачем мне это, для чего, как лучше и все такое.

Просто если есть опыт эксплуатации - поделитесь. Если нет - почитайте других. Может пригодится.

Спасибо.

 

Share this post


Link to post
Share on other sites
Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.

Вот случилась у вас аномалия на сети и ну снимать нетфлоу. Пока снимешь, пока разбрешь - все самое интересное закончится.

А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры.

Или проанализировать тот же период в прошлом. В общем вариантов использования множество.

Тогда Arbor PeakFlow SP - это именно то готовое решение, что вам нужно. Данные NetFlow он собирает постоянно, а не по нажатию на кнопку "снять". Аномалию увидите с задержкой в несколько минут, а если удачно настроите под себя - он даже сам о ней сообщит.

Если это решение кажется дорогим, то все это можно сделать и на базе flow-tools своими силами.

Share this post


Link to post
Share on other sites
Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.
Для себя кого? тех спецов? так у них и так полно возможностей и инструментов анализировать и знают какой траф прет и счем боротся.

 

А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры.
Так надо не тех. спецам. Если это не барыги из ком. службы то Вас славная когорта инженегров телекома в интерпрайзе тоже любить небудет.
Подробнее вот здесь: http://ov7a.habrahabr.ru/blog/96414/
Это замечательная ссылка... так вот Вы под ние не подходите. Бисер перед Вами пометали уже.
Встал вопрос выбора DPI решения, что бы понять что происходит в сети.
Оцените эту фразу, потом приводите ссылки с хабра ибо инженера и так знают что искать и где... и никакое барыжье решение им не требуется.

Share this post


Link to post
Share on other sites

По теме вопроса - лучшее что щупал/видел в продакшене - Allot NetEnforcer и SCE

Share this post


Link to post
Share on other sites

Еще у Redback есть DPI. Производительность одноного модуля DPI – порядка 5 Гбит/с. Целевой перформанс 10G.

Сами пользуемся SCE (8000 и 2000), полностью довольны.

Edited by caz

Share this post


Link to post
Share on other sites

Американский форум: Ты задаешь вопрос, и тебе на него отвечают.

Еврейский форум: Ты задаешь вопрос, и тебе на него отвечают вопросом.

Русский форум: Ты задаешь вопрос, и тебе долго и упорно обьясняют, какой ты ***к.

Share this post


Link to post
Share on other sites

Американский форум: Ты задаешь вопрос, и тебе на него отвечают

...что искомая информация подаётся на "таких то курсах"(m kUSD) или подешевле, на "таком то семинаре"(n kUSD), а когда ты просишь "а без курсов?" - тебе отвечают, что сначала курсы, а потом - подробности обсудим. :)

 

Еврейский форум: Ты задаешь вопрос, и тебе на него отвечают вопросом

...получают ёмкий ответ и объявляют тебя ярым антисемитом, а ты их оголтелыми сионистами. :)

 

Русский форум: Ты задаешь вопрос, и тебе долго и упорно обьясняют, какой ты ***к

...о чём ты и сам, впрочем, догадывался. :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this