[sell-st]

Доброго дня, господа.

Встал вопрос выбора DPI решения, что бы понять что происходит в сети.

Поделитесь опытом! Кто что использовал, какие впечатления? У кого какие фишки и функционал?

Профессиональные решения (ALU, Arbor, SCE, IPOQUE и т.д) или собственные поделки(OpenDPI или еще что-нибудь).

Решений много, все попробовать не успеешь. Расскажите.

Заранее благодарен.

 

 

 

 

[terrible]

Встал вопрос выбора DPI решения, что бы понять что происходит в сети

А что вам именно непонятно?

[sell-st]

А что вам именно непонятно?

Структуру трафика, потенциальные проблемы, атаки...

Собственно то, что предлагают DPI решения.

[shicoy]

SCE хороший выбор. А вообще указали бы объемы трафика

[osvis]

Действительно, полосу знать очень важно - от этого можно отталкиваться при принятии решения (если вы точно уверены, что DPI нужен).

У ALU решение хорошее, но оно интегрированно в SR 7750. Т.е. не получится купить отдельно девайс, только вместе с шасси маршрутизатора. Советую рассматривать алу, когда помимо задач DPI вам надо решить другие задачи.

У Arbora интересное решение, но как только мы показывали стоимость - никто дальше не хотел общаться:))

Далее, sce и айпок. Лично я их разделил так - когда до 1гиг, то лучше брать айпок (дешевле, гораздо удобнее интерфейс настройки через веб, вменяемые люди у дистика). Выше гига надо смотреть, но обычно сиска выигрывала (однако практически всегда в настройке требовалась наша поддержка, сами заказчики не всегда до конца могли разобраться в настройке. В плане настройки айпок легче).

[visir]

Встал вопрос выбора DPI решения, что бы понять что происходит в сети.

Если вы без DPI не понимаете, что происходит у вас в сети, то DPI вам точно не поможет.

 

 

ps: sandvine еще

[A79]

Встал вопрос выбора DPI решения, что бы понять что происходит в сети.

Зеркалируйте траф на писюкатор(софта в гоголе вагон ... ) и "понимайте" сколько Вам влезет что происходит.

Решений много, все попробовать не успеешь. Расскажите.

Пробуйте... а пока будете пробовать там и поймете зачем и для чего.

[sell-st]

Объем трафика 5-10 гигабит, посему зеркалировать в ПК предложение не очень. По этой же причине SCE вызывает сомнения. Там вроде не много можно в одну впихнуть.

Решение должно быть масштабируемое в несколько раз. хотя бы до 20 гигабит (трафик нынче растет быстро)

давайте предположим, что например ALU есть куда воткнуть.

 

Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так.

Опыт "я пробовал это и это" - здорово, но думаю все вы согласны, что все всплывает только при длительной эксплуатации.

Спасбио

[Konstantin Klimchev]

Объем трафика 5-10 гигабит, посему зеркалировать в ПК предложение не очень. По этой же причине SCE вызывает сомнения. Там вроде не много можно в одну впихнуть.

Решение должно быть масштабируемое в несколько раз. хотя бы до 20 гигабит (трафик нынче растет быстро)

давайте предположим, что например ALU есть куда воткнуть.

 

Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так.

Опыт "я пробовал это и это" - здорово, но думаю все вы согласны, что все всплывает только при длительной эксплуатации.

Спасбио

посмотрите на sandvine 14000-серию. Там вроде до 20G декларировалось в недалеком прошлом, да и распознавание трафика, говорят, получше чем на cisco sce... Но на ваш трафик готовьтесь ко взрослому ценнику.

Edited June 27, 2010 by Konstantin Klimchev

[s.lobanov]

А если не секрет, то зачем нужны такие штуки провайдеру ШПД? Понять какой трафик генерят и потребляют абоненты? Применять какие-то политики к этому трафику(подрезать, блокировать и т.д.)?

Или у Вас датацентр и надо как-то блокировать атаки на сервера/с серверов?

[sell-st]

Коллеги :) Прошу прощения - я возможно не совсем понятно выражаю свой вопрос.

Еще раз. Мне не интересно "посмотрите на то, посмотрите на это". Рынок DPI можно изучить очень быстро, буквально за день. Этим я уже озадачился.

 

Меня интересуют РЕАЛЬНЫЕ ОТЗЫВЫ от РЕАЛЬНОГО ИСПОЛЬЗОВАНИЯ.

Что-то вроде:

 

Мы используем SCE уже на протяжении года.

Трафик около 4 гигабит.

Из проблем - не быстрое обновление паттернов для новых протоколов торрентов.

Из плюсов - возможность ручного задания паттернов.

 

Думаю такая информация будет полезна всем.

Еще раз спасибо.

[Konstantin Klimchev]

Меня интересуют РЕАЛЬНЫЕ ОТЗЫВЫ от РЕАЛЬНОГО ИСПОЛЬЗОВАНИЯ.

На этом форуме уже было много про реальное использование. Попробуйте поискать. Повторятся авторы вряд ли будут.

 

А если не секрет, то зачем нужны такие штуки провайдеру ШПД? Понять какой трафик генерят и потребляют абоненты? Применять какие-то политики к этому трафику(подрезать, блокировать и т.д.)?

Или у Вас датацентр и надо как-то блокировать атаки на сервера/с серверов?

Такие железки нужны для одного - p2p.

[sell-st]

На этом форуме уже было много про реальное использование. Попробуйте поискать. Повторятся авторы вряд ли будут.

Будьте добры, ткните носом. Сходу не находится.

Да и к тому же, и здесь появляются новые люди и старые люди меняют железо и могут поделиться новым опытом.

 

Было бы здорово, если бы все фидбэки были собраны в одном месте. Им могла бы стать этот тред, но он, к сожалению, уже замусорился :)

[visir]

Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так.

Ок, давайте начнем вот с этого:

что бы понять что происходит в сети

Имеется бесценный опыт работы с менеджерками, говорившими: "Мы не понимаем, что происходит в сети! Что за трафик потребляют клиенты! Дайте нам инструмент, который проанализирует трафик и все нам про него покажет! И мы сразу же увеличим доходы в два раза!".

Сначала поставили им Arbor PeakFlow SP (который хоть и не является DPI-ем, но более чем пригоден для решения этой задачи). Поглядев в его отчеты менеджерки сказали "Что это за циферки, байтики, протоколы, адреса и AS-ки ?! Мы не понимаем что все это значит!!! Вы дали нам плохой инструмент, он плохо проанализировал тафик! Ставьте то, что проведет более глубокий анализ!". Я думаю очевидно, что они сказали посмотрев на отчеты DPI-систем от разных производителей ? ;)

 

Это я все к тому, что для понимания того, что происходит в сети, DPI не нужен совсем. Достаточно снимать семплированный нетфлоу и анализировать его с помощью flow-tools (ну или Arbor PeakFlow SP, если нужен интуитивно-понятный интерфейс, а не коммандная строка) и уметь правильно интерпретировать отчеты. То, что по нетфлоу вы не сможете различать между собой приложения не использующие стандартных номеров портов - это можно считать стат.погрешностью, так как на фоне p2p-трафика объем остального "непонятного" трафика мал. И даже "шейперы" с "приоритетами", пусть и не такие продвинутые, можно сделать без DPI.

 

DPI нужен когда уже есть идея как его использовать, есть понимание почему "это" нельзя сделать без DPI, есть уверенность что "это" надолго. И тогда уже надо тестировать как работает именно то, что нужно вам. Вы такой задачи не озвучивали :-)

 

 

Ну а по оборудованию могу сказать, что встроенный оптический bypass для включения в разрыв - это маркетинговый булшит. Срабатывает не всегда, переключается долго, начало и окончание перерыва в прохождении трафика через устройство может отличаться на минуты, по сравнению с временем переключения bypass-а. Это касается всех вендоров (ну, или большинства).

[sell-st]

Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.

Вот случилась у вас аномалия на сети и ну снимать нетфлоу. Пока снимешь, пока разбрешь - все самое интересное закончится.

А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры.

Или проанализировать тот же период в прошлом. В общем вариантов использования множество.

 

Мы скатываемся к стандартному течению всех тредов на всех форумов в мире. Подробнее вот здесь: http://ov7a.habrahabr.ru/blog/96414/

Давайте ближе к теме. Не будем обсуждать зачем мне это, для чего, как лучше и все такое.

Просто если есть опыт эксплуатации - поделитесь. Если нет - почитайте других. Может пригодится.

Спасибо.

 

[visir]

Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.

Вот случилась у вас аномалия на сети и ну снимать нетфлоу. Пока снимешь, пока разбрешь - все самое интересное закончится.

А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры.

Или проанализировать тот же период в прошлом. В общем вариантов использования множество.

Тогда Arbor PeakFlow SP - это именно то готовое решение, что вам нужно. Данные NetFlow он собирает постоянно, а не по нажатию на кнопку "снять". Аномалию увидите с задержкой в несколько минут, а если удачно настроите под себя - он даже сам о ней сообщит.

Если это решение кажется дорогим, то все это можно сделать и на базе flow-tools своими силами.

[A79]

Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.

Для себя кого? тех спецов? так у них и так полно возможностей и инструментов анализировать и знают какой траф прет и счем боротся.

 

А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры.

Так надо не тех. спецам. Если это не барыги из ком. службы то Вас славная когорта инженегров телекома в интерпрайзе тоже любить небудет.

Подробнее вот здесь: http://ov7a.habrahabr.ru/blog/96414/

Это замечательная ссылка... так вот Вы под ние не подходите. Бисер перед Вами пометали уже.

Встал вопрос выбора DPI решения, что бы понять что происходит в сети.

Оцените эту фразу, потом приводите ссылки с хабра ибо инженера и так знают что искать и где... и никакое барыжье решение им не требуется.

[Goog]

По теме вопроса - лучшее что щупал/видел в продакшене - Allot NetEnforcer и SCE

[caz]

Еще у Redback есть DPI. Производительность одноного модуля DPI – порядка 5 Гбит/с. Целевой перформанс 10G.

Сами пользуемся SCE (8000 и 2000), полностью довольны.

Edited June 28, 2010 by caz

[arturslt]

Американский форум: Ты задаешь вопрос, и тебе на него отвечают.

Еврейский форум: Ты задаешь вопрос, и тебе на него отвечают вопросом.

Русский форум: Ты задаешь вопрос, и тебе долго и упорно обьясняют, какой ты ***к.

[Картуччо]

А вот с этим http://www.proceranetworks.com/ кто-нибудь сталкивался ?

[Deac]

Американский форум: Ты задаешь вопрос, и тебе на него отвечают

...что искомая информация подаётся на "таких то курсах"(m kUSD) или подешевле, на "таком то семинаре"(n kUSD), а когда ты просишь "а без курсов?" - тебе отвечают, что сначала курсы, а потом - подробности обсудим. :)

 

Еврейский форум: Ты задаешь вопрос, и тебе на него отвечают вопросом

...получают ёмкий ответ и объявляют тебя ярым антисемитом, а ты их оголтелыми сионистами. :)

 

Русский форум: Ты задаешь вопрос, и тебе долго и упорно обьясняют, какой ты ***к

...о чём ты и сам, впрочем, догадывался. :)