sell-st Опубликовано 26 июня, 2010 · Жалоба Доброго дня, господа. Встал вопрос выбора DPI решения, что бы понять что происходит в сети. Поделитесь опытом! Кто что использовал, какие впечатления? У кого какие фишки и функционал? Профессиональные решения (ALU, Arbor, SCE, IPOQUE и т.д) или собственные поделки(OpenDPI или еще что-нибудь). Решений много, все попробовать не успеешь. Расскажите. Заранее благодарен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 26 июня, 2010 · Жалоба Встал вопрос выбора DPI решения, что бы понять что происходит в сети А что вам именно непонятно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sell-st Опубликовано 26 июня, 2010 · Жалоба А что вам именно непонятно? Структуру трафика, потенциальные проблемы, атаки... Собственно то, что предлагают DPI решения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 26 июня, 2010 · Жалоба SCE хороший выбор. А вообще указали бы объемы трафика Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
osvis Опубликовано 26 июня, 2010 · Жалоба Действительно, полосу знать очень важно - от этого можно отталкиваться при принятии решения (если вы точно уверены, что DPI нужен). У ALU решение хорошее, но оно интегрированно в SR 7750. Т.е. не получится купить отдельно девайс, только вместе с шасси маршрутизатора. Советую рассматривать алу, когда помимо задач DPI вам надо решить другие задачи. У Arbora интересное решение, но как только мы показывали стоимость - никто дальше не хотел общаться:)) Далее, sce и айпок. Лично я их разделил так - когда до 1гиг, то лучше брать айпок (дешевле, гораздо удобнее интерфейс настройки через веб, вменяемые люди у дистика). Выше гига надо смотреть, но обычно сиска выигрывала (однако практически всегда в настройке требовалась наша поддержка, сами заказчики не всегда до конца могли разобраться в настройке. В плане настройки айпок легче). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 27 июня, 2010 · Жалоба Встал вопрос выбора DPI решения, что бы понять что происходит в сети.Если вы без DPI не понимаете, что происходит у вас в сети, то DPI вам точно не поможет. ps: sandvine еще Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
A79 Опубликовано 27 июня, 2010 · Жалоба Встал вопрос выбора DPI решения, что бы понять что происходит в сети.Зеркалируйте траф на писюкатор(софта в гоголе вагон ... ) и "понимайте" сколько Вам влезет что происходит.Решений много, все попробовать не успеешь. Расскажите.Пробуйте... а пока будете пробовать там и поймете зачем и для чего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sell-st Опубликовано 27 июня, 2010 · Жалоба Объем трафика 5-10 гигабит, посему зеркалировать в ПК предложение не очень. По этой же причине SCE вызывает сомнения. Там вроде не много можно в одну впихнуть. Решение должно быть масштабируемое в несколько раз. хотя бы до 20 гигабит (трафик нынче растет быстро) давайте предположим, что например ALU есть куда воткнуть. Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так. Опыт "я пробовал это и это" - здорово, но думаю все вы согласны, что все всплывает только при длительной эксплуатации. Спасбио Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 27 июня, 2010 (изменено) · Жалоба Объем трафика 5-10 гигабит, посему зеркалировать в ПК предложение не очень. По этой же причине SCE вызывает сомнения. Там вроде не много можно в одну впихнуть.Решение должно быть масштабируемое в несколько раз. хотя бы до 20 гигабит (трафик нынче растет быстро) давайте предположим, что например ALU есть куда воткнуть. Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так. Опыт "я пробовал это и это" - здорово, но думаю все вы согласны, что все всплывает только при длительной эксплуатации. Спасбио посмотрите на sandvine 14000-серию. Там вроде до 20G декларировалось в недалеком прошлом, да и распознавание трафика, говорят, получше чем на cisco sce... Но на ваш трафик готовьтесь ко взрослому ценнику. Изменено 27 июня, 2010 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 июня, 2010 · Жалоба А если не секрет, то зачем нужны такие штуки провайдеру ШПД? Понять какой трафик генерят и потребляют абоненты? Применять какие-то политики к этому трафику(подрезать, блокировать и т.д.)? Или у Вас датацентр и надо как-то блокировать атаки на сервера/с серверов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sell-st Опубликовано 27 июня, 2010 · Жалоба Коллеги :) Прошу прощения - я возможно не совсем понятно выражаю свой вопрос. Еще раз. Мне не интересно "посмотрите на то, посмотрите на это". Рынок DPI можно изучить очень быстро, буквально за день. Этим я уже озадачился. Меня интересуют РЕАЛЬНЫЕ ОТЗЫВЫ от РЕАЛЬНОГО ИСПОЛЬЗОВАНИЯ. Что-то вроде: Мы используем SCE уже на протяжении года. Трафик около 4 гигабит. Из проблем - не быстрое обновление паттернов для новых протоколов торрентов. Из плюсов - возможность ручного задания паттернов. Думаю такая информация будет полезна всем. Еще раз спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 27 июня, 2010 · Жалоба Меня интересуют РЕАЛЬНЫЕ ОТЗЫВЫ от РЕАЛЬНОГО ИСПОЛЬЗОВАНИЯ. На этом форуме уже было много про реальное использование. Попробуйте поискать. Повторятся авторы вряд ли будут. А если не секрет, то зачем нужны такие штуки провайдеру ШПД? Понять какой трафик генерят и потребляют абоненты? Применять какие-то политики к этому трафику(подрезать, блокировать и т.д.)?Или у Вас датацентр и надо как-то блокировать атаки на сервера/с серверов? Такие железки нужны для одного - p2p. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sell-st Опубликовано 27 июня, 2010 · Жалоба На этом форуме уже было много про реальное использование. Попробуйте поискать. Повторятся авторы вряд ли будут.Будьте добры, ткните носом. Сходу не находится.Да и к тому же, и здесь появляются новые люди и старые люди меняют железо и могут поделиться новым опытом. Было бы здорово, если бы все фидбэки были собраны в одном месте. Им могла бы стать этот тред, но он, к сожалению, уже замусорился :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 27 июня, 2010 · Жалоба Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так.Ок, давайте начнем вот с этого:что бы понять что происходит в сетиИмеется бесценный опыт работы с менеджерками, говорившими: "Мы не понимаем, что происходит в сети! Что за трафик потребляют клиенты! Дайте нам инструмент, который проанализирует трафик и все нам про него покажет! И мы сразу же увеличим доходы в два раза!".Сначала поставили им Arbor PeakFlow SP (который хоть и не является DPI-ем, но более чем пригоден для решения этой задачи). Поглядев в его отчеты менеджерки сказали "Что это за циферки, байтики, протоколы, адреса и AS-ки ?! Мы не понимаем что все это значит!!! Вы дали нам плохой инструмент, он плохо проанализировал тафик! Ставьте то, что проведет более глубокий анализ!". Я думаю очевидно, что они сказали посмотрев на отчеты DPI-систем от разных производителей ? ;) Это я все к тому, что для понимания того, что происходит в сети, DPI не нужен совсем. Достаточно снимать семплированный нетфлоу и анализировать его с помощью flow-tools (ну или Arbor PeakFlow SP, если нужен интуитивно-понятный интерфейс, а не коммандная строка) и уметь правильно интерпретировать отчеты. То, что по нетфлоу вы не сможете различать между собой приложения не использующие стандартных номеров портов - это можно считать стат.погрешностью, так как на фоне p2p-трафика объем остального "непонятного" трафика мал. И даже "шейперы" с "приоритетами", пусть и не такие продвинутые, можно сделать без DPI. DPI нужен когда уже есть идея как его использовать, есть понимание почему "это" нельзя сделать без DPI, есть уверенность что "это" надолго. И тогда уже надо тестировать как работает именно то, что нужно вам. Вы такой задачи не озвучивали :-) Ну а по оборудованию могу сказать, что встроенный оптический bypass для включения в разрыв - это маркетинговый булшит. Срабатывает не всегда, переключается долго, начало и окончание перерыва в прохождении трафика через устройство может отличаться на минуты, по сравнению с временем переключения bypass-а. Это касается всех вендоров (ну, или большинства). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sell-st Опубликовано 27 июня, 2010 · Жалоба Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя. Вот случилась у вас аномалия на сети и ну снимать нетфлоу. Пока снимешь, пока разбрешь - все самое интересное закончится. А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры. Или проанализировать тот же период в прошлом. В общем вариантов использования множество. Мы скатываемся к стандартному течению всех тредов на всех форумов в мире. Подробнее вот здесь: http://ov7a.habrahabr.ru/blog/96414/ Давайте ближе к теме. Не будем обсуждать зачем мне это, для чего, как лучше и все такое. Просто если есть опыт эксплуатации - поделитесь. Если нет - почитайте других. Может пригодится. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 27 июня, 2010 · Жалоба Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.Вот случилась у вас аномалия на сети и ну снимать нетфлоу. Пока снимешь, пока разбрешь - все самое интересное закончится. А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры. Или проанализировать тот же период в прошлом. В общем вариантов использования множество. Тогда Arbor PeakFlow SP - это именно то готовое решение, что вам нужно. Данные NetFlow он собирает постоянно, а не по нажатию на кнопку "снять". Аномалию увидите с задержкой в несколько минут, а если удачно настроите под себя - он даже сам о ней сообщит.Если это решение кажется дорогим, то все это можно сделать и на базе flow-tools своими силами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
A79 Опубликовано 27 июня, 2010 · Жалоба Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.Для себя кого? тех спецов? так у них и так полно возможностей и инструментов анализировать и знают какой траф прет и счем боротся. А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры.Так надо не тех. спецам. Если это не барыги из ком. службы то Вас славная когорта инженегров телекома в интерпрайзе тоже любить небудет.Подробнее вот здесь: http://ov7a.habrahabr.ru/blog/96414/ Это замечательная ссылка... так вот Вы под ние не подходите. Бисер перед Вами пометали уже.Встал вопрос выбора DPI решения, что бы понять что происходит в сети.Оцените эту фразу, потом приводите ссылки с хабра ибо инженера и так знают что искать и где... и никакое барыжье решение им не требуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Goog Опубликовано 28 июня, 2010 · Жалоба По теме вопроса - лучшее что щупал/видел в продакшене - Allot NetEnforcer и SCE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 28 июня, 2010 (изменено) · Жалоба Еще у Redback есть DPI. Производительность одноного модуля DPI – порядка 5 Гбит/с. Целевой перформанс 10G. Сами пользуемся SCE (8000 и 2000), полностью довольны. Изменено 28 июня, 2010 пользователем caz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arturslt Опубликовано 23 сентября, 2011 · Жалоба Американский форум: Ты задаешь вопрос, и тебе на него отвечают. Еврейский форум: Ты задаешь вопрос, и тебе на него отвечают вопросом. Русский форум: Ты задаешь вопрос, и тебе долго и упорно обьясняют, какой ты ***к. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 24 сентября, 2011 · Жалоба А вот с этим http://www.proceranetworks.com/ кто-нибудь сталкивался ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 24 сентября, 2011 · Жалоба Американский форум: Ты задаешь вопрос, и тебе на него отвечают ...что искомая информация подаётся на "таких то курсах"(m kUSD) или подешевле, на "таком то семинаре"(n kUSD), а когда ты просишь "а без курсов?" - тебе отвечают, что сначала курсы, а потом - подробности обсудим. :) Еврейский форум: Ты задаешь вопрос, и тебе на него отвечают вопросом ...получают ёмкий ответ и объявляют тебя ярым антисемитом, а ты их оголтелыми сионистами. :) Русский форум: Ты задаешь вопрос, и тебе долго и упорно обьясняют, какой ты ***к ...о чём ты и сам, впрочем, догадывался. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...