Перейти к содержимому
Калькуляторы

DPI поделитесь опытом

Доброго дня, господа.

Встал вопрос выбора DPI решения, что бы понять что происходит в сети.

Поделитесь опытом! Кто что использовал, какие впечатления? У кого какие фишки и функционал?

Профессиональные решения (ALU, Arbor, SCE, IPOQUE и т.д) или собственные поделки(OpenDPI или еще что-нибудь).

Решений много, все попробовать не успеешь. Расскажите.

Заранее благодарен.

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Встал вопрос выбора DPI решения, что бы понять что происходит в сети

А что вам именно непонятно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что вам именно непонятно?

Структуру трафика, потенциальные проблемы, атаки...

Собственно то, что предлагают DPI решения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SCE хороший выбор. А вообще указали бы объемы трафика

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Действительно, полосу знать очень важно - от этого можно отталкиваться при принятии решения (если вы точно уверены, что DPI нужен).

У ALU решение хорошее, но оно интегрированно в SR 7750. Т.е. не получится купить отдельно девайс, только вместе с шасси маршрутизатора. Советую рассматривать алу, когда помимо задач DPI вам надо решить другие задачи.

У Arbora интересное решение, но как только мы показывали стоимость - никто дальше не хотел общаться:))

Далее, sce и айпок. Лично я их разделил так - когда до 1гиг, то лучше брать айпок (дешевле, гораздо удобнее интерфейс настройки через веб, вменяемые люди у дистика). Выше гига надо смотреть, но обычно сиска выигрывала (однако практически всегда в настройке требовалась наша поддержка, сами заказчики не всегда до конца могли разобраться в настройке. В плане настройки айпок легче).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Встал вопрос выбора DPI решения, что бы понять что происходит в сети.
Если вы без DPI не понимаете, что происходит у вас в сети, то DPI вам точно не поможет.

 

 

ps: sandvine еще

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Встал вопрос выбора DPI решения, что бы понять что происходит в сети.
Зеркалируйте траф на писюкатор(софта в гоголе вагон ... ) и "понимайте" сколько Вам влезет что происходит.
Решений много, все попробовать не успеешь. Расскажите.
Пробуйте... а пока будете пробовать там и поймете зачем и для чего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Объем трафика 5-10 гигабит, посему зеркалировать в ПК предложение не очень. По этой же причине SCE вызывает сомнения. Там вроде не много можно в одну впихнуть.

Решение должно быть масштабируемое в несколько раз. хотя бы до 20 гигабит (трафик нынче растет быстро)

давайте предположим, что например ALU есть куда воткнуть.

 

Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так.

Опыт "я пробовал это и это" - здорово, но думаю все вы согласны, что все всплывает только при длительной эксплуатации.

Спасбио

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Объем трафика 5-10 гигабит, посему зеркалировать в ПК предложение не очень. По этой же причине SCE вызывает сомнения. Там вроде не много можно в одну впихнуть.

Решение должно быть масштабируемое в несколько раз. хотя бы до 20 гигабит (трафик нынче растет быстро)

давайте предположим, что например ALU есть куда воткнуть.

 

Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так.

Опыт "я пробовал это и это" - здорово, но думаю все вы согласны, что все всплывает только при длительной эксплуатации.

Спасбио

посмотрите на sandvine 14000-серию. Там вроде до 20G декларировалось в недалеком прошлом, да и распознавание трафика, говорят, получше чем на cisco sce... Но на ваш трафик готовьтесь ко взрослому ценнику.

Изменено пользователем Konstantin Klimchev

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если не секрет, то зачем нужны такие штуки провайдеру ШПД? Понять какой трафик генерят и потребляют абоненты? Применять какие-то политики к этому трафику(подрезать, блокировать и т.д.)?

Или у Вас датацентр и надо как-то блокировать атаки на сервера/с серверов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги :) Прошу прощения - я возможно не совсем понятно выражаю свой вопрос.

Еще раз. Мне не интересно "посмотрите на то, посмотрите на это". Рынок DPI можно изучить очень быстро, буквально за день. Этим я уже озадачился.

 

Меня интересуют РЕАЛЬНЫЕ ОТЗЫВЫ от РЕАЛЬНОГО ИСПОЛЬЗОВАНИЯ.

Что-то вроде:

 

Мы используем SCE уже на протяжении года.

Трафик около 4 гигабит.

Из проблем - не быстрое обновление паттернов для новых протоколов торрентов.

Из плюсов - возможность ручного задания паттернов.

 

Думаю такая информация будет полезна всем.

Еще раз спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Меня интересуют РЕАЛЬНЫЕ ОТЗЫВЫ от РЕАЛЬНОГО ИСПОЛЬЗОВАНИЯ.

На этом форуме уже было много про реальное использование. Попробуйте поискать. Повторятся авторы вряд ли будут.

 

А если не секрет, то зачем нужны такие штуки провайдеру ШПД? Понять какой трафик генерят и потребляют абоненты? Применять какие-то политики к этому трафику(подрезать, блокировать и т.д.)?

Или у Вас датацентр и надо как-то блокировать атаки на сервера/с серверов?

Такие железки нужны для одного - p2p.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На этом форуме уже было много про реальное использование. Попробуйте поискать. Повторятся авторы вряд ли будут.
Будьте добры, ткните носом. Сходу не находится.

Да и к тому же, и здесь появляются новые люди и старые люди меняют железо и могут поделиться новым опытом.

 

Было бы здорово, если бы все фидбэки были собраны в одном месте. Им могла бы стать этот тред, но он, к сожалению, уже замусорился :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я прошу - просто если у вас ест DPI и вы им пользуетесь достаточно долго - напишите какой и что с ним так, а что не так.
Ок, давайте начнем вот с этого:
что бы понять что происходит в сети
Имеется бесценный опыт работы с менеджерками, говорившими: "Мы не понимаем, что происходит в сети! Что за трафик потребляют клиенты! Дайте нам инструмент, который проанализирует трафик и все нам про него покажет! И мы сразу же увеличим доходы в два раза!".

Сначала поставили им Arbor PeakFlow SP (который хоть и не является DPI-ем, но более чем пригоден для решения этой задачи). Поглядев в его отчеты менеджерки сказали "Что это за циферки, байтики, протоколы, адреса и AS-ки ?! Мы не понимаем что все это значит!!! Вы дали нам плохой инструмент, он плохо проанализировал тафик! Ставьте то, что проведет более глубокий анализ!". Я думаю очевидно, что они сказали посмотрев на отчеты DPI-систем от разных производителей ? ;)

 

Это я все к тому, что для понимания того, что происходит в сети, DPI не нужен совсем. Достаточно снимать семплированный нетфлоу и анализировать его с помощью flow-tools (ну или Arbor PeakFlow SP, если нужен интуитивно-понятный интерфейс, а не коммандная строка) и уметь правильно интерпретировать отчеты. То, что по нетфлоу вы не сможете различать между собой приложения не использующие стандартных номеров портов - это можно считать стат.погрешностью, так как на фоне p2p-трафика объем остального "непонятного" трафика мал. И даже "шейперы" с "приоритетами", пусть и не такие продвинутые, можно сделать без DPI.

 

DPI нужен когда уже есть идея как его использовать, есть понимание почему "это" нельзя сделать без DPI, есть уверенность что "это" надолго. И тогда уже надо тестировать как работает именно то, что нужно вам. Вы такой задачи не озвучивали :-)

 

 

Ну а по оборудованию могу сказать, что встроенный оптический bypass для включения в разрыв - это маркетинговый булшит. Срабатывает не всегда, переключается долго, начало и окончание перерыва в прохождении трафика через устройство может отличаться на минуты, по сравнению с временем переключения bypass-а. Это касается всех вендоров (ну, или большинства).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.

Вот случилась у вас аномалия на сети и ну снимать нетфлоу. Пока снимешь, пока разбрешь - все самое интересное закончится.

А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры.

Или проанализировать тот же период в прошлом. В общем вариантов использования множество.

 

Мы скатываемся к стандартному течению всех тредов на всех форумов в мире. Подробнее вот здесь: http://ov7a.habrahabr.ru/blog/96414/

Давайте ближе к теме. Не будем обсуждать зачем мне это, для чего, как лучше и все такое.

Просто если есть опыт эксплуатации - поделитесь. Если нет - почитайте других. Может пригодится.

Спасибо.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.

Вот случилась у вас аномалия на сети и ну снимать нетфлоу. Пока снимешь, пока разбрешь - все самое интересное закончится.

А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры.

Или проанализировать тот же период в прошлом. В общем вариантов использования множество.

Тогда Arbor PeakFlow SP - это именно то готовое решение, что вам нужно. Данные NetFlow он собирает постоянно, а не по нажатию на кнопку "снять". Аномалию увидите с задержкой в несколько минут, а если удачно настроите под себя - он даже сам о ней сообщит.

Если это решение кажется дорогим, то все это можно сделать и на базе flow-tools своими силами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это нужно не для наших коллег из коммерческого блока, а в первую очередь для себя.
Для себя кого? тех спецов? так у них и так полно возможностей и инструментов анализировать и знают какой траф прет и счем боротся.

 

А так ты сразу видишь например, что у тебя почему-то начинает расти трафик (у клиентов или на серверах) с определенного типа. Есть возможность оценить ситуацию и принять превентивные меры.
Так надо не тех. спецам. Если это не барыги из ком. службы то Вас славная когорта инженегров телекома в интерпрайзе тоже любить небудет.
Подробнее вот здесь: http://ov7a.habrahabr.ru/blog/96414/
Это замечательная ссылка... так вот Вы под ние не подходите. Бисер перед Вами пометали уже.
Встал вопрос выбора DPI решения, что бы понять что происходит в сети.
Оцените эту фразу, потом приводите ссылки с хабра ибо инженера и так знают что искать и где... и никакое барыжье решение им не требуется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По теме вопроса - лучшее что щупал/видел в продакшене - Allot NetEnforcer и SCE

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще у Redback есть DPI. Производительность одноного модуля DPI – порядка 5 Гбит/с. Целевой перформанс 10G.

Сами пользуемся SCE (8000 и 2000), полностью довольны.

Изменено пользователем caz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Американский форум: Ты задаешь вопрос, и тебе на него отвечают.

Еврейский форум: Ты задаешь вопрос, и тебе на него отвечают вопросом.

Русский форум: Ты задаешь вопрос, и тебе долго и упорно обьясняют, какой ты ***к.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот с этим http://www.proceranetworks.com/ кто-нибудь сталкивался ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Американский форум: Ты задаешь вопрос, и тебе на него отвечают

...что искомая информация подаётся на "таких то курсах"(m kUSD) или подешевле, на "таком то семинаре"(n kUSD), а когда ты просишь "а без курсов?" - тебе отвечают, что сначала курсы, а потом - подробности обсудим. :)

 

Еврейский форум: Ты задаешь вопрос, и тебе на него отвечают вопросом

...получают ёмкий ответ и объявляют тебя ярым антисемитом, а ты их оголтелыми сионистами. :)

 

Русский форум: Ты задаешь вопрос, и тебе долго и упорно обьясняют, какой ты ***к

...о чём ты и сам, впрочем, догадывался. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.