[alks]

нормальный DPI выполняющий попутно функции браса в любом случае дороже обычного браса

 

Это imho не так. Во многих случаях BRAS излишество (IPoE - это какой уже процент провайдеров?).

Нарезать канал абонентам и организовать Captive Portal можно на СКАТ, причем с фишками

типа DPI приоритезации, а раздать адреса может DHCP или Radius.

 

В ценах я не силен, но один из клиентов сказал, что плата для Cisco обошлась бы ему в 3 млн руб.

Стоимость лицензии СКАТ-20 Сomplete на канал 10G 640 тыс руб

 

 

Ты слово "нормальный" проигнорил, вот точка отсчета ошибки ))

 

to DimaM - а что вы в своем продукте карты напатеч не заюзали, они же как раз для dpi заточены, самый сок так сказать

если бы вы еще под них NAT запилили, я бы к вам первый в очереди стоял

 

Подозреваю, что с napatech не удалось бы предложить гуманный ценник

А NAT запилим если будет спрос, в нашем случае это не проблема

 

вот запилите нат на напатече с его фпга - и я вас расцелую

[Умник]

сначала из списка разрешаются айпишники и по этому листу проводится чистовая проверка по 80/tcp

Разрешается - это значит DNS resolve? Зачем, если Роскомнадзор уже присылает список IP-адресов, которые нужно блокировать?

[Дятел]

В ценах я не силен, но один из клиентов сказал, что плата для Cisco обошлась бы ему в 3 млн руб.

Стоимость лицензии СКАТ-20 Сomplete на канал 10G 640 тыс руб

 

Передёрнул! Циско - не лицензия, а железка, поэтому будь добр сравнивать корректно, суммируя с ценой вами же рекомендуемого железа)))

[alks]

В ценах я не силен, но один из клиентов сказал, что плата для Cisco обошлась бы ему в 3 млн руб.

Стоимость лицензии СКАТ-20 Сomplete на канал 10G 640 тыс руб

 

Передёрнул! Циско - не лицензия, а железка, поэтому будь добр сравнивать корректно, суммируя с ценой вами же рекомендуемого железа)))

 

и 3млн цена в GPL к тому-же ))

[DimaM]

ценник для сетевой карточки не самый гуманный

 

Ценник на эту карту обусловлен тем, что в эту карточку встроен аппаратный байпасс.

Естественно, что bypass сам по себе опционален и можно запустить DPI на обычных сетевухах из магазина, но

тогда вы станете беззащитны против уборщицы, которая выдернет кабель из розетки или зальет сервер водой :)

И если потребуется перезагрузить сервер без bypass, это тоже вызовет несколько минут простоя.

В принципе bypass можно организовать и другими средствами.

Если речь только про фильтрацию, то байпасс не нужен, если поставить DPI на зеркалированный трафик.

[wanderer_from]

Разрешается - это значит DNS resolve? Зачем, если Роскомнадзор уже присылает список IP-адресов, которые нужно блокировать?

на сколько понимаю, имеется блокировка по IP, а есть по урлу. Весь траф из реестра, и по IP, и по url/domen льется отдельным маршрутом, который и фильтруется. Остальной трафик не трогают. Это имеет смысл, ибо логически обработка всех запросов более ресурсоемкая, чем только часть оной, которая потенциально некошерна. Ну, или можно тупо блочить по айпишнику, как это делает мегачемпион, распугивая оставшихся у них по недоразумению или за отсутствием альтернативы абонентов.

 

Резервировать зачастую невозможно, и никто берст не дает, поэтому вариантов как понимаешь, не особо, а так есть возможность более менее дать клиенту нормальный интернет

Тут ключевым, на мой маркетологический взгляд, является слово "номарльный интернет". Что это такое? Считается ли нормальным зарезка торрентов, если вот именно сейчас мне приспичило скачать образ православного линуха национальной операционной системы, а до этого момента оно мне найух не нужно было?

 

Я буду приоретизировать траф который востребован наибольшим числом платежеспособных клиентов. А скайпом интенсивно пользуются бабушки и люди среднего возраста т.е. наиболее платежеспособные клиенты, и если появится новый сервис которым будет пользоваться именно эта часть клиентов я буду его ставить вверх, вне зависимости от того заплатит мне поставщик или нет

Да тут спору нет. Желания клиентов нужно удовлетворять - это же оне деньги платят. Я пытаюсь понять вот как ты определил, что "скайпом интенсивно пользуются бабушки и люди среднего возраста"? Они платят деньги за DPI или вообще "за интернет"? Плиз, давай без умозрительных конструкций. Вопрос четкий и конкретный - кто платит за приоритезацию любого вида трафика дополнительных денег? Не умозрительно, а вот конкретно - на тебе денежку, сделай мне приоритет по такому-то порту/домену/урлу/протоколу.

 

В статье забыли упомянуть http://cyberfilter.ru

Конечно забыл. Ибо я и не знал. Описал кого увидел. Есть мнение, что производителей есть еще, но только гугль их не очень находит, ибо хз что там искать. Я делал так. Киберфильтра там не встретил, но записал, спасибо :)

 

Если речь только про фильтрацию, то байпасс не нужен, если поставить DPI на зеркалированный трафик.

Тогда - DPI не нужен :) Достаточно более простых решений

[Умник]

на сколько понимаю, имеется блокировка по IP, а есть по урлу.

Я имею ввиду, что Роскомнадзор уже присылает список IP-адресов и список URL. Чтобы блокировать по URL, достаточно заворачивать весь http-трафик для каждого IP-адреса из присланного списка и проверять его на наличие крамольных URL из того же списка. Но не понятно - зачем делать DNS resolve каждого hostname из списка?

[wanderer_from]

зачем делать DNS resolve каждого hostname из списка?

Потому что злодеи поменяют настройки ДНС, перейдут на другой хостинг или еще чего придумают, и траф побежит как белый. А РКН проверит, и сделает ататата. Посему, я думаю, что по всему списку нужно делать резолв регулярно.

[Sergey Gilfanov]

Тут ключевым, на мой маркетологический взгляд, является слово "номарльный интернет". Что это такое? Считается ли нормальным зарезка торрентов, если вот именно сейчас мне приспичило скачать образ православного линуха национальной операционной системы, а до этого момента оно мне найух не нужно было?

Я так понял, что предлагается приоритет. Если пытаться одновременно ютбу смотреть - то торрент на том же клиенте прижмется, чтобы ютубу не мешал.

А если ютуба нет - то сколько может, столько и даст. Ну, при условии, что внешнего канала хватает. Правда, мое IMHO заключается в том, что этим должен заниматься маршрутизатор клиента, а не железка провайдера.

[DimaM]

Передёрнул! Циско - не лицензия, а железка, поэтому будь добр сравнивать корректно, суммируя с ценой вами же рекомендуемого железа

 

Циско в данном случае это не самостоятельная железка, а плата, которую он вставил бы в существующую железку. Я же стоимость этой основной железки не приплюсовываю.

Следуя аналогии, они уже использовали наше решение для фильтрации (когда-то мы лицензию на Entry раздавали бесплатно), им оставалось только

сделать апгрейд лицензии.

 

PS

На днях очередной клиент сказал, что продает свой SE100 за ненадобностью. Так что практика подтверждает: BRAS не нужен :)

PPS

Исправил, так как цитирование как-то странно отработало

Изменено 30 сентября, 2014 пользователем DimaM

[alks]

1. торрент уберем в случае аварии, его не будет вообще, но скайп вк ютуб будут работать немного хуже чем раньше. Знаешь, по факту, только торент способен отожрать все что сможет, вусмерть

забивая остальной трафик, dpi тут панацея при авариях, порвали скажем кабель в области, время работ 4-8 часов

2. За приоретизацию платит мой клиент своей лояльностью, а лояльность клиента складывается из многих пунктиков, это один из немногих

а что и как приоретизировать выбираю я, из соображений что нужно большинству, опираясь в том числе на отчеты c DPI

[alks]

Правда, мое IMHO заключается в том, что этим должен заниматься маршрутизатор клиента, а не железка провайдера.

 

не совсем так, клиента шейпим мы, его трафик приходит с инета в общей свободной трубе, а нам надо отдать клиенту фиксированную полосу, значит надо какой-то трафик дропнуть

[alks]

Передёрнул! Циско - не лицензия, а железка, поэтому будь добр сравнивать корректно, суммируя с ценой вами же рекомендуемого железа

 

Циско в данном случае это не самостоятельная железка, а плата, которую он вставил бы в существующую железку. Я же стоимость этой основной железки не приплюсовываю.

Следуя аналогии, они уже использовали наше решение для фильтрации (когда-то мы лицензию на Entry раздавали бесплатно), им оставалось только

сделать апгрейд лицензии.

 

В стремлении сэкономить можно было твоему клиенту плату и на ебее взять

очень дешево

http://www.ebay.com/itm/CISCO-USED-SCE8000-SCM-E-Service-Control-Module-/141379829183?pt=UK_Computing_Network_Switches&hash=item20eae4fdbf

за 6k$ распродажа была

это лучше чем 3млн по GPL

[Sergey Gilfanov]

не совсем так, клиента шейпим мы, его трафик приходит с инета в общей свободной трубе, а нам надо отдать клиенту фиксированную полосу, значит надо какой-то трафик дропнуть

То что вы дропаете, что на клиента лишнего идет, вам совершенно не помогает. Т.к. по аплинку оно уже прошло и полосу потратило. Надо задействовать те механизмы ограничения трафика (хоть они и кривые), что в самом протоколе торрента предусмотрены.

[alks]

не совсем так, клиента шейпим мы, его трафик приходит с инета в общей свободной трубе, а нам надо отдать клиенту фиксированную полосу, значит надо какой-то трафик дропнуть

То что вы дропаете, что на клиента лишнего идет, вам совершенно не помогает. Т.к. по аплинку оно уже прошло и полосу потратило. Надо задействовать те механизмы ограничения трафика (хоть они и кривые), что в самом протоколе торрента предусмотрены.

 

я уже писал выше, на самом деле в момент запуска ютуба, при забитой клиентской полосе, sce сразу выделяет требуемую полосу под видео, и потом уже мягко вдавливает торент вниз

т.е. на протяжении емнип около минуты клиент получает полосу гораздо больше чем в тарифном плане

[pers123]

Насчет гиков все очень просто, пусть валят к другим операторам, воплей много а шерсти клок

проблема в том, что клиенты у интернет-провайдеров как раз гики, а не бабушки.

 

И да. Я таки жду хотя бы пять простых аргументов использования DPI в мирное время, доступное пониманию маркетолога

 

гиков в общей массе клиентов дай бог пол процента, если не меньше, я вообще смотрю что большинству клиентов по барабану какой у них оператор

ди и гики разные бывают, у кого-то фетишь яблока включаю тв приставки у кого-то что-то другое, а гики торентоводы сериалов блу-рей пусть отправляются к конкурентам ))

 

все вместе

1. резать траф в случае аварии и таким образом обеспечить более быстрый интернет в период аварии

2. использовать как брас

3. в личку тебе написал. Пункт стоит всех 5

4. анализ трафика на предмет размышления куда катимся и какие тенденции намечаются

5. приоретизация трафика в трубе клиента, субъективно улучшает качество интернета. По моим тестам это выглядело так:

есть пакет на 5 мбит, полностью забиваем трубу торрентом, потом включаем ютуб HD, циска, при этом, сразу отдает нужную полосу ютубу и на небольшой

период клиент получает трубу скажем 12мбит/c. После этого циска зажимает торрент до уровня чтобы гарантировано влезал ютуб. Субъективно ты сразу смотришь ютуб без тормозов

 

ps с тебя бутылка вискаря

Добавлю свои 5 копеек

 

- DPI - Готовая система для разборок со большей частью ситуаций, когда твоих клиентов используют в качестве амплификации DDOS.

И NTP нормально прикрыть, и DNS, и выполнить требования РКН

- С точки зрения реализации IPoE DPI системы по удельной стоимости на абонента или на полосу выйдут либо сравнимо с BRAS либо дешевле.

- Многие DPI дают возможности сбора и анализа трафика просто недоступные для других инструментов, это дает возможность, как выделять тренды,

так и классифицировать и сегментировать абонентскую базу.

- у некоторых DPI есть возможность введения собственных классфикаторов трафика и управления в соответствии с этой классификаций,

это прикольно - вот например вариант построения персонального тарифного плана.

[pers123]

не совсем так, клиента шейпим мы, его трафик приходит с инета в общей свободной трубе, а нам надо отдать клиенту фиксированную полосу, значит надо какой-то трафик дропнуть

То что вы дропаете, что на клиента лишнего идет, вам совершенно не помогает. Т.к. по аплинку оно уже прошло и полосу потратило. Надо задействовать те механизмы ограничения трафика (хоть они и кривые), что в самом протоколе торрента предусмотрены.

Это верно отчасти, в отношении udp based трафика.

Вот тут то и кроется разница между механизмами шейпинга на DPI и у обычного марщрутизатора/BRASа.

Дело в том, что обычный машрутизатор/BRAS дропает пакетики произвольно, по простому ограничивая полосу,

то DPI делает это с учетом принадлежности пакетика к тому или иному flow.

С учетом того факта, что один абонент/одно приложение генерируют множество tcp соединений, то задействоание механизмов tcp

для управления полосой используемой каждым отдельным соедиением приводит к существенно более корректным результатам, чем дропание

произвольного пакетика при превышении полосы тарифного плана.

У меня есть показатели, что при переносе тарифных ограничений полосы с BRAS/GGSN на DPI количество tcp retransmission на одного абонента

падает в 4-5 раз.

А это объективный показатель качества передачи данных.

Изменено 30 сентября, 2014 пользователем pers123

[alks]

- С точки зрения реализации IPoE DPI системы по удельной стоимости на абонента или на полосу выйдут либо сравнимо с BRAS либо дешевле.

 

это как это? есть у меня несколько asr1k с ipoe, но dpi по цене гораздо дороже, тем более по полосе

[pers123]

- С точки зрения реализации IPoE DPI системы по удельной стоимости на абонента или на полосу выйдут либо сравнимо с BRAS либо дешевле.

 

это как это? есть у меня несколько asr1k с ipoe, но dpi по цене гораздо дороже, тем более по полосе

М-м-м, сколько это про прайслисту со всеми нужными фичами на стоит с двумя 10G интерфейсами?

[Дятел]

- С точки зрения реализации IPoE DPI системы по удельной стоимости на абонента или на полосу выйдут либо сравнимо с BRAS либо дешевле.

 

это как это? есть у меня несколько asr1k с ipoe, но dpi по цене гораздо дороже, тем более по полосе

М-м-м, сколько это про прайслисту со всеми нужными фичами на стоит с двумя 10G интерфейсами?

 

 

Логично, сравнивать нужно сравнимые по полосе.

[wanderer_from]

я потом отвечу про ДПИ что-нибудь. Но вот что, други, объясните. А как таки нам фильтровать https:// ссылки, которые в реестре есть. Только что потестил три прова в доступности. И что вы таки думаете?

 

Фильтры пропускают ВСЕ https ссылки из реестра. А их там 41 штука, если верить хрому через cmd+F и ввести в поиске. упд: наврал. 41 ссылка только из первой страницы, которых в реестре уже 83. На второй странице 25 ссылок с хттпс.

 

Четвертый оператор - мегачемпион тупо блокирует по ай-пи. WTF и что скажет РКН нам за это?

[pers123]

я потом отвечу про ДПИ что-нибудь. Но вот что, други, объясните. А как таки нам фильтровать https:// ссылки, которые в реестре есть. Только что потестил три прова в доступности. И что вы таки думаете?

 

Фильтры пропускают ВСЕ https ссылки из реестра. А их там 41 штука, если верить хрому через cmd+F и ввести в поиске. упд: наврал. 41 ссылка только из первой страницы, которых в реестре уже 83. На второй странице 25 ссылок с хттпс.

 

Четвертый оператор - мегачемпион тупо блокирует по ай-пи. WTF и что скажет РКН нам за это?

Ну у многих DPI в качестве свойства протокола TLS/SSL можно выковырнуть server host name, на который SSL сертификат выписан и соответственно, не по IP,

а по имени сервера блокировать, мы по крайней мере так делаем.

Очевидно, что это не URL, но и куда как менее болезненно, чем по IP.

[Дятел]

А что будет, если я заблокирую ютуб по тому адресу, который будет в реестре? мне кажется - ничего....в смысле - не заблокирует ничего...

[wanderer_from]

в смысле - не заблокирует ничего...

как раз заблокирует

 

Очевидно, что это не URL, но и куда как менее болезненно, чем по IP.

 

а по полностью доменному имени ютюба. То есть, весь Ютюб.

[pers123]

в смысле - не заблокирует ничего...

как раз заблокирует

 

Очевидно, что это не URL, но и куда как менее болезненно, чем по IP.

 

а по полностью доменному имени ютюба. То есть, весь Ютюб.

Угу. Другими словами по SSL, при подобном сценарии блокирования, сервер, которому выдан сертификат на имя www.youtube.com будет не доступен.

Только если самостоятельно не резолвить адреса, то пул адресов youtube вообще-то не малый - это одна сторона дела,

а вторая - это наличие гуглокеша и использование им для проигрывания контента совершенно другого домена вообще ставит под сомнение

работоспособность подобных блокировок.

Изменено 30 сентября, 2014 пользователем pers123