Обложка I 70 Table of Contents 72 Обложка IV

ЖУРНАЛ СТА №4/2019

ложениям DPI развиваться независимо друг от друга и значительно расширяет возможности для внедрения приложе- ний DPI. В следующих разделах статьи требования к унификации оборудования DPI будут проанализированы с разных точек зрения. П РОИЗВОДИТЕЛЬНОСТЬ ВАЖНА В настоящее время сети 4G обеспечи- вают достаточную пропускную способ- ность для тысяч постоянно меняющихся мобильных приложений, а также много- численных приложений для социальных сетей, всё больше и больше насыщае- мых различными функциями. Однако с подключением к телекоммуникацион- ной сети огромного количества IoT- устройств типы сетевого трафика станут ещё разнообразнее. Ценность вклада оборудованияDPI в основном зависит от того, сколько типов трафика оно может идентифицировать. Это является осно- вой всех новшеств в приложениях DPI верхнего уровня. Аналитические воз- можности оборудования DPI зависят от программного обеспечения и в ещё боль- шей степени – от вычислительной про- изводительности аппаратной платформы DPI. Только высокая производитель- ность вычислений может гарантировать, что оборудование DPI сможет иденти- фицировать больше типов трафика в ре- жиме реального времени. Для решения проблем безопасности в мультитенантной среде широко исполь- зуются технологии туннелирования, та- кие как VXLAN (Virtual Extensible LAN– виртуальная расширяемая локальная сеть). VXLAN– это технология инкапсу- ляции, которая переупаковывает фрей- мы Ethernet 2-го уровня OSI (уровень данных) в протоколUDP (User Datagram Protocol – протокол пользовательских датаграмм) 4-го уровня (транспортный уровень) и таким образом помогает пре- одолеть ограничения размеров таблицы MAC и пространства идентификаторов VLAN ID. Поскольку устройства сетевой безопасности часто связаны в единуюце- почку, для обработки проходящего через них сетевого трафика все они должны поддерживать VXLAN. Удаление и до- бавление заголовков VXLAN требует значительных ресурсов процессора и су- щественно снижает общую производи- тельность сетевого защитного оборудо- вания. Решение этой проблемы заключа- ется в использовании дополнительного аппаратного ускорения. Кроме того, для повышения безопасности облачных вы- числений всё более широко используют- ся технологии шифрования. Как и в VXLAN, процесс шифрования сетевого трафика также потребляет значительные ресурсыЦПУ и может быть реализован с помощью дополнительных аппаратных блоков. Когда процессор избавлен от этих ресурсоёмких задач, он может со- средоточиться на ключевой задаче DPI более эффективно и результативно. Г ИБКОСТЬ НЕ ПРОТИВОРЕЧИТ УНИФИКАЦИИ В целях абстрагирования приложе- ний DPI верхнего уровня от оборудова- ния DPI нижнего уровня и для обес- печения требуемого масштаба развёр- тывания и совместимости приложений DPI с различным аппаратным обес- печением унифицированный интер- фейс DPI определяет требования к под- держке аппаратного интерфейса. В за- висимости от места развёртывания в те- лекоммуникационной сети оборудова- ние DPI нуждается в поддержке входя- щего/исходящего сетевого трафика в сетях 1G/10G WAN/LAN, 2.5G/10G POS или 100 GbE. Для работы оборудо- вания DPI в составе сети необходимые сетевые интерфейсы должны быть встроены в него непосредственно, а реализация с использованием внешних сплиттеров, коммутаторов или пре- образователей протоколов запрещена, чтобы исключить дополнительный риск от добавленных устройств. Следо- вательно, помимо обеспечения доста- точного количества входных/выходных портов и полосы пропускания обработ- ки унифицированное оборудование DPI также должно обеспечивать гибкую конфигурацию сетевого ввода-вывода, то есть требуется возможность выбора соответствующих интерфейсных моду- лей для адаптации к различным место- положениям развёртывания. П ОДДЕРЖКА SDN Для поддержки различных приложе- ний DPI верхнего уровня унифициро- ванное оборудование DPI должно обес- печивать не только общую идентифика- цию протоколов и статистические функции, но и строгую логику управле- ния потоком. Для реализации детально- го управления трафиком, необходимого приложениям верхнего уровня, обору- дование DPI должно поддерживать управление потоком на основе иденти- фицированного сетевого трафика, а также гарантировать минимальную пропускную способность, возможности ограничения максимальной пропуск- ной способности, пропуска и блокиро- АППА Р А Т НЫЕ С Р Е ДС Т В А / С Е Т Е ВОЕ ОБОР УДОВ АНИ Е Дата-центр Маршрутизатор GPRS Узел управления мобильностью Сервисный шлюз Пакетный шлюз Широкополосный маршрутизатор Серверы доменных имен Сети базовых станций мобильной связи Сети базовых станций мобильной связи Серверы удалённой аутентификации Городские сети Магистральная сеть Прочие среды Рис. 1. Структура современных сетей передачи данных СТА 4/2019 71 www.cta.ru

RkJQdWJsaXNoZXIy MTQ4NjUy