Мы уже сравнивали их технические характеристики, теперь рассмотрим особенности практической реализации на примере СКАТ DPI 40 и Cisco SCE 8000.
Выбрали Cisco, поскольку многие операторы связи до сих пор используют эту модель как часть одной экосистемы, несмотря на то что она снята с продажи.
СКАТ DPI 40 vs Cisco SCE 8000
Cisco SCE 8000 – топовая модель серии Service Control Engine (SCE). Относится к операторскому классу, умеет анализировать трафик, распознавать приложения и динамически применять заданные политики. Комплекс SCE объединяет аппаратную платформу и дополнительные программные пакеты Subscriber Manager (SM), Collection Manager (CM) и SCA BB Console для настройки, управления и мониторинга. В настоящий момент снята с производства в связи с переносом функций DPI на устройства серии ASR, но все еще активно используется операторами связи и интернет-провайдерами, а также продается на вторичном рынке.
СКАТ DPI 40 – программно-аппаратный комплекс российского разработчика – компании VAS Experts. Детектирует более 6000 протоколов, управляет абонентами с динамическим IP и поддерживает несколько видов Netflow. Выполняет большинство функций DPI: сбор и анализ статистики, фильтрация запрещенных сайтов, оптимизация аплинков, приоритизация трафика, уведомление абонентов и другие. СКАТ DPI используют типовые аппаратные платформы на базе Intel Xeon, поддерживают технологию прямого доступа к интерфейсам сетевых карт (DNA, Direct NIC Access) и функцию Bypass на физическом уровне (L1). Все это делает решения VAS Experts сравнительно недорогими.
Технические характеристики:
| Характеристика | Cisco SCE 8000 | СКАТ 40 Complete |
| Платформа | Собственная аппаратная, 5U | Сервер x86, 1U |
| Пропускная способность (исх. + вх.) | 15 + 15 Гбит/с | 20 + 20 Гбит/с |
| Максимальное количество сессий | 32 М | 32 М |
| Максимальное количество абонентов | 1 М | 4 М |
| Сетевые интерфейсы | 8х10 Gbe | 4х10 Gbe |
| Функции DPI | Анализ управления трафиком | Анализ управления трафиком |
| Цена | Платформа и лицензия на вторичном рынке от 110 000 $ | Около 3,2 млн рублей (53 000 $) |
По характеристикам СКАТ DPI обходит Cisco, а также стоит заметно дешевле за счет использования стандартной платформы x86 с определенными требованиями и собственного программного обеспечения, работающего под управлением ОС Centos 6.
СКАТ DPI, в отличие от SCE, более прост в настройке, не требует умения работать с графическим интерфейсом и разбираться с API. Ядро системы – сервис fastdpi и программа fdpi_ctrl, которая выполняет команды, меняя содержимое базы данных (БД) с настройками абонентов. Более тонкая настройка осуществляется с использованием набора конфигурационных файлов. К минусам такой реализации можно отнести разброс конфигурации по нескольким файлам и базе данных, а также повышенное внимание при написании команд, опечатка в которых может привести к отказу в запуске.
Сравнение систем на практике
Обе системы имеют свои преимущества и недостатки, баланс которых позволяет выбрать для своей сети ту или иную платформу. Если с точки зрения технических характеристик СКАТ DPI – безусловный лидер, то практическое использование обеих систем выявило некоторые его недостатки и преимущества по сравнению с Cisco SCE.
Недостатки СКАТ DPI:
- В отличие от SCE, СКАТ не имеет возможности заблокировать весь трафик по умолчанию. При отсутствии настроек для определенного IP-адреса весь трафик от этого адреса и к нему будет проходить без блокировки и ограничения по скорости. Чтобы блокировать трафик целиком, необходимо разметить всю адресацию в СКАТ DPI и применить конфигурацию к этому диапазону. Чтобы другой трафик не выходил за пределы сети, применяется ACL на пограничном маршрутизаторе. Решение не идеальное, но рабочее.
- В СКАТ DPI отсутствует понятие «приоритет тарифа», аналог Subscriber relative priority в SCE 8000, все тарифы равны между собой. Это не позволяет назначать более высокий приоритет трафику абонентов дорогих тарифов. В случае нехватки глобальной полосы пропускания падение скорости происходит у всех абонентов в равной мере, что может вызвать недовольство юридических лиц или других абонентов с высоким требованием к скорости канала.
- На данный момент отсутствует поддержка IPv6, хотя разработчик VAS Experts обещает ее реализацию в 2017 году.
- СКАТ DPI не имеет базы сигнатур как SCE 8000, который позволяет не задумываться о классификации трафика, а лишь регулярно их обновлять. СКАТ DPI распознает трафик по протоколам и IP-адресам и не имеет некой готовой начальной конфигурации, для его настройки необходимо самостоятельно перебрать список протоколов и вспомнить все ресурсы, для которых надо расставить приоритеты, а также указать явным образом, как их классифицировать. Эта процедура выполняется один раз при настройке системы и в дальнейшем только изменяется при необходимости, однако все равно требует трудозатрат при начале работы.
Как у любой сложной системы, у СКАТ DPI есть и другие мелкие недочеты, которые легко устраняются с помощью службы поддержки разработчика. Однако есть и весомые плюсы по сравнению с SCE.
Преимущества СКАТ DPI:
- Полное выполнение требований Роскомнадзора для любого оператора связи или интернет-провайдера, предоставляющего услуги на территории России. Это крайне важно.
- Блокировка запрещенных ресурсов происходит автоматически. СКАТ DPI с заданной периодичностью скачивает обновленные списки запрещенных ресурсов из облака разработчика и осуществляет их блокировку. Ответственность за актуальность списков лежит на разработчике VAS Experts и не требует от заказчика непосредственного участия. Ошибки в работе бывают, но это скорее исключение, при использовании SCE такие проблемы возникают значительно чаще (причем URL может быть загружен в SCE, но по каким-то причинам не блокироваться), тем более что списки в SCE загружаются вручную, что отнимает время и приводит к ошибкам из-за человеческого фактора.
- СКАТ DPI не привязан к определенному оборудованию. В случае выхода из строя аппаратной части ее достаточно легко заменить, так как платформа представляет собой обычный x86-сервер. Имеются определенные требования к сетевым картам (режим Bypass) и к производительности, но покупать стандартные комплектующие (память, процессор, сетевая карта, БП и другие) значительно проще, чем модули SCE 8000.
- В случае роста сети и числа абонентов СКАТ DPI легко подвергнуть апгрейду – достаточно нарастить мощность железа и приобрести лицензию на большую пропускную способность (оплачивается разница между текущей и покупаемой).
- СКАТ DPI имеет удобный интерфейс, особенно если сравнивать с SCA BB и Collection Manager с Insight Reporter.
- Сетевые карты СКАТ DPI поддерживают режим Bypass, который позволит пропускать трафик насквозь в случае ошибки ПО или при отключении питания. В Cisco SCE 8000 это обеспечивалось дополнительной опцией, которая существенно увеличивала стоимость решения.
- В СКАТ DPI хорошо реализована функция аналитики, имеется возможность посмотреть статистические характеристики трафика абонента, записать трафик в pcap и выгрузить аналитическую информацию по протоколу Netflow, что может быть полезно при поиске проблем.
- СКАТ DPI – это не только DPI-система, но и многофункциональное устройство, на котором реализованы функции CG-NAT и DDoS. Кроме того, с помощью модуля аналитики можно проводить маркетинговые кампании.
- В конце прошлого года разработчик СКАТ DPI компания VAS Experts закончила создание комплекса СОРМ-3. Благодаря использованию имеющегося в сети СКАТ DPI его стоимость значительно ниже, чем у других производителей.
По совокупности преимуществ и технических характеристик СКАТ DPI выглядит привлекательнее, чем устаревшее решение от Cisco, тем более что система постоянно обновляется, обрастает новыми функциями и становится стабильнее. Цена решения, не зависящая от курса валют, всегда будет выгоднее, чем у зарубежных аналогов.
Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о миграции с других платформ вы можете узнать у специалистов компании VAS Experts – разработчика и поставщика системы анализа трафика СКАТ DPI.