Публичный Wi-Fi. Анализируем и управляем с DPI

public wi-fi

Представьте себе выставочный зал, в котором на площади более 10 000 квадратных метров проходит конференция, посвященная информационным технологиям, сетям передачи данных, оборудованию операторов связи и контент-провайдеров.

Сотни участников демонстрируют свои разработки и технологии, выводят на экраны красочные презентации, организуют семинары, показывают в режиме реального времени работу своих систем. За ними следят тысячи посетителей – записывают, снимают, выкладывают в интернет обзоры и фотографии новинок, делятся впечатлениями на форумах и в социальных сетях. И одновременно с этим, продолжают удаленно выполнять служебные обязанности, ведь ИТ-специалист – он всегда на работе.

Задача организаторов конференции обеспечить стабильный и быстрый интернет как для участников, так и для посетителей. В этом оператору связи (поставщику публичного доступа в интернет) может помочь технология DPI (Deep Packet Inspection) и устройства с ее поддержкой.

DPI – контроль за публичным WiFi

Когда в публичной сети зарегистрировано несколько тысяч устройств, задача экономии полосы пропускания и контроля за использованием трафика становится максимально важна. Платформа глубокого анализа трафика обладает многими полезными функциями, но для выполнения данных задач наибольшую пользу принесут:

  • Фильтрация и приоритизация трафика.
  • Аналитика данных.
  • Защита от DoS- и DDoS-атак.
  • Трансляция сетевых адресов.

dpi wi-fi

Источник изображения www.internetphenomena.com

Несмотря на то что одно устройство за время проведения конференции загрузило более 5 Гб данных, а еще несколько около 2Гб, среднее значение потребления трафика составляет 390 Мб. Это достаточно небольшая цифра, но она достигнута использованием специальных политик оптимизации трафика с помощью платформы DPI. А именно:

  • ограничение скорости доступа в 3 Мб/с для каждого пользователя;
  • ограничение скорости доступа для сервиса Windows Update в 500 Кб/с.

Использование WiFi

Если задача первого правила достаточно понятна – не позволить одному пользователю занять всю полосу пропускания канала оператора, а в равных пропорциях делить ее между всеми, – то второе правило стало результатом работы модуля классификации и аналитики. Анализ используемых в сети приложений и протоколов позволил определить самые «тяжелые» из них, ограничение которых позволило повысить эффективность использования трафика.

dpi-wifi

Источник изображения www.internetphenomena.com

Просмотр веб-страниц по HTTP- и защищенному SSL-протоколу ожидаемо в лидерах по потребляемому трафику, так же, как и Office 365, который имеет большую популярность для работы с документами онлайн. Для обмена файлами пользователи часто используют Dropbox и iCloud, что, кстати, говорит о большой популярности устройств Apple.

А вот следующее место в рейтинге занимают сервисы обновления (Windows Update и iTunes App Store). Они настроены на автоматическую загрузку при подключении к сети Wi-Fi, что в рамках конференции для посетителя совсем не обязательно и может регулироваться политиками на DPI.

Даже несмотря на применение ограничивающей по скорости политики, сервис Windows Update отнимал на протяжении всего мероприятия в среднем около 7% трафика.

Отмена ограничений

Чтобы лучше понимать значение политик приоритизации трафика с помощью системы DPI, достаточно было в конце мероприятия отключить ограничение скорости загрузки обновлений.

dpi wi-fi bits/sec

Источник изображения www.internetphenomena.com

На протяжении всего дня полоса пропускания стабильно распределялась между всеми приложениями, но как только в 21:00 политика «Windows Update 500 Кб/с» была отключена, этот тип трафика (темно-серый цвет на графике) сразу стал потреблять почти все ресурсы сети, сделав использование других сервисов проблематичным.

Защита пользователей WiFi

Не стоит забывать, что публичная Wi-Fi-сеть, особенно если она имеет открытый доступ и использует протоколы семейства 802.11, уязвима к DoS-атакам, которые позволяют заглушить любую точку доступа, нарушить функционирование сети и перехватить данные любого из ее пользователей. Что может не только скомпрометировать участников и посетителей, но и нанести удар по авторитету организаторов.

dos wi-fi

Использование функций защиты от TCP SYN Flood и Fragmented UDP Flood системы DPI позволяет предотвратить выход из строя всей сети и защитить ее пользователей.

Описанный в статье пример показывает лишь одно из направлений использования платформы DPI. Включив ее в свою, сеть оператор связи получает значительно больше преимуществ. Специалисты компании – производителя решений DPI всегда помогу рассказать о реальных кейсах, помочь выбрать необходимую конфигурацию оборудования и ПО, а также внедрить ее и осуществлять дальнейшую поддержку.

Поделиться в социальных сетях