Точка отказа сети
Основной задачей СКАТ DPI является фильтрация трафика с целью его классификации и управления. Технология DPI позволяет выполнять анализ всех проходящих через нее пакетов вплоть до 7-го уровня модели OSI, а не только по стандартным номерам портов. Поведенческий (эвристический) анализ трафика дает нам информацию о конкретных приложениях, не использующих для обмена данными заранее известные заголовки и структуры данных.
Для реализации полного функционала, который способен предоставить СКАТ, необходимо использовать схему подключения «в разрыв», когда DPI подключается после граничного маршрутизатора в разрыв uplink (внешнего канала оператора).
Такой способ установки сразу определяет основную точку отказа сети, если устройство выходит из строя, то прерывается цепочка прохождения трафика и происходит обрыв связи. При реализации схемы с зеркалированием трафика такая проблема исключена. Если СКАТ перестает работать, то сеть лишается его функций, но продолжает работать. Однако только схема «в разрыв» может реализовать все функции системы DPI, такие как приоритизация, шейпинг, уведомления, кеширование и другие – для них необходимо фильтровать весь трафик.
В последних версиях СКАТ разработчики реализовали очень актуальную для операторов связи и интернет-провайдеров функцию – трансляцию сетевых адресов Carrier-Grade NAT (CG-NAT). Так как устройства DPI рассчитаны на огромные нагрузки при фильтрации трафика, то с функцией CG-NAT СКАТ справляется отлично. Но мы понимаем, что если NAT-устройство выходит из строя, то пользователи перестают получать сетевые адреса и их дальнейшая работа с сетью становится невозможной. И в таком случае не важно, «в разрыв» подключен СКАТ или «в зеркало» – абонент перестанет получать услуги.
Как обеспечить отказоустойчивость
Обеспечить отказоустойчивость и решить проблему обрыва связи в случае падения СКАТ, установленного «в разрыв», можно двумя основными способами:
- Использовать в составе системы DPI Bypass-устройства (медного или оптического), которое в случае выхода из строя основного Front-End-сервера или обрыва линка Bypass – Front-End будет гнать трафик через себя, обеспечивая связь без поддержки функции анализа трафика.
- Использовать резервную платформу DPI, которая будет осуществлять фильтрацию трафика в случае выхода из строя основной.
Bypass-устройства
Так как готовая система DPI – это программно-аппаратный комплекс, то к выбору оборудования, на которое устанавливается ПО, надо отнестись с большим вниманием, особенно это касается сетевых карт. Одно из обязательных условий для сетевых карт, используемых в системе DPI, – наличие режима Bypass.
Bypass соединяет сетевые интерфейсы на первом уровне OSI. Это значит, что если на сервере пропадает питание, то линк между портами продолжает работать и пропускать через себя трафик без функции фильтрации с помощью питания от встречной батарейки, при этом скорость переключения на Bypass – около 0,5 секунды.
Выбор такого решения для отказоустойчивости лишает вас всех функций анализа и CG-NAT, но не препятствует прохождению трафика, а значит, не обрывает связь.
Резервная платформа DPI
Резервная платформа – это второе идентичное первому устройство, которое берет на себя все функции по обработке трафика, если первое перестает работать. На ядре сети и пограничном маршрутизаторе настраивается маршрутизация, которая отвечает за перенаправление трафика в случае падения одного из СКАТ.
Стоимость лицензии для резервного устройства составляет всего 25 % от стоимости основной, если оно находится в состоянии «standby» и не обрабатывает трафик в рабочем режиме.
Если вы установили дополнительный СКАТ для отказоустойчивости, то, купив полноценную лицензию, будете иметь возможность настроить балансировку нагрузки средствами агрегации линков (LAG).
Балансировка трафика осуществляется выбором физического канала отправителем фрейма с использованием определенного алгоритма. К основным и часто используемым можно отнести следующие алгоритмы:
- по MAC-адресу отправителя или MAC-адресу получателя, или учитывая оба адреса;
- по IP-адресу отправителя или IP-адресу получателя, или учитывая оба адреса;
- по номеру порта отправителя или номеру порта получателя, или учитывая оба порта.
Такой способ позволяет «убить двух зайцев»:
- увеличить пропускную способность системы DPI, тем самым обеспечить запас для роста сети;
- обеспечить отказоустойчивость сети в случае выхода из строя оборудования СКАТ.
Более подробную информацию о функциональных особенностях СКАТ и организации отказоустойчивой работы вы можете узнать у специалистов компании VAS Experts – разработчика и поставщика системы анализа трафика СКАТ.