Оборудование для DPI

серверная

Основной функцией систем DPI является фильтрация трафика, и выполняет ее программный комплекс, который предустановлен на аппаратную платформу. Хорошо написанное и оптимизированное ПО позволяет системе DPI выполнять много функций помимо фильтрации (приоритизация, запрещение ресурсов, уведомление абонентов и даже CGNAT), но без специально подобранного железа программная часть системы не будет работать максимально производительно.В предыдущих статьях об иностранных и российских производителях DPI мы рассказывали, что ПО может быть заточено под конкретное оборудование (Allot, Cisco, Procera) или поставляться отдельно для установки на совместимое (Sandvine, Vas Experts, «Протей»).

Зачастую производитель поставляет готовый комплект из сервера с предустановленным ПО. Но такой сервер в значительной степени отличается от стандартных решений для обработки данных, в дополнение к нему может поставляться система хранения данных для осуществления функций кэширования контента или сбора статистики со всего трафика для реализации обязательных требований законодательства РФ, таких как закон «О связи» с поправками к нему Ирины Яровой, или реализация других требований оперативно-розыскных мероприятий.

Оборудование для DPI

Сервер для DPI – это специальная сетевая платформа. Она выглядит как обычный сервер 1U, но упор в организации ее аппаратных компонентов сделан на сетевую составляющую, а не на жесткие диски или оперативную память.

p2

В стандартной комплектации, помимо сетевых интерфейсов для управления, присутствуют 4 x 1 GbE RJ45-порта и 2 x 10 GbE SFP+, а также от 2 до 4 NMC modules with PCIex8 gen.3, куда могут быть установлены сетевые модули расширения, каждый из которых увеличивает число сетевых портов до 8 x 1 GbE RJ45, 4 x 10 GbE SFP+ или 2 х 40 GE QSFP+.

Image-20

Одно из обязательных условий для сетевых карт, используемых в системе DPI (при установке DPI «в разрыв»), – наличие режима Bypass.

Bypass соединяет сетевые интерфейсы на первом уровне OSI, это значит, что если на сервере пропадает питание, то линк между портами продолжает работать и пропускать через себя трафик без функции фильтрации с помощью питания от встречной батарейки, при этом скорость переключения на Bypass – менее 60 микросекунд.

p5

Также на борту такого сервера находится улучшенная система мониторинга состояния работы (Advanced Lights Out Management), позволяющая визуально на дисплее и удаленно контролировать все параметры системы. BIOS материнской платы аппаратно продублирован и имеет функцию дистанционного обновления. Два блока питания резервируют друг друга и поддерживают горячую замену.

Для установки программного комплекса достаточно пары жестких дисков в RAID1, а один или два процессора Intel® Xeon® E5-2600 v4 справляются с задачей глубокой фильтрации трафика и потребляют всего 145 W, экономя электроэнергию и не выделяя много тепла.

Для организации работы по хранению статистики с трафика или кэшированию контента (видео, обновления, фотографии и т. п.) к системе DPI может подключаться внешняя система хранения. Так как объемы хранимых данных измеряются десятками терабайт, а скорость доступа к ним не играет такой существенной роли, как при работе с базами данных, применяют решение, основанное на одной СХД и подключенных к ней дисковых полках.

p6

Головное устройство с двумя контроллерами на базе процессора Intel® Xeon® E5-2600 V4 (Broadwell-EP) и двумя блоками питания для обеспечения отказоустойчивости, до 24 x 2.5″ HDD/SSD дисков и 2 встроенных 2.5″ SATA SSD диска в зеркале для установки ОС. Каждый контролер оснащается 2 x 10 GbE портами для подключения к сети и портами SFF 8644 mini-SAS для подключения полок расширения.

Управление дисками осуществляет open-source ОС SmartOS, установленная на каждый из контроллеров и настроенная на работу в кластере. Использование современной файловой системы ZFS и технологии RAID-Z обеспечивает полный контроль над всеми физическими и логическими дисками, высокую скорость доступа к ним, контроль их целостности и минимизацию фрагментации данных.

Для увеличения объема хранимых данных к головному устройству подключаются дополнительные JBOD.

Image-21

Одна такая полка добавляет системе до 70 дисков 3.5″/2.5″ 12 Gb/s SAS HDD или SSD, подключается к каждому контроллеру на скорости до 12 Gb/s и управляется ОС контролера. Это позволяет быстро расширять объем системы хранения под возникающие потребности без дополнительных трудозатрат со стороны ИТ-персонала.

p9

Отказоустойчивость системы обеспечивается избыточным подключением каждого устройства друг к другу.

Производители систем глубокого анализа трафика предлагают свои референсные схемы подключения оборудования и его конфигурации, но значительно удобнее, когда это решение не является закрытой платформой с дорогими дополнительными компонентами, а построено на стандартных платформах с возможностью легкой модернизации и увеличения производительности. Большинство таких решений предлагают именно российские разработчики (Vas Experts, Протей, Napa Labs, Peter-Service).

Поделиться в социальных сетях