Задачи
До появления регуляторных требований к DPI, Бизнес-Связь использовала собственные инструменты для управления трафиком. Они были построены на базе FreeBSD и стандартных Unix-утилит и вполне справлялись с основными задачами того времени. Тогда еще не стояли задачи по Wi-Fi-идентификации, а основной фокус оператора был на работе с юридическими лицами.
Ситуация изменилась, когда появился реестр запрещенных сайтов и требования к обязательному использованию DPI. Оператору понадобилось более масштабируемое и промышленное решение. В этот период команда провела анализ доступных DPI-платформ и познакомилась с системой СКАТ от VAS Experts.
Сотрудничество началось в 2014 году и стало отправной точкой перехода к более современному и централизованному управлению трафиком.
Первое внедрение СКАТ
На начальном этапе СКАТ использовался прежде всего как DPI-платформа для выполнения регуляторных требований. Одновременно система давала оператору инструменты для анализа и классификации трафика, а также базовые механизмы защиты, включая защиту от DDoS-атак.
На старте трафик проходил через сервер, на котором использовался только DPI-функционал, однако со временем оператор начал постепенно подключать и другие возможности платформы.
Переход на программный СКАТ BRAS и интеграция с биллингом Hydra
Изначально авторизация абонентов в сети оператора была построена на аппаратных BRAS-решениях Cisco, использующих туннельные протоколы PPTP и L2TP.
Такая архитектура хорошо работала на раннем этапе развития сети, однако по мере роста абонентской базы начала упираться в технические ограничения. Одно устройство поддерживало около 1500 сессий, при этом пропускная способность была ограничена, а сама схема плохо масштабировалась при увеличении числа подключений. В результате оборудование перестало справляться с растущей нагрузкой — ни по количеству абонентов, ни по доступной полосе.
Дополнительным фактором стал переход оператора на IPoE-авторизацию.
Когда в СКАТ появился функционал BRAS, оператор начал постепенно переводить на него абонентскую авторизацию. Сначала решение использовалось для отдельных сегментов сети, а затем стало применяться и для массовых подключений.
Для полноценного внедрения потребовалась интеграция с биллинговой системой Hydra Billing. Ранее оператор использовал несколько других биллинговых систем — сначала UTM Billing, затем BillMaster. Переход на Hydra стал необходимым, так как предыдущий вендор прекратил поддержку продукта без предварительного уведомления.
Интеграция с Hydra длилась около 3 лет. Через API была реализована логика авторизации, учета абонентов и взаимодействия с тарифами. Эти доработки были выполнены на стороне оператора, после чего решение было введено в промышленную эксплуатацию.
Несмотря на сложность перехода, новая архитектура оказалась более гибкой. В результате СКАТ был глубоко интегрирован с биллингом и сегодня используется для ключевых абонентских сценариев — IPoE-авторизации, управления тарифами, работы с CG-NAT и Wi-Fi-идентификации.
Использование CG-NAT
CG-NAT также используется в составе СКАТ для работы с абонентским трафиком. На ранних этапах эксплуатации при высокой нагрузке возникали ограничения, из-за которых в отдельных случаях требовалось перезапускать сервис.
С выпуском версии 13 платформы стабильность работы CG-NAT была значительно улучшена, и с тех пор замечаний со стороны эксплуатации не возникало. Сегодня решение работает в штатном режиме и не создает проблем для сети.
Приоритизация и управление трафиком
В рамках эксплуатации СКАТ оператор использовал механизмы приоритезации трафика. В частности, ICMP-трафик (ping) был выделен в отдельный класс обслуживания, что позволило снизить количество обращений от корпоративных клиентов. Также применялись политики управления торрент-трафиком на uplink-каналах.
По мере роста общего объема трафика приоритезация на магистральных каналах была отключена из-за увеличения нагрузки на CPU. При этом приоритизация на абонентском уровне продолжает использоваться и остается эффективным инструментом управления трафиком.
Масштабирование и производительность
Архитектура решения централизованная: трафик каждого абонента проходит через один DPI-узел. Сейчас система работает только с одним CPU, поэтому масштабирование возможно лишь вертикально за счет увеличения вычислительных ресурсов сервера. Платформа развернута на сервере AMD с 128 ядрами, из которых после обновлений программного обеспечения задействуется до 120.
Дополнительным ограничением инфраструктуры оставалось ТСПУ. РКН пошел навстречу оператору и провел внеплановую модернизацию оборудования, что позволило снять часть узких мест.
В новых версиях СКАТ линейки 14.x эффективность обработки трафика была повышена, что снизило влияние пиковых нагрузок. Оператор с нетерпением ждет внедрения балансировщика, который позволит развивать горизонтальное масштабирование и более гибко распределять нагрузку.
Внедрение Wi-Fi Hotspot от VAS Experts
История Wi-Fi-идентификации у оператора началась еще в 2014 году. Первоначально использовалась SMS-авторизация — один из самых простых способов реализации, однако на практике он оказался слишком дорогим. На тот момент стоимость одного сообщения составляла около 80 копеек, а позже выросла до 6-7 рублей, что делало модель экономически невыгодной для услуги, предоставляемой абонентам бесплатно.
В результате оператор перешел на альтернативную схему — авторизацию через исходящий звонок от пользователя. Решение было построено на связке биллинга, веб-сервера и отдельных устройств Cisco и несколько лет обеспечивало базовую идентификацию пользователей Wi-Fi.
С переходом на новый биллинг Hydra потребовалось обновить и механизм Wi-Fi-идентификации. Облачные сервисы оператор сразу исключил: ежемесячная абонентская плата, зависимость от внешней платформы и нестабильная работа в условиях ТСПУ делали такие решения нежелательными. В итоге было выбрано локальное решение на базе СКАТ.
На этапе внедрения Wi-Fi Hotspot необходимо было решить несколько задач. Изначально модуль был рассчитан на классическую модель подтверждения по коду — когда код доставляется абоненту по SMS или звонком. В данном проекте использовалась другая схема: авторизация через исходящий звонок со стороны пользователя, поэтому логику работы системы пришлось доработать.
Дополнительные сложности возникли из-за особенностей мобильных платформ. У Android и iOS используются собственные механизмы Captive-порталов и встроенные браузеры для проверки доступа в интернет. Из-за этого нужно было корректно обработать переход пользователя на звонок и его возвращение обратно в браузер после завершения авторизации.
Запуск проходил не сразу: на старте потребовалось внести ряд доработок, чтобы адаптировать модуль под новый сценарий работы. Дополнительной задачей стала кастомизация интерфейса — оператору требовались логотип, рекламные элементы и адаптация страницы авторизации под собственный бренд. Большинство замечаний по работе системы исправлялось достаточно быстро в процессе совместной работы с разработчиками.
Несмотря на то что настройка выполняется через GUI, для команды оператора этот интерфейс оказался непривычным, поскольку ранее они с ним не работали. Кроме того, код модуля имеет специфическую архитектуру, поэтому часть изменений выполнялась непосредственно разработчиками.
В текущей конфигурации Wi-Fi Hotspot работает стабильно и используется параллельно со старой системой, что позволяет постепенно переводить пользователей на новую платформу.
На сегодня показатели сервиса выглядят следующим образом:
- За сутки фиксируется около 3000 новых авторизаций;
- Ежедневно фиксируется более 5000 подключений к Wi-Fi; из них около 3000 проходит через СКАТ;
- Авторизация сохраняется на устройстве до 2 недель, поэтому повторное подтверждение требуется не всегда;
- После авторизации пользователь может подключаться к сети из любого места в зоне покрытия, без повторной процедуры входа.
Оператор рассматривает Wi-Fi-идентификацию как конкурентное преимущество, предоставляя ее клиентам бесплатно в рамках своих услуг.
Планы развития
Оператор планирует дальнейшее развитие инфраструктуры и функционала на базе СКАТ. В числе приоритетов — вертикальное масштабирование платформы для поддержки дальнейшего роста абонентской базы и расширение возможностей IPoE-авторизации с более глубокой интеграцией с биллинговой системой.
Отдельное внимание уделяется развитию локального Wi-Fi Hotspot. Для оператора важно не только обеспечить стабильную работу сервиса, но и упростить управление им. В частности, требуется более гибкая кастомизация интерфейса страницы авторизации — с возможностью быстро менять оформление, добавлять логотипы и рекламные элементы, а также редактировать HTML-страницы без участия разработчиков.
Еще одним направлением развития станет расширение аналитики. Оператору необходимы отчеты по подключениям в различных точках доступа, например, в кафе, пиццериях и гостиницах, чтобы понимать, сколько абонентов подключается в каждой локации и как используется Wi-Fi-инфраструктура.
Помимо этого, планируется завершить миграцию всех Wi-Fi-клиентов на новую платформу, а также продолжить развитие инструментов управления трафиком, включая приоритизацию и контроль новых типов трафика. В дальнейшем оператор рассматривает возможность использования аналитических модулей NetFlow и QoE для корпоративных клиентов.
Отзыв клиента
«Переход на платформу СКАТ позволил нам масштабировать сеть без узких мест, внедрить стабильный Wi-Fi Hotspot для абонентов и улучшить управление трафиком. Решение полностью соответствует нашим требованиям и помогает развивать новые сервисы для клиентов», — Абрамичева Елена Борисовна, Директор Бизнес-Связь
