Схема организации кластера СКАТ DPI
Комплекс представляет собой высокопроизводительный, масштабируемый кластер. Предназначен для анализа и управления сетевым трафиком в реальном режиме времени на уровнях L2-L7 сетевой модели OSI, состоит из следующих элементов:
- Внешний оптический bypass (Bypass Switch) со сменными оптическими модулями, обеспечивающими подключение линий SM (1310нм) или MM (850нм)
- Агрегатор (балансировщик) трафика Network Packet Broker (NPB)
- Кластер серверов СКАТ DPI
- Кластер виртуализации для развертывания системы управления (Network Management System) с графическим интерфейсом (DPIUI2). Так же включает серверы FTP, Syslog для сбора логов с компонентов системы, HTTP web-сервер для централизованной загрузки черных списков и систему мониторинга Zabbix.
- Комплекс хранения данных (QoE Stor) для построения статистических и аналитических отчетов, обеспечивающий длительное хранение агрегированной информации
- Комплект необходимых кабелей для коммутации и QSFP28/QSFP/SFP28/SFP+ модулей
- Коммутаторы в отказоустойчивом исполнении для объединения компонентов решения и менеджмента
Комплекс предназначен для установки в разрыв и поддерживает следующие типы интерфейсов Ethernet:
- 10G-BASE SR/LR
- 25G-BASE SR/LR
- 40G-BASE SR4/LR4
- 100G-BASE SR4/L4
Поддерживаются инкапсуляции: MPLS, IPinIP, VLAN, QinQ, GRE.
Линки оператора связи подключаются «в разрыв» в устройства балансировки трафика через оптический bypass, что обеспечивает защиту сети при выходе из строя аппаратных компонентов или сбое программного обеспечения. Балансировщик трафика распределяет потоки (flow) между узлами обеспечивая симметричное прохождение трафика на уровне сессии через один и тот же узел DPI (symmetric session aware load balancing L3/L4). Комплекс целиком функционирует как прозрачное L2-устройство и в общем случае не требует от оператора связи дополнительных настроек на своей стороне или изменения логической схемы построения сети. В случае наличия асимметричного трафика (исходящий трафик проходит через одну площадку/кластер СКАТ DPI, а входящий трафик через другую площадку), необходимо осуществлять отправку копии только ИСХОДЯЩЕГО трафика с одной площадки на другую. Тем самым ВЕСЬ исходящий трафик попадает в кластеры СКАТ DPI на разных площадках и устраняется асимметричность трафика. Отметим, что исходящий трафик составляет 10% от входящего, поэтому зеркалирование между площадками не требует широких каналов, так же не повышается нагрузка на кластер DPI.
Кластер обеспечивает резервирование по принципу N+X, через добавление избыточных узлов DPI. В случае отказа одного или нескольких узлов DPI, в зависимости от заложенной «прочности» произойдет перебалансировка трафика. Балансировщик выведет из работы сбойный узел и перенаправит трафик на оставшиеся DPI. В случае, если из строя вышло большее количество устройств или балансировщик — система будет выведена в bypass (поведение настраиваемое). Каждый узел DPI генерирует heartbeat сообщения в сторону устройств балансировки, а те в свою очередь управляют непосредственно bypass коммутаторами, которые с одной стороны отслеживают состояние сигнала в линии, а с другой — состояние питания и программного обеспечения, то есть работоспособность кластера DPI и балансировщиков в целом.
Принципиальной особенностью системы является ее простое масштабирование — увеличение пропускной способности происходит за счет линейного наращивания количества устройств DPI и балансировщиков в системе.
Управление комплексом производится через web based подсистему управления DPIUI2. DPIUI2 обеспечивает управление профилями и услугами абонентов или нижестоящих операторов (в том числе по сигнализации BGP), политиками обработки трафика, в том числе полисингом, правилами фильтрации — черными и белыми списками, пользовательскими протоколами, построением отчетов и т.д. Для интеграции со сторонними системами имеются стандартизированные интерфейсы/API. СКАТ DPI реализует парадигму 3GPP, в качестве дополнительной опции и в рамках отдельного технического решения, возможна интеграция управления профилями и услугами абонентов через встроенный модуль PCRF, с поддержкой протокола RADIUS, Gx/Gy интерфейсов DIAMETER.
Комплект поставки включает систему хранения данных и конструктор отчетов, позволяющий строить произвольные (пользовательские) отчеты. Конструктор отчетов предназначен для получения статистики по пользователям, операторам, IP-адресам, подсетям, автономным системам, сетевым протоколам, прикладным приложениям и их комбинации, что обеспечивает для заказчика полную прозрачность сети, а также поддержку Quality of Experience. Система позволяет хранить как сырые данные IPFIX, так и данные в агрегированном виде.