В рубрику "Решения операторского класса" | К списку рубрик | К списку авторов | К списку публикаций
1. Дифференциация трафика и качество обслуживания. Какие технологии и методы обеспечения QoS используются (если используются) на вашей сети? Какой трафик приори-тезируется? Используется ли (или планируются к использованию) на вашей сети устройства с функциональностью DPI (глубокого исследования пакетов)? Если да, то для чего вы используете (или планируете использовать) DPI?
Денис Бадретдинов
Мы используем различные методы работы с IP-тра-фиком, например такие, как DiffServ, 802.1p, WRR, WFP IP-трафик. К примеру, видеотрафик имеет в сети больший приоритет, чем голосовой. Устройство с функциональностью DPI мы используем прежде всего для статистических целей, для правильного планирования развития сети.
Сергей Гусев
Технология QoS обеспечивается на всех узлах сети. В настоящее время QoS настроен статически. В ядре сети используется классификация и приоритезация на основе DSCP, а на уровне агрегации и доступа – на основе меток 802.1p. Безусловно, приоритезируется голосовой трафик, который генерируется устройствами "Горсвязь".
На нашей сети работают устройства DPI. Они используются для справедливого распределения доступной полосы между различными классами приложений.
Леонид Гуштуров
Мы предлагаем клиентам приоритезировать различные виды трафика в соответствии с их потребностями. Для обеспечения требуемого качества услуг на сети IP/MPLS "АКАДО Телеком" применяются четыре класса обслуживания трафика (QoS):
При построении мультисервисных корпоративных сетей мы предлагаем клиентам использование режима Mul-tiQoS, позволяющего в рамках одного канала или всей виртуальной частной сети передавать все виды данных с обеспечением необходимых для каждого вида параметров качества обслуживания.
Сергей Куранов
Без обеспечения QoS практически нельзя оказывать услуги Triple Play, а это основа всех современных сетей связи. Безусловно, телевизионный и голосовой трафик имеют свой, более высокий уровень обслуживания. Интернет-три-фик имеет по сравнению с телевизионным и голосовым трафиком более низкий уровень обслуживания. Для обеспечения QoS на магистральном уровне и в агрегации мы используем механизм DiffServ (DSCP – Differentiated Services Code Point), который позволяет выделять различные виды трафика (классифицирует пакеты, маркирует, управляет интенсивностью) и управлять политикой передачи трафика (распределять ресурсы, определять политику отбрасывания пакетов). Это наиболее "умный" метод обеспечения QoS в IP-сетях. На уровне доступа используется протокол приоритезации пакетов IEEE 802.1p.
Направление DPI мы разрабатываем, рассматриваем различные решения, но пока у нас оно находится на стадии исследования.
Алексей Никитин
Предоставление Real Time-услуг обязывает оператора связи реализовать на своей сети сквозной (CPE – Core) механизм поддержки QoS. Для высокоприоритетных типов трафика, таких как голос, видео (VoD unicast, IPTV multicast), видеоконференция и Интернет, выделяется гарантированная полоса пропускания, а для низкоприоритетных, таких как доступ к локальным ресурсам и peer-to-peer, определяется доступная (при передаче трафика с более высоким приоритетом данные типы трафика вытесняются) полоса пропускания. На сети ОАО "СЗТ" применяется гибридная C-VLAN-модель (на уровне CPE – Access выделены сервисные S-VLAN, на уровне Access – BRAS клиентский C-VLAN), которая позволяет выполнять маркировку трафика как по 802.1p, так и по ToS/DSCP.
DPI-системы обладают очень большой функциональностью и могут применяться в сетях операторов для решения различных задач: сетевая безопасность (обнаружение вторжений, Firewall), контроль трафика P2P, фильтрация трафика различных приложений и т.п. Все преимущества таких систем очевидны, при этом для обеспечения анализа всего трафика крупного оператора связи необходимо установить мощный АПК, стоимость которого достаточно высока. Кроме того, при установке данного комплекса "в разрез" неизбежны задержки при передаче трафика.
Александр Хенкин
Кроме собственно ШПД, в сети "2КОМ" предоставляются услуги IPTV и IР-телефонии.
Для обеспечения надлежащего качества данных услуг соответствующий трафик приоритезируется на всей сети, включая уровень доступа.
Технологии окрашивания трафика для различных приложений мы пока не применяем, так как самые "неудобные" приложения, например Р2Р, являются и самыми востребованными в сетях фиксированного ШПД, поэтому "ущемлять" такой трафик нельзя – потеряется привлекательность услуги.
Алексей Цембер
Приоритезация трафика – важный инструмент в работе любого мультисервисного оператора. Внутри сети приоритетным считается IP-телевизионный и голосовой трафик. На выходе в "большой Интернет" мы используем DPI.
2. Аспекты безопасности ШПД. Под безопасностью доступа понимается поддержка таких функций, как аутентификация абонентов, конфиденциальность и целостность передаваемой информации, устойчивость к внешним атакам. Как решаются эти вопросы на вашей сети? Какие схемы/способы аутентификации абонентов и организации связи используются для этого? Какие технологии фиксированного доступа в большей степени отвечают требованиям безопасности?
Денис Бадретдинов: Сразу подчеркну, что безопасность сетей и абонентов имеет для нас большое значение. В Москве мы используем протокол point-to-point, и аутентификация происходит на BRAS-серверах, при этом абонент идентифицируется при помощи имени (логина) и пароля. Мы считаем, что такая схема наиболее безопасна. Частично аспект безопасности я раскрыл во втором вопросе. Такая схема построения практически не допускает перегрузки сети, поскольку она запланирована с "избыточностью" и мы всегда можем, к примеру, просто отключить абонента, поскольку всегда знаем линию, с которой ведется атака. Ведь абонент может даже не быть в курсе, что происходит атака. Мы всегда можем определить его местонахождение и физически отключить от сети, приняв все необходимые меры: прислать абоненту уведомление о том, что происходит атака, а также предложить установить антивирус.
На сетевом уровне мы используем передовые системы антиспама, защиты видеоконтента, системы борьбы с фродом – для выявления и противодействия телеком-мошенничеству и т.д.
Абонентам, в свою очередь, предлагаются доступные и удобные средства индивидуального контроля и защиты от интернет-угроз.
Сергей Гусев: Вопрос безопасности всегда решался нами комплексно и заключал в себе множество аспектов. Поэтому мы относимся к нему со всей серьезностью, причем принимаемые меры обеспечивают комплексную защиту пользовательских данных и передаваемой информации. С одной стороны, вопрос решается настройкой сетевого оборудования. Среди принимаемых мер: изоляция пользователей как с помощью функции сегментации трафика, так и на уровне VLAN. Абонентские устройства не могут взаимодействовать напрямую друг с другом, но только через сервер доступа, также отсутствует возможность "прослушивания" чужого трафика. Стоит отметить, что ввиду повсеместного использования управляемых коммутаторов трафик пользователей изолируется уже на уровне доступа, то есть непосредственно в точке подключения абонента. Злонамеренный трафик блокируется на сервере доступа. Предотвращается распространение вредоносного ПО (вирусов, троянов и т.д.). Авторизация проходит только с использованием защищенных протоколов, которые исключают передачу пароля в открытом виде. Доступ на все оборудование для управления ограничен списком IP-адресов доверенных серверов, доступ к которым имеет ограниченный круг сотрудников. С другой стороны, имеется защита на уровне биллинга. Все серверы биллинга защищены аппаратным файрволом компании Cisco для предотвращения несанкционированного доступа к ним. Привязка имени пользователя к МАС-адресу сетевой карты исключает возможность использования логина абонента другим пользователем. Доступ к личному кабинету, где от абонента требуется ввод пароля, производится строго через протоколы с шифрованием данных (HTTPS), сертификат этого сервера выдан официальным центром сертификации. В результате исключается возможность перехвата шифрованных данных и их последующее раскодирование. Помимо всего вышеперечисленного, на серверах биллинга применяются различные средства предотвращения вторжений и контроля целостности. Не оставлены без внимания и организационные мероприятия, направленные на предотвращение несанкционированного физического доступа к оборудованию: на всех крупных узлах (уровня ядра и агрегации) запущена централизованная система видеонаблюдения; на этих узлах работают системы контроля удаленного доступа, журналы которых ежедневно проверяются.
Сергей Куранов: С точки зрения пользователя удобно, когда он входит в Интернет, не вводя постоянно идентификатор, пароль и т.д. Для оператора все наоборот – безопаснее, когда идентификация проходит при каждом подключении. Мы скрестили авторизацию абонента и фиксированную привязку абонентов к порту, таким образом обеспечив защиту на физическом уровне доступа и разграничение прав доступа к сети. Это, кстати, еще одно преимущество проводного ШПД перед беспроводным доступом – мы абсолютно точно знаем, кто вошел в сеть и в какой точке сети. В принципе все виды фиксированного доступа с привязкой к порту наиболее безопасны, потому как подключиться к такому доступу можно только физически, что создает сложности в отличие от беспроводного доступа, когда достаточно завладеть реквизитами абонента, чтобы нелегально ими воспользоваться.
Алексей Никитин: В ОАО "СЗТ" проводится целый комплекс мероприятий по поддержанию необходимого и достаточного уровня безопасности:
1. Система аутентификации абонентов основана на использовании технологических данных, однозначно идентифицирующих порт оборудования доступа, к которому подключен абонент, она не содержит персональных данных (login/password). Это позволяет избежать проблем с потерей соответствующей базы данных, уменьшить количество обращений клиентов при утере login/password и обеспечить реализацию функции определения местоположения абонента.
2. В 2009 г. была введена в эксплуатацию система сетевой безопасности для абонентов ШПД, которая включает в себя подсистемы защиты от вирусов и спама. Кроме того, данная система позволяет абонентам не только идентифицировать проблему на своем персональном компьютере, но и своевременно ее устранить.
3. Ключевые технологические системы, расположенные в ЦОД, обеспечены специализированной защитой за счет функционирования межсетевых экранов операторского класса.
4. Строительство сети оптического доступа на базе технологии GPON также повысило уровень безопасности для наших абонентов за счет наличия в данном протоколе специального механизма шифрования AES encryption.
Александр Хенкин: В сети "2КОМ" на уровне доступа применяется сегментация трафика, что обеспечивает соединение "точка-точка" между пользователями и маршрутизаторами доступа (BRAS), через которые Ether-net-сети районов присоединяются к MPLS-ядру. При этом весь пользовательский трафик контролируется нами, что обеспечивает высокий уровень безопасности в сети.
Такой подход обеспечивает 100%-ную наблюдаемость и управляемость сети, то есть мы видим и можем регулировать создаваемую каждым пользователем нагрузку: как на сеть доступа, так и на магистральную сеть.
Алексей Цембер: Между безопасностью и удобством пользования должен существовать разумный баланс. Этот баланс и достигнут в сети QWERTY. С одной стороны, мы не требуем вводить логин и пароль при вхождении в Интернет, однако это не означает, что мы не используем аутентификацию – просто она невидима для абонента. Мы не просим абонента сообщать какую-то специфическую информацию о его оборудовании, такую, как, например, MAC-адреса, что, несомненно, удобно.
С другой стороны, мы гарантируем, что никто посторонний не сможет использовать ваш доступ в сеть без физического вскрытия подъездного узла связи (а это ЧП!), не сможет манипулировать IP-адресами и учетной информацией о потребленных услугах, подслушивать трафик других абонентов, даже находящихся в соседней квартире. Доступ к личному кабинету, лицевому счету, к управлению услугами, разумеется, надежно защищены паролем, так же, как и доступ к телематическим службам и дополнительным услугам. Все технические средства, хранящие информацию об абонентах, находятся в ЦОД с многоуровневой системой безопасности. Для защиты от внешних атак в партнерстве с Dr.Web мы предлагаем абонентам специализированное ПО, которое можно загрузить на домашний компьютер. Подумываем о введении услуги фильтрации и контроля трафика на стороне оператора.
Если немного углубиться в детали, то в нашей сети каждому абоненту назначен уникальный VLAN, что полностью изолирует трафик абонента от чужого, а трафик между абонентами замыкается только через интеллектуальное оборудование оператора, позволяющее этот трафик контролировать. IP-адреса назначаются по DHCP с использованием нескольких опций, в маршрутные таблицы добавляется host-route на абонента, когда все остальные процедуры аутентификации в сети уже пройдены.
3. Плоская (безлимитная) тарифная шкала предполагает зависимость платы за доступ только от скорости доступа, предоставляемой абоненту. Выгодна ли она оператору ШПД? Какие решения внедряет оператор для оптимизации доходов?
Денис Бадретдинов: Безлимитная тарифная шкала является определенным драйвером роста бизнеса для всех операторов. Количество абонентов растет большими темпами. Нельзя сказать, что операторы получают с таких абонентов большой доход, но рост услуги тем не менее продолжается, в результате, помимо роста трафика от увеличивающегося количества абонентов, также наблюдается рост трафика от каждого абонента. Операторам приходится постоянно модернизировать сети передачи данных, для того чтобы обеспечить потребность абонентов. Груз лимитной шкалы заключается как раз в том, что приходится вкладывать средства в развитие биллинговых систем и детализирован-но считать трафик.
Сергей Гусев: Зарубежный опыт показывает, что следующий этап развития рынка фиксированного ШПД – это переход от безлимитных тарифов к дифференцированной системе оплаты набора услуг. Сегодня мы предоставляем безлимитные тарифы, которые не предусматривают разделение контента: цена не изменится, даже если вы "серфите" по просторам Всемирной паутины, а не скачиваете "тяжелый" мультимедиаконтент. Абонент за определенные деньги покупает определенную скорость.
В скором времени абонент сам будет определять набор интернет-услуг, а соответственно и его стоимость. Например, в "ЭР-Телекоме" внедрен комплекс Equila, который позволяет распознавать трафик. С помощью этой системы можно выявить потребности абонента. Некоторым необходимо скачивать музыку, некоторым – смотреть видео, а некоторым – общаться в социальных сетях. У каждой услуги своя цена. Таким образом, эта тенденция более выигрышная, так как абонент доволен, потому что он сам выбирает набор услуг и формирует стоимость своего пакета, а для оператора это выгодно, так как повышается ARPU и качество сервиса для абонента.
Сергей Куранов: Безлимитная тарифная шкала, безусловно, выгодна, так как не требует затрат по подсчету трафика, а это, с учетом современных потоков информации, очень трудоемкий и требующий времени процесс. При существующем массовом обслуживании для помегабайтных тарифов потребовались бы просто безумные вычислительные мощности. С безлимитными тарифами все намного проще. Упрощается задача по хранению биллинговой информации по каждому абоненту.
Оптимизация доходов – это увеличение доходов и сокращение расходов. Повышение доходов – результат появления новых услуг и тарифов, маркетинговых программ. Сокращение расходов же достигается за счет внедрения инновационных технических решений, оптимизации внутренних и внешних потоков трафика, минимизации ручного труда.
Алексей Никитин: Переход на безлимитные тарифные планы – это необходимый шаг для поддержания конкурентоспособности на рынке ШПД. Кроме того, при использовании систем тарификации по трафику, очень высоки надзорные риски, так как отсутствует методика поверки оборудования, обеспечивающего подсчет трафика. Таким образом, оспорить претензию абонента относительно выставленного счета практически невозможно, что для оператора может обернуться в лучшем случае перерасчетом данного платежа, а в худшем – получением соответствующего предписания и отзывом лицензии.
Борис Федосеев
Использование помегабайтной тарификации или использование тарифа с ограничением скорости доступа – вопрос скорее технический, нежели финансовый.
Дело в том, что технически проще реализовать ограничение скорости, чем подсчет трафика. Если же операторам пришлось бы использовать тарифные планы с помегабайтной тарификацией (подсчетом трафика), то пришлось бы для обслуживания абонентов закупать дополнительное оборудование.
Как следствие, операторы стремятся использовать тарифные планы с ограничением скорости, потому что это не требует дополнительных затрат.
Александр Хенкин: По нашему опыту, безлимитная шкала вполне приемлема, так как внешние каналы мы давно уже покупаем не по трафику, а по полосе, и рисков заплатить за внешние каналы больше, чем продали трафика, не возникает. Правда, это повышает требования к пропускной способности на всех участках сети и соответственно требует дополнительных вложений в инфраструктуру сети.
Сегодня сеть "2КОМ" предоставляет доступ со скоростью 1 Гбит/с до дома и 10 Гбит/с – на магистрали, что обеспечивает достаточную пропускную способность нашей сети.
А для повышения доходов мы предлагаем абонентам дополнительные платные сервисы, такие как "Турбо-Кнопка", повышающая скорость доступа в сеть в три раза на 2–4–8 часов и "Турбо-Ночь", увеличивающая полосу доступа в сеть в ночное время.
Алексей Цембер: В Москве увеличение количества магистралей в "большой Интернет" и повышение их пропускной способности привели к тому, что себестоимость внешнего трафика не оказывает существенного влияния на себестоимость услуги, предоставляемой абоненту (за пределами Московского региона ситуация пока несколько иная). Тарифная шкала с тарификацией трафика становится скорее проблемой для оператора (необходимо хранить данные о трафике абонентов, работать с рекламациями в том случае, если абонент не согласен с предъявленным объемом трафика), чем средством оптимизации доходов. Мы предоставляем высокие скорости доступа к современным мультимедийным ресурсам по всему миру и хотим, чтобы абонент получал удовольствие, а не задумывался, сколько ему будет стоить открытие каждой странички.
Опубликовано: Журнал "Технологии и средства связи" #6, 2010
Посещений: 6348
В рубрику "Решения операторского класса" | К списку рубрик | К списку авторов | К списку публикаций
