Спектр.IP
Описание
Подсистема позволяет собирать и накапливать информацию об использовании абонентом услуг передачи данных (мобильный интернет, ШПД) и телематических услуг. Собираются данные по следующим типам активности:
- Передача данных (IP, TCP/UDP)
- Доступ к интернет ресурсам (HTTP, WAP)
- Почтовая переписка (SMTP, IMAP, POP3, Web mail для сервисов, не использующих шифрование)
- Обмен мгновенными сообщениями (ICQ, MSN, Yahoo messenger, Jabber, Mail.ru Agent)
- Передача файлов (FTP)
- Передача звука (SIP, H323, IAX2)
Поддерживается ряд протоколов AAA (GTP-C, RADIUS и др.) и инкапсуляции (GTP, GRE, IEEE 802.1Q и др.), что позволяет использовать съемник на различных типах сетей.
Трафик передаётся для анализа по интерфейсам 1/10/100 Gigabit Ethernet. Анализаторы трафика доступны в конфигурациях 1*1GbE, 2*1GbE, 1*10GbE, 2*10GbE, 4*10GbE, 8*10GbE, 1*100GbE.
Анализатор трафика использует данные из протокола Netflow или аналогичного для получения инфорамации о NAT/PAT трансляции адресов. Корреляция трафика и событий трансляции происходит "на лету" в памяти, также "на лету" отдельные пакеты соотносятся с абонентскими и транспортными сессиями. Это позволяет сразу подготовить данные оптимальной для загрузки в хранилище структуры.
Также анализатор трафика принимает от приложения Спектр команды постановки на контроль и снятия с контроля, реализуя функционал отбора трафика. Для отобранного трафика выполняется детальный анализ - классификация потоков, реассемблинг фрагментированных данных, вычленение и восстановление данных различных типов, сбор статистики. Это позволяет удобно визуализировать отобранные данные, в том числе веб страницы, почтовые и мгновенные сообщения.
Источники получения данных
Источником данных выступает трафик абонентов, копируемый на съемники с точек концентрации. Копирование может осуществляться через SPAN порты, пассивные ответвители, специализированное сетевое оборудование (Gigamon, NetOptics). Эти методы не требуют изменения топологии сети и не создают дополнительной нагрузки на сеть.
Еще одним источником данных выступают логи межсетевых экранов, передаваемые по протоколу Netflow, Syslog или аналогичному. Логи в реальном времени предобрабатываются специализированным коллектором для получения информации о транслированных IP-адресах и портах, затем эти данные соотносятся с трафиком. Поддерживается широкий спектр форматов логов таких вендоров сетевого оборудования, как Cisco, Huawei, Juniper.
Состав собираемых данных и запросы
Ниже приводится список данных, собираемых и хранимых системой для мобильного интернета. Для широкополосного интернета состав данных отличается идентификаторами пользователя и вспомогательной информацией, представленными на уровне пользовательской сессии. Конкретный список полей в этом случае зависит от архитектуры сети и используемых протоколов аутентификации.
Уровень пользовательской сессии:
- Время начала
- Продолжительность
- MSISDN
- IMSI
- IMEI
- Access Point Name
- Location Area Code
- Cell ID
Уровень сетевой (транспортной) сессии:
- Время установления
- Продолжительность
- Внутренний IP-адрес
- Внутренний порт
- Транслированный (внешний) IP-адрес
- Транслированный (внешний) порт
- IP-адрес назначения
- Порт назначения
Уровень событий прикладных протоколов:
- Время события
- HTTP Method, Version, Host, URI, Referer, Content-Type, User-Agent
- E-mail отправителя и получателя(для SMTP, IMAP, POP)
- UIN отправителя и получателя (для ICQ, MSN, AIM, Yahoo)
- Идентификаторы VoIP
- Логины и команды FTP
Выполнение запросов детализации возможно по:
- Идентификаторам абонента (MSISDN, IMSI или IMEI для мобильной сети, логин для ШПД)
- Внутреннему IP-адресу
- Транслированному IP-адресу
- IP-адресу назначения
- HTTP Host
- E-Mail адресу
- Идентификатору VoIP
- UIN
- Логину FTP