ТСПУ и сеть оператора: путь пакета от абонента до внешнего интернета

Пять уровней сети оператора — где сидит DPI, где применяется QoS и почему симптомы разные

5 мая 2026 6 мин чтения TooTimes Team

С точки зрения пользователя интернет — это значок Wi-Fi или LTE. С точки зрения сетевого инженера оператора — это сложная многоуровневая инфраструктура: десятки тысяч километров оптики, сотни маршрутизаторов, дата-центры с серверами авторизации, биллинга, кэширования. ТСПУ и DPI — лишь одна из систем, которые живут в этой инфраструктуре, и понимание их реального места помогает читать новости отрасли без лишней мистификации.

В этой статье — карта сети оператора снизу вверх: где живёт радиоуровень, как трафик собирается в крупные потоки, где обычно стоит DPI и почему симптомы могут выглядеть совершенно по-разному в зависимости от того, на каком уровне произошёл эффект.

Уровни сети оператора (упрощённо)

  АБОНЕНТ                                    ВНЕШНИЙ ИНТЕРНЕТ
    │                                              ▲
    ▼                                              │
[1. ACCESS]   ──►   [2. AGG]   ──►   [3. CORE]   ──►   [4. EDGE]   ──►   [5. PEERING/IXP]
  GPON/DSL          Aggregation       IP-MPLS         Border           Transit links
  DOCSIS            switches          backbone        routers          MSK-IX, AMS-IX
  Mobile RAN        BNG/BRAS          P/PE routers    ┌──────────┐
                                                     │ DPI/ТСПУ │
                                                     │ inline / │
                                                     │ tap mode │
                                                     └──────────┘

На каждом уровне свой набор задач и свой характерный класс отказов.

Пять уровней сети оператора

Давайте пройдёмся по каждому слою и посмотрим, что там реально происходит.

Access (последняя миля). Домашняя витая пара, GPON ONU, DOCSIS-кабель, Wi-Fi у абонента, либо радиосеть мобильного оператора (eNB/gNB). Здесь живут абонентские устройства, BNG/BRAS терминируют PPPoE/IPoE, DHCP-серверы выдают IP, RADIUS-аутентификация. Типичные проблемы — физические: затухание сигнала, потерянный кабель, перегрузка сегмента в час пик.
Aggregation. Десятки и сотни L2-коммутаторов собирают районы города в крупные потоки. На этом уровне обычно живут VLAN-сегментация, QoS-разметка, иногда первый уровень фильтрации спама и DDoS.
Core (IP-MPLS). Магистральные P-маршрутизаторы внутри AS оператора. Это «скелет» сети — высокоскоростные 100G/400G линки между городами, MPLS-туннели для приватных корпоративных сетей, OSPF/IS-IS для внутренней маршрутизации.
Edge / Border. Пограничные PE-маршрутизаторы, через которые трафик выходит в интернет. Здесь живёт BGP, обмен маршрутами с соседними AS. Именно на этом уровне или непосредственно перед ним обычно ставят inline-DPI и ТСПУ.
Peering / IXP. Точки обмена трафиком — MSK-IX, AMS-IX, DE-CIX. Тут операторы прямо обмениваются пакетами, без посредников. Качество peering сильно влияет на ощущаемую скорость для популярных сервисов.

Где обычно живёт ТСПУ

Архитектурно ТСПУ — это централизованная политика плюс локально установленное оборудование. Политики формируются в центре управления и распространяются по сети оператора. Само оборудование стоит на пути значимых потоков — обычно между core и edge либо непосредственно на edge, перед выходом в peering.

Логика проста: всё, что должно быть проанализировано, должно проходить через DPI. Ставить такое оборудование на access нерационально (тысячи точек, дорого, бессмысленно), на core — нагрузка слишком велика. Поэтому компромисс — edge.

Inline vs out-of-band

DPI можно ставить двумя принципиально разными способами:

Inline (через DPI идёт весь трафик). Плюс — можно реально вмешиваться: дропать пакеты, переписывать поля, подменять ответы. Минус — DPI становится точкой отказа: если оборудование упало или перегрузилось, трафик встал.
Out-of-band (зеркалирование). SPAN/RSPAN-порт коммутатора отправляет копию трафика в DPI. DPI наблюдает, классифицирует, пишет логи. Может слать GeneralRST для разрыва TCP-сессий, но не имеет inline-влияния. Не точка отказа.

На практике крупные операторы используют гибрид: out-of-band для большинства сегментов и inline только в критичных точках. Это даёт лучшее соотношение надёжности и контроля.

Какие признаки используются для фильтрации

Современный фильтрующий комплекс редко работает по одному признаку. Обычно это композиция:

IP-уровень. Destination IP, ASN, GeoIP. Самое грубое решение, но самое быстрое — реализуется в железе.
Транспортный уровень. Порт, протокол, TCP-флаги. Различает HTTP/HTTPS/SSH без анализа содержимого.
Application layer. SNI в TLS handshake, HTTP Host header (для уже редкого нешифрованного трафика), DNS-запросы, TLS fingerprint.
Behavioural. Размеры пакетов, тайминги, длительность потоков, направления. Подробности в статье про сигнатуры и метаданные.

Важный момент: ни один из этих признаков не означает чтения содержимого HTTPS-страницы. Шифрование TLS никто не «взламывает» — оборудование смотрит на ту часть, которая открыта по определению (адрес назначения, размер пакета, имя домена в SNI).

Симптомы проблем по уровням

Один и тот же абонентский эффект «медленно работает» имеет совершенно разные причины в зависимости от слоя:

Уровень	Признак на стороне пользователя
Access	Все сайты медленные, ping до шлюза высокий, ошибка на одном кабеле — у соседей то же самое.
Aggregation	Замедление в час пик в одном районе. Соседняя улица работает нормально.
Core	Зависит от направления маршрута. Сайты внутри одного города работают, межгород — медленно.
Edge / DPI	Только определённые классы трафика медленные. Сайты с CDN — быстрые, конкретные сервисы — медленные.
Peering	Целое направление в одной AS работает плохо, у соседнего провайдера то же направление — нормально.

Поэтому диагностика начинается не с «у меня медленный интернет», а с «какой именно сервис, через какой маршрут, в какое время». Подробнее это разобрано в статье про измерение замедления.

Чем отличается мобильный оператор

В мобильной сети уровней больше: к перечисленным пяти добавляется радио (eNB/gNB), мобильное ядро (SGW/PGW в 4G или AMF/SMF/UPF в 5G) и собственный QoS-механизм с QCI/5QI-профилями. Это означает, что DPI в мобильной сети может стоять не на edge, а на UPF — прямо в точке выхода абонентского трафика в обычный IP. Подробнее это в статье про мобильные сети.

Где почитать про сам ТСПУ

Эта статья — про инфраструктуру вокруг. Базовая архитектура самого ТСПУ как комплекса (роли, центр управления, требования к операторам) разобрана отдельно в материале про технические средства противодействия угрозам. Там же — про регламенты, отчётность и взаимодействие с регулятором.

Итого

Инфраструктура оператора — это пять разных уровней с разными задачами и разными классами отказов. ТСПУ и DPI живут на конкретном слое (обычно edge), и эффекты, которые они создают, отличаются от эффектов перегрузки access или плохого peering. Когда новость говорит «работает ТСПУ», полезно спрашивать «а на каком уровне сети?» — и тогда картина становится прозрачной.

Нужен стабильный защищённый доступ к интернету?

TooTimes — зашифрованный туннель до серверов в 9 странах, без логов.

Посмотреть тарифы