Инструкция по установке СКАТ по схеме на зеркало трафика [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:dpi_brief:install_point_ssg:instruction_instal_mirror:start [2023/12/26 14:59] atereschenkodpi:dpi_brief:install_point_ssg:instruction_instal_mirror:start [Дата неизвестна] (текущий) – удалено - внешнее изменение (Дата неизвестна) 127.0.0.1
    Строка 1: Строка 1:
    -====== Инструкции по установке СКАТ по схеме на зеркало трафика======  
    -{{indexmenu_n>4}} 
      
    -   - Подготовьте сервер согласно [[dpi:dpi_brief:dpi_requirements:start|требованиям]]  
    -  - Установите и настройте [[veos:first_install:ipsetincenos|ОС VEOS]] 
    -  - Установите [[veos:first_install:ipsetincenos|IP адрес]]  
    -  - В [[dpi:techsupport_info:start|Service Desk]] подайте заявку на установку лицензии и fastDPI. 
    -  - После их установки необходимо внести следующие параметры в **''etc/dpi/fastdpi.conf''**: 
    - 
    -Допустим, СКАТ подключен следующим образом: 
    -    *''01-00.0, 01-00.1, 01-00.2'' --- принимают зеркало трафика; 
    -    *''01-00.3'' --- подключен к маршрутизатору, который принимает и перенаправляет ответы абонентам и в интернет. 
    - 
    -Для настройки DPI в режиме зеркалирования в конфигурации нужно указать следующее: 
    - 
    -Установить в конфигурации для входящих портов ''in_dev'' порты, которые принимают зеркало трафика: 
    -<code bash> 
    -in_dev=01-00.0:01-00.1:01-00.2 
    -</code> 
    - 
    -Установить в конфигурации для исходящих портов ''tap_dev'' порт, на который отправляется ответ о переадресации: 
    -<code bash> 
    -tap_dev=01-00.3 
    -</code> 
    - 
    -Указать режим работы --- асимметричный: 
    -<code bash> 
    -asym_mode=1 
    -</code> 
    - 
    -Указать направление ответов ''tap_dev'': 
    -<code bash> 
    -emit_direction=2 
    -tap_mode=2 
    -</code> 
    - 
    -<note important>Для отправки ответов в режиме зеркалирования правильно использовать дополнительную карту 1GbE, например, intel i350 (+ лицензию DPDK), сконфигурировать в системе отдельный порт для отправки переадресации **tap_dev**, а 10GbE порты задействовать под потоки зеркалированного трафика **in_dev**.</note> 
    - 
    -Указать, что необходимо сбрасывать vlan: 
    -<code bash> 
    -strip_tap_tags=1 
    -</code> 
    -   
    -Прописать смену MAC: 
    -<code bash> 
    -replace_source_mac=00:25:90:E9:43:59 #- MAC адрес карты out_dev - 17-00.3 
    -replace_destination_mac=78:19:F7:0E:B1:F4 #- MAC адрес маршрутизатора, или маршрутизирующего коммутатора 
    -</code> 
    - 
    -Установить количество повторов, если есть потери в сети: 
    -<code bash> 
    -emit_duplication=3  
    -#Где 3 - это количество повторов (дублей) пакета с редиректом или блокировкой 
    -</code> 
    - 
    -===== Схема реализации и описание работы ===== 
    -{{ dpi:dpi_brief:install_point_ssg:mirror.png?nolink&900 |}} 
    - 
    -<note important> При обнаружении запроса на запрещенный ресурс СКАТ отправляет в сторону абонента (IP1) HTTP Redirect для переадресации запроса на страницу-заглушку.\\ В сторону запрещенного ресурса (IP2) направляется пакет TCP RST, который сбрасывает соединение. Блокировка (HTTPS) и переадресация (HTTP) происходит, так как СКАТ отвечает на запрос от IP1 быстрее чем IP2. </note>  
    - 
    -===== Заголовок ответного IP пакета ===== 
    -  * **Destination MAC** --- MAC адрес порта маршрутизатора, куда подключен ответный линк. 
    -  * **Source MAC** --- MAC адрес карты ''out_dev''. 
    -  * **Source IP** --- IP адрес запрещенного ресурса IP2. 
    -  * **Destination IP** --- IP адрес пользователя IP1. 
    - 
    -===== Пример настройки маршрутизатора ===== 
    -Порт на маршрутизаторе, куда включен ответный линк от СКАТ, должен быть сконфигурирован как обычный L3 порт. Задача принять пакет от СКАТ и на основе общих таблиц маршрутизации направить его абоненту. 
    - 
    -Пример конфигурации:\\ 
    -В сторону Juniper MX подключен ''eth1'' 
    -<code bash> 
    -#На стороне MX настройки: 
    -description from_SKAT_redirect; 
    -unit 0 { 
    -  family inet { 
    -  address a.b.c.d/30; 
    -  } 
    -} 
    -</code> 
    - 
    -===== Сбор статистики ===== 
    -<code bash> 
    -#FullNetflow/IPFIX 
    -netflow=8 
    -netflow_full_collector_type=2 
    -netflow_dev=eth3 
    -netflow_timeout=20 
    -netflow_full_collector=172.18.254.124:1500 
    -netflow_rate_limit=30 
    -netflow_passive_timeout=40 
    -netflow_active_timeout=120 
    - 
    -#ClickStream/IPFIX 
    -ipfix_dev=eth3 
    -ipfix_tcp_collectors=172.18.254.124:1501 
    - 
    -#SIP 
    -ipfix_meta_tcp_collectors=172.18.254.124:1511 
    -rlimit_fsize=32000000000</code> 
    -Дальнейшие настройки производятся в зависимости от того, какие компоненты планируется использовать. Настройки описаны в разделе [[dpi:dpi_components:start|]].