Инструкция по установке СКАТ по схеме на зеркало трафика [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:dpi_brief:install_point_ssg:instruction_instal_mirror [2023/08/30 11:55] elena.krasnobryzhdpi:dpi_brief:install_point_ssg:instruction_instal_mirror [2025/05/23 14:00] (текущий) – ↷ Страница перемещена из dpi:dpi_brief:network_preparation:install_point_ssg:instruction_instal_mirror в dpi:dpi_brief:install_point_ssg:instruction_instal_mirror elena.krasnobryzh
    Строка 1: Строка 1:
    -====== instruction_instal_mirror ======+====== Инструкция по установке СКАТ по схеме на зеркало трафика======  
     +{{indexmenu_n>3}} 
     + 
     +   - Подготовьте сервер согласно [[dpi:dpi_brief:dpi_requirements|требованиям]]  
     +  - Установите и настройте [[veos:first_install:ipsetincenos|ОС VEOS]] 
     +  - Установите [[veos:first_install:ipsetincenos|IP адрес]]  
     +  - В [[dpi:techsupport_info|Service Desk]] подайте заявку на установку лицензии и fastDPI. 
     +  - После их установки необходимо внести следующие параметры в **''etc/dpi/fastdpi.conf''**: 
     + 
     +Допустим, СКАТ подключен следующим образом: 
     +    *''01-00.0, 01-00.1, 01-00.2'' --- принимают зеркало трафика; 
     +    *''01-00.3'' --- подключен к маршрутизатору, который принимает и перенаправляет ответы абонентам и в интернет. 
     + 
     +Для настройки DPI в режиме зеркалирования в конфигурации нужно указать следующее: 
     + 
     +Установить в конфигурации для входящих портов ''in_dev'' порты, которые принимают зеркало трафика: 
     +<code bash> 
     +in_dev=01-00.0:01-00.1:01-00.2 
     +</code> 
     + 
     +Установить в конфигурации для исходящих портов ''tap_dev'' порт, на который отправляется ответ о переадресации: 
     +<code bash> 
     +tap_dev=01-00.3 
     +</code> 
     + 
     +Указать режим работы --- асимметричный: 
     +<code bash> 
     +asym_mode=1 
     +</code> 
     + 
     +Указать направление ответов ''tap_dev'': 
     +<code bash> 
     +emit_direction=2 
     +tap_mode=2 
     +</code> 
     + 
     +<note important>Для отправки ответов в режиме зеркалирования правильно использовать дополнительную карту 1GbE, например, intel i350 (+ лицензию DPDK), сконфигурировать в системе отдельный порт для отправки переадресации **tap_dev**, а 10GbE порты задействовать под потоки зеркалированного трафика **in_dev**.</note> 
     + 
     +Указать, что необходимо сбрасывать vlan: 
     +<code bash> 
     +strip_tap_tags=1 
     +</code> 
     +   
     +Прописать смену MAC: 
     +<code bash> 
     +replace_source_mac=00:25:90:E9:43:59 #- MAC адрес карты out_dev - 17-00.3 
     +replace_destination_mac=78:19:F7:0E:B1:F4 #- MAC адрес маршрутизатора, или маршрутизирующего коммутатора 
     +</code> 
     + 
     +Установить количество повторов, если есть потери в сети: 
     +<code bash> 
     +emit_duplication=3  
     +#Где 3 - это количество повторов (дублей) пакета с редиректом или блокировкой 
     +</code> 
     + 
     +===== Схема реализации и описание работы ===== 
     +{{ dpi:dpi_brief:install_point_ssg:mirror.png?nolink&900 |}} 
     + 
     +<note important> При обнаружении запроса на запрещенный ресурс СКАТ отправляет в сторону абонента (IP1) HTTP Redirect для переадресации запроса на страницу-заглушку.\\ В сторону запрещенного ресурса (IP2) направляется пакет TCP RST, который сбрасывает соединение. Блокировка (HTTPS) и переадресация (HTTP) происходит, так как СКАТ отвечает на запрос от IP1 быстрее чем IP2. </note>  
     + 
     +===== Заголовок ответного IP пакета ===== 
     +  * **Destination MAC** --- MAC адрес порта маршрутизатора, куда подключен ответный линк. 
     +  * **Source MAC** --- MAC адрес карты ''out_dev''
     +  * **Source IP** --- IP адрес запрещенного ресурса IP2. 
     +  * **Destination IP** --- IP адрес пользователя IP1. 
     + 
     +===== Пример настройки маршрутизатора ===== 
     +Порт на маршрутизаторе, куда включен ответный линк от СКАТ, должен быть сконфигурирован как обычный L3 порт. Задача принять пакет от СКАТ и на основе общих таблиц маршрутизации направить его абоненту. 
     + 
     +Пример конфигурации:\\ 
     +В сторону Juniper MX подключен ''eth1'' 
     +<code bash> 
     +#На стороне MX настройки: 
     +description from_SKAT_redirect; 
     +unit 0 { 
     +  family inet { 
     +  address a.b.c.d/30; 
     +  } 
     +
     +</code> 
     + 
     +===== Сбор статистики ===== 
     +<code bash> 
     +#FullNetflow/IPFIX 
     +netflow=8 
     +netflow_full_collector_type=2 
     +netflow_dev=eth3 
     +netflow_timeout=20 
     +netflow_full_collector=172.18.254.124:1500 
     +netflow_rate_limit=30 
     +netflow_passive_timeout=40 
     +netflow_active_timeout=120 
     + 
     +#ClickStream/IPFIX 
     +ipfix_dev=eth3 
     +ipfix_tcp_collectors=172.18.254.124:1501 
     + 
     +#SIP 
     +ipfix_meta_tcp_collectors=172.18.254.124:1511 
     +rlimit_fsize=32000000000</code> 
     +Дальнейшие настройки производятся в зависимости от того, какие компоненты планируется использовать. Настройки описаны в разделе [[dpi:dpi_components|]].