| |
| dpi:dpi_brief:install_point_ssg:start [2023/09/04 09:54] – [Схема установки в разрыв (inline mode)] elena.krasnobryzh | dpi:dpi_brief:install_point_ssg:start [Дата неизвестна] (текущий) – удалено - внешнее изменение (Дата неизвестна) 127.0.0.1 |
|---|
| ====== Схемы подключения СКАТ ====== | |
| {{indexmenu_n>2}} | |
| <note important>**__[[dpi:dpi_options:opt_filtration:filtration_common:start|ВАЖНАЯ ИНФОРМАЦИЯ ПО РАБОТЕ DPI ДЛЯ ФИЛЬТРАЦИИ ПО СПИСКАМ РОСКОМНАДЗОРА]]__**</note> | |
| |
| Преимуществом СКАТ является использование [[dpi:dpi_options:start|всеx функций]] в одном устройстве, но в зависимости от задачи, СКАТ может быть использован только в роли [[dpi:qoe:use_cases:start#dpi|DPI]] или [[dpi:qoe:use_cases:start#bras|BNG/BRAS]] или [[dpi:opt_cgnat:cgnat_description:start|NAT]]. | |
| |
| {{ dpi:dpi_brief:install_point_ssg:multi-solution.png?nolink&600 |}} | |
| |
| Точка подключения СКАТ: | |
| - В роли DPI подключение осуществляется после терминации абонентов на BRAS до NAT. Трафик должен быть симметричным (весь трафик одного абонента проходит через одно устройство СКАТ). | |
| - В роли NAT между существующим BRAS и Пограничным маршрутизатором. | |
| - В роли BRAS возможна реализация [[dpi:bras_bng:opt_bras_l3:start|L3-connected]] и [[dpi:bras_bng:opt_bras_l2|L2-connected]] схем. | |
| - Для [[dpi:dpi_options:opt_filtration:start|функции фильтрации]] возможно также подключение после Пограничного маршрутизатора в разрыв аплинка. | |
| |
| |
| ===== Схема установки в разрыв (inline mode) ===== | |
| |
| <note important>После [[veos:installation:presetting|первичной установки]] СКАТ работает в режиме L2 Bridge (не является hop в сети, не видим для других сетевых устройств) и осуществляет пересылку пакетов между входными и выходными интерфейсами с обработкой по назначенным правилам.\\ | |
| [[dpi:dpi_brief:install_point_ssg:instruction_instal|Пример настройки для схемы в разрыв.]]</note> | |
| |
| ==== Типовая схема подключения при наличии bypass функции ==== | |
| |
| {{ dpi:dpi_brief:install_point_ssg:implementation_with_bypass.png?nolink&600 |}} | |
| [[dpi:dpi_components:platform:by_pass:start|Подробнее про реализацию встроенного bypass в карты Silicom.]] | |
| |
| ==== Схема подключения без bypass функции для inline mode ==== | |
| |
| В случае когда необходимо обеспечить резервирование линка без применения bypass, используют альтернативный маршрут с применением [[dpi:licensing:start#резервная_лицензия_скат|резервной лицензии СКАТ]]. Переключение трафика на альтернативный маршрут контролируется средствами маршрутизации. Актуально только когда СКАТ работает как L2 Bridge и выполняет функции DPI, BRAS L3-Connected или NAT. | |
| |
| {{ dpi:dpi_brief:install_point_ssg:scheme_without_bypass.png?nolink&600 |}} | |
| |
| ===== Горизонтальное масштабирование ===== | |
| |
| ==== Схема подключения нескольких СКАТ в LAG с балансировкой "symetric hash" ==== | |
| |
| LAG настраивается на роутерах, между которыми подключен СКАТ. СКАТ пропускает протокол LACP прозрачно. | |
| |
| {{ dpi:dpi_brief:install_point_ssg:stingray_lag.png?nolink&600 |}} | |
| |
| Балансировка в LAG необходима для обеспечения симметричного трафика через каждое устройство СКАТ. | |
| |
| * [[https://www.juniper.net/documentation/en_US/junos13.1/topics/usage-guidelines/interfaces-configuring-symmetrical-load-balancing-lag-on-mx-routers.html|Пример по конфигурированию Juniper symetric hash]] | |
| * [[https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Data_Center/SCE_DPI.html#wp150557|Пример по конфигурированию CISCO]] | |
| * [[https://extremeportal.force.com/ExtrArticleDetail?an=000082730|Пример по конфигурированию Extreme]] | |
| |
| ===== Cхема подключения СКАТ "Петля" ===== | |
| |
| {{ dpi:dpi_brief:install_point_ssg:ssg_scheme_loop.png?nolink&600 |}} | |
| |
| **Обратите внимание на модификацию схемы выше, с использованием VLAN (Dispatch mode):** \\ | |
| Трафик клиентов приходит на первый порт коммутатора, должен уходить во второй порт на прием СКАТ (in). Далее со СКАТ (out) трафик приходит на третий порт коммутатора и уходит через четвертый порт в интернет. \\ | |
| В данном случае можно подключить так: первые два порта коммутатора настраиваете в один VLAN, вторые два порта настраиваете в другой VLAN. Таким образом трафик будет заворачиваться на L2 уровне в DPI. | |
| |
| В выше приведенной схеме есть пункт [[https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Data_Center/SCE_DPI.html#wp150376|Figure 5 Layer 2 Dispatch Mode]] \\ | |
| Можно сделать настройки, аналогичные этим, но без использования port-channel (то есть везде по одному порту). \\ | |
| Обратите внимание, что в инструкции принимается транк с указанием VLANа. Если вами транк не используется, то переведите порты в access mode. | |
| |
| ===== Схемы вариантов включения для реализации только опции фильтрации ===== | |
| ==== Асимметричная cхема с пропуском только исходящего трафика ===== | |
| Через СКАТ проходит только исходящий трафик, входящий трафик идет через отдельный физический линк без обработки. | |
| |
| {{ dpi:dpi_brief:install_point_ssg:stingray_asymmetric.png?nolink&600 |}} | |
| |
| ==== Схема с зеркалированием трафика ==== | |
| <note important>[[dpi:dpi_brief:install_point_ssg:instruction_instal_mirror|Настройка СКАТ для работы в режиме зеркалирования.]] \\ | |
| Рекомендуем использовать оптические сплиттеры для передачи зеркала трафика на DPI.</note> | |
| |
| {{ dpi:dpi_brief:install_point_ssg:stingray_mirror.png?nolink&600 |}} | |
| |
| Применение схемы с зеркалированием: | |
| |
| * получение Clickstream и Full NetFlow в режиме реального времени через IPFIX для модуля QoE | |
| * фильтрация по черным спискам | |
| * уведомление абонентов и проведение маркетинговых кампаний | |
| * бонусная программа | |
| * КЭШирование | |
| * предфильтр СОРМ. | |
