Инструкция по установке СКАТ по схеме на зеркало трафика [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    dpi:dpi_brief:network_preparation:install_point_ssg:instruction_instal_mirror [2024/12/12 07:32] – удалено - внешнее изменение (Дата неизвестна) 127.0.0.1dpi:dpi_brief:network_preparation:install_point_ssg:instruction_instal_mirror [2024/12/12 07:32] (текущий) – ↷ Страница перемещена из dpi:dpi_brief:install_point_ssg:instruction_instal_mirror в dpi:dpi_brief:network_preparation:install_point_ssg:instruction_instal_mirror elena.krasnobryzh
    Строка 1: Строка 1:
     +====== Инструкция по установке СКАТ по схеме на зеркало трафика====== 
     +{{indexmenu_n>3}}
      
     +   - Подготовьте сервер согласно [[dpi:dpi_brief:dpi_requirements|требованиям]] 
     +  - Установите и настройте [[veos:first_install:ipsetincenos|ОС VEOS]]
     +  - Установите [[veos:first_install:ipsetincenos|IP адрес]] 
     +  - В [[dpi:techsupport_info|Service Desk]] подайте заявку на установку лицензии и fastDPI.
     +  - После их установки необходимо внести следующие параметры в **''etc/dpi/fastdpi.conf''**:
     +
     +Допустим, СКАТ подключен следующим образом:
     +    *''01-00.0, 01-00.1, 01-00.2'' --- принимают зеркало трафика;
     +    *''01-00.3'' --- подключен к маршрутизатору, который принимает и перенаправляет ответы абонентам и в интернет.
     +
     +Для настройки DPI в режиме зеркалирования в конфигурации нужно указать следующее:
     +
     +Установить в конфигурации для входящих портов ''in_dev'' порты, которые принимают зеркало трафика:
     +<code bash>
     +in_dev=01-00.0:01-00.1:01-00.2
     +</code>
     +
     +Установить в конфигурации для исходящих портов ''tap_dev'' порт, на который отправляется ответ о переадресации:
     +<code bash>
     +tap_dev=01-00.3
     +</code>
     +
     +Указать режим работы --- асимметричный:
     +<code bash>
     +asym_mode=1
     +</code>
     +
     +Указать направление ответов ''tap_dev'':
     +<code bash>
     +emit_direction=2
     +tap_mode=2
     +</code>
     +
     +<note important>Для отправки ответов в режиме зеркалирования правильно использовать дополнительную карту 1GbE, например, intel i350 (+ лицензию DPDK), сконфигурировать в системе отдельный порт для отправки переадресации **tap_dev**, а 10GbE порты задействовать под потоки зеркалированного трафика **in_dev**.</note>
     +
     +Указать, что необходимо сбрасывать vlan:
     +<code bash>
     +strip_tap_tags=1
     +</code>
     +  
     +Прописать смену MAC:
     +<code bash>
     +replace_source_mac=00:25:90:E9:43:59 #- MAC адрес карты out_dev - 17-00.3
     +replace_destination_mac=78:19:F7:0E:B1:F4 #- MAC адрес маршрутизатора, или маршрутизирующего коммутатора
     +</code>
     +
     +Установить количество повторов, если есть потери в сети:
     +<code bash>
     +emit_duplication=3 
     +#Где 3 - это количество повторов (дублей) пакета с редиректом или блокировкой
     +</code>
     +
     +===== Схема реализации и описание работы =====
     +{{ dpi:dpi_brief:install_point_ssg:mirror.png?nolink&900 |}}
     +
     +<note important> При обнаружении запроса на запрещенный ресурс СКАТ отправляет в сторону абонента (IP1) HTTP Redirect для переадресации запроса на страницу-заглушку.\\ В сторону запрещенного ресурса (IP2) направляется пакет TCP RST, который сбрасывает соединение. Блокировка (HTTPS) и переадресация (HTTP) происходит, так как СКАТ отвечает на запрос от IP1 быстрее чем IP2. </note> 
     +
     +===== Заголовок ответного IP пакета =====
     +  * **Destination MAC** --- MAC адрес порта маршрутизатора, куда подключен ответный линк.
     +  * **Source MAC** --- MAC адрес карты ''out_dev''.
     +  * **Source IP** --- IP адрес запрещенного ресурса IP2.
     +  * **Destination IP** --- IP адрес пользователя IP1.
     +
     +===== Пример настройки маршрутизатора =====
     +Порт на маршрутизаторе, куда включен ответный линк от СКАТ, должен быть сконфигурирован как обычный L3 порт. Задача принять пакет от СКАТ и на основе общих таблиц маршрутизации направить его абоненту.
     +
     +Пример конфигурации:\\
     +В сторону Juniper MX подключен ''eth1''
     +<code bash>
     +#На стороне MX настройки:
     +description from_SKAT_redirect;
     +unit 0 {
     +  family inet {
     +  address a.b.c.d/30;
     +  }
     +}
     +</code>
     +
     +===== Сбор статистики =====
     +<code bash>
     +#FullNetflow/IPFIX
     +netflow=8
     +netflow_full_collector_type=2
     +netflow_dev=eth3
     +netflow_timeout=20
     +netflow_full_collector=172.18.254.124:1500
     +netflow_rate_limit=30
     +netflow_passive_timeout=40
     +netflow_active_timeout=120
     +
     +#ClickStream/IPFIX
     +ipfix_dev=eth3
     +ipfix_tcp_collectors=172.18.254.124:1501
     +
     +#SIP
     +ipfix_meta_tcp_collectors=172.18.254.124:1511
     +rlimit_fsize=32000000000</code>
     +Дальнейшие настройки производятся в зависимости от того, какие компоненты планируется использовать. Настройки описаны в разделе [[dpi:dpi_components|]].