CGNAT. Трансляция сетевых адресов для IPv4 [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:dpi_brief:test_cases:nat [2024/12/17 13:57] elena.krasnobryzhdpi:dpi_brief:test_cases:nat [2024/12/18 09:31] (текущий) elena.krasnobryzh
    Строка 2: Строка 2:
     ======CGNAT. Трансляция сетевых адресов для IPv4====== ======CGNAT. Трансляция сетевых адресов для IPv4======
     **Зачем NAT применяется на практике:** **Зачем NAT применяется на практике:**
     +
     Технология NAT позволяет экономить адресное пространство IPv4 и снижает вероятность взлома устройств, находящихся в сети оператора связи. На СКАТ доступна настройка двух режимов: Технология NAT позволяет экономить адресное пространство IPv4 и снижает вероятность взлома устройств, находящихся в сети оператора связи. На СКАТ доступна настройка двух режимов:
       * CGNAT — Трансляция сетевых адресов и портов позволяет совместно использовать публичный IPv4 адрес несколькими абонентами и продлевает использование ограниченного адресного пространства IPv4.   * CGNAT — Трансляция сетевых адресов и портов позволяет совместно использовать публичный IPv4 адрес несколькими абонентами и продлевает использование ограниченного адресного пространства IPv4.
    Строка 9: Строка 10:
     [[dpi:dpi_brief:test_cases:nat#тест_1_настройка_cgnat_и_nat_11_через_cli|Тест 1. Настройка CGNAT и NAT 1:1 через CLI]]\\ [[dpi:dpi_brief:test_cases:nat#тест_1_настройка_cgnat_и_nat_11_через_cli|Тест 1. Настройка CGNAT и NAT 1:1 через CLI]]\\
     [[dpi:dpi_brief:test_cases:nat#тест_2_настройка_cgnat_и_nat_11_через_gui|Тест 2. Настройка CGNAT и NAT 1:1 через GUI]]\\ [[dpi:dpi_brief:test_cases:nat#тест_2_настройка_cgnat_и_nat_11_через_gui|Тест 2. Настройка CGNAT и NAT 1:1 через GUI]]\\
    -[[|Тест 3. Настройка выгрузки NAT log на внешний коллектор и локально в файл]]+[[dpi:dpi_brief:test_cases:nat#тест_3_настройка_выгрузки_nat_log_на_внешний_коллектор_и_локально_в_файл|Тест 3. Настройка выгрузки NAT log на внешний коллектор и локально в файл]]
      
     <note tip>**Условия тестов: ** <note tip>**Условия тестов: **
    Строка 32: Строка 33:
     </note> </note>
     ====1. Создание услуги NAT (CLI)==== ====1. Создание услуги NAT (CLI)====
    -Вводим команду в командной строке:\\ +Вводим команду в командной строке: 
    -CGNAT+ 
     +CGNAT:
     <code bash>fdpi_ctrl load profile --service 11  --profile.name cg_nat --profile.json '{ "nat_ip_pool" : "10.10.10.0/24", "nat_tcp_max_sessions" : 2000, "nat_udp_max_sessions" : 2000 }'</code> <code bash>fdpi_ctrl load profile --service 11  --profile.name cg_nat --profile.json '{ "nat_ip_pool" : "10.10.10.0/24", "nat_tcp_max_sessions" : 2000, "nat_udp_max_sessions" : 2000 }'</code>
      
    -NAT 1:1+NAT 1:1:
     <code bash>fdpi_ctrl load profile --service 11  --profile.name bi_nat --profile.json '{ "nat_ip_pool" : "10.10.10.0/24", "nat_type": 1 }'</code> <code bash>fdpi_ctrl load profile --service 11  --profile.name bi_nat --profile.json '{ "nat_ip_pool" : "10.10.10.0/24", "nat_type": 1 }'</code>
      
    Строка 132: Строка 134:
      
     ====3. Создание обратного маршрута (GUI)==== ====3. Создание обратного маршрута (GUI)====
    -Действия те же, что и в [[|п. 3 настройки через CLI]]+Действия те же, что и в [[dpi:dpi_brief:test_cases:nat#создание_обратного_маршрута_cli|п. 3 настройки через CLI]]
      
     ====4. Проверка прохождения трафика и ориентации интерфейсов (CLI)==== ====4. Проверка прохождения трафика и ориентации интерфейсов (CLI)====
    Строка 158: Строка 160:
     Выводится информация по трансляции приватного адреса в публичный. Выводится информация по трансляции приватного адреса в публичный.
      
     +=====Тест 3. Настройка выгрузки NAT log на внешний коллектор и локально в файл=====
     +<note>
     +  * Журналирование в текстовом формате
     +  * Экспорт во внешние коллекторы
     +</note>
     +
     +Работа с NAT log возможна в двух вариантах: запись локально в файл или выгрузка на внешний коллектор.
     +
     +====Вариант 1. Ведение журнала трансляций в текстовом формате через CLI====
     +Для записи NAT трансляций в текстовый лог на сервере СКАТ в конфигурационном файле ''/etc/dpi/fastdpi.conf'' настраиваются следующие параметры:
     +
     +<code bash>
     +ajb_save_nat=1
     +ajb_save_nat_format=ts:ssid:event:login:proto:ipsrc:portsrc:ipsrcpostnat:portsrcpostnat:ipdst:portdst
     +ajb_nat_path=/var/dump/dpi
     +ajb_nat_ftimeout=30
     +</code>
     +
     +где:
     +  * ''ajb_save_nat=1'' — активировать запись трансляций в текстовый лог
     +  * ''ajb_nat_path=/var/dump/dpi'' — место размещения файлов с записью логов (по умолчанию ''/var/dump/dpi'')
     +  * ''ajb_nat_ftimeout=30'' периодичность записи
     +  * ''ajb_save_nat_format=ts:ssid:event:login:proto:ipsrc:portsrc:ipsrcpostnat:portsrcpostnat:ipdst:portdst'' — список и порядок записываемых полей, где:
     +    * ''ts'' — timestamp (временная метка)
     +    * ''ssid'' — идентификатор сессии (для связи с данными Netflow/IPFIX по объемам)
     +    * ''event'' — событие (создание или удаление сессии)
     +    * ''login'' — логин абонента
     +    * ''ipsrc'' — IP адрес источника запроса (абонента)
     +    * ''portsrc'' — порт источника запроса (абонента)
     +    * ''ipsrcpostnat'' — IP адрес источника запроса (абонента) после NAT трансляции
     +    * ''portsrcpostnat'' — порт источника запроса (абонента) после NAT трансляции
     +    * ''ipdst'' — IP адрес получателя запроса (хоста)
     +    * ''portdst'' — порт получателя запроса (хоста)
     +
     +:!: Файловая система для записи логов должна быть быстрой и локальной (никаких NFS и других remote), данный вариант журналирования рекомендуется только в целях кратковременной диагностики
     +
     +====Вариант 2. Экспорт трансляций на внешние коллекторы в формате IPFIX====
     +Для анализа данных по совершенным NAT трансляциям на внешних системах можно экспортировать эти данных по сети в формате ipfix (aka netflow v10). Экспорт NAT трансляций настраивается следующими параметрами:
     +
     +<code bash>
     +ipfix_dev=em1
     +ipfix_nat_udp_collectors=1.2.3.4:1500,1.2.3.5:1501
     +ipfix_nat_tcp_collectors=1.2.3.6:9418
     +</code>
     +
     +где:
     +  * ''em1'' — имя сетевого интерфейса для экспорта
     +  * ''ipfix_nat_udp_collectors'' — адреса udp коллекторов
     +  * ''ipfix_nat_tcp_collectors'' — адреса tcp коллекторов
     +
     +====Настройка журнала трансляций через GUI====
     +Открываем раздел Управление DPI/Конфигурация. Добавляем в режиме редактора параметры записи локально в файл или выгрузки на внешний коллектор. Сохраняем и делаем рестарт сервиса.
     +
     +{{:dpi:dpi_brief:test_cases:nat_img8.png?nolink&900|}}