====== Инструкция по установке СКАТ по схеме на зеркало трафика====== 
{{indexmenu_n>3}}

   - Подготовьте сервер согласно [[dpi:dpi_brief:dpi_requirements|требованиям]] 
  - Установите и настройте [[veos:first_install:ipsetincenos|ОС VEOS]]
  - Установите [[veos:first_install:ipsetincenos|IP адрес]] 
  - В [[dpi:techsupport_info|Service Desk]] подайте заявку на установку лицензии и fastDPI.
  - После их установки необходимо внести следующие параметры в **''etc/dpi/fastdpi.conf''**:

Допустим, СКАТ подключен следующим образом:
    *''01-00.0, 01-00.1, 01-00.2'' --- принимают зеркало трафика;
    *''01-00.3'' --- подключен к маршрутизатору, который принимает и перенаправляет ответы абонентам и в интернет.

Для настройки DPI в режиме зеркалирования в конфигурации нужно указать следующее:

Установить в конфигурации для входящих портов ''in_dev'' порты, которые принимают зеркало трафика:
<code bash>
in_dev=01-00.0:01-00.1:01-00.2
</code>

Установить в конфигурации для исходящих портов ''tap_dev'' порт, на который отправляется ответ о переадресации:
<code bash>
tap_dev=01-00.3
</code>

Указать режим работы --- асимметричный:
<code bash>
asym_mode=1
</code>

Указать направление ответов ''tap_dev'':
<code bash>
emit_direction=2
tap_mode=2
</code>

<note important>Для отправки ответов в режиме зеркалирования правильно использовать дополнительную карту 1GbE, например, intel i350 (+ лицензию DPDK), сконфигурировать в системе отдельный порт для отправки переадресации **tap_dev**, а 10GbE порты задействовать под потоки зеркалированного трафика **in_dev**.</note>

Указать, что необходимо сбрасывать vlan:
<code bash>
strip_tap_tags=1
</code>
  
Прописать смену MAC:
<code bash>
replace_source_mac=00:25:90:E9:43:59 #- MAC адрес карты out_dev - 17-00.3
replace_destination_mac=78:19:F7:0E:B1:F4 #- MAC адрес маршрутизатора, или маршрутизирующего коммутатора
</code>

Установить количество повторов, если есть потери в сети:
<code bash>
emit_duplication=3 
#Где 3 - это количество повторов (дублей) пакета с редиректом или блокировкой
</code>

===== Схема реализации и описание работы =====
{{ dpi:dpi_brief:install_point_ssg:mirror.png?nolink&900 |}}

<note important> При обнаружении запроса на запрещенный ресурс СКАТ отправляет в сторону абонента (IP1) HTTP Redirect для переадресации запроса на страницу-заглушку.\\ В сторону запрещенного ресурса (IP2) направляется пакет TCP RST, который сбрасывает соединение. Блокировка (HTTPS) и переадресация (HTTP) происходит, так как СКАТ отвечает на запрос от IP1 быстрее чем IP2. </note> 

===== Заголовок ответного IP пакета =====
  * **Destination MAC** --- MAC адрес порта маршрутизатора, куда подключен ответный линк.
  * **Source MAC** --- MAC адрес карты ''out_dev''.
  * **Source IP** --- IP адрес запрещенного ресурса IP2.
  * **Destination IP** --- IP адрес пользователя IP1.

===== Пример настройки маршрутизатора =====
Порт на маршрутизаторе, куда включен ответный линк от СКАТ, должен быть сконфигурирован как обычный L3 порт. Задача принять пакет от СКАТ и на основе общих таблиц маршрутизации направить его абоненту.

Пример конфигурации:\\
В сторону Juniper MX подключен ''eth1''
<code bash>
#На стороне MX настройки:
description from_SKAT_redirect;
unit 0 {
  family inet {
  address a.b.c.d/30;
  }
}
</code>

===== Сбор статистики =====
<code bash>
#FullNetflow/IPFIX
netflow=8
netflow_full_collector_type=2
netflow_dev=eth3
netflow_timeout=20
netflow_full_collector=172.18.254.124:1500
netflow_rate_limit=30
netflow_passive_timeout=40
netflow_active_timeout=120

#ClickStream/IPFIX
ipfix_dev=eth3
ipfix_tcp_collectors=172.18.254.124:1501

#SIP
ipfix_meta_tcp_collectors=172.18.254.124:1511
rlimit_fsize=32000000000</code>
Дальнейшие настройки производятся в зависимости от того, какие компоненты планируется использовать. Настройки описаны в разделе [[dpi:dpi_components|]].