Содержание

Схемы подключения СКАТ

ВАЖНАЯ ИНФОРМАЦИЯ ПО РАБОТЕ DPI ДЛЯ ФИЛЬТРАЦИИ ПО СПИСКАМ РОСКОМНАДЗОРА

Преимуществом СКАТ является использование всеx функций в одном устройстве, но в зависимости от задачи, СКАТ может быть использован только в роли DPI или BNG/BRAS или NAT.

Точка подключения СКАТ:

  1. В роли DPI подключение осуществляется после терминации абонентов на BRAS до NAT. Трафик должен быть симметричным (весь трафик одного абонента проходит через одно устройство СКАТ).
  2. В роли NAT между существующим BRAS и Пограничным маршрутизатором.
  3. В роли BRAS возможна реализация L3-connected и L2-connected схем.
  4. Для функции фильтрации возможно также подключение после Пограничного маршрутизатора в разрыв аплинка.

Схема установки on-stick

После первичной установки СКАТ работает в режиме L2 Bridge (не является hop в сети, не видим для других сетевых устройств) и осуществляет пересылку пакетов между входными и выходными интерфейсами с обработкой по назначенным правилам.
Пример настройки для схемы on-stick.

On-stick позволяют экономить на физическом оборудовании. FastDPI обычно работает с мостами, замыкая два физических порта (девайса). Для on-stick девайса физический порт один, на котором fastDPI сам создает виртуальные порты — со стороны абонентов (subs) и интернета (inet).

Схема установки в разрыв (inline mode)

После первичной установки СКАТ работает в режиме L2 Bridge (не является hop в сети, не видим для других сетевых устройств) и осуществляет пересылку пакетов между входными и выходными интерфейсами с обработкой по назначенным правилам.
Пример настройки для схемы в разрыв.

Типовая схема подключения при наличии bypass функции

Подробнее про реализацию встроенного bypass в карты Silicom.

Схема подключения без bypass функции для inline mode

В случае когда необходимо обеспечить резервирование линка без применения bypass, используют альтернативный маршрут с применением резервной лицензии СКАТ. Переключение трафика на альтернативный маршрут контролируется средствами маршрутизации. Актуально только когда СКАТ работает как L2 Bridge и выполняет функции DPI, BRAS L3-Connected или NAT.

Горизонтальное масштабирование

Вебинар по теме:

Схема подключения нескольких СКАТ в LAG с балансировкой "symetric hash"

LAG настраивается на роутерах, между которыми подключен СКАТ. СКАТ пропускает протокол LACP прозрачно.

Балансировка в LAG необходима для обеспечения симметричного трафика через каждое устройство СКАТ.

Cхема подключения СКАТ "Петля"

Обратите внимание на модификацию схемы выше, с использованием VLAN (Dispatch mode):
Трафик клиентов приходит на первый порт маршрутизатора, должен уходить во второй порт на прием СКАТ (in). Далее со СКАТ (out) трафик приходит на третий порт маршрутизатора и уходит через четвертый порт в интернет.
В данном случае можно подключить так: первые два порта маршрутизатора настраиваете в один VLAN, вторые два порта настраиваете в другой VLAN. Таким образом трафик будет заворачиваться на L2 уровне в DPI.

В выше приведенной схеме есть пункт Figure 5 Layer 2 Dispatch Mode
Можно сделать настройки, аналогичные этим, но без использования port-channel (то есть везде по одному порту).
Обратите внимание, что в инструкции принимается транк с указанием VLANа. Если вами транк не используется, то переведите порты в access mode.

Схемы вариантов включения для реализации только опции фильтрации

Асимметричная cхема с пропуском только исходящего трафика

Через СКАТ проходит только исходящий трафик, входящий трафик идет через отдельный физический линк без обработки.

Схема с зеркалированием трафика

Настройка СКАТ для работы в режиме зеркалирования.
Рекомендуем использовать оптические сплиттеры для передачи зеркала трафика на DPI.

Применение схемы с зеркалированием: