При обновлениях версии ПО СКАТ из RIR (Regional Internet Registry) загружается актуальный список соответствия между номерами AS (автономных систем) и IP-адресами.
Глобальный список соответствия для IPv4 находится в файле /etc/dpi/asnum.bin
, для IPv6 — в файле /etc/dpi/asnum6.bin
.
Обновление списка AS для IPv4 возможно динамически при reload
из облака, для этого нужно добавить параметр asnum_source=1
.
Значения:
В процессе эксплуатации системы иногда возникает потребность внести корректировки в этот список, чтобы улучшить отчеты NetFlow и для использования в других сервисах.
Список изменений готовится в текстовом формате, каждая запись с новой строки:
CIDR номер_AS CIDR номер_AS ...
где CIDR задает диапазон адресов входящих в указанную AS
Потом он преобразуется во внутренний формат утилитой as2bin и размещается в файле /etc/dpi/aslocal.bin, где его подхватит DPI. Указанные в списке диапазоны адресов добавятся к глобальному списку.
cat aslocal.txt | as2bin /etc/dpi/aslocal.bin service fastdpi reload
Загрузка обновлений локального списка не требует рестарта DPI, достаточно сделать reload.
Добавляем локальные адреса в список автономной системы оператора для улучшения отчетности NetFlow
vi aslocal.txt 10.0.0.0/8 64511 172.16.0.0/12 64511 192.168.0.0/16 64511 cat aslocal.txt | as2bin /etc/dpi/aslocal.bin service fastdpi reload
где 64511 - номер автономной системы оператора
Выделим адреса оператора 10.0.0.1 и 10.0.0.2 для применения к ним отдельных политик
vi aslocal.txt 10.0.0.1/32 64512 10.0.0.2/32 64512 cat aslocal.txt | as2bin /etc/dpi/aslocal.bin service fastdpi reload
10.0.0.0/8 64511 10.0.5.0/24 64512 10.0.0.1/32 64513 10.0.0.2/32 64513
Чтобы номера создаваемых автономных систем не пересеклись с уже существующими рекомендуется использовать для них специальные зарезервированные номера AS:
64496..64511 зарезервированы для использования в документации и примерах 64512..65534 зарезервированы для частных целей
Для IPv6 аналога aslocal.bin нет, т.к. нет возможности сделать merge этих структур как в случае IPv4, поэтому добавить подсеть, которой нет в БД ripe. Необходимо добавить дополнительные подсети в общий список:
bin2as /etc/dpi/asnum6.bin > list.txt
cat list.txt | as2bin6 /etc/dpi/asnum6.bin
asnum6.bin
требуется рестарт сервиса!