Содержание

Настройка автономных систем AS

При обновлениях версии ПО СКАТ из RIR (Regional Internet Registry) загружается актуальный список соответствия между номерами AS (автономных систем) и IP-адресами.

Глобальный список соответствия для IPv4 находится в файле /etc/dpi/asnum.bin, для IPv6 — в файле /etc/dpi/asnum6.bin.

Не изменяйте эти файлы, чтобы не нарушать механизм обновления.

Обновление списка AS для IPv4 возможно динамически при reload из облака, для этого нужно добавить параметр asnum_source=1.
Значения:

В процессе эксплуатации системы иногда возникает потребность внести корректировки в этот список, чтобы улучшить отчеты NetFlow и для использования в других сервисах.

Список изменений готовится в текстовом формате, каждая запись с новой строки:

CIDR номер_AS
CIDR номер_AS
...

где CIDR задает диапазон адресов входящих в указанную AS

Для поиска принадлежности IP автономной системе в dpi используется классический алгоритм DIR24, который имеет ограничение на количество /24 сетей, которые можно разбить на более мелкие части (/25…./32). Таких подсетей может быть не более 8192.

Потом он преобразуется во внутренний формат утилитой as2bin и размещается в файле /etc/dpi/aslocal.bin, где его подхватит DPI. Указанные в списке диапазоны адресов добавятся к глобальному списку.

cat aslocal.txt | as2bin /etc/dpi/aslocal.bin
service fastdpi reload

Загрузка обновлений локального списка не требует рестарта DPI, достаточно сделать reload.

В случае пересечения по IP с глобальным списком локальные настройки заместят существующие в нем записи.

Примеры для IPv4

Добавляем локальные адреса в список автономной системы оператора для улучшения отчетности NetFlow

vi aslocal.txt
10.0.0.0/8 64511
172.16.0.0/12 64511
192.168.0.0/16 64511
cat aslocal.txt | as2bin /etc/dpi/aslocal.bin
service fastdpi reload

где 64511 - номер автономной системы оператора

Выделим адреса оператора 10.0.0.1 и 10.0.0.2 для применения к ним отдельных политик

vi aslocal.txt
10.0.0.1/32 64512
10.0.0.2/32 64512
cat aslocal.txt | as2bin /etc/dpi/aslocal.bin
service fastdpi reload
Если две подсети пересекаются, то первой должна следовать широкая сеть, затем - более узкие:
10.0.0.0/8 64511
10.0.5.0/24 64512
10.0.0.1/32 64513
10.0.0.2/32 64513

Чтобы номера создаваемых автономных систем не пересеклись с уже существующими рекомендуется использовать для них специальные зарезервированные номера AS:

64496..64511 зарезервированы для использования в документации и примерах
64512..65534 зарезервированы для частных целей

Настройка для IPv6

Для IPv6 аналога aslocal.bin нет, т.к. нет возможности сделать merge этих структур как в случае IPv4, поэтому добавить подсеть, которой нет в БД ripe. Необходимо добавить дополнительные подсети в общий список:

  1. конвертируем в текст
    bin2as /etc/dpi/asnum6.bin > list.txt
  2. добавляем в текст list.txt свои подсети
  3. собираем обратно
    cat list.txt | as2bin6 /etc/dpi/asnum6.bin
Для применения изменений в файле asnum6.bin требуется рестарт сервиса!