Инструкция по установке СКАТ по схеме на зеркало трафика

Подготовьте сервер согласно требованиям
Установите и настройте ОС VEOS
Установите IP адрес
В Service Desk подайте заявку на установку лицензии и fastDPI.
После их установки необходимо внести следующие параметры в etc/dpi/fastdpi.conf:

Допустим, СКАТ подключен следующим образом:

01-00.0, 01-00.1, 01-00.2 — принимают зеркало трафика;
01-00.3 — подключен к маршрутизатору, который принимает и перенаправляет ответы абонентам и в интернет.

Для настройки DPI в режиме зеркалирования в конфигурации нужно указать следующее:

Установить в конфигурации для входящих портов in_dev порты, которые принимают зеркало трафика:

in_dev=01-00.0:01-00.1:01-00.2

Установить в конфигурации для исходящих портов tap_dev порт, на который отправляется ответ о переадресации:

tap_dev=01-00.3

Указать режим работы — асимметричный:

asym_mode=1

Указать направление ответов tap_dev:

emit_direction=2
tap_mode=2

Для отправки ответов в режиме зеркалирования правильно использовать дополнительную карту 1GbE, например, intel i350 (+ лицензию DPDK), сконфигурировать в системе отдельный порт для отправки переадресации tap_dev, а 10GbE порты задействовать под потоки зеркалированного трафика in_dev.

Указать, что необходимо сбрасывать vlan:

strip_tap_tags=1

Прописать смену MAC:

replace_source_mac=00:25:90:E9:43:59 #- MAC адрес карты out_dev - 17-00.3
replace_destination_mac=78:19:F7:0E:B1:F4 #- MAC адрес маршрутизатора, или маршрутизирующего коммутатора

Установить количество повторов, если есть потери в сети:

emit_duplication=3 
#Где 3 - это количество повторов (дублей) пакета с редиректом или блокировкой

Схема реализации и описание работы

При обнаружении запроса на запрещенный ресурс СКАТ отправляет в сторону абонента (IP1) HTTP Redirect для переадресации запроса на страницу-заглушку.
В сторону запрещенного ресурса (IP2) направляется пакет TCP RST, который сбрасывает соединение. Блокировка (HTTPS) и переадресация (HTTP) происходит, так как СКАТ отвечает на запрос от IP1 быстрее чем IP2.

Заголовок ответного IP пакета

Destination MAC — MAC адрес порта маршрутизатора, куда подключен ответный линк.
Source MAC — MAC адрес карты out_dev.
Source IP — IP адрес запрещенного ресурса IP2.
Destination IP — IP адрес пользователя IP1.

Пример настройки маршрутизатора

Порт на маршрутизаторе, куда включен ответный линк от СКАТ, должен быть сконфигурирован как обычный L3 порт. Задача принять пакет от СКАТ и на основе общих таблиц маршрутизации направить его абоненту.

Пример конфигурации:
В сторону Juniper MX подключен eth1

#На стороне MX настройки:
description from_SKAT_redirect;
unit 0 {
  family inet {
  address a.b.c.d/30;
  }
}

Сбор статистики

#FullNetflow/IPFIX
netflow=8
netflow_full_collector_type=2
netflow_dev=eth3
netflow_timeout=20
netflow_full_collector=172.18.254.124:1500
netflow_rate_limit=30
netflow_passive_timeout=40
netflow_active_timeout=120
 
#ClickStream/IPFIX
ipfix_dev=eth3
ipfix_tcp_collectors=172.18.254.124:1501
 
#SIP
ipfix_meta_tcp_collectors=172.18.254.124:1511
rlimit_fsize=32000000000

Дальнейшие настройки производятся в зависимости от того, какие компоненты планируется использовать. Настройки описаны в разделе Компоненты СКАТ.