FastDPI BRAS позволяет контролировать соответствие теги VLAN и IP-адреса для абонентов. При выдаче IP-адреса через DHCP fastDPI BRAS запоминает теги VLAN/QinQ абонента в своей БД UDR и в дальнейшем использует эти данные для контроля, соответствует ли IP-адрес источника пакета и VLAN-теги.

Для включения режима IP source guard следует прописать в fastdpi.conf значение параметра bras_ip_source_guard:

• 0 – IP source guard не применяется (disabled). Это значение по умолчанию
• 1 – IP source guard включен и применяется только для активных сессий. Если сессия находится в неизвестном состоянии (после рестарта fastDPI), то IP source guard не применяется и пакет пропускается.
• 2 – strict: IP source guard включен и применяется для активных сессий и сессий в неизвестном состоянии. При этом для сессий в неизвестном состоянии используются запомненные в UDR теги VLAN.

Пакет пропускается, если:

• bras_ip_source_guard=1: выполняются условия
  • Сессия активна и VLAN-теги пакета совпадают с зарегистрированными при DHCP-запросе
  • Статус сессии неизвестен
• bras_ip_source_guard=2 (strict):
  • Сессия активна и VLAN-теги пакета совпадают с зарегистрированными при DHCP-запросе
  • Статус cессии неизвестен и VLAN-теги пакета совпадают с запомненными в UDR

Если условия не выполняются, пакет дропается.

IP source guard применяется только для исходящего трафика (из LAN в WAN).

СКАТ 7.4+: добавлен режим терминации по AS. В этом режиме IP source guard применяется только для source IP, у которых AS помечена как term.