Инструкция по установке СКАТ по схеме на зеркало трафика [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile

Настройки

  • Показать исходный текст
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • ODT преобразование
  • Экспорт страницы в формате HTML/PDF
  • Ссылки сюда
  • Показать исходный текст
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • ODT преобразование
  • Экспорт страницы в формате HTML/PDF
  • Ссылки сюда
    • Система контроля и анализа трафика СКАТСКАТНачало работыСхемы подключения СКАТИнструкция по установке СКАТ по схеме на зеркало трафика

    Инструкция по установке СКАТ по схеме на зеркало трафика

    1. Подготовьте сервер согласно требованиям
    2. Установите и настройте ОС VEOS
    3. Установите IP адрес
    4. В Service Desk подайте заявку на установку лицензии и fastDPI.
    5. После их установки необходимо внести следующие параметры в etc/dpi/fastdpi.conf:

    Допустим, СКАТ подключен следующим образом:

    • 01-00.0, 01-00.1, 01-00.2 — принимают зеркало трафика;
    • 01-00.3 — подключен к маршрутизатору, который принимает и перенаправляет ответы абонентам и в интернет.

    Для настройки DPI в режиме зеркалирования в конфигурации нужно указать следующее:

    Установить в конфигурации для входящих портов in_dev порты, которые принимают зеркало трафика: 

    in_dev=01-00.0:01-00.1:01-00.2

    Установить в конфигурации для исходящих портов tap_dev порт, на который отправляется ответ о переадресации: 

    tap_dev=01-00.3

    Указать режим работы — асимметричный: 

    asym_mode=1

    Указать направление ответов tap_dev: 

    emit_direction=2
tap_mode=2
    Для отправки ответов в режиме зеркалирования правильно использовать дополнительную карту 1GbE, например, intel i350 (+ лицензию DPDK), сконфигурировать в системе отдельный порт для отправки переадресации tap_dev, а 10GbE порты задействовать под потоки зеркалированного трафика in_dev.

    Указать, что необходимо сбрасывать vlan: 

    strip_tap_tags=1

    Прописать смену MAC: 

    replace_source_mac=00:25:90:E9:43:59 #- MAC адрес карты out_dev - 17-00.3
replace_destination_mac=78:19:F7:0E:B1:F4 #- MAC адрес маршрутизатора, или маршрутизирующего коммутатора

    Установить количество повторов, если есть потери в сети: 

    emit_duplication=3 
#Где 3 - это количество повторов (дублей) пакета с редиректом или блокировкой

    Схема реализации и описание работы

    При обнаружении запроса на запрещенный ресурс СКАТ отправляет в сторону абонента (IP1) HTTP Redirect для переадресации запроса на страницу-заглушку.
    В сторону запрещенного ресурса (IP2) направляется пакет TCP RST, который сбрасывает соединение. Блокировка (HTTPS) и переадресация (HTTP) происходит, так как СКАТ отвечает на запрос от IP1 быстрее чем IP2.

    Заголовок ответного IP пакета

    • Destination MAC — MAC адрес порта маршрутизатора, куда подключен ответный линк.
    • Source MAC — MAC адрес карты out_dev.
    • Source IP — IP адрес запрещенного ресурса IP2.
    • Destination IP — IP адрес пользователя IP1.

    Пример настройки маршрутизатора

    Порт на маршрутизаторе, куда включен ответный линк от СКАТ, должен быть сконфигурирован как обычный L3 порт. Задача принять пакет от СКАТ и на основе общих таблиц маршрутизации направить его абоненту.

    Пример конфигурации:
    В сторону Juniper MX подключен eth1 

    #На стороне MX настройки:
description from_SKAT_redirect;
unit 0 {
  family inet {
  address a.b.c.d/30;
  }
}

    Сбор статистики

    #FullNetflow/IPFIX
netflow=8
netflow_full_collector_type=2
netflow_dev=eth3
netflow_timeout=20
netflow_full_collector=172.18.254.124:1500
netflow_rate_limit=30
netflow_passive_timeout=40
netflow_active_timeout=120
 
#ClickStream/IPFIX
ipfix_dev=eth3
ipfix_tcp_collectors=172.18.254.124:1501
 
#SIP
ipfix_meta_tcp_collectors=172.18.254.124:1511
rlimit_fsize=32000000000

    Дальнейшие настройки производятся в зависимости от того, какие компоненты планируется использовать. Настройки описаны в разделе Компоненты СКАТ.