alks

С открытием скан-ботов Вас! Они еще и telnet регулярно щупают. :-) Пустил скупую мужскую слезу ... /*всхлипывая*/ ностальгия - все мы были такими, когда-то

красивый график получился, если в rrd то скинь скриптик отрисовки и список ойдов, лень самому делать )))

Недавно такой запрос приходил, просто mail.ru и все. Дали список потенциальных победителей, а дальше пусть сами разбираются. Это хорошо если список. А то ни одного не было (сайт, возможно, менял IP). возьмите все сетки из AS хостера (если это вк или майл), если сайт мелкий то в запросе отвечаете что на такое число сайт имеет ип такой-то, попаданий ноль, вполне возможно что ошибка или в запросе или сайт менял ип, для уточнения этого момента необходим ип сайта на дату указанную в запросе № Самому ковырять архивы в инете кто когда переезжал не надо, это не ваша задача обязанность и головная боль, инициативу проявлять не надо, пусть они сами разбираются

сами говорим дайте конкретный IP если они не могут, по примеру vk, то в качестве dst используем все сети из их ASок

Да там дока нормальная, ключевая картинка http://clip2net.com/s/3nsvXUh

вот посмотрите доку https://clnv.s3.amazonaws.com/2014%2Fusa%2Fpdf%2FBRKARC-2019.pdf?Signature=LXhjE6CMMADFz2TWnq6jMWbOHSI%3D&AWSAccessKeyId=AKIAJO3XQSJMRXKWDHZQ&Expires=1442246010 nat session && cache flow лежат в resource DRAM смотреть show platform hardware qfp active infrastructure exmem statistics там же и мибы есть включите netflow посмотрите что там чнн будет

емнип память для флоу и нат трасляций одна и таже

в смысле? функции dpi переводите на брас или сейчас sce используете как брас?

бошку вторую в sce докупать надобно ))

Очень эмоционально! .. но не убедил, чем плох neflow v9 когда сразу собираются только нужные поля, давай аргументы защитнег и причем такие чтобы можно было убедить ген дира выбросить на воздух пару сотен тысяч $ Объясняю, мы обрабатываем такие запросы уже лет 10, одно время их было до 30 в месяц, 30 Карл! и поэтому могу без долгих сюсюканий сразу сказать что органам необходим физ адрес, а как вы его найдете и состав что там хранить их не интересует абсолютно, мало того для однозначной идентификация вам нужно только time src_ip dst_ip port. Если вы не обрабатывали такие запросы то хотя бы не выставляйте себя полным идиотом. Когда к вам придет идиотский запрос с требованием дать стату по клиенту за три года и по сегодняшний день я очень хочу посмотреть как вы будете его исполнять, расскажите ваш алгоритм действий и примерные сроки на исполнение подобной заявки с учетом того, для примера, что данный лог был с железки с 20к активных ip онлайн в чнн, 20г трафика суммарно и 5-8млн трансляций. Давай рассказывай а я за попкорном Для особо одаренных объясню на пальцах, оператор это эксплуотант, он не создает промышленные решения, это не его работа (перечитать три раза) Ну так вот, идем дальше, опен сурс и intel позволяют сейчас, буквально за час, развернуть на современном сервере аппаратно-програмный комплекс для реализации NAT со всеми нужными плюшками (не путать с навязанными хотелками некоторых продаванов) за довольно приемлимые деньги, добавтье к этому следующий очень важный для оператора момент, это резервирование, так как стоимость одного сервера достаточно небольшая то это позволяет достаточно легко масштабировать это решение, держать несколько недогруженых серверов, и все это вместе в десятки раз дешевле чем держать один или два тазика за цену подержанного боинга еще раз, мы любим промышленные решения, скажем когда речь идет о брасах или транспортной сети, здесь альтернативы нет, но именно касаемо задач NAT, промышленные не могут конкурировать по цене, и как показывают отзывы по некоторым вендорам, и качеству тоже.

А почему продаете если не секрет?

Перечитал на всякий случай раздел "Виды запросов ..." - такого не нашёл. Самые грамотные запросы приходят от отдела К, все остальные пишут зачастую такую хрень что приходится перезванивать исполнителю и корректировать запрос могут вообще прислать чужой src IP или спросить кто с таким-то MAC адресом ходил на такой-то сайт и т.п. Главного это не меняет, хостер дает IP и время - у вас спрашивают кому он принадлежит. Вот и все кстати надо порыться в формулировках, что-то я не припомню явных требований к идентификации абонента, т.е. что должно храниться в статистике

Ну а если придёт такой запрос и не от зарубежных правообладателей а от уполномоченных органов? PS: Меня не интересует конкретно А10 а интересует решение позволяющее выполнить данное требование органов. Как и какими средствами? Мы от зарубежных товарищей запросы не обрабатываем от слова совсем, у них свое законодательство у нас свое, и ложили мы на них с большим прибором Все запросы идут от наших силовых ведомств причем в запросе они тоже не пишут дайте мол нам это, а пишут на основании чего какой статьи пункта закона и так далее Еще раз - их интересует установление физического адреса товарища ходившего в заданное время на определенный ресурс. Бывало приходят а там бабушка одуванчик, инет у нее для того чтобы внучок по чаще в гости заходил, а внучок тот в гостях у бабули где-то что-то натворил в вк, вот его и ищут. src port я даже не могу представить себе ситуацию когда бы он потребовался Да и черт бы с ним, мне asr достаточно ))

Оператор должен ответить на запрос вида - "кто ходил тогда то с такого то адреса с такого то порта?". Я вот не знаю как однозначно ответить на такой вопрос только с помощью нетфлоу. Вы знаете? Я таких запросов ни разу в жизни не наблюдал. Оператор должен ответить кто ходил с его IP на адрес XXX в указанное время или интервал времени, даже dst порт в большинстве случаев отсутствует пишут проще "кто с вашего ип ходил в сеть вконтакте 1.01.2015 в 23-15 Проблемы были когда какая нибудь следователь присылает запрос в виде "дайте мне статистикупо клиенту А за последние два года" Мы в таком случае предлагаем самим забрать флоу и самостоятельно парсить это дело. Всегда после этого осетра урезают и просят данные за конкретные периоды ну и ***а мне тут переплачивать сотни тысяч $ за уникальную возможность src port вышедшего из NAT?

логгирование и сейчас головняк. Если НАТ стоит у провайдера, а во преки распостранному ошибочному мнению - провайдеры очень активно использую NAT для своих абонентов, то провайдер просто обязан снимать всю статистику с каждой НАТ трансляции. Поэтому нетфлоу с рутеров тут совсем ни при чем, это должно происходить на НАТ устройстве. Сколько эта фича отжирает процессора? думаю если вы уложитесь в 30% то это будет замечательно, но скорее всего под 50%. ALG нужны всем, не только хардверным решениям. Другой вопрос что следование CGN стандарту позволяет снизить количество приложений, которым ALG жизненно необходим, но всеже для FTP PPP и SIP желательно иметь ALG . Вы поясните тупому в чем отличия от "статистики nat сессии" и "статистики netflow" в разрезе запросов от мвд ск и прочих товарищей По поводу цпу ничего там не отжирает так как конкретно в нашем случае netflow снимается с цисковских asr ps ciberkot я чую вы операторе никогда не работали так ваши представления что как обычно устроено и какие реально есть нужды у операторов строятся на стандартных презах от той-же циски

Каркасный дом?

Кот а что тюнил в системе и покажи плз sysctl.conf

Нет у нас на нат серверах никаких скриптов, зачем они? вру только один, прерывания раскидать Практика показывает что сервер двухлетней давности уступает новому по производительности для задач nat в два три раза при одинаковой частоте и кол-ве ядер и потом, старые серваки всегда есть куда пристроить и чем занять, плюс опять же резервирование Поверьте я в свое время много чего попробовал и циску и джун, но по соотношению цена- производительность альтернативы тазикам просто нет, взять тот-же а10 взяли бы девайс а что скажите делать с резервом если он сдохнет в пятницу в 18-00, сервис брать 7X24 и платить приличные деньги? не надо такого счастья ))) сервера если они брендовые дохнут гораздо реже чем любые вендорные железки, даже по блокам питания я в некоторых 7600 уже по два раза за 8 лет бп сменил елси бы тот-же а10 продавал чисто софт под обычные интел платформы, это был бы другой разговор Это старый изживший себя шаблон, сервер это обычный линукс, sysctl iptables snmp, конфиг статичен, что вы там администрировать собрались? Это да, раньше логирование это был хороший головняк, хранить netflow было проблемно, объем большой сейчас почти везде есть netflow v9 и можно с роутеров снимать только нужные поля, объем хранимых данных упал в разы, проблем нет, так что логирование это уже далеко не фишка первой необходимости. ALG актуален для железных решений.

to ibk74 вы опять ничего не поняли, ладно не обижайтесь.

Вы меня не поняли, вот всегда менеджерам по два раза приходится объяснять ))) Я имел в виду что мощности современных цпу с их толстыми кешами и прочими плюшками вполне достаточно для большого nat стандартными средствами линуксово фряшных операционок. Здесь не идет речи о достижении ттх идентичного железа в реализации от вендоров, вообще и ни разу, уясните себе это крепко. В этом нет необходимости, за сравнительно небольшие деньги, по сравнению с вендорами мы легко можем решить свои задачи и зачастую с резервированием. Еще момент, самосбор для nat работает очень стабильно, не хуже чем asa, srx, a9k-vsm и прочее, мало того, большинство вендорных решений испытывает эпизодическую попаболь на nat всевозможных туннелей, чего не наблюдается при использовании юниксовых операционок. Так что вы не испытывайте влажных иллюзий что народ здесь сидит и жутко мучается на серверах. В свете повального перехода к всевозможным схемам ipoe, как раз таки наблюдаются совсем обратная картина, если конечно же мы говорим о действительно крупных операторах. +1

Пустил скупую мужскую слезу, жалость то какая, почти все верно если бы не одно но назовите ценник на A10 на суммарную полосу в 10г и скажем 5лмн трансляций и пусть будет 700kpps и чтобы получить 14% CPU на самосборе это ценник 2013г получился в 260000руб, в баксах по старому курсу примерно 8000$ озвучьте цену на подходящий A10, сравним и поймем почему самосбор в разы дешевле и практичнее PS при текущих мощностях cpu, можно хоть самому писать код для nat на бейсике и решение будет как минимум в 10 раз дешевле любого коммерческого продакшен

Парни есть новости по X710, собираюсь покупать новый тазик под NAT, думаю по прежнему брать 520 карту или уже можно X710

слушай скажи плз сколько там прерываний в карте на порт?

Да вы поэт батенька ))

Вы лучше расскажите как давить на абонентов. как как ... пассатижами и кабальными договорами с неустойками по примеру РТ ))