Перейти к содержимому
Калькуляторы

Stak

VIP
  • Публикации

    1271
  • Зарегистрирован

  • Посещение

Все публикации пользователя Stak


  1. У нас РАТ на cisco ASA или АСЕ , там есть dst адрес в логе.
  2. Хороший вопрос. Проясню, о результатах отпишусь. upd: Озадачил наших безопасников, проконсультируются с органами.
  3. для НАТ - передаётся пара internal/external ip, для РАТ - internal/external ip + destination ip для каждой сессии. В случае использования port block allocation - каждому внутреннему ip будет соответствовать внешний ip + блок портов, т.е. одна запись в логе на все трансляции одного абонента.
  4. Долгая дорога к IPv6

    "одновременное сосуществование двойного стека IPv4 и IPv6 только до конца 2014 года" - это фантастика, имхо.
  5. Знаю. У нас сейчас и НАТ , и РАТ используется, примерно 300К абонентов.
  6. IPv4 is over

    Именно это и происходит. Уже нагибают.
  7. IPv4 is over

    Сертифицирован. Сданы. Мне она нафиг не нужна, мне ipv6 надо запустить. А низзя, т.к. СОРМ про v6 ничего не знает.
  8. Коллеги, кто использует standalone NAT/PAT устройства (Cisco ASA, Juniper SRX, Huawei Eudemon, etc..) и планирует (или уже совершил) переход на РАТ, большая просьба к вам - запросите у вышеозначенных вендоров поддержку РВА (port block allocation). Эта фича сводит объём логов РАТ к объему, аналогичному NАТ. Но на стандалон-NATах её пока никто не поддерживает, только на сервисных картах, интегрируемых в роутеры (такие есть для A9K, MX, и СХ600). Полагаю, если таких запросов будет приличное количество от разных операторов - то шансы, что вендоры реализуют этот функционал на standalone платформах, сильно повысятся.
  9. IPv4 is over

    Всё ещё хуже - в наших реалиях, для запуска ipv6 dual-stack в коммерцию необходима его поддержка СОРМом, что требует апгрейда СОРМа. У нас например, за это запросили около 7 лимонов (за апгрейд СОРМа в нескольких регионах), так что внедрение ipv6 откладывается на неопределённый срок. И, ч.с.х., teredo на данный момент ни один СОРМ также не поддерживает (так что злобные терррористы невозбранно могут его использовать, не попадая в поле зрение компетентных органов)...
  10. DPI

    DPI может определить, что за одним идентификатором (адрес, мас, imsi, etc...) сидит много клиентов. Tethering это называется.
  11. насколько мне известно, такую услугу дают только весьма специфическим организациям, как правило с названиями из трёх букв.
  12. DPI

    Есть случай, когда DPI реально полезен - радиодоступ. Т.к. радио не резиновое, а его расширение не всегда возможно по объективным причинам.
  13. IPv6: хвастаемся успехами

    Судя по http://www.gossamer-threads.com/lists/nsp/ipv6/34996 пилить PA /32 на n* /40 не стоит, большинство фильтруют анонсы PA длиннее /32. Будем просить по блоку РА /32 на регион, т.к. /48 PI нам к сожалению маловато.
  14. IPv6: хвастаемся успехами

    48 - это если адреса PI. У Вас /32 - это скорее PA. Доступность всего что длиннее /32 в PA не гарантирована, даже если есть соответствующие объекты. А есть какой-нибудь документ на эту тему?
  15. IPv6: хвастаемся успехами

    Спасибо. Наверное, попилим по /40.
  16. IPv6: хвастаемся успехами

    И ещё вопрос - к тем кто уже внедрил ipv6 - что вы делаете с СОРМ? т.к. насколько мне известно - текущие решения (от нескольких вендоров) ip6 (и даже тередо) не поддерживают. А за доработку они хотят сотни денег :) (примерно полтора лимона за 10Г решение)
  17. DPI

    За циску не скажу (кроме сце8К у нас ничего нет), но по поводу "отличного функционала DPI" на хуавейской коре вы явно погорячились. Там вагон ограничений по иерархическим политикам.
  18. IPv6: хвастаемся успехами

    Что-то затихла тема... Есть пара вопросов по best-practics: Какой минимально анонсируемый размер блока в ipv6? Методы организации связности в случае split-AS для v6 те же, что и для v4 (дефолт,дефолт на полученные по bgp сети /8, allow as in)? Пример - есть ipv6 блок /32, и N регионов без связности по своим каналам с общей AS.
  19. использование PBR наличие VRF не исключает.
  20. DPI

    А как же Procera? тоже есть такой вендор :) Кстати, из статьи неясно - оно таки L2 транспарент или нет?
  21. Госдума одобрила...

    Собственно, второе чтение завтра, вроде бы. Но блок по ip - это сурово.
  22. Новый министр связи

    Это у них надо спросить :)
  23. Cisco/Linksys роутеры перешли на cloud

    За asr9k жирный минус. Апдейт до 4.2.1 с 4.2.0 превращается в увлекательнейщий квест, потому что кто-то сэкономил на флеше. Два образа туда не лезут...
  24. Новый министр связи

    http://www.cnews.ru/...a_svyazi_494874 Как стало известно CNews, гендиректор «Скартела» Денис Свердлов может стать заместителем министра связи. С новым министром Николаем Никифоровым Свердлов познакомился еще во время запуска первой в России LTE-сети в 2010 г.