[viper063]

Добрый вечер, товарищи! Прощу советов и помощи. Встал вопрос о реализации сорма, никогда с этом не сталкивался как он функционирует, точнее сорм предлагает аплинк. По цене все устраивает. будет отдельный канал определенной полосы. Говорит что все без проблем организует, но как это будет выглядеть технически не знаю, знаю только одно что зеркалится трафик, а как что куда подключать не знаю.. Сейчас сетка построена, 1 белый айпи, натится более 150 абонов. Собственно сам вопрос:

1. как с учетом того что все абоненты за натом, аплинк сможет сормить мою сеть?

2. куда вообще нужно воткнуть этот самый сорм (на сети стоит сервер доступа>коммутатор des3028>ну и далее голова пон, оптические коммутаторы>абоны)?

3. какой ширины должна быть полоса сорма, как высчитать?

[SyJet]

Натилку у аплинка, остальное они сами

[Diman_xxxx]

Возможно аплинк просто хочет продать доп услугу, а Вы там дальше сами разбирайтесь.

Обычно аплинк сормит исходящий на вашу сеть трафик на своей стороне, без вашего участия, только согласие.

[g3fox]

Мне кажется, что вы путаете сам трафик, который нужно СОРМить, и канал к ПУ СОРМ в ФСБ.

По-идее СОРМить нужно весь трафик, в т.ч. между абонентами.

По-факту все СОРМят только трафик идущий наружу. А также трафик радиуса, почтовика, voip.

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

Если именно сормить трафик - то сумма максимальных значений входящего+исходящего трафика.

 

В вашем случае можно делать зеркало на 3028, если сам 3028 не загнётся.

[viper063]

Мне кажется, что вы путаете сам трафик, который нужно СОРМить, и канал к ПУ СОРМ в ФСБ.

По-идее СОРМить нужно весь трафик, в т.ч. между абонентами.

По-факту все СОРМят только трафик идущий наружу. А также трафик радиуса, почтовика, voip.

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

Если именно сормить трафик - то сумма максимальных значений входящего+исходящего трафика.

 

В вашем случае можно делать зеркало на 3028, если сам 3028 не загнётся.

 

Предлагает именно трафик сормить, т.к судя по их предложению, полоса Сорма соответствует аплинку без учёта берста. И все таки мне интересно как это выглядет с учетом того что за натом все серые сидят? То есть в случае чп на пульте увидят только 1 айпи (мой), а как дальше?

[viper063]

Возможно аплинк просто хочет продать доп услугу, а Вы там дальше сами разбирайтесь.

Обычно аплинк сормит исходящий на вашу сеть трафик на своей стороне, без вашего участия, только согласие.

 

Возможно и так. Но посути у меня на руках будет договор на обслуживание этой услуги.

[viper063]

 

В вашем случае можно делать зеркало на 3028, если сам 3028 не загнётся.

 

думаю не загнется-скорости малые, а если и загнется, что нибудь производительнее поставлю.

А так по сути, если 1 ip зачем аплинку вообще тогда на мое железо лезть, второй канал строить, если он так же может все у себя мирорить.

[zhenya`]

Надо до ната...

[kaktak]

ТРЕБОВАНИЯ К СЕТЯМ ЭЛЕКТРОСВЯЗИ ДЛЯ ПРОВЕДЕНИЯ ОПЕРАТИВНО-РАЗЫСКНЫХ МЕРОПРИЯТИЙ. ЧАСТЬ II. ТРЕБОВАНИЯ К СЕТЯМ ПЕРЕДАЧИ ДАННЫХ
3. Сеть передачи данных обеспечивает техническую возможность передачи на пункт управления ОРМ следующей информации, относящейся к контролируемым соединениям и (или) сообщениям электросвязи, в процессе установления соединений и (или) передачи сообщений электросвязи:

а) о выделенных абоненту (пользователю) сетевых адресах (IP-адресах) до реализации функции преобразования (трансляции) сетевых адресов и до начала передачи первого информационного пакета, а также информации о завершении контролируемого соединения;

 

Это значит, что на сорм нужно зеркалировать трафик до ната? Или и до и после ната? Или после ната с указанием трансляций?

[dIMbI4]

окей, даю вредные советы))

1. зеркалите трафик in+out между абонентом и натом(трафик серых адресов). в этом случае белые адреса сормить не нужно. межабонентский трафик можно не показывать - сормитесь не по ПД, а по ТМ. пишете отсутствие технической возможности.

2. даете чекистам доступ в свой биллинг для просмотра однозначного соответствия идентификатор абонента+серый адрес, если етсь радиус аутентификация- то обязательная сигнализация старта сессии.

3. длинки не умеют делать только 1 миррор на коммутатор, разбить in+ out на два разные порта при приближении суммы к гигу не получится. 3028 говно, на 100мбит будет рабоать, дальше огребете пробем. юзайте циску везде, можно за исключением доступа.

4. как правило услуга "аренда сорм" за 3-6лет >= стоимость своего сервера. обратите внимание на лизинг, особенно на вопрос субсидирования малых предприятий в вашем регионе. Напомнаю что все что вы оплатите текущему оператору по услуге превратится в тыкву при смене аплинка или подключении двух.

[doubtpoint]

На самом деле надо делать как написано в плане СОРМ. А вот перед его получением говорить, что трафика у вас мало, канал к аплинку один и у него уже есть сорм.

[Diman_xxxx]

А что, провайдеров тоже субсидируют ???

[dIMbI4]

А что, провайдеров тоже субсидируют ???

типа если на рынке совсем недолго то есть шанс отбить какую то субсидию на лизинг оборудования. рассказывали в мфисофт, подробности гуглите.

[BiWiS]

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

 

нонче минимум 5% от полосы.

[dIMbI4]

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

 

нонче минимум 5% от полосы.

мне ребята говорили что =макс. тарифу для хомяков.

[adnull]

мне ребята говорили что =макс. тарифу для хомяков.

Мне ФСБ сказали:

ТТ к каналам - 1\10 пропускной способности Вашего канала связи, L2 до пульта

Если зеркалить свой трафик до ната, то канал нужен размером в ваш аплинк.

Кроме того, сейчас выдается т.н. Опытная эксплуатация" на полгода - требуют внедрения Информационной системы (поиска по вашей базе абонентов).

[kaktak]

1. зеркалите трафик in+out между абонентом и натом(трафик серых адресов). в этом случае белые адреса сормить не нужно. межабонентский трафик можно не показывать - сормитесь не по ПД, а по ТМ. пишете отсутствие технической возможности.

 

Ок. Предположим, что СОРМ и НАТ размещены на разных узлах, какие есть способы доставки отзеркаленного до НАТ трафика до узла, где происходит сормирование?

Понятно, что самый очевидный способ - отдельным волокном. А если по существующей сети в влане? Вероятно RSPAN создан именно для этого, но если в цепочке есть коммутаторы длинк? Что если отзеркаленный траф "загнать" в отдельный влан, долетит ли траф до точки назначения? По идее это будет dlf и должен долететь..

[BiWiS]

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

 

нонче минимум 5% от полосы.

мне ребята говорили что =макс. тарифу для хомяков.

Приказ 83, приложение №1, табличка №1. Минимум 5% от полосы поступающей на оборудование.

[Butch3r]

1. зеркалите трафик in+out между абонентом и натом(трафик серых адресов). в этом случае белые адреса сормить не нужно. межабонентский трафик можно не показывать - сормитесь не по ПД, а по ТМ. пишете отсутствие технической возможности.

 

Ок. Предположим, что СОРМ и НАТ размещены на разных узлах, какие есть способы доставки отзеркаленного до НАТ трафика до узла, где происходит сормирование?

Понятно, что самый очевидный способ - отдельным волокном. А если по существующей сети в влане? Вероятно RSPAN создан именно для этого, но если в цепочке есть коммутаторы длинк? Что если отзеркаленный траф "загнать" в отдельный влан, долетит ли траф до точки назначения? По идее это будет dlf и должен долететь..

То надо ставить длинки, которые умеют RSPAN

[zhenya`]

Рспан это обычный влан без лернинга маков.

[kaktak]

А чем нам помешает лернинг в влане точка-точка в контексте задачи?

[viper063]

Вообще возможно договориться с куратором что "сеть маленькая, может без Сорма"? Или все таки это ФСБ решает? Какие ещё есть возможные варианты выхода из ситуации? У меня в голове верится проблема именно с серыми айпи.. Были бы реальные, тогда вопросов нет, мог бы сормить аплинк, а в этом случае непонятки

[MrNv]

так а в чем проблема то?

Мы предоставляем удаленный СОРМ своим клиентам, все работает, настроек для клиентов минимум - зазеркалить трафик до NAT в rspan vlan и отдать этот rspan нам.

[kaktak]

Мы предоставляем удаленный СОРМ своим клиентам, все работает, настроек для клиентов минимум - зазеркалить трафик до NAT в rspan vlan и отдать этот rspan нам.

 

у клиента rspan vlan, дальше по всем транзитным свичам это просто vlan (верно?), а что конкретно настроено на том коммутаторе, который слинкован с СОРМ и куда стекаются все эти вланы?

[MrNv]

Мы предоставляем удаленный СОРМ своим клиентам, все работает, настроек для клиентов минимум - зазеркалить трафик до NAT в rspan vlan и отдать этот rspan нам.

 

у клиента rspan vlan, дальше по всем транзитным свичам это просто vlan (верно?), а что конкретно настроено на том коммутаторе, который слинкован с СОРМ и куда стекаются все эти вланы?

нет, дальше тоже rspan, потом все rspan вланы сливаются в один rspan vlan и он уже ужодит на СОРМ

вот так: 154 это наш vlan до NAT, остальные rspan

#sh mon se all
Session 3
---------
Type                   : Remote Source Session
Source Ports           :
   RX Only            : Te6/15,Po10
   Both               : Gi1/15,Gi2/13,Te6/4
Filter VLANs      : 154,385,299,399,798
Dest RSPAN VLAN        : 999