Перейти к содержимому
Калькуляторы

Добрый вечер, товарищи! Прощу советов и помощи. Встал вопрос о реализации сорма, никогда с этом не сталкивался как он функционирует, точнее сорм предлагает аплинк. По цене все устраивает. будет отдельный канал определенной полосы. Говорит что все без проблем организует, но как это будет выглядеть технически не знаю, знаю только одно что зеркалится трафик, а как что куда подключать не знаю.. Сейчас сетка построена, 1 белый айпи, натится более 150 абонов. Собственно сам вопрос:

1. как с учетом того что все абоненты за натом, аплинк сможет сормить мою сеть?

2. куда вообще нужно воткнуть этот самый сорм (на сети стоит сервер доступа>коммутатор des3028>ну и далее голова пон, оптические коммутаторы>абоны)?

3. какой ширины должна быть полоса сорма, как высчитать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Натилку у аплинка, остальное они сами

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возможно аплинк просто хочет продать доп услугу, а Вы там дальше сами разбирайтесь.

Обычно аплинк сормит исходящий на вашу сеть трафик на своей стороне, без вашего участия, только согласие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне кажется, что вы путаете сам трафик, который нужно СОРМить, и канал к ПУ СОРМ в ФСБ.

По-идее СОРМить нужно весь трафик, в т.ч. между абонентами.

По-факту все СОРМят только трафик идущий наружу. А также трафик радиуса, почтовика, voip.

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

Если именно сормить трафик - то сумма максимальных значений входящего+исходящего трафика.

 

В вашем случае можно делать зеркало на 3028, если сам 3028 не загнётся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне кажется, что вы путаете сам трафик, который нужно СОРМить, и канал к ПУ СОРМ в ФСБ.

По-идее СОРМить нужно весь трафик, в т.ч. между абонентами.

По-факту все СОРМят только трафик идущий наружу. А также трафик радиуса, почтовика, voip.

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

Если именно сормить трафик - то сумма максимальных значений входящего+исходящего трафика.

 

В вашем случае можно делать зеркало на 3028, если сам 3028 не загнётся.

 

Предлагает именно трафик сормить, т.к судя по их предложению, полоса Сорма соответствует аплинку без учёта берста. И все таки мне интересно как это выглядет с учетом того что за натом все серые сидят? То есть в случае чп на пульте увидят только 1 айпи (мой), а как дальше?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возможно аплинк просто хочет продать доп услугу, а Вы там дальше сами разбирайтесь.

Обычно аплинк сормит исходящий на вашу сеть трафик на своей стороне, без вашего участия, только согласие.

 

Возможно и так. Но посути у меня на руках будет договор на обслуживание этой услуги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

В вашем случае можно делать зеркало на 3028, если сам 3028 не загнётся.

 

думаю не загнется-скорости малые, а если и загнется, что нибудь производительнее поставлю.

А так по сути, если 1 ip зачем аплинку вообще тогда на мое железо лезть, второй канал строить, если он так же может все у себя мирорить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ТРЕБОВАНИЯ К СЕТЯМ ЭЛЕКТРОСВЯЗИ ДЛЯ ПРОВЕДЕНИЯ ОПЕРАТИВНО-РАЗЫСКНЫХ МЕРОПРИЯТИЙ. ЧАСТЬ II. ТРЕБОВАНИЯ К СЕТЯМ ПЕРЕДАЧИ ДАННЫХ
3. Сеть передачи данных обеспечивает техническую возможность передачи на пункт управления ОРМ следующей информации, относящейся к контролируемым соединениям и (или) сообщениям электросвязи, в процессе установления соединений и (или) передачи сообщений электросвязи:

а) о выделенных абоненту (пользователю) сетевых адресах (IP-адресах) до реализации функции преобразования (трансляции) сетевых адресов и до начала передачи первого информационного пакета, а также информации о завершении контролируемого соединения;

 

Это значит, что на сорм нужно зеркалировать трафик до ната? Или и до и после ната? Или после ната с указанием трансляций?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

окей, даю вредные советы))

1. зеркалите трафик in+out между абонентом и натом(трафик серых адресов). в этом случае белые адреса сормить не нужно. межабонентский трафик можно не показывать - сормитесь не по ПД, а по ТМ. пишете отсутствие технической возможности.

2. даете чекистам доступ в свой биллинг для просмотра однозначного соответствия идентификатор абонента+серый адрес, если етсь радиус аутентификация- то обязательная сигнализация старта сессии.

3. длинки не умеют делать только 1 миррор на коммутатор, разбить in+ out на два разные порта при приближении суммы к гигу не получится. 3028 говно, на 100мбит будет рабоать, дальше огребете пробем. юзайте циску везде, можно за исключением доступа.

4. как правило услуга "аренда сорм" за 3-6лет >= стоимость своего сервера. обратите внимание на лизинг, особенно на вопрос субсидирования малых предприятий в вашем регионе. Напомнаю что все что вы оплатите текущему оператору по услуге превратится в тыкву при смене аплинка или подключении двух.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На самом деле надо делать как написано в плане СОРМ. А вот перед его получением говорить, что трафика у вас мало, канал к аплинку один и у него уже есть сорм.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что, провайдеров тоже субсидируют ???

типа если на рынке совсем недолго то есть шанс отбить какую то субсидию на лизинг оборудования. рассказывали в мфисофт, подробности гуглите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

 

нонче минимум 5% от полосы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

 

нонче минимум 5% от полосы.

мне ребята говорили что =макс. тарифу для хомяков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мне ребята говорили что =макс. тарифу для хомяков.

Мне ФСБ сказали:

ТТ к каналам - 1\10 пропускной способности Вашего канала связи, L2 до пульта

Если зеркалить свой трафик до ната, то канал нужен размером в ваш аплинк.

Кроме того, сейчас выдается т.н. Опытная эксплуатация" на полгода - требуют внедрения Информационной системы (поиска по вашей базе абонентов).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. зеркалите трафик in+out между абонентом и натом(трафик серых адресов). в этом случае белые адреса сормить не нужно. межабонентский трафик можно не показывать - сормитесь не по ПД, а по ТМ. пишете отсутствие технической возможности.

 

Ок. Предположим, что СОРМ и НАТ размещены на разных узлах, какие есть способы доставки отзеркаленного до НАТ трафика до узла, где происходит сормирование?

Понятно, что самый очевидный способ - отдельным волокном. А если по существующей сети в влане? Вероятно RSPAN создан именно для этого, но если в цепочке есть коммутаторы длинк? Что если отзеркаленный траф "загнать" в отдельный влан, долетит ли траф до точки назначения? По идее это будет dlf и должен долететь..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

 

нонче минимум 5% от полосы.

мне ребята говорили что =макс. тарифу для хомяков.

Приказ 83, приложение №1, табличка №1. Минимум 5% от полосы поступающей на оборудование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. зеркалите трафик in+out между абонентом и натом(трафик серых адресов). в этом случае белые адреса сормить не нужно. межабонентский трафик можно не показывать - сормитесь не по ПД, а по ТМ. пишете отсутствие технической возможности.

 

Ок. Предположим, что СОРМ и НАТ размещены на разных узлах, какие есть способы доставки отзеркаленного до НАТ трафика до узла, где происходит сормирование?

Понятно, что самый очевидный способ - отдельным волокном. А если по существующей сети в влане? Вероятно RSPAN создан именно для этого, но если в цепочке есть коммутаторы длинк? Что если отзеркаленный траф "загнать" в отдельный влан, долетит ли траф до точки назначения? По идее это будет dlf и должен долететь..

То надо ставить длинки, которые умеют RSPAN

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем нам помешает лернинг в влане точка-точка в контексте задачи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще возможно договориться с куратором что "сеть маленькая, может без Сорма"? Или все таки это ФСБ решает? Какие ещё есть возможные варианты выхода из ситуации? У меня в голове верится проблема именно с серыми айпи.. Были бы реальные, тогда вопросов нет, мог бы сормить аплинк, а в этом случае непонятки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так а в чем проблема то?

Мы предоставляем удаленный СОРМ своим клиентам, все работает, настроек для клиентов минимум - зазеркалить трафик до NAT в rspan vlan и отдать этот rspan нам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы предоставляем удаленный СОРМ своим клиентам, все работает, настроек для клиентов минимум - зазеркалить трафик до NAT в rspan vlan и отдать этот rspan нам.

 

у клиента rspan vlan, дальше по всем транзитным свичам это просто vlan (верно?), а что конкретно настроено на том коммутаторе, который слинкован с СОРМ и куда стекаются все эти вланы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы предоставляем удаленный СОРМ своим клиентам, все работает, настроек для клиентов минимум - зазеркалить трафик до NAT в rspan vlan и отдать этот rspan нам.

 

у клиента rspan vlan, дальше по всем транзитным свичам это просто vlan (верно?), а что конкретно настроено на том коммутаторе, который слинкован с СОРМ и куда стекаются все эти вланы?

нет, дальше тоже rspan, потом все rspan вланы сливаются в один rspan vlan и он уже ужодит на СОРМ

вот так: 154 это наш vlan до NAT, остальные rspan

#sh mon se all
Session 3
---------
Type                   : Remote Source Session
Source Ports           :
   RX Only            : Te6/15,Po10
   Both               : Gi1/15,Gi2/13,Te6/4
Filter VLANs      : 154,385,299,399,798
Dest RSPAN VLAN        : 999

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.