viper063 Опубликовано 24 ноября, 2015 · Жалоба Добрый вечер, товарищи! Прощу советов и помощи. Встал вопрос о реализации сорма, никогда с этом не сталкивался как он функционирует, точнее сорм предлагает аплинк. По цене все устраивает. будет отдельный канал определенной полосы. Говорит что все без проблем организует, но как это будет выглядеть технически не знаю, знаю только одно что зеркалится трафик, а как что куда подключать не знаю.. Сейчас сетка построена, 1 белый айпи, натится более 150 абонов. Собственно сам вопрос: 1. как с учетом того что все абоненты за натом, аплинк сможет сормить мою сеть? 2. куда вообще нужно воткнуть этот самый сорм (на сети стоит сервер доступа>коммутатор des3028>ну и далее голова пон, оптические коммутаторы>абоны)? 3. какой ширины должна быть полоса сорма, как высчитать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 24 ноября, 2015 · Жалоба Натилку у аплинка, остальное они сами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 24 ноября, 2015 · Жалоба Возможно аплинк просто хочет продать доп услугу, а Вы там дальше сами разбирайтесь. Обычно аплинк сормит исходящий на вашу сеть трафик на своей стороне, без вашего участия, только согласие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 24 ноября, 2015 · Жалоба Мне кажется, что вы путаете сам трафик, который нужно СОРМить, и канал к ПУ СОРМ в ФСБ. По-идее СОРМить нужно весь трафик, в т.ч. между абонентами. По-факту все СОРМят только трафик идущий наружу. А также трафик радиуса, почтовика, voip. Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит. Если именно сормить трафик - то сумма максимальных значений входящего+исходящего трафика. В вашем случае можно делать зеркало на 3028, если сам 3028 не загнётся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viper063 Опубликовано 24 ноября, 2015 · Жалоба Мне кажется, что вы путаете сам трафик, который нужно СОРМить, и канал к ПУ СОРМ в ФСБ. По-идее СОРМить нужно весь трафик, в т.ч. между абонентами. По-факту все СОРМят только трафик идущий наружу. А также трафик радиуса, почтовика, voip. Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит. Если именно сормить трафик - то сумма максимальных значений входящего+исходящего трафика. В вашем случае можно делать зеркало на 3028, если сам 3028 не загнётся. Предлагает именно трафик сормить, т.к судя по их предложению, полоса Сорма соответствует аплинку без учёта берста. И все таки мне интересно как это выглядет с учетом того что за натом все серые сидят? То есть в случае чп на пульте увидят только 1 айпи (мой), а как дальше? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viper063 Опубликовано 24 ноября, 2015 · Жалоба Возможно аплинк просто хочет продать доп услугу, а Вы там дальше сами разбирайтесь. Обычно аплинк сормит исходящий на вашу сеть трафик на своей стороне, без вашего участия, только согласие. Возможно и так. Но посути у меня на руках будет договор на обслуживание этой услуги. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viper063 Опубликовано 24 ноября, 2015 · Жалоба В вашем случае можно делать зеркало на 3028, если сам 3028 не загнётся. думаю не загнется-скорости малые, а если и загнется, что нибудь производительнее поставлю. А так по сути, если 1 ip зачем аплинку вообще тогда на мое железо лезть, второй канал строить, если он так же может все у себя мирорить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 24 ноября, 2015 · Жалоба Надо до ната... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 25 ноября, 2015 · Жалоба ТРЕБОВАНИЯ К СЕТЯМ ЭЛЕКТРОСВЯЗИ ДЛЯ ПРОВЕДЕНИЯ ОПЕРАТИВНО-РАЗЫСКНЫХ МЕРОПРИЯТИЙ. ЧАСТЬ II. ТРЕБОВАНИЯ К СЕТЯМ ПЕРЕДАЧИ ДАННЫХ 3. Сеть передачи данных обеспечивает техническую возможность передачи на пункт управления ОРМ следующей информации, относящейся к контролируемым соединениям и (или) сообщениям электросвязи, в процессе установления соединений и (или) передачи сообщений электросвязи: а) о выделенных абоненту (пользователю) сетевых адресах (IP-адресах) до реализации функции преобразования (трансляции) сетевых адресов и до начала передачи первого информационного пакета, а также информации о завершении контролируемого соединения; Это значит, что на сорм нужно зеркалировать трафик до ната? Или и до и после ната? Или после ната с указанием трансляций? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 25 ноября, 2015 · Жалоба окей, даю вредные советы)) 1. зеркалите трафик in+out между абонентом и натом(трафик серых адресов). в этом случае белые адреса сормить не нужно. межабонентский трафик можно не показывать - сормитесь не по ПД, а по ТМ. пишете отсутствие технической возможности. 2. даете чекистам доступ в свой биллинг для просмотра однозначного соответствия идентификатор абонента+серый адрес, если етсь радиус аутентификация- то обязательная сигнализация старта сессии. 3. длинки не умеют делать только 1 миррор на коммутатор, разбить in+ out на два разные порта при приближении суммы к гигу не получится. 3028 говно, на 100мбит будет рабоать, дальше огребете пробем. юзайте циску везде, можно за исключением доступа. 4. как правило услуга "аренда сорм" за 3-6лет >= стоимость своего сервера. обратите внимание на лизинг, особенно на вопрос субсидирования малых предприятий в вашем регионе. Напомнаю что все что вы оплатите текущему оператору по услуге превратится в тыкву при смене аплинка или подключении двух. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
doubtpoint Опубликовано 25 ноября, 2015 · Жалоба На самом деле надо делать как написано в плане СОРМ. А вот перед его получением говорить, что трафика у вас мало, канал к аплинку один и у него уже есть сорм. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 25 ноября, 2015 · Жалоба А что, провайдеров тоже субсидируют ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 25 ноября, 2015 · Жалоба А что, провайдеров тоже субсидируют ??? типа если на рынке совсем недолго то есть шанс отбить какую то субсидию на лизинг оборудования. рассказывали в мфисофт, подробности гуглите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 25 ноября, 2015 · Жалоба Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит. нонче минимум 5% от полосы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 25 ноября, 2015 · Жалоба Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит. нонче минимум 5% от полосы. мне ребята говорили что =макс. тарифу для хомяков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 25 ноября, 2015 · Жалоба мне ребята говорили что =макс. тарифу для хомяков. Мне ФСБ сказали: ТТ к каналам - 1\10 пропускной способности Вашего канала связи, L2 до пульта Если зеркалить свой трафик до ната, то канал нужен размером в ваш аплинк. Кроме того, сейчас выдается т.н. Опытная эксплуатация" на полгода - требуют внедрения Информационной системы (поиска по вашей базе абонентов). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 26 ноября, 2015 · Жалоба 1. зеркалите трафик in+out между абонентом и натом(трафик серых адресов). в этом случае белые адреса сормить не нужно. межабонентский трафик можно не показывать - сормитесь не по ПД, а по ТМ. пишете отсутствие технической возможности. Ок. Предположим, что СОРМ и НАТ размещены на разных узлах, какие есть способы доставки отзеркаленного до НАТ трафика до узла, где происходит сормирование? Понятно, что самый очевидный способ - отдельным волокном. А если по существующей сети в влане? Вероятно RSPAN создан именно для этого, но если в цепочке есть коммутаторы длинк? Что если отзеркаленный траф "загнать" в отдельный влан, долетит ли траф до точки назначения? По идее это будет dlf и должен долететь.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 26 ноября, 2015 · Жалоба Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит. нонче минимум 5% от полосы. мне ребята говорили что =макс. тарифу для хомяков. Приказ 83, приложение №1, табличка №1. Минимум 5% от полосы поступающей на оборудование. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 26 ноября, 2015 · Жалоба 1. зеркалите трафик in+out между абонентом и натом(трафик серых адресов). в этом случае белые адреса сормить не нужно. межабонентский трафик можно не показывать - сормитесь не по ПД, а по ТМ. пишете отсутствие технической возможности. Ок. Предположим, что СОРМ и НАТ размещены на разных узлах, какие есть способы доставки отзеркаленного до НАТ трафика до узла, где происходит сормирование? Понятно, что самый очевидный способ - отдельным волокном. А если по существующей сети в влане? Вероятно RSPAN создан именно для этого, но если в цепочке есть коммутаторы длинк? Что если отзеркаленный траф "загнать" в отдельный влан, долетит ли траф до точки назначения? По идее это будет dlf и должен долететь.. То надо ставить длинки, которые умеют RSPAN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 26 ноября, 2015 · Жалоба Рспан это обычный влан без лернинга маков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 26 ноября, 2015 · Жалоба А чем нам помешает лернинг в влане точка-точка в контексте задачи? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viper063 Опубликовано 26 ноября, 2015 · Жалоба Вообще возможно договориться с куратором что "сеть маленькая, может без Сорма"? Или все таки это ФСБ решает? Какие ещё есть возможные варианты выхода из ситуации? У меня в голове верится проблема именно с серыми айпи.. Были бы реальные, тогда вопросов нет, мог бы сормить аплинк, а в этом случае непонятки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 27 ноября, 2015 · Жалоба так а в чем проблема то? Мы предоставляем удаленный СОРМ своим клиентам, все работает, настроек для клиентов минимум - зазеркалить трафик до NAT в rspan vlan и отдать этот rspan нам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 27 ноября, 2015 · Жалоба Мы предоставляем удаленный СОРМ своим клиентам, все работает, настроек для клиентов минимум - зазеркалить трафик до NAT в rspan vlan и отдать этот rspan нам. у клиента rspan vlan, дальше по всем транзитным свичам это просто vlan (верно?), а что конкретно настроено на том коммутаторе, который слинкован с СОРМ и куда стекаются все эти вланы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 27 ноября, 2015 · Жалоба Мы предоставляем удаленный СОРМ своим клиентам, все работает, настроек для клиентов минимум - зазеркалить трафик до NAT в rspan vlan и отдать этот rspan нам. у клиента rspan vlan, дальше по всем транзитным свичам это просто vlan (верно?), а что конкретно настроено на том коммутаторе, который слинкован с СОРМ и куда стекаются все эти вланы? нет, дальше тоже rspan, потом все rspan вланы сливаются в один rspan vlan и он уже ужодит на СОРМ вот так: 154 это наш vlan до NAT, остальные rspan #sh mon se all Session 3 --------- Type : Remote Source Session Source Ports : RX Only : Te6/15,Po10 Both : Gi1/15,Gi2/13,Te6/4 Filter VLANs : 154,385,299,399,798 Dest RSPAN VLAN : 999 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...