Jump to content
Калькуляторы

реализация СОРМа

Добрый вечер, товарищи! Прощу советов и помощи. Встал вопрос о реализации сорма, никогда с этом не сталкивался как он функционирует, точнее сорм предлагает аплинк. По цене все устраивает. будет отдельный канал определенной полосы. Говорит что все без проблем организует, но как это будет выглядеть технически не знаю, знаю только одно что зеркалится трафик, а как что куда подключать не знаю.. Сейчас сетка построена, 1 белый айпи, натится более 150 абонов. Собственно сам вопрос:

1. как с учетом того что все абоненты за натом, аплинк сможет сормить мою сеть?

2. куда вообще нужно воткнуть этот самый сорм (на сети стоит сервер доступа>коммутатор des3028>ну и далее голова пон, оптические коммутаторы>абоны)?

3. какой ширины должна быть полоса сорма, как высчитать?

Share this post


Link to post
Share on other sites

Натилку у аплинка, остальное они сами

Share this post


Link to post
Share on other sites

Возможно аплинк просто хочет продать доп услугу, а Вы там дальше сами разбирайтесь.

Обычно аплинк сормит исходящий на вашу сеть трафик на своей стороне, без вашего участия, только согласие.

Share this post


Link to post
Share on other sites

Мне кажется, что вы путаете сам трафик, который нужно СОРМить, и канал к ПУ СОРМ в ФСБ.

По-идее СОРМить нужно весь трафик, в т.ч. между абонентами.

По-факту все СОРМят только трафик идущий наружу. А также трафик радиуса, почтовика, voip.

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

Если именно сормить трафик - то сумма максимальных значений входящего+исходящего трафика.

 

В вашем случае можно делать зеркало на 3028, если сам 3028 не загнётся.

Share this post


Link to post
Share on other sites

Мне кажется, что вы путаете сам трафик, который нужно СОРМить, и канал к ПУ СОРМ в ФСБ.

По-идее СОРМить нужно весь трафик, в т.ч. между абонентами.

По-факту все СОРМят только трафик идущий наружу. А также трафик радиуса, почтовика, voip.

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

Если именно сормить трафик - то сумма максимальных значений входящего+исходящего трафика.

 

В вашем случае можно делать зеркало на 3028, если сам 3028 не загнётся.

 

Предлагает именно трафик сормить, т.к судя по их предложению, полоса Сорма соответствует аплинку без учёта берста. И все таки мне интересно как это выглядет с учетом того что за натом все серые сидят? То есть в случае чп на пульте увидят только 1 айпи (мой), а как дальше?

Share this post


Link to post
Share on other sites

Возможно аплинк просто хочет продать доп услугу, а Вы там дальше сами разбирайтесь.

Обычно аплинк сормит исходящий на вашу сеть трафик на своей стороне, без вашего участия, только согласие.

 

Возможно и так. Но посути у меня на руках будет договор на обслуживание этой услуги.

Share this post


Link to post
Share on other sites

 

В вашем случае можно делать зеркало на 3028, если сам 3028 не загнётся.

 

думаю не загнется-скорости малые, а если и загнется, что нибудь производительнее поставлю.

А так по сути, если 1 ip зачем аплинку вообще тогда на мое железо лезть, второй канал строить, если он так же может все у себя мирорить.

Share this post


Link to post
Share on other sites

ТРЕБОВАНИЯ К СЕТЯМ ЭЛЕКТРОСВЯЗИ ДЛЯ ПРОВЕДЕНИЯ ОПЕРАТИВНО-РАЗЫСКНЫХ МЕРОПРИЯТИЙ. ЧАСТЬ II. ТРЕБОВАНИЯ К СЕТЯМ ПЕРЕДАЧИ ДАННЫХ
3. Сеть передачи данных обеспечивает техническую возможность передачи на пункт управления ОРМ следующей информации, относящейся к контролируемым соединениям и (или) сообщениям электросвязи, в процессе установления соединений и (или) передачи сообщений электросвязи:

а) о выделенных абоненту (пользователю) сетевых адресах (IP-адресах) до реализации функции преобразования (трансляции) сетевых адресов и до начала передачи первого информационного пакета, а также информации о завершении контролируемого соединения;

 

Это значит, что на сорм нужно зеркалировать трафик до ната? Или и до и после ната? Или после ната с указанием трансляций?

Share this post


Link to post
Share on other sites

окей, даю вредные советы))

1. зеркалите трафик in+out между абонентом и натом(трафик серых адресов). в этом случае белые адреса сормить не нужно. межабонентский трафик можно не показывать - сормитесь не по ПД, а по ТМ. пишете отсутствие технической возможности.

2. даете чекистам доступ в свой биллинг для просмотра однозначного соответствия идентификатор абонента+серый адрес, если етсь радиус аутентификация- то обязательная сигнализация старта сессии.

3. длинки не умеют делать только 1 миррор на коммутатор, разбить in+ out на два разные порта при приближении суммы к гигу не получится. 3028 говно, на 100мбит будет рабоать, дальше огребете пробем. юзайте циску везде, можно за исключением доступа.

4. как правило услуга "аренда сорм" за 3-6лет >= стоимость своего сервера. обратите внимание на лизинг, особенно на вопрос субсидирования малых предприятий в вашем регионе. Напомнаю что все что вы оплатите текущему оператору по услуге превратится в тыкву при смене аплинка или подключении двух.

Share this post


Link to post
Share on other sites

На самом деле надо делать как написано в плане СОРМ. А вот перед его получением говорить, что трафика у вас мало, канал к аплинку один и у него уже есть сорм.

Share this post


Link to post
Share on other sites

А что, провайдеров тоже субсидируют ???

типа если на рынке совсем недолго то есть шанс отбить какую то субсидию на лизинг оборудования. рассказывали в мфисофт, подробности гуглите.

Share this post


Link to post
Share on other sites

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

 

нонче минимум 5% от полосы.

Share this post


Link to post
Share on other sites

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

 

нонче минимум 5% от полосы.

мне ребята говорили что =макс. тарифу для хомяков.

Share this post


Link to post
Share on other sites

мне ребята говорили что =макс. тарифу для хомяков.

Мне ФСБ сказали:

ТТ к каналам - 1\10 пропускной способности Вашего канала связи, L2 до пульта

Если зеркалить свой трафик до ната, то канал нужен размером в ваш аплинк.

Кроме того, сейчас выдается т.н. Опытная эксплуатация" на полгода - требуют внедрения Информационной системы (поиска по вашей базе абонентов).

Share this post


Link to post
Share on other sites

1. зеркалите трафик in+out между абонентом и натом(трафик серых адресов). в этом случае белые адреса сормить не нужно. межабонентский трафик можно не показывать - сормитесь не по ПД, а по ТМ. пишете отсутствие технической возможности.

 

Ок. Предположим, что СОРМ и НАТ размещены на разных узлах, какие есть способы доставки отзеркаленного до НАТ трафика до узла, где происходит сормирование?

Понятно, что самый очевидный способ - отдельным волокном. А если по существующей сети в влане? Вероятно RSPAN создан именно для этого, но если в цепочке есть коммутаторы длинк? Что если отзеркаленный траф "загнать" в отдельный влан, долетит ли траф до точки назначения? По идее это будет dlf и должен долететь..

Share this post


Link to post
Share on other sites

 

Если оператор предлагает вам канал к ПУ СОРМ - то это 1 мегабит.

 

нонче минимум 5% от полосы.

мне ребята говорили что =макс. тарифу для хомяков.

Приказ 83, приложение №1, табличка №1. Минимум 5% от полосы поступающей на оборудование.

Share this post


Link to post
Share on other sites

1. зеркалите трафик in+out между абонентом и натом(трафик серых адресов). в этом случае белые адреса сормить не нужно. межабонентский трафик можно не показывать - сормитесь не по ПД, а по ТМ. пишете отсутствие технической возможности.

 

Ок. Предположим, что СОРМ и НАТ размещены на разных узлах, какие есть способы доставки отзеркаленного до НАТ трафика до узла, где происходит сормирование?

Понятно, что самый очевидный способ - отдельным волокном. А если по существующей сети в влане? Вероятно RSPAN создан именно для этого, но если в цепочке есть коммутаторы длинк? Что если отзеркаленный траф "загнать" в отдельный влан, долетит ли траф до точки назначения? По идее это будет dlf и должен долететь..

То надо ставить длинки, которые умеют RSPAN

Share this post


Link to post
Share on other sites

А чем нам помешает лернинг в влане точка-точка в контексте задачи?

Share this post


Link to post
Share on other sites

Вообще возможно договориться с куратором что "сеть маленькая, может без Сорма"? Или все таки это ФСБ решает? Какие ещё есть возможные варианты выхода из ситуации? У меня в голове верится проблема именно с серыми айпи.. Были бы реальные, тогда вопросов нет, мог бы сормить аплинк, а в этом случае непонятки

Share this post


Link to post
Share on other sites

так а в чем проблема то?

Мы предоставляем удаленный СОРМ своим клиентам, все работает, настроек для клиентов минимум - зазеркалить трафик до NAT в rspan vlan и отдать этот rspan нам.

Share this post


Link to post
Share on other sites

Мы предоставляем удаленный СОРМ своим клиентам, все работает, настроек для клиентов минимум - зазеркалить трафик до NAT в rspan vlan и отдать этот rspan нам.

 

у клиента rspan vlan, дальше по всем транзитным свичам это просто vlan (верно?), а что конкретно настроено на том коммутаторе, который слинкован с СОРМ и куда стекаются все эти вланы?

Share this post


Link to post
Share on other sites

Мы предоставляем удаленный СОРМ своим клиентам, все работает, настроек для клиентов минимум - зазеркалить трафик до NAT в rspan vlan и отдать этот rspan нам.

 

у клиента rspan vlan, дальше по всем транзитным свичам это просто vlan (верно?), а что конкретно настроено на том коммутаторе, который слинкован с СОРМ и куда стекаются все эти вланы?

нет, дальше тоже rspan, потом все rspan вланы сливаются в один rspan vlan и он уже ужодит на СОРМ

вот так: 154 это наш vlan до NAT, остальные rspan

#sh mon se all
Session 3
---------
Type                   : Remote Source Session
Source Ports           :
   RX Only            : Te6/15,Po10
   Both               : Gi1/15,Gi2/13,Te6/4
Filter VLANs      : 154,385,299,399,798
Dest RSPAN VLAN        : 999

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this