[term-it]

Добрый день, господа!

Куратор в УФСБ при проведении очередного тестирования СОРМа на вышестоящем озвучил что надо бы купить СОРМ и все сдать, ибо требования сейчас изменились. Прислал изменения:

1. Оператор присоединен только к одному вышестоящему оператору связи. (был подключен и к резервному для внутренних клиентов для собственной АС используя BGP, но трафик на абонентов шел только на вышестоящего)

2. Абонентам и серверам телематических служб Оператора присваиваются постоянные IP-адреса из диапазона IP-адресов только вышестоящего оператора связи. (раздаются белые IP-адреса из собственного диапазона)

3. На сети связи Оператора запрещены все виды изменения IP-адреса: трансляция IP-адресов, Proxy-сервера, динамическое выделение адресов и т.п. (сеть связи оператора, если под этим понятием говорим о сети передачи данных, имеет все эти моменты для организации сервисов собственных сотрудников, грубо говоря одна из контор холдинга оказывает услуги ИТ всем предприятиям холдинга, но не как услугу телематики продавая интернет, а как сторонние услуги, и в то-же время продает интернет арендаторам на своей территории.)

4. Внутри сети Оператора запрещена любая маршрутизация трафика. Весь трафик абонентов, включая внутрисегментный и межабонентский, Оператора проходит через точку съема трафика СОРМ вышестоящего оператора связи. (аналогично выше написанному, естественно трафик абонентов изолирован и весь идет через точку сьема)

Масштаб деятельности по телематике не велик, покупать СОРМ точно не целесообразно.

Собственно вопросы:

- требования куратора общие, или частная версия?

- если перерисовать схему подключения абонентов и выдавать им адреса вышестоящего провайдера, понятия "запрещены все виды изменения IP-адреса" и "Внутри сети Оператора запрещена любая маршрутизация трафика" не получится реализовать используя единую СПД?

- продают на рынке какие нибудь древние СОРМы, которые не удовлетворяют нормального по размеру деятельности оператора, но достаточны для подобных "карманных" ?

- если все не продлить и не купить свой СОРМ сколько осталось времени после тестирования для сворачивания деятельности?

[FFAMax]

Сразу оговорюсь, знаю только теорию и то не на 5.

Производя оценку рентабельности в подобной ситуации, решением было взять у оператора сеточку с учетом выделения публичника каждому абоненту/устройству.

Да, про резервирование забываем в принципе, но это же и упрощало схему.

Про древний СОРМ, да и про любой свой СОРМ, скажу примерно так: это ноша, которую надо нести (и не забываем про канал до ...). Нестись оно само собой не будет, будет стоить вполне конкретных денег, а еще оно может устаревать и становиться непригодным.

Посему, если изыскиваете дешевенький СОРМ, с уверенностью на 99% можно рекомендовать забыть про эту мысль. Если денег хватает на новый - дерзайте со старым. Если денег хватает на 2 новых - покупайте 1 новый, а вторую стоимость сможете потратить на непредвиденные расходы или она останется нетронутой. В ином случае рискуете получить недостроенное здание, в которое уже и деньги вбуханы, и сдать в эксплуатацию нельзя.

[Ancient]

норси транс предлагает решения для мелких операторов(которые как то прям совсем не здорово и охотно принимают в фсб) в районе 1 миллиона рублей до 1 гбит\с трафика. Дальше цифры другие, ну примерно так и можно считать 1 гбит\млн если речь идёт о 3-5, дальше уже общаться надо. Цифры из КП.

[YuryD]

Закладываться на б/ушный сорм бессмысленно, на мой взгляд. Во первых - будете внедряться, вас сразу заставят иметь КБ, Что может в старом сорме не внердяемо. Ну и от управления сильно зависит. В приватной беседе было сказано - а назачем нам плодить в регионе сормы разных производителей ? У всех - вот это, ставьте того-же производителя, иначе им неудобно.

Да и ИС и Сорм3 на подходе, а это тот еще геморрой, хотя бы с биллингом, как к нему интерфейс ИС прикрутить ?

[Галушко Дмитрий]

норси транс предлагает решения для мелких операторов(которые как то прям совсем не здорово и охотно принимают в фсб) в районе 1 миллиона рублей до 1 гбит\с трафика. Дальше цифры другие, ну примерно так и можно считать 1 гбит\млн если речь идёт о 3-5, дальше уже общаться надо. Цифры из КП.

знаю цифры меньше. В личку.

[YuryD]

знаю цифры меньше. В личку.

Дело не в цифрах, а в управлении. Ну не захотят они чужой пульт городить - и всё... У нас только неблагозвучный ...софт приветствуется.

[bike]

Дело не в цифрах, а в управлении. Ну не захотят они чужой пульт городить - и всё... У нас только неблагозвучный ...софт приветствуется.

 

Сейчас на пороге замены старого СОРМа на новый СОРМ-2 с кольцевым.

Цены действительно ниже, по поводу пульта, нам разработчики сказали - это не ваши проблемы.

[YuryD]

Сейчас на пороге замены старого СОРМа на новый СОРМ-2 с кольцевым.

Цены действительно ниже, по поводу пульта, нам разработчики сказали - это не ваши проблемы.

 

КБ - это просто еще один 1U сервер со своими эзернетами, и вписывающийся в существующий сорм, не более. Внедряж вместе с монтажом от производителя - полдня работы. Если производитель один и тот-же конечно. С кочки зрения организации до пульта - ничего не изменяется. Ну и мне в плюс и моему директору - мы всё это успели сделать до резких скачков курса и санкций. Так что если кто пытается тянуть резину - ну думайте сами.... Впарят вам импортозамещенные сервера например...

[bike]

КБ - это просто еще один 1U сервер со своими эзернетами, и вписывающийся в существующий сорм, не более.

У нас полная замена СОРМ1 на СОРМ2 по 53 приказу с переходом на 10Gb зеркало.

Пульт новый.

[Барагоз]

норси транс предлагает решения для мелких операторов(которые как то прям совсем не здорово и охотно принимают в фсб) в районе 1 миллиона рублей до 1 гбит\с трафика.

До 2 Гбит младшая железка, если быть точным.

 

term-it, неужто у вас в регионе никто аутсорминг не предоставляет?

Edited December 13, 2016 by Барагоз

[YuryD]

КБ - это просто еще один 1U сервер со своими эзернетами, и вписывающийся в существующий сорм, не более.

У нас полная замена СОРМ1 на СОРМ2 по 53 приказу с переходом на 10Gb зеркало.

Пульт новый.

Я до 10Г недоживу :) Я мелкий слишком, но законопослушный.

 

До 2 Гбит младшая железка, если быть точным.

 

Охренеть, у 2-10Г денег на сорм не хватает ? Небось и на фильтрацию у толстых денег нету ?

[Барагоз]

Охренеть, у 2-10Г денег на сорм не хватает ?

Мне предлагали дешевле 700тр, но всё равно невыгодно. Обозримый срок эксплуатации нам назвали - 2 года, после этого придется снимать и внедрять уже сорм 3. В данных условиях оказалось выгоднее лить нашу полосу на арендный съемник.

 

Есть дружественный тоже небольшой оператор, у которого трафика в 20 раз больше чем у нас, и при этом на внедрение сорм 2 он не просто не потратил своих денег, а вдумчиво поработав со своими аплинками стал за уже сормированный траф платить меньше, чем до этого за несормированный. Так что хватает или не хватает - неправильный вопрос.

Edited December 13, 2016 by Барагоз

[20512]

Возможно речь идет о том, что в варианте СОРМа вышестоящего провайдера, не получается идентифицировать трафик конкретного абонента.

А скорее всего вам говорят о том, что пора третий сорм внедрять.

[FFAMax]

Возможно речь идет о том, что в варианте СОРМа вышестоящего провайдера, не получается идентифицировать трафик конкретного абонента.

А скорее всего вам говорят о том, что пора третий сорм внедрять.

Ё-маё, что за школота. Ну что значит "не получается"? Все в этом мире IT-сферы сделано человеческими руками. Где-то выше по тексту явно писалось что-то типа "не маршрутизировать, не проксировать, не изменать", а если проще - брать белый и нести "как есть". ФсЁ! Все остальное под силу делать на СОРМе вышестоящего, в т.ч. и абонбазу сливать :D

[term-it]

коллеги, за ответы спасибо, но видимо не раскрыл суть проблемы - мы и так 2 года на аутсорминге у вышестоящего стояли с той технической реализацией, что я в скобках описал. Куратор двигает к покупке СОРМа, а это не рентабельно, тем более муссируется третий СОРМ, либо написал нужно привести условия включения под новые требования. Вот я и задал вопросы относительно древнего СОРМа, обьективности требований. Взять сетку белых адресов у провайдера и раздавать их абонентам реально, вопрос ведь еще в том, что все внутренние ИТ сервисы настроены со своими хотелками, а сеть передачи данных получается одна. Если мы даже разобьем договор с вышестоящим на два договора, по одному из которых он нам выделяет адреса и мы их раздаем абонентам, а по второму мы просто как клиент того -же оператора берем у него интернет, включаем все в АС-ку, анонсируем BGP и резервный канал и типа мы КАК КЛИЕНТ оператора делаем на своей сети все что считаем нужным, то что мешает УФСБ отказать в согласовании такого плана на основании п.3 озвученных требований? Не будем же мы строить физически выделенные сети для арендаторов для такой схемы.

Edited December 14, 2016 by term-it

[Галушко Дмитрий]

знаю цифры меньше. В личку.

Дело не в цифрах, а в управлении. Ну не захотят они чужой пульт городить - и всё... У нас только неблагозвучный ...софт приветствуется.

теперь единый пульт, который должен понимать любой СОРМ

В договоре с производителем прописывается их ответственность по решению тех. проблемы с УФСБ.

[20512]

FFAMax, аккуратнее со школотой. Дорастешь до моих годов тогда и бросайся.

 

Если не понятно, о чем речь, расшифровываю.

Съемник, который стоит у вышестоящего провайдера опознает трафик элементарно по айпишникам, а кому принадлежит какой айпишник он понятия не имеет.

Для этого этот съемник нужно поженить с третьим СОРМом, или промежуточным вариантом с ФТП-сервером, который это знает.

Поставить третий СОРМ может и вышестоящий провайдер, и теоретически даже ему можно сливать со своего билинга инфу об абонентах, но это костыль и на него чекисты категорически не согласны.

 

Как я понял, у ТС в этом проблема.

 

По этому выхода из этой ситуации два.

Ставить свой СОРМ. И 2-й и 3-й.

Отдать своих абонентов под билинг вышестоящего провайдера.

 

Но могут быть варианты извращений в зависимости от хотелок местного управления.

 

п.с. Специально для айтишников пишу русским языком, без применения специфических терминов, чтобы потом не тыкали пальцем, что чего-то непонятно написал.

 

п.п.с. сорм 2-й вместе с КБ и 3-й стоят сейчас чуть больше 2-х миллионов на 1 гигабит.

и около 3-х на 2.

[JohnPev]

Добавлю свои 5 копеек.

 

СОРМ-2

1. Жестко привязан к пульту(когда его создавали не думали про универсальные протоколы), то есть если в управлении стоит например ...софт и тогда Вам согласуют только его. Если стоит несколько пультов разных производителей, то тогда как повезет (за частую всё зависит от того с каким пультом конкретному чекисту удобнее\проще работать)

2. Если у Вас ...софт, то у них тоже есть адекватные решения при полосе 1-2Г как с КБ, так и без него.

3. У нас аутсорминг в прошлом году ещё как-то согласовывали и управление и магистралы, но примерно с лета этого года отказываются, в лучшем случае как очень временное решение.

 

СОРМ-3

Никак не связан с СОРМ-2, это 2 отдельные системы. На СОРМ-3 есть универсальные протоколы. Но лучше поговорить с управлением на тему того, СОРМ-3 какого производителя у них есть и реально работает. Так как нам например сказали примерно так, поставить можете хоть что, но если это "хоть что" не пройдет наши тесты, будите решать проблемы с производителем СОРМа. Например сказали что решения ...транс есть и работает, ...софт не проходит тесты(инфа лета 2016г). Хотя может уже всё починили.

 

Добрый совет.

Ставьте свой СОРМ-2 без КБ (наши вообще КБ не просят они типа с ним не умеют\знают\понимают как работать), потом максимально оттягивайте максимально сроки внедрения СОРМ-3 и может через 1.5-2 года цены на СОРМ-3 упадут в виду того что будет несколько производителей и они будут конкурировать между собой.

[Галушко Дмитрий]

Добавлю свои 5 копеек.

 

СОРМ-2

1. Жестко привязан к пульту(когда его создавали не думали про универсальные протоколы), то есть если в управлении стоит например ...софт и тогда Вам согласуют только его. Если стоит несколько пультов разных производителей, то тогда как повезет (за частую всё зависит от того с каким пультом конкретному чекисту удобнее\проще работать)

2. Если у Вас ...софт, то у них тоже есть адекватные решения при полосе 1-2Г как с КБ, так и без него.

3. У нас аутсорминг в прошлом году ещё как-то согласовывали и управление и магистралы, но примерно с лета этого года отказываются, в лучшем случае как очень временное решение.

 

СОРМ-3

Никак не связан с СОРМ-2, это 2 отдельные системы. На СОРМ-3 есть универсальные протоколы. Но лучше поговорить с управлением на тему того, СОРМ-3 какого производителя у них есть и реально работает. Так как нам например сказали примерно так, поставить можете хоть что, но если это "хоть что" не пройдет наши тесты, будите решать проблемы с производителем СОРМа. Например сказали что решения ...транс есть и работает, ...софт не проходит тесты(инфа лета 2016г). Хотя может уже всё починили.

 

Добрый совет.

Ставьте свой СОРМ-2 без КБ (наши вообще КБ не просят они типа с ним не умеют\знают\понимают как работать), потом максимально оттягивайте максимально сроки внедрения СОРМ-3 и может через 1.5-2 года цены на СОРМ-3 упадут в виду того что будет несколько производителей и они будут конкурировать между собой.

1. Мы купили СОРМ, который сделан в соответствии с требованиями.

ТО, что СОРМ не работает на этм пульте, проблемы ковбоев, а не индейцы.

2. Такие же решения есть и у др. вендроров. просто надо их теребить, торговаться и т.д.

3. У меня есть письмо на эту тему из центрального ФСБ, по которому все наоборот.

Так что надо идти через голову.

[20512]

этм пульте, проблемы ковбоев, а не индейцы.

с ковбоями на эту тему можно бодаться до бесконечности :)

[Галушко Дмитрий]

этм пульте, проблемы ковбоев, а не индейцы.

с ковбоями на эту тему можно бодаться до бесконечности :)

можно, главное параллельно и дело делать...

[pingz]

Апну тему 

 

Когда, обяжут перейти с СОРМ 2 на СОРМ 3? 

[ayf]

14 минут назад, pingz сказал:

Апну тему 

 

Когда, обяжут перейти с СОРМ 2 на СОРМ 3? 

Уже. Мы занялись внедрением СОРМ-2, нам прямым текстом сказали, что без СОРМ-3 не примут, хотя он не сертифицирован.

[Галушко Дмитрий]

1 час назад, ayf сказал:

Уже. Мы занялись внедрением СОРМ-2, нам прямым текстом сказали, что без СОРМ-3 не примут, хотя он не сертифицирован.

Есть позиция МинКомсвязи письменная,

по которой указанная Вами позиция не соответствует Закону,

т.к. ведёт к конфискации СОРМ (ст. 13.6 КоАП).

Понятно, что производители СОРМ-3 заинтересовывают всех,

но Президент и Премьер - юристы, у них сейчас пик борьбы с коррупцией http://publication.pravo.gov.ru/Document/View/0001201712290012?utm_source=emarsys&utm_medium=email&utm_campaign=БИЗ.+Дайджест+№45+платные_2018-01-10+13%3A08%3A00

ПС говорить можно сколько угодно и что угодно.

[ayf]

41 минуту назад, Галушко Дмитрий сказал:

Есть позиция МинКомсвязи письменная,

по которой указанная Вами позиция не соответствует Закону,

т.к. ведёт к конфискации СОРМ (ст. 13.6 КоАП).

Понятно, что производители СОРМ-3 заинтересовывают всех,

но Президент и Премьер - юристы, у них сейчас пик борьбы с коррупцией http://publication.pravo.gov.ru/Document/View/0001201712290012?utm_source=emarsys&utm_medium=email&utm_campaign=БИЗ.+Дайджест+№45+платные_2018-01-10+13%3A08%3A00

ПС говорить можно сколько угодно и что угодно.

Ох, Дмитрий. Можно, конечно, спорить с ФСБ. Но больно дорого это может обойтись. Да и не факт, что к лету не сертифицируют СОРМ-3 под Яровую.
Дословно было сказано так: Без СОРМ-3 мы не примем. Он не сертифицирован, поэтому можете написать свой интерейфейс. Но когда сертифицируют, вас все равно обяжут покупать.