Jump to content
Калькуляторы

Выбор точки съема для СОРМ

Всем привет. Внедряем сорм. Хочу сделать пассивный съем между бордером и свитчем с брасами. Но как быть с межабонентским трафиком в пределах одного браса? Или лучше изменить точку съема? На брасах - линукс. НАТ - на бордере.

Share this post


Link to post
Share on other sites

Неоднократно поднималась тема.

 

Еще раз: точки съема вам укажет товарищ инсталятор. А выберет он их такими, чтобы видеть аттрибуты авторизации абонента и его трафик.

Share this post


Link to post
Share on other sites

Не приедет инсталлятор. Говорят, сами давайте

Share this post


Link to post
Share on other sites

у вас должна была для заказа оборудования согласованная схема с куратором

а воткнуть  порты от поставленного железа и прописать на своем оборудовании Вы конечно сами давайте ;)

Share this post


Link to post
Share on other sites

по телефону объяснили что должен быть трафик с серыми адресами, радиус. Все.

Share this post


Link to post
Share on other sites
1 час назад, myth сказал:

по телефону объяснили что должен быть трафик с серыми адресами, радиус. Все.

Межабонентку надо. Т.е., трафик брасов с абонентской стороны, а не со стороны бордера.

 

Позвоните да уточните. Делов - на пару минут.

Share this post


Link to post
Share on other sites

Сделал что хочу
ip route add default via 10.20.10.1 table 100

ip rule add fwmark 50 table 100

 

iptables -t mangle -A PREROUTING -i ppp+ -s 1.10.212.0/24 -d 1.10.212.0/24 -j MARK --set-mark 50

iptables -t mangle -A PREROUTING -i ppp+ -s 1.10.212.0/24 -d 1.10.212.0/24 -j CONNMARK --save-mark

Share this post


Link to post
Share on other sites
7 часов назад, myth сказал:

-i ppp+

Это будет зверски тормозить.

Share this post


Link to post
Share on other sites

В других правилах не тормозило. В некоторых и сейчас не чихает

Share this post


Link to post
Share on other sites
В 27.05.2018 в 20:13, myth сказал:

Не приедет инсталлятор. Говорят, сами давайте

 Ну, как-то не так. Он может и не приедет, скорее приедет. Есть у них процедура инсталляций и так сказать, проверок, следящие за этим блюдут. А точку съема согласовывают по предложенной вами схеме узла. Инсталлятор - глянув на схему узла, согласился. Белый-серый - он утвердил схему со сбором от клиентов до браса, и я подглядел на его буке, что пптр и воип они вполне отлавливают, плюс "мамой клянус" что межабонентского трафика у нас быть не могёт вне съемника.

 

 Тут еще одна вещь существенна, чем миррорите трафик. Если сьемник их и схема их - то без траблем, если со своих железок - то тест будет обязательно, на месте, иначе контролёры не примут.

 

 И вдогон - места в стойке и питалово предусмотрите, и порты для миррора. Ибо в моём варианте сорм2 и кб к нему - это два различных сервера, внедрялся сорм нормально, а вот кб к нему - инсталлятор долго беседовал по елефону на тему что чего-то у них не так.

Share this post


Link to post
Share on other sites
6 часов назад, YuryD сказал:

Тут еще одна вещь существенна, чем миррорите трафик.

сплиттерами

Share this post


Link to post
Share on other sites

Перед внедрением СОРМ заполняется опросник, где есть отметка про межабонентский трафик и возможность его сохранения.

 

Технологии сети бывают разные, в том числе и распределенные L3, или доступ идет по туннелям, или еще какая-то хитрая технология, где нет возможности разделить трафик между абонентами и подать его в некую точку съема.

 

Поэтому обычно СОРМ ставят между НАТ и сервером доступа, либо между БГП и сервером доступа.

Share this post


Link to post
Share on other sites

 Тут собственно есть есть некая хитрость. Сорм стоит согласно пропускной возможности in+out, и если лишний трафик загонять в съемник, то сорм будет гораздо дороже, если вдруг трафик внутри ядра сети циркулирует почем здря. У себя вывел сервера тмс отдельно в своё зеркало, а всё клиентское до брасов - отдельно. Микродубляж почти не заметен, хотя их системы позволяют замечать дубли пакетов. Это о выборе точки съема.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now