Выбор точки съема для СОРМ

[myth]

Всем привет. Внедряем сорм. Хочу сделать пассивный съем между бордером и свитчем с брасами. Но как быть с межабонентским трафиком в пределах одного браса? Или лучше изменить точку съема? На брасах - линукс. НАТ - на бордере.

[snvoronkov]

Неоднократно поднималась тема.

 

Еще раз: точки съема вам укажет товарищ инсталятор. А выберет он их такими, чтобы видеть аттрибуты авторизации абонента и его трафик.

[myth]

Не приедет инсталлятор. Говорят, сами давайте

[RialCom.ru]

у вас должна была для заказа оборудования согласованная схема с куратором

а воткнуть  порты от поставленного железа и прописать на своем оборудовании Вы конечно сами давайте ;)

[myth]

по телефону объяснили что должен быть трафик с серыми адресами, радиус. Все.

[snvoronkov]

1 час назад, myth сказал:

по телефону объяснили что должен быть трафик с серыми адресами, радиус. Все.

Межабонентку надо. Т.е., трафик брасов с абонентской стороны, а не со стороны бордера.

 

Позвоните да уточните. Делов - на пару минут.

[myth]

Сделал что хочу
ip route add default via 10.20.10.1 table 100

ip rule add fwmark 50 table 100

 

iptables -t mangle -A PREROUTING -i ppp+ -s 1.10.212.0/24 -d 1.10.212.0/24 -j MARK --set-mark 50

iptables -t mangle -A PREROUTING -i ppp+ -s 1.10.212.0/24 -d 1.10.212.0/24 -j CONNMARK --save-mark

[Ilya Evseev]

7 часов назад, myth сказал:

-i ppp+

Это будет зверски тормозить.

[myth]

В других правилах не тормозило. В некоторых и сейчас не чихает

[YuryD]

В 27.05.2018 в 20:13, myth сказал:

Не приедет инсталлятор. Говорят, сами давайте

 Ну, как-то не так. Он может и не приедет, скорее приедет. Есть у них процедура инсталляций и так сказать, проверок, следящие за этим блюдут. А точку съема согласовывают по предложенной вами схеме узла. Инсталлятор - глянув на схему узла, согласился. Белый-серый - он утвердил схему со сбором от клиентов до браса, и я подглядел на его буке, что пптр и воип они вполне отлавливают, плюс "мамой клянус" что межабонентского трафика у нас быть не могёт вне съемника.

 

 Тут еще одна вещь существенна, чем миррорите трафик. Если сьемник их и схема их - то без траблем, если со своих железок - то тест будет обязательно, на месте, иначе контролёры не примут.

 

 И вдогон - места в стойке и питалово предусмотрите, и порты для миррора. Ибо в моём варианте сорм2 и кб к нему - это два различных сервера, внедрялся сорм нормально, а вот кб к нему - инсталлятор долго беседовал по елефону на тему что чего-то у них не так.

[myth]

6 часов назад, YuryD сказал:

Тут еще одна вещь существенна, чем миррорите трафик.

сплиттерами

[s.lobanov]

Ой не верю. Где согласованное ТР? Кто вендор сорма?

[Saab95]

Перед внедрением СОРМ заполняется опросник, где есть отметка про межабонентский трафик и возможность его сохранения.

 

Технологии сети бывают разные, в том числе и распределенные L3, или доступ идет по туннелям, или еще какая-то хитрая технология, где нет возможности разделить трафик между абонентами и подать его в некую точку съема.

 

Поэтому обычно СОРМ ставят между НАТ и сервером доступа, либо между БГП и сервером доступа.

[YuryD]

 Тут собственно есть есть некая хитрость. Сорм стоит согласно пропускной возможности in+out, и если лишний трафик загонять в съемник, то сорм будет гораздо дороже, если вдруг трафик внутри ядра сети циркулирует почем здря. У себя вывел сервера тмс отдельно в своё зеркало, а всё клиентское до брасов - отдельно. Микродубляж почти не заметен, хотя их системы позволяют замечать дубли пакетов. Это о выборе точки съема.