Belize Posted May 7, 2009 Posted May 7, 2009 Здравствуйте, коллеги. Прошу совета. Ситуация такая. Имеется сеть на 11 тысяч абонентов. Недавно получили LIR и PA сеть /18. УФСБ с прошлой осени напрягает установить СОРМ. Договорились с вышестоящим провайдером использовать их оборудование СОРМ. Согласовали с УФСБ. Прокинули канал от УФСБ до нашей сети. И вот встала задача сделать так чтоб этот самый СОРМ заработал. Radius запросы-ответы победили, прогнав их через петлю с сормовской коробкой. И упёрлись в NAT... УФСБ надо однозначно знать соответствие логина - "белого" IP-адреса. Попробовали такие варианты: Первый вариант: Сделать всё красиво - использовать динамическое выделение "белых" IP-адресов. Попробовали внедрить. Оказалось билинг UTM5 cовсем не годится для этой задачи: пуляет трафик не в того юзера, начинает зависать, падать каждые 2 часа. C freeradius-ом подружить так, чтоб выполнялось всё что надо - тоже не вышло. Второй вариант: Согласно требованиям, оборудование СОРМ должно стоять до того места где делается NAT. Возможно было бы вынести свои натилки вместе bgp бордером на площадку аплинка, но эта схема откровенно "колхозная", ни о каком резервировании каналов не может быть и речи. Плюс такой момент - на сормовской коробке видно соответствие логина-"серого" IP и УФСБ затребовало "хранить где-то соответствие серого-белого адресов в таблице NAT". Честно говоря, не представляю как обрабатывать эту информацию: как извлекать еще более менее понятно, а вот где её хранить, какие там будут объемы и как привязывать это к СОРМ совсем туммано. Третий вариант: выдать каждому абоненту по "белому" адресу сейчас рассматривается. Тут возникают новые вопросы. Отправляли в RIPE план освоения адресного пространства на 3 года вперед. План писался честно и по нему через 3 года будут использованы 14 тысяч адресов из 16. Если сейчас выдать каждому абоненту по "белому" адресу, то через 3 года понадобится 30 тысяч адресов. Если через полгода начать просить у RIPE еще сеть /18, то как они к этому отнесутся? Могут ли быть проблемы из-за нарушение плана освоения? Выдадут ли в итоге еще сеть, если обосновать грамотно?. Какие еще проблемы могут быть? Ну и конечно есть еще варианты с покупкой своего оборудования СОРМ или своего вменяемого билинга. Заранее спасибо за помощь. Вставить ник Quote
bitbucket Posted May 7, 2009 Posted May 7, 2009 Если через полгода начать просить у RIPE еще сеть /18, то как они к этому отнесутся?Если аргументируете необходимость такого блока - должны дать. Но со скрипом. Хотя на 11к абонов 16к адресов - а не жирно ли ? вам для счаться надо /21 на динамический пулл вообще-то и будет счастье как вам, так и юзерам. Вставить ник Quote
Belize Posted May 7, 2009 Author Posted May 7, 2009 Если аргументируете необходимость такого блока - должны дать. Но со скрипом. Хотя на 11к абонов 16к адресов - а не жирно ли ? вам для счаться надо /21 на динамический пулл вообще-то и будет счастье как вам, так и юзерам. Спасибо за ответ. Динамические пулы - это первое что проверили, очень хотелось их внедрить. Не вышло. /21 мало, вчера около 6 сессий было в пике. Так что не жирно, ведь 16к это на 3 года движения вперед :-) Вставить ник Quote
bitbucket Posted May 7, 2009 Posted May 7, 2009 Так что не жирно, ведь 16к это на 3 года движения вперед :-) Сейчас сетки выдают на 1 год. Вставить ник Quote
leveler Posted May 7, 2009 Posted May 7, 2009 Лучше, пока не стало совсем поздно, смените биллинг. ) Вставить ник Quote
mt6561 Posted May 7, 2009 Posted May 7, 2009 Если сейчас выдать каждому абоненту по "белому" адресу, то через 3 года понадобится 30 тысяч адресов. Если через полгода начать проситьу RIPE еще сеть /18, то как они к этому отнесутся? Если грамотно просить - все выдадут и проблем не будет. Обращайтесь =) Вставить ник Quote
Ura Posted May 12, 2009 Posted May 12, 2009 А не пробовали 2-3-4-... точки съема выгрузить в одну физическую 2-3-4-...мя vlan-ами? Вставить ник Quote
No_name Posted May 14, 2009 Posted May 14, 2009 Я офигеваю. На 11т рыл легко можно поставить сорм только за счет своих средств, причем не напрягаясь. Нафик вам эти заморочки? Вы или в минус работаете или у вас не правильная ценовая политика что приходится извращаться с чужим сормом? Вставить ник Quote
Галушко Дмитрий Posted May 14, 2009 Posted May 14, 2009 Я офигеваю. На 11т рыл легко можно поставить сорм только за счет своих средств, причем не напрягаясь... У ФСБ несколько иное мнение... Вставить ник Quote
DSC Posted May 19, 2009 Posted May 19, 2009 (edited) У ФСБ несколько иное мнение... Что вы имеете в виду? Edited May 19, 2009 by DSC Вставить ник Quote
Andrei Posted May 19, 2009 Posted May 19, 2009 Что вы имеете в виду? Наверное имеется ввиду, что расходы на материально-техническое обеспечение СОРМ по федеральному закону об ОРД являются расходным обязательством бюджета РФ. Вставить ник Quote
ksm Posted May 19, 2009 Posted May 19, 2009 Что вы имеете в виду?Наверное имеется ввиду, что расходы на материально-техническое обеспечение СОРМ по федеральному закону об ОРД являются расходным обязательством бюджета РФ. уже нет. Вставить ник Quote
ilia_2s Posted May 19, 2009 Posted May 19, 2009 Что вы имеете в виду?Наверное имеется ввиду, что расходы на материально-техническое обеспечение СОРМ по федеральному закону об ОРД являются расходным обязательством бюджета РФ. уже нет. А это почему? Вставить ник Quote
Andrei Posted May 20, 2009 Posted May 20, 2009 уже нет. Что поменялось? Пожалуйста сразу со ссылкой на нормативный правовой акт. Вставить ник Quote
Галушко Дмитрий Posted May 20, 2009 Posted May 20, 2009 Стукни в аську помогу И ответ на стуки в асю - молчание... Вставить ник Quote
San Posted May 20, 2009 Posted May 20, 2009 Если не можете обойтись без натов, то на съемник трафа нужно подавать логи радиуса, кидайте их через зеркало отдельным вланом. Вставить ник Quote
grfmaniak Posted May 21, 2009 Posted May 21, 2009 Первый вариант: Сделать всё красиво - использовать динамическое выделение "белых" IP-адресов. Попробовали внедрить.Оказалось билинг UTM5 cовсем не годится для этой задачи: пуляет трафик не в того юзера, начинает зависать, падать каждые 2 часа. Мы реализовали именно так. Динамический пул белых адресов, биллинг - Lanbilling. Вставить ник Quote
Belize Posted May 22, 2009 Author Posted May 22, 2009 Если не можете обойтись без натов, то на съемник трафа нужно подавать логи радиуса, кидайте их через зеркало отдельным вланом. Так и сделали, с радиусом проблем нет, запросы и ответы оседают на съемнике. Но. Вот на съемнике осело что абонент pupkin подключился и получил адрес 10.x.x.x. А когда pupkin хулиганит в интернете и пишет гадости про чиновников на форумах, то там "светится" белый адрес из натовского пула. Потому УФСБ и требует таблицу соответствий "серого"/"белого" адресов. Вставить ник Quote
San Posted May 29, 2009 Posted May 29, 2009 (edited) Так соответствие адресов - формальность. Дайте соответствие адресов, вот эта подсеть натится туда, а эта - сюда. В итоге требования выполнили, выполнили, и даже поспособствовали проведению мероприятий. Хотя на самом деле основная задача всей этой канители - однозначная идентификация пользователя. По идее, установив время нахождения и зная пул адресов все должно сложится. Веди переговоры и ищите решение совместно, там тоже люди... Edited May 29, 2009 by San Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.