p10neer Опубликовано 28 октября, 2009 (изменено) · Жалоба А почему речь идет о съеме только с аплинков, разве не весь внутрисетевой трафик должен попадать на сорм? У нас требуют и внутрисетевой, и медиатрафик, что значительно увеличивает полосу :( Для запуска нового более мощного сервера приезжал специалист из МТУ-софт, он и проверил правильность выбора точек съема и указал на недочеты. Изменено 28 октября, 2009 пользователем p10neer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 28 октября, 2009 · Жалоба У нас требуют и внутрисетевой, и медиатрафик, что значительно увеличивает полосу :(Для запуска нового более мощного сервера приезжал специалист из МТУ-софт, он и проверил правильность выбора точек съема и указал на недочеты. Вы его труп хорошо закопали? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Global Опубликовано 28 октября, 2009 · Жалоба А почему речь идет о съеме только с аплинков, разве не весь внутрисетевой трафик должен попадать на сорм? У нас требуют и внутрисетевой, и медиатрафик, что значительно увеличивает полосу :( Для запуска нового более мощного сервера приезжал специалист из МТУ-софт, он и проверил правильность выбора точек съема и указал на недочеты. Мде, в момем случае интересуются радиус пакетами, возможно поэтому неустраивает только аплинки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 30 октября, 2009 · Жалоба p10neer, а как аргументируют-то необходимость сьёма внутреннего трафика?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Magnum72 Опубликовано 30 октября, 2009 · Жалоба p10neer, а как аргументируют-то необходимость сьёма внутреннего трафика?? А никак, в законе написано трафик между абонентами, все остальное твои проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 30 октября, 2009 · Жалоба ~900кг винтов в год на нетфло...да ладно1 винт - 2 тера 1 день - 10 гиг нетфлоу упакованного, это 180 дней на винт примерно 2 винта в год Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cr_net Опубликовано 30 октября, 2009 · Жалоба Во первых СОРМ это комплекс мероприятий, как минимум он должен включать: доступ к базе данных оператора (это самое простое), логирование серверов ТМС (тоже семечки), хранение в течении 3х лет нетфлоу, тут поподробнее: вообше теоритически вы можете не хранить если сможете убедить кураторов в том что это закон оговаривает довольно расплывчато, на практике лучше хранить. не обязательно хранить сырой нетфлоу, достаточно время, ип, порты, но сама суть сбора нетфлоу это довольно сильная нагрузка на ваше оборудование, и ваши проблемы в том где хранить. Чего это вдруг? где это такое указилово? имхо, требование про 3 года это хранение детализации за выставленные счета в билинге, так с чего вдруг детализация нетфлов? вполне может быть детализация по сессиям - радиус аккаунтинг Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
promisc Опубликовано 20 января, 2010 · Жалоба Bambuk, если у вас всё ещё есть интерес в 20G решениях, могу помочь с этим вопросом, обращайтесь в личку! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p10neer Опубликовано 21 января, 2010 · Жалоба Вы его труп хорошо закопали? :)На его место придут другие :(p10neer, а как аргументируют-то необходимость сьёма внутреннего трафика??есть такое слово "Надо" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ksm Опубликовано 21 января, 2010 · Жалоба Во первых СОРМ это комплекс мероприятий, как минимум он должен включать: доступ к базе данных оператора (это самое простое), логирование серверов ТМС (тоже семечки), хранение в течении 3х лет нетфлоу, тут поподробнее: вообше теоритически вы можете не хранить если сможете убедить кураторов в том что это закон оговаривает довольно расплывчато, на практике лучше хранить. не обязательно хранить сырой нетфлоу, достаточно время, ип, порты, но сама суть сбора нетфлоу это довольно сильная нагрузка на ваше оборудование, и ваши проблемы в том где хранить.Чего это вдруг? где это такое указилово? имхо, требование про 3 года это хранение детализации за выставленные счета в билинге, так с чего вдруг детализация нетфлов? вполне может быть детализация по сессиям - радиус аккаунтинг Поддерживаю целиком. Про нетфлоу в требованиях ни слова, достаточно однозначного сопоставляения - время - IP - абонент и возможности отслеживание в онлайне (радиус или еще как). И трафик требуется весь, а не магистральный - соответственно это существенно снижает желание давать много локала абоненту, так как затраты на СОРМ вырастают. Кстати про СОРМ и локал - в текущих схемах (зеркалирование портов) при съеме локала он снимается фактически два раза - на входе и на выходе. А есть ли решения для выборочного зеркалирования? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 22 января, 2010 · Жалоба Bambuk, если у вас всё ещё есть интерес в 20G решениях, могу помочь с этим вопросом, обращайтесь в личку! У вас там ящик переполнен. Интерес есть, но 20Г - это мало. Сейчас уже нужно решение на 40-50Г. Трафик поступает по 4 10Г линкам. Пакеты одного flow могут приходить по одному линку, а уходить через другой, СОРМ должен уметь собирать flow из разных линков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Magnum72 Опубликовано 22 января, 2010 · Жалоба Во первых СОРМ это комплекс мероприятий, как минимум он должен включать: доступ к базе данных оператора (это самое простое), логирование серверов ТМС (тоже семечки), хранение в течении 3х лет нетфлоу, тут поподробнее: вообше теоритически вы можете не хранить если сможете убедить кураторов в том что это закон оговаривает довольно расплывчато, на практике лучше хранить. не обязательно хранить сырой нетфлоу, достаточно время, ип, порты, но сама суть сбора нетфлоу это довольно сильная нагрузка на ваше оборудование, и ваши проблемы в том где хранить.Чего это вдруг? где это такое указилово? имхо, требование про 3 года это хранение детализации за выставленные счета в билинге, так с чего вдруг детализация нетфлов? вполне может быть детализация по сессиям - радиус аккаунтинг Поддерживаю целиком. Про нетфлоу в требованиях ни слова, достаточно однозначного сопоставляения - время - IP - абонент и возможности отслеживание в онлайне (радиус или еще как). И трафик требуется весь, а не магистральный - соответственно это существенно снижает желание давать много локала абоненту, так как затраты на СОРМ вырастают. Кстати про СОРМ и локал - в текущих схемах (зеркалирование портов) при съеме локала он снимается фактически два раза - на входе и на выходе. А есть ли решения для выборочного зеркалирования? Вот когда ко мне из московии приезжали, для того чтобы не только узнать чей это IP адрес, но и кто его заюзал как прокси, вот в этот момент моя задница немного вспотела, в правилах не оговорены тех условия как и что детализировать, но хотите меньше проблем, делайте так как просят, так как в общих случаях интересен не размер трафика и порты, в принципе достаточно хранить только детализацию TCP исходящего трафика, без учета портов, с агрегацие по пятиминуткам. это на порядок меньше чем хранить весь нетфлоу, По поводу дублирования трафика, все зависит от оборудования на котором зхеркалируется трафик, у меня D-link DGS-3627, на нем можно миррорить только то что попадает под ACL, также можно выбирать оптимальные точки съема и поднимать трафик по RSPAN до съемника. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ksm Опубликовано 23 января, 2010 · Жалоба Вот когда ко мне из московии приезжали, для того чтобы не только узнать чей это IP адрес, но и кто его заюзал как прокси, вот в этот момент моя задница немного вспотела, в правилах не оговорены тех условия как и что детализировать, но хотите меньше проблем, делайте так как просят, так как в общих случаях интересен не размер трафика и порты, в принципе достаточно хранить только детализацию TCP исходящего трафика, без учета портов, с агрегацие по пятиминуткам. это на порядок меньше чем хранить весь нетфлоу, По поводу дублирования трафика, все зависит от оборудования на котором зхеркалируется трафик, у меня D-link DGS-3627, на нем можно миррорить только то что попадает под ACL, также можно выбирать оптимальные точки съема и поднимать трафик по RSPAN до съемника. Делаем ровно столько - сколько просят ). Все подписано и сдано, поэтому впереди паровоза не бежим. Кстати стоит разделит ФСБ и МВД и прокуратору. Сдается СОРМ первым, а запросы шлют вторые и третьи ). Конечно абоненту могут подсадить трояна и гнать через него трафик, но эта уже проблема абонента, а не оператора. Да и наличие входящих к нему TCP сессий в один момент с исходящими от него не доказывает его невиновность. Как кстати отсутствие таких сессий не доказывает его виновность - троян может получить команду и отработать с задержкой или вообще у абонента дома вай-фай, его точку взломали и использовали для криминального действия. Насчет длинк - спасибо за наводку - будем пробовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
promisc Опубликовано 20 апреля, 2010 · Жалоба Bambuk, если у вас всё ещё есть интерес в 20G решениях, могу помочь с этим вопросом, обращайтесь в личку! У вас там ящик переполнен. Интерес есть, но 20Г - это мало. Сейчас уже нужно решение на 40-50Г. Трафик поступает по 4 10Г линкам. Пакеты одного flow могут приходить по одному линку, а уходить через другой, СОРМ должен уметь собирать flow из разных линков. Bambuk, вам просьба подробно описать ситуацию на почту: promisc@mail.ru Решение по вашему случаю есть, обращайтесь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 20 апреля, 2010 · Жалоба Lawful intercept СОРМ http://www.sorm-li.ru/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Magnum72 Опубликовано 20 апреля, 2010 (изменено) · Жалоба Bambuk, если у вас всё ещё есть интерес в 20G решениях, могу помочь с этим вопросом, обращайтесь в личку! У вас там ящик переполнен. Интерес есть, но 20Г - это мало. Сейчас уже нужно решение на 40-50Г. Трафик поступает по 4 10Г линкам. Пакеты одного flow могут приходить по одному линку, а уходить через другой, СОРМ должен уметь собирать flow из разных линков. Bambuk, вам просьба подробно описать ситуацию на почту: promisc@mail.ru Решение по вашему случаю есть, обращайтесь. Да решение есть у каждого, денег на это решение нет. 300000 рублей за каждый гиг лицензии и под 2 лямя за съемник на каждые 10 гбит трафика это как бы дофига даже для крупного провайдера. ЗЫ СОРМ сдал в опытную эксплуатацию, счаслив :) Изменено 20 апреля, 2010 пользователем Magnum72 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...