Jump to content
Калькуляторы

Полный контроль локалки со стороны ФСБ

Добрый день всем!

Строим сеть. Вышли на ФСБ. ФСБ хочет от нас, чтобы мы предоставили полный контроль над локалкой, т.е. контроль до такой степени, чтобы они могли пасти трафик двух абоненнтов в одном доме на одном коммутаторе. Схема построения сети у нас звезда, распределение IP это статический IP+МАС+привязка к порту коммутатора (длинк такое позволяет делать).

Как нам быть? Может кто уже сталкивался с подобным и как отмазался от этого?.

Я понимаю, контролировать инетовский трафик, но локалку...это же какой трафик попрет в сторону ФСБ

Share this post


Link to post
Share on other sites

При сохранении существующей схемы построения сети - имхо никак не получится...

 

 

Share this post


Link to post
Share on other sites

это у вас какой-то режимный город?

или сейчас в России везде так принято?

 

Share this post


Link to post
Share on other sites

загоняйте юзеров во вланы, все вланы гоните в ядро. в ядре весь траф с вланов зеркалируйте на порт для фсб.

а уж что там с этими пакетами будет не ваше дело, главное чтобы вы смогли все их отдать ;)

так должно быть в идеях которые прячутся за лицензионными требованиями

Share this post


Link to post
Share on other sites

ФСБ хочет контролировать сразу все дома одновременно, или иногда, по заказу, какие-то определенные?

Share this post


Link to post
Share on other sites

Чего бы им не хотеть, не они же за это платят...

Share this post


Link to post
Share on other sites

вариант а) врубить на всех клиентах traffic segmentation - тогда понятия "трафик между двумя абонентами в одном доме" не будет, как и локалки в целом.

вариант б) vlan-per-user + ipoe

вариант в) vlan-per-user + pppoe

вариант г) договоритесь что будете давать "по запросу" зеркало порта, а на ядре и агрегаторах включите netflow например, со сливанием добра в коллекторы.

 

Share this post


Link to post
Share on other sites

у них там на юзеров длинки, так что вариант Г отпадает.

если уж делать то гнать всех к ядру.

Share this post


Link to post
Share on other sites

Чаниковский вопрос, а как всех прогнать до ядра? ;)

Share this post


Link to post
Share on other sites
у них там на юзеров длинки, так что вариант Г отпадает.

если уж делать то гнать всех к ядру.

Можно объяснить схему в этом случае, что и как будет?

Share this post


Link to post
Share on other sites

Каждому юзеру - свой VLAN, если проще. Если сеть большая - то QinQ на магистральных свитчах.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this