[SokolovS]

Накой Х тогда этот СОРМ нужен, если по любому все приходится хранить. Тогда уже лучше нафиг СОРМ и обязательность хранения netflow.

[Magnum72]

На сколько мне известно, могут в любой момент спросить "кто ходил на этот ip два месяца назад, в такое-то время". netflow как раз эту информацию и предоставляет. или есть более простой способ?

немного неправильно, раз они пришли к вам значит у них есть лог в котором есть ваши адреса, и есть время соотвественно.

а это уже подпадает под сессию, а сессии хранить намного проще чем тонны флова(нужен он только для разборок с абонами и выявления аномалий)

 

p.s. ну если у вас каждому абону даётся внешний адрес(динамический или статический) :)

Это взят частный случай, обычно ваши абоненты не причем, исключая мелкое хулиганство, ко мне приезжали из других областей чтобы узнать не только кому из абонентов юзает IP, но и кто абонента юзал как прокси. А тут без нетфлоу не обойтись.

Но опять же по сравнению с реализацией СОРМ это детский сад, в нашем случае данный вопрос можно полностью решить путем снятия нетфлоу не с бордера, а с пула брасов, если у вас 20000 пользователей и на них выделено три браса ASR1002 то они вполне справятся с нетфлоу, а дальше вы данные потоки принимаете коллектором, и аггрегируете (мы вырезаем UDP, входящий трафик на абонента, порты, и аггрегируем по IP в 1 минутном интервале.) этого хватает чтобы ответить на вопрос кто поюзал абонента.

 

Накой Х тогда этот СОРМ нужен, если по любому все приходится хранить. Тогда уже лучше нафиг СОРМ и обязательность хранения netflow.

СОРМ решает другую задачу, он нужен для перлюстрирования трафика между конкретными пользователями или сайтами.

[Magnum72]

Нескромный вопрос - каким образом у вас план СОРМ реализован на таких нагрузках? Съёмник у вас или с магистралами смогли договориться?

СОРМ нам внедряли и я к этому не имел отношения - сказать не могу ничего, а вот запросы по статистике за прошлое время не только от органов, но и от сомневающихся абонентов частенько бывают

Да нет у вас сорма. СОРМ эта такая капризная штука что если ее не поднастраивать каждый месяц (конечно при условии то у Вас ФСБшники адекватные и реально им пользуются) она работать не будет, да и коробочку под 10 гигабит в серверной сложно не заметить, а если у вас коробочка поменьше, или находится не у вас то ваш сорм давно протух (при таких объемах трафика она однозначно должна жужжать у вас в серверной).