SokolovS Опубликовано 6 августа, 2010 · Жалоба Накой Х тогда этот СОРМ нужен, если по любому все приходится хранить. Тогда уже лучше нафиг СОРМ и обязательность хранения netflow. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Magnum72 Опубликовано 6 августа, 2010 · Жалоба На сколько мне известно, могут в любой момент спросить "кто ходил на этот ip два месяца назад, в такое-то время". netflow как раз эту информацию и предоставляет. или есть более простой способ? немного неправильно, раз они пришли к вам значит у них есть лог в котором есть ваши адреса, и есть время соотвественно. а это уже подпадает под сессию, а сессии хранить намного проще чем тонны флова(нужен он только для разборок с абонами и выявления аномалий) p.s. ну если у вас каждому абону даётся внешний адрес(динамический или статический) :) Это взят частный случай, обычно ваши абоненты не причем, исключая мелкое хулиганство, ко мне приезжали из других областей чтобы узнать не только кому из абонентов юзает IP, но и кто абонента юзал как прокси. А тут без нетфлоу не обойтись. Но опять же по сравнению с реализацией СОРМ это детский сад, в нашем случае данный вопрос можно полностью решить путем снятия нетфлоу не с бордера, а с пула брасов, если у вас 20000 пользователей и на них выделено три браса ASR1002 то они вполне справятся с нетфлоу, а дальше вы данные потоки принимаете коллектором, и аггрегируете (мы вырезаем UDP, входящий трафик на абонента, порты, и аггрегируем по IP в 1 минутном интервале.) этого хватает чтобы ответить на вопрос кто поюзал абонента. Накой Х тогда этот СОРМ нужен, если по любому все приходится хранить. Тогда уже лучше нафиг СОРМ и обязательность хранения netflow. СОРМ решает другую задачу, он нужен для перлюстрирования трафика между конкретными пользователями или сайтами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Magnum72 Опубликовано 6 августа, 2010 · Жалоба Нескромный вопрос - каким образом у вас план СОРМ реализован на таких нагрузках? Съёмник у вас или с магистралами смогли договориться? СОРМ нам внедряли и я к этому не имел отношения - сказать не могу ничего, а вот запросы по статистике за прошлое время не только от органов, но и от сомневающихся абонентов частенько бывают Да нет у вас сорма. СОРМ эта такая капризная штука что если ее не поднастраивать каждый месяц (конечно при условии то у Вас ФСБшники адекватные и реально им пользуются) она работать не будет, да и коробочку под 10 гигабит в серверной сложно не заметить, а если у вас коробочка поменьше, или находится не у вас то ваш сорм давно протух (при таких объемах трафика она однозначно должна жужжать у вас в серверной). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...