Jump to content
Калькуляторы

А не пропушить ли нам вендоров standalone NAT/PAT на поддержку PBA? переход на РАТ - cisco, juniper, huawei, etc.

Reply to this topic

Stak   

Stak
Posted

Коллеги, кто использует standalone NAT/PAT устройства (Cisco ASA, Juniper SRX, Huawei Eudemon, etc..) и планирует (или уже совершил) переход на РАТ, большая просьба к вам - запросите у вышеозначенных вендоров поддержку РВА (port block allocation).

Эта фича сводит объём логов РАТ к объему, аналогичному NАТ.

Но на стандалон-NATах её пока никто не поддерживает, только на сервисных картах, интегрируемых в роутеры (такие есть для A9K, MX, и СХ600).

 

Полагаю, если таких запросов будет приличное количество от разных операторов - то шансы, что вендоры реализуют этот функционал на standalone платформах, сильно повысятся.

Share this post

Link to post
Share on other sites

ingress   

ingress
Posted

Почему то все считают что port allocation logging недостаточно, в вашей схеме передаётся destination IP address или только internal/external allocated?

Share this post

Link to post
Share on other sites

Stak   

Stak
Posted

для НАТ - передаётся пара internal/external ip, для РАТ - internal/external ip + destination ip для каждой сессии.

 

В случае использования port block allocation - каждому внутреннему ip будет соответствовать внешний ip + блок портов, т.е. одна запись в логе на все трансляции одного абонента.

Share this post

Link to post
Share on other sites

ingress   

ingress
Posted

В случае использования port block allocation - каждому внутреннему ip будет соответствовать внешний ip + блок портов, т.е. одна запись в логе на все трансляции одного абонента.

 

вот в этом и есть вопрос - у вас это согласовано?

Share this post

Link to post
Share on other sites

Stak   

Stak
Posted

Хороший вопрос. Проясню, о результатах отпишусь.

 

upd: Озадачил наших безопасников, проконсультируются с органами.

Share this post

Link to post
Share on other sites

dazgluk   

dazgluk
Posted (edited)

В случае использования port block allocation - каждому внутреннему ip будет соответствовать внешний ip + блок портов, т.е. одна запись в логе на все трансляции одного абонента.

 

вот в этом и есть вопрос - у вас это согласовано?

Коллеги, впишусь в тему.

Так же рассматриваем вариант перевода NAT на PBA, планируем собирать логи + netflow v5 с приватной стороны.

Решение не очень нравится, но альтернатива только IPFIX, а найти адекватный IPFIX коллектор пока не удалось, кто как решает данную проблему?

 

P.S. Рассматриваем NAT=Jun MX480 Flow=nfdump либо flow-tools

Edited by dazgluk

Share this post

Link to post
Share on other sites

rus-p   

rus-p
Posted

Кроме организационного вопроса с PBA был еще один технический вопрос с обычным, не PBA режимом, по крайней мере для сервисных карт:

 

для РАТ - internal/external ip + destination ip для каждой сессии.

 

Если не ошибаюсь, на сервисных картах для ASR9k и подобных, Full-Cone NAT не посылает в нетфлове dst IP, наследуя свойство независимости маппинга для своего типа, и циска только обещает некий функционал DBL, решающий эту проблему.

Dst IP наверно можно забрать снимая нетфлов с внутреннего интерфейса и проводя корреляцию с базой трансляций, но это ведь гиморрой.

А как у вас ?

Share this post

Link to post
Share on other sites

Tima   

Tima
Posted

Решение не очень нравится, но альтернатива только IPFIX, а найти адекватный IPFIX коллектор пока не удалось, кто как решает данную проблему?

 

 

Я слышал, nprobe работает

Share this post

Link to post
Share on other sites

dazgluk   

dazgluk
Posted

Решение не очень нравится, но альтернатива только IPFIX, а найти адекватный IPFIX коллектор пока не удалось, кто как решает данную проблему?

 

 

Я слышал, nprobe работает

И поля 225 (PostNAT source IP) и 227 (PostNAT source port) логгирует? Интересно, надо попробовать демку

Share this post

Link to post
Share on other sites

Stak   

Stak
Posted

Реализация Deterministic NAT (РАТ) была бы также интересной.

http://tools.ietf.org/html/draft-donley-behave-deterministic-cgn-04

Share this post

Link to post
Share on other sites

Stak   

Stak
Posted

Уточнил у безопасников:

Печалька. ФСБ нам это дело зарубило - формально ссылаются на 538 приказ (необходимо логгировать СОЕДИНЕНИЯ), Кстати, использование NAT (без логгирования по сессиям) этому приказу так же противоречит.

Т.е. в текущих российских реалиях - внедрять Port Block Allocation или Deterministic NAT (РАТ) - нельзя. Точнее, можно, но логи по сессиям (с конкретным dst адресом) всё равно собирать надо.

Share this post

Link to post
Share on other sites

rus-p   

rus-p
Posted

Уточнил у безопасников:

Печалька. ФСБ нам это дело зарубило - формально ссылаются на 538 приказ (необходимо логгировать СОЕДИНЕНИЯ)

Вот тут кто-то может прокомментировать, что имелось в виду под соединениями ?

 

В 538 приказе формулировка проста "сведения баз данных о расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонентов".

Это очень похоже на туннельную статистику, которую провайдер выдает своему клиенту, начало сессии, конец, трафик.

Почему все кинулись искать скрытый смысл и под соединениями для схемы с NAT понимают соединения с IP на IP, а для схемы без NAT органам достаточно дхцп лиз ?

Речь идет конечно об установлении лиц причастных к прошедшим событиям. Для реального времени весь трафик отливается на пробник.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing У нага