Перейти к содержимому
Калькуляторы

DPI СКАТ поделитесь опытом

В ‎08‎.‎09‎.‎2017 в 13:36, Agent2006 сказал:

Имхо, NAT 1:1 имел бы больший смысл в следующей реализации:

1. Под NAT 1:1 выделяется пул белых IP-адресов.

2. Конкретный серый IP натится в конкретный белый IP - такая своеобразная статика только для тех абонентов, кому она нужна. 

3. Было бы очень здорово, если бы такую привязку можно было осуществлять через RADIUS.

п.1 вы же сами у себя этот пул выделяете

п.2 ограничение есть, но imho некритичное, если хотите выдать конкретный белый, просто выдавайте абоненту серый адрес не какой попало, ему же все равно какой у него будет серый, для скат-6 это упрощается до чет/нечет

п.3 можно конечно

 

В ‎09‎.‎09‎.‎2017 в 00:12, Urs_ak сказал:

Если стоит ENTRY в разрыв. Что нужно чтобы получить/потестировать функционал BRAS ?

Попросить Complete лицензию на тест, можно тестировать не на всех абонентах, а выделить 1-2, остальные будут тестированием не затронуты 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, DimaM сказал:

п.2 ограничение есть, но imho некритичное, если хотите выдать конкретный белый, просто выдавайте абоненту серый адрес не какой попало, ему же все равно какой у него будет серый, для скат-6 это упрощается до чет/нечет

К сожалению, не всё так просто. У нас исторически сложилось, что серые адреса выдавались абонентам последовательно. Поэтому для того, чтобы сейчас абоненту выдать "правильный" серый адрес (который, как я понимаю, должен подойти под "неблокирующий алгоритм диспетчеризации в DPI"), этот серый IP нужно забрать у другого абонента. Честно говоря, такой алгоритм выдачи "статики" не выглядит простым и прозрачным (в данный момент используем пачку SE100, на которых в конфигах руками прописываем статику и на абонента навешивается политика nat 1:1). Тем более, что, как я понял, в случае со СКАТ-10 и выше, алгоритм получится сложнее чем чет/нечет.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 минут назад, Agent2006 сказал:

К сожалению, не всё так просто.

В это мире все обычно непросто :) В любом случае все это временные схемы, т.к. когда захотите выдавать своим абонентам IPv6,

вопрос с маршрутизацией белых адресов все равно придется решать. 

PS у нас уже запрашивают поддержку NAT64, видимо хотят забыть про "проблемы" с IPv4 вовсе 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

35 минут назад, DimaM сказал:

В любом случае все это временные схемы, т.к. когда захотите выдавать своим абонентам IPv6,

вопрос с маршрутизацией белых адресов все равно придется решать.

Будем решать проблемы по мере их поступления. :) В данный момент не стоит задача выдать абонентам IPv6. Более актуально было бы избавиться от пачки SE100. Была надежда обойтись малой кровью перейдя на СКАТ - ждали только NAT 1:1. Но, видно, не судьба...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подскажите, как обновить этот файлик: 

-rw-r--r--. 1 root root 3292938 Фев 21  2017 asnum.bin
 

есть новые AS и они появились после февраля этого года... В городской трафик не попадает одна сетка

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите почему СКАТ может не перенаправлять на страницу блокировки при своем списке блокировок.

Вроде как в логе вижу что были заблокированные url, но редиректа на страничку не происходит.

black_list_redirect=http://мойдомен/access/blockpage.html 
custom_url_black_list=http://мойдомен/access/url_list.dic 

Список также пробовал и вручную создать и скопировать в /var/lib/dpi/blcustom.bin

Не работает хоть тресни. Скат стоит в разрыв.

Техподдержка тупо забила, уже 5 дней висит кейс и 4 дня с прошлого ответа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, dvk1927 сказал:

подскажите, как обновить этот файлик: 

-rw-r--r--. 1 root root 3292938 Фев 21  2017 asnum.bin
 

есть новые AS и они появились после февраля этого года... В городской трафик не попадает одна сетка

Тут читайте.

 

https://vasexperts.ru/wiki/doku.php?id=statistics_asn&s[]=as2bin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В ‎26‎.‎09‎.‎2017 в 05:42, Sacrament сказал:

Список также пробовал и вручную создать и скопировать в /var/lib/dpi/blcustom.bin

Не работает хоть тресни.

А сконвертировать его не забыли? Не слышал, чтобы у кого-то не работало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 26.09.2017 в 11:36, snvoronkov сказал:

обновлялся за год он не раз, автономку сети выделили недавно, и ип соответсвено тоже недавно были к ней привязаны. видимо придется через локал ее добавить. потому как обновление самого СКАТа не приводит к обновлению этого файла...

Изменено пользователем dvk1927

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, dvk1927 сказал:

видимо придется через локал ее добавить. потому как обновление самого СКАТа не приводит к обновлению этого файла...

Там много еще чего не обновляется вообще. Или обновляется крайне редко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скат запущен на сервере с сетевушками SNR-X520

технологически система стояла с медными  sfp 1G, сейчас сервер переместили в другое место и потребовалось поставить оптические sfp 1G

удивительным образом с этими sfp система не поднимает dna0,dna1 интерфейсы, в логах есть немного сообщений

 

Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: Acquired D-Bus service com.redhat.ifcfgrh1
Oct 27 18:05:09 skat NetworkManager[1968]: <info> Loaded plugin ifcfg-rh: (c) 2007 - 2008 Red Hat, Inc.  To report bugs please use the NetworkManager mailing list.
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth0 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth0'
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-dna1 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     warning: NM_CONTROLLED was false but HWADDR or SUBCHANNELS was missing; device will be managed
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     error: addresses
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-lo ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth2 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth2'
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth1 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth1'
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-dna0 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     warning: NM_CONTROLLED was false but HWADDR or SUBCHANNELS was missing; device will be managed
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     error: addresses
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth3 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth3'

 

если вернуть медные Sfp все грузится

как пофиксить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 часов назад, Mechanic сказал:

скат запущен на сервере с сетевушками SNR-X520

технологически система стояла с медными  sfp 1G, сейчас сервер переместили в другое место и потребовалось поставить оптические sfp 1G

удивительным образом с этими sfp система не поднимает dna0,dna1 интерфейсы, в логах есть немного сообщений

 


Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: Acquired D-Bus service com.redhat.ifcfgrh1
Oct 27 18:05:09 skat NetworkManager[1968]: <info> Loaded plugin ifcfg-rh: (c) 2007 - 2008 Red Hat, Inc.  To report bugs please use the NetworkManager mailing list.
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth0 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth0'
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-dna1 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     warning: NM_CONTROLLED was false but HWADDR or SUBCHANNELS was missing; device will be managed
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     error: addresses
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-lo ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth2 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth2'
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth1 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth1'
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-dna0 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     warning: NM_CONTROLLED was false but HWADDR or SUBCHANNELS was missing; device will be managed
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     error: addresses
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth3 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth3'

 

если вернуть медные Sfp все грузится

как пофиксить ?

Если не ошибаюсь - только через техпод.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так-с, господа, где, если не тут - как будет / не будет блокировать СКАТ неправославный VPN ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 минут назад, uk2558 сказал:

Так-с, господа, где, если не тут - как будет / не будет блокировать СКАТ неправославный VPN ?

 gre или что-то еще ? Белые списки верноподданных скат вполне сможет обработать. Openvpn тоже вполне сигнатуру имеет... Решение-то законодательно простое - хотишь впн  в хз куда - ставь себе ревизор. Решение-то о блокировке запрещенной информации на территории РФ. Кто караулит? - ревизор. А так - хоть завпнься. И скат тут не при делах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Согласно пояснением РКН , оператор обязан с 1.11 блокировать а) ресурсы , которые предоставляют VPN или услуги анонимазейра б) сами туннели о_0 !? Или я что то неправильно понял ? Допустим только вариант а), вопрос тогда к производителям СКАТ , будет ли осуществляться блокировка данных ресурсов ( по ip ?!) ? Это не новый функционал за Овер 100500 юаней? Или тут механизм как у реестра запрещённых ? Про вариант б) даже думать не хочу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 минут назад, uk2558 сказал:

Согласно пояснением РКН , оператор обязан с 1.11 блокировать а) ресурсы , которые предоставляют VPN или услуги анонимазейра б) сами туннели о_0 !? Или я что то неправильно понял ? Допустим только вариант а), вопрос тогда к производителям СКАТ , будет ли осуществляться блокировка данных ресурсов ( по ip ?!) ? Это не новый функционал за Овер 100500 юаней? Или тут механизм как у реестра запрещённых ? Про вариант б) даже думать не хочу.

 Будет в реестре - посмотрим. Почти любой ДПИ могёт по протоколам блочить, особенно Скат. Сначала запретите в реестре, затем посмотрим, как это будет выглядеть. Причем РКН должен не обьяснять, а помещать в реестр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите по поводу политики по-умолчанию.

 

На данный момент ни L2, ни L3 BRAS не ввели, то есть авторизации абонентов никакой нет. Все "неизвестные" ip пролетают насквозь, соответственно.

Есть ли способ по-умолчанию их блокировать без добавления известных используемых собственных сетей в профиль блокировки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 20.12.2017 в 07:38, Dimic сказал:

Коллеги, подскажите по поводу политики по-умолчанию.

 

На данный момент ни L2, ни L3 BRAS не ввели, то есть авторизации абонентов никакой нет. Все "неизвестные" ip пролетают насквозь, соответственно.

Есть ли способ по-умолчанию их блокировать без добавления известных используемых собственных сетей в профиль блокировки?

через CoA + default profile в котором прописываете блокировку 6 услуга и ограничение полосы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, Bigmazy сказал:

через CoA + default profile в котором прописываете блокировку 6 услуга и ограничение полосы.

Спасибо, но я написал, что пока компонент BRAS не задействован.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

dipui через nginx кто-нить прикручивал ?

вроде все прописал, запустил, но кроме скрина о настройке оборудования нечего нет

да и тот нормально не конфигурится- не видит ipfixreceiver

Отсутствует соединение или доступ к файлу конфигурации.[id=1]

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кто знает

в CG-NAT по умолчанию чему равен lifetime_flow ?

и в логах как расшифровать 2 и 3 значение [ERROR   ][000688230593730275][042DB7AE5A94858C] nat : tcp : too many connections

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кто нибудь вообще использует по существу опцию CG-NAT  ?

Который день пытаюсь скофигурировать данный сервис в оболочке СКАТа(версия комплит, FastDPI Ctrl 7.4), но увы не получается.  То ли руки не оттуда растут, то ли логика сыровата еще у них. С тех поддержкой который день вялотекущем режиме переписываюсь, но результатов нет. Из других источников понял, что на сети должен быть реализован двойной nat, первый в серой адресации, а дальше уже на СКАТ. В чем в такой связке смысл, пока не понимаю. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В ‎14‎.‎03‎.‎2018 в 02:34, start200 сказал:

А кто нибудь вообще использует по существу опцию CG-NAT  ?

Не меньше 100 операторов

Проверьте что у вас при подключении вход/выход на платформе не перепутаны, in_dev должен смотреть в сторону абонентов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги,а кто-нить знает как с ними можно связаться дабы узнать подробности? 

Зашёл на их сайт vasexperts.ru.   Там указан номер (звонил по коду 812). Позвонил, попытался позадавать вопросы(в частности о стоимости поддержки),а мне девушка говорит что представляет компанию ИТ-Град и СКАТ DPI они не занимаются.  

 

Честно признаться я слегка под впечатлением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.