Jump to content
Калькуляторы

DPI СКАТ поделитесь опытом

В ‎08‎.‎09‎.‎2017 в 13:36, Agent2006 сказал:

Имхо, NAT 1:1 имел бы больший смысл в следующей реализации:

1. Под NAT 1:1 выделяется пул белых IP-адресов.

2. Конкретный серый IP натится в конкретный белый IP - такая своеобразная статика только для тех абонентов, кому она нужна. 

3. Было бы очень здорово, если бы такую привязку можно было осуществлять через RADIUS.

п.1 вы же сами у себя этот пул выделяете

п.2 ограничение есть, но imho некритичное, если хотите выдать конкретный белый, просто выдавайте абоненту серый адрес не какой попало, ему же все равно какой у него будет серый, для скат-6 это упрощается до чет/нечет

п.3 можно конечно

 

В ‎09‎.‎09‎.‎2017 в 00:12, Urs_ak сказал:

Если стоит ENTRY в разрыв. Что нужно чтобы получить/потестировать функционал BRAS ?

Попросить Complete лицензию на тест, можно тестировать не на всех абонентах, а выделить 1-2, остальные будут тестированием не затронуты 

Share this post


Link to post
Share on other sites
5 часов назад, DimaM сказал:

п.2 ограничение есть, но imho некритичное, если хотите выдать конкретный белый, просто выдавайте абоненту серый адрес не какой попало, ему же все равно какой у него будет серый, для скат-6 это упрощается до чет/нечет

К сожалению, не всё так просто. У нас исторически сложилось, что серые адреса выдавались абонентам последовательно. Поэтому для того, чтобы сейчас абоненту выдать "правильный" серый адрес (который, как я понимаю, должен подойти под "неблокирующий алгоритм диспетчеризации в DPI"), этот серый IP нужно забрать у другого абонента. Честно говоря, такой алгоритм выдачи "статики" не выглядит простым и прозрачным (в данный момент используем пачку SE100, на которых в конфигах руками прописываем статику и на абонента навешивается политика nat 1:1). Тем более, что, как я понял, в случае со СКАТ-10 и выше, алгоритм получится сложнее чем чет/нечет.

 

Share this post


Link to post
Share on other sites
12 минут назад, Agent2006 сказал:

К сожалению, не всё так просто.

В это мире все обычно непросто :) В любом случае все это временные схемы, т.к. когда захотите выдавать своим абонентам IPv6,

вопрос с маршрутизацией белых адресов все равно придется решать. 

PS у нас уже запрашивают поддержку NAT64, видимо хотят забыть про "проблемы" с IPv4 вовсе 

Share this post


Link to post
Share on other sites
35 минут назад, DimaM сказал:

В любом случае все это временные схемы, т.к. когда захотите выдавать своим абонентам IPv6,

вопрос с маршрутизацией белых адресов все равно придется решать.

Будем решать проблемы по мере их поступления. :) В данный момент не стоит задача выдать абонентам IPv6. Более актуально было бы избавиться от пачки SE100. Была надежда обойтись малой кровью перейдя на СКАТ - ждали только NAT 1:1. Но, видно, не судьба...

Share this post


Link to post
Share on other sites

подскажите, как обновить этот файлик: 

-rw-r--r--. 1 root root 3292938 Фев 21  2017 asnum.bin
 

есть новые AS и они появились после февраля этого года... В городской трафик не попадает одна сетка

Share this post


Link to post
Share on other sites

Подскажите почему СКАТ может не перенаправлять на страницу блокировки при своем списке блокировок.

Вроде как в логе вижу что были заблокированные url, но редиректа на страничку не происходит.

black_list_redirect=http://мойдомен/access/blockpage.html 
custom_url_black_list=http://мойдомен/access/url_list.dic 

Список также пробовал и вручную создать и скопировать в /var/lib/dpi/blcustom.bin

Не работает хоть тресни. Скат стоит в разрыв.

Техподдержка тупо забила, уже 5 дней висит кейс и 4 дня с прошлого ответа.

Share this post


Link to post
Share on other sites
2 часа назад, dvk1927 сказал:

подскажите, как обновить этот файлик: 

-rw-r--r--. 1 root root 3292938 Фев 21  2017 asnum.bin
 

есть новые AS и они появились после февраля этого года... В городской трафик не попадает одна сетка

Тут читайте.

 

https://vasexperts.ru/wiki/doku.php?id=statistics_asn&s[]=as2bin

Share this post


Link to post
Share on other sites
В ‎26‎.‎09‎.‎2017 в 05:42, Sacrament сказал:

Список также пробовал и вручную создать и скопировать в /var/lib/dpi/blcustom.bin

Не работает хоть тресни.

А сконвертировать его не забыли? Не слышал, чтобы у кого-то не работало.

Share this post


Link to post
Share on other sites
В 26.09.2017 в 11:36, snvoronkov сказал:

обновлялся за год он не раз, автономку сети выделили недавно, и ип соответсвено тоже недавно были к ней привязаны. видимо придется через локал ее добавить. потому как обновление самого СКАТа не приводит к обновлению этого файла...

Edited by dvk1927

Share this post


Link to post
Share on other sites
2 часа назад, dvk1927 сказал:

видимо придется через локал ее добавить. потому как обновление самого СКАТа не приводит к обновлению этого файла...

Там много еще чего не обновляется вообще. Или обновляется крайне редко.

Share this post


Link to post
Share on other sites

скат запущен на сервере с сетевушками SNR-X520

технологически система стояла с медными  sfp 1G, сейчас сервер переместили в другое место и потребовалось поставить оптические sfp 1G

удивительным образом с этими sfp система не поднимает dna0,dna1 интерфейсы, в логах есть немного сообщений

 

Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: Acquired D-Bus service com.redhat.ifcfgrh1
Oct 27 18:05:09 skat NetworkManager[1968]: <info> Loaded plugin ifcfg-rh: (c) 2007 - 2008 Red Hat, Inc.  To report bugs please use the NetworkManager mailing list.
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth0 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth0'
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-dna1 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     warning: NM_CONTROLLED was false but HWADDR or SUBCHANNELS was missing; device will be managed
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     error: addresses
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-lo ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth2 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth2'
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth1 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth1'
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-dna0 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     warning: NM_CONTROLLED was false but HWADDR or SUBCHANNELS was missing; device will be managed
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     error: addresses
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth3 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth3'

 

если вернуть медные Sfp все грузится

как пофиксить ?

Share this post


Link to post
Share on other sites
13 часов назад, Mechanic сказал:

скат запущен на сервере с сетевушками SNR-X520

технологически система стояла с медными  sfp 1G, сейчас сервер переместили в другое место и потребовалось поставить оптические sfp 1G

удивительным образом с этими sfp система не поднимает dna0,dna1 интерфейсы, в логах есть немного сообщений

 


Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: Acquired D-Bus service com.redhat.ifcfgrh1
Oct 27 18:05:09 skat NetworkManager[1968]: <info> Loaded plugin ifcfg-rh: (c) 2007 - 2008 Red Hat, Inc.  To report bugs please use the NetworkManager mailing list.
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth0 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth0'
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-dna1 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     warning: NM_CONTROLLED was false but HWADDR or SUBCHANNELS was missing; device will be managed
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     error: addresses
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-lo ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth2 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth2'
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth1 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth1'
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-dna0 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     warning: NM_CONTROLLED was false but HWADDR or SUBCHANNELS was missing; device will be managed
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     error: addresses
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh: parsing /etc/sysconfig/network-scripts/ifcfg-eth3 ...
Oct 27 18:05:09 skat NetworkManager[1968]:    ifcfg-rh:     read connection 'System eth3'

 

если вернуть медные Sfp все грузится

как пофиксить ?

Если не ошибаюсь - только через техпод.

Share this post


Link to post
Share on other sites

Так-с, господа, где, если не тут - как будет / не будет блокировать СКАТ неправославный VPN ?

Share this post


Link to post
Share on other sites
19 минут назад, uk2558 сказал:

Так-с, господа, где, если не тут - как будет / не будет блокировать СКАТ неправославный VPN ?

 gre или что-то еще ? Белые списки верноподданных скат вполне сможет обработать. Openvpn тоже вполне сигнатуру имеет... Решение-то законодательно простое - хотишь впн  в хз куда - ставь себе ревизор. Решение-то о блокировке запрещенной информации на территории РФ. Кто караулит? - ревизор. А так - хоть завпнься. И скат тут не при делах.

Share this post


Link to post
Share on other sites

Согласно пояснением РКН , оператор обязан с 1.11 блокировать а) ресурсы , которые предоставляют VPN или услуги анонимазейра б) сами туннели о_0 !? Или я что то неправильно понял ? Допустим только вариант а), вопрос тогда к производителям СКАТ , будет ли осуществляться блокировка данных ресурсов ( по ip ?!) ? Это не новый функционал за Овер 100500 юаней? Или тут механизм как у реестра запрещённых ? Про вариант б) даже думать не хочу.

Share this post


Link to post
Share on other sites
14 минут назад, uk2558 сказал:

Согласно пояснением РКН , оператор обязан с 1.11 блокировать а) ресурсы , которые предоставляют VPN или услуги анонимазейра б) сами туннели о_0 !? Или я что то неправильно понял ? Допустим только вариант а), вопрос тогда к производителям СКАТ , будет ли осуществляться блокировка данных ресурсов ( по ip ?!) ? Это не новый функционал за Овер 100500 юаней? Или тут механизм как у реестра запрещённых ? Про вариант б) даже думать не хочу.

 Будет в реестре - посмотрим. Почти любой ДПИ могёт по протоколам блочить, особенно Скат. Сначала запретите в реестре, затем посмотрим, как это будет выглядеть. Причем РКН должен не обьяснять, а помещать в реестр.

Share this post


Link to post
Share on other sites

Коллеги, подскажите по поводу политики по-умолчанию.

 

На данный момент ни L2, ни L3 BRAS не ввели, то есть авторизации абонентов никакой нет. Все "неизвестные" ip пролетают насквозь, соответственно.

Есть ли способ по-умолчанию их блокировать без добавления известных используемых собственных сетей в профиль блокировки?

Share this post


Link to post
Share on other sites
В 20.12.2017 в 07:38, Dimic сказал:

Коллеги, подскажите по поводу политики по-умолчанию.

 

На данный момент ни L2, ни L3 BRAS не ввели, то есть авторизации абонентов никакой нет. Все "неизвестные" ip пролетают насквозь, соответственно.

Есть ли способ по-умолчанию их блокировать без добавления известных используемых собственных сетей в профиль блокировки?

через CoA + default profile в котором прописываете блокировку 6 услуга и ограничение полосы.

Share this post


Link to post
Share on other sites
5 часов назад, Bigmazy сказал:

через CoA + default profile в котором прописываете блокировку 6 услуга и ограничение полосы.

Спасибо, но я написал, что пока компонент BRAS не задействован.

Share this post


Link to post
Share on other sites

dipui через nginx кто-нить прикручивал ?

вроде все прописал, запустил, но кроме скрина о настройке оборудования нечего нет

да и тот нормально не конфигурится- не видит ipfixreceiver

Отсутствует соединение или доступ к файлу конфигурации.[id=1]

 

Share this post


Link to post
Share on other sites

кто знает

в CG-NAT по умолчанию чему равен lifetime_flow ?

и в логах как расшифровать 2 и 3 значение [ERROR   ][000688230593730275][042DB7AE5A94858C] nat : tcp : too many connections

Share this post


Link to post
Share on other sites

А кто нибудь вообще использует по существу опцию CG-NAT  ?

Который день пытаюсь скофигурировать данный сервис в оболочке СКАТа(версия комплит, FastDPI Ctrl 7.4), но увы не получается.  То ли руки не оттуда растут, то ли логика сыровата еще у них. С тех поддержкой который день вялотекущем режиме переписываюсь, но результатов нет. Из других источников понял, что на сети должен быть реализован двойной nat, первый в серой адресации, а дальше уже на СКАТ. В чем в такой связке смысл, пока не понимаю. 

 

Share this post


Link to post
Share on other sites
В ‎14‎.‎03‎.‎2018 в 02:34, start200 сказал:

А кто нибудь вообще использует по существу опцию CG-NAT  ?

Не меньше 100 операторов

Проверьте что у вас при подключении вход/выход на платформе не перепутаны, in_dev должен смотреть в сторону абонентов

Share this post


Link to post
Share on other sites

Коллеги,а кто-нить знает как с ними можно связаться дабы узнать подробности? 

Зашёл на их сайт vasexperts.ru.   Там указан номер (звонил по коду 812). Позвонил, попытался позадавать вопросы(в частности о стоимости поддержки),а мне девушка говорит что представляет компанию ИТ-Град и СКАТ DPI они не занимаются.  

 

Честно признаться я слегка под впечатлением.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now