[alef]

Посоветуйте решение по фильтрации url в http и/или https пакетах.

Надо:

1. фильтровать по полям host и get

2. поддерживать большое количество правил, не менее 100к

3. обрабатывать не менее 2gbps http/https трафика

4. работать по возможности в пакетном режиме (не сессионном)

5. работать в асимметричном режиме, т.е исходящий трафик через устройство, входящий напрямую

[DimaM]

Самое бюджетное и надежное решение здесь :)

 

http://vasexperts.ru/vas/index.php/site/filtering4free

 

До 4 миллиардов правил (1 миллиард правил влез в 2GB RAM т.к. используется сжатие)

Для списков Роскомнадзора и Минюста уже все автоматизировано - правила закачиваются автоматически, но это можно отключить и заливать свои

Работает на обычных компах под управлением centos

Комп на 2 гига обойдется примерно 45 тыс руб (а скорее всего подходящий уже отыщется у вас в загашнике)

это если без bypass, для bypass нужно приобретать сетевую карту, которая его поддеживает или поднимать резерный линк

Но многие используют без bypass: поначалу страшно :) а на поверку аптайм работающих систем исчисляется уже месяцами, а рестарт программы занимает всего 1 секунду

Cама функциональность по фильтрации предоставляется бесплатно

Самое интересное - задержка в линии (latency) меньше 30 мкс - просто незаметно и лучше чем у большинства систем, которые стоят сотни тысяч долларов - такого не ожидаешь

от компьютера. Секрет в специальных драйверах для сетевых карт и в работе с ними без использования сетевого стека linux.

установлено уже много где, даже в IX, NAG взял на тест, а также несколько операторов из российского Top10 (пока не называю)

 

Фишка в том, что это полноценная DPI платформа и опробовав в действии фильтрацию обычно через некоторое время заказывают и остальное:

тот же BRAS или торренты резать, или ради VAS-услуг

 

PPS звучит как фантастика, но это все правда :) на форуме NAG можно найти пару отзывов

вот еще свежачок

"Вернулся из командировки, мои орлы сказали что система фильтрации работает как часы"

 

PS сообщение изменено, так как бесплатная версия больше не доступна

Изменено 8 апреля, 2015 пользователем DimaM

[alef]

а протестировать можно?

[DimaM]

а протестировать можно?

 

немного странный вопрос :) учитывая что

 

функциональность по фильтрации предоставляется бесплатно

 

бесплатно - это бесплатно! т.е. мы с фильтрации ничего не имеем, это способ облегчить жизнь операторам,

которых государство заставило на это потратиться, и конечно реклама основному продукту

 

Если это про другие функции? тогда, да, конечно, но комп ваш.

Посмотрите у себя что-нибудь подходящее:

процессор xeon (или даже i3/i7/i7 главное чтобы с поддержкой инструкций SSE4.2)

сетевуха на интеловском чипсете 82575/82576/82580/82599

памяти 4 Гига - этого на ваши 2 Гига хватит

 

А если еще комп дать на время, то к сожалению нет:

с компом мы даем решение в аренду и за деньги (комп же денег стоит :) ),

расходится как горячие пирожки, но образовалась очередь на 4 месяца - не хватает оборотных средств

[alef]

не совсем понятно ваше решение, объясните поподробнее.

вы даете свой dpi с включенным функционалом url фильтрации?

весь остальной функционал выключен, и если он нужен то за него надо заплатить?

 

upd

сетевые intel это обязательное требование или для теста можно на других погонять?

сейчас посмотрел в загашнике, там только сервера с сетевыми на бродкомах.

Изменено 17 ноября, 2013 пользователем alef

[DimaM]

вы даете свой dpi с включенным функционалом url фильтрации?

весь остальной функционал выключен, и если он нужен то за него надо заплатить?

 

все правильно

 

сетевые карты на intel сейчас обязательны: драйверов для других чипсетов или пока нет или они еще недостаточно надежны

сетевухи сами по себе стоят недорого, например, такая 2-port Gigabit NIC Card, PCI-e x8, Intel82576 AOC-SG-I2

по price.ru стоит 3400 руб. и в хозяйстве всегда пригодится

[Diman_xxxx]

вы даете свой dpi с включенным функционалом url фильтрации?

весь остальной функционал выключен, и если он нужен то за него надо заплатить?

 

все правильно

 

сетевые карты на intel сейчас обязательны: драйверов для других чипсетов или пока нет или они еще недостаточно надежны

сетевухи сами по себе стоят недорого, например, такая 2-port Gigabit NIC Card, PCI-e x8, Intel82576 AOC-SG-I2

по price.ru стоит 3400 руб. и в хозяйстве всегда пригодится

 

А как это VAS выглядит в сравниении с Carbon Reductor ?

[DimaM]

А как это VAS выглядит в сравниении с Carbon Reductor

 

Carbon - это специализированное решение для фильтрации, других функций, свойственных DPI платформе, в нем нет:

управление QOS (приоритезация трафика по протоколам, "резка торрентов"), шейпинг абонентской полосы (функции BRAS),

аналитические отчеты по протоколам и направлениям потоков данных, организация Captive Portal для оплаты интернет,

VAS-услуги (услуги приносящие дополнительный доход оператору) и т.п.

 

Да, эти функции стоят денег, но эти деньги соизмеримы с тем, что Carbon просит только за фильтрацию, а их

применение окупает первоначальные расходы на компьютер в первый же месяц использования.

Кое-что по финансовой части от использования одной только приоритезации было в этой презентации

если включить субтитры CC:

http://nag.ru/user/notes/24105/prezentatsiya-s-konferentsii-operatorov-svyazi-v-krasnoyarske.html

 

В остальном их решение, думаю, неплохое и имеет свои преимущества если нужна только фильтрация.

[Стич]

Подскажите пожалуйста, когда закончится

"Бесплатная лицензия на продукт СКАТ с опцией фильтрации сроком на 12 мес."

Сколько стоить будет?

[DimaM]

Сколько стоить будет?

 

Нисколько не будет стоить. Раз фильтрация бесплатна, продление лицензии на нее тоже бесплатное.

[Diman_xxxx]

Сколько стоить будет?

 

Нисколько не будет стоить. Раз фильтрация бесплатна, продление лицензии на нее тоже бесплатное.

Спасибо, подскажите пожалуйста в каких форматах осуществляется поддержка и как можно отписаться в РКН по поводу фильтрации ?

[DimaM]

в каких форматах осуществляется поддержка и как можно отписаться в РКН по поводу фильтрации ?

 

Если нужна только фильтрация, то техподдержку приобретать смысла особого нет: фильтрация работает как часы, поставил и забыл

Зато с приобретением поддержки открываются все вкусные фичи, которые я ранее перечислял

 

Есть разные уровни SLA (детали лучше узнавать у специалиста, который свяжется с вами после регистрации):

базовый: bug tracker,email,телефон в дневное время

расширенный: с блэкджекоммониторингом и финансовой ответственностью

договорной: для крупных клиентов

 

С РКН разбираться просто:

1) если вы бесплатный клиент, то регулярно скачиваете у них список (в /dev/null) и спокойно проходите проверки

2) если у вас есть поддержка, то список скачивать уже не обязательно, достаточно показать им договор

[Diman_xxxx]

базовый: bug tracker,email,телефон в дневное время

расширенный: с блэкджекоммониторингом и финансовой ответственностью

 

Спасибо, а можете озвучить стоимость по этим двум пунктам ?

[VVSina]

А centos это критичное условие, или можно поверх любого дистра вкорячить?

[Diman_xxxx]

А centos это критичное условие, или можно поверх любого дистра вкорячить?

http://vasexperts.ru/wiki/doku.php?id=faq

Под freebsd версии нет. Поддерживаются только : i686 RedHat Linux 6.2 и выше (64 bit) или аналоги (Oracle EL 6.2 и выше, CentOS 6.2 и выше);

[DimaM]

а можете озвучить стоимость по этим двум пунктам

 

Стоимость техподдержки рассчитывается в зависимости от нескольких факторов,

проще всего зарегистироваться на сайте, вас не укусятс вами свяжутся и посчитают стоимость

Ориентир: 2500 руб. для домового оператора с 1 гигабитным каналом

 

centos это критичное условие, или можно поверх любого дистра вкорячить?

 

Подойдут любые дистрибутивы, сделанные на базе redhat. Это критично для удержания стоимости техподдержки на низком уровне.

[VVSina]

gentoo сделано на базе redhat ?

[orlik]

gentoo сделано на базе redhat ?

с чегобы вдруг , оно само по себе ...

[VVSina]

мдя, и чем так популярен кентос... что билинги на нём пишут, что dpi... шибко уж специфичные требования.

[BiWiS]

Что вы в центосе специфичного нашли? :) Очень даже очень дистрибутив. Нам нравится больше генту и федоры.

[MATPOC]

Что вы в центосе специфичного нашли? :) Очень даже очень дистрибутив. Нам нравится больше генту и федоры.

 

CentOS - это халявный RedHat. Энтерпрайз любит редхат из-за стабильности-консервативности и долгих сроков поддержки.

[alibek]

По поводу использования СКАТ — использую несколько месяцев, полет нормальный.

Есть некоторые накладки, возникает ощущение, что проект дорабатывают наживую, по обращениям клиентов (т.е. недостаточно тестируют перед выпуском). Из замеченного:

1. DPI вылетает, если уходящий порт вдруг по какой-то причине упал (кабель переподключили), автоматически в этом случае не перезапустился.

2. При обновлении ядра вылетело управление байпасом (сейчас уже починили).

 

Но самое главное — работает и заявленные функции (во всяком случае базовые) выполняет.

Задержка в обработке действительно незаметна, байпас действительно работает и переключается не больше секунды.

[DimaM]

проект дорабатывают наживую, по обращениям клиентов

 

alibek, спасибо большое за ваш отзыв, почему-то никто отзывы не пишет, кроме случаев, когда не все прошло гладко :)

 

По п.1 нужно провести удаленные тесты на вашей системе: вероятно речь идет о дефекте bypass модуля карты, тогда карта будет заменена по гарантии

компанией, у которой вы ее приобрели. Больше ни у кого таких проблем не наблюдалось.

По п.2 были недостатки в инструкции по обновлению, которые были сразу учтены "наживую", благодаря чему у остальных операторов обновление прошло гладко.

Еще раз приносим Вам наши извинения.

[Diman_xxxx]

Но самое главное — работает и заявленные функции (во всяком случае базовые) выполняет.

Задержка в обработке действительно незаметна, байпас действительно работает и переключается не больше секунды.

Байпас у Вас на Silicom -е организован ?

 

Какие цены/где проще куить на эти карточки ?

Изменено 23 ноября, 2013 пользователем Diman_xxxx

[alibek]

Да, брал у VAS вместе с сервером.