Мы в компании VAS Experts занимаемся созданием сервисов для анализа и контроля трафика и представляем новую версию решения СКАТ DPI 6.0 «Севастополь». Система получила несколько дополнений, основанных на опыте разработки предыдущих версий продукта, а также обзавелась новыми функциями, о которых речь пойдет ниже.
/ Flickr / Alexxx Malev / CC
Согласно статистике, значительную часть трафика пользователей составляют пиринговые протоколы — P2P и BitTorrent — и онлайн-игры. Поэтому для улучшения их работы в новом продукте СКАТ был усовершенствован режим full cone в NAT. Более того, была добавлена возможность подключать NAT для пользователей, одновременно использующих «белые» и «серые» адреса.
Для этого на одном логине объединяются несколько IP-адресов, на который назначаются политики и подключаются услуги. Эта функция очень важна для корпоративных клиентов, которые покупают у оператора блоки адресов, и в значительной степени упрощает администрирование.
Вот пример команды для объединения адресов в один логин:
fdpi_ctrl load –bind_multi –user имя_абонента: ip_адрес_или_блок
При этом хотелось бы отметить, что функция CG-NAT требует включения в схему резервного устройства. Это связано с тем, что при установке системы СКАТ «в разрыв», bypass-карты не помогают, поэтому выход платформы из строя прекращает выдачу адресов. Таким образом, рекомендуемая схема включения выглядит так:
Схема установки СКАТ с функцией CGNAT (Источник: вебинар)
Что касается протокола IPFIX и его улучшений, то он позволяет передавать аналитические данные со СКАТ как на внутреннюю СХД сервера, так и на внешние агрегаторы (предоставляемые компанией VAS Experts или любыми другими).
В своем новом воплощении IPFIX получил две новые функции. Первая — экспорт признака блокировки ресурса. Скажем, если ресурс оказался заблокирован по черным спискам, то в поле LOCKED появится соответствующее значение. Вторая — экспорт имени хоста для протоколов HTTPS и QUIC.
Развитие IPFIX (Источник: вебинар)
Сервисный шлюз BRAS — это новая функция системы контроля и анализа трафика СКАТ. Часть её возможностей были представлены в версии СКАТ 5.0, когда работа с radius-трафиком осуществлялась с помощью метода push. Это было нужно для определения соответствия IP-адреса и логина клиента и применения к адресу установленных в СКАТ политик.
В этой версии появилась авторизация сессий IPoE на radius, что расширило спектр возможностей оператора связи в сфере контроля доступа абонентов к интернету, а также при работе с дополнительными тарифными опциями (работа L3 и идентификация клиентов по IP или метке Q-in-Q).
Отметим, что СКАТ с функцией BRAS внедряется в сети оператора «в разрыв», однако с использованием дополнительных компонентов: СКАТ PCRF, radius-сервер и биллинг-сервер.
Место СКАТ L3 BRAS в сети оператора (Источник: вебинар)
О том, как выполняется конфигурирование функции L3 BRAS читайте в одном из наших материалов, который вы найдете по ссылке.
Сервер PCRF может располагаться на отдельном устройстве и руководить множеством PCEF либо являться частью системы DPI СКАТ. Сервис fdpi_pcrf выполняет роль BRAS для fastdpi — для исходящего клиентского трафика fdpi_pcrf запрашивает авторизацию у radius-сервера, профиль тарифного плана и список предоставляемых услуг. Чтобы обеспечить отказоустойчивость системы, есть возможность реализовать схему резервирования master-slave.
Работа сервера управления политиками (Источник: вебинар)
Сам сервер fdpi_pcrf интегрирован с fastdpi и имеет три компонента. Первый — модуль авторизации в fastdpi, который анализирует исходящий трафик от локальных клиентов.
В случае отсутствия авторизации клиента, модуль отсылает TCP-запрос на fdpi_pcrf. Второй — сервер fdpi_pcrf, который принимает по внутреннему протоколу запросы на авторизацию от fastdpi и обрабатывает их. Ну и третий — это управляющий модуль fastdpi, принимающий результаты работы fdpi_pcrf по протоколу fdpi_ctrl и пишущий их в базу данных клиентов.
Подробнее о системе СКАТ DPI 6.0 «Севастополь» вы можете узнать из нашей презентации, представленной выше. Часть видео посвящена секции Q&A — вопросы задавали участники вебинара в режиме онлайн.
P.S. Другие материалы из нашего блога:
/ Flickr / Alexxx Malev / CCРазвитие функций NAT и IPFIX
Согласно статистике, значительную часть трафика пользователей составляют пиринговые протоколы — P2P и BitTorrent — и онлайн-игры. Поэтому для улучшения их работы в новом продукте СКАТ был усовершенствован режим full cone в NAT. Более того, была добавлена возможность подключать NAT для пользователей, одновременно использующих «белые» и «серые» адреса.
Для этого на одном логине объединяются несколько IP-адресов, на который назначаются политики и подключаются услуги. Эта функция очень важна для корпоративных клиентов, которые покупают у оператора блоки адресов, и в значительной степени упрощает администрирование.
Вот пример команды для объединения адресов в один логин:
fdpi_ctrl load –bind_multi –user имя_абонента: ip_адрес_или_блок
При этом хотелось бы отметить, что функция CG-NAT требует включения в схему резервного устройства. Это связано с тем, что при установке системы СКАТ «в разрыв», bypass-карты не помогают, поэтому выход платформы из строя прекращает выдачу адресов. Таким образом, рекомендуемая схема включения выглядит так:
Что касается протокола IPFIX и его улучшений, то он позволяет передавать аналитические данные со СКАТ как на внутреннюю СХД сервера, так и на внешние агрегаторы (предоставляемые компанией VAS Experts или любыми другими).
В своем новом воплощении IPFIX получил две новые функции. Первая — экспорт признака блокировки ресурса. Скажем, если ресурс оказался заблокирован по черным спискам, то в поле LOCKED появится соответствующее значение. Вторая — экспорт имени хоста для протоколов HTTPS и QUIC.
Набор функций для работы в качестве L3 BRAS
Сервисный шлюз BRAS — это новая функция системы контроля и анализа трафика СКАТ. Часть её возможностей были представлены в версии СКАТ 5.0, когда работа с radius-трафиком осуществлялась с помощью метода push. Это было нужно для определения соответствия IP-адреса и логина клиента и применения к адресу установленных в СКАТ политик.
В этой версии появилась авторизация сессий IPoE на radius, что расширило спектр возможностей оператора связи в сфере контроля доступа абонентов к интернету, а также при работе с дополнительными тарифными опциями (работа L3 и идентификация клиентов по IP или метке Q-in-Q).
Отметим, что СКАТ с функцией BRAS внедряется в сети оператора «в разрыв», однако с использованием дополнительных компонентов: СКАТ PCRF, radius-сервер и биллинг-сервер.
О том, как выполняется конфигурирование функции L3 BRAS читайте в одном из наших материалов, который вы найдете по ссылке.
Поддержка работы с сервером управления политиками PCRF
Сервер PCRF может располагаться на отдельном устройстве и руководить множеством PCEF либо являться частью системы DPI СКАТ. Сервис fdpi_pcrf выполняет роль BRAS для fastdpi — для исходящего клиентского трафика fdpi_pcrf запрашивает авторизацию у radius-сервера, профиль тарифного плана и список предоставляемых услуг. Чтобы обеспечить отказоустойчивость системы, есть возможность реализовать схему резервирования master-slave.
Сам сервер fdpi_pcrf интегрирован с fastdpi и имеет три компонента. Первый — модуль авторизации в fastdpi, который анализирует исходящий трафик от локальных клиентов.
В случае отсутствия авторизации клиента, модуль отсылает TCP-запрос на fdpi_pcrf. Второй — сервер fdpi_pcrf, который принимает по внутреннему протоколу запросы на авторизацию от fastdpi и обрабатывает их. Ну и третий — это управляющий модуль fastdpi, принимающий результаты работы fdpi_pcrf по протоколу fdpi_ctrl и пишущий их в базу данных клиентов.
Подробнее о системе СКАТ DPI 6.0 «Севастополь» вы можете узнать из нашей презентации, представленной выше. Часть видео посвящена секции Q&A — вопросы задавали участники вебинара в режиме онлайн.
P.S. Другие материалы из нашего блога:
Поделиться с друзьями