Нові можливості продукту СКАТ DPI 6.0 «Севастополь» від VAS Experts

Ми в компанії VAS Experts займаємося створенням сервісів для аналізу і контролю трафіку і представляємо нову версію рішення СКАТ DPI 6.0 «Севастополь». Система отримала кілька виправлень, заснованих на досвіді розробки попередніх версій продукту, а також обзавелася новими функціями, про яких і піде мова нижче.

/ Flickr / Alexxx Malev / CC

Розвиток функцій NAT і IPFIX
У новій версії продукту була додана можливість підключати NAT для користувачів, які одночасно використовують «білі» і «сірі» адреси. Для цього на одному логін об'єднуються декілька IP-адрес, а потім на нього призначаються політики і підключаються послуги. Ця функція зручна для корпоративних клієнтів, які купують у оператора блоки адрес.

Ось приклад команди для об'єднання адрес в один логін:

fdpi_ctrl load –bind_multi –user имя_абонента: ір_адрес_или_блок

При цьому хотілося б відзначити, що функція CG-NAT вимагає включення в схему резервного пристрою. Це пов'язано з тим, що при установці системи СКАТ «в розрив» bypass-карти не допомагають, тому вихід платформи з ладу припиняє видачу адрес. Таким чином, рекомендована схема включення виглядає так:

Схема установки СКАТ з функцією CGNAT (Джерело: вебінар)

Що стосується протоколу IPFIX, то він дозволяє передавати аналітичні дані з СКАТ як на внутрішню СГД сервера, так і на зовнішні агрегатори. У своєму новому втіленні IPFIX отримав дві нові функції. Перша — експорт ознаки блокування ресурсу: скажімо, якщо ресурс виявився заблокований за чорним списками, то в полі LOCKED з'явиться відповідне значення. Друга — експорт імені хоста для HTTPS протоколів і QUIC.

Розвиток IPFIX (Джерело: вебінар)

Відзначимо, що одним з найбільш популярних способів аналізу інформації з платформи DPI зв'язка демона-колектора nfcapd, дампа nfdump і візуалізатора NfSen, що є графічним інтерфейсом для даних nfdump. Для збору інформації у форматі IPFIX підійде будь-універсальний IPFIX-колектор, який розуміє шаблони, або утиліта IPFIX Receiver. Після накопичення даних хоча б за одну добу NfSen будує графіки за протоколами, обсягом трафіку і ін


Крім графіків, з допомогою NfSen можна будувати довільні звіти за періоди з протоколів і напрямами. При цьому нам хотілося б відзначити, що візуалізатор не рекомендується встановлювати на сервер, де розгорнуто рішення DPI, – підготовка звітів сильно завантажує центральний процесор, а це може негативно позначитися на продуктивності DPI-платформи.

Набір функцій для роботи в якості L3 BRAS
Сервісний шлюз BRAS — це нова функція системи контролю і аналізу трафіку СКАТ. Частково її можливості були представлені ще в СКАТ 5.0. У новій версії з'явилася авторизація сесій IPoE на radius, що розширило спектр можливостей оператора зв'язку у сфері контролю доступу абонентів до інтернету, а також при роботі з додатковими тарифними опціями (робота L3 та ідентифікація клієнтів по IP або мітці Q-in-Q).

Зазначимо, що СКАТ з функцією BRAS впроваджується в мережі оператора «в розрив», однак з використанням додаткових компонентів: СКАТ PCRF, radius-сервера і біллінг-сервера. Про те, як виконується конфігурування функції L3 BRAS читайте в одному з наших матеріалів, який ви знайдете за посилання.

Місце СКАТ L3 BRAS в мережі оператора (Джерело: вебінар)

У системи СКАТ з функцією BRAS є декілька застосувань, серед яких варто виділити управління доступом абонента при нульовому балансі, щоб користувач мав можливість перейти на сторінку платіжної системи і поповнити рахунок, управління загальною смугою каналу (тарифні плани, QoS), а також ідентифікацію абонентів у Wi-Fi-мережі (наприклад за телефонним номером).

Що стосується останнього пункту, то робота з ідентифікації користувача відбувається на обладнанні оператора зв'язку. Для цього оператор повинен мати стандартний набір пристроїв (комутатори, маршрутизатори тощо), а також систему DPI, DHCP-сервер для організації видачі адрес абонентам, ВМ з веб-сервером Apache і NAT із записом лода трансляцій.

Доступ до інтернету через точку загального доступу

Працює система таким чином. Пристрій абонента підключається до Wi-Fi-роутера, який, у свою чергу, «просить» новий IP у DHCP-сервера. Останній передає дані назад роутера і викликає shell-скрипт, який активує в СКАТ DPI тариф з обмеженнями доступу.

Далі, коли користувач вводить потрібний йому URL, веб-сервер отримує запит на сторінку ідентифікації, де користувач вводить номер телефону, за яким слід відправка запиту на код доступу. Сервер генерує випадкову послідовність цифр та надсилає її користувачу по СМС. Коли код підтверджений, новий shell-скрипт встановлює тариф доступу Wi-Fi і переадресує клієнта на запитаний URL.

Для реалізації вищеописаної схеми необхідно налаштувати обладнання оператора: систему DPI, DHCP-сервер, веб-сервер. Інструкції по налаштуванню ви можете знайти в одному з наших матеріалів.

Підтримка роботи з сервером управління політиками PCRF
Сервер PCRF може розташовуватися на окремому пристрої і керувати безліччю PCEF або бути частиною системи DPI СКАТ. Сервіс fdpi_pcrf виконує роль BRAS для fastdpi — для вихідного клієнтського трафіку fdpi_pcrf запитує авторизацію у radius-сервера, профіль тарифного плану та список надаваних послуг. Щоб забезпечити відмовостійкість системи, є можливість реалізувати схему резервування master-slave.

Робота сервера керування політиками (Джерело: вебінар)

Сам сервер fdpi_pcrf інтегрований з fastdpi і має три компоненти. Перший — модуль авторизації в fastdpi, який аналізує вихідний трафік від локальних клієнтів. У разі відсутності авторизації клієнта, модуль відсилає TCP-запит на fdpi_pcrf. Другий — сервер fdpi_pcrf, який приймає по внутрішньому протоколу запити на авторизацію від fastdpi і обробляє їх. Ну і третій — це керуючий модуль fastdpi, приймає результати роботи fdpi_pcrf по протоколу fdpi_ctrl і пише їх в базу даних клієнтів.



Детальніше про систему СКАТ DPI 6.0 «Севастополь» ви можете дізнатися з нашої презентації, представленої вище. Частина відео присвячена секції Q&A (запитання задавали учасники вебінару в режимі онлайн.

P. S. Інші матеріали з нашого блогу:

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.