Что нового в СКАТ DPI 7.0

СКАТ DPI 7.0

В июне российский разработчик платформы глубокого анализа трафика СКАТ DPI компания VAS Experts представила новую версию своего программного продукта – 7.0, в которой появилась начальная поддержка IPv6, дальнейшее развитие получили функции BRAS и взаимодействие с RADIUS, а также устранены недочеты и баги предыдущего релиза. Рассмотрим подробнее новые возможности и сценарии их использования операторами связи и интернет-провайдерами.

Новые возможности СКАТ DPI 7.0

В новую версию СКАТ DPI разработчик добавил несколько важных функций и доработал существующие:

  1. Начальная поддержка IPv6:
  • фильтрация,
  • распознавание протоколов,
  • экспорт метаданных,
  • экспорт Netflow v10.
  1. Новые функции L2 BRAS:
  • терминация VLAN/QinQ termination (технология двойного тегирования пакетов),
  • DHCP relay (предоставление DHCP-серверу данных о полученном запросе),
  • IP Source Guard (ограничение IP-трафика на интерфейсах 2-го уровня).
  1. RADIUS Accounting (возможность сбора данных о трафике, передаваемом по протоколу Radius).
  1. Поддержка туннелирования GRE через встроенный NAT (PPTP/GRE ALG).

Рассмотрим нововведения подробнее, чтобы оценить их преимущества для операторов связи и интернет-провайдеров.

Поддержка IPv6

Начальная поддержка IPv6 в данном релизе подразумевает поддержку тех параметров, в которых не надо назначать услугу на конкретного пользователя, т. е. пока не поддерживает полисинг абонента, белые списки и уведомления, но реализация этих функций стоит в ближайших планах.

В текущей версии СКАТ DPI реализованы:

  • фильтрация,
  • распознавание протоколов,
  • экспорт метаданных (для СОРМ),
  • экспорт Netflow v10.

Для активации обработки IPv6-трафика достаточно в настройках системы прописать один параметр:

Ipv6=1

Важно: обработка IPv6-трафика требует дополнительных вычислительных ресурсов. Если ваше железо не соответствует рекомендуемым требования или вы не раздаете абонентам IPv6-адреса – не включайте эту функцию.

Новые функции L2 BRAS

СКАТ DPI работает по модели 3GPP, в которой есть PCEF (BRAS СКАТ), управляющий трафиком, и PCRF (СКАТ), являющийся сервером логики, взаимодействующий с RADIUS и биллингом.

СКАТ L2 BRAS

Схема BRAS СКАТ в сети оператора связи

В прошлой версии СКАТ DPI 6.0 была реализована поддержка L3 BRAS для обработки трафика IPoE, когда абоненту уже выдан IP-адрес и СКАТ DPI накладывает политики, белые списки, уведомления и другие параметры на конкретный адрес абонента.

Новая версия 7.0 поддерживает L2 BRAS:

  • для VLAN и QinQ СКАТ DPI может применять политики к трафику абонентов по специальным тегам.
  • DHCP relay – проксирование DHCP-запросов из приватных подсетей на внешний DHCP-сервер и мониторинг выдаваемых IP-адресов.
  • Шлюз DHCP-RADIUS – возможность назначать адреса и параметры сессий через RADIUS без участия DHCP-сервера. Функция полезна тем, у кого сеть построена на L2TP и PPOE.
  • IP Source Guard (Антиспуффинг) – защита от подмены злоумышленником IP-адреса с целью использования чужого Интернета, реализована связкой IP- и MAC-адресов.

RADIUS Accounting

СКАТ DPI позволяет передавать данные в биллинг по протоколу RADIUS Accounting для подсчёта потребляемого пользователем объема трафика, на базе которых биллинг может применять дополнительные ограничения или другие политики.

Чтобы использовать данную функцию необходимо:

  1. Активировать сбор netflow-статистики биллинга в conf, например:
netflow=4    # статистика по биллингу абонента
netflow_timeout=60  # тайм-аут отправки статистики
netflow_as_direction=1
  1. Подключить пользователю услугу 9 (сбор netflow-статистики для биллинга).
  1. Подключить авторизацию локальных пользователей и аккаунтинг в файле конфигурации conf ().
enable_auth=1 # авторизацию локальных пользователей
enable_acct=1 # аккаунтинг

Передача информации об объеме потребляемого трафика позволяет биллингу гибко настраивать ограничения для абонента, например, если он потребил в месяц больше 10 Гб, можно ограничить ему скорость доступа или подрезать только торренты.

GRE через встроенный NAT

Существует ряд протоколов, которые имеют ограничения и трудности при работе через NAT, для их корректной работы применяется ALG (Application-level gateway) – шлюз прикладного уровня для модификации прикладных протоколов, проходящих через NAT. Самым популярным шлюзом является ALG GRE, позволяющий проходить туннелированному трафику через NAT.

В версии СКАТ DPI 7.0 реализована поддержка прохождения GRE-туннелей через встроенный CG-NAT, что актуально для клиентов, предоставляющих своим абонентам VPN-доступ и PPTP-туннели.

Также встроенный CG-NAT поддерживает следующие функции:

  • Full Cone – обеспечивает прозрачную работу пиринговых протоколов (торренты, игры).
  • Paired IP address pooling – сессии абонента привязываются к единому для абонента внешнему IP-адресу.
  • Hairpinning – абоненты внутри NAT взаимодействуют друг с другом без трансляции адресов.
  • Лимиты – для каждого пула IP-адресов индивидуально устанавливается лимит на количество TCP- и UDP-соединений абонента, что позволяет оператору связи экономно распределять ресурсы адресного пространства между корпоративными и частными клиентами. При отсутствии активности неиспользуемые соединения закрываются, высвобождая порты.
  • Журналирование трансляций – сетевые трансляции записываются в текстовый файл или передаются на внешний коллектор по протоколу IPFIX (NetFlow v10).

Подключение функции трансляции адресов для абонента осуществляется через услугу 11, для этого необходимо:

  1. Создать профиль услуги, в котором должны быть определены параметры пула IP-адресов:
fdpi_ctrl load profile —service 11 —profile.name test_nat —profile.json ‘{ «nat_ip_pool» : «5.200.43.0/24», «nat_tcp_max_sessions» : 1000, «nat_udp_max_sessions» : 500 }’

где

nat_ip_pool – диапазон внешних IP-адресов в формате CIDR;

nat_tcp_max_sessions – максимальное количество TCP-сессий, которые может создать абонент;

nat_udp_max_sessions – максимальное количество UDP-сессий, которые может создать абонент.

  1. Подключить абоненту услугу 11 с заданными ранее параметрами пула:
fdpi_ctrl load —service 11 —profile.name test_nat —ip 192.168.0.1

или

fdpi_ctrl load —service 11 —profile.name test_nat —login test_subs

Дополнительно в глобальных параметрах /etc/dpi/fastdpi.conf можно задать:

nat_ports=1024-65535 – диапазон используемых для трансляции портов на внешних адресах;

nat_profiles=24 – максимальное количество профилей с параметрами пулов (указаны значения по умолчанию, если параметр не задан).

Трансляции CG-NAT журналируются, что очень актуально для использования в сочетании с системами СОРМ-3, в частности с продуктом СОРМ 3 Информационная система.

Существуют два варианта журналирования:

  • В текстовом формате – для записи NAT-трансляций в текстовый лог на сервере СКАТ DPI (настройки производятся в конфигурационном файле /etc/dpi/fastdpi.conf).
  • Экспорт трансляций на внешние коллекторы в формате IPFIX – для сбора информации в формате IPFIX подойдет любой универсальный IPFIX-коллектор, который понимает шаблоны, или утилита IPFIX Receiver.

Информация о NAT-трансляциях передается в полях postNATsourceIPv4Address и postNAPTsourceTransportPort при экспорте полного Netflow.

Планы развития СКАТ DPI до конца 2017 года

В заключение о ближайших планах разработчика СКАТ DPI компании VAS Experts:

  • Полная поддержка IPv6 и Dual Stack (шейпинг, услуги, терминация, выдача адресов).
  • Поддержка терминации PPPoE в L2 BRAS.
  • Поддержка NAT 1:1.
  • Развитие GUI для управления политиками и услугами.
  • Поддержка классификаторов сайтов (для маркетинговых кампаний или детского интернета).
  • Расширение списка метаданных для СОРМ.

Внедрение новых функций может потребовать настройки системы и сетевого стека, специалисты компании VAS Experts, разработчика и поставщика системы анализа трафика СКАТ DPI, готовы помочь вам в этом вопросе, а также проконсультировать по другим возможностям платформы.

 Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *