Большой FAQ: Реализация BRAS L2 и L3. Особенности: CG-NAT, DPI, Dual Stack IPv6/IPv4 в СКАТ DPI

18.09.2018 | Андрей Леушкин

faq

28 июня 2018 года компания VAS Experts провела вебинар «Реализация BRAS L2 и L3. Особенности: CG-NAT, DPI, Dual Stack IPv6/IPv4», посвященный функции BRAS системы СКАТ DPI. В ходе вебинара были затронуты темы:

  • BRAS из DPI и преимущества совместного использования;
  • режим работы и архитектура BRAS;
  • L3 BRAS c функцией CG-NAT;
  • особенности L2 BRAS и процесс внедрения;
  • IPv6, QoE (качество восприятия конечным пользователем);
  • особенности DPI, Dual Stack IPv6/IPv4;
  • планы компании VAS Experts.

Видео доступно на нашем канале.

В вебинаре приняли участие как действующие клиенты компании, так и специалисты интернет-провайдеров, которые планируют модернизацию своих сетей. У слушателей возникло много вопросов, на которые ответили представители компании VAS Experts:

  • Артем Терещенко – руководитель направления СКАТ DPI;
  • Алексей Алексеенко – зам. генерального директора;
  • Дмитрий Молдованов – технический директор;
  • Максим Хижинский – разработчик BRAS.

Для удобства читателей мы продублировали все вопросы в текстовом формате, разделив их на группы по продуктам компании.

DPI

Имеется ли анализ трафика по географическому расположению?

Если речь идет об IP-адресации, то мы знаем, какой IP-адрес к какой AS относится – данные мы берем из базы RIPE. Это позволяет узнать, откуда именно пришел трафик. Есть выгрузка по протоколам и по направлениям.

Можно ли пустить транзитный трафик операторов только через фильтрацию?

Да, можно. Можно управлять как функцией BRAS, так и DPI на конкретную подсеть или автономную систему. Это все настраивается.

BRAS

По BRAS. Подскажите, пожалуйста, схему IP-маршрутизации в режиме L2 BRAS RADIUS-прокси?

В режиме L2 BRAS RADIUS-прокси СКАТ DPI выступает в роли DHCP-сервера. Когда к нему приходит запрос, он формирует запрос в сторону Radius-сервера биллинга и получает информацию о том IP-адресе, который для него выделен. А когда он отдает DHCP-ответ, то запоминает из него шлюз для абонента и выступает для него виртуальным шлюзом. Дальше все запросы идут через него.

IPv6 при L3 BRAS тоже будет работать?

BRAS для IPv6 будет работать.

По QoE что будет анализироваться? RTT? С выдачей абонентов, у которых ужасное RTT?

В ближайшее время появится возможность получать метрики по абоненту. Данная информация будет включать RTT и RTD. Эти данные сигнализируют о потере пакетов их фрагментации. В готовящемся к релизу обновлении СКАТ появится анализ аномальной активности абонентов – участие в ботнет и подобное.

L3 BRAS. Если извне приходит пакет на белый адрес клиента, для которого нет сессии. Что произойдет?

L3 BRAS ничего не ограничивает. Он просто применяет полисинг услуги к клиенту. По сути, пакет пойдет дальше. Ограничения задаете вы. Под ограничением понимаются белые списки, полисинг и т. д. В качестве пояснения: при появлении трафика BRAS сделает запрос на RADIUS-сервер, а то, что вернется от RADIUS-сервера, по сути и будет являться тем правилом, которое применяется к данному трафику.

В презентации говорили о возможности балансировки трафика абонента между вышестоящими операторами / входами BRAS’а. Можете рассказать об этом подробнее?

В случае с несколькими аплинками (допустим, их два) можно настроить полисинг как на все устройство – весь проходящий трафик, так и в рамках этих двух пар портов (v-channel). Для v-channel определяется иерархический алгоритм – классы и скорость для самих классов. V-channel привязывает не только к физическим портам, но и к логическим, например на основе VLAN.

Сейчас в CG-NAT плохо с распределением белых IP-адресов, при заведенных пулах 7-10 серых адресов на 1 белый используется менее половины адресов 100 серых на 1 белый. Есть ли настройка с соотношением серых адресов к белым?

По умолчанию распределение серых адресов по белым равномерное. Требуемого можно добиться соответствующей настройкой.

Можно ли добавить в логи количество NAT-трансляций на каждый внешний IP из пула?

Общий лог NAT на количество трансляций получить возможно, но конкретно на каждый IP – пока такого нет. Возможно, это появится в более поздних версиях. В качестве альтернативного варианта можно разделить лог по IP-адресам с помощью ipfix.

L3 BRAS и реализация работоспобности BRAS СКАТ при отказе RADIUS. Когда будет доделано?

При отказе основного RADIUS-сервера СКАТ переключится на резервный. Также сервер PCRF способен работать по дефолтным ACL, выдавая правила доступа к сети, определенные по умолчанию. В целом работа в этом направлении продолжается и внесена в план.

Умеет ли BRAS СКАТ переадресовывать с  HTTPS на Captive Portal при отрицательном балансе?

Нет. Переадресацию https BRAS не может выполнять – выполняется только http.

Технические вопросы по BRAS

Платы с 40Gb-портами работают со СКАТ?

Да, работают, но все инсталляции проводим с 10Gb-портами.

Нужен ли Hyper-threading на сервере?

Hyper-threading не требуется и отключается. СКАТ работает с физическими процессорными ядрами. Для СКАТ-40 требуется 12-ядерный процессор.

Как происходит интеграция с биллингом UTM5? Когда будет готовое решение?

Вопрос находится на стадии рассмотрения. Проблему можно решить с другой стороны – задать Netup вопрос касательно интеграции со СКАТ.

Будет ли интеграция с BGBilling?

С нашей стороны были попытки интеграции с ними. Лучше вы их «толкните». Если у них стандартная реализация RADIUS, то никаких проблем не должно возникнуть.

Интеграция СКАТ-бордер, есть какие-то сроки?

В планах было доделать бордер до конца 2018 года, но все зависит от других задач и их приоритетов.

Есть ли какой-то механизм резервирования BRAS-ов?

СКАТ выступает как независимое устройство и управляется PCRF. Может быть несколько СКАТ, и они управляются одним или несколькими PCRF. В случае выхода из строя какой-либо единицы вы перенаправляете весь трафик на другой BRAS и он проводит реавторизацию. На сегодняшний день нет возможности синхронизации двух BRAS.

Как будет доступен мониторинг BRAS’а (будущих метрик по пользователям и другим параметрам) для систем мониторинга?

Есть возможность встраивания плагина от того же Zabbix, в том числе и «выкусывания» из логов необходимой информации с ее последующей трансляцией в систему мониторинга.

То есть данные по SNMP не получить?

Да, по SNMP данные не отдаются, только через встраиваемы агенты. В самом СКАТ не планируется развивать SNMP.

Как работает шейпирование и способен ли на это DPI в режимах PPPoE и IPoE?

В СКАТ работает полисинг по алгоритмам HTB и TBF. Совместно с функцией BRAS в любом режиме.

Существует поддержка многопроцессорных систем?

Да, для реализации более 100 Гбит/с на одном сервере. Возможно использование 2,4 сокетов и достижение 400 Гбит/с.

Вопросы по балансировке трафика

Балансировка. Иерархия по сервисам? То есть я могу на вышестоящий оператор аплинк-1 сказать, что туда можно ходить 100 Мб FTP и 200 Мб HTTP, а на аплинк-2 – 50 Мб FTP и 100 Мб HTTP?

Да, действительно, вы можете разбить два типа трафика в рамках одной HTB(?) иерархии – создать две иерархии и назначить их на разные v-channel.

А как СКАТ понимает, что трафик лучше слать на конкретного оператора, если применяется BGP и имеет значение as-path и маршрут через второго может быть недоступен?

В данном случае DPI просто устанавливает пороги на входящий/исходящий трафик, определяя объемы трафика, а не маршрут.

Если перезагрузится аппаратный BRAS, то все запустится сразу после перезагрузки. Если перезапустится СКАТ, надо будет контролировать это? Включать что-то, перезапускать?

Нет. Если СКАТ перезапустился, он продолжит работу в том же режиме.

Удаление старых сессий в CG-NAT готово или нет?

Наверное, речь идет не о старых сессиях – они и так освобождаются. Более вероятно, что разговор идет о проблеме самого CG-NAT, когда не хватает сессий самому абоненту. Существует лимит клиентских сессий, по достижении которого он уже не может создать новых сессий. Эта часть еще не реализована. В качестве рекомендации – можно увеличить количество сессий на абонента. Также можно разгруппировать самих клиентов – у разных абонентов могут быть разные требования и не стоит держать их всех в одной группе.

Есть ли защита от «гуляния» транзитного трафика между интерфейсами? Поясню: трафик приходит от провайдера А и уходит к провайдеру Б, но через аплинки BRAS.

Сейчас нет, так как СКАТ не выполняет функцию бордера. Добавление функции – в планах на 2019 год.

DDoS

Защита от входящего DDoS

В СКАТ есть механизмы защиты от DDoS-атак, которые позволяют защищать как абонентов, так и сам СКАТ. Также следует учесть, что в целях экономии многие приобретают оборудование без запаса мощности. В случае «заваливания» пакетами проблема СКАТ становится аппаратной. Если есть необходимость защищаться активнее, следует приобретать не минимальную планку, а что-то повыше. Также в L2 BRAS имеется функция контроля активности абонентов. Активность определяется по наличию пакетов от абонента к сети Интернет. Если в течение какого-то периода от абонента нет активности, он считается неактивным, а весь трафик к нему из Интернета будет отбрасываться.

Важно! Если вы используете СКАТ-40, это не означает что он может обработать 40 Гбит/с. Он способен обработать и больше – дело не в пропускной способности. Огромную роль играет packetrate – сколько пакетов в секунду приходит. У СКАТ прописано явное ограничение: на каждые 10 Гбит/с с двух каналов – 3 млн пакетов в секунду. Если больше – возникают потери. Однако есть скрипт, способный идентифицировать клиента, на которого идет атака. СКАТ сможет сделать это самостоятельно, когда реализуем на нем функцию маршрутизатора.

Как посмотреть, кого DDoS-ят?

У нас есть пример реализации анализа NetFlow от СКАТА с выводом по максимумам, на кого направлена атака и откуда.

Продолжение следует!

Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также миграции с других платформ, вы можете узнать у специалистов компании VAS Experts, разработчика и поставщика системы анализа трафика СКАТ DPI.

Поделиться в социальных сетях