Блог
СКАТ
Что нового в СКАТ DPI 7.0

Что нового в СКАТ DPI 7.0

24 июля 2017

СКАТ

В июне российский разработчик платформы глубокого анализа трафика СКАТ DPI компания VAS Experts представила новую версию своего программного продукта – 7.0, в которой появилась начальная поддержка IPv6, дальнейшее развитие получили функции BRAS и взаимодействие с RADIUS, а также устранены недочеты и баги предыдущего релиза. Рассмотрим подробнее новые возможности и сценарии их использования операторами связи и интернет-провайдерами.

Новые возможности СКАТ DPI 7.0

В новую версию СКАТ DPI разработчик добавил несколько важных функций и доработал существующие:

Начальная поддержка IPv6:

фильтрация,
распознавание протоколов,
экспорт метаданных,
экспорт Netflow v10.

Новые функции L2 BRAS:

терминация VLAN/QinQ termination (технология двойного тегирования пакетов),
DHCP relay (предоставление DHCP-серверу данных о полученном запросе),
IP Source Guard (ограничение IP-трафика на интерфейсах 2-го уровня).

RADIUS Accounting (возможность сбора данных о трафике, передаваемом по протоколу Radius).

Поддержка туннелирования GRE через встроенный NAT (PPTP/GRE ALG).

Рассмотрим нововведения подробнее, чтобы оценить их преимущества для операторов связи и интернет-провайдеров.

Поддержка IPv6

Начальная поддержка IPv6 в данном релизе подразумевает поддержку тех параметров, в которых не надо назначать услугу на конкретного пользователя, т. е. пока не поддерживает полисинг абонента, белые списки и уведомления, но реализация этих функций стоит в ближайших планах.

В текущей версии СКАТ DPI реализованы:

фильтрация,
распознавание протоколов,
экспорт метаданных (для СОРМ),
экспорт Netflow v10.

Для активации обработки IPv6-трафика достаточно в настройках системы прописать один параметр: Ipv6=1

Важно: обработка IPv6-трафика требует дополнительных вычислительных ресурсов. Если ваше железо не соответствует рекомендуемым требования или вы не раздаете абонентам IPv6-адреса – не включайте эту функцию.

Новые функции L2 BRAS

СКАТ DPI работает по модели 3GPP, в которой есть PCEF (BRAS СКАТ), управляющий трафиком, и PCRF (СКАТ), являющийся сервером логики, взаимодействующий с RADIUS и биллингом.

Схема BRAS СКАТ в сети оператора связи

В прошлой версии СКАТ DPI 6.0 была реализована поддержка L3 BRAS для обработки трафика IPoE, когда абоненту уже выдан IP-адрес и СКАТ DPI накладывает политики, белые списки, уведомления и другие параметры на конкретный адрес абонента.

Новая версия 7.0 поддерживает L2 BRAS:

для VLAN и QinQ СКАТ DPI может применять политики к трафику абонентов по специальным тегам.
DHCP relay – проксирование DHCP-запросов из приватных подсетей на внешний DHCP-сервер и мониторинг выдаваемых IP-адресов.
Шлюз DHCP-RADIUS – возможность назначать адреса и параметры сессий через RADIUS без участия DHCP-сервера. Функция полезна тем, у кого сеть построена на L2TP и PPOE.
IP Source Guard (Антиспуффинг) – защита от подмены злоумышленником IP-адреса с целью использования чужого Интернета, реализована связкой IP- и MAC-адресов.

RADIUS Accounting

СКАТ DPI позволяет передавать данные в биллинг по протоколу RADIUS Accounting для подсчёта потребляемого пользователем объема трафика, на базе которых биллинг может применять дополнительные ограничения или другие политики.
Чтобы использовать данную функцию необходимо:

Активировать сбор netflow-статистики биллинга в conf, например:

netflow=4 # статистика по биллингу абонента
netflow_timeout=60 # тайм-аут отправки статистики
netflow_as_direction=1

Подключить пользователю услугу 9 (сбор netflow-статистики для биллинга).

Подключить авторизацию локальных пользователей и аккаунтинг в файле конфигурации conf ().

enable_auth=1 # авторизацию локальных пользователей
enable_acct=1 # аккаунтинг

Передача информации об объеме потребляемого трафика позволяет биллингу гибко настраивать ограничения для абонента, например, если он потребил в месяц больше 10 Гб, можно ограничить ему скорость доступа или подрезать только торренты.

GRE через встроенный NAT

Существует ряд протоколов, которые имеют ограничения и трудности при работе через NAT, для их корректной работы применяется ALG (Application-level gateway) – шлюз прикладного уровня для модификации прикладных протоколов, проходящих через NAT. Самым популярным шлюзом является ALG GRE, позволяющий проходить туннелированному трафику через NAT.

В версии СКАТ DPI 7.0 реализована поддержка прохождения GRE-туннелей через встроенный CG-NAT, что актуально для клиентов, предоставляющих своим абонентам VPN-доступ и PPTP-туннели.

Также встроенный CG-NAT поддерживает следующие функции:

Full Cone – обеспечивает прозрачную работу пиринговых протоколов (торренты, игры).
Paired IP address pooling – сессии абонента привязываются к единому для абонента внешнему IP-адресу.
Hairpinning – абоненты внутри NAT взаимодействуют друг с другом без трансляции адресов.
Лимиты – для каждого пула IP-адресов индивидуально устанавливается лимит на количество TCP- и UDP-соединений абонента, что позволяет оператору связи экономно распределять ресурсы адресного пространства между корпоративными и частными клиентами. При отсутствии активности неиспользуемые соединения закрываются, высвобождая порты.
Журналирование трансляций – сетевые трансляции записываются в текстовый файл или передаются на внешний коллектор по протоколу IPFIX (NetFlow v10).

Подключение функции трансляции адресов для абонента осуществляется через услугу 11, для этого необходимо:

Создать профиль услуги, в котором должны быть определены параметры пула IP-адресов:

fdpi_ctrl load profile —service 11 —profile.name test_nat —profile.json ‘{ «nat_ip_pool» : «5.200.43.0/24», «nat_tcp_max_sessions» : 1000, «nat_udp_max_sessions» : 500 }’

где:

nat_ip_pool – диапазон внешних IP-адресов в формате CIDR
nat_tcp_max_sessions – максимальное количество TCP-сессий, которые может создать абонент;
nat_udp_max_sessions – максимальное количество UDP-сессий, которые может создать абонент.

Подключить абоненту услугу 11 с заданными ранее параметрами пула:

fdpi_ctrl load —service 11 —profile.name test_nat —ip 192.168.0.1

или

fdpi_ctrl load —service 11 —profile.name test_nat —login test_subs

Дополнительно в глобальных параметрах /etc/dpi/fastdpi.conf можно задать:

nat_ports=1024-65535 – диапазон используемых для трансляции портов на внешних адресах;
nat_profiles=24 – максимальное количество профилей с параметрами пулов (указаны значения по умолчанию, если параметр не задан).

Трансляции CG-NAT журналируются, что очень актуально для использования в сочетании с системами СОРМ-3, в частности с продуктом СОРМ 3 Информационная система.

Существуют два варианта журналирования:

В текстовом формате – для записи NAT-трансляций в текстовый лог на сервере СКАТ DPI (настройки производятся в конфигурационном файле /etc/dpi/fastdpi.conf).
Экспорт трансляций на внешние коллекторы в формате IPFIX – для сбора информации в формате IPFIX подойдет любой универсальный IPFIX-коллектор, который понимает шаблоны, или утилита IPFIX Receiver.

Информация о NAT-трансляциях передается в полях postNATsourceIPv4Address и postNAPTsourceTransportPort при экспорте полного Netflow.

Планы развития СКАТ DPI до конца 2017 года

В заключение о ближайших планах разработчика СКАТ DPI компании VAS Experts:

Полная поддержка IPv6 и Dual Stack (шейпинг, услуги, терминация, выдача адресов).
Поддержка терминации PPPoE в L2 BRAS.
Поддержка NAT 1:1.
Развитие GUI для управления политиками и услугами.
Поддержка классификаторов сайтов (для маркетинговых кампаний или детского интернета).
Расширение списка метаданных для СОРМ.

Внедрение новых функций может потребовать настройки системы и сетевого стека, специалисты компании VAS Experts, разработчика и поставщика системы анализа трафика СКАТ DPI, готовы помочь вам в этом вопросе, а также проконсультировать по другим возможностям платформы.

Оценка:

5 из 5

Средняя оценка : 5

Оценок: 1