Что нового в СКАТ 6.0 «Севастополь»

26 декабря 2016
СКАТ
Что нового в СКАТ 6.0 «Севастополь»
Российский разработчик системы DPI СКАТ компания VAS Experts представляет новую версию своего программного продукта 6.0 «Севастополь», которая как содержит значительные нововведения, так и устраняет недочеты и баги, обнаруженные в предыдущем релизе. Продолжая тему победы советской армии в Великой отечественной войне, назвали новую версию в честь Города-Героя Севастополя.

Новые возможности СКАТ 6.0 – «Севастополь»

Новая версия предоставляет операторам связи ранее недоступные функции и качественно улучшает имеющиеся. Можно выделить 3 новых возможности, на которых мы остановимся подробнее.

  1. Развитие функций NAT, IPFIX – новые возможности NAT и снятие аналитики Netflow 10.
  2. Полный набор функций для работы в качестве L3 BRAS – самая интересная новая функция.
  3. Поддержка работы с сервером управления политиками PCRF – новый элемент сети и его взаимодействие со СКАТ.

Теперь о каждой возможностей подробнее.

Развития функций NAT

  • По статистике, довольно большую долю пользовательского трафика составляют пиринговые протоколы (P2P, торренты) и онлайновые игры.

Чтобы обеспечить их прозрачную работу, мы улучшили работу режима full cone в NAT, который реализован в СКАТ.

  • Также мы добавили возможность добавления услуги NAT для мульти-пользователей, тех, которые одновременно используют и серые и белые адреса.

Для этого один пользовательский login объединяет в себе несколько IP адресов или даже их блоков, а уже на него назначаются политики или дополнительные услуги (белые и черные списки, переадресации и другие). Это имеет большое значение для корпоративных клиентов, покупающих у оператора блоки IP адресов, к которым должны быть применены одинаковые тарифные планы и услуги, а также облегчает администрирование, что является преимуществом для операторов связи.

Пример команды для объединения адресов в один login:

fdpi_ctrl load --bind_multi –user имя_абонента: ip_адрес_или_блок

Нельзя не напомнить, что реализация функции CG-NAT на СКАТ требует в наличие резервного устройства, так как при установке в разрыв карты bypass уже не помогут, в случае выхода из строя платформы, выдача адресов прекратится. Правильная схема должна выглядеть так:

СКАТ схема с PCRF

Резервный СКАТ лицензируется как standby устройство за 25% стоимости основного устройства.

Развития функций IPFIX

Протокол IPFIX позволяет снимать аналитику со СКАТ как на внутреннюю систему хранения сервера в виде файлов, так и на внешние коллекторы (в том числе предоставляемый нами или любой другой).

В новой версии IPFIX приобрел две новых возможности:

  • Экспорт имени хоста для протоколов HTTPS и QUIC.
  • Экспорт признака блокировки ресурса (например, если ресурс был заблокирован по черным спискам, то поле LOCKED будет иметь некоторое значение).
  • СКАТ-6

IPFIX по HTTPS и QUIC.

СКАТ в качестве L3 BRAS

Сервисный шлюз BRAS – новая функция системы контроля и анализа трафика СКАТ. Некоторые ее возможности были реализованы в версии ПО 5.0, где взаимодействие с Radius-трафиком осуществлялось по методу PUSH, для получения соответствия IP-адреса и логина абонента и применения к этому адресу загруженных в СКАТ политик.

Теперь стала доступна авторизация IPoE сессий на Radius, что расширило возможности оператора связи по осуществлению контроля доступа абонентов к сети Интернет и применения политик тарифных планов и дополнительных тарифных опций:

  • назначение и изменение политик (тарифных планов и опций);
  • перенаправление пользователей в Captive Portal (блокировка);
  • работа на уровне L3;
  • идентификация пользователей по IP или по метке Q-in-Q.

В сети оператора СКАТ с функцией BRAS устанавливается по референсной схеме «в разрыв», но с дополнительными элементами, такими как СКАТ PCRF (осуществляет решения по применению политик обслуживания абонентов), Radius-сервер и Биллинг-сервер.

СКАТ резервный

PCRF — Сервер управления политиками

Сервер PCRF может быть установлен на отдельном устройстве и управлять несколькими PCEF, либо входить в состав системы DPI СКАТ. Сервис fdpi_pcrf фактически выполняет роль BRAS для fastdpi: для исходящего клиентского трафика fdpi_pcrf запрашивает у Radius-сервера авторизацию клиента, его профиль полисинга (аналог тарифного плана) и профили по услугам. Для обеспечения отказоустойчивости возможна реализация схемы резервирования master-slave.

Сервер fdpi_pcrf тесно интегрирован с fastdpi и состоит из трех частей:

  • Модуль авторизации в fastdpi, анализирующий исходящий трафик локальных клиентов; если клиент не авторизован, то модуль шлет TCP-запрос на сервер fdpi_pcrf;
  • Сервер fdpi_pcrf, принимающий запросы на авторизацию от fastdpi по внутреннему протоколу и соответствующим образом их обрабатывающий;
  • Управляющий модуль fastdpi, принимающий результаты работы fdpi_pcrf по протоколу fdpi_ctrl и запоминающий их в UDR (базе данных клиентов).

Более подробно о функции L3 BRAS и сервере управления PCRF мы расскажем в отдельном материале в нашем блоге.

Регулярный выход новых версий СКАТ – показатель того, что мы каждый день ведем работу над развитием платформы и добавлением функций, поэтому в среднесрочных планах на 2017 год:

  • Поддержка PPPoE для функции BRAS;
  • Dual stack IPv6;
  • Развитие IPFIX (Почтовые протоколы, FTP, IM);
  • Развитие NAT (GRE, DNAT/1:1);
  • Защита клиентов от внешних DDOS атак;
  • Выявление и блокировка внутрисетевых участников SPAM и BOTNET сетей;
  • Повышение эффективности кэширования;
  • Новые VAS.

Любое обновление вы получаете бесплатно в рамках оформленного договора поддержки, а установить и настроить его всегда помогут специалисты компании ВАС Экспертс.

Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.