Шаблон PowerPoint презентацииVASEXPERTS.RU Градация По общей пропускной способности на платформу –СКАТ-хх: Платформа

VASEXPERTS.RU

СКАТ DPI в роли BRAS

Терещенко Артем

Менеджер по работе с партнерами

VASEXPERTS.RU

DPI №1 в России и СНГ

Более 500 инсталляций

в РФ и СНГ

Более 10 Тбит/с

VASEXPERTS.RU

Полезная информация

1. Блог на сайте2. ВИКИ на русском3. Графический интерфейс4. Ресурсы на сайте• Брошюры и обзор продукта• Видеоматериалы• Кейсы – отзывы наших клиентов

VASEXPERTS.RU

План вебинара

Технология СКАТ DPI

СКАТ рекомендован Роскомнадзором

Архитектура решения и Возможности BRAS

СКАТ как L3 BRAS в сети оператора

СКАТ как L2 BRAS в сети оператора

Как внедрить BRAS

Планы развития

VASEXPERTS.RU

Возможности продукта СКАТ DPI

СКАТ – программно-аппаратный комплекс,предназначен для проведения анализа,применения правил и модификации трафика сиспользованием технологии DPI (Deep PacketInspection).

Возможности:• Автоматическая обработка списка запрещенныхсайтов Роскомнадзора и Минюста (соответствие ФЗ-139)• Аналитика в режиме реального времени• Управление полосой для абонентов и общей (QoS)• Информирование абонентов, вставка рекламы• CG-NAT• Белые списки и Captive Portal• Съемник для СОРМ-3 (538ПП), СОРМ-2• КЭШирование, ретрекер торрентов• Защита от DDoS атак• Предфильтр для СОРМ• L2/L3 BRAS

VASEXPERTS.RU

Технология

Используются типовые аппаратные платформына базе Intel Xeon. Низкая стоимость оборудования,защита инвестиций. Форм фактор 1U.

Поддерживается технология прямого доступа кинтерфейсам сетевых карт (DNA, Direct NIC Access) ифункция bypass на физическом уровне (L1).

Высокоскоростной движок распознает более6000 протоколов. Позволяет обрабатывать наканале 10Gbps до 14.88Mpps, с задержкой неболее 30 микросекунд.

Поддерживаем – VLAN, Q-in-Q, MPLS, LACP

VASEXPERTS.RU

ГрадацияПо общей пропускной способности на платформу – СКАТ-хх:

Платформа СКАТ-6 (6GbE, 6x1GbE 1000Base-T Copper RJ-45)

Платформа СКАТ-20 (20GbE, 2x10GbE 10GBase-LR/SR SFP+)

Платформа СКАТ-40 (40GbE, 4x10GbE 10GBase-LR/SR SFP+)

Платформа СКАТ-60 (60GbE, 6x10GbE 10GBase-LR/SR SFP+)

Платформа СКАТ-80 (80GbE, 8x10GbE 10GBase-LR/SR SFP+)

Платформа СКАТ-100 (100GbE, 10x10GbE 10GBase-LR/SR SFP+)

По функциональности (комплектация):

• Entry - фильтрация трафика по требованиям федеральногозаконодательства

• Base - позволяет управлять трафиком в целом, т.е. управлениеполосой и приоритезацией канала, статистика и уведомленияабонентов, предфильтр СОРМ

• Complete - управление абонентами, белые списки, дополнительнаяфункциональность

VASEXPERTS.RU

Технология Intel Xeon Skylake-SP

Серия Bronze — начальная, ее процессоры могут иметь до 8 ядер и даже неподдерживают hyper-threading, их аналоги — прошлая линейка E3. Silver и Goldможно условно отнести к прошлой самой популярной серии E5, все Xeon Goldимеют до 22 ядер (22С/44Т), а Silver — до 12C/24T. Platinum — самыепроизводительные процессоры, аналог серии E7, они предназначены для самыхбольших нагрузок и могут иметь до 28 ядер.

VASEXPERTS.RU

Архитектура СКАТ DPI

4 ядраобработчик

1 ядродиспет

чер

dna 0 dna 1 dna 2 dna 3

Data Plane

Control Plane

4 ядраобработчик

1 ядродиспет

чер

1 ядроNetFlow

УправлениеСервисный поток

Клиенты

Internet

Клиенты

Internet

СКАТ DPI-40 - это 20Гбит/с входящего и 20Гбит/с исходящего трафика

VASEXPERTS.RU

Опция: Фильтрация трафикаХарактеристика Описание

Загрузка реестра Роскомнадзора (ФЗ-139, ФЗ-187, ФЗ-398)централизовано,

облачный сервис

Возможность использования запроса подписанного своей ЭЦПДа, размещается в

облаке

Загрузка федерального списка экстремистских материалов Министерства Юстиции РФ (ФЗ-114)

централизовано, облачный сервис

Использование собственного списка оператора Да

Поддержка централизованного собственного списка оператора для кластера серверов

Да

Поддержка схем подключения в разрыв,

асимметричная, зеркалирование

Возможность управления фильтрацией по определенным пользователям

Да

Блокировка трафика http/https Да

Поддержка переадресации для http на информационную страницу Да

Возможность сбора статистики по заблокированным страницам Да

Возможность мониторинга загрузки списков и работы фильтрации Да

Максимальный объём списка до 4 млрд. URL

http://vasexperts.ru/wiki/doku.php?id=opt_filtration

VASEXPERTS.RU

Рекомендованы РоскомнадзоромРезультаты СКАТ: ЕАИС – 0,002% и 398 -0,03%

лучшие показатели из 3 производителей RDP 0,004%/0,07%, UBIC - 0.006%/0,13%

https://rkn.gov.ru/communication/p922/

VASEXPERTS.RU

Схемы включения - рекомендуемые

Клиенты

Концентратор

Internet

BRASКлиенты NAT/Пограничный маршрутизатор

СКАТ DPI

Установка «в разрыв»:

Ассиметричная схема:

Клиенты

BRAS

Internet

КоммутаторКлиенты Маршрутизатор

СКАТ DPI

Только исходящий трафик

VASEXPERTS.RU

Новые возможности СКАТ 7.0

В СКАТ DPI 7.0 добавлены следующие новые функциональные возможности:

1. Начальная поддержка IPv6: фильтрация распознавание протоколов экспорт метаданных экспорт IPFIX/Netflow v10

2. Новые функции L2 BRAS: терминация VLAN/QinQ (автоматическое снятие и установка тегов при транзите трафика

через DPI) DHCP relay (проксирование DHCP запросов из приватных подсетей на внешний DHCP-сервер

и мониторинг выдаваемых IP адресов) Шлюз DHCP-Radius (возможность запрашивать DHCP настройки через Radius без участия

DHCP сервера) IP Source Guard (защита от врезки в сеть и подмены злоумышленником IP адреса)

3. Radius Accounting (возможность учета абонентского трафика по протоколу Radius)

4. Поддержка туннелирования GRE через встроенный NAT (PPTP/GRE ALG)

Вики: http://vasexperts.ru/wiki/doku.php?id=dpi_update_70

VASEXPERTS.RU

Изменения в версиях СКАТ 7.1/7.2/7.3

Изменения в версии СКАТ 7.1:1. Улучшена обработка и детектирование фрагментированного трафика, в т.ч.

распознавание http/https2. Исправления в L3 BRAS и Radius CoA по результатам внедрений3. Исправление в движке БД для работы с bind_multi

Изменения в версии СКАТ 7.2:1. Добавлена поддержка NAT 1:12. Добавлена терминация PPPoE в L2 BRAS3. Исправления в работе BRAS по результатам внедрений

Изменения в версии СКАТ 7.3:1. Исправления в L2 BRAS по результатам внедрений2. Уменьшено потребление памяти при использовании NAT3. Исправления в работе CGNAT4. Добавлены настроечные параметры nat_exclude_private и nat_private_cidr5. Добавлен экспорт метаданных http ответа

http://vasexperts.ru/wiki/doku.php?id=dpi_update_70

VASEXPERTS.RU

Возможности BRAS на базе СКАТ DPI

Контроль доступа абонентов к сети Интернет

Применение политик тарифных планов

Взаимодействие с Radius сервером

Авторизация IPoE сессий на Radius

Назначение дополнительных тарифных опций

Перенаправление пользователей в Captive Portal

Работа на уровне L2 и L3

NAT трансляции – CGNAT, NAT 1:1

http://vasexperts.ru/wiki/doku.php?id=bras

VASEXPERTS.RU

СКАТ как L2/L3 BRAS в сети оператора

PCRF – это функциональный элемент в 3GPP сетях связи, который осуществляет решения поприменению политик обслуживания абонентов, например: разрешение/запрещение сервисовили установление параметров QoS (качества обслуживания). Также PCRF устанавливает правилатарификации в зависимости от различных условий, таких как: параметры абонентского профиля,время суток, местоположение абонента, объём потребленного трафика и других.

PCEF (Policy and Charging Enforcement Function) – функциональный элемент в 3GPP сетях связи,который осуществляет применение PCC-правил, полученных от PCRF, к проходящему через неготрафику.Материал взят с сайта http://sushkov.ru/articles/Article_pcrf.htm

Radius

L2-КоммутаторL3-Маршрутизатор

Клиенты

Internet

МаршрутизаторBRAS СКАТ (PCEF)

БиллингСКАТ PCRF

VASEXPERTS.RU

PCRF - Сервер управления политиками

Сервер fdpi_pcrf тесно интегрирован сfastdpi и состоит из трех частей:

• Модуль авторизации в fastdpi,анализирующий исходящий трафиклокальных клиентов; если клиент неавторизован, то модуль шлет TCP-запрос на сервер fdpi_pcrf;

• Сервер fdpi_pcrf, принимающийзапросы на авторизацию от fastdpi повнутреннему протоколу исоответствующим образом ихобрабатывающий;

• Управляющий модуль fastdpi,принимающий результаты работыfdpi_pcrf по протоколу fdpi_ctrl изапоминающий их в UDR (базеданных клиентов).

VASEXPERTS.RU

СКАТ как L3 BRAS в сети оператора

Преимущества BRAS с использованием технологии DPI:

1. Полноценный QoS на основании анализа протоколов и приложений (классические BRASEricsson, Cisco ASR, Juniper делают QoS только на основе ACL: IP+порт)

2. Поддержка мультипользователей (один Login множество IP). Распределение одноготарифного плана среди множества IP адресов

3. Поддержка белых списков при нулевом балансе, независимо от смены ресурсом IP адреса (наоснове имени хоста или url, включая варианты со звездочкой) (классические BRAS Ericsson,Cisco ASR, Juniper определяют ресурсы по IP)

L3-Connected BRAS взаимодействует с абонентами через промежуточные маршрутизаторы,поэтому он не видит оригинальных MAC-адресов, а абонентам уже назначены IP-адреса. ВыдачаIP адресов в этой схеме осуществляется или статически в сетевых настройках, или накоммутаторах доступа через DHCP Relay или на VPN-концентраторах.

Особенности L3 BRAS:

1. Технология IPoE (поддержка Vlan, Q-in-Q)2. Полноценная поддержка Radius с функцией CoA3. Поддержка опции 82 – привязка MAC к порту коммутатора4. Отсутствие информации о MAC адресе

VASEXPERTS.RU

Алгоритм настройки L3 BRAS

• Определить диапазон серых и белых IP

• Определить список FastPCRF-серверов

FastDPI

• Определить FastDPI-сервера

• Определить Radius-сервера

FastPCRF

• Определить атрибуты Access-Request-запросов

• Определить атрибуты Access-Accept

• Определить атрибуты Access-Reject

• Определить атрибуты Change of Authorization (реавторизация, изменение параметров)

Radius

• Активировать сбор NetFlow статистики в FastDPI

• Определить № порта в FastPCRF

• Определить Accounting Radius-атрибуты

Radius Accounting

http://vasexperts.ru/wiki/doku.php?id=bras_steps

VASEXPERTS.RU

СКАТ как L2 BRAS в сети оператораТак как BRAS L2 работает на канальном уровне, для идентификации абонентов он оперирует нетолько IP-адресами пользователей, но также их MAC-адресами и номерами VLAN/QinQ-сетей. Этопозволяет фильтровать неправомерные запросы, благодаря чему повышается уровеньбезопасности локальной сети.Особенности:1. Технология PPPoE - Поддерживаются протоколы авторизации PAP - не рекомендуется к

использованию, CHAP, MS-CHAPv22. Технология Q-in-Q/VLAN (есть возможность снимать метку либо производить замену)3. DHCP Relay Agent- мониторинг DHCP-запросов от клиентов, немедленная авторизация клиента

по Radius-протоколу в случае успешного ответа DHCP-сервера4. DHCP Radius Proxy - для построения сетей без выделенных DHCP-серверов. Вместо DHCP-

серверов используется Radius-сервер, а fastDPI в связке с fastPCRF выступает в роли DHCP-сервера

5. ARP Proxy - мониторинг ARP-запросов из локальной сети, блокирование ARP-запросов из WAN6. IP Source Guard (антиспуффинг) - проверка, что LAN-пакет принадлежит той же самой VLAN, из

которой была DHCP-регистрация. Если принадлежность не подтверждается, то пакетотбрасывается

7. Замыкание локального трафика - обмен внутрисетевым трафиком между абонентами8. Терминация трафика из LAN в WAN - FastDPI BRAS может терминировать исходящий трафик

LAN -> WAN и приземлять входящий WAN -> LAN. Терминация – это удаление VLAN-тегов изисходящего пакета, приземление (origination) – это добавление VLAN-тегов, соответствующих IP-адресу получателя

9. Наличие виртуальных шлюзов – шлюз по умолчанию из DHСP ответа10. Полноценная поддержка Radius с функцией CoA11. Поддержка опции 82 – привязка MAC к порту коммутатора (имеет смысл в Q-in-Q сетях)

VASEXPERTS.RU

Как внедрить BRAS1. Тестовый стенд

2. Отдельная автономная система

Авторизация проводится только по локальным IP-адресам - флаг local для автономной системы.Можно выделить диапазон тестовых IP-адресов, задать им номер автономной системы издиапазона зарезервированных для частных целей (64512..65534), и прописать, что эта автономнаясистема локальная (local).

Таким образом, только IP-адреса, принадлежащие этой локальной автономной системе будутавторизовываться. «Живые» абоненты не будут затрагиваться до тех пор, пока автономныесистемы, к которым относится их IP-адреса, не будут объявлены как local. Это позволяетотлаживать авторизацию на боевом fastDPI.

3. Тестовый IP-адрес

Объявить, что авторизацию нужно проводить только для указанных IP-адресов. Для этого вfastdpi.conf есть настройка auth_trace_ip, в которой можно задать один или два (но не более) IP-адреса:

auth_trace_ip=192.168.20.11,192.168.30.58Указанные IP-адреса должны быть локальными (то есть относится к автономной системе,объявленной как local, см. выше). В случае наличия настройки auth_trace_ip авторизация будетпроводится только для указанных в ней IP-адресов.

VASEXPERTS.RU

Особенности внедрения L2 BRAS

Для корректной работы L2 BRAS в DHCP (Relay and Proxy) сетях требуетсяинформация о• IP – MAC – VLAN (Q-in-Q)• Длительность сессии

Варианты1) Внедрение L3 BRAS на время тайм-аута аренды IP адреса на DHCP (до 1

недели)2) Провести реавторизацию всех пользователей

VASEXPERTS.RU

Планы развития CКАТ

Планы до конца 2017:• Полная поддержка IPv6 и Dual Stack (шейпинг, услуги, терминация, выдача

адресов)• Поддержка терминации PPPoE в L2 BRAS - реализовано в версии 7.2• Поддержка NAT 1:1 - реализовано в версии 7.2• Развитие GUI для управления политиками и услугами• Поддержка классификаторов сайтов (для маркетинговых компаний или детского

интернет)• Расширение списка метаданных для СОРМ

Среднесрочные планы 2017-18 г:• Развитие сервера политик (гибкие тарифы в зависимости от времени и загрузки

канала)• Развитие GUI и API• Детектирование TOR и новых протоколов• Разработка СОРМ-2 с кольцевым буфером• Дальнейшее развитие NAT (DNAT)• Улучшение защиты клиентов от внешних DDOS атак• Выявление и блокировка внутрисетевых участников SPAM и BOTNET сетей• Повышение эффективности кэширования• Новые VAS

VASEXPERTS.RU© 2017, VASEXPERTS.RU

Спасибо за внимание[email protected]+7 (812) 313 88 15

http://vasexperts.ru/