/ Flickr / alexxx malev / cc
NATおよびIPFIXの進化
製品の新バージョンでは、「ホワイト」アドレスと「グレー」アドレスの両方を使用してユーザーのNATに接続する機能が追加されました。 これを行うには、1回のログインで複数のIPアドレスが結合され、その後、ポリシーがそれに割り当てられ、サービスが接続されます。 この機能は、事業者から住所ブロックを購入する企業クライアントに便利です。
アドレスを1つのログインに結合するコマンドの例を次に示します。
fdpi_ctrl load –bind_multi –user _: ip___
同時に、CG-NAT機能には回路にバックアップデバイスを含める必要があることに注意してください。 これは、SCATシステムを「ギャップに」インストールするときにバイパスカードが役に立たないため、プラットフォームの障害によりアドレスの発行が停止するためです。 したがって、推奨される配線図は次のようになります。
CGNAT機能を備えたSCATインストール図(出典:webinar)
IPFIXプロトコルに関しては、SCATから内部サーバーストレージと外部アグリゲーターの両方に分析データを転送できます。 IPFIXは、新しい形で2つの新しい機能を受け取りました。 1つ目は、リソースロックフラグのエクスポートです。たとえば、リソースがブラックリストに登録されたことが判明した場合、対応する値がLOCKEDフィールドに表示されます。 2つ目は、HTTPSおよびQUICのホスト名エクスポートです。
IPFIX開発(出典: Webinar )
DPIプラットフォームからの情報を分析する最も一般的な方法の1つは、nfcapdコレクターデーモン、nfdumpダンプ、およびnfdumpデータのグラフィカルインターフェイスであるNfSenビジュアライザーの組み合わせです。 IPFIX形式で情報を収集するには、パターンまたはIPFIX Receiverユーティリティを理解するすべてのユニバーサルIPFIXコレクターが行います。 少なくとも1日前にデータを収集した後、NfSenはプロトコル、トラフィック量などを使用してグラフを作成します。
グラフに加えて、NfSenを使用して、プロトコルと指示に従って任意の期間のレポートを作成できます。 同時に、DPIソリューションが展開されているサーバーにビジュアライザーをインストールすることはお勧めできません。レポートの準備はCPUに大きな負荷をかけるため、DPIプラットフォームのパフォーマンスに悪影響を与える可能性があります。
L3 BRASとして機能する機能セット
BRASサービスゲートウェイは、SCATトラフィックの監視および分析システムの新機能です。 一部では、その機能はSCAT 5.0で導入されました。 新しいバージョンでは、RADIUSにIPoEセッションの承認が導入されました。これにより、インターネットへの加入者へのアクセスを制御する分野での通信事業者の機能の範囲が拡張され、追加の料金オプション(L3操作とIPまたはQ-in-Qタグによるクライアント識別)で作業する場合に拡張されました。
BRAS機能を備えたSKATは、オペレータのネットワークに「ギャップ内」で実装されますが、SKAT PCRF、RADIUSサーバー、および請求サーバーの追加コンポーネントを使用します。 弊社の資料のいずれかでL3 BRAS機能を構成する方法については、 こちらをご覧ください 。
SKAT L3 BRASをオペレーターのネットワークに配置します(出典: webinar )
BRAS機能を備えたSKATシステムにはいくつかのアプリケーションがありますが、その中でユーザーが支払いシステムページに移動してアカウントを補充し、総チャネル帯域幅(料金プラン、QoS)を管理し、加入者を識別することができるように、ゼロバランスで加入者アクセス制御を強調する価値がありますWi-Fiネットワーク(電話番号など)。
最後の点に関しては、ユーザー識別に関する作業は、通信事業者の機器で行われます。 これを行うには、オペレーターは、デバイス(スイッチ、ルーターなど)の標準セット、DPIシステム、サブスクライバーへのアドレスの発行を整理するためのDHCPサーバー、Apache Webサーバーを備えたVM、およびブロードキャストログを記録するNATを持っている必要があります。
パブリックアクセスポイントを介したインターネットアクセス
システムは次のように機能します。 加入者のデバイスはWi-Fiルーターに接続され、Wi-FiルーターはDHCPサーバーから新しいIPを「要求」します。 後者は、データをルーターに転送し、シェルスクリプトを呼び出します。シェルスクリプトは、SCAT DPIのアクセス制限で関税を有効化します。
さらに、ユーザーが目的のURLを入力すると、Webサーバーは識別ページへの要求を受信し、ユーザーは電話番号を入力してから、アクセスコードの要求を送信します。 サーバーは番号のランダムなシーケンスを生成し、SMSを介してユーザーに送信します。 コードが確認されると、新しいシェルスクリプトはWi-Fiアクセスレートを設定し、要求されたURLにクライアントをリダイレクトします。
上記のスキームを実装するには、オペレーターの機器(DPIシステム、DHCPサーバー、Webサーバー)を構成する必要があります。 セットアップ手順は、当社の資料のいずれかに記載されています 。
PCRFポリシー管理サーバーのサポート
PCRFサーバーは、別のデバイスに常駐して複数のPCEFを管理するか、SCAT DPIシステムの一部にすることができます 。 fdpi_pcrfサービスは、fastdpiに対してBRASの役割を果たします。発信クライアントトラフィックに対して、fdpi_pcrfは、RADIUSサーバー、料金プランプロファイル、および提供されるサービスのリストに許可を要求します。 システムのフォールトトレランスを確保するために、マスタースレーブ冗長性スキームを実装することができます。
ポリシー管理サーバーの操作(ソース: webinar )
fdpi_pcrfサーバー自体はfastdpiと統合されており、3つのコンポーネントがあります。 1つはfastdpiの認証モジュールで、ローカルクライアントからの発信トラフィックを分析します。 クライアント認証がない場合、モジュールはfdpi_pcrfにTCP要求を送信します。 2番目はfdpi_pcrfサーバーで、内部プロトコルを介してfastdpiから承認要求を受け取り、処理します。 さて、3番目はfastdpi制御モジュールで、fdpi_ctrlプロトコルを使用してfdpi_pcrfの結果を受け取り、クライアントデータベースに書き込みます。
SKAT DPI 6.0 Sevastopolの詳細については、上記のプレゼンテーションをご覧ください。 ビデオの一部はQ&Aセクション専用です。オンラインウェビナーの参加者から質問が寄せられました。
PSブログのその他の資料: