BRAS

Режим L3-Connected BRAS подразумевает доставку до СКАТ DPI пакетов с заданным IP-адресом. В рассматриваемой схеме IP-конфигурация выполняется вручную в настройках сети либо динамически с помощью frontend-сервера DHCP, агента ретрансляции DHCP Relay СКАТ DPI или RADIUS Proxy СКАТ DPI. L3-Connected BRAS взаимодействует с абонентами через промежуточные маршрутизаторы, что позволяет оставить вне зоны видимости оригинальные MAC-адреса.

Рассматриваемая схема популярна среди провайдеров широкополосного доступа, что объясняется легкостью построения распределённой сети и резервирования её узлов.

Преимущество BRAS на СКАТ DPI по сравнению с традиционными BRAS’ами:

• Независимый контроль и приоритизация трафика по приложениям и автономным системам в полосе каждого из аплинков, ограничение торрентов при нехватке полосы – приближении к ее верхней границе.
• Приоритизация трафика по приложениям и автономным системам в рамках тарифного плана абонента. Эта функциональность особенно актуальна для корпоративных клиентов, когда в формате единого тарифного плана работает много пользователей, нередко мешая друг другу.
• Поддержка абонентов с неограниченным количеством IP-адресов, в том числе выдаваемых динамически.
• Переключение абонентов на веб-сайт авторизации Captive Portal в случае, если на счету закончились средства. Полагаясь на «белые списки», где прописаны URL-адреса внешних ресурсов, таких как банковские порталы для оплаты, абонент получает возможность пополнить баланс. В рассматриваемой схеме отсутствует зависимость от смены ресурсом IP-адреса.
• Возможность снимать полноценный netflow со всей полосы, либо ограничить netflow только тарифицируемыми абонентами.
• Поддержка требований регулирующих и правоохранительных органов.
  • Автоматическая загрузка и фильтрация по реестрам РКН и Минюста.
  • Взаимодействие с СОРМ (работа в качестве съемника СОРМ-3).

В режиме L2-Connected BRAS до СКАТ DPI доходит трафик в туннеле VLAN/Q-in-Q/PPPoE. Клиент авторизуется и получает IP-адрес через MAC/VLAN /Q-in-Q/login PPPoE/option 82. Для абонента СКАТ DPI является виртуальным шлюзом, отвечающим на запросы ARP.

BRAS L2 для VLAN/QinQ-сетей выполняет следующие задачи:

• DHCP – отслеживание DHCP-запросов от пользователей, сразу после получения положительного ответа от DHCP-сервера, происходит авторизация согласно протоколу RADIUS.
• ARP proxy – отслеживание ARP-запросов во внутренней сети и блокировка запросов из внешних сетей.
• IP source guard – определение принадлежности LAN-пакетов соответствующей VLAN, в которой происходила DHCP-регистрация. При нарушения указанного условия, пакет удаляется.
• Замыкание внутреннего трафика.
• Терминация трафика из LAN в WAN, приземление ответного трафика из WAN в LAN.

Чтобы СКАТ DPI BRAS выполнял всё вышеперечисленное, нужно определить, когда начинается и заканчивается сессия клиента, используя IP-адреса юзеров, MAC-адреса и теги VLAN- и QinQ-сетей. Полагаясь на эти данные, СКАТ DPI BRAS выполняет фильтрацию нелегитимных запросов, существенно усиливая защищённость внутренней сети в целом.

Варианты использования

• СКАТ DPI BRAS L2 подходит для QinQ-сетей, позволяя однозначно идентифицировать пользователя без привязки к железу.
• СКАТ DPI BRAS L2 также подходит для обычной VLAN-сети (с одним VLAN-заголовком пакета), где номер VLAN идентифицирует не пользователя, а группу пользователей, например, подъезд дома или многоквартирный дом целиком, реализуя определенную защиту.