Описание решения
BRAS (Broadband Remote Access Server)/BNG (Broadband Network Gateway) – сервисный шлюз широкополосного удаленного доступа, один из ключевых компонентов СКАТ DPI. Обеспечивает гибкий контроль интернет-доступа с возможностью применять расширенный набор функций и использовать тарифные планы индивидуально по каждому абоненту.
BRAS на СКАТ DPI
Совмещение режимов: L2 BRAS и L3 BRAS
Поддерживает стек протоколов IPv4/IPv6
Поддерживает функцию RADIUS CoA, авторизацию IPoE, PPTP и PPPoE
Работает с «белыми списками» в соответствии с доменными именами, что снимает зависимость от изменения параметров IP-адресации
Минимизирует вероятность потери пакетов для высокоприоритетных приложений, обеспечивает функцию QoS в рамках тарифного плана
Поддерживает мультипользовательский режим – когда один логин связан с несколькими IP
Обеспечивает широкие возможности для маркетинговых активностей – сбор статистики, оценка восприятия качества предоставляемых сервисов (Quality of Experience)
Доступные режимы BRAS
Режим L3-Connected BRAS подразумевает доставку до СКАТ DPI пакетов с заданным IP-адресом. В рассматриваемой схеме IP-конфигурация выполняется вручную в настройках сети либо динамически с помощью frontend-сервера DHCP, агента ретрансляции DHCP Relay СКАТ DPI или RADIUS Proxy СКАТ DPI. L3-Connected BRAS взаимодействует с абонентами через промежуточные маршрутизаторы, что позволяет оставить вне зоны видимости оригинальные MAC-адреса.
Рассматриваемая схема популярна среди провайдеров широкополосного доступа, что объясняется легкостью построения распределённой сети и резервирования её узлов.
Преимущество BRAS на СКАТ DPI по сравнению с традиционными BRAS’ами:
- Приоритизация трафика по приложениям и автономным системам в рамках тарифного плана абонента.
- Поддержка абонентов с динамически выдаваемыми адресами.
- Переключение абонентов на веб-сайт авторизации Captive Portal в случае, если на счету закончились средства. Полагаясь на «белые списки», где прописаны URL-адреса внешних ресурсов, таких как банковские порталы для оплаты, абонент получает возможность пополнить баланс.
- Возможность снимать полноценный netflow со всей полосы, либо ограничить netflow только тарифицируемыми абонентами.
- Поддержка требований регулирующих и правоохранительных органов.
- Автоматическая загрузка и фильтрация по реестрам РКН и Минюста.
- Взаимодействие с СОРМ (работа в качестве съемника СОРМ-3).
- Поддержка списка «социально значимых сайтов».
В режиме L2-Connected BRAS до СКАТ DPI доходит трафик в туннеле VLAN/Q-in-Q/PPPoE. Клиент авторизуется и получает IP-адрес через MAC/VLAN /Q-in-Q/login PPPoE/option 82. Для абонента СКАТ DPI является виртуальным шлюзом, отвечающим на запросы ARP.
BRAS L2 для VLAN/QinQ-сетей выполняет следующие задачи:
- DHCP – отслеживание DHCP-запросов от пользователей, сразу после получения положительного ответа от DHCP-сервера, происходит авторизация согласно протоколу RADIUS.
- ARP proxy – отслеживание ARP-запросов во внутренней сети и блокировка запросов из внешних сетей.
- IP source guard – определение принадлежности LAN-пакетов соответствующей VLAN, в которой происходила DHCP-регистрация. При нарушения указанного условия, пакет удаляется.
- Замыкание внутреннего трафика.
- Терминация трафика из LAN в WAN, приземление ответного трафика из WAN в LAN.
Чтобы СКАТ DPI BRAS выполнял всё вышеперечисленное, нужно определить, когда начинается и заканчивается сессия клиента, используя IP-адреса юзеров, MAC-адреса и теги VLAN- и QinQ-сетей. Полагаясь на эти данные, СКАТ DPI BRAS выполняет фильтрацию нелегитимных запросов, существенно усиливая защищённость внутренней сети в целом.
Варианты использования
- СКАТ DPI BRAS L2 подходит для QinQ-сетей, позволяя однозначно идентифицировать пользователя без привязки к железу.
- СКАТ DPI BRAS L2 также подходит для обычной VLAN-сети (с одним VLAN-заголовком пакета), где номер VLAN идентифицирует не пользователя, а группу пользователей, например, подъезд дома или многоквартирный дом целиком, реализуя определенную защиту.
Интеграция с биллингами
Комплектации
| Опции | ENTRY | FLTR | BRAS | BASE | COMPLETE |
|---|---|---|---|---|---|
| Поддержка режима Bypass |
|
|
|
|
|
| Фильтрация по реестру запрещенных сайтов и черным спискам |
|
|
|
|
|
| Сбор статистики по протоколам и направлениям в формате IPFIX |
|
|
|
|
|
| Предфильтр для СОРМ-2 |
|
|
|
|
|
| Съемник данных с трафика для COPM-3 |
|
|
|
|
|
| Разметка и приоритизация трафика в зависимости прикладного протокола (QoS) |
|
|
|
|
|
| Полисинг внешних каналов доступа |
|
|
|
|
|
| Уведомление абонентов и маркетинговые кампании |
|
|
|
|
|
| Белый список и Captive Portal |
|
|
|
|
|
| Полисинг абонентского канала для IPv4 и IPv6 |
|
|
|
|
|
| BRAS L3 (IPoE), Dual Stack IPv4/IPv6, поддержка Radius c функцией CoA |
|
|
|
|
|
| BRAS L2 (PPPoE, DHCP), Dual Stack IPv4/IPv6 |
|
|
|
|
|
| CG-NAT - Трансляция сетевых адресов и выгрузка IPFIX |
|
|
|
|
|
| Мини Firewall для блокировки по адресам и портам |
|
|
|
|
|
| Блокировка и замена рекламы |
|
|
|
|
|
| Автозащита от DOS и DDOS атак |
|
|
|
|
|
| Сервис по встраиванию баннеров для WEB ресурсов |
|
|
|
|
|
| Категоризатор WEB ресурсов для черного и белого списков |
|
|
|
|
|
| Модуль QoE (Quality of Experience) версия Base |
|
|
|
|
|
| Модуль QoE (Quality of Experience) версия Standart (Отчет по категориям web ресурсов, пользовательские отчеты FullNetFlow и ClickStream для детализации по абоненту, установка триггеров и действий по событиям) |
|
|
|
|
|