|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (19)
просмотр истории страницы| В связи со скорым добавлением в реестр РКН IPv6-адресов мы реализовали поддержку разбора этих записей из реестра и фильтрацию IP адресов по всем протоколам. |
| Согласно памятке оператора связи мы реализовали поддержку разбора записей IPv6-адресов из реестра и фильтрацию IP адресов по всем протоколам. |
| h1. Требования к работе IPv6 фильтрации # Работающий протокол IPv6 в сети оператора связи: абоненты должны иметь возможность получить IPv6 адрес и успешно осуществлять соединения по этому протоколу. |
| # Подать зеркалированый IPv6-трафик на порт редуктора. Carbon Reductor DPI. |
| ## В случае L2 зеркала (с порта коммутатора) (вне зависимости от VLAN) ничего не требуется менять. Если L2-зеркало было настроено на Linux-маршрутизаторе с помощью утилиты tc - настроить IPv6 по аналогии не получится. |
| ## В случае L3 зеркала (на IP адрес редуктора) Carbon Reductor DPI) необходимо донастроить маршрутизатор для отправки и добавить IPv6 адрес на интерфейс для приёма зеркала. Мастер настройки сети сейчас это не поддерживает, необходимо редактировать конфигурацию интерфейса вручную. |
| # На редукторе Carbon Reductor DPI требуется настроить белый IPv6-адрес (не link-local вида FE80::/10) на интерфейсе, который отправляет Reject-ответы на запросы клиентов оператора связи к запрещённым ресурсам. |
| # Убедитесь что абоненты доступны для сервера Carbon Reductor DPI с помощью утилиты ping6. |
| # Включите опцию IPv6 в настройках Carbon Reductor DPI. |
| h2. Включить опцию IPv6 |
... |
| || Проблема || Решение || |
| | Ошибки в конфигурации сетевых интерфейсов. \\ | Внимательно смотреть на ошибки, возникающие при выполнении команды service network restart | |
| | IPv6 идёт мимо зеркала | Проверять настроенное зеркало трафика с помощью тестовой машины, curl и tcpdump. \\ |
| При обращении в техподдержку прикрепляйте схему сети и настройки зеркала трафика. | |
| | Трафик не попадает из mangle PREROUTING в \\ |
| filter FORWARD. | Скорее всего есть ошибки в настройках маршрутизации. Попробуйте выполнить \\ |
| ip \-6 route get $ip-адрес-тестовой-машины \\ |
| ip \-6 route get $ip-адрес-запрещённого-ресурса \\ |
| Если одна из этих команд выполняется с ошибкой - нужно её исправить. | |
| | Трафик всё ещё не попадает \\ |
| из mangle PREROUTING в filter FORWARD. \\ | Иногда после исправления проблем с маршрутизацией проблема сохраняется до тех пор, пока \\ |
| не будет перезапущен контейнер с редуктором с помощью команды /app/reductor/service restart \\ |
| Мы сейчас изучаем что именно приводит к такому эффекту. \\ | |
| h2. Советы от пользователей |
... |