h2. Введение
Установка Reductor DPI X состоит из двух этапов:
# Установка Carbon Platform
# Установка непосредственно Carbon Reductor DPI X
{info}
Важно: Для установки требуется минимум *500 Гб* свободного дискового пространства
{info}
В противном случае возникнет следующая ошибка.
!Снимоккрана.png|border=1,width=587,height=327!
h2. Создание загрузочной USB-Flash
h4. В Windows
Для записи USB Flash необходимо использовать [Win32 Disk Imager|https://sourceforge.net/projects/win32diskimager/] в Windows.
{info}
Другие программы модифицируют iso-образ, в виду чего установка продукта будет невозможна.
{info}
1. Скачиваем и открываем [Win32 Disk Imager|https://sourceforge.net/projects/win32diskimager/]
2. Выбираем образ для установки Carbon_Reductor_x64.iso с помощью иконки "папка".
!4.jpg|border=1!
3. Выбираем устройство для записи, в нашем случае это диск "D". И нажимаем на кнопку "Write".
!21.png|border=1!
По завершению результата создания загрузочной флешки будет выведено сообщение.
!3.jpg|border=1!
4. Устанавливаем флешку в сервер, в настройках BIOS выбираем загрузку с данной флешки.
h4. В Linux
1. Определить имя устройства, которое было присвоено системой вашей флешке. Для этого выполните команду:
{panel}
dmesg \| tail \| grep sd\*
{panel}
В результате получим:
{panel}
\[93944.663736\] scsi host10: usb-storage 2-1.2:1.0
\[93945.665172\] scsi 10:0:0:0: Direct-Access JetFlash Transcend 8GB 8.07 PQ: 0 ANSI: 4
\[93945.665840\] sd 10:0:0:0: Attached scsi generic sg2 type 0
\[93945.666968\] sd 10:0:0:0: [sdc] 15261696 512-byte logical blocks: (7.81 GB/7.28 GiB)
\[93945.670007\] sd 10:0:0:0: [sdc] Write Protect is off
\[93945.670013\] sd 10:0:0:0: [sdc] Mode Sense: 23 00 00 00
\[93945.671089\] sd 10:0:0:0: [sdc] Write cache: disabled, read cache: enabled, doesn't support DPO or FUA
\[93945.676223\] sdc: sdc1
\[93945.679833\] sd 10:0:0:0: [sdc] Attached SCSI removable disk
\[93945.872080\] FAT-fs (sdc1): Volume was not properly unmounted. Some data may be corrupt. Please run fsck.
{panel}
В нашем случае это /dev/sdc. Так как на диске имеется один раздел fat32 - необходимо его отмонтировать. Если флешка пуста, то можно пропустить этот шаг.
{panel}
umount /dev/sdc1
{panel}
2. Отформатировать USB-флешку в fat32.
{panel}
sudo mkfs.fat /dev/sdc \-I
{panel}
либо
{panel}
sudo mkfs.vfat /dev/sdc \-I
{panel}
3. Создать образ загрузочной флешки.
{panel}
sudo dd if=/home/carbon/Downloads/Carbon_Reductor_x64.iso of=/dev/sdc
{panel}
*\*ВАЖНО\! После окончания процесса копирования необходимо выполнить следующую команду, чтобы удостовериться, что все данные перенесены на диск*
{panel}
sync
{panel}
{include:CarbonBaseSystem:Установка Carbon PL5.2}
h2. Установка Carbon Reductor DPI X
h4. Шаг 1. Выбор устанавливаемого продукта
1. Перед стартом в BIOS/UEFI выбираем загрузку с жесткого диска
2. После этого на экране появится загрузчик с выбором установленной ОС:
!reductor_install.png|border=1,width=570,height=304!
3. После загрузки ОС будет предложено войти в систему под пользователем root
!reductor_install1.png|border=1,width=592,height=100!
4. Логинимся, после этого запустится мастер установки продуктов Carbon Soft, выбираем подходящие пункты (вводим цифру и нажимаем enter).
Выбираем Carbon Reductor
!Setup1.png|border=1!
5. Далее пойдет процесс скачивания и настройки контейнеров с приложениями.
Можно смело отойти минут на 10-20 (в зависимости от пропускной способности канала, доступного Carbon Reductor).
!14.png|border=1,width=595,height=321!
h4. Шаг 2. Регистрация
После того, как контейнеры будут скачаны, нужно будет зарегистрировать данный экземпляр Carbon Reductor, введя название компании, email и телефон.
!15.png|border=1,width=596,height=329!
h4. Шаг 3. Настройка выгрузок списков
!22.png|border=1,width=594,height=317!
h5. Используя авторизацию через логин/пароль(режим получения дельта-пакетов)
Используется для оперативного получения изменений по выгрузке запрещенных ресурсов. Возможен как базовый режим получения полной выгрузки при каждом изменении, так и получение дельта-пакетов.
В этом режиме периодически отслеживается появление новых дельта-пакетов, после чего производится обновление правил фильтрации трафика в соответствии с данными из каждого дельта-пакета. Таким образом, правила фильтрации будут поддерживаться в актуальном виде при выполнении небольшого количества обновлений.
Самый простой и удобный способ выгрузки запрещенных ресурсов.
h5. Генерация запроса и подписи на сервере
Вам нужно будет подложить подпись PFX на сервер в папку:
{panel}
/app/reductor/cfg/userinfo/p12.pfx
{panel}
После этого зайдите в консольное меню \-> Reductor \-> Настройки выгрузок единого реестра \-> Установка сертификата с USB-Token
Далее следуйте подсказкам, затем введите пароль сертификата для извлечения закрытого ключа.
h5. Использование готовых запроса и подписи
Если у вас уже есть заранее сгенерированные файлы запроса и подписи, то их можно подложить на сервер в соответствующие файлы:
{panel}
/app/reductor/var/lib/reductor/rkn/request.xml
/app/reductor/var/lib/reductor/rkn/request.xml.sign
{panel}
{color:#333333}Подготовленные по четвёртому пункту:{color}
[http://vigruzki.rkn.gov.ru/docs/description_for_operators_actual.pdf]
Далее нужно отключить подпись запроса:
В файле /app/reductor/cfg/config
Найдите строчку
{panel}
autoupdate\['skip_sign_request'\]='0'
{panel}
Установите в ней 1 вместо 0.
{panel}
autoupdate\['skip_sign_request'\]='1'
{panel}
И сохраните изменения.
Контроль за их работоспособностью остаётся вашей задачей.
h5. Выгрузка с собственного сервера
{color:#333333}Если вы используете свой сервер для скачивания реестра, с которого можно забрать файл с реестром (dump.xml) - вы можете забирать его по http, https или ftp, указав его URL.{color}
Не очень надёжная опция в контексте срочных выгрузок, так как при обнаружении устаревания за счёт обращения к серверу Роскомнадзора, список в итоге забирается не с сервера Роскомнадзора.
h4. Шаг 4. Настройка фильтрации
Вводим IP-адреса Ревизора или Сателлита
!setup2.png|border=1!
Мы рекомендуем:
# Провести [интеграцию с маршрутизатором по BGP|REDUCTOR9:Интеграция с маршрутизаторами (events.sh)] или иным способом для полной блокировки IP адресов.
# Проинтегрировать Carbon Reductor с используемыми абонентами [DNS серверами|CarbonReductor:Интеграция с DNS-сервером провайдера].
h4. Шаг 5. Настройка зеркала трафика
L2 зеркала - с коммутатора, L3 зеркала - с маршрутизатора. Доступные варианты:
# L2-зеркало, без VLAN-тегов
# L2-зеркало, весь трафик тегирован VLAN
# L2-зеркало, часть с VLAN, часть без
# L3-зеркало, прием на IP-адрес
# L3-зеркало с настройкой VLAN
При наличии большого числа VLAN (10+) и тем более QinQ, в зеркале рекомендуется их исключить на уровне отправки зеркала.
Для обработки зеркалируемого по L2 трафика сетевки, используемые для захвата трафика должны находиться внутри bridge, это всё генерируется мастером настройки сети и не должно Вас смущать.
В случае, если зеркало используется на L3, бриджи не нужны и должна автоматически включиться опция skipchecknetwork.
h4. Шаг 6. Настройка BGP Blackhole
!Setup3.png|border=1!
Для настройки интеграции с маршрутизатором рекомендуем воспользоваться [инструкцией|REDUCTOR9:IP фильтрация (BGP Remote Triggered Black Hole)]
h4. Шаг 7. Окончание установки
{color:#333333}После установки контейнеров и прохождения всех мастеров, откажитесь от автоматической перезагрузки и запустите:{color}
*Обновление CentOS 6 до последнего доступного релиза:*
{panel}
yum \-y update
{panel}
*Выполнить смену пароля пользователя root по* *[инструкции|http://docs.carbonsoft.ru/73728010]*
*Проверка, что всё настроено и работает отлично (не должно быть ни одного сбоя):*
{panel}
/etc/init.d/apps check
{panel}
*Контрольная перезагрузка:*
{panel}
reboot
{panel}
И затем снова (исправляя проблемы до тех пор, пока не будет ни одного сбоя).
{panel}
/etc/init.d/apps check
{panel}
Затем переходим к [настройке|CarbonReductor:Настройка].
Установка Reductor DPI X состоит из двух этапов:
# Установка Carbon Platform
# Установка непосредственно Carbon Reductor DPI X
{info}
Важно: Для установки требуется минимум *500 Гб* свободного дискового пространства
{info}
В противном случае возникнет следующая ошибка.
!Снимоккрана.png|border=1,width=587,height=327!
h2. Создание загрузочной USB-Flash
h4. В Windows
Для записи USB Flash необходимо использовать [Win32 Disk Imager|https://sourceforge.net/projects/win32diskimager/] в Windows.
{info}
Другие программы модифицируют iso-образ, в виду чего установка продукта будет невозможна.
{info}
1. Скачиваем и открываем [Win32 Disk Imager|https://sourceforge.net/projects/win32diskimager/]
2. Выбираем образ для установки Carbon_Reductor_x64.iso с помощью иконки "папка".
!4.jpg|border=1!
3. Выбираем устройство для записи, в нашем случае это диск "D". И нажимаем на кнопку "Write".
!21.png|border=1!
По завершению результата создания загрузочной флешки будет выведено сообщение.
!3.jpg|border=1!
4. Устанавливаем флешку в сервер, в настройках BIOS выбираем загрузку с данной флешки.
h4. В Linux
1. Определить имя устройства, которое было присвоено системой вашей флешке. Для этого выполните команду:
{panel}
dmesg \| tail \| grep sd\*
{panel}
В результате получим:
{panel}
\[93944.663736\] scsi host10: usb-storage 2-1.2:1.0
\[93945.665172\] scsi 10:0:0:0: Direct-Access JetFlash Transcend 8GB 8.07 PQ: 0 ANSI: 4
\[93945.665840\] sd 10:0:0:0: Attached scsi generic sg2 type 0
\[93945.666968\] sd 10:0:0:0: [sdc] 15261696 512-byte logical blocks: (7.81 GB/7.28 GiB)
\[93945.670007\] sd 10:0:0:0: [sdc] Write Protect is off
\[93945.670013\] sd 10:0:0:0: [sdc] Mode Sense: 23 00 00 00
\[93945.671089\] sd 10:0:0:0: [sdc] Write cache: disabled, read cache: enabled, doesn't support DPO or FUA
\[93945.676223\] sdc: sdc1
\[93945.679833\] sd 10:0:0:0: [sdc] Attached SCSI removable disk
\[93945.872080\] FAT-fs (sdc1): Volume was not properly unmounted. Some data may be corrupt. Please run fsck.
{panel}
В нашем случае это /dev/sdc. Так как на диске имеется один раздел fat32 - необходимо его отмонтировать. Если флешка пуста, то можно пропустить этот шаг.
{panel}
umount /dev/sdc1
{panel}
2. Отформатировать USB-флешку в fat32.
{panel}
sudo mkfs.fat /dev/sdc \-I
{panel}
либо
{panel}
sudo mkfs.vfat /dev/sdc \-I
{panel}
3. Создать образ загрузочной флешки.
{panel}
sudo dd if=/home/carbon/Downloads/Carbon_Reductor_x64.iso of=/dev/sdc
{panel}
*\*ВАЖНО\! После окончания процесса копирования необходимо выполнить следующую команду, чтобы удостовериться, что все данные перенесены на диск*
{panel}
sync
{panel}
{include:CarbonBaseSystem:Установка Carbon PL5.2}
h2. Установка Carbon Reductor DPI X
h4. Шаг 1. Выбор устанавливаемого продукта
1. Перед стартом в BIOS/UEFI выбираем загрузку с жесткого диска
2. После этого на экране появится загрузчик с выбором установленной ОС:
!reductor_install.png|border=1,width=570,height=304!
3. После загрузки ОС будет предложено войти в систему под пользователем root
!reductor_install1.png|border=1,width=592,height=100!
4. Логинимся, после этого запустится мастер установки продуктов Carbon Soft, выбираем подходящие пункты (вводим цифру и нажимаем enter).
Выбираем Carbon Reductor
!Setup1.png|border=1!
5. Далее пойдет процесс скачивания и настройки контейнеров с приложениями.
Можно смело отойти минут на 10-20 (в зависимости от пропускной способности канала, доступного Carbon Reductor).
!14.png|border=1,width=595,height=321!
h4. Шаг 2. Регистрация
После того, как контейнеры будут скачаны, нужно будет зарегистрировать данный экземпляр Carbon Reductor, введя название компании, email и телефон.
!15.png|border=1,width=596,height=329!
h4. Шаг 3. Настройка выгрузок списков
!22.png|border=1,width=594,height=317!
h5. Используя авторизацию через логин/пароль(режим получения дельта-пакетов)
Используется для оперативного получения изменений по выгрузке запрещенных ресурсов. Возможен как базовый режим получения полной выгрузки при каждом изменении, так и получение дельта-пакетов.
В этом режиме периодически отслеживается появление новых дельта-пакетов, после чего производится обновление правил фильтрации трафика в соответствии с данными из каждого дельта-пакета. Таким образом, правила фильтрации будут поддерживаться в актуальном виде при выполнении небольшого количества обновлений.
Самый простой и удобный способ выгрузки запрещенных ресурсов.
h5. Генерация запроса и подписи на сервере
Вам нужно будет подложить подпись PFX на сервер в папку:
{panel}
/app/reductor/cfg/userinfo/p12.pfx
{panel}
После этого зайдите в консольное меню \-> Reductor \-> Настройки выгрузок единого реестра \-> Установка сертификата с USB-Token
Далее следуйте подсказкам, затем введите пароль сертификата для извлечения закрытого ключа.
h5. Использование готовых запроса и подписи
Если у вас уже есть заранее сгенерированные файлы запроса и подписи, то их можно подложить на сервер в соответствующие файлы:
{panel}
/app/reductor/var/lib/reductor/rkn/request.xml
/app/reductor/var/lib/reductor/rkn/request.xml.sign
{panel}
{color:#333333}Подготовленные по четвёртому пункту:{color}
[http://vigruzki.rkn.gov.ru/docs/description_for_operators_actual.pdf]
Далее нужно отключить подпись запроса:
В файле /app/reductor/cfg/config
Найдите строчку
{panel}
autoupdate\['skip_sign_request'\]='0'
{panel}
Установите в ней 1 вместо 0.
{panel}
autoupdate\['skip_sign_request'\]='1'
{panel}
И сохраните изменения.
Контроль за их работоспособностью остаётся вашей задачей.
h5. Выгрузка с собственного сервера
{color:#333333}Если вы используете свой сервер для скачивания реестра, с которого можно забрать файл с реестром (dump.xml) - вы можете забирать его по http, https или ftp, указав его URL.{color}
Не очень надёжная опция в контексте срочных выгрузок, так как при обнаружении устаревания за счёт обращения к серверу Роскомнадзора, список в итоге забирается не с сервера Роскомнадзора.
h4. Шаг 4. Настройка фильтрации
Вводим IP-адреса Ревизора или Сателлита
!setup2.png|border=1!
Мы рекомендуем:
# Провести [интеграцию с маршрутизатором по BGP|REDUCTOR9:Интеграция с маршрутизаторами (events.sh)] или иным способом для полной блокировки IP адресов.
# Проинтегрировать Carbon Reductor с используемыми абонентами [DNS серверами|CarbonReductor:Интеграция с DNS-сервером провайдера].
h4. Шаг 5. Настройка зеркала трафика
L2 зеркала - с коммутатора, L3 зеркала - с маршрутизатора. Доступные варианты:
# L2-зеркало, без VLAN-тегов
# L2-зеркало, весь трафик тегирован VLAN
# L2-зеркало, часть с VLAN, часть без
# L3-зеркало, прием на IP-адрес
# L3-зеркало с настройкой VLAN
При наличии большого числа VLAN (10+) и тем более QinQ, в зеркале рекомендуется их исключить на уровне отправки зеркала.
Для обработки зеркалируемого по L2 трафика сетевки, используемые для захвата трафика должны находиться внутри bridge, это всё генерируется мастером настройки сети и не должно Вас смущать.
В случае, если зеркало используется на L3, бриджи не нужны и должна автоматически включиться опция skipchecknetwork.
h4. Шаг 6. Настройка BGP Blackhole
!Setup3.png|border=1!
Для настройки интеграции с маршрутизатором рекомендуем воспользоваться [инструкцией|REDUCTOR9:IP фильтрация (BGP Remote Triggered Black Hole)]
h4. Шаг 7. Окончание установки
{color:#333333}После установки контейнеров и прохождения всех мастеров, откажитесь от автоматической перезагрузки и запустите:{color}
*Обновление CentOS 6 до последнего доступного релиза:*
{panel}
yum \-y update
{panel}
*Выполнить смену пароля пользователя root по* *[инструкции|http://docs.carbonsoft.ru/73728010]*
*Проверка, что всё настроено и работает отлично (не должно быть ни одного сбоя):*
{panel}
/etc/init.d/apps check
{panel}
*Контрольная перезагрузка:*
{panel}
reboot
{panel}
И затем снова (исправляя проблемы до тех пор, пока не будет ни одного сбоя).
{panel}
/etc/init.d/apps check
{panel}
Затем переходим к [настройке|CarbonReductor:Настройка].