ISP Gateway

  • Komplexní řešení pro rozdělování konektivity a monitoring sítě
  • Logování provozu jednotlivých datových toků, analýza provozu a ochrana sítě před útoky
  • Založeno na QoS disciplíně HFSC, umožňuje hierarchické uspořádání služeb, bursty, priority, FUP, ochranu WiFi přípojných bodů před efektem zahlcení
  • Splňuje podmínky pro získání dotace na provoz Data Retention a zákona o Hazardních hrách při blokování nepovolených internetových her
  • Monitoring všech prvků sítě, historické grafy latencí a datových toků
  • Ovládání pomocí jednoduchého webového rozhraní a nebo možnost napojení na stávající CRM systém pomocí WAMP API

Základní moduly

popd

Řídí síťový provoz jednotlivých služeb ve víceúrovňové stromové struktuře (typicky linka->přípojný bod->klient) pomocí shapovací disciplíny HFSC a síťového jádra nftables. Lze nakonfigurovat tak, že přípojné body jsou chráněny před efektem zahlcení a zároveň zákazníci na nich připojení díky systému priorit a burstů dostávají spravedlivý díl kapacity přípojného bodu. Navíc lze u jednotlivých zákazníků zvolit, zda bude jejich připojení interně prioritizováno tak, aby se zabránilo tomu, že zákazník zahltí sám sebe.
Obsahuje firewall včetně automaticky či manuálně aktualizovaných blacklistů pro ochranu sítě.

popd-1-uvod

Datový tok a zatížení

popd-3-strom_sluzeb

Editace služby

Blacklist

Blacklist

popd-5-nat_1_1

NAT 1:1

Redirekty

Redirekty

Neznámé toky

Neznámé toky

popd-8-pakety

Statistika paketů

popd-11-system

Systém

flowd

Ukládá a analyzuje jednotlivé datové toky, detekuje různé druhy síťových útoků a ve spolupráci s popd se jim účinně brání. Splňuje veškeré zákonné požadavky dle vyhlášky č. 357/2012 Sb. o uchovávání, předávání a likvidaci provozních a lokalizačních údajů. Vzhledem k tomu, že jako zdroj dat používá přímo netfilter, se na rozdíl od jiných řešení jedná o jednoznačnou a prokazatelnou identifikaci datových toků. V databázi lze vyhledávat podle zdrojové veřejné i neveřejné IP adresy, dle cílové adresy, protokolu apod.

Vyhledávání toků

Vyhledávání toků

Detekované útoky

Detekované útoky

Blokované IP

Blokované IP

NMS ping

Monitoruje pomocí ICMP protokolu veškeré aktivní síťové prvky, získaná data ukládá neagregovaně do databáze, kde zůstávají definovanou dobu (typicky rok). Umožňuje zobrazovat latence v historických či realtime grafech a zároveň je automaticky analyzovat, detekovat problémové síťové prvky a na základě těchto detekcí vytvářet události.

nmsping-tydenni

Historická statistika

nmsping-aktualni

Aktuální statistika

 

IP accounting

Loguje datový provoz všech aktivních prvků sítě buď agregovaně do RRD databáze, nebo neagregovaně do relační databáze. Umožňuje zobrazit historické grafy datových toků z jednotlivých IP adres a to včetně případných prioritizačních skupin.

Denní statistika s prio třídami

Denní statistika s prio třídami

Licencování a implementace

ISP Gateway se dodává předinstalovaný na serveru dle požadované datové propustnosti. I když má integrované web rozhraní, přes které lze ovládat všechny funkce, tak pro rozumnou implementaci je vhodné ISP Gateway napojit na stávající CRM zákazníka. Napojení je realizováno pomocí API přes WAMP protokol, přičemž součástí web rozhraní je detailní popis tohoto API, jednoduchý demo zdrojový kód ukazující jak CRM napojit a další příklady.

Implementace probíhá ve dvou krocích

1. (volitelně) Zákazník dostane přes VPN přístup ke své testovací instanci ISP Gateway na našem hypervisoru, kde si může odladit ovládání přes API a otestovat potřebné funkce.

2. Dle potřeby od nás objedná servery s ISP Gateway, je třeba specifikovat na jakou propustnost a samozřejmě počet. Po dodání budeme
v rámci implementace nápomocni při konfiguraci a připojení k CRM a dalším systémům.

A kolik vás to bude stát?

ISP Gateway je nabízeno formou měsíčního pronájmu. Při dodání zákazník zaplatí cenu hardware plus 20 tisíc Kč za implementaci. Pak platí měsíční pronájem, který se skládá ze dvou složek (dále jsou uvedeny zaváděcí ceny pro rok 2018):

a) 2000 Kč měsíčně za základní podporu a aktualizace, jeden subjekt platí pouze jednou, i když má více serverů

b) za každý server se platí měsíční pronájem software dle verze, a to:

1 Gbps 2 000 Kč
2 Gbps 3 000 Kč
5 Gbps 4 000 Kč
10 Gbps (dostupné v Q3 2018) 5 000 Kč

Pokud si tedy zákazník objedná jeden 5 Gbps server, bude měsíční pronájem 2 000 + 4 000, tedy 6 000 Kč. Pokud si objedná jeden 2 Gbps a jeden 10 Gbps bude měsíční pronájem 2 000 + 3 000 + 5 000, tedy 10 000 Kč.

Důležité je si při objednání uvědomit, že se takové zařízení pořizuje minimálně na 3 roky, a tak když mám aktuální datový tok ve špičkách 4Gbps, nebudu si pořizovat 5 Gbps verzi, ale rovnou 10 Gbps. Pokud tedy nemám v plánu to v budoucnu rozdělit.

Jednorázová platba za hardware je opravdu cena serverového hardware (používáme servery Supermicro) s minimální marží za sestavení a zahoření. Orientační ceny hardware dle propustnosti se pohybují kolem:

1 Gbps 50 000 Kč
2 Gbps 60 000 Kč
5 Gbps 100 000 Kč
10 Gbps (dostupné v Q3 2018) 190 000 Kč

Veškeré ceny jsou uvedeny bez DPH.

Podrobná specifikace

  • Jednoduché web rozhraní nebo WAMP API s RPC a PUB/SUB pro připojení do existujících CRM
  • Hierarchické rozdělování konektivity včetně burstů, priorit sdílení, shapování per přípojný bod
  • Jednotlivé služby mohou mít buď vyhrazenou, nebo sdílenou konektivitu
  • Vnitřně může být služba nakonfigurována v režimu flat, nebo s interní prioritizací
  • Uživatelsky definovatelná prioritizační pravidla
  • NAT, NAT M:N, NAT 1:1
  • Podpora vícenásobných WAN a LAN rozhraní, bonding 802.3ad včetně L3+L4 hash, multiqueue
  • Konfigurovatelné různé druhy offload disciplín
  • Firewall, blacklisty, automatická aktualizace blacklistů
  • Affinita CPU per síťové rozhraní nebo per frontu v multiqueue, minimalizace jitteru a zabránění přeházení pořadí paketů v jednotlivých tocích
  • Definovatelná koncová work-conserving disciplína u každé služby, standardně FQ_CODEL
  • DHCP, static DHCP
  • OSPF a další protokoly pro dynamické routování, statické routování
  • DNS recursor s podporou DNSSEC
  • SNMP monitoring
  • Konfigurace IPMI přímo ze systému
  • Podmíněné přesměrování služby na stránky o nezaplacení, blokování, nevrácení smlouvy, zrušení služby apod.
  • Možnost propojit stránku o nezaplacení na platební bránu SMS, kde si dlužníci mohou na určitý počet dní internet za poplatek odblokovat, aby například mohli zaplatit dluh z internetového rozhraní banky
  • Ukládání všech datových toků po dobu půl roku a vyhledávání v nich (Data Retention)
  • Detekce různých druhů příchozích a odchozích útoků, obrana proti nim, alerty o útocích
  • Možnost limitování konexí
  • IP accounting (historické grafy provozu pro každou IP adresu všech prvků sítě)
  • NMS ping (historické a realtime grafy latencí pro každou IP adresu každého zákazníka), detekce problémů a alerty
  • Podpora napojení na SMTP servery, detekce a blokace spammerů, volitelné blokování portu 25
  • Detekce a logování provozu z neidentifikovaných vnitřních IP adres
  • Zobrazování aktuálního stavu pomocí PUB/SUB událostí
  • Systém udržování konzistence s externími CRM
  • Zálohování databáze