Məni bu posta vadar etdi .
Burada sitat gətirirəm:
bu gün saat 18:53
Bu gün provayderdən razı qaldım. Sayt bloklama sisteminin yenilənməsi ilə yanaşı onun mail.ru poçtuna da qadağa qoyulub.Səhərdən texniki dəstəyə zəng edirəm, amma heç nə edə bilmirlər. Provayder kiçikdir və görünür, daha yüksək səviyyəli provayderlər onu bloklayır. Mən də bütün saytların açılışında ləngimə müşahidə etdim, bəlkə bir növ əyri DLP quraşdırıblar? Əvvəllər girişlə bağlı heç bir problem yox idi. RuNet-in məhvi gözlərim önündə baş verir...
Fakt budur ki, deyəsən biz eyni provayderik :)
Və həqiqətən Mən mail.ru ilə bağlı problemlərin səbəbini az qala təxmin etdim (baxmayaraq ki, biz uzun müddət belə bir şeyə inanmaqdan imtina etmişik).
Aşağıdakılar iki hissəyə bölünəcək:
- mail.ru ilə mövcud problemlərimizin səbəbləri və onları tapmaq üçün maraqlı axtarış
- bugünkü reallıqlarda ISP-nin mövcudluğu, suveren RuNet-in sabitliyi.
mail.ru ilə əlçatanlıq problemləri
Oh, bu olduqca uzun hekayədir.
Fakt budur ki, dövlətin tələblərini həyata keçirmək üçün (ikinci hissədə daha ətraflı) biz bəzi avadanlıq aldıq, konfiqurasiya etdik və quraşdırdıq - həm qadağan olunmuş resursları filtrləmək, həm də həyata keçirmək üçün. abunəçilər.
Bir müddət əvvəl biz nəhayət şəbəkə nüvəsini elə yenidən qurduq ki, bütün abunəçi trafiki bu avadanlıqdan ciddi şəkildə düzgün istiqamətdə keçsin.
Bir neçə gün əvvəl biz onun üzərində qadağan olunmuş filtrləməni işə saldıq (köhnə sistemi işləyərkən) - hər şey yaxşı getdi.
Sonra, tədricən abunəçilərin müxtəlif hissələri üçün bu avadanlıqda NAT-ı işə salmağa başladılar. Görünüşündən də hər şey yaxşı gedirdi.
Ancaq bu gün abunəçilərin növbəti hissəsi üçün avadanlıqda NAT-ı işə saldıqdan sonra səhərdən əlçatmazlıq və ya qismən əlçatanlıq ilə bağlı layiqli sayda şikayətlərlə qarşılaşdıq. və digər Mail Ru Group resursları.
Yoxlamağa başladılar: haradasa nəsə bəzən, ara-sıra göndərir yalnız mail.ru şəbəkələrinə edilən sorğulara cavab olaraq. Üstəlik, səhv yaradılmış (ACK olmadan), açıq-aydın süni TCP RST göndərir. Bu kimi bir şey görünürdü:
Təbii ki, ilk fikirlər yeni avadanlıq haqqında idi: dəhşətli DPI, ona inam yoxdur, onun nə edə biləcəyini heç vaxt bilmirsən - axı TCP RST bloklama alətləri arasında kifayət qədər ümumi bir şeydir.
Fərziyyə Biz də fikir irəli sürdük ki, “üstün” kimsə süzgəcdən keçir, amma dərhal onu atdıq.
Birincisi, bizim kifayət qədər ağlı başında olan yuxarı bağlantılarımız var ki, belə əziyyət çəkməyək :)
İkincisi, biz bir neçə ilə bağlıyıq Moskvada və mail.ru-ya trafik onlardan keçir - və onların trafiki filtrləmək üçün nə məsuliyyətləri, nə də başqa motivləri var.
Günün növbəti yarısı adətən şamanizm adlanan şeyə sərf olundu - avadanlıq satıcısı ilə birlikdə onlara təşəkkür edirik, imtina etmədilər :)
- filtrləmə tamamilə söndürüldü
- NAT yeni sxemdən istifadə edərək deaktiv edildi
- sınaq kompüteri ayrıca təcrid olunmuş hovuza yerləşdirildi
- IP ünvanı dəyişdirildi
Günün ikinci yarısında adi istifadəçinin sxeminə uyğun olaraq şəbəkəyə qoşulan virtual maşın ayrılıb və satıcının nümayəndələrinə ona və avadanlıqlara giriş verilib. Şamanizm davam etdi :)
Sonda satıcının nümayəndəsi əminliklə bildirdi ki, aparatla heç bir əlaqəsi yoxdur: birincilər daha yüksək yerdən gəlir.
QeydBu anda kimsə deyə bilər: amma test PC-dən deyil, DPI-nin üstündəki magistral yoldan bir zibil götürmək daha asan idi?
Xeyr, təəssüf ki, 40+gbps zibil götürmək (və hətta sadəcə yansıtma) heç də əhəmiyyətsiz deyil.
Bundan sonra, axşam, yuxarıda bir yerdə qəribə filtrasiya fərziyyəsinə qayıtmaqdan başqa bir şey qalmadı.
MRG şəbəkələrinə gedən trafikin indi hansı IX-dan keçdiyinə baxdım və sadəcə ona bgp seanslarını ləğv etdim. Və - bax və bax! - hər şey dərhal normala döndü 🙁
Bir tərəfdən, beş dəqiqə ərzində həll olunsa da, bütün günün problemi axtarmağa sərf edilməsi ayıbdır.
Digər tərəfdən:
- mənim yaddaşımda bu, görünməmiş bir şeydir. Artıq yuxarıda yazdığım kimi - IX həqiqətən tranzit trafikini süzgəcdən keçirməyin mənası yoxdur. Onların adətən saniyədə yüzlərlə gigabit/terabit var. Son vaxtlara qədər belə bir şeyi ciddi şəkildə təsəvvür edə bilməzdim.
— vəziyyətlərin inanılmaz dərəcədə uğurlu təsadüfü: xüsusilə etibar olunmayan və ondan nə gözlənildiyi bəlli olmayan yeni mürəkkəb aparat — TCP RST-lər də daxil olmaqla resursların bloklanması üçün xüsusi hazırlanmışdır.
Bu internet mübadiləsinin MOK hazırda problem axtarır. Onların fikrincə (və mən onlara inanıram), onların xüsusi yerləşdirilmiş filtrasiya sistemi yoxdur. Ancaq şükürlər olsun ki, sonrakı axtarışlar artıq bizim problemimiz deyil :)
Bu özümə haqq qazandırmaq üçün kiçik bir cəhd idi, xahiş edirəm anlayın və bağışlayın :)
P.S: DPI/NAT və ya IX istehsalçısının adını bilərəkdən çəkmirəm (əslində bunlarla bağlı heç bir xüsusi şikayətim belə yoxdur, əsas odur ki, bunun nə olduğunu başa düşək)
İnternet provayderi nöqteyi-nəzərindən bu günün (eləcə də dünənki və srağagün) reallığı
Mən son həftələri canlı istifadəçi trafikinə əhəmiyyətli dərəcədə təsir etmək riski ilə "mənfəət üçün" bir sıra manipulyasiyalar edərək, şəbəkənin əsas hissəsini əhəmiyyətli dərəcədə yenidən qurmağa sərf etdim. Bütün bunların məqsədlərini, nəticələrini və nəticələrini nəzərə alsaq, mənəvi cəhətdən hər şey olduqca çətindir. Xüsusilə - bir daha Runetin sabitliyini, suverenliyini qorumaq haqqında gözəl çıxışları dinləmək və s. və s.
Bu bölmədə mən son on il ərzində tipik bir ISP-nin şəbəkə nüvəsinin “təkamülünü” təsvir etməyə çalışacağam.
On il bundan qabaq.
O mübarək dövrlərdə provayder şəbəkəsinin əsası tıxac kimi sadə və etibarlı ola bilərdi:
Bu çox, çox sadələşdirilmiş şəkildə, heç bir magistral, üzük, ip/mpls marşrutu yoxdur.
Onun mahiyyəti ondan ibarətdir ki, istifadəçi trafiki son nəticədə nüvə səviyyəsinə keçidə - getdiyi yerdən gəldi. , haradan, bir qayda olaraq, əsas keçidə qayıdın və sonra "çıxdı" - İnternetə bir və ya bir neçə sərhəd qapısı vasitəsilə.
Belə bir sxem həm L3-də (dinamik marşrutlaşdırma), həm də L2-də (MPLS) rezerv etmək çox, çox asandır.
Siz hər hansı bir şeydən N+1 quraşdıra bilərsiniz: giriş serverləri, açarları, sərhədləri - və bu və ya digər şəkildə onları avtomatik əvəzləmə üçün ehtiyatda saxlayın.
Bir neçə ildən sonra Rusiyada hər kəsə aydın oldu ki, daha belə yaşamaq mümkün deyil: uşaqları internetin zərərli təsirindən qorumaq təcili idi.
İstifadəçi trafikini süzgəcdən keçirməyin yollarını tapmaq üçün təcili ehtiyac var idi.
Burada müxtəlif yanaşmalar var.
Çox yaxşı olmayan bir vəziyyətdə, bir şey "boşluğa" qoyulur: istifadəçi trafiki və İnternet arasında. Bu “bir şeydən” keçən trafik təhlil edilir və məsələn, abunəçiyə yönləndirmə ilə saxta paket göndərilir.
Bir az daha yaxşı vəziyyətdə - əgər trafik həcmi imkan verirsə - qulaqlarınızla kiçik bir hiylə edə bilərsiniz: filtrləmə üçün yalnız istifadəçilərdən gələn trafiki yalnız süzülməsi lazım olan ünvanlara göndərin (bunun üçün ya IP ünvanlarını götürə bilərsiniz. orada reyestrdən qeyd edin və ya əlavə olaraq reyestrdə mövcud olan domenləri həll edin).
Bir vaxtlar bu məqsədlər üçün sadə bir yazı yazdım - baxmayaraq ki, mən onu belə çağırmağa belə cəsarət etmirəm. Bu, çox sadədir və çox məhsuldar deyil - bununla belə, bu, bizə və onlarla (yüzlərlə olmasa da) digər provayderlərə sənaye DPI sistemlərində dərhal milyonlarla pul çıxarmamağa imkan verdi, lakin əlavə bir neçə il vaxt verdi.
Yeri gəlmişkən, o vaxtkı və indiki DPI haqqındaYeri gəlmişkən, o dövrdə bazarda mövcud olan DPI sistemlərini satın alanların çoxu onları artıq atmışdı. Yaxşı, onlar bunun üçün nəzərdə tutulmayıb: yüz minlərlə ünvan, on minlərlə URL.
Və eyni zamanda yerli istehsalçılar bu bazara çox güclü yüksəliblər. Mən aparat komponentindən danışmıram - burada hər şey hər kəsə aydındır, amma proqram təminatı - DPI-nin əsas xüsusiyyəti - bəlkə də bu gün, dünyada ən qabaqcıl deyilsə, şübhəsiz ki, a) sıçrayışlarla inkişaf edir, və b) qutulu məhsulun qiymətinə - xarici rəqiblərlə sadəcə müqayisə oluna bilməz.
Fəxr etmək istərdim, amma bir az kədərləndim =)
İndi hər şey belə görünürdü:
Daha bir neçə ildən sonra hər kəsin artıq auditorları var idi; Reyestrdə getdikcə daha çox resurs var idi. Bəzi köhnə avadanlıqlar üçün (məsələn, Cisco 7600) "yan filtrləmə" sxemi sadəcə tətbiq olunmur: 76 platformada marşrutların sayı doqquz yüz minlə məhdudlaşır, halbuki bu gün təkcə IPv4 marşrutlarının sayı 800-ə yaxınlaşır. min. Və əgər o da ipv6... Və həmçinin... nə qədərdir? RKN qadağasında 900000 fərdi ünvan? =)
Kimsə bütün axını təhlil etməli və pis bir şey aşkar edilərsə, RST-ni hər iki istiqamətə (göndərən və alıcı) göndərməli olan filtrləmə serverinə bütün magistral trafikin əks olunması ilə bir sxemə keçdi.
Bununla belə, trafik nə qədər çox olarsa, bu sxem bir o qədər az tətbiq olunur. Emalda ən kiçik bir gecikmə olarsa, güzgülənmiş trafik sadəcə gözədəyməz uçacaq və provayder gözəl bir hesabat alacaq.
Getdikcə daha çox provayder magistral yollarda müxtəlif dərəcədə etibarlılığa malik DPI sistemlərini quraşdırmağa məcbur olur.
Bir-iki il əvvəl şayiələrə görə, demək olar ki, bütün FSB avadanlıqların faktiki quraşdırılmasını tələb etməyə başladı (əvvəllər əksər provayderlər səlahiyyətlilərin razılığı ilə idarə edirdilər SORM planı - haradasa bir şey tapmaq lazım olduqda əməliyyat tədbirləri planı)
Puldan əlavə (tam olaraq hədsiz deyil, lakin hələ də milyonlarla), SORM şəbəkə ilə daha çox manipulyasiya tələb etdi.
- SORM nat tərcüməsindən əvvəl “boz” istifadəçi ünvanlarını görməlidir
- SORM məhdud sayda şəbəkə interfeysinə malikdir
Buna görə də, xüsusən də nüvənin bir hissəsini yenidən qurmalı olduq - sadəcə olaraq bir yerdə giriş serverlərinə istifadəçi trafikini toplamaq üçün. Onu bir neçə keçidlə SORM-də əks etdirmək üçün.
Yəni, çox sadələşdirilmiş, (solda) vs oldu (sağda):
Indi Əksər provayderlər həmçinin SORM-3-ün tətbiqini tələb edirlər - bu, digər şeylərlə yanaşı, nat yayımlarının qeydiyyatını da əhatə edir.
Bu məqsədlər üçün yuxarıdakı diaqrama NAT üçün ayrıca avadanlıq əlavə etməli olduq (dəqiq birinci hissədə nə müzakirə olunur). Üstəlik, müəyyən bir ardıcıllıqla əlavə edin: SORM ünvanları tərcümə etməzdən əvvəl trafiki “görməli” olduğundan, trafik ciddi şəkildə aşağıdakı kimi getməlidir: istifadəçilər -> keçid, kernel -> giriş serverləri -> SORM -> NAT -> keçid, kernel - > İnternet. Bunun üçün biz qazanc üçün nəqliyyat axınını sözün əsl mənasında başqa istiqamətə “çevirməli” olduq, bu da olduqca çətin idi.
Xülasə: son on il ərzində orta provayderin əsas dizaynı dəfələrlə mürəkkəbləşdi və əlavə uğursuzluq nöqtələri (həm avadanlıq şəklində, həm də tək keçid xətləri şəklində) əhəmiyyətli dərəcədə artdı. Əslində, “hər şeyi görmək” tələbinin özü bu “hər şeyi” bir nöqtəyə endirməyi nəzərdə tutur.
Düşünürəm ki, bu, Runet-i suverenləşdirmək, qorumaq, sabitləşdirmək və təkmilləşdirmək üçün mövcud təşəbbüslərə olduqca şəffaf şəkildə ekstrapolyasiya edilə bilər :)
Yarovaya isə hələ qabaqdadır.
Mənbə: www.habr.com