Giaghat ko niini nga post .
Gikutlo ko kini dinhi:
karong 18:53
Nalipay ko sa provider karon. Uban sa pag-update sa sistema sa pag-block sa site, ang iyang mailer mail.ru gidili. Nagtawag ko sa teknikal nga suporta sukad pa sa buntag, apan wala silay mahimo. Gamay ang provider, ug dayag nga gibabagan kini sa mga taghatag nga adunay taas nga ranggo. Namatikdan usab nako ang paghinay sa pag-abli sa tanan nga mga site, tingali nag-install sila og usa ka matang sa hiwi nga DLP? Kaniadto walay mga problema sa pag-access. Ang pagkaguba sa RuNet nahitabo sa akong atubangan...
Ang tinuod mao nga morag parehas kami nga tighatag :)
Ug sa pagkatinuod, Hapit nako nahunahuna ang hinungdan sa mga problema sa mail.ru (bisan kung nagdumili kami sa pagtuo sa ingon nga butang sa dugay nga panahon).
Ang mosunod bahinon sa duha ka bahin:
- ang mga hinungdan sa among mga problema karon sa mail.ru ug ang makapahinam nga pagpangita niini
- ang paglungtad sa ISP sa mga realidad karon, ang kalig-on sa soberanong RuNet.
Mga problema sa accessibility sa mail.ru
Oh, taas kaayo nga istorya.
Ang tinuod mao nga aron mapatuman ang mga kinahanglanon sa estado (dugang nga mga detalye sa ikaduha nga bahin), gipalit namon, gi-configure, ug gi-install ang pipila nga mga kagamitan - alang sa pagsala sa gidili nga mga kapanguhaan ug alang sa pagpatuman mga subscriber.
Pipila ka panahon ang milabay, sa katapusan among gitukod pag-usab ang network core sa paagi nga ang tanan nga trapiko sa subscriber miagi niini nga ekipo nga hugot sa husto nga direksyon.
Pipila ka adlaw ang milabay among gi-on ang gidili nga pagsala niini (samtang gibiyaan ang daan nga sistema nga nagtrabaho) - ang tanan ingon og maayo.
Sunod, anam-anam nga gisugdan nila ang pagpaandar sa NAT sa kini nga kagamitan alang sa lainlaing mga bahin sa mga subscriber. Sa pagtan-aw niini, ang tanan ingon og maayo usab.
Apan karon, nga nakapahimo sa NAT sa mga ekipo alang sa sunod nga bahin sa mga subscriber, gikan sa buntag nag-atubang kami sa usa ka desente nga gidaghanon sa mga reklamo mahitungod sa dili magamit o partial availability ug uban pang mga kapanguhaan sa Mail Ru Group.
Nagsugod sila sa pagsusi: usa ka butang sa usa ka lugar paghigugma, usahay nagpadala agig tubag sa mga hangyo nga eksklusibo sa mail.ru network. Dugang pa, nagpadala kini og sayop nga namugna (walay ACK), klaro nga artipisyal nga TCP RST. Mao kini ang hitsura niini:
Siyempre, ang una nga mga hunahuna bahin sa bag-ong kagamitan: makalilisang nga DPI, walaβy pagsalig niini, wala ka mahibal-an kung unsa ang mahimo niini - pagkahuman, ang TCP RST usa ka kasagaran nga butang taliwala sa mga himan sa pag-block.
Pananglit Gibutang usab namo ang ideya nga adunay "superior" nga nagsala, apan gisalikway dayon kini.
Una, kita adunay igo nga maayong mga uplink aron dili kita mag-antos sama niini :)
Ikaduha, kita konektado sa pipila sa Moscow, ug ang trapiko sa mail.ru moagi kanila - ug sila walay mga responsibilidad o bisan unsa nga motibo sa pagsala sa trapiko.
Ang sunod nga katunga sa adlaw gigugol sa kasagaran gitawag nga shamanism - kauban ang tigbaligya sa kagamitan, diin gipasalamatan namon sila, wala sila mohunong :)
- ang pagsala hingpit nga na-disable
- Na-disable ang NAT gamit ang bag-ong laraw
- ang test PC gibutang sa usa ka bulag nga hilit nga pool
- Nausab ang IP addressing
Sa hapon, usa ka virtual machine ang gigahin nga konektado sa network sumala sa laraw sa usa ka regular nga tiggamit, ug ang mga representante sa vendor gihatagan og access niini ug sa mga ekipo. Nagpadayon ang shamanismo :)
Sa katapusan, ang representante sa vendor masaligon nga nagpahayag nga ang hardware walaβy kalabotan niini: ang mga una gikan sa usa ka lugar nga mas taas.
ΠΡΠΈΠΌΠ΅ΡΠ°Π½ΠΈΠ΅Niini nga punto, adunay usa nga moingon: apan mas sayon ββββang pagkuha sa usa ka dump dili gikan sa test PC, apan gikan sa highway sa ibabaw sa DPI?
Dili, sa kasubo, ang pagkuha sa usa ka dump (ug bisan ang pag-salamin lang) 40+gbps dili gyud hinungdanon.
Pagkahuman niini, sa gabii, walaβy nahabilin nga mahimo gawas sa pagbalik sa paghunahuna sa katingad-an nga pagsala sa usa ka lugar sa ibabaw.
Akong gitan-aw kung asa nga IX ang trapiko sa MRG networks karon moagi ug yano nga gikansela ang mga sesyon sa bgp niini. Ug - tan-awa ug tan-awa! - nibalik dayon sa normal ang tanan π
Sa usa ka bahin, usa ka kaulaw nga ang tibuok adlaw gigugol sa pagpangita sa problema, bisan tuod kini nasulbad sa lima ka minuto.
Sa laing bahin:
β sa akong panumduman kini usa ka butang nga wala pa sukad. Sama sa akong gisulat sa ibabaw - IX gyud walay kapuslanan ang pagsala sa trapiko sa transit. Kasagaran sila adunay gatusan ka gigabits / terabits matag segundo. Dili ko seryoso nga mahanduraw ang usa ka butang nga sama niini hangtod karon.
β usa ka dili katuohan nga swerte nga sulagma sa mga kahimtang: usa ka bag-ong komplikado nga hardware nga dili kaayo kasaligan ug gikan diin dili klaro kung unsa ang mapaabut β gipahaum espesipiko alang sa pag-block sa mga kapanguhaan, lakip ang mga TCP RST
Ang NOC niining internet exchange nangita karon og problema. Sumala sa kanila (ug nagtuo ako kanila), wala sila'y bisan unsang espesyal nga gipakatap nga sistema sa pagsala. Apan, salamat sa mga langit, ang dugang nga pagpangita dili na among problema :)
Kini usa ka gamay nga pagsulay sa pagpakamatarung sa akong kaugalingon, palihug sabta ug pasayloa :)
PS: Ako tinuyo nga dili nganlan ang tiggama sa DPI / NAT o IX (sa tinuud, wala ako bisan unsang espesyal nga mga reklamo bahin kanila, ang panguna nga butang mao ang pagsabut kung unsa kini)
Ang karon (ingon man ang kagahapon ug ang adlaw sa wala pa ang kagahapon) nga kamatuoran gikan sa punto sa panglantaw sa usa ka Internet provider
Gigugol nako ang katapusan nga mga semana nga hinungdanon sa pagtukod pag-usab sa kinauyokan sa network, nga naghimo sa usa ka hugpong sa mga manipulasyon "alang sa ganansya", nga adunay peligro nga makaapekto pag-ayo sa live nga trapiko sa tiggamit. Sa pagkonsiderar sa mga tumong, resulta ug mga sangputanan niining tanan, sa moral kining tanan lisud kaayo. Ilabi na - sa makausa pag-usab sa pagpaminaw sa matahum nga mga pakigpulong mahitungod sa pagpanalipod sa kalig-on sa Runet, soberanya, ug uban pa. ug uban pa.
Niini nga seksyon, sulayan nako nga ihulagway ang "ebolusyon" sa network core sa usa ka tipikal nga ISP sa miaging napulo ka tuig.
Napulo ka tuig na ang milabay.
Niadtong bulahan nga mga panahon, ang kinauyokan sa usa ka network sa provider mahimong yano ug kasaligan sama sa kahuot sa trapiko:
Niining pinakasimple nga hulagway, walay mga punoan, singsing, ip/mpls routing.
Ang esensya niini mao nga ang trapiko sa tiggamit sa katapusan miabut sa kernel level switching - gikan sa diin kini miadto , gikan sa diin, ingon nga usa ka lagda, balik sa kinauyokan nga pagbalhin, ug dayon "gawas" - pinaagi sa usa o daghan pa nga mga ganghaan sa utlanan sa Internet.
Ang ingon nga laraw dali ra kaayo nga ireserba sa L3 (dinamikong ruta) ug sa L2 (MPLS).
Mahimo nimong i-install ang N+1 sa bisan unsang butang: pag-access sa mga server, switch, mga utlanan - ug usa ka paagi o lain nga gireserba kini alang sa awtomatik nga pagkapakyas.
Human sa pipila ka tuig Nahimong tin-aw sa tanan sa Russia nga imposible na nga magkinabuhi nga sama niini: dinalian ang pagpanalipod sa mga bata gikan sa makadaot nga impluwensya sa Internet.
Adunay dinalian nga panginahanglan sa pagpangita og mga paagi sa pagsala sa trapiko sa tiggamit.
Adunay lain-laing mga paagi dinhi.
Sa dili kaayo maayo nga kaso, adunay butang nga gibutang "sa gintang": tali sa trapiko sa tiggamit ug sa Internet. Ang trapiko nga moagi niining "usa ka butang" gisusi ug, pananglitan, usa ka peke nga pakete nga adunay redirect gipadala ngadto sa subscriber.
Sa usa ka gamay nga mas maayo nga kaso - kung ang gidaghanon sa trapiko motugot - makahimo ka og gamay nga lansis gamit ang imong mga dalunggan: ipadala alang sa pagsala lamang sa trapiko nga gikan sa mga tiggamit ngadto lamang sa mga adres nga kinahanglan nga masala (aron mahimo kini, mahimo nimong makuha ang mga IP address gipiho didto gikan sa rehistro, o dugang nga pagsulbad sa mga naglungtad nga mga domain sa rehistro).
Sa usa ka higayon, alang niini nga mga katuyoan, misulat ko og usa ka yano - bisan tuod dili ko mangahas sa pagtawag kaniya nga. Kini yano ra kaayo ug dili kaayo produktibo - bisan pa, gitugotan kami ug ang mga dosena (kung dili gatosan) sa ubang mga tagahatag nga dili dayon mag-shell sa milyon-milyon sa mga sistema sa DPI sa industriya, apan naghatag daghang dugang nga mga tuig sa oras.
Pinaagi sa dalan, mahitungod sa kaniadto ug sa kasamtangan nga DPIPinaagi sa dalan, daghan nga mipalit sa mga sistema sa DPI nga anaa sa merkado niadtong panahona naglabay na niini. Aw, wala sila gidisenyo alang niini: gatusan ka libo nga mga adres, napulo ka libo nga mga URL.
Ug sa parehas nga oras, ang mga domestic nga prodyuser kusog nga nabanhaw sa kini nga merkado. Wala ako maghisgot bahin sa sangkap sa hardware - ang tanan klaro sa tanan dinhi, apan ang software - ang panguna nga butang nga naa sa DPI - tingali karon, kung dili ang labing abante sa kalibutan, nan sigurado nga a) nga nag-uswag pinaagi sa mga paglukso ug mga utlanan, ug b) sa presyo sa usa ka kahon nga produkto - yano nga dili ikatandi sa mga langyaw nga kakompetensya.
Ganahan ko ipasigarbo, pero gamay sad =)
Karon ang tanan ingon niini:
Sa pipila pa ka tuig ang tanan aduna nay mga auditor; Nagkadaghan ang mga kapanguhaan sa rehistro. Alang sa pipila ka mga daan nga kagamitan (pananglitan, Cisco 7600), ang "side-filtering" nga pamaagi nahimo nga dili magamit: ang gidaghanon sa mga ruta sa 76 nga mga plataporma limitado sa usa ka butang sama sa siyam ka gatus ka libo, samtang ang gidaghanon sa mga ruta sa IPv4 nga nag-inusara karon hapit na sa 800 libo. Ug kung kini usab ipv6 ... Ug usab ... pila ang naa? 900000 ka indibidwal nga adres sa RKN ban? =)
Adunay mibalhin sa usa ka laraw nga adunay pagsalamin sa tanan nga backbone nga trapiko sa usa ka server sa pagsala, nga kinahanglan analisahon ang tibuuk nga dagan ug, kung adunay makit-an nga dili maayo, ipadala ang RST sa duha nga direksyon (nagpadala ug nakadawat).
Bisan pa, kung daghan ang trapiko, dili kaayo magamit kini nga laraw. Kung adunay gamay nga paglangan sa pagproseso, ang gisalamin nga trapiko molupad nga dili mamatikdan, ug ang tighatag makadawat usa ka maayong taho.
Nagkadaghan ang mga provider nga napugos sa pag-install sa mga sistema sa DPI nga lainlain ang lebel sa kasaligan sa mga haywey.
Usa o duha ka tuig ang milabay sumala sa mga hungihong, hapit tanan nga FSB nagsugod sa pagpangayo sa aktuwal nga pag-instalar sa mga ekipo (kaniadto, kadaghanan sa mga tighatag nagdumala nga adunay pagtugot gikan sa mga awtoridad SORM nga plano - usa ka plano sa mga lakang sa operasyon kung kinahanglan nimo nga makapangita usa ka butang sa usa ka lugar)
Dugang pa sa kuwarta (dili eksakto nga sobra, apan milyon-milyon pa), ang SORM nanginahanglan daghang daghang mga manipulasyon sa network.
- Kinahanglang makita sa SORM ang "gray" nga mga adres sa gumagamit sa wala pa ang paghubad
- Ang SORM adunay limitado nga gidaghanon sa mga interface sa network
Busa, labi na, kinahanglan namon nga tukuron pag-usab ang usa ka piraso sa kernel - aron makolekta ang trapiko sa tiggamit sa mga access server sa usa ka lugar sa usa ka lugar. Aron ma-salamin kini sa SORM nga adunay daghang mga link.
Sa ato pa, gipasimple kaayo, kini (wala) vs nahimong (tuo):
Karon Kadaghanan sa mga provider nanginahanglan usab sa pagpatuman sa SORM-3 - nga naglakip, taliwala sa ubang mga butang, pag-log sa mga broadcast sa nat.
Alang sa kini nga mga katuyoan, kinahanglan usab namon nga idugang ang bulag nga kagamitan para sa NAT sa dayagram sa taas (kung unsa gyud ang gihisgutan sa una nga bahin). Dugang pa, idugang sa usa ka piho nga han-ay: tungod kay ang SORM kinahanglan nga "makita" ang trapiko sa dili pa maghubad sa mga adres, ang trapiko kinahanglan nga estrikto nga mosunod: tiggamit -> pagbalhin, kernel -> access server -> SORM -> NAT -> switching, kernel - > Internet. Aron mahimo kini, kinahanglan namon nga literal nga "ibalik" ang mga dagan sa trapiko sa pikas direksyon alang sa ganansya, nga lisud usab.
Sa katingbanan: sa miaging napulo ka tuig, ang kinauyokan nga laraw sa usa ka kasagaran nga tighatag nahimo nga daghang beses nga labi ka komplikado, ug ang dugang nga mga punto sa kapakyasan (pareho sa porma sa kagamitan ug sa porma sa usa ka linya sa pagbalhin) labi nga nadugangan. Sa tinuud, ang kinahanglanon nga "tan-awa ang tanan" nagpasabut nga pagkunhod kini nga "tanan" sa usa ka punto.
Sa akong hunahuna kini mahimo nga klaro nga i-extrapolate sa mga karon nga inisyatibo aron ma-soberano ang Runet, mapanalipdan kini, mapalig-on kini ug mapaayo kini :)
Ug si Yarovaya naa sa unahan.
Source: www.habr.com