Pouse m 'nan pòs sa a .
Mwen site li isit la:
jodi a 18:53
Mwen te kontan ak founisè a jodi a. Ansanm ak aktyalizasyon sistèm bloke sit la, mail.ru li te entèdi.Mwen te rele sipò teknik depi maten an, men yo pa ka fè anyen. Founisè a piti, epi aparamman founisè ki pi wo yo bloke li. Mwen menm mwen remake yon ralentissement nan ouvèti a nan tout sit, petèt yo enstale kèk kalite DLP kwochi? Anvan sa, pa te gen okenn pwoblèm ak aksè. Destriksyon RuNet ap pase devan je m...
Reyalite a se ke li sanble ke nou se menm founisè sa a :)
E vre, Mwen prèske devine kòz pwoblèm yo ak mail.ru (byenke nou te refize kwè nan yon bagay konsa pou yon tan long).
Sa ki annapre yo pral divize an de pati:
- rezon ki fè yo pou pwoblèm aktyèl nou yo ak mail.ru ak demand la enteresan yo jwenn yo
- egzistans ISP nan reyalite jodi a, estabilite nan RuNet souveren an.
Pwoblèm aksè ak mail.ru
Oh, li se yon istwa byen long.
Reyalite a se ke yo nan lòd yo aplike kondisyon yo nan eta a (plis detay nan dezyèm pati a), nou achte, konfigirasyon, ak enstale kèk ekipman - tou de pou filtraj resous entèdi ak pou mete ann aplikasyon. abonnés.
Kèk tan de sa, nou finalman rebati nwayo rezo a nan yon fason ke tout trafik abònen te pase nan ekipman sa a entèdi nan bon direksyon an.
Kèk jou de sa nou vire sou entèdi filtraj sou li (pandan y ap kite ansyen sistèm nan ap travay) - tout bagay te sanble yo ale byen.
Apre sa, yo piti piti yo te kòmanse pèmèt NAT sou ekipman sa a pou diferan pati nan abonnés. Soti nan aparans li, tout bagay te sanble tou ale byen.
Men jodi a, lè nou te pèmèt NAT sou ekipman pou pwochen pati abonnés yo, depi maten an nou te fè fas ak yon kantite desan plent sou indisponibilite oswa disponiblite pasyèl. ak lòt resous Mail Ru Group.
Yo te kòmanse tcheke: yon bagay yon kote pafwa, detanzantan voye an repons a demann sèlman nan rezo mail.ru. Anplis, li voye yon mal pwodwi (san ACK), evidamman atifisyèl TCP RST. Men sa li te sanble:
Natirèlman, premye panse yo te sou nouvo ekipman an: DPI terib, pa gen konfyans nan li, ou pa janm konnen ki sa li ka fè - apre tout, TCP RST se yon bagay jistis komen nan mitan zouti bloke.
Sipozisyon Nou menm tou nou mete lide ke yon moun "siperyè" ap filtre, men imedyatman jete li.
Premyèman, nou gen ase lisid uplink pou nou pa bezwen soufri konsa :)
Dezyèmman, nou konekte ak plizyè nan Moskou, ak trafik nan mail.ru ale nan yo - epi yo pa gen ni responsablite ni okenn lòt motif filtre trafik.
Pwochen mwatye jounen an te pase sou sa ki anjeneral rele chamanism - ansanm ak machann ekipman an, pou sa nou remèsye yo, yo pa t abandone :)
- filtraj te konplètman enfim
- NAT te enfim lè l sèvi avèk nouvo konplo a
- PC tès la te mete nan yon pisin izole separe
- IP adrès chanje
Nan apremidi a, yo te resevwa yon machin vityèl ki konekte nan rezo a dapre konplo a nan yon itilizatè regilye, ak reprezantan vandè a te bay aksè a li ak ekipman an. Chamanis la kontinye :)
Nan fen a, reprezantan vandè a avèk konfyans deklare ke pyès ki nan konpitè pa te absoliman anyen fè ak li: premye yo soti nan yon kote ki pi wo.
NoteNan pwen sa a, yon moun ka di: men li te pi fasil pran yon pil fatra pa soti nan PC tès la, men soti nan gran wout ki pi wo a DPI a?
Non, malerezman, pran yon pil fatra (e menm jis mirwar) 40 + gbps se pa ditou trivial.
Apre sa, nan aswè a, pa te gen anyen kite fè men retounen nan sipozisyon an nan filtraj etranj yon kote pi wo a.
Mwen gade nan ki IX trafik la nan rezo MRG yo ap pase kounye a epi tou senpleman anile sesyon bgp yo nan li. Epi - gade ak gade! - Tout bagay imedyatman tounen nòmal 🙁
Sou yon bò, li se yon wont ke tout jounen an te pase pou chèche pwoblèm nan, byenke li te rezoud nan senk minit.
Nan lòt men an:
— nan memwa mwen sa a se yon bagay san parèy. Kòm mwen te deja ekri pi wo a - IX vrèman pa gen okenn pwen nan filtraj trafik transpò piblik. Yo anjeneral gen dè santèn de gigabit / terabit pou chak segonn. Mwen jis pa t 'kapab seryezman imajine yon bagay tankou sa a jiska dènyèman.
- yon konyensidans ekstrèmman ere nan sikonstans: yon nouvo pyès ki nan konpitè konplèks ki pa patikilyèman fè konfyans epi ki soti nan ki li pa klè sa yo ka espere - pwepare espesyalman pou bloke resous, ki gen ladan TCP RSTs
NOC echanj entènèt sa a kounye a ap chèche yon pwoblèm. Dapre yo (e mwen kwè yo), yo pa gen okenn sistèm filtraj espesyalman deplwaye. Men, di Bondye mèsi, rechèch la plis se pa pwoblèm nou an ankò :)
Sa a se te yon ti tantativ jistifye tèt mwen, tanpri konprann epi padone :)
P.S.: Mwen fè espre pa nonmen manifakti a nan DPI / NAT oswa IX (an reyalite, mwen pa menm gen okenn plent espesyal sou yo, bagay prensipal la se konprann sa li te ye)
Reyalite jodi a (kòm byen ke yè ak jou anvan yè) nan pwen de vi yon founisè entènèt
Mwen te pase dènye semèn yo siyifikativman rebati nwayo rezo a, fè yon pakèt manipilasyon "pou pwofi", ak risk pou yo afekte anpil trafik itilizatè ap viv la. Lè ou konsidere objektif yo, rezilta yo ak konsekans tout bagay sa yo, moralman li nan tout byen difisil. Espesyalman - yon lòt fwa ankò koute bèl diskou sou pwoteje estabilite Runet a, souverènte, elatriye. ak sou sa.
Nan seksyon sa a, mwen pral eseye dekri "evolisyon" nwayo rezo a nan yon ISP tipik pandan dis ane ki sot pase yo.
Dis ane de sa.
Nan tan beni sa yo, nwayo yon rezo founisè ta ka senp epi serye menm jan ak yon blokis:
Nan foto sa a trè, trè senplifye, pa gen okenn kalson, bag, ip/mpls routage.
Sans li se ke trafik itilizatè finalman te rive nan chanje nivo nwayo a - soti nan kote li te ale nan , soti nan kote, kòm yon règ, li ale tounen nan switch la debaz, ak Lè sa a, "nan sòti a" - atravè youn oswa plis pòtay fwontyè sou entènèt la.
Yon konplo konsa trè, trè fasil pou rezève tou de sou L3 (routage dinamik) ak sou L2 (MPLS).
Ou ka enstale N + 1 nan nenpòt bagay: serveurs aksè, switch, fwontyè - ak yon fason oswa yon lòt rezève yo pou failover otomatik.
Apre kèk ane Li te vin klè pou tout moun nan Larisi ke li te enposib viv konsa ankò: li te ijan pwoteje timoun yo kont enfliyans malfezan nan entènèt la.
Te gen yon bezwen ijan pou jwenn fason pou filtre trafik itilizatè.
Gen diferan apwòch isit la.
Nan yon ka pa trè bon, yon bagay yo mete "nan espas sa a": ant trafik itilizatè ak entènèt la. Yo analize trafik ki pase nan "yon bagay" sa a epi, pou egzanp, yo voye yon pake fo ak yon redireksyon nan direksyon abònen an.
Nan yon ti kras pi bon ka - si volim trafik pèmèt - ou ka fè yon ti riz ak zòrèy ou: voye pou filtraj sèlman trafik ki soti nan itilizatè sèlman nan adrès sa yo ki bezwen filtre (pou fè sa, ou ka swa pran adrès IP yo. espesifye la nan rejis la, oswa anplis rezoud domèn ki deja egziste nan rejis la).
Nan yon sèl fwa, pou rezon sa yo, mwen te ekri yon senp - byenke mwen pa menm oze rele l 'sa. Li trè senp epi li pa trè pwodiktif - sepandan, li te pèmèt nou ak plizyè douzèn (si se pa dè santèn) lòt founisè pa imedyatman shell soti dè milyon sou sistèm endistriyèl DPI, men li te bay plizyè ane adisyonèl nan tan.
By wout la, sou Lè sa a, ak aktyèl DPIBy wout la, anpil moun ki te achte sistèm DPI ki disponib sou mache a nan moman sa a te deja jete yo. Oke, yo pa fèt pou sa a: dè santèn de milye de adrès, dè dizèn de milye de URL.
Ak an menm tan an, pwodiktè domestik yo te monte trè fòtman nan mache sa a. Mwen pa pale de eleman pyès ki nan konpitè - tout bagay klè pou tout moun isit la, men lojisyèl - bagay prensipal DPI genyen - se petèt jodi a, si se pa pi avanse nan mond lan, Lè sa a, sètènman a) devlope pa franchi ak limit, ak b) nan pri a nan yon pwodwi nan bwat - tou senpleman enkonparab ak konpetitè etranje yo.
Mwen ta renmen fyè, men yon ti kras tris =)
Koulye a, tout bagay te sanble tankou sa a:
Nan yon koup plis ane tout moun te deja gen oditè; Te gen plis ak plis resous nan rejis la. Pou kèk ekipman ki pi gran (pa egzanp, Cisco 7600), konplo a "bò-filtraj" tou senpleman te vin pa aplikab: kantite wout sou platfòm 76 limite a sa sèlman yon bagay tankou nèf san mil, pandan y ap kantite wout IPv4 pou kont li jodi a ap apwoche 800. mil. Men, si li la tou ipv6 ... Epi tou ... konbyen lajan ki genyen? 900000 adrès endividyèl nan entèdiksyon RKN? =)
Yon moun chanje nan yon konplo ak mirwar nan tout trafik zo rèl nan yon sèvè filtraj, ki ta dwe analize koule a tout antye epi, si yo jwenn yon bagay move, voye RST nan toude direksyon (moun k ap resevwa ak moun k ap resevwa).
Sepandan, plis trafik, mwens aplikab plan sa a. Si gen yon ti reta nan pwosesis la, sikilasyon an miroir pral tou senpleman vole inapèsi, epi founisè a ap resevwa yon bon rapò.
Plis ak plis founisè yo oblije enstale sistèm DPI ki gen diferan degre fyab atravè otowout yo.
Yon ane oswa de de sa dapre rimè yo, prèske tout FSB yo te kòmanse mande enstalasyon aktyèl la nan ekipman yo (anvan, pifò founisè yo te jere avèk apwobasyon otorite yo plan SORM - yon plan mezi operasyon an ka ta gen bezwen jwenn yon bagay yon kote)
Anplis de lajan (pa egzakteman tèt nèg, men yo toujou dè milyon), SORM te mande anpil plis manipilasyon ak rezo a.
- SORM bezwen wè adrès itilizatè "gri" anvan tradiksyon nat
- SORM gen yon kantite limite entèfas rezo
Se poutèt sa, an patikilye, nou te oblije anpil rekonstwi yon moso nan nwayo a - tou senpleman yo nan lòd yo kolekte trafik itilizatè yo nan sèvè yo aksè yon kote nan yon sèl kote. Yo nan lòd yo glas li nan SORM ak plizyè lyen.
Sa vle di, trè senplifye, li te (gòch) vs te vin (adwat):
Koulye a, Pifò founisè yo egzije tou aplikasyon SORM-3 - ki gen ladann, pami lòt bagay, anrejistreman emisyon nat yo.
Pou rezon sa yo, nou te oblije ajoute ekipman separe pou NAT nan dyagram ki anwo a (egzakteman sa yo diskite nan premye pati a). Anplis, ajoute nan yon sèten lòd: depi SORM dwe "wè" trafik la anvan ou tradui adrès, trafik la dwe ale estrikteman jan sa a: itilizatè -> chanje, nwayo -> aksè sèvè -> SORM -> NAT -> chanje, nwayo - > Entènèt. Pou fè sa, nou te oblije literalman "vire" sikilasyon nan lòt direksyon an pou pwofi, ki te tou byen difisil.
An rezime: pandan dis ane ki sot pase yo, konsepsyon debaz yon founisè mwayèn te vin anpil fwa pi konplèks, ak lòt pwen echèk (tou de nan fòm ekipman ak nan fòm liy switch sèl) te ogmante anpil. Aktyèlman, egzijans pou "wè tout bagay" vle di redwi "tout bagay" sa a nan yon pwen.
Mwen panse ke sa a ka byen transparan èkstrapolasyon nan inisyativ aktyèl yo souvrenize Runet la, pwoteje li, estabilize li ak amelyore li :)
Ak Yarovaya toujou devan.
Sous: www.habr.com