Мени ушул постко түрттү .
Мен муну бул жерде келтирем:
Бүгүн саат 18:53
Мен бүгүн провайдерге ыраазы болдум. Сайтты бөгөттөө системасын жаңыртуу менен бирге анын mail.ru почтасына да тыюу салынды.Эртеден бери техникалык колдоо кызматына чалып жатам, бирок эч нерсе кыла алышпайт. Провайдер кичинекей, жана сыягы, жогорку даражалуу провайдерлер аны бөгөттөп коюшат. Мен ошондой эле бардык сайттардын ачылышынын жайлаганын байкадым, балким алар кандайдыр бир кыйшык DLP орнотушкандыр? Буга чейин кирүү менен эч кандай көйгөйлөр болгон эмес. Рунеттин кыйрашы менин көз алдымда болуп жатат...
Чынында, биз ошол эле провайдербиз окшойт :)
Жана чындап эле, Мен mail.ru менен болгон көйгөйлөрдүн себебин болжолдоп койдум (бирок биз мындай нерсеге көптөн бери ишенбей келгенбиз).
Төмөнкү эки бөлүккө бөлүнөт:
- mail.ru менен биздин учурдагы көйгөйлөрдүн себептери жана аларды табуу үчүн кызыктуу издөө
- азыркы реалияларда провайдердин болушу, суверендуу Рунеттин туруктуулугу.
mail.ru менен жеткиликтүүлүк көйгөйлөрү
О, бул абдан узун окуя.
Чындыгында, мамлекеттин талаптарын ишке ашыруу үчүн (экинчи бөлүктө кененирээк), биз тыюу салынган ресурстарды чыпкалоо үчүн дагы, ишке ашыруу үчүн дагы кээ бир жабдууларды сатып алдык, конфигурацияладык жана орноттук. жазылуучулар.
Бир нече убакыт мурун, биз акыры тармактын өзөгүн бардык абоненттик трафик бул жабдуу аркылуу туура багытта өтө тургандай кылып кайра курдук.
Бир нече күн мурун биз ага тыюу салынган чыпкалоону күйгүздүк (эски система иштеп жатканда) - баары жакшы болду окшойт.
Андан кийин, алар акырындык менен абоненттердин ар кандай бөлүктөрү үчүн бул жабдууларда NAT иштете башташты. Сыртынан караганда баары ойдогудай көрүндү.
Бирок бүгүн, абоненттердин кийинки бөлүгү үчүн жабдууларда NAT иштетип, эртең менен эле биз жеткиликтүү эмес же жарым-жартылай жеткиликтүүлүк боюнча татыктуу сандагы даттанууларга туш болдук. жана башка Mail Ru Group ресурстары.
Алар текшере башташты: бир жерде бир нерсе кээде, анда-санда жөнөтөт mail.ru тармактарына гана суроо-талаптарга жооп катары. Мындан тышкары, ал туура эмес түзүлгөн (ACK жок), албетте, жасалма TCP RST жөнөтөт. Бул кандай көрүндү:
Албетте, биринчи ойлор жаңы жабдуулар жөнүндө болду: коркунучтуу DPI, ага ишенич жок, ал эмне кыла аларын эч качан билбейсиң - баары бир, TCP RST бөгөттөө куралдарынын арасында кеңири таралган нерсе.
Божомол Биз дагы кимдир бирөө “жогорку” чыпкалап жатат деген ойду ортого салып, бирок аны дароо жокко чыгардык.
Биринчиден, бизде ушундай азап тартпаш үчүн жетиштүү акыл-эстүү байланыштар бар :)
Экинчиден, биз бир нече менен байланышканбыз Москвада, ал эми mail.ru сайтына трафик алар аркылуу өтөт - жана алардын трафикти чыпкалоо үчүн жоопкерчиликтери да, башка мотивдери да жок.
Күндүн кийинки жарымы адатта шаманизм деп аталган нерсеге жумшалды - жабдууларды сатуучу менен бирге, биз аларга ыраазычылык билдиребиз, алар багынышкан жок :)
- чыпкалоо толугу менен өчүрүлгөн
- NAT жаңы схеманы колдонуу менен өчүрүлгөн
- сыноо PC өзүнчө обочолонгон бассейнге жайгаштырылган
- IP дареги өзгөрдү
Түштөн кийин кадимки колдонуучунун схемасы боюнча тармакка туташкан виртуалдык машина бөлүнүп, сатуучунун өкүлдөрүнө ага жана жабдууларга кирүү мүмкүнчүлүгү берилди. Шаманчылык уланды :)
Акыр-аягы, сатуучунун өкүлү аппараттык жабдыктын ага эч кандай тиешеси жок экенин ишенимдүү айтты: биринчилер жогору жактан келет.
пикирУшул учурда кимдир бирөө айтышы мүмкүн: бирок таштандыны тесттик ПКдан эмес, ӨСИнин үстүндөгү трассадан алуу оңой болдубу?
Жок, тилекке каршы, 40+гбит/сек ылдамдыкта таштандыны алуу (жана жөн эле чагылдыруу) анча деле маанилүү эмес.
Ушундан кийин, кечинде, жогоруда бир жерде кызыктай фильтрациянын божомолуна кайтуудан башка кыла турган эч нерсе калган жок.
Мен MRG тармактарына трафик кайсы IX аркылуу өтүп жатканын карап, ага bgp сеанстарын жөн эле жокко чыгардым. Жана - мына, мына! - баары дароо ордуна келди 🙁
Бир чети, бул беш мүнөттө чечилсе да, бүт күнү маселени издөө менен өткөнү уят.
Башка жагынан алып караганда:
— Менин эсимде бул мурда болуп көрбөгөн нерсе. Мен жогоруда жазгандай - IX чындыгында транзиттик трафикти чыпкалоонун эч кандай пайдасы жок. Алар, адатта, секундасына жүздөгөн гигабит/терабитке ээ. Мен жакында эле мындай нерсени олуттуу элестете алган эмесмин.
— жагдайлардын укмуштуудай бактылуу кокустуктары: өзгөчө ишеничке ээ болбогон жана андан эмне күтөөрү белгисиз жаңы комплекстүү жабдык — атайын ресурстарды, анын ичинде TCP RSTлерди бөгөттөө үчүн ылайыкташтырылган.
Бул интернет-биржасынын УОК учурда көйгөй издеп жатат. Алардын айтымында (мен аларга ишенем), аларда атайын орнотулган чыпкалоо системасы жок. Бирок, асманга шүгүр, мындан аркы издөө биздин көйгөй эмес :)
Бул өзүмдү актоо үчүн кичинекей аракет болду, түшүнүп, кечирип коюңуз :)
PS: Мен атайылап DPI/NAT же IX өндүрүүчүнүн атын атабайм (чынында, менде алар боюнча эч кандай атайын даттануулар жок, эң негизгиси анын эмне болгонун түшүнүү)
Интернет-провайдеринин көз карашы боюнча бүгүнкү күндүн (ошондой эле кечээги жана мурунку күнү) чындыгы
Мен акыркы жумаларды тармактын өзөгүн олуттуу түрдө калыбына келтирүүгө жумшадым, колдонуучулардын жандуу трафигине олуттуу таасир тийгизүү коркунучу менен "пайда үчүн" бир топ манипуляцияларды жасадым. Мунун баарынын максаттарын, натыйжаларын жана кесепеттерин эске алсак, моралдык жактан баары бир топ кыйын. Айрыкча - дагы бир жолу Рунеттин туруктуулугун, суверенитетти коргоо ж.б.у.с кооз кептерди угуу. жана башка.
Бул бөлүмдө мен акыркы он жылдагы типтүү провайдердин тармактык ядросунун “эволюциясын” сүрөттөөгө аракет кылам.
Он жыл мурун.
Ошол куттуу мезгилде провайдер тармагынын өзөгү тыгын сыяктуу жөнөкөй жана ишенимдүү болушу мүмкүн:
Бул абдан жөнөкөйлөштүрүлгөн сүрөттө эч кандай магистралдар, шакекчелер, ip/mpls маршруту жок.
Анын маңызы - колдонуучу трафиги акырында ядро деңгээлине которулууга келди - ал барган жерден , кайдан, эреже катары, кайра негизги өтүү, андан кийин "чыгуу" - Интернетке бир же бир нече чек ара шлюздары аркылуу.
Мындай схеманы L3 (динамикалык маршруттоо) жана L2 (MPLS) боюнча резервдештирүү абдан, абдан оңой.
Сиз каалаган нерсенин N+1ин орното аласыз: серверлерге, которгучтарга, чектерге кирүү жана тигил же бул жол менен аларды автоматтык түрдө өчүрүү үчүн сактаңыз.
Бир нече жылдан кийин Мындан ары мындай жашоо мүмкүн эмес экени Россияда бардыгына айкын болду: балдарды Интернеттин зыяндуу таасиринен коргоо керек.
Колдонуучу трафигин чыпкалоо жолдорун издөөнүн чукул муктаждыгы бар болчу.
Бул жерде ар кандай ыкмалар бар.
Абдан жакшы эмес учурда, бир нерсе "ажыкка" коюлат: колдонуучу трафиги менен Интернеттин ортосунда. Бул "бир нерсе" аркылуу өткөн трафик талданат жана, мисалы, абонентке багыттоо менен жасалма пакет жөнөтүлөт.
Бир аз жакшыраак учурда - эгер трафиктин көлөмү уруксат берсе - сиз кулагыңыз менен кичинекей бир амалды жасай аласыз: чыпкалоо үчүн колдонуучулардан келген трафикти гана чыпкалоо керек болгон даректерге жөнөтүңүз (бул үчүн сиз IP даректерди ала аласыз) реестрден ошол жерде көрсөтүлгөн, же реестрдеги бар домендерди кошумча чечет).
Бир убакта, ушул максаттар үчүн, мен жөнөкөй жазган - Мен аны минтип атууга батынбайм да. Бул абдан жөнөкөй жана өтө жемиштүү эмес - бирок, ал бизге жана ондогон (жүздөгөн эмес болсо) башка провайдерлерге миллиондогон өндүрүштүк DPI тутумдарына дароо төлөбөй коюуга мүмкүндүк берди, бирок кошумча бир нече жыл убакыт берди.
Айтмакчы, ошол кездеги жана азыркы ӨСИ жөнүндөБаса, ошол убакта рынокто бар DPI системаларын сатып алгандардын көбү аларды ыргытып жиберишкен. Ооба, алар бул үчүн иштелип чыккан эмес: жүз миңдеген даректер, он миңдеген URL даректери.
Ошол эле учурда ата мекендик өндүрүүчүлөр бул рынокко абдан күчтүү көтөрүлүштү. Мен аппараттык компонент жөнүндө айтып жаткан жокмун - бул жерде бардыгына түшүнүктүү, бирок программалык камсыздоо - DPIде эң негизги нерсе - балким, бүгүнкү күндө дүйнөдөгү эң алдыңкысы болбосо, анда, албетте, а) секирик жана чектер менен өнүгүп келе жаткан, жана б) кутуга салынган буюмдун баасы боюнча - чет өлкөлүк атаандаштар менен жөн эле салыштырууга болбойт.
Сыймыктангым келет, бирок бир аз капалангым келет =)
Эми баары мындай көрүндү:
Дагы бир эки жылдан кийин бардыгында аудиторлор болгон; Реестрде көбүрөөк ресурстар бар болчу. Кээ бир эски жабдуулар үчүн (мисалы, Cisco 7600) "каптал чыпкалоо" схемасы жөн эле колдонулбай калды: 76 платформадагы каттамдардын саны тогуз жүз миңге жакын, ал эми бүгүнкү күндө IPv4 маршруттарынын саны 800гө жакындап калды. миң. Анан да ipv6 болсо... Жана ошондой эле... канча бар? RKN тыюу 900000 жеке даректер? =)
Кимдир бирөө бардык магистралдык трафикти чыпкалоочу серверге чагылдыруу схемасына өттү, ал бүт агымды талдап, эгер кандайдыр бир жаман нерсе табылса, RSTти эки тарапка (жөнөтүүчү жана алуучу) жөнөтөт.
Бирок, трафик канчалык көп болсо, бул схема ошончолук азыраак колдонулат. Эгерде иштеп чыгууда бир аз кечигүү болсо, күзгү трафик байкалбастан учуп кетет жана провайдер жакшы отчет алат.
Барган сайын көбүрөөк провайдерлер магистралдар боюнча ар кандай деңгээлдеги ишенимдүүлүктүн DPI системаларын орнотууга аргасыз болушат.
Бир-эки жыл мурун имиштерге ылайык, дээрлик бардык FSB жабдууларды орнотууну талап кыла баштады (мурда көпчүлүк провайдерлер бийликтин макулдугу менен башкарылган SORM планы - бир жерден бир нерсе табуу зарыл болгон учурда ыкчам иш-чаралардын планы)
Акчадан тышкары (так эмес, бирок миллиондогон), SORM тармак менен дагы көптөгөн манипуляцияларды талап кылды.
- SORM nat которуудан мурун "боз" колдонуучу даректерин көрүшү керек
- SORM тармак интерфейстеринин чектелген санына ээ
Ошондуктан, атап айтканда, биз ядронун бир бөлүгүн кайра курууга туура келди - жөн гана бир жерде кирүү серверлерине колдонуучу трафигин чогултуу үчүн. Аны бир нече шилтемелер менен SORMде чагылдыруу үчүн.
Башкача айтканда, абдан жөнөкөйлөштүрүлгөн, ал (солдо) vs болуп калды (оңдо):
азыр Көпчүлүк провайдерлер ошондой эле SORM-3 программасын ишке ашырууну талап кылат, ал башка нерселер менен катар nat берүүлөрүн каттоону камтыйт.
Бул максаттар үчүн, биз дагы жогорудагы диаграммага NAT үчүн өзүнчө жабдууларды кошууга туура келди (так, биринчи бөлүктө эмне талкууланат). Андан тышкары, белгилүү бир тартипте кошуңуз: SORM даректерди которуудан мурун трафикти “көрүшү” керек болгондуктан, трафик төмөнкүдөй катуу жүрүшү керек: колдонуучулар -> коммутация, ядро -> кирүү серверлери -> SORM -> NAT -> которуу, ядро - > Интернет. Бул үчүн, биз пайда алуу үчүн трафик агымын башка тарапка түзмө-түз "бурушубуз" керек болчу, бул дагы бир топ кыйын болду.
Жалпысынан: акыркы он жылдын ичинде орточо провайдердин негизги конструкциясы кыйла татаалдашып, кошумча бузулуу учурлары (жабдуу түрүндө да, бирдиктүү коммутациялык линиялар түрүндө да) кыйла көбөйдү. Чынында, "баарын көрүү" талабы бул "баарын" бир чекитке чейин кыскартууну билдирет.
Мен муну Рунетти эгемендүүлүккө ээ кылуу, аны коргоо, турукташтыруу жана өркүндөтүү боюнча учурдагы демилгелерге ачык-айкын экстраполяциялоого болот деп ойлойм :)
Ал эми Яровая дагы алдыда.
Source: www.habr.com