Namindra ahy tamin'ity lahatsoratra ity .
Ento eto aho:
androany amin'ny 18:53
Faly tamin'ny mpamatsy aho androany. Miaraka amin'ny fanavaozana ny rafitra fanakanana tranokala, nahazo ny mail.ru izy teo ambanin'ny fandrarΓ na. Ny maraina dia misintona fanohanana ara-teknika aho, tsy afaka manao na inona na inona izy ireo. Kely ny mpamatsy, ary toa manakana ny mpamatsy ambony kokoa. Nahatsikaritra ihany koa ny fihenan'ny fisokafan'ny tranokala rehetra aho, mety misy karazana DLP miolakolaka nahantona? Teo aloha dia tsy nisy olana tamin'ny fidirana. Ny faharavan'ny Runet dia mitranga eo anoloan'ny masokoβ¦
Ny zava-misy dia toa isika ihany no mpamatsy π
Ary tena, Saika noheveriko ny anton'ny olana amin'ny mail.ru (na dia tsy nety nino zavatra toy izany aza izahay nandritra ny fotoana ela).
Hizara roa ireto manaraka ireto:
- ny antony mahatonga ny olana misy amin'izao fotoana izao amin'ny mail.ru sy ny fitadiavana azy ireo
- ny fisian'ny ISP amin'ny zava-misy ankehitriny, ny fahamarinan-toeran'ny Runet mpanjaka.
Olana amin'ny fisian'ny mail.ru
Oh, tantara lava be izany.
Ny zava-misy dia mba hampiharana ny fepetra takian'ny fanjakana (andininy bebe kokoa ao amin'ny tapany faharoa), nividy, nanamboatra, nametraka fitaovana izahay - na ho an'ny fanivanana loharanon-karena voarara na ho fampiharana. mpanjifa.
Fotoana vitsy lasa izay, nanangana ny fototry ny tambajotra izahay tamin'ny fomba izay nandalovan'ny fifamoivoizana mpanjifa rehetra tamin'ity fitaovana ity tamin'ny lalana marina.
Andro vitsy lasa izay, nanova ny sivana voarara izy ireo (tamin'ny fotoana nandaozana ny rafitra taloha) - toa nandeha tsara ny zava-drehetra.
Fanampin'izay, nanomboka namela tsikelikely ny NAT ho an'ny faritra samihafa amin'ny mpanjifa amin'ity fitaovana ity izy ireo. Raha ny fahitana azy dia toa mandeha tsara ny zava-drehetra.
Saingy androany, rehefa nahafahan'ny NAT ny fitaovana ho an'ny ampahany manaraka amin'ny mpanjifa, ny maraina dia niatrika fitarainana marobe izahay momba ny tsy fahazoana miditra na ny ampahany ary loharano hafa an'ny Mail Ru Group.
Nanomboka nanamarina izy ireo: zavatra any ho any indraindray, indraindray DIA MANDEFA ho valin'ny fangatahana manokana amin'ny tambajotra mail.ru. Ankoatr'izay, mandefa TCP RST tsy ara-drariny (tsy misy ACK), mazava ho azy. Toy izao izany:
Mazava ho azy, ny eritreritra voalohany dia momba ny fitaovana vaovao: DPI mahatsiravina, tsy misy fitokisana aminy, tsy fantatrao izay azony atao - na izany aza, ny TCP RST dia zavatra mahazatra eo amin'ireo fitaovana fanakanana.
kevitra momba ny hoe misy olona "ambony" manivana, dia narosonay ihany koa - fa nariana avy hatrany.
Voalohany, manana uplinks salama tsara isika mba tsy hijaly tahaka izao π
Faharoa, mifandray amin'ny maro isika ao Moskoa, ary mandalo amin'izy ireo ny fifamoivoizana mankany amin'ny mail.ru - ary tsy manana adidy izy ireo na antony hafa hanivana ny fifamoivoizana.
Ny antsasaky ny andro manaraka dia lany tamin'ny antsoina matetika hoe shamanism - niaraka tamin'ny mpivarotra fitaovana, izay noho ny fisaorana azy ireo dia tsy niala π
- ny sivana dia tapaka tanteraka.
- NAT kilemaina eo ambanin'ny rafitra vaovao
- napetraka tao anaty dobo mitokana ny test PC
- niova adiresy IP
Ny tolakandro dia nisy milina virtoaly iray natokana ho an'ny Internet araka ny teti-dratsin'ny mpampiasa mahazatra, ary nomena ny solontenan'ny mpivarotra izany sy ny fitaovana. Nitohy ny shamanisma π
Tamin'ny farany dia nanambara tamim-pahatokiana ny solontenan'ny mpivarotra fa tsy misy ifandraisany amin'izany mihitsy ilay vy: avy any amin'ny toerana ambony ny voalohany.
fanamarihanaAmin'izao fotoana izao, mety hisy hiteny hoe: fa mora kokoa ny manary tsy avy amin'ny PC fitsapana, fa avy amin'ny lΓ lambe avo kokoa noho ny DPI?
Tsia, indrisy, ny fanariana (ary na ny fitaratra fotsiny aza) 40+gbps dia tsy misy dikany mihitsy.
Taorian'izay, efa hariva, tsy nisy na inona na inona afa-tsy ny miverina amin'ny fiheverana fa misy sivana hafahafa any amin'ny toerana ambony kokoa.
Nojereko izay IX ny fifamoivoizana amin'izao fotoana izao mankany amin'ny tamba-jotra MWG ary nokapaina fotsiny ny fivoriana bgp ho azy. Ary - momba ny fahagagana! Niverina taminβny laoniny avy hatrany ny zava-drehetra
Aminβny lafiny iray, mampalahelo ny andro iray manontolo nikaroka ny olana, na dia voavaha tao anatinβny dimy minitra aza.
Amin'ny lafiny iray:
- Raha ny fitadidiako dia zavatra tsy mbola nisy toy izany. Araka ny nosoratako etsy ambony - IX'am tena tsy misy dikany ny fanivanana ny fifamoivoizana. Matetika izy ireo dia manana gigabits / terabits an-jatony isan-tsegondra. Tsy azoko an-tsaina mihitsy ny zavatra toy izany hatramin'ny vao haingana.
- fitambarana toe-javatra tena tsara vintana: fitaovana saro-takarina vaovao izay tsy azo itokisana indrindra ary tsy fantatra mazava izay andrasana - voarara fotsiny mba hanakanana loharanon-karena, anisan'izany ny TCP RST
Ny NOC amin'ity fifanakalozana aterineto ity dia mitady olana amin'izao fotoana izao. Araka ny filazan'izy ireo (ary mino azy ireo aho), tsy manana rafitra fanivanana napetraka manokana izy ireo. Saingy, noho ny lanitra, ny fikatsahana bebe kokoa dia tsy olanay π
Fiezahana kely hanamarinana izany, azafady mba takatrao ary avelao π
PS: minia tsy manonona anarana na mpanamboatra DPI / NAT na IX aho (raha ny marina dia tsy manana fitarainana manokana momba azy ireo aho, ny zava-dehibe dia ny mahatakatra hoe inona izany)
Ny zava-misy ankehitriny (ary koa ny omaly sy ny omaly) raha ny fijerin'ny mpamatsy aterineto
Nandany ny herinandro lasa aho nanarina mafy ny fototry ny tambajotra, nanao andiana fanodinkodinana mivantana, izay mety hisy fiantraikany lehibe amin'ny fifamoivoizana mivantana amin'ny mpampiasa. Raha jerena ny tanjona, ny vokatra ary ny vokatr'izany rehetra izany, ara-moraly, dia sarotra izany rehetra izany. Indrindra - ny fihainoana indray ny kabary tsara tarehy momba ny fiarovana ny fahamarinan'ny Runet, ny fiandrianam-pirenena, sns. sy ny sisa.
Amin'ity fizarana ity dia hiezaka aho hilaza ny "evolisiona" ny fototry ny tambajotra an'ny ISP mahazatra nandritra ny folo taona lasa.
Folo taona lasa izay.
Amin'ireny fotoana voatahy ireny, ny fototry ny tambajotra mpamatsy dia mety ho tsotra sy azo itokisana toy ny fitohanan'ny fifamoivoizana:
Amin'ity sary tena tsotra ity, dia tsy misy trunk, peratra, ip / mpls routing.
Ny tena maha-izy azy dia ny fivezivezen'ny mpampiasa amin'ny farany dia tonga amin'ny fifindran'ny ambaratonga fototra - avy amin'ny toerana nalehany , avy amin'ny toerana, toy ny fitsipika, miverina amin'ny fifandimbiasana fototra, ary avy eo "ho any amin'ny fivoahana" - amin'ny alΓ lan'ny vavahadin'ny sisintany iray na maromaro mankany amin'ny Internet.
Ny tetika toy izany dia tena, tena mora ny mamerina na amin'ny L3 (dynamique routing) sy L2 (MPLS).
Azonao atao ny mametraka N + 1 na inona na inona: miditra amin'ny mpizara, switch, sisintany - ary amin'ny fomba iray na hafa dia mitahiry azy ireo ho an'ny failover mandeha ho azy.
Taorian'ny taona vitsivitsy nazava tamin'ny rehetra tao Rosia fa tsy azo atao intsony ny miaina tahaka izao: maika ny fiarovana ny ankizy amin'ny fitaoman-dratsy ataon'ny tambajotra.
Ilaina maika ny mitady fomba hanivanana ny fifamoivoizana mpampiasa.
Misy fomba fiasa samihafa eto.
Amin'ny tranga tsy dia tsara, misy zavatra apetraka "ao anatin'ny contexte": eo anelanelan'ny fifamoivoizana mpampiasa sy ny Internet. Ny fifamoivoizana mandalo amin'io "zavatra" io dia anaovana fanadihadiana ary ohatra, misy fonosana sandoka misy redirect alefa any amin'ny mpanjifa.
Amin'ny toe-javatra somary tsara kokoa - raha mamela ny habetsaky ny fifamoivoizana - azonao atao ny maneso kely amin'ny sofinao: alefaso ho an'ny fanivanana ny fifamoivoizana mivoaka avy amin'ny mpampiasa fotsiny mankany amin'ireo adiresy mila sivana (ho an'izany dia azonao atao ny maka ny adiresy IP voatondro. avy ao amin'ny rejisitra, na koa mamaha ny efa misy ao amin'ny rejisitra domaine).
Nisy fotoana, ho an'ireo tanjona ireo, dia nanoratra tsotra aho - na ny fiteny aza tsy sahy miantso an'io. Tena tsotra ary tsy dia mamokatra loatra - na izany aza, namela anay sy am-polony (raha tsy an-jatony) ny mpamatsy hafa tsy hametraka an-tapitrisany avy hatrany amin'ny rafitra DPI indostrialy, fa nanome fotoana fanampiny taona maromaro.
Raha ny marina, momba ny DPI taloha sy ankehitrinyRaha ny marina, maro ireo nividy ny rafitra DPI azo tamin'izany fotoana izany teny an-tsena no efa nanary azy ireo. Eny, tsy voarara ho amin'izany izy ireo: adiresy ana hetsiny, URL an'aliny.
Ary tamin'izany fotoana izany, ny mpamokatra ao an-toerana dia nitombo be tamin'ity tsena ity. Tsy miresaka momba ny singa hardware aho - mazava ho an'ny rehetra ny zava-drehetra, fa ny rindrambaiko - ny zava-dehibe indrindra ao amin'ny DPI - angamba amin'izao fotoana izao, raha tsy ny avo indrindra eran'izao tontolo izao, dia azo antoka fa a) mivoatra amin'ny alΓ lan'ny mitsambikina, ary b) amin'ny vidin'ny boaty - tsy azo ampitahaina amin'ny mpifaninana vahiny.
te hirehareha aho fa somary malahelo =)
Toy izao ny zava-drehetra:
Roa taona taty aoriana efa nanana mpanamarina ny rehetra; Ny loharanon-karena ao amin'ny rejisitra dia nitombo hatrany. Ho an'ny fitaovana tranainy sasany (ohatra, cisco 7600), dia nanjary tsy azo ampiharina tsotra izao ny tetika "fanivanana amin'ny sisiny": ny isan'ny lalana amin'ny sehatra 76 dia voafetra amin'ny zavatra manodidina ny sivy hetsy, raha toa ka efa manakaiky ny isan'ny zotra IPv4 irery ankehitriny. 800 arivo. Ary raha ipv6 koa ... Ary koa ... ohatrinona? Adiresy misaraka 900000 ao amin'ny fandroana rkn? =)
Nisy olona nivadika tamina tetika misy taratry ny fifamoivoizana ao ambadika rehetra mankany amin'ny mpizara sivana, izay tokony hamakafaka ny renirano manontolo ary, raha misy zavatra ratsy hita, dia mandefa RST amin'ny lafiny roa (mpanefa sy mpandray).
Na izany aza, arakaraka ny fifamoivoizana no tsy dia azo ampiharina toy izany. Amin'ny fahatarana kely indrindra amin'ny fanodinana, ny fifamoivoizana voataratra dia hanidina fotsiny tsy misy tsikaritra, ary ny mpamatsy dia hahazo protocole sazy.
Mihabetsaka ireo mpamatsy no voatery mametraka rafitra DPI amin'ny ambaratonga azo itokisana amin'ny sehatry ny lalambe.
Herintaona na roa lasa izay Araka ny tsaho, saika ny FSB rehetra dia nanomboka nitaky ny fametrahana fitaovana tena izy (teo aloha, ny ankamaroan'ny mpamatsy dia nitantana niaraka tamin'ny manampahefana SORM plan - drafitry ny fepetra fampandehanana raha toa ka mila mitady zavatra any ho any ianao)
Ho fanampin'ny vola (tsy hoe transcendental mivantana, fa mbola an-tapitrisany), ny SORM dia nitaky ny fanodikodinana manaraka amin'ny tambajotra.
- SORM dia mila mahita ny adiresin'ny mpampiasa "volontsΓ΄kΓ΄lΓ ", alohan'ny nat-translation
- SORM dia manana fifandraisana amin'ny tambajotra voafetra
Noho izany, izahay, indrindra indrindra, dia tsy maintsy nanangana ampahany lehibe amin'ny kernel - mba hanangonana ny fifamoivoizana mpampiasa hidirana amin'ny mpizara any amin'ny toerana iray. Mba hijerena azy amin'ny SORM miaraka amin'ny rohy maromaro.
Izany hoe, tena notsorina, dia (eo ankavia) vs lasa (eo ankavanana):
amin'izao fotoana izao Ny ankamaroan'ny mpamatsy dia takiana amin'ny fampiharana SORM-3 - izay ahitana, ankoatry ny zavatra hafa, ny fandraketana ny fampielezam-peo nat.
Ho an'ireo tanjona ireo dia tsy maintsy nampiana fitaovana misaraka ho an'ny NAT izahay amin'ny kisary etsy ambony (ilay resahina ao amin'ny tapany voalohany). Ary ampio amin'ny filaharana iray: satria ny SORM dia tsy maintsy "mahita" ny fifamoivoizana alohan'ny fandikana adiresy, ny fifamoivoizana dia tsy maintsy mandeha amin'ny fomba hentitra toy izao manaraka izao: mpampiasa -> switching, core -> access servers -> SORM -> NAT -> switching, core -> Internet. Mba hanaovana izany dia tsy maintsy "nihodina" ara-bakiteny ny fifamoivoizana mankany amin'ny lalana hafa mba hahazoana tombony, izay sarotra ihany koa.
Raha fintinina: tao anatin'ny folo taona mahery dia nanjary sarotra kokoa ny rafitra fototry ny mpanome salantsalany, ary nitombo be ny teboka tsy fahombiazana (na amin'ny endrika fitaovana na amin'ny endrika tsipika tokana). Raha ny marina, ny fepetra takiana amin'ny "hahita ny zava-drehetra" dia midika ny fampihenana an'io "zavatra rehetra" io amin'ny teboka iray.
Raha ny fahitako azy dia azo ampitaina amin'ny fomba mangarahara amin'ny hetsika ankehitriny ho an'ny fiandrianam-pirenena ny Runet, ny fiarovana azy, ny fanamafisana ary ny fanatsarana π
Ary eo anoloana dia Yarovaya.
Source: www.habr.com