Provintli għal din il-kariga .
Jien nikkwotaha hawn:
illum fis-18:53
Jien kont kuntent bil-fornitur illum. Flimkien mal-aġġornament tas-sistema tal-imblukkar tas-sit, il-mailer tiegħu mail.ru ġie pprojbit.Ilni nsejjaħ appoġġ tekniku minn filgħodu, iżda ma jistgħu jagħmlu xejn. Il-fornitur huwa żgħir, u apparentement fornituri ta 'grad ogħla jimblukkawh. Innotajt ukoll tnaqqis fil-ftuħ tas-siti kollha, forsi installaw xi tip ta 'DLP mgħawweġ? Qabel ma kien hemm l-ebda problemi bl-aċċess. Il-qerda ta' RuNet qed isseħħ eżatt quddiem għajnejja...
Il-fatt hu li jidher li aħna dak l-istess fornitur :)
U tabilħaqq, Kważi qtajt il-kawża tal-problemi ma 'mail.ru (għalkemm irrifjutajna li nemmnu f'xi ħaġa bħal din għal żmien twil).
Dak li ġej se jkun maqsum f'żewġ partijiet:
- ir-raġunijiet għall-problemi attwali tagħna ma 'mail.ru u t-tfittxija eċċitanti biex issibhom
- l-eżistenza ta 'ISP fir-realtajiet tal-lum, l-istabbiltà tal-RuNet sovran.
Problemi ta’ aċċessibbiltà ma’ mail.ru
Oh, hija storja twila mhux ħażin.
Il-fatt hu li sabiex nimplimentaw ir-rekwiżiti tal-istat (aktar dettalji fit-tieni parti), xtrajna, konfigurajna u installajna xi tagħmir - kemm għall-iffiltrar tar-riżorsi pprojbiti kif ukoll għall-implimentazzjoni abbonati.
Xi żmien ilu, fl-aħħar erġajna bnejna l-qalba tan-netwerk b'tali mod li t-traffiku kollu tal-abbonati għadda minn dan it-tagħmir strettament fid-direzzjoni t-tajba.
Ftit tal-jiem ilu xgħelna l-filtrazzjoni pprojbita fuqha (filwaqt li ħallejna s-sistema l-antika taħdem) - kollox deher sejjer tajjeb.
Sussegwentement, gradwalment bdew jippermettu NAT fuq dan it-tagħmir għal partijiet differenti ta 'abbonati. Mid-dehra tiegħu, kollox ukoll deher sejjer tajjeb.
Iżda llum, wara li ppermettiet NAT fuq it-tagħmir għall-parti li jmiss tal-abbonati, minn filgħodu stess konna ffaċċjati b'numru deċenti ta 'ilmenti dwar indisponibbiltà jew disponibbiltà parzjali u riżorsi oħra tal-Grupp Mail Ru.
Huma bdew jiċċekkjaw: xi ħaġa x'imkien kultant, kultant jibgħat bi tweġiba għal talbiet esklussivament lin-netwerks mail.ru. Barra minn hekk, jibgħat TCP RST iġġenerat ħażin (mingħajr ACK), ovvjament artifiċjali. Dan huwa kif deher:
Naturalment, l-ewwel ħsibijiet kienu dwar it-tagħmir il-ġdid: DPI terribbli, l-ebda fiduċja fih, qatt ma tkun taf x'tista 'tagħmel - wara kollox, TCP RST hija ħaġa pjuttost komuni fost l-għodod tal-imblukkar.
Assunzjoni Aħna ressaqna wkoll l-idea li xi ħadd "superjuri" qed jiffiltra, iżda immedjatament warrabha.
L-ewwelnett, għandna uplinks sani biżżejjed sabiex ma jkollniex għalfejn inbatu hekk :)
It-tieni nett, aħna konnessi ma 'diversi f'Moska, u t-traffiku lejn mail.ru jgħaddi minnhom - u la għandhom responsabbiltajiet u lanqas xi motiv ieħor biex jiffiltraw it-traffiku.
In-nofs tal-ġurnata li jmiss inqatgħet fuq dak li normalment jissejjaħ shamanism - flimkien mal-bejjiegħ tat-tagħmir, li għalih nirringrazzjawhom, ma qatgħux qalbhom :)
- il-filtrazzjoni kienet kompletament diżattivata
- NAT ġie diżattivat bl-użu tal-iskema l-ġdida
- il-PC tat-test tqiegħed f'pool iżolat separat
- L-indirizzar tal-IP inbidel
Wara nofsinhar, ġiet allokata magna virtwali li konnessa man-netwerk skont l-iskema ta 'utent regolari, u rappreżentanti tal-bejjiegħ ingħataw aċċess għaliha u għat-tagħmir. Ix-xamaniżmu kompla :)
Fl-aħħar, ir-rappreżentant tal-bejjiegħ iddikjara b'fiduċja li l-ħardwer ma kellu assolutament xejn x'jaqsam miegħu: l-ewwel jiġu minn x'imkien ogħla.
InnotaF'dan il-punt, xi ħadd jista 'jgħid: iżda kien ħafna aktar faċli li tieħu dump mhux mill-PC tat-test, iżda mill-awtostrada 'l fuq mid-DPI?
Le, sfortunatament, it-teħid ta 'dump (u anki sempliċement riflessjoni) 40 + gbps m'huwa xejn trivjali.
Wara dan, filgħaxija, ma kien fadal xejn x'tagħmel ħlief terġa 'lura għall-assunzjoni ta' filtrazzjoni stramba x'imkien hawn fuq.
Fittixt minn liema IX qed jgħaddi t-traffiku lejn in-netwerks tal-MRG u sempliċement ikkanċellajt is-sessjonijiet tal-bgp għalih. U - ara u ara! - kollox immedjatament reġa' lura għan-normal 🙁
Min-naħa waħda, hija tal-mistħija li l-ġurnata kollha inqatgħet tfittex il-problema, għalkemm din ġiet solvuta f'ħames minuti.
Minn naha l-ohra:
— fil-memorja tiegħi din hija ħaġa bla preċedent. Kif diġà ktibt hawn fuq - IX tassew m'hemm l-ebda punt li jiġi ffiltrat it-traffiku ta' transitu. Normalment ikollhom mijiet ta’ gigabits/terabits kull sekonda. Ma stajtx serjament nimmaġina xi ħaġa bħal din sa ftit ilu.
— koinċidenza oerhört fortunat taċ-ċirkostanzi: ħardwer kumpless ġdid li mhuwiex partikolarment fdat u li minnu mhux ċar x’jista’ mistenni — imfassal speċifikament għall-imblukkar tar-riżorsi, inklużi TCP RSTs
L-NOC ta' dan l-iskambju tal-internet bħalissa qed ifittex problema. Skonthom (u nemmen minnhom), m'għandhom l-ebda sistema ta 'filtrazzjoni skjerata apposta. Iżda, grazzi smewwiet, it-tfittxija ulterjuri m'għadhiex il-problema tagħna :)
Dan kien attentat żgħir biex niġġustifika lili nnifsi, jekk jogħġbok nifhem u aħfer :)
PS: Jien deliberatament ma nsemmix il-manifattur ta 'DPI/NAT jew IX (fil-fatt, lanqas għandi xi ilmenti speċjali dwarhom, il-ħaġa prinċipali hija li tifhem x'kien)
Ir-realtà tal-lum (kif ukoll tal-bieraħ u ta' qabel il-bieraħ) mill-perspettiva ta' fornitur tal-Internet
Jien qattajt l-aħħar ġimgħat nibni mill-ġdid il-qalba tan-netwerk b'mod sinifikanti, billi wettaq mazz ta 'manipulazzjonijiet "għall-profitt", bir-riskju li jaffettwa b'mod sinifikanti t-traffiku tal-utenti ħajjin. Meta wieħed iqis l-għanijiet, ir-riżultati u l-konsegwenzi ta 'dan kollu, moralment huwa kollox pjuttost diffiċli. Speċjalment - għal darb'oħra nisimgħu diskorsi sbieħ dwar il-protezzjoni tal-istabbiltà tar-Runet, is-sovranità, eċċ. u l-bqija.
F'din it-taqsima, ser nipprova niddeskrivi l-"evoluzzjoni" tal-qalba tan-netwerk ta 'ISP tipiku matul l-aħħar għaxar snin.
Għaxar snin ilu.
F’dawk iż-żminijiet mbierka, il-qalba ta’ netwerk ta’ fornituri tista’ tkun sempliċi u affidabbli daqs ġamm tat-traffiku:
F'din l-istampa simplifikata ħafna, m'hemm l-ebda bagolli, ċrieki, ip/mpls routing.
L-essenza tagħha hija li t-traffiku tal-utent fl-aħħar wasal għall-bidla fil-livell tal-kernel - minn fejn mar , minn fejn, bħala regola, lura għall-qalba taqleb, u mbagħad "barra" - permezz ta 'portal tal-fruntiera waħda jew aktar għall-Internet.
Skema bħal din hija faċli ħafna li tirriżerva kemm fuq L3 (routing dinamiku) kif ukoll fuq L2 (MPLS).
Tista 'tinstalla N+1 ta' kull ħaġa: aċċess servers, swiċċijiet, fruntieri - u b'xi mod jew ieħor tirriżervahom għal failover awtomatiku.
Wara ftit snin Deher ċar għal kulħadd fir-Russja li kien impossibbli li tgħix hekk aktar: kien urġenti li t-tfal jiġu protetti mill-influwenza perniciuża tal-Internet.
Kien hemm bżonn urġenti li jinstabu modi kif jiġi ffiltrat it-traffiku tal-utenti.
Hemm approċċi differenti hawn.
F'każ mhux tajjeb ħafna, xi ħaġa titqiegħed "fil-vojt": bejn it-traffiku tal-utent u l-Internet. It-traffiku li jgħaddi minn din "xi ħaġa" jiġi analizzat u, pereżempju, jintbagħat pakkett falz b'redirect lejn l-abbonat.
F'każ kemxejn aħjar - jekk il-volumi tat-traffiku jippermettu - tista' tagħmel xi ħaġa żgħira b'widnejk: ibgħat għall-iffiltrar traffiku li joriġina mill-utenti biss għal dawk l-indirizzi li jeħtieġ li jiġu ffiltrati (biex tagħmel dan, tista' jew tieħu l-indirizzi IP speċifikat hemmhekk mir-reġistru, jew addizzjonalment isolvi dawk id-dominji eżistenti fir-reġistru).
F'ħin wieħed, għal dawn l-iskopijiet, ktibt sempliċi - għalkemm lanqas nazzarda nsejjaħlu hekk. Huwa sempliċi ħafna u mhux produttiv ħafna - madankollu, ippermetta lilna u għexieren (jekk mhux mijiet) ta 'fornituri oħra biex ma nħallux immedjatament miljuni fuq sistemi DPI industrijali, iżda taw bosta snin addizzjonali ta' żmien.
Mill-mod, dwar id-DPI ta 'dak iż-żmien u dak attwaliMill-mod, ħafna li xtraw is-sistemi DPI disponibbli fis-suq f'dak iż-żmien kienu diġà ntremahom. Ukoll, mhumiex iddisinjati għal dan: mijiet ta 'eluf ta' indirizzi, għexieren ta 'eluf ta' URLs.
U fl-istess ħin, il-produtturi domestiċi għolew b'mod qawwi ħafna għal dan is-suq. Mhux qed nitkellem dwar il-komponent tal-ħardwer - kollox huwa ċar għal kulħadd hawn, iżda s-softwer - il-ħaġa prinċipali li għandu DPI - forsi llum, jekk mhux l-aktar avvanzat fid-dinja, allura ċertament a) jiżviluppa b'mod leaps u limiti, u b) bil-prezz ta' prodott f'kaxxa - sempliċiment inkomparabbli ma' kompetituri barranin.
Nixtieq inkun kburi, imma ftit imdejjaq =)
Issa kollox deher hekk:
Fi ftit snin oħra kulħadd diġà kellu awdituri; Kien hemm aktar u aktar riżorsi fir-reġistru. Għal xi tagħmir antik (pereżempju, Cisco 7600), l-iskema ta’ “filtrazzjoni mill-ġenb” sempliċement saret inapplikabbli: in-numru ta’ rotot fuq 76 pjattaforma huwa limitat għal xi ħaġa bħal disa’ mitt elf, filwaqt li n-numru ta’ rotot IPv4 biss illum qed joqrob it-800. elf. U jekk huwa wkoll ipv6... U wkoll... kemm hemm? 900000 indirizz individwali fil-projbizzjoni RKN? =)
Xi ħadd qaleb għal skema b'mirror tat-traffiku kollu tas-sinsla għal server ta 'filtrazzjoni, li għandu janalizza l-fluss kollu u, jekk tinstab xi ħaġa ħażina, tibgħat RST fiż-żewġ direzzjonijiet (mittent u riċevitur).
Madankollu, iktar ma jkun hemm traffiku, inqas tkun applikabbli din l-iskema. Jekk ikun hemm l-iċken dewmien fl-ipproċessar, it-traffiku rifless sempliċement se jtir mingħajr ma jiġi osservat, u l-fornitur jirċievi rapport multa.
Aktar u aktar fornituri huma sfurzati jinstallaw sistemi DPI ta 'gradi varji ta' affidabilità madwar l-awtostradi.
Sena jew tnejn ilu skond rumors, kważi l-FSB kollha bdew jitolbu l-installazzjoni attwali ta 'tagħmir (qabel, il-biċċa l-kbira tal-fornituri kienu ġestiti bl-approvazzjoni mill-awtoritajiet pjan SORM - pjan ta' miżuri operattivi f'każ ta' bżonn li ssib xi ħaġa x'imkien)
Minbarra l-flus (mhux eżattament eżorbitanti, iżda xorta miljuni), SORM kien jeħtieġ ħafna aktar manipulazzjonijiet man-netwerk.
- Is-SORM jeħtieġ li jara l-indirizzi tal-utenti "griżi" qabel it-traduzzjoni nat
- SORM għandu numru limitat ta' interfaces tan-netwerk
Għalhekk, b'mod partikolari, kellna nerġgħu nibnu mill-ġdid biċċa mill-qalba - sempliċement sabiex niġbru t-traffiku tal-utent għas-servers ta 'aċċess x'imkien f'post wieħed. Sabiex tirriflettiha f'SORM b'diversi links.
Jiġifieri, simplifikat ħafna, kien (xellug) vs sar (lemin):
Issa Ħafna mill-fornituri jeħtieġu wkoll l-implimentazzjoni ta 'SORM-3 - li jinkludi, fost affarijiet oħra, logging ta' xandiriet nat.
Għal dawn l-għanijiet, kellna wkoll inżidu tagħmir separat għan-NAT mad-dijagramma ta 'hawn fuq (eżatt dak li hu diskuss fl-ewwel parti). Barra minn hekk, żid f'ċerta ordni: peress li SORM irid "jara" it-traffiku qabel ma jittraduċi l-indirizzi, it-traffiku għandu jmur strettament kif ġej: utenti -> swiċċjar, kernel -> aċċess servers -> SORM -> NAT -> swiċċjar, kernel - > Internet. Biex nagħmlu dan, kellna litteralment "iddawwar" il-flussi tat-traffiku fid-direzzjoni l-oħra għall-profitt, li kien ukoll pjuttost diffiċli.
Fil-qosor: matul l-aħħar għaxar snin, id-disinn ewlieni ta 'fornitur medju sar ħafna drabi aktar kumpless, u punti addizzjonali ta' falliment (kemm fil-forma ta 'tagħmir kif ukoll fil-forma ta' linji ta 'swiċċjar singoli) żdiedu b'mod sinifikanti. Fil-fatt, ir-rekwiżit stess li "tara kollox" jimplika li dan "kollox" jitnaqqas għal punt wieħed.
Naħseb li dan jista' jiġi estrapolat b'mod pjuttost trasparenti għal inizjattivi attwali biex jiġi sovranizzat ir-Runet, jipproteġih, jistabbilizzah u jtejjeb :)
U Yarovaya għadu quddiem.
Sors: www.habr.com