تبصرو لاء هڪ تفصيلي جواب، گڏو گڏ روسي فيڊريشن ۾ مهيا ڪندڙن جي زندگيء جي باري ۾ ٿورو

مون کي هن پوسٽ ڏانهن اشارو ڪيو هي تبصرو آهي.

مان ان کي هتي نقل ڪريان ٿو:

ڪالمن اڄ 18:53 تي

مان اڄ فراهم ڪندڙ سان خوش آهيان. سائيٽ بلاڪنگ سسٽم جي تازه ڪاري سان گڏ، هن جي ميلر mail.ru تي پابندي لڳائي وئي، مان صبح کان ٽيڪنيڪل سپورٽ کي فون ڪري رهيو آهيان، پر اهي ڪجهه به نٿا ڪري سگهن. مهيا ڪندڙ ننڍڙو آهي، ۽ ظاهري طور تي اعلي سطحي فراهم ڪندڙ ان کي بلاڪ ڪندا آهن. مون سڀني سائيٽن جي کولڻ ۾ سست رفتاري پڻ محسوس ڪئي، ٿي سگهي ٿو ته اهي ڪنهن قسم جي خراب ڊي ايل پي کي نصب ڪن؟ اڳ ۾ رسائي سان ڪو به مسئلو نه هو. RuNet جي تباهي منهنجي اکين اڳيان ٿي رهي آهي ...

حقيقت اها آهي ته اهو لڳي ٿو ته اسان ساڳيو مهيا ڪندڙ آهيون :)

۽ بيشڪ، ڪالمن مون تقريبن mail.ru سان مسئلن جي سبب جو اندازو لڳايو (جيتوڻيڪ اسان هڪ ڊگهي وقت تائين اهڙي شيء تي يقين ڪرڻ کان انڪار ڪيو).

جنهن کي هيٺين ٻن حصن ۾ ورهايو ويندو:

1. mail.ru سان اسان جي موجوده مسئلن جا سبب ۽ انهن کي ڳولڻ جي دلچسپ جستجو
2. اڄ جي حقيقتن ۾ ISP جو وجود، خود مختيار RuNet جي استحڪام.

mail.ru سان رسائي جا مسئلا

ها، اها ڪافي ڊگهي ڪهاڻي آهي.

حقيقت اها آهي ته رياست جي گهرجن کي لاڳو ڪرڻ لاء (وڌيڪ تفصيل ٻئي حصي ۾)، اسان ڪجهه سامان خريد ڪيو، ترتيب ڏنو ۽ نصب ڪيو - ٻنهي ممنوع وسيلن کي فلٽر ڪرڻ ۽ لاڳو ڪرڻ لاء. NAT ترجمو رڪن

ڪجهه وقت اڳ، اسان آخرڪار نيٽ ورڪ ڪور کي اهڙي طرح ٻيهر تعمير ڪيو ته سڀئي سبسڪربر ٽرئفڪ هن سامان جي ذريعي سختي سان صحيح هدايت ۾ گذري ويا.

ڪجهه ڏينهن اڳ اسان ان تي ممنوع فلٽرنگ کي چالو ڪيو (جڏهن ته پراڻي سسٽم ڪم ڪري رهيو هو) - سڀ ڪجهه ٺيڪ ٿيڻ لڳي.

اڳيون، اهي آهستي آهستي هن سامان تي NAT کي فعال ڪرڻ شروع ڪيو صارفين جي مختلف حصن لاء. ان جي نظر مان، اهو پڻ لڳي ٿو ته هر شيء ٺيڪ ٿي وڃي ٿي.

پر اڄ، سبسڪرائبرز جي ايندڙ حصي لاءِ سامان تي NAT کي فعال ڪيو، صبح کان ئي اسان کي غير موجودگي يا جزوي دستيابي بابت شڪايتن جي سٺي تعداد سان منهن ڏيڻو پيو. ميل.ru ۽ ٻيا ميل رو گروپ وسيلا.

انهن چيڪ ڪرڻ شروع ڪيو: ڪجهه ڪٿي ڪڏهن ڪڏهن, ڪڏهن ڪڏهن موڪلي ٿو TCP RST درخواستن جي جواب ۾ خاص طور تي mail.ru نيٽ ورڪن تي. ان کان علاوه، اهو موڪلي ٿو غلط طور تي ٺاهيل (ACK کان سواء)، واضح طور تي مصنوعي TCP RST. اھو اھو آھي جيڪو اھو نظر آيو:

قدرتي طور تي، پهريون خيال نئين سامان جي باري ۾ هئا: خوفناڪ DPI، ان تي ڪو به ڀروسو ناهي، توهان ڪڏهن به نه ٿا ڄاڻو ته اهو ڇا ڪري سگهي ٿو - آخرڪار، TCP RST بلاڪنگ ٽولز جي وچ ۾ هڪ عام شيء آهي.

فرض ڪالمن اسان اهو خيال پڻ پيش ڪيو ته ڪو ماڻهو ”اعليٰ“ فلٽر ڪري رهيو آهي، پر ان کي فوري طور رد ڪري ڇڏيو.

پهرين، اسان وٽ ڪافي سڌريل اپ لنڪس آهن ته جيئن اسان کي اهڙي تڪليف نه ٿئي :)

ٻيو، اسان ڪيترن ئي سان ڳنڍيل آهيون IX ماسڪو ۾، ۽ mail.ru ڏانهن ٽريفڪ انهن جي ذريعي وڃي ٿي - ۽ انهن وٽ نه ذميواريون آهن ۽ نه ئي ٽرئفڪ کي فلٽر ڪرڻ جو ڪو ٻيو مقصد.

ڏينهن جو ايندڙ اڌ ان تي گذاريو ويو جنهن کي عام طور تي شمنزم سڏيو ويندو آهي - گڏو گڏ سامان وينڊر سان، جنهن لاءِ اسان انهن جو شڪريو ادا ڪيو، انهن نه ڇڏيو :)

• فلٽرنگ مڪمل طور تي بند ڪيو ويو
• NAT نئين اسڪيم کي استعمال ڪندي غير فعال ڪيو ويو
• ٽيسٽ پي سي کي الڳ الڳ تلاءَ ۾ رکيو ويو
• IP پتو تبديل ڪيو ويو

منجهند ۾، هڪ مجازي مشين مختص ڪئي وئي جيڪا نيٽ ورڪ سان ڳنڍيل باقاعده صارف جي اسڪيم جي مطابق، ۽ وينڊر جي نمائندن کي ان ۽ سامان تائين رسائي ڏني وئي. شمنزم جاري رهيو :)

آخر ۾، وينڊر جي نمائندي اعتماد سان چيو ته هارڊويئر بلڪل ان سان ڪو به واسطو نه هو: rsts ڪنهن به اعليٰ کان ايندا آهن.

ويچاريهن نقطي تي، ڪو ماڻهو چئي سگهي ٿو: پر اهو تمام آسان هو ته ڊمپ کي ٽيسٽ پي سي کان نه، پر ڊي پي آئي جي مٿان هاء وي کان؟

نه، بدقسمتي سان، ڊمپ کڻڻ (۽ اڃا به صرف آئيني) 40 + gbps بلڪل معمولي ناهي.

ان کان پوءِ، شام جو، وٽس ڪجهه به نه بچيو، سواءِ واپسيءَ کان سواءِ ڪنهن مٿئين جاءِ تي عجيب فلٽريشن جي.

مون ڏٺو ته IX ذريعي MRG نيٽ ورڪن ڏانهن ٽريفڪ هاڻي گذري رهي آهي ۽ بس ان ڏانهن بي جي پي سيشن کي منسوخ ڪيو. ۽ - ڏس ۽ ​​ڏس! - هر شيءِ فوري طور تي معمول تي اچي وئي 🙁

هڪ طرف، اها شرم جي ڳالهه آهي ته سڄو ڏينهن مسئلو ڳولڻ ۾ گذري ويو، جيتوڻيڪ اهو پنجن منٽن ۾ حل ڪيو ويو.

ٻئي پاسي:

- منهنجي يادگيري ۾ اها هڪ غير معمولي شيء آهي. جيئن ته مون مٿي لکيو آهي - IX حقيقت آهي ٽرانزٽ ٽرئفڪ کي فلٽر ڪرڻ ۾ ڪو به مقصد ناهي. انهن وٽ عام طور تي سوين گيگا بٽس/ ٽيرابيٽ في سيڪنڊ هوندا آهن. مان صرف ايترو سنجيدگيءَ سان تصور به نه ڪري سگهيو آهيان اهڙي ڪا شيءِ جو هينئر تائين.

- حالتن جو هڪ ناقابل يقين حد تائين خوش قسمت اتفاق: هڪ نئون پيچيده هارڊويئر جيڪو خاص طور تي قابل اعتبار نه آهي ۽ جنهن مان اهو واضح ناهي ته ڪهڙي اميد رکي سگهجي ٿي - خاص طور تي ٺهيل وسيلن کي بلاڪ ڪرڻ لاءِ، بشمول TCP RSTs

هن انٽرنيٽ ايڪسچينج جو NOC هن وقت مسئلو ڳولي رهيو آهي. انهن جي مطابق (۽ مان انهن کي يقين ڏيان ٿو)، انهن وٽ ڪو خاص مقرر ٿيل فلٽريشن سسٽم ناهي. پر، آسمانن جي مهرباني، وڌيڪ ڳولا هاڻي اسان جو مسئلو ناهي :)

هيءَ هڪ ننڍڙي ڪوشش هئي پاڻ کي درست ثابت ڪرڻ جي، مهرباني ڪري سمجھي معافي وٺندي :)

PS: مان جان بوجھ ڪري DPI/NAT يا IX ٺاهيندڙ جو نالو نه ٿو وٺان (حقيقت ۾، مون کي انهن بابت ڪا خاص شڪايت به ناهي، بنيادي شيء اهو سمجهڻ آهي ته اهو ڇا هو)

انٽرنيٽ فراهم ڪندڙ جي نقطي نظر کان اڄ جي (گڏيل ۽ ڪالهه کان اڳ واري ڏينهن) حقيقت

مون گذريل هفتي گذاريا آهن خاص طور تي نيٽ ورڪ جي بنيادي کي ٻيهر تعمير ڪرڻ، "منافع جي لاء" جو هڪ گروپ انجام ڏيڻ، خاص طور تي صارف جي ٽرئفڪ کي متاثر ڪرڻ جي خطري سان. انهن سڀني مقصدن، نتيجن ۽ نتيجن تي غور ڪندي، اخلاقي طور تي اهو سڀ ڪجهه ڏکيو آهي. خاص طور تي - هڪ ڀيرو ٻيهر رنيٽ جي استحڪام، خودمختاري، وغيره جي حفاظت بابت خوبصورت تقرير ٻڌي. ۽ ايئن.

هن حصي ۾، مان بيان ڪرڻ جي ڪوشش ڪندس "ارتقاء" جي نيٽ ورڪ ڪور جي هڪ عام ISP گذريل ڏهن سالن ۾.

ڏهه سال اڳ.

انهن برڪت واري وقتن ۾، مهيا ڪندڙ نيٽ ورڪ جو بنيادي ٽريفڪ جام جيترو سادو ۽ قابل اعتماد ٿي سگهي ٿو:

ھن بلڪل، بلڪل سادو تصوير ۾، ڪو به ٽڪر، انگوزي، ip/mpls روٽنگ نه آھي.

ان جو خلاصو اهو آهي ته صارف ٽريفڪ آخرڪار ڪرنل ليول سوئچنگ تي آيو - جتان اهو ويو بي اين جي, جتان، ضابطي جي طور تي، واپس بنيادي سوئچنگ ڏانهن، ۽ پوء "ٻاهر" - انٽرنيٽ ڏانهن هڪ يا وڌيڪ سرحدي گيٽ وي ذريعي.

اهڙي اسڪيم تمام، تمام آسان آهي ٻنهي تي L3 (متحرڪ روٽنگ) ۽ L2 (MPLS) تي محفوظ ڪرڻ.

توهان انسٽال ڪري سگهو ٿا N+1 ڪنهن به شيءِ جو: رسائي سرور، سوئچز، بارڊرز - ۽ هڪ طريقو يا ٻيو انهن کي پاڻمرادو ناڪامي لاءِ محفوظ ڪريو.

ڪجھ سالن کان پوء اهو روس ۾ هر ڪنهن تي واضح ٿي ويو آهي ته اهو ناممڪن آهي ته هن وانگر وڌيڪ زندگي گذارڻ: اهو ضروري هو ته ٻارن کي انٽرنيٽ جي خراب اثر کان بچائڻ لاء.

صارف جي ٽرئفڪ کي فلٽر ڪرڻ جا طريقا ڳولڻ جي فوري ضرورت ھئي.

هتي مختلف طريقا آهن.

هڪ تمام سٺي صورت ۾، ڪجهه رکيل آهي "خالي ۾": صارف ٽرئفڪ ۽ انٽرنيٽ جي وچ ۾. هن "ڪجهه" ذريعي گذرڻ واري ٽرئفڪ جو تجزيو ڪيو ويندو آهي ۽، مثال طور، هڪ جعلي پيڪٽ هڪ ريڊائريڪٽ سان سبسڪرائبر ڏانهن موڪليو ويو آهي.

ٿورڙي بهتر صورت ۾ - جيڪڏهن ٽرئفڪ جي مقدار جي اجازت ڏيو - توهان پنهنجي ڪنن سان هڪ ننڍڙي چال ڪري سگهو ٿا: فلٽرنگ لاءِ موڪليو صرف ٽريفڪ جي شروعات ڪندڙ صارفن کان صرف انهن پتن ڏانهن جن کي فلٽر ڪرڻ جي ضرورت آهي (اهو ڪرڻ لاءِ، توهان يا ته وٺي سگهو ٿا IP پتي اتي رجسٽري مان بيان ڪيو ويو، يا اضافي طور تي رجسٽري ۾ موجود ڊومينز کي حل ڪريو).

هڪ دفعي، انهن مقصدن لاء، مون هڪ سادي لکيو مني ڊي پي آئي - جيتوڻيڪ مان هن کي سڏڻ جي به جرئت نه ٿو ڪريان. اهو تمام سادو آهي ۽ تمام گهڻو پيداواري نه آهي - جڏهن ته، اهو اسان کي ۽ ٻين مهيا ڪندڙن جي ڪيترن ئي (جيڪڏهن سوين نه آهي) کي فوري طور تي صنعتي DPI سسٽم تي لکن کي شيل ڪرڻ جي اجازت ڏني، پر ڪيترن ئي اضافي سالن جو وقت ڏنو.

رستي جي ذريعي، ان وقت ۽ موجوده DPI بابترستي ۾، ڪيترن ئي جيڪي خريد ڪيا هئا ڊي پي آئي سسٽم ان وقت مارڪيٽ تي دستياب آهن انهن کي اڳ ۾ ئي اڇلائي ڇڏيو هو. خير، اهي هن لاءِ ٺهيل نه آهن: سوين هزارين پتا، هزارين URLs.

۽ ساڳئي وقت، گهريلو پروڊڪٽرز هن مارڪيٽ ۾ تمام مضبوط ٿي چڪا آهن. مان هارڊويئر جزو جي باري ۾ نه ڳالهائي رهيو آهيان - هتي هر ڪنهن لاءِ سڀ ڪجهه واضح آهي، پر سافٽ ويئر - بنيادي شيء جيڪا ڊي پي آئي آهي - شايد اڄ آهي، جيڪڏهن دنيا ۾ سڀ کان وڌيڪ ترقي يافته نه آهي، پوء يقيني طور تي a) ترقي ڪندي ۽ حدون، ۽ ب) باڪس ٿيل پراڊڪٽ جي قيمت تي - صرف غير ملڪي مقابلي سان بي مثال.

مان فخر ڪرڻ چاهيان ٿو، پر ٿورڙو اداس =)

هاڻي سڀ ڪجهه هن طرح نظر آيو:

ڪجھ وڌيڪ سالن ۾ هر ڪنهن وٽ اڳ ۾ ئي آڊيٽر هئا. رجسٽري ۾ وڌيڪ ۽ وڌيڪ وسيلا هئا. ڪجھ پراڻن سامان لاءِ (مثال طور، سِسڪو 7600)، ”سائيڊ-فلٽرنگ“ اسڪيم بلڪل ناگزير ٿي وئي: 76 پليٽ فارمن تي رستن جو تعداد ڪجھه نو لکن تائين محدود آھي، جڏھن ته اڄڪلھ IPv4 رستن جو تعداد اڪيلو آھي 800 تائين. هزار. ۽ جيڪڏھن اھو پڻ آھي ipv6... ۽ پڻ... اتي ڪيترو آھي؟ RKN جي پابندي ۾ 900000 انفرادي پتا؟ =)

ڪنهن هڪ فلٽرنگ سرور ڏانهن سڀني ريبون ٽرئفڪ جي آئيني سان هڪ اسڪيم کي تبديل ڪيو، جنهن کي پوري وهڪري جو تجزيو ڪرڻ گهرجي ۽، جيڪڏهن ڪجهه خراب ملي ٿي، ٻنهي طرفن (موڪلندڙ ۽ وصول ڪندڙ) ۾ RST موڪليو.

جڏهن ته، وڌيڪ ٽرئفڪ، گهٽ قابل اطلاق هي اسڪيم آهي. جيڪڏهن پروسيسنگ ۾ ٿوري دير آهي، آئيني ٽريفڪ آسانيء سان اڏامي ويندي، ۽ فراهم ڪندڙ کي سٺي رپورٽ ملندي.

وڌيڪ ۽ وڌيڪ مهيا ڪندڙن کي ڊي پي آئي سسٽم نصب ڪرڻ تي مجبور ڪيو ويو آهي مختلف درجي جي اعتبار جي هاء ويز تي.

هڪ يا ٻه سال اڳ افواهون موجب، لڳ ڀڳ سڀ FSB سامان جي حقيقي انسٽاليشن جي طلب ڪرڻ لڳو SORM (اڳي، اڪثر مهيا ڪندڙ اختيارين جي منظوري سان منظم SORM منصوبو - آپريشنل قدمن جو هڪ منصوبو جيڪڏهن ضرورت هجي ته ڪٿي ڪجهه ڳولڻ جي ضرورت آهي)

پئسن جي اضافي ۾ (بلڪل حد کان وڌيڪ نه، پر اڃا به لکين)، SORM کي نيٽ ورڪ سان ڪيترن ئي وڌيڪ ٺاهه جي ضرورت آهي.

• SORM کي ڏسڻ جي ضرورت آهي "گرين" يوزر ايڊريس نيٽ ترجمي کان اڳ
• SORM وٽ نيٽ ورڪ انٽرفيس جو محدود تعداد آھي

تنهن ڪري، خاص طور تي، اسان کي ڪنيل جو هڪ ٽڪرو تمام گهڻو ٻيهر ٺاهڻو پوندو - صرف انهي لاءِ ته صارف ٽرئفڪ کي گڏ ڪرڻ لاءِ رسائي سرور تائين هڪ جاءِ تي. انهي کي آئيني ڪرڻ لاء SORM ۾ ڪيترن ئي لنڪس سان.

اھو آھي، بلڪل آسان، اھو ھو (کاٻي) بمقابلہ (ساڄي):

هاڻي گھڻا مهيا ڪندڙن کي SORM-3 تي عمل ڪرڻ جي ضرورت آھي - جنھن ۾ شامل آھي، ٻين شين جي وچ ۾، نيٽ براڊڪاسٽس جي لاگنگ.

انهن مقصدن لاءِ، اسان کي مٿي ڏنل ڊراگرام ۾ NAT لاءِ الڳ سامان به شامل ڪرڻو پيو (جيڪو پهرئين حصي ۾ بحث ڪيو ويو آهي). ان کان علاوه، ھڪڙي خاص ترتيب ۾ شامل ڪريو: جيئن ته SORM کي پتي جو ترجمو ڪرڻ کان اڳ ٽرئفڪ کي "ڏسڻ" گھرجي، ٽريفڪ کي ھيٺ ڏنل طريقي سان ھلڻ گھرجي: صارفين -> سوئچنگ، ڪنيل -> سرور تائين رسائي -> SORM -> NAT -> سوئچنگ، ڪنيل - > انٽرنيٽ. هن کي ڪرڻ لاء، اسان کي لفظي طور تي "مورو" ٽرئفڪ جي وهڪري کي ٻئي طرف منافعي لاء، جيڪو پڻ تمام ڏکيو هو.

خلاصو: گذريل ڏهن سالن ۾، هڪ سراسري فراهم ڪندڙ جي بنيادي جوڙجڪ ڪيترائي ڀيرا وڌيڪ پيچيده ٿي چڪي آهي، ۽ ناڪامي جا اضافي نقطا (ٻنهي سامان جي صورت ۾ ۽ هڪ واحد سوئچنگ لائنن جي صورت ۾) خاص طور تي وڌي ويا آهن. درحقيقت، ”هر شيءِ کي ڏسڻ“ جي تمام گهڻي ضرورت جو مطلب آهي ”هر شي“ کي هڪ نقطي تائين گهٽائڻ.

مان سمجهان ٿو ته اهو رونٽ کي خود مختيار ڪرڻ، ان کي تحفظ ڏيڻ، ان کي مستحڪم ڪرڻ ۽ ان کي بهتر ڪرڻ لاءِ موجوده قدمن تي شفاف طور تي وڌايو وڃي ٿو :)

۽ Yarovaya اڃا اڳتي آهي.

جو ذريعو: www.habr.com