இந்தப் பதவிக்கு என்னைத் தூண்டியது .
நான் அதை இங்கே மேற்கோள் காட்டுகிறேன்:
இன்று 18:53 மணிக்கு
இன்று வழங்குநரால் நான் மகிழ்ச்சியடைந்தேன். சைட் ப்ளாக்கிங் சிஸ்டம் அப்டேட்டுடன், அவரது மெயிலர் mail.ru தடை செய்யப்பட்டது, நான் காலையிலிருந்து தொழில்நுட்ப ஆதரவை அழைக்கிறேன், ஆனால் அவர்களால் எதுவும் செய்ய முடியாது. வழங்குநர் சிறியவர், வெளிப்படையாக உயர்தர வழங்குநர்கள் அதைத் தடுக்கிறார்கள். எல்லா தளங்களையும் திறப்பதில் மந்தநிலையையும் நான் கவனித்தேன், ஒருவேளை அவர்கள் ஒருவித வளைந்த டிஎல்பியை நிறுவியிருக்கலாம்? முன்னதாக, அணுகலில் எந்த பிரச்சனையும் இல்லை. RuNet இன் அழிவு என் கண் முன்னே நடக்கிறது...
உண்மை என்னவென்றால், நாங்கள் அதே வழங்குநர் என்று தெரிகிறது :)
மற்றும் உண்மையில், mail.ru உடனான சிக்கல்களின் காரணத்தை நான் கிட்டத்தட்ட யூகித்தேன் (நாங்கள் நீண்ட காலமாக அத்தகைய விஷயத்தை நம்ப மறுத்தாலும்).
பின்வருபவை இரண்டு பகுதிகளாக பிரிக்கப்படும்:
- mail.ru உடனான எங்கள் தற்போதைய சிக்கல்களுக்கான காரணங்கள் மற்றும் அவற்றைக் கண்டுபிடிப்பதற்கான அற்புதமான தேடுதல்
- இன்றைய யதார்த்தங்களில் ISP இன் இருப்பு, இறையாண்மை RuNet இன் நிலைத்தன்மை.
mail.ru உடன் அணுகல் சிக்கல்கள்
ஓ, இது ஒரு நீண்ட கதை.
உண்மை என்னவென்றால், மாநிலத்தின் தேவைகளை செயல்படுத்துவதற்காக (இரண்டாம் பகுதியில் கூடுதல் விவரங்கள்), நாங்கள் சில உபகரணங்களை வாங்கினோம், கட்டமைத்தோம் மற்றும் நிறுவினோம் - தடைசெய்யப்பட்ட வளங்களை வடிகட்டுவதற்கும் செயல்படுத்துவதற்கும் சந்தாதாரர்கள்.
சில காலத்திற்கு முன்பு, அனைத்து சந்தாதாரர்களின் போக்குவரமும் இந்த உபகரணத்தின் வழியாக கண்டிப்பாக சரியான திசையில் செல்லும் வகையில் பிணைய மையத்தை நாங்கள் இறுதியாக மீண்டும் உருவாக்கினோம்.
சில நாட்களுக்கு முன்பு நாங்கள் தடைசெய்யப்பட்ட வடிகட்டலை இயக்கினோம் (பழைய கணினியை விட்டு வெளியேறும்போது) - எல்லாம் சரியாக நடப்பதாகத் தோன்றியது.
அடுத்து, சந்தாதாரர்களின் வெவ்வேறு பகுதிகளுக்கு இந்த சாதனத்தில் NAT ஐ படிப்படியாக இயக்கத் தொடங்கினர். அதன் தோற்றத்திலிருந்து, எல்லாம் சரியாக நடப்பதாகத் தோன்றியது.
ஆனால் இன்று, சந்தாதாரர்களின் அடுத்த பகுதிக்கான உபகரணங்களில் NAT-ஐ இயக்கியதால், காலையில் இருந்தே, கிடைக்காதது அல்லது ஓரளவு கிடைப்பது குறித்து ஏராளமான புகார்களை நாங்கள் எதிர்கொண்டோம். மற்றும் பிற Mail Ru குழு வளங்கள்.
அவர்கள் சரிபார்க்க ஆரம்பித்தார்கள்: எங்கோ ஏதோ சில நேரங்களில், எப்போதாவது அனுப்புகிறது பிரத்தியேகமாக mail.ru நெட்வொர்க்குகளுக்கான கோரிக்கைகளுக்கு பதிலளிக்கும் வகையில். மேலும், இது தவறாக உருவாக்கப்பட்ட (ACK இல்லாமல்), வெளிப்படையாக செயற்கையான TCP RSTயை அனுப்புகிறது. இது இப்படி இருந்தது:
இயற்கையாகவே, முதல் எண்ணங்கள் புதிய உபகரணங்களைப் பற்றியவை: பயங்கரமான டிபிஐ, அதில் நம்பிக்கை இல்லை, அது என்ன செய்ய முடியும் என்று உங்களுக்குத் தெரியாது - எல்லாவற்றிற்கும் மேலாக, டிசிபி ஆர்எஸ்டி என்பது தடுப்பு கருவிகளில் மிகவும் பொதுவான விஷயம்.
அனுமானம் யாரோ “உயர்ந்தவர்” வடிகட்டுகிறார் என்ற கருத்தையும் நாங்கள் முன்வைத்தோம், ஆனால் உடனடியாக அதை நிராகரித்தோம்.
முதலாவதாக, எங்களிடம் போதுமான விவேகமான இணைப்புகள் உள்ளன, இதனால் நாங்கள் இப்படி கஷ்டப்பட வேண்டியதில்லை :)
இரண்டாவதாக, நாங்கள் பலவற்றுடன் இணைக்கப்பட்டுள்ளோம் மாஸ்கோவில், மற்றும் mail.ru க்கு போக்குவரத்து அவர்கள் வழியாக செல்கிறது - மேலும் போக்குவரத்தை வடிகட்ட அவர்களுக்கு பொறுப்புகளோ அல்லது வேறு எந்த நோக்கமும் இல்லை.
நாளின் அடுத்த பாதி பொதுவாக ஷாமனிசம் என்று அழைக்கப்படுகிறது - உபகரண விற்பனையாளருடன் சேர்ந்து, நாங்கள் அவர்களுக்கு நன்றி கூறுகிறோம், அவர்கள் கைவிடவில்லை :)
- வடிகட்டுதல் முற்றிலும் முடக்கப்பட்டது
- புதிய திட்டத்தைப் பயன்படுத்தி NAT முடக்கப்பட்டது
- சோதனை பிசி ஒரு தனி தனிமைப்படுத்தப்பட்ட குளத்தில் வைக்கப்பட்டது
- ஐபி முகவரி மாற்றப்பட்டது
பிற்பகலில், ஒரு வழக்கமான பயனரின் திட்டத்தின் படி நெட்வொர்க்குடன் இணைக்கப்பட்ட ஒரு மெய்நிகர் இயந்திரம் ஒதுக்கப்பட்டது, மேலும் விற்பனையாளரின் பிரதிநிதிகளுக்கு அது மற்றும் உபகரணங்களுக்கான அணுகல் வழங்கப்பட்டது. ஷாமனிசம் தொடர்ந்தது :)
இறுதியில், விற்பனையாளரின் பிரதிநிதி நம்பிக்கையுடன் வன்பொருளுக்கும் இதற்கும் எந்த தொடர்பும் இல்லை என்று கூறினார்: ஆர்எஸ்எஸ் எங்கோ உயர்ந்த இடத்தில் இருந்து வருகிறது.
கருத்துஇந்த கட்டத்தில், யாரோ ஒருவர் கூறலாம்: ஆனால் சோதனை கணினியிலிருந்து அல்ல, ஆனால் டிபிஐக்கு மேலே உள்ள நெடுஞ்சாலையில் இருந்து டம்ப் எடுப்பது மிகவும் எளிதாக இருந்தது?
இல்லை, துரதிர்ஷ்டவசமாக, 40+ஜிபிபிஎஸ் டம்ப் (மற்றும் பிரதிபலிப்பு கூட) எடுத்துக்கொள்வது சாதாரணமானது அல்ல.
இதற்குப் பிறகு, மாலையில், மேலே எங்காவது விசித்திரமான வடிகட்டுதல் அனுமானத்திற்குத் திரும்புவதைத் தவிர வேறு எதுவும் இல்லை.
MRG நெட்வொர்க்குகளுக்கான ட்ராஃபிக் இப்போது எந்த IX வழியாக செல்கிறது என்பதைப் பார்த்து, அதற்கான bgp அமர்வுகளை ரத்து செய்தேன். மற்றும் - இதோ! - எல்லாம் உடனடியாக இயல்பு நிலைக்குத் திரும்பியது
ஒருபுறம், ஐந்தே நிமிடங்களில் பிரச்சினை தீர்க்கப்பட்டாலும், நாள் முழுவதும் அதைத் தேடுவது வெட்கக்கேடானது.
மறுபுறம்:
- என் நினைவில் இது ஒரு முன்னோடியில்லாத விஷயம். நான் ஏற்கனவே மேலே எழுதியது போல் - IX உண்மையில் போக்குவரத்து போக்குவரத்தை வடிகட்டுவதில் எந்த அர்த்தமும் இல்லை. அவை பொதுவாக வினாடிக்கு நூற்றுக்கணக்கான ஜிகாபிட்/டெராபிட்களைக் கொண்டுள்ளன. சமீப காலம் வரை இதுபோன்ற ஒன்றை என்னால் தீவிரமாக கற்பனை செய்து பார்க்க முடியவில்லை.
- சூழ்நிலைகளின் நம்பமுடியாத அதிர்ஷ்டமான தற்செயல் நிகழ்வு: குறிப்பாக நம்பமுடியாத ஒரு புதிய சிக்கலான வன்பொருள் மற்றும் அதில் இருந்து என்ன எதிர்பார்க்கலாம் என்பது தெளிவாகத் தெரியவில்லை - குறிப்பாக TCP RSTகள் உட்பட வளங்களைத் தடுப்பதற்காக வடிவமைக்கப்பட்டுள்ளது.
இந்த இணையப் பரிமாற்றத்தின் NOC தற்போது சிக்கலைத் தேடுகிறது. அவர்களைப் பொறுத்தவரை (மற்றும் நான் அவர்களை நம்புகிறேன்), அவர்களிடம் சிறப்பாகப் பயன்படுத்தப்பட்ட வடிகட்டுதல் அமைப்பு இல்லை. ஆனால், வானத்திற்கு நன்றி, மேலும் தேடுதல் இனி எங்கள் பிரச்சனை அல்ல :)
இது என்னை நானே நியாயப்படுத்த ஒரு சிறிய முயற்சி, புரிந்து கொள்ளவும் மன்னிக்கவும் :)
PS: DPI/NAT அல்லது IX உற்பத்தியாளரை நான் வேண்டுமென்றே பெயரிடவில்லை (உண்மையில், அவர்களைப் பற்றி எனக்கு சிறப்பு புகார்கள் எதுவும் இல்லை, அது என்ன என்பதைப் புரிந்துகொள்வதே முக்கிய விஷயம்)
இணைய வழங்குநரின் பார்வையில் இன்றைய (அதே போல் நேற்றைய மற்றும் நேற்றைய தினம்) யதார்த்தம்
நான் கடந்த வாரங்களில் நெட்வொர்க்கின் மையப்பகுதியை கணிசமாக மறுகட்டமைப்பதில் செலவிட்டேன், நேரடி பயனர் போக்குவரத்தை கணிசமாக பாதிக்கும் அபாயத்துடன் "லாபத்திற்காக" பல கையாளுதல்களைச் செய்தேன். இவை அனைத்தின் இலக்குகள், முடிவுகள் மற்றும் விளைவுகள் ஆகியவற்றைக் கருத்தில் கொண்டு, தார்மீக ரீதியாக இது மிகவும் கடினம். குறிப்பாக - ரூனட்டின் ஸ்திரத்தன்மை, இறையாண்மை போன்றவற்றைப் பாதுகாப்பது பற்றிய அழகான உரைகளை மீண்டும் ஒருமுறை கேட்பது. மற்றும் பல.
இந்தப் பிரிவில், கடந்த பத்து ஆண்டுகளில் வழக்கமான ISP இன் நெட்வொர்க் மையத்தின் "பரிணாமத்தை" விவரிக்க முயற்சிப்பேன்.
பத்து ஆண்டுகளுக்கு முன்பு.
அந்த ஆசீர்வதிக்கப்பட்ட காலங்களில், வழங்குநர் நெட்வொர்க்கின் மையமானது போக்குவரத்து நெரிசலைப் போல எளிமையாகவும் நம்பகமானதாகவும் இருக்கும்:
இந்த மிக மிக எளிமைப்படுத்தப்பட்ட படத்தில், டிரங்குகள், மோதிரங்கள், ip/mpls ரூட்டிங் எதுவும் இல்லை.
அதன் சாராம்சம் என்னவென்றால், பயனர் போக்குவரத்து இறுதியில் கர்னல் நிலை மாறுதலுக்கு வந்தது - அது எங்கிருந்து சென்றது , எங்கிருந்து, ஒரு விதியாக, மீண்டும் மைய மாறுதலுக்கு, பின்னர் "வெளியே" - இணையத்திற்கு ஒன்று அல்லது அதற்கு மேற்பட்ட எல்லை நுழைவாயில்கள் மூலம்.
அத்தகைய திட்டம் L3 (டைனமிக் ரூட்டிங்) மற்றும் L2 (MPLS) இரண்டிலும் முன்பதிவு செய்வது மிகவும் எளிதானது.
நீங்கள் எதையும் N+1 ஐ நிறுவலாம்: அணுகல் சேவையகங்கள், சுவிட்சுகள், பார்டர்கள் - மற்றும் ஒரு வழி அல்லது வேறு அவற்றை தானியங்கி தோல்விக்கு ஒதுக்குங்கள்.
சில வருடங்களுக்குப் பிறகு இனி இப்படி வாழ முடியாது என்பது ரஷ்யாவில் உள்ள அனைவருக்கும் தெளிவாகியது: இணையத்தின் தீங்கு விளைவிக்கும் செல்வாக்கிலிருந்து குழந்தைகளைப் பாதுகாப்பது அவசரமானது.
பயனர் போக்குவரத்தை வடிகட்டுவதற்கான வழிகளைக் கண்டறிய வேண்டிய அவசரத் தேவை இருந்தது.
இங்கே வெவ்வேறு அணுகுமுறைகள் உள்ளன.
ஒரு நல்ல சந்தர்ப்பத்தில், ஏதோ "இடைவெளியில்" வைக்கப்படுகிறது: பயனர் போக்குவரத்துக்கும் இணையத்திற்கும் இடையில். இந்த "ஏதாவது" வழியாக செல்லும் போக்குவரத்து பகுப்பாய்வு செய்யப்படுகிறது, எடுத்துக்காட்டாக, ஒரு வழிமாற்று கொண்ட போலி பாக்கெட் சந்தாதாரரை நோக்கி அனுப்பப்படுகிறது.
சற்று சிறப்பாக இருந்தால் - ட்ராஃபிக் வால்யூம் அனுமதித்தால் - உங்கள் காதுகளால் ஒரு சிறிய தந்திரம் செய்யலாம்: வடிகட்ட வேண்டிய முகவரிகளுக்கு மட்டுமே பயனர்களிடமிருந்து வரும் போக்குவரத்தை வடிகட்ட அனுப்பவும் (இதைச் செய்ய, நீங்கள் ஐபி முகவரிகளை எடுக்கலாம். பதிவேட்டில் இருந்து அங்கு குறிப்பிடப்பட்டுள்ளது, அல்லது பதிவேட்டில் ஏற்கனவே உள்ள டொமைன்களைத் தீர்க்கவும்).
ஒரு காலத்தில், இந்த நோக்கங்களுக்காக, நான் ஒரு எளிய எழுதினேன் - நான் அவரை அப்படி அழைக்கத் துணியவில்லை என்றாலும். இது மிகவும் எளிமையானது மற்றும் மிகவும் பயனுள்ளதாக இல்லை - இருப்பினும், இது எங்களுக்கும் டஜன் கணக்கான (நூற்றுக்கணக்கான இல்லையென்றால்) பிற வழங்குநர்களுக்கும் உடனடியாக தொழில்துறை DPI அமைப்புகளில் மில்லியன் கணக்கானவற்றை வழங்காமல் இருக்க அனுமதித்தது, ஆனால் பல கூடுதல் ஆண்டுகள் அவகாசம் அளித்தது.
மூலம், அப்போதைய மற்றும் தற்போதைய டிபிஐ பற்றிமூலம், அந்த நேரத்தில் சந்தையில் கிடைக்கும் DPI அமைப்புகளை வாங்கிய பலர் ஏற்கனவே அவற்றை தூக்கி எறிந்துவிட்டனர். சரி, அவை இதற்காக வடிவமைக்கப்படவில்லை: நூறாயிரக்கணக்கான முகவரிகள், பல்லாயிரக்கணக்கான URLகள்.
அதே நேரத்தில், உள்நாட்டு உற்பத்தியாளர்கள் இந்த சந்தையில் மிகவும் வலுவாக உயர்ந்துள்ளனர். நான் வன்பொருள் கூறுகளைப் பற்றி பேசவில்லை - இங்கே அனைவருக்கும் தெளிவாக உள்ளது, ஆனால் மென்பொருள் - DPI இன் முக்கிய விஷயம் - ஒருவேளை இன்று, உலகில் மிகவும் மேம்பட்டதாக இல்லாவிட்டால், நிச்சயமாக அ) பாய்ச்சல் மற்றும் வரம்பில் வளரும், மற்றும் b) ஒரு பெட்டி தயாரிப்பின் விலையில் - வெளிநாட்டு போட்டியாளர்களுடன் ஒப்பிடமுடியாது.
நான் பெருமைப்பட விரும்புகிறேன், ஆனால் கொஞ்சம் வருத்தமாக =)
இப்போது எல்லாம் இப்படி இருந்தது:
இன்னும் ஓரிரு வருடங்களில் அனைவருக்கும் ஏற்கனவே தணிக்கையாளர்கள் இருந்தனர்; பதிவேட்டில் மேலும் மேலும் வளங்கள் இருந்தன. சில பழைய உபகரணங்களுக்கு (உதாரணமாக, சிஸ்கோ 7600), "பக்க-வடிகட்டுதல்" திட்டம் வெறுமனே பொருந்தாது: 76 இயங்குதளங்களில் உள்ள வழித்தடங்களின் எண்ணிக்கை ஒன்பது லட்சம் என வரையறுக்கப்பட்டுள்ளது, அதே நேரத்தில் IPv4 வழித்தடங்களின் எண்ணிக்கை மட்டும் இன்று 800ஐ நெருங்குகிறது. ஆயிரம். அதுவும் ipv6 என்றால்... மேலும்... எவ்வளவு இருக்கிறது? RKN தடையில் 900000 தனிப்பட்ட முகவரிகள்? =)
யாரோ ஒரு வடிகட்டுதல் சேவையகத்திற்கு அனைத்து முதுகெலும்பு போக்குவரத்தையும் பிரதிபலிக்கும் திட்டத்திற்கு மாறியுள்ளனர், இது முழு ஓட்டத்தையும் பகுப்பாய்வு செய்ய வேண்டும், மேலும் ஏதேனும் மோசமானது கண்டறியப்பட்டால், RSTயை இரு திசைகளிலும் அனுப்பவும் (அனுப்புபவர் மற்றும் பெறுநர்).
இருப்பினும், அதிக போக்குவரத்து, இந்த திட்டம் குறைவாக பொருந்தும். செயலாக்கத்தில் சிறிதளவு தாமதம் ஏற்பட்டால், பிரதிபலித்த ட்ராஃபிக் கவனிக்கப்படாமல் பறக்கும், மேலும் வழங்குநர் ஒரு சிறந்த அறிக்கையைப் பெறுவார்.
மேலும் அதிகமான வழங்குநர்கள் நெடுஞ்சாலைகள் முழுவதும் நம்பகத்தன்மையின் பல்வேறு அளவுகளில் DPI அமைப்புகளை நிறுவ வேண்டிய கட்டாயத்தில் உள்ளனர்.
ஓரிரு வருடங்களுக்கு முன்பு வதந்திகள் படி, கிட்டத்தட்ட அனைத்து FSB உபகரணங்கள் உண்மையான நிறுவல் கோர தொடங்கியது (முன்பு, பெரும்பாலான வழங்குநர்கள் அதிகாரிகளின் ஒப்புதலுடன் நிர்வகிக்கப்பட்டனர் SORM திட்டம் - எங்காவது ஏதாவது கண்டுபிடிக்க வேண்டியிருந்தால் செயல்பாட்டு நடவடிக்கைகளின் திட்டம்)
பணத்திற்கு கூடுதலாக (சரியாக மிகையாக இல்லை, ஆனால் இன்னும் மில்லியன்கள்), SORM க்கு நெட்வொர்க்கில் இன்னும் பல கையாளுதல்கள் தேவைப்பட்டன.
- நாட் மொழிபெயர்ப்புக்கு முன் SORM "சாம்பல்" பயனர் முகவரிகளைப் பார்க்க வேண்டும்
- SORM ஆனது குறைந்த எண்ணிக்கையிலான பிணைய இடைமுகங்களைக் கொண்டுள்ளது
எனவே, குறிப்பாக, நாங்கள் கர்னலின் ஒரு பகுதியை மீண்டும் உருவாக்க வேண்டியிருந்தது - ஒரே இடத்தில் எங்காவது அணுகல் சேவையகங்களுக்கு பயனர் போக்குவரத்தை சேகரிப்பதற்காக. பல இணைப்புகளுடன் SORM இல் அதை பிரதிபலிப்பதற்காக.
அதாவது, மிகவும் எளிமைப்படுத்தப்பட்டது, அது (இடது) vs ஆனது (வலது):
இப்போது பெரும்பாலான வழங்குநர்கள் SORM-3 ஐ செயல்படுத்த வேண்டும் - மற்றவற்றுடன், நாட் ஒளிபரப்புகளை பதிவு செய்வதும் இதில் அடங்கும்.
இந்த நோக்கங்களுக்காக, மேலே உள்ள வரைபடத்தில் NATக்கான தனி உபகரணங்களையும் சேர்க்க வேண்டியிருந்தது (சரியாக முதல் பகுதியில் விவாதிக்கப்பட்டது). மேலும், ஒரு குறிப்பிட்ட வரிசையில் சேர்க்கவும்: முகவரிகளை மொழிபெயர்ப்பதற்கு முன் SORM போக்குவரத்தை "பார்க்க" வேண்டும் என்பதால், போக்குவரத்து கண்டிப்பாக பின்வருமாறு செல்ல வேண்டும்: பயனர்கள் -> மாறுதல், கர்னல் -> அணுகல் சேவையகங்கள் -> SORM -> NAT -> மாறுதல், கர்னல் - > இணையம். இதைச் செய்ய, லாபத்திற்காக போக்குவரத்து ஓட்டங்களை வேறு திசையில் "திருப்ப" வேண்டியிருந்தது, இது மிகவும் கடினமாக இருந்தது.
சுருக்கமாக: கடந்த பத்து ஆண்டுகளில், சராசரி வழங்குநரின் முக்கிய வடிவமைப்பு பல மடங்கு சிக்கலானதாகிவிட்டது, மேலும் தோல்வியின் கூடுதல் புள்ளிகள் (உபகரணங்களின் வடிவத்திலும் ஒற்றை மாறுதல் வரிகளின் வடிவத்திலும்) கணிசமாக அதிகரித்துள்ளன. உண்மையில், "எல்லாவற்றையும்" பார்க்க வேண்டும் என்பது இந்த "எல்லாவற்றையும்" ஒரு புள்ளியாகக் குறைப்பதைக் குறிக்கிறது.
Runet ஐ இறையாண்மையாக்குவதற்கும், அதைப் பாதுகாப்பதற்கும், அதை நிலைப்படுத்துவதற்கும், மேம்படுத்துவதற்கும் தற்போதைய முயற்சிகளுக்கு இது மிகவும் வெளிப்படையான முறையில் விரிவுபடுத்தப்படலாம் என நினைக்கிறேன் :)
யாரோவயா இன்னும் முன்னால் இருக்கிறார்.
ஆதாரம்: www.habr.com