Маро ба ин пост водор кард .
Ман онро дар ин ҷо иқтибос меорам:
имрӯз, 18:53
Ман имрӯз аз провайдер қаноатманд будам. Дар баробари навсозии системаи масдудкунии сайтҳо, mail.ru-и ӯ манъ карда шуд.Аз саҳар ба дастгирии техникӣ занг мезанам, вале онҳо коре карда наметавонанд. Провайдер хурд аст ва зоҳиран провайдерҳои сатҳи баландтар онро масдуд мекунанд. Ман инчунин сустшавии кушодани ҳама сайтҳоро мушоҳида кардам, шояд онҳо ягон намуди DLP-и каҷро насб карда бошанд? Пештар дар дастрасӣ мушкилот вуҷуд надошт. Нобудшавии RuNet дар пеши назари ман рӯй медиҳад...
Далели он аст, ки ба назар чунин мерасад, ки мо ҳамон провайдер ҳастем :)
Ва дар ҳақиқат Ман тақрибан сабаби мушкилотро бо mail.ru тахмин карда будам (гарчанде ки мо муддати тӯлонӣ ба чунин чизе бовар карданро рад кардем).
Он чизе, ки дар поён оварда мешавад, ба ду қисм тақсим мешавад:
- сабабҳои мушкилоти имрӯзаи мо бо mail.ru ва ҷустуҷӯи ҷолиб барои дарёфти онҳо
- мавчудияти ISP дар вокеиятхои имруза, устувории Рунети сохибихтиёр.
Мушкилоти дастрасӣ бо mail.ru
Оҳ, ин як ҳикояи хеле дароз аст.
Гап дар сари он аст, ки барои иҷрои талаботи давлат (тафсилоти бештар дар қисми дуюм) мо баъзе таҷҳизотро харидем, конфигуратсия кардем ва насб кардем - ҳам барои филтр кардани захираҳои манъшуда ва ҳам барои татбиқи обуначиён.
Чанде пеш, мо ниҳоят ядрои шабакаро тавре барқарор кардем, ки тамоми трафики муштарӣ аз ин таҷҳизот ба таври қатъӣ ба самти дуруст мегузаранд.
Чанд рӯз пеш мо филтри манъшударо дар он фаъол кардем (ҳангоми кор кардани системаи кӯҳна) - ба назар чунин менамуд, ки ҳама чиз хуб аст.
Баъдан, онҳо тадриҷан ба имкон додани NAT дар ин таҷҳизот барои қисмҳои гуногуни муштариён шурӯъ карданд. Аз нигоҳи он, ҳама чиз хуб ба назар мерасид.
Аммо имрӯз, ки NAT-ро дар таҷҳизот барои қисми навбатии муштариён фаъол карда, аз субҳ мо бо шумораи муносиби шикоятҳо дар бораи дастнорасӣ ё қисман мавҷудият дучор шудем. ва дигар захираҳои Mail Ru Group.
Онхо ба тафтиш шуруъ карданд: дар ягон чо чизе баъзан, аз вақт ба вақт мефиристад дар посух ба дархостҳо танҳо ба шабакаҳои mail.ru. Ғайр аз он, он нодуруст тавлидшуда (бе ACK), баръало сунъии TCP RST мефиристад. Ин чунин менамуд:
Табиист, ки фикрҳои аввалин дар бораи таҷҳизоти нав буданд: DPI даҳшатнок, эътимод ба он нест, шумо ҳеҷ гоҳ намедонед, ки он чӣ кор карда метавонад - дар ниҳоят, TCP RST дар байни абзорҳои басташавӣ чизи хеле маъмул аст.
Тахмин Мо низ чунин ақидаро пеш меорем, ки касе "боло" филтр мекунад, аммо дарҳол онро партофтем.
Аввалан, мо пайвандҳои ба қадри кофӣ солим дорем, то мо набояд ин гуна азоб кашем :)
Сониян, мо ба чанд нафар пайвастем дар Маскав ва трафик ба mail.ru тавассути онҳо мегузарад - ва онҳо на масъулият доранд ва на ангезаи дигаре барои филтр кардани трафик.
Нимаи дигари рӯз ба он чизе, ки одатан шаманизм номида мешавад, сарф шуд - дар якҷоягӣ бо фурӯшандаи таҷҳизот, ки мо ба онҳо миннатдорем, онҳо таслим нашуданд :)
- филтркунӣ комилан ғайрифаъол карда шуд
- NAT бо истифода аз схемаи нав хомӯш карда шуд
- компютери санҷишӣ дар як ҳавзи ҷудогона ҷойгир карда шуд
- Суроғаи IP тағир ёфт
Нимаи дуюми рӯз як мошини виртуалӣ ҷудо карда шуд, ки аз рӯи нақшаи корбари муқаррарӣ ба шабака пайваст ва ба намояндагони фурӯшанда дастрасӣ ба он ва таҷҳизот дода шуд. Шаманизм идома дошт :)
Дар охир, намояндаи фурӯшанда бо итминон изҳор дошт, ки сахтафзор ба он ҳеҷ иртиботе надорад: аввалҳо аз ҷои баландтар меоянд.
эрод гирифтанДар ин лаҳза касе метавонад бигӯяд: аммо на аз компютери санҷишӣ, балки аз шоҳроҳи болои DPI гирифтан партов хеле осонтар буд?
Не, мутаассифона, гирифтани партовгоҳ (ва ҳатто танҳо оинакунӣ) 40+gbps ҳеҷ чизи ночиз нест.
Пас аз ин, бегоҳ, ба ҷуз бозгашт ба фарзияи филтратсияи аҷибе, ки дар ҷое боло буд, коре боқӣ намонд.
Ман дидам, ки трафик ба шабакаҳои MRG аз кадом IX ҳоло мегузарад ва танҳо сессияҳои bgp-ро ба он лағв кардам. Ва инак ва инак! - ҳама чиз фавран ба ҳолати муқаррарӣ баргашт 🙁
Аз як тараф, таассуфовар аст, ки тамоми рӯз дар ҷустуҷӯи мушкилот сарф шуд, гарчанде ки он дар панҷ дақиқа ҳал шуд.
Аз тарафи дигар:
— дар хотирам ин ходисаи мислаш диданашуда аст. Чунон ки дар боло навишта будам — IX дар ҳақиқат филтр кардани транзитии транзит ягон фоида надорад. Онҳо одатан садҳо гигабит/терабит дар як сония доранд. Ман то ба наздикӣ чунин чизеро ба таври ҷиддӣ тасаввур карда наметавонистам.
- як тасодуфи бениҳоят хушбахтонаи вазъият: як сахтафзори нави мураккаб, ки ба таври махсус эътимоднок нест ва маълум нест, ки аз он чиро интизор шудан мумкин аст - махсус барои бастани захираҳо, аз ҷумла TCP RSTs таҳия шудааст.
NOC-и ин биржаи интернетӣ дар ҳоли ҳозир мушкилеро меҷӯяд. Ба гуфтаи онҳо (ва ман ба онҳо бовар дорам), онҳо ягон системаи филтратсияи махсус ҷойгиршуда надоранд. Аммо, ташаккур ба осмон, ҷустуҷӯи минбаъда дигар мушкили мо нест :)
Ин як кӯшиши хурде барои сафед кардани худ буд, лутфан бифаҳмед ва бубахшед :)
PS: Ман дидаву дониста истеҳсолкунандаи DPI/NAT ё IX-ро номбар намекунам (воқеан, ман ҳатто дар бораи онҳо ягон шикояти махсус надорам, чизи асосӣ фаҳмидани он аст, ки он чӣ буд)
Воқеияти имрӯз (инчунин дирӯз ва як рӯз пеш аз дирӯз) аз нуқтаи назари провайдери интернет
Ман ҳафтаҳои охирро ба таври назаррас аз нав сохтани асосии шабака сарф кардам ва як қатор амалҳои "барои фоида"-ро бо хатари ба таври назаррас таъсир расонидан ба трафики корбарони зинда анҷом додам. Бо назардошти ҳадафҳо, натиҷаҳо ва оқибатҳои ин ҳама аз ҷиҳати ахлоқӣ хеле душвор аст. Махсусан — бори дигар шунидани сух-батхои зебое, ки дар бораи мухофизати пойдории рун замин, сохибихтиёрй ва гайра. ва ғайра.
Дар ин бахш, ман кӯшиш мекунам, ки "таҳаввулот" -и асосии шабакаи як ISP-и маъмулиро дар даҳ соли охир тавсиф кунам.
Даҳ сол пеш.
Дар он замонҳои муборак, асосии шабакаи провайдерӣ метавонад ба мисли роҳбандии трафик оддӣ ва боэътимод бошад:
Дар ин тасвири хеле соддашуда, ҳеҷ тана, ҳалқаҳо, масири ip/mpls вуҷуд надорад.
Моҳияти он дар он аст, ки трафики корбар дар ниҳоят ба гузариш ба сатҳи ядро мерасид - аз куҷо ба он ҷо рафт , аз он ҷо, чун қоида, бозгашт ба гузариши аслӣ, ва сипас "берун" - тавассути як ё якчанд дарвозаҳои сарҳадӣ ба Интернет.
Чунин нақша ҳам дар L3 (маршрутҳои динамикӣ) ва ҳам дар L2 (MPLS) захира кардан хеле ва хеле осон аст.
Шумо метавонед N+1 аз ҳама чизро насб кунед: дастрасӣ ба серверҳо, коммутаторҳо, сарҳадҳо - ва бо ин ё он роҳ онҳоро барои интиқоли худкор захира кунед.
Баъди чанд сол Ба ҳама дар Русия маълум шуд, ки дигар ин тавр зиндагӣ кардан ғайриимкон аст: зарур аст, ки кӯдаконро аз таъсири зараровари Интернет муҳофизат кунед.
Зарурати фаврӣ пайдо кардани роҳҳои филтр кардани трафики корбарон вуҷуд дошт.
Дар ин ҷо равишҳои гуногун мавҷуданд.
Дар ҳолати на он қадар хуб чизе "дар фосила" гузошта мешавад: байни трафики корбар ва Интернет. Трафике, ки аз ин «чизе» мегузарад, таҳлил карда мешавад ва масалан, ба тарафи муштарӣ бастаи қалбакӣ бо масир фиристода мешавад.
Дар ҳолати каме беҳтар - агар ҳаҷми трафик иҷозат диҳад - шумо метавонед бо гӯшҳои худ як ҳиллаи хурде анҷом диҳед: барои филтр кардани трафики аз корбарон танҳо ба он суроғаҳое, ки бояд филтр карда шаванд, фиристед (барои ин шумо метавонед ё суроғаҳои IP-ро гиред. дар он ҷо аз реестр нишон дода шудааст ё ба таври илова доменҳои мавҷударо дар реестр ҳал кунед).
Як вактхо бо хамин максадхо ман содда навишта будам - гарчанде ки ман ҳатто ҷуръат намекунам, ки ӯро чунин бигӯям. Ин хеле содда ва чандон самаранок нест - аммо, он ба мо ва даҳҳо (агар садҳо на) провайдерҳои дигар имкон дод, ки миллионҳоро дар системаҳои саноатии DPI фавран ҷудо накунанд, балки чанд соли иловагӣ вақт дод.
Воқеан, дар бораи DPI он вақт ва ҳозираДар омади гап, бисёре аз онҳое, ки системаҳои DPI-ро дар бозор харидорӣ кардаанд, аллакай онҳоро партофта буданд. Хуб, онҳо барои ин тарҳрезӣ нашудаанд: садҳо ҳазор суроғаҳо, даҳҳо ҳазор URL.
Ва дар баробари ин, истеҳсолкунандагони ватанӣ ба ин бозор хеле қавӣ баромаданд. Ман дар бораи ҷузъи сахтафзор ҳарф намезанам - ҳама чиз дар ин ҷо ба ҳама равшан аст, аммо нармафзор - чизи асосие, ки DPI дорад - шояд имрӯз бошад, агар пешрафтатарин дар ҷаҳон набошад, пас албатта а) бо ҷаҳиш ва ҳудуд рушд кардан, ва б) бо нархи маҳсулоти қуттӣ - танҳо бо рақибони хориҷӣ қобили муқоиса нест.
Мехостам ифтихор кунам, аммо каме ғамгин =)
Акнун ҳама чиз чунин менамуд:
Дар давоми якчанд соли дигар ҳама аллакай аудитор доштанд; Дар реестр захирахо торафт бештар буданд. Барои баъзе таҷҳизоти кӯҳна (масалан, Cisco 7600) схемаи "филтркунии паҳлӯ" ғайриимкон шуд: шумораи хатсайрҳо дар 76 платформа бо чизе мисли нӯҳсад ҳазор маҳдуд аст, дар ҳоле ки танҳо шумораи хатсайрҳои IPv4 имрӯз ба 800 наздик мешавад. ҳазор. Ва агар он низ ipv6 бошад ... Ва инчунин ... чӣ қадар аст? 900000 суроғаҳои инфиродӣ дар манъи RKN? =)
Касе ба нақшаи инъикоси тамоми трафики магистралӣ ба сервери филтркунӣ гузашт, ки бояд тамоми ҷараёнро таҳлил кунад ва агар ягон чизи бад пайдо шавад, RST-ро ба ҳар ду самт (фиристанда ва қабулкунанда) фиристад.
Аммо, ҳар қадар трафик зиёд бошад, ин нақша ҳамон қадар камтар татбиқ мешавад. Агар каме таъхир дар коркард вуҷуд дошта бошад, трафики оинашуда ба таври оддӣ парвоз мекунад ва провайдер гузориши ҷарима мегирад.
Теъдоди бештари провайдерҳо маҷбур мешаванд, ки системаҳои DPI-и дараҷаи эътимоднокии гуногунро дар шоҳроҳҳо насб кунанд.
Як-ду сол пеш аз руи овозахо кариб хамаи ФСБ ба талаби вокеии монтажи тачхизот шуруъ карданд (қаблан аксари провайдерҳо бо тасдиқи мақомот идора мешуданд Нақшаи SORM - нақшаи чорабиниҳои оперативӣ ҳангоми зарурат дар ҷое пайдо кардани чизе)
Илова ба пул (на маҳз аз ҳад зиёд, вале ба ҳар ҳол миллионҳо), SORM манипуляцияҳои бештарро бо шабака талаб мекард.
- SORM бояд пеш аз тарҷумаи nat суроғаҳои корбарони "хокистарӣ"-ро бубинад
- SORM дорои шумораи маҳдуди интерфейсҳои шабакавӣ мебошад
Аз ин рӯ, аз ҷумла, ба мо лозим омад, ки як пораи ядроро хеле аз нав созем - танҳо барои ҷамъоварии трафики корбарон ба серверҳои дастрасӣ дар ҷое дар як ҷо. Барои инъикоси он дар SORM бо якчанд истинодҳо.
Яъне, хеле содда карда шуда буд, (аз чап) ва (аз рост) шуд:
Акнун Аксари провайдерҳо инчунин татбиқи SORM-3-ро талаб мекунанд, ки дар байни чизҳои дигар сабти пахши natро дар бар мегирад.
Бо ин мақсадҳо, мо инчунин маҷбур шудем, ки таҷҳизоти алоҳидаи NAT-ро ба диаграммаи боло илова кунем (маҳз он чизест, ки дар қисми аввал муҳокима карда мешавад). Ғайр аз он, бо тартиби муайян илова кунед: азбаски SORM бояд пеш аз тарҷумаи суроғаҳо трафикро "бинад", трафик бояд ба таври қатъӣ ба таври зерин сурат гирад: корбарон -> гузариш, ядро -> серверҳои дастрасӣ -> SORM -> NAT -> коммутатсионӣ, ядро - > Интернет. Барои ин, мо маҷбур шудем, ки ҷараёни трафикро ба самти дигар барои фоида ба маънои аслӣ "гардонем", ки ин ҳам хеле душвор буд.
Хулоса: дар давоми даҳ соли охир тарҳи асосии провайдери миёна чандин маротиба мураккабтар шуда, нуқтаҳои иловагии нокомӣ (ҳам дар шакли таҷҳизот ва ҳам дар шакли хатҳои ягонаи коммутатсионӣ) хеле зиёд шуданд. Воқеан, худи талаботи «ҳама чизро дидан» маънои то як нуқта коҳиш додани ин «ҳама чизро» дорад.
Ман фикр мекунам, ки ин метавонад ба таври шаффоф ба ташаббусҳои ҷорӣ оид ба соҳибихтиёрии Рунет, ҳифзи он, ба эътидол овардани он ва такмил додани он дода шавад :)
Яровая бошад, хануз дар пеш аст.
Манбаъ: will.com