Meni ushbu postga taklif qildi .
Men bu erda iqtibos keltiraman:
Bugun soat 18:53
Men bugun provayderdan mamnun bo'ldim. Saytni blokirovka qilish tizimining yangilanishi bilan bir qatorda uning mail.ru pochtasi ham taqiqlangan edi.Men ertalabdan beri texnik yordamga qo'ng'iroq qilaman, lekin ular hech narsa qila olmaydi. Provayder kichik va yuqori darajadagi provayderlar uni to'sib qo'yishadi. Men barcha saytlarning ochilishi sekinlashganini ham payqadim, ehtimol ular qandaydir egri DLP o'rnatgandir? Ilgari kirish bilan bog'liq muammolar yo'q edi. RuNetning yo'q qilinishi mening ko'z o'ngimda sodir bo'lmoqda ...
Gap shundaki, biz o'sha provaydermiz :)
Va, albatta, Men mail.ru bilan bog'liq muammolarning sababini deyarli taxmin qildim (garchi biz uzoq vaqt davomida bunday narsaga ishonishdan bosh tortgan bo'lsak ham).
Quyidagilar ikki qismga bo'linadi:
- mail.ru bilan hozirgi muammolarimizning sabablari va ularni topish uchun qiziqarli qidiruv
- bugungi voqelikda provayderning mavjudligi, suveren RuNetning barqarorligi.
Mail.ru bilan bog'liq muammolar
Oh, bu juda uzoq hikoya.
Gap shundaki, davlat talablarini amalga oshirish uchun (batafsil ma'lumot ikkinchi qismda) biz taqiqlangan resurslarni filtrlash uchun ham, amalga oshirish uchun ham ba'zi uskunalarni sotib oldik, sozladik va o'rnatdik. obunachilar.
Bir muncha vaqt oldin, biz nihoyat tarmoq yadrosini shunday qayta qurdikki, barcha abonent trafigi ushbu uskuna orqali to'g'ri yo'nalishda o'tadi.
Bir necha kun oldin biz unga taqiqlangan filtrlashni yoqdik (eski tizim ishlayotganda) - hamma narsa yaxshi bo'lib tuyuldi.
Keyinchalik, ular asta-sekin abonentlarning turli qismlari uchun ushbu uskunada NAT-ni yoqishni boshladilar. Ko'rinishidan ham hammasi yaxshi ketayotganga o'xshardi.
Ammo bugun, abonentlarning keyingi qismi uchun uskunada NAT-ni ishga tushirganimizdan so'ng, ertalabdan boshlab biz mavjud emaslik yoki qisman mavjudlik haqida ko'plab shikoyatlarga duch keldik. va boshqa Mail Ru Group resurslari.
Ular tekshira boshladilar: biror joyda nimadir ba'zan, vaqti-vaqti bilan yuboradi faqat mail.ru tarmoqlariga bo'lgan so'rovlarga javoban. Bundan tashqari, u noto'g'ri yaratilgan (ACK holda), aniq sun'iy TCP RST yuboradi. Bu shunday ko'rinardi:
Tabiiyki, birinchi fikrlar yangi asbob-uskunalar haqida edi: dahshatli DPI, unga ishonch yo'q, siz u nima qila olishini hech qachon bilmaysiz - axir, TCP RST blokirovka qiluvchi vositalar orasida juda keng tarqalgan narsa.
Bashorat Biz, shuningdek, kimdir "yuqori" filtrlash g'oyasini ilgari surdik, lekin darhol uni bekor qildik.
Birinchidan, bizda bunday azob chekmaslik uchun etarlicha aqlli aloqa mavjud :)
Ikkinchidan, biz bir nechta bilan bog'langanmiz Moskvada va mail.ru ga trafik ular orqali o'tadi - va ular trafikni filtrlash uchun na mas'uliyatga, na boshqa sabablarga ega.
Kunning keyingi yarmi odatda shamanizm deb ataladigan narsaga sarflandi - uskunalar sotuvchisi bilan birga, biz ularga rahmat aytamiz, ular taslim bo'lishmadi :)
- filtrlash butunlay o'chirilgan
- NAT yangi sxema yordamida o'chirib qo'yildi
- sinov kompyuteri alohida ajratilgan hovuzga joylashtirildi
- IP manzili o'zgartirildi
Kunning ikkinchi yarmida oddiy foydalanuvchi sxemasi bo'yicha tarmoqqa ulangan virtual mashina ajratildi va sotuvchi vakillariga unga va uskunaga kirish huquqi berildi. Shamanizm davom etdi :)
Oxir-oqibat, sotuvchining vakili apparatning bunga mutlaqo aloqasi yo'qligini ishonch bilan aytdi: birinchilar yuqoriroq joydan keladi.
notaShu nuqtada, kimdir aytishi mumkin: lekin axlatni sinov kompyuteridan emas, balki DPI ustidagi magistraldan olish ancha oson edi?
Yo'q, afsuski, 40+gbit/s tezlikni olish (va hatto shunchaki aks ettirish) unchalik ahamiyatsiz emas.
Shundan so'ng, kechqurun, yuqorida bir joyda g'alati filtrlash taxminiga qaytishdan boshqa hech narsa qolmadi.
Men MRG tarmoqlariga trafik qaysi IX orqali o'tayotganini ko'rib chiqdim va shunchaki unga bgp seanslarini bekor qildim. Va - mana va mana! - hammasi darhol normal holatga qaytdi π
Bir tomondan, besh daqiqada hal qilingan bo'lsa-da, butun kun muammoni qidirishga sarflangani juda achinarli.
Boshqa tomondan:
- mening xotiramda bu misli ko'rilmagan narsa. Yuqorida yozganimdek - IX albatta tranzit trafigini filtrlashdan foyda yo'q. Ular odatda soniyada yuzlab gigabit/terabitga ega. Men yaqin vaqtgacha bunday narsani jiddiy tasavvur qila olmadim.
β vaziyatlarning nihoyatda omadli tasodifi: unchalik ishonchli boΚ»lmagan va undan nima kutish mumkinligi nomaΚΌlum boΚ»lgan yangi murakkab uskuna β resurslarni, shu jumladan TCP RSTlarni blokirovka qilish uchun maxsus moΚ»ljallangan.
Ushbu internet birjasining MOQ hozirda muammo qidirmoqda. Ularning so'zlariga ko'ra (va men ularga ishonaman), ularda maxsus o'rnatilgan filtrlash tizimi yo'q. Ammo, jannatga shukur, keyingi izlanish endi bizning muammomiz emas :)
Bu o'zimni oqlash uchun kichik bir urinish edi, iltimos, tushuning va kechiring :)
PS: Men ataylab DPI/NAT yoki IX ishlab chiqaruvchisini aytmayman (aslida ular haqida hech qanday maxsus shikoyatim yo'q, asosiysi bu nima ekanligini tushunish)
Internet provayderi nuqtai nazaridan bugungi (shuningdek kechagi va kechagi kun) haqiqati
Men so'nggi haftalarni tarmoqning yadrosini sezilarli darajada qayta qurishga sarfladim, "foyda olish uchun" bir qator manipulyatsiyalarni amalga oshirdim, jonli foydalanuvchi trafigiga sezilarli ta'sir ko'rsatish xavfi bilan. Bularning barchasining maqsadlari, natijalari va oqibatlarini hisobga olsak, axloqiy jihatdan hammasi juda qiyin. Ayniqsa - yana bir bor Runetning barqarorligini, suverenitetini va boshqalarni himoya qilish haqida chiroyli nutqlarni tinglash. va h.k.
Ushbu bo'limda men so'nggi o'n yil ichida odatiy Internet-provayderning tarmoq yadrosining "evolyutsiyasi" ni tasvirlashga harakat qilaman.
O'n yil oldin.
O'sha muborak vaqtlarda provayderlar tarmog'ining o'zagi tirbandlik kabi sodda va ishonchli bo'lishi mumkin edi:
Ushbu juda soddalashtirilgan rasmda magistrallar, halqalar, ip/mpls marshrutlari yo'q.
Uning mohiyati shundan iboratki, foydalanuvchi trafigi oxir-oqibat yadro darajasiga o'tishga keldi - u qayerdan ketdi , qaerdan, qoida tariqasida, asosiy kommutatsiyaga qaytib, keyin esa "tashqariga" - Internetga bir yoki bir nechta chegara shlyuzlari orqali.
Bunday sxemani L3 (dinamik marshrutlash) va L2 (MPLS) da zahiralash juda va juda oson.
Siz har qanday narsaning N+1 ni o'rnatishingiz mumkin: kirish serverlari, kalitlari, chegaralari - va u yoki bu tarzda ularni avtomatik almashtirish uchun zaxiralang.
Bir necha yildan keyin Rossiyada endi bunday yashashning iloji yo'qligi hammaga ayon bo'ldi: bolalarni Internetning zararli ta'siridan himoya qilish juda zarur edi.
Foydalanuvchi trafigini filtrlash usullarini topishga shoshilinch ehtiyoj bor edi.
Bu erda turli xil yondashuvlar mavjud.
Juda yaxshi bo'lmagan holatda, biror narsa "bo'shliqqa" qo'yiladi: foydalanuvchi trafigi va Internet o'rtasida. Ushbu "narsa" orqali o'tadigan trafik tahlil qilinadi va, masalan, abonentga yo'naltirilgan soxta paket yuboriladi.
Biroz yaxshiroq holatda - agar trafik hajmi imkon bersa - siz quloqlaringiz bilan kichik hiyla qilishingiz mumkin: filtrlash uchun faqat foydalanuvchilardan keladigan trafikni faqat filtrlanishi kerak bo'lgan manzillarga yuboring (buni amalga oshirish uchun siz IP manzillarini olishingiz mumkin) u erda registrdan ko'rsatilgan yoki qo'shimcha ravishda registrdagi mavjud domenlarni hal qiling).
Bir vaqtlar, bu maqsadlar uchun men oddiy yozganman - Garchi men uni shunday deyishga jur'at etolmayman. Bu juda oddiy va unchalik unumli emas - ammo bu bizga va o'nlab (agar yuzlab bo'lmasa) boshqa provayderlarga sanoat DPI tizimlarida millionlab pullarni zudlik bilan to'lamaslikka imkon berdi, lekin qo'shimcha bir necha yil vaqt berdi.
Aytgancha, o'sha paytdagi va hozirgi DPI haqidaAytgancha, o'sha paytda bozorda mavjud bo'lgan DPI tizimlarini sotib olgan ko'pchilik ularni allaqachon tashlab yuborishgan. Xo'sh, ular buning uchun mo'ljallanmagan: yuz minglab manzillar, o'n minglab URL manzillar.
Shu bilan birga, mahalliy ishlab chiqaruvchilar ushbu bozorga juda kuchli ko'tarildi. Men apparat komponenti haqida gapirmayapman - bu erda hamma narsa hamma uchun tushunarli, lekin dasturiy ta'minot - DPI-ga ega bo'lgan asosiy narsa - ehtimol bugungi kunda, agar dunyodagi eng ilg'or bo'lmasa, unda, albatta, a) sakrash va chegaralar bilan rivojlanmoqda, va b) qutiga solingan mahsulot narxida - chet ellik raqobatchilar bilan taqqoslanmaydi.
Men faxrlanmoqchiman, lekin biroz xafa bo'lmoqchiman =)
Endi hamma narsa shunday ko'rinardi:
Yana bir necha yil ichida hamma allaqachon auditorlarga ega edi; Ro'yxatga olish kitobida ko'proq manbalar mavjud edi. Ba'zi eski uskunalar (masalan, Cisco 7600) uchun "yon tomonni filtrlash" sxemasi shunchaki qo'llanilmaydi: 76 platformadagi marshrutlar soni to'qqiz yuz mingga yaqin, IPv4 marshrutlari soni esa bugungi kunda 800 ga yaqinlashmoqda. ming. Va agar u ham ipv6 bo'lsa ... Va shuningdek ... u erda qancha? RKN taqiqida 900000 XNUMX ta individual manzillar? =)
Kimdir barcha magistral trafikni filtrlash serveriga aks ettiruvchi sxemaga o'tdi, u butun oqimni tahlil qilishi va agar biron bir yomon narsa aniqlansa, RSTni har ikki yo'nalishda ham (yuboruvchi va qabul qiluvchi) yuborishi kerak.
Biroq, trafik qancha ko'p bo'lsa, bu sxema shunchalik kam qo'llaniladi. Agar ishlov berishda ozgina kechikish bo'lsa, aks ettirilgan trafik shunchaki sezilmasdan uchib ketadi va provayder jarima hisobotini oladi.
Tobora ko'proq provayderlar avtomobil yo'llari bo'ylab turli darajadagi ishonchlilikdagi DPI tizimlarini o'rnatishga majbur.
Bir yoki ikki yil oldin mish-mishlarga ko'ra, deyarli barcha FSB uskunalarni haqiqiy o'rnatishni talab qila boshladi (ilgari ko'pchilik provayderlar hokimiyatning roziligi bilan boshqariladigan SORM rejasi - biror joyda biror narsani topish kerak bo'lganda tezkor chora-tadbirlar rejasi)
Pulga qo'shimcha ravishda (aniq ko'p emas, lekin baribir millionlar), SORM tarmoq bilan ko'proq manipulyatsiyalarni talab qildi.
- SORM nat tarjimasidan oldin "kulrang" foydalanuvchi manzillarini ko'rishi kerak
- SORM cheklangan miqdordagi tarmoq interfeyslariga ega
Shuning uchun, xususan, biz yadroning bir qismini qayta qurishimiz kerak edi - shunchaki bir joyda kirish serverlariga foydalanuvchi trafigini to'plash uchun. Uni bir nechta havolalar bilan SORMda aks ettirish uchun.
Ya'ni, juda soddalashtirilgan, u (chapda) va (o'ngda) bo'ldi:
Endi Aksariyat provayderlar, shuningdek, SORM-3 dasturini amalga oshirishni talab qiladi, bu boshqa narsalar qatori, nat eshittirishlarini ro'yxatga olishni ham o'z ichiga oladi.
Ushbu maqsadlar uchun biz yuqoridagi diagrammaga NAT uchun alohida uskunani qo'shishimiz kerak edi (aynan birinchi qismda muhokama qilingan). Bundan tashqari, ma'lum bir tartibda qo'shing: SORM manzillarni tarjima qilishdan oldin trafikni "ko'rishi" kerakligi sababli, trafik qat'iy ravishda quyidagicha ketishi kerak: foydalanuvchilar -> kommutatsiya, yadro -> kirish serverlari -> SORM -> NAT -> kommutatsiya, yadro - > Internet. Buning uchun biz foyda olish uchun transport oqimlarini boshqa yo'nalishda "aylantirishimiz" kerak edi, bu ham juda qiyin edi.
Xulosa: so'nggi o'n yil ichida o'rtacha provayderning asosiy dizayni ko'p marta murakkablashdi va qo'shimcha nosozliklar (uskunalar ko'rinishida ham, bitta kommutatsiya liniyalari ko'rinishida) sezilarli darajada oshdi. Aslida, "hamma narsani ko'rish" talabi bu "hamma narsani" bir nuqtaga qisqartirishni anglatadi.
O'ylaymanki, buni Runetni suverenlashtirish, uni himoya qilish, barqarorlashtirish va yaxshilash bo'yicha joriy tashabbuslarga juda shaffof tarzda ekstrapolyatsiya qilish mumkin :)
Yarovaya esa hali oldinda.
Manba: www.habr.com