Перейти к содержимому
Калькуляторы

Перенаправление трафика на фильтрацию (URL, Layer 7, etc.) с применением BGP FlowSpec

Материал:

Реализация на сети технологий MPLS и VPN позволяет реализовать гибкую схему управляемого перенаправления трафика на узлы фильтрации Layer7, URL, etc.

 

Полный текст

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт.

 

"extFilter - Программа для блокирования сайтов из списка РКН с использованием DPDK. Программа осуществляет блокировку сайтов путем анализа зеркалированного трафика от пользователей."

Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях?

MPLS в сочетании с MP-BGP и BGP Flow-Spec в данной статье рассмотрен исключительно как транспорт для доставки перенаправленного трафика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях?

Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях?

Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает.

 

 

Естественно, можно все обрабатывать на региональных узлах, зеркалировать через сплиттеры, или на коммутаторах, ну еще и несколько стоек серверов с портами 10GE, чтоб обработать весь трафик. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт.

Нет проблем жевать ему трафик с мплс метками. Мплс не означает, что пейлоад поменялся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях?

Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает.

Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат.

И для клиентов - тоже. Весь межаобонентский трфик внутри региона через центральный узел идет да еще и натится. На котором узле (и по дороге на который) систематически все тормозит (железки не справляются) и пакетики теряются. Ну очень "хорошо" на любом голосовом или видео общении сказывается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат.

И для клиентов - тоже. Весь межаобонентский трфик внутри региона через центральный узел идет да еще и натится. На котором узле (и по дороге на который) систематически все тормозит (железки не справляются) и пакетики теряются. Ну очень "хорошо" на любом голосовом или видео общении сказывается.

Одного забанят - все будут страдать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но выход-то очевиден :) v6 впринудилово всем, натить не надо, только роутить и писать. Мелкая сошка без v6 быстро бежит в магазин, за продвинутыми роутерами. А чего - v6 почти все операционки умеют. Правда для меня все серверы доступа и bgp в ядре поменять придётся, с шейперами софтовыми заодно, ну и биллинг. Но я этого не говорил :) Как говорил ММЖ - "с ним невозможно ходить по магазинам. Он им подсказывает ответ. Пива нет ? Пива нет!"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мелкая сошка без v6 быстро бежит в магазин, за продвинутыми роутерами.

Да какими продвинутыми? Не умеют v6 только те роутеры, которые и так брать не стоит.

Правда для меня все серверы доступа и bgp в ядре поменять придётся

Что-то я в это не верю. v6 на тех железках, что имеет наглость называться 'маршрутизатор ядра' уже лет 10 как имеется. Во всяком случае, эта позиция в фичах у них имелась еще тогда(давно), когда я в телекоме работал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

v6 на тех железках, что имеет наглость называться 'маршрутизатор ядра' уже лет 10 как имеется. Во всяком случае, эта позиция в фичах у них имелась еще тогда(давно), когда я в телекоме работал.

"Есть для галочки" и "есть и работает хорошо" - две большие разницы, однако...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"Есть для галочки" и "есть и работает хорошо" - две большие разницы, однако...

Неубедительно. Оно вполне сносно(для того места, куда железка предназначена) работает даже в дешевых SOHO роутерах. И да, в ОС-ах тоже. 'Маршрутизаторы ядра' за 10 лет тоже должны были допилить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

'Маршрутизаторы ядра' за 10 лет тоже должны были допилить.

Вот за 10 и допилили. А сиськин IOS, например, десятилетней выдержки полного функционала не даёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.