Вы Гость ( Вход | Регистрация ) политика конфиденциальности

Перенаправление трафика на фильтрацию (URL, Layer 7, etc.) с применением BGP FlowSpec Оценка: ----- Страница 1 из 1 опции темы

Пользователь офлайн Robot_NagNews
04 июля 2017 - 15:30
Сообщение #1

Звание: Профессор
Группа: VIP
Сообщений: 4 015
Регистрация: 11 февраля 10
Материал:
Реализация на сети технологий MPLS и VPN позволяет реализовать гибкую схему управляемого перенаправления трафика на узлы фильтрации Layer7, URL, etc.

Полный текст
 
Пользователь офлайн ne-vlezay80
04 июля 2017 - 15:30
Сообщение #2

Звание: Студент
Группа: Активный участник
Сообщений: 302
Регистрация: 22 августа 14
Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт.
 
Пользователь офлайн tec1
04 июля 2017 - 17:55
Сообщение #3

Звание: Абитуриент
Группа: Новичок
Сообщений: 2
Регистрация: 15 октября 15

Просмотр сообщенияne-vlezay80 (04 июля 2017 - 15:30) писал:

Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter([url]https://github.com/max197616/extfilter[/url]) для фильтрации mpls-потока не подойдёт.


"extFilter - Программа для блокирования сайтов из списка РКН с использованием DPDK. Программа осуществляет блокировку сайтов путем анализа зеркалированного трафика от пользователей."
Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях?
MPLS в сочетании с MP-BGP и BGP Flow-Spec в данной статье рассмотрен исключительно как транспорт для доставки перенаправленного трафика.
 
Пользователь офлайн Tosha
04 июля 2017 - 18:15
Сообщение #4

Звание: Профессор
Группа: VIP
Сообщений: 3 918
Регистрация: 04 марта 10

Просмотр сообщенияtec1 (04 июля 2017 - 17:55) писал:

Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях?

Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает.
 
Пользователь офлайн tec1
04 июля 2017 - 18:57
Сообщение #5

Звание: Абитуриент
Группа: Новичок
Сообщений: 2
Регистрация: 15 октября 15

Просмотр сообщенияTosha (04 июля 2017 - 18:15) писал:

Просмотр сообщенияtec1 (04 июля 2017 - 17:55) писал:

Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях?

Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает.



Естественно, можно все обрабатывать на региональных узлах, зеркалировать через сплиттеры, или на коммутаторах, ну еще и несколько стоек серверов с портами 10GE, чтоб обработать весь трафик. :)
 
Пользователь онлайн zhenya`
04 июля 2017 - 22:08
Сообщение #6

Звание: Доцент
Группа: VIP
Сообщений: 1 513
Регистрация: 10 июня 09

Просмотр сообщенияne-vlezay80 (04 июля 2017 - 15:30) писал:

Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт.

Нет проблем жевать ему трафик с мплс метками. Мплс не означает, что пейлоад поменялся.
 
Пользователь офлайн YuryD
04 июля 2017 - 22:25
Сообщение #7

Звание: Профессор
Группа: VIP
Сообщений: 3 162
Регистрация: 26 февраля 03
Город: Курган

Просмотр сообщенияTosha (04 июля 2017 - 18:15) писал:

Просмотр сообщенияtec1 (04 июля 2017 - 17:55) писал:

Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях?

Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает.

Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат.
 
Пользователь онлайн zhenya`
06 июля 2017 - 08:46
Сообщение #8

Звание: Доцент
Группа: VIP
Сообщений: 1 513
Регистрация: 10 июня 09
Естественно снимать трафик надо до нат
 
Пользователь офлайн Sergey Gilfanov
06 июля 2017 - 11:38
Сообщение #9

Звание: Академик
Группа: VIP
Сообщений: 10 895
Регистрация: 01 ноября 02

Просмотр сообщенияYuryD (04 июля 2017 - 22:25) писал:

Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат.

И для клиентов - тоже. Весь межаобонентский трфик внутри региона через центральный узел идет да еще и натится. На котором узле (и по дороге на который) систематически все тормозит (железки не справляются) и пакетики теряются. Ну очень "хорошо" на любом голосовом или видео общении сказывается.
 
Пользователь офлайн ne-vlezay80
06 июля 2017 - 15:07
Сообщение #10

Звание: Студент
Группа: Активный участник
Сообщений: 302
Регистрация: 22 августа 14

Просмотр сообщенияSergey Gilfanov (06 июля 2017 - 11:38) писал:

Просмотр сообщенияYuryD (04 июля 2017 - 22:25) писал:

Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат.

И для клиентов - тоже. Весь межаобонентский трфик внутри региона через центральный узел идет да еще и натится. На котором узле (и по дороге на который) систематически все тормозит (железки не справляются) и пакетики теряются. Ну очень "хорошо" на любом голосовом или видео общении сказывается.

Одного забанят - все будут страдать
 
Пользователь офлайн YuryD
06 июля 2017 - 18:51
Сообщение #11

Звание: Профессор
Группа: VIP
Сообщений: 3 162
Регистрация: 26 февраля 03
Город: Курган
Но выход-то очевиден :) v6 впринудилово всем, натить не надо, только роутить и писать. Мелкая сошка без v6 быстро бежит в магазин, за продвинутыми роутерами. А чего - v6 почти все операционки умеют. Правда для меня все серверы доступа и bgp в ядре поменять придётся, с шейперами софтовыми заодно, ну и биллинг. Но я этого не говорил :) Как говорил ММЖ - "с ним невозможно ходить по магазинам. Он им подсказывает ответ. Пива нет ? Пива нет!"
 
Пользователь офлайн Sergey Gilfanov
06 июля 2017 - 19:09
Сообщение #12

Звание: Академик
Группа: VIP
Сообщений: 10 895
Регистрация: 01 ноября 02

Просмотр сообщенияYuryD (06 июля 2017 - 18:51) писал:

Мелкая сошка без v6 быстро бежит в магазин, за продвинутыми роутерами.

Да какими продвинутыми? Не умеют v6 только те роутеры, которые и так брать не стоит.

Просмотр сообщенияYuryD (06 июля 2017 - 18:51) писал:

Правда для меня все серверы доступа и bgp в ядре поменять придётся

Что-то я в это не верю. v6 на тех железках, что имеет наглость называться 'маршрутизатор ядра' уже лет 10 как имеется. Во всяком случае, эта позиция в фичах у них имелась еще тогда(давно), когда я в телекоме работал.
 
Пользователь офлайн snvoronkov
06 июля 2017 - 19:22
Сообщение #13

Звание: Академик
Группа: VIP
Сообщений: 5 311
Регистрация: 08 ноября 12
Город: Тюмень

Просмотр сообщенияSergey Gilfanov (06 июля 2017 - 19:09) писал:

v6 на тех железках, что имеет наглость называться 'маршрутизатор ядра' уже лет 10 как имеется. Во всяком случае, эта позиция в фичах у них имелась еще тогда(давно), когда я в телекоме работал.

"Есть для галочки" и "есть и работает хорошо" - две большие разницы, однако...
 
Пользователь офлайн Sergey Gilfanov
06 июля 2017 - 19:31
Сообщение #14

Звание: Академик
Группа: VIP
Сообщений: 10 895
Регистрация: 01 ноября 02

Просмотр сообщенияsnvoronkov (06 июля 2017 - 19:22) писал:

"Есть для галочки" и "есть и работает хорошо" - две большие разницы, однако...

Неубедительно. Оно вполне сносно(для того места, куда железка предназначена) работает даже в дешевых SOHO роутерах. И да, в ОС-ах тоже. 'Маршрутизаторы ядра' за 10 лет тоже должны были допилить.
 
Пользователь офлайн snvoronkov
06 июля 2017 - 19:53
Сообщение #15

Звание: Академик
Группа: VIP
Сообщений: 5 311
Регистрация: 08 ноября 12
Город: Тюмень

Просмотр сообщенияSergey Gilfanov (06 июля 2017 - 19:31) писал:

'Маршрутизаторы ядра' за 10 лет тоже должны были допилить.

Вот за 10 и допилили. А сиськин IOS, например, десятилетней выдержки полного функционала не даёт.
 
Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей