Stak

Да навороченных конфигураций и не надо. Надо маркировку/перемаркировку на входе, да очереди на выходе. Вопрос только в конкретных примерах, уже реализованных на чьей либо сети.

LAN (WS-X67xx)

Сетка наша долго росла и развивалась по принципу "толще труба - меньше проблем", однако всё же решили взяться за ум и внедрить diffserv, хотя бы для того, что бы роутинг не разваливался при отказе канала и перегрузке оставшегося из-за недостаточной ёмкости :) Может кто поделится бест-практикс на эту тему для ISP? В качестве вводных - железо в основном Cisco, аггрегация/ядро 7600 или ASR9k, доступ - МЕ34х, МЕ36х, есть немножко и других вендоров (Хуавей) на доступе и аггрегации, имеются арендованные L2vpn-каналы, IGP - isis, сквозной mpls (LDP), в основном L3VPN, немножко L2VPN.

Печаль. 3 новых Глонасса за бугор...

Загнать BGP в IGP - ну классика жанра жеж :) За год до случая с Яндексом у нас тоже были такие грабли :) Ну и анонс чужих /24 от имени своей AS - тоже проходили, Глобалнет нам так подгадил как-то :)

стоят такие, на том FWSM, на котором раньше был NAT: Licensed features for this platform: Maximum Interfaces : 1000 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 20 GTP/GPRS : Disabled BGP Stub : Disabled Service Acceleration : Disabled VPN Peers : Unlimited

При ~100 трансляциях на абонента ( у нас примерно так, для РАТ) ~ 2500 абонентов.

сколько мегабит вы им пронатили нормально? FWSM тянет порядка ~3 Гбит. Когда стало мало - перешли на АСЕ (до сих пор в эксплуатации). А теперь используем ASA.

ASA-шки хороши. ~30Gbps на кластер из 8 штук (4 активных контекста, РАТ) - полёт нормальный, с хорошим резервом для роста. ASA5585-SSP-60. Паблики и v6 идут мимо.

Temych, что вы думаете о предлагаемой процедуре блокировки (http://www.rsoc.ru/docs/Rezjume_issledovanija_v01.pdf)?

Лично меня огорчает, что ВНЯТНАЯ процедура блокировки (реализация которой не будет стоить космических денег), НЕ НУЖНОСТЬ фильтрации для магистральных операторов, и идея о объединении ВСЕХ списков фильтрации в одном реестре появиляются только сейчас. Это не касаясь самого факта правомерности внесудебной блокировки.

Да, срач был зачётен :)

Не успели добавить :)

Роскомнадзор породил рекомендации по технике блокировки: http://www.rsoc.ru/docs/Rezjume_issledovanija_v01.pdf "...Наиболее предпочтительным методом блокирования следует признать комбинированное блокирование с предварительным выделением по IP адресам и дальнейшей фильтрацией по URL (IP+URL). Оно может быть рекомендовано как основной метод для решения данной задачи. " Не прошло и полгода :) Хотя мы именно так и сделали, причём сразу. В общих чертах процесс выглядит так: Сервер фильтрации периодически обновляет список запрещенных URL и отправляет в IP Backbone по протоколу BGP обновленные маршруты к этим адресам (с предварительным резолвом через DNS). Маршруты ведут через сервер фильтрации. Сервер фильтрации анализирует с помощью модуля strings для iptables URL, и если URL относится к запрещенным, делает форвардинг трафика на сервер со страницей-заглушкой. Прочие URLсервер фильтрации пропускает дальше на ASBR. Стоит отметить, что на всем пути source ip сохраняется и через сервер фильтрации идет только Uplink трафик. Т.о. с помощью BGP и сохранения source ip на сервер фильтрации направляется лишь небольшая часть Uplink трафика, которую может обработать любой сервер типа HP DL360.

Кино зачётно. Одобрямс. Побольше бы таких фильмов, а то шлак один крутят.

Вангирую, что на каждом из каналов - РА адреса от этого аплинка и нат. В такой ситуации помогает только свой блок адресов, а его нынче получить несколько проблематично :)

Дык забриджевать FR-ные сабинтерфейсы с dot1q сабинтерфейсами. Говорили же уже.

Немного не так. Синхра FDD тоже нужна, но точность для работы не критична. Так что на практике оверлейный режим 1588 на ip-транспорте без аппаратной поддержки 1588 нормально работает, все БС синхронизируются с пары ip-clock.

Самый маленький из наших:

Уже стоит, работает. кэширует тытрубку однако.

Это у кого как. В нашем случае, к примеру, необходимость апгрейда СОРМ для поддержки ipv6/ipv4 DS, является единственной причиной отсутствия поддержки ipv6, на всех остальных элементах сети проблем нет никаких. Аппетиты вендоров СОРМа в нашем случае просто непомерные, а внедрять ipv6 в продакшн без СОРМ нам не позволяют тёплые отношения с контролирующими органами.

Спасибо, поржал :) Ролик зачётный :)

Это работало даже 4 года назад) http://forum.nag.ru/forum/index.php?showtopic=45488&view=findpost&p=351847

Юристы - они такие, у каждого своё мнение...

Извиняйте, наше дело - блокировать то , что есть в списке. Без самодеятельности.