bifit

Интересует RSP720-3CXL-GE. Сколько стоит?

Сделайте поддержку flowspec на сети и продавайте IP-транзит с flowspec'ом как ReTN. Готов купить IP-транзит с flowspec хоть сейчас по указанной Вами цене.

А чего Кудряшова искать? Известно где он живет (г. Раменское, Московская обл.). Приезжай и бери тёпленьким. Кому адрес нужен?

Какое конкретно у Вас, CNick, оборудование Arbor для борьбы с DDoS'ом? Из основного: CP5500 - это коллектор (2U PC на Xeon'ах), на который приходит нетфлоу с маршуризаторов. TMSxxxx - это митигатор, который осуществляет очистку трафика от DDoS-атак. Митигаторы у Арбора есть на двух платформах - обычные PC с Xeon'ами до 3 Gbps (1U или 2U) и ATCA-платформы с использованием сетевых процессоров XLP732 (MIPS-ядра) и производительностью от 5 до 40 Gbps. Еще встречаются другие менее распространенные позиции. Если есть конкретные вопросы по Арборам - задавайте здесь или на antiddos@bifit.com. Поможем. Димитрий.

попробуйте haproxy на двухсокетном E5-2680 c двумя 10GbE (i82599).

Нужен канал 100Мбит от М9 до Калуги. Предложение на info@ibank2.ru

Хочу : Взять в аренду Предмет сделки : Канал Цена : Нужен канал 100Мбит от М9 до Калуги Дополнительная информация : Нужен канал 100Мбит от М9 до Калуги Сообщение сгенерировано автоматически с помощью инструмента "Биржа каналов"

Есть пара штук в продакшене. Стоят, работают. Используются в датацентре как L2 - шестнадцать ESX'ов и два NFS-хранилища подключены по 10G. Внутри сделаны хорошо, добротно (специально один разобрал, чтобы понять качество сборки и оценить риски). Цена 5k$ за новый девайс - идеальна. А в чём сомнения?

Есть несколько вариантов хардварных. Например, Radware DefensePro 8412 с двумя парами портов 10G честно держит 10Mpps syn flood'а (сделан на сетевых процессорах EZChip NP-3).

Как вариант - 24-портовый SFP+ 10G Dell PowerConnect 8024F http://www.dell.com/us/enterprise/p/powerconnect-8024f/pd Дешево ~5k$, два БП, 20 SFP+ & 4 combo 10GBASE-T/SFP+.

Ну неужели так трудно цифры озвучить? 3'528 руб. с НДС в месяц за двухволоконную кроссировку. От 9 до 15 тыс. + НДС за организацию кроссировки. Или, коллеги, у вас радикально другие цифры?!

Коллеги, прошу соориентировать по стоимости прокладки и ежемесячной платы за кроссировку на ММТС-9 двухволоконным кабелем. Возможно мы отстали от жизни, редко делаем кроссировки за свой счет и тут такие неожиданности :(

Так никто String Matching на сетевых процессорах и не делает. Для этого класса задач используются контекстные процессоры от того же NetLogic'а, LSI И др. Разработчики Radware поступили ОЧЕНЬ правильно - они добавили в состав DefensePro одну плату с интерфейсом PCI-E x4, на которой расположен контекстный процессор NetLogic NLS205 и стали для String Matching'а использовать SDK от NetLogic'а, задействовав в эксклюзивном режиме одно из ядер Оптерона. В итоге дешево и средито. Кстати, в тяжелых TMS'ах Arbor'а для первичной обработки трафика используются сетевые процессоры XLP NetLogic'а, а для String Matching'а - всё те же контекстные процессоры серии NETL7 NetLogic'а. При этом в ATCA-платформу, на которой сделаны старшие Arbor TMS, технически можно повтыкать модули с топовыми Xeon'ами 5600 серии. Но столь же эффективного выхлопа, как при использовании связки XLP + NLS + TCAM, из CPU общего назначения (Xeon) не получается.

А что тут строить? Если совсем в лоб - берете обычную Arbor CP5500 + два Arbor TMS 4000 в полной набивке с производительностью 40Gbps каждый и получаете суммарно 80Gbps. Вот только бюджет получится недетский - под 3 ляма грина. И вроде как такое даже было сделано для видео-выборов (у меня информация неподтвержденная). Или же делать, как это делает kostich - силами своей команды разработчиков. Например, до 80G входящего трафика относительно равномерно балансируются на 16 портов 10GBASE-T на очень доступном C4900M. И уже на каждой ноде (Dual Xeon X5690 + i82599) преспокойно бороться со своими 5Gbps входящего трафика. Да не вопрос :) С огромным удовольствием ибо "кадры решают всё" (с) Присылайте развернутое резюме с демонстрацией квалификации на repan@bifit.com

Посмотрел только что количество сигнатур от Radware, по которым проверяется проходящий через DefensePro трафик на защищаемых клиентов. У меня - 4'309 активных сигнатур вендора. Плюс нами написанных еще немного. Актуализация - сегодня вечером. Linco, а сколько у Вас сигнатур проверяется для защищаемого трафика на Вашем отдельно стоящем IPS'е? Какую модель IPS и какого вендора используете? Какую полосу в Gbps и Mpps Ваш IPS держит для Вашего объема сигнатур? В принципе, для корпорэйта, IMHO, Radware DefensePro 4412 на территории заказчика - за глаза. Десятку на вход (в Москве это уже не проблема) и на выходе будет тебе и Stateful файрвол, и защита от SYN-флада, и хардварный IPS в обе стороны, и собственноручно написанные сигнатуры с работой на контекстном процессоре (SME), и шейпинг нужного трафика, и антисканинг, и HTTP-митигатор, и защита DNS'а, и защита SIP'а, и много других вкусных плюшек. Причем многие механизмы в тяжелой серии DefensePro x412 (OnDemand Switch 3S2) сделаны на сетевом процессоре EZchip NP-3 + софтварно с эксклюзивным закреплением экземляров VxWorks по ядрам Оптеронов. Но, повторюсь, железка применима только для нужд корпорэйта. Для операторов - маловата будет. Делать на DP-x412 услуги, продаваемые другим операторам - это утопия. Даже просто для защиты пары сотен клиентов DefensePro не хватает. Faramund тестил 4412 и подтвердит мои слова. Хотя с тех пор прошло уже пару лет и хард+софт прилично допилили. Операторам я бы рекомендовал всё-таки Arbor Peakflow SP. CP + хардварный TMS на ATCA-платформе. Да, дорого. Очень. Как самолет. Но дело свое хорошо делает. Кстати, мы в лабу и для демонстрации корпоративным заказчикам (у нас преимущественно банки) Arbor Pravail APS взяли. С двумя 10GbE-портами под SMF и со встроенным оптическим байпасом. Эдакий кастрированный TMS. Очень понравилась железка при первом знакомстве. Всё сделано хоть и софтверно, но на заявленных 10G работает (i82599). Есть поддержка работы в облаке - с операторским Arbor Peakflow SP. Пользовательский интерфейс Pravail'а - через Web, весь на русском языке (а также английский + китайский). Очень удачно и понятно. Прям для имбецилов. Первые отзывы банков - реально нравится. Спасибо Ярославу.

Linco, faramund, если бы этот Netoptics имел бы 6 40G-портов QSFP+ и 24 10G-порта SFP+, то я еще бы мог представить как влить в эту железку 240G входящего трафика и равномерно размазать по 24-м 10G-портам SFP+, к которым подключено 24 ноды, чистящие от DDoS'а и проверяющие сигнатуры (IPS) на 10G wirespeed каждая. Но что реально можно сделать с этим NetOptics'ом?! Linco, разъясните, пожалуйста, как Вы балансируете 240Гб/с входящего трафика по ХХ нодам с использованием этой железки! Или 240Гбит - это просто манипуляция цифрами дабы клиенты повелись? Ну тогда по аналогии я могу сослаться на использование везде оборудования аж в целых 720Гбит/сек (7600-ые циски)... Но это же фиктивные цифры, не имеющие никакого отношения к реальной производительности центра очистки.

L2 => Etherchannel => до 8 линков по 10G Откуда берется балансировка входящего трафика в 240Гб/с? Или это производительность L2-коммутатора?

Linco, что с AS'кой? Озвучите? Или только став Вашим клиентом, можно узнать через кого будет литься DDoS и хватит ли каналов?

Ну значит не в рынке я, отстал от жизни, если у Вас ТАК поперло. Faramund, я же больше по банкам :) Искренне рад за РТ-Комм и столь положительный тренд.

Это какой у Вас балансировщик на 240Гб/с используется?! Или это на обычном многопортовом 10G-коммутаторе раскидываете 240Гб?

Продавать услуги - это еще не значит, что услуги РЕАЛЬНО покупают. Ведь еще есть Маркетинг, Пиар... Faramund, у РТ-Кома много клиентов на DDoS-защите акромя государевых? Ну хотя бы порядок.

Ирония безусловно есть, но самую малость, ибо не всё оказывается так просто, как при поверхностном знакомстве. Я знаю историю разведчиков, когда по задаваемым вопросам формируется картина о задающем :) И понимаю, что задавая вопросы, раскрываю часть наших "достижений". Но если Вы, Linco, действительно хотите рассказать и поделиться техническими подробностями, а иначе ОПЕРАТОРЫ не будут покупать Ваши услуги, то давайте начнем: 1. Интернет-каналы. Вы предлагаете операторам делать с Вами кроссировку (например, на М9 одной десяткой), заводить на Вас весь входящий трафик защищаемых клиентов, и назад отдавать операторам очищенный трафик, который операторы передают клиентам? То есть Вы чистите трафик только входящий? А как быть с исходящим трафиком от защищаемого клиента? В такой схеме у Вас нет расходов на Интернет-каналы и Вы лишь предоставляете услуги своего Центра очистки. Тут свои плюсы и минусы. Или же, Linco, Вы всё-таки имеете свои Интернет-каналы (тогда номер AS в студию) и весь входящий грязный трафик идет через Ваши каналы к Вам? Если у Вас, Linco, свои Интернет-каналы для входящего грязного трафика, то как реализован Ваш Центр очистки - централизовано (всё стоит в одном месте) или децентрализовано? Второй случай - это когда Вы завязаны на одного большого оператора-магистрала уровня РЕТН, и на каждой точке присутствия Вашего оператора-магистрала (AMS-IX, DE-CIX, LINX и пр.) рядом с его бордером стоит частичка Вашего Центра очистки (эдакий митигатор), которая чистит весь трафик, входящий с аплинков и пиров оператора-магистрала прямо там, не загружая мусором сеть оператора-магистрала. 2. IPS. Зачем? Что Вы им чистите? От чего реально защищаете? Как часто и кто поставляет актуальные сигнатуры? Сколько сигнатур может одновременно применяться к входящему трафику на wirespeed'е? Решение для IPS софтверно или хардварно? Если второй случай - какие контекстные процессоры используете? Или всё сделано на FPGA+TCAM? Какие Gbps и Mpps обеспечивает используемый Вами IPS? Какие задержки вносит? Можно ли защищаемому клиенту или как минимум Оператору, покупающему Ваши услуги очистки трафика, дать возможность писать свои регулярные выражения для Вашего IPS? Пример навороченной сигнатуры можете привести дабы понять возможности Вашего IPS? 3. Radware DefensePro. Какой конкретно и зачем используете? Тяжелый ODS 3S2 (DP-12412) с четырьмя десятками из-за хардварного механизма защиты от TCP SYN Foold'а на EZсhip NP-3 ? Вы видели что происходит при превышении 10Mpps SYN-флуда? Используете ли IPS, встроенный в Radware DP-12412? Результатами тестов РЕАЛЬНОЙ РАБОТЫ встроенного IPS'а на NetLogic'е с 4'000 сигнатур готовы поделиться публично? Сколько политик на DefensePro у Вас одновременно работало и при какой нагрузке? Деградацию производительности в разы при росте количества политик от 5 до 50 наблюдали? 4. Arbor Peakflow SP используете? Какую TMS'ку в какой конфигурации? Общие впечатления? Используемая Вами схема включения TMS? Какие контрмеры по Вашему опыту оказываются наиболее эффективны? CP'шка есть? Сколько TMS'ок к ней подключено? RegExp на TMS'ках используете часто и какова эффективность? 5. Периметр от МФИ-Софта В Вашем посте слово "периметр" встречается. Конфигурация Вашего железа. Какая Tilera стоит? Общие впечатления - плюсы, минусы. Какие основные механизмы очистки используете на Периметре? До скольких Gbps и Mpps грузили Периметр в боевых условиях? 6. Клиенты. Кого из крупных клиентов уже удалось позащищать? Отзывы операторов и клиентов? Максимальные DDoS-атаки из Вашей практики - Gbps, Mpps, продолжительность? Ну для начала, по-скромному, пока хватит :) Сейчас подтянутся Тимашков Константин (aka kostich) и Лямин Александр (aka flx) и накидают говна на вентилятор еще вопросов дабы оживить дискуссию :)

Не поленитесь, Linco, распишите. Всем миром посмотрим, поучимся и своим опытом поделимся.

Хочу : Купить Предмет сделки : Волокно от М9 до Дата-центра на ул. Нижегородская, 32 Контакты: repan@bifit.com , моб. 784-19-20 Сообщение сгенерировано автоматически с помощью инструмента "Биржа каналов"

ИМХО, скорее всего kostich: 1. Договорился с Андерсеном и поставил свое железо+софт для очистки с подключением к бордерам на границе сети Андерса - в Амстердаме, в Лондоне, в Франкфурте и в других точках, где в сеть Андерса вливаются толстые аплинки и пиры с IX'ов. 2. Использует BGP anycast - с каждого узла очистки, подключенного к бордеру Андерса, анонсирует свою AS50098 и "приземляет" весь приходящий трафик с аплинков и пиров Андерса прям здесь же, на границе сети Андерса, не засоряя сеть Андерса. 3. Для блокирования UDP-flood'а использует BGP flowspec на аплинков Андерса. 4. В качестве оборудования узла для очистки до 20Gb (UDP-flood'а уже нет, только SYN-flood + прикладной HTTP-flood) использует коммутатор уровня C3750E-24TD с подключением к Андерсу двумя десятками в Etherchannel'е и балансированием трафика на 12 двухсокетных серверов на Xeon'ах, с подключением каждого сервера к C3750E двумя гигабитными линками в Etherchannel'е. Всё ноу-хау kostich'а: - в его софте, работающем на серверах узлов и чистящих каждый свои два гигабита входящего трафика от DDoS-атак; - пассионарности и организаторских способностях договориться с Андерсом. Возможно Константин со своей командой, как практик, ушел вперед и научился на серверах с топовыми X5690 + 10Gb-портами на контроллерах i82599 чистить трафик от SYN-flood'а и прикладного HTTP-flood'а на более высоких скоростях - до 10Gbps и 5Mpps. По крайней мере энтерпрайзный Arbor Pravail и наши пилотные разработки чистят 10Gbps прикладного флуда и 5Mpps син-флуда исключительно софтверно, без сетевых процессоров, ASIC'ов, FPGA и RegExp-процессоров.