Jump to content
Калькуляторы

Ericsson SE600 vs Extreme X460

Reply to this topic

man781   

man781
Posted

Поставлена офицательная задача - дропать анонимайзеры по списку IP и плохие сайты по URL.

 

Стоят следующие железки, через которые ходит трафик юзеров: Ericsson SE600 и Extreme X460.

 

По поводу дропа по IP:

1. Что-то я не нашел сколько штук ограничение ACL на этих железках?

2. На какую из этих железок лучше вешать ACL (допустим дело дойдет до деcятков тысяч IP)? (c точки зрения стабильности, производительности, удобства автоматического дергнанья списка)

3. Если делать на Ericsson SE600 - то навешивать лучше на subscriber default profile или на uplink интерфейсы (их у меня два)

 

По поводу дропа по URL:

4. Можно ли присобачить сбоку СКАТ (или что еще?), который будет анализировать *зеркалированный(!) **исходящий(!) юзерский траф и как-то слать юзеру tcp reset (или как это работает на зеркалированном трафе?)

(*зеркалированный - потому что не хочется все переделывать и гнать траф сквозь тазики со СКАТ,

** исходящий - чтобы сэкономить, ибо исходящего сейчас 2-3Гб/с, входящего уже почти 10Г/с. Т.е. если работать еще и с входящем - уже нужно что-то типа СКАТ20?

5. Зеркалировать траф можно пассивным Y оптическим разветвителем? (Чтобы не тратить драгоценные порты на брасе/бордере/ядре (которых может просто не быть свободных))

5. Что делать с https ? (например: появляется в списке url позиция - https://youtube.com/terrorizm666)

 

Заранее багодарен за ответы, парни (и девушки).

Share this post

Link to post
Share on other sites

man781   

man781
Posted

Карбон работает на зеркале входящего+исходящего или как?

Каков механизм блокировки?

Что с https у них?

Share this post

Link to post
Share on other sites

man781   

man781
Posted
Https как у всех, блок по домену

и что, были случае у вас в стране блокировки по домену крупных ресурсов типа ютуб, твиттер, фейсбук?

 

 

 

И кто-нить в курcе по поводу вопроса из первого поста по Ericsson SE600 и Extreme X460 и ACL ?

Share this post

Link to post
Share on other sites

SyJet   

SyJet
Posted
Https как у всех, блок по домену

и что, были случае у вас в стране блокировки по домену крупных ресурсов типа ютуб, твиттер, фейсбук?

 

 

 

И кто-нить в курcе по поводу вопроса из первого поста по Ericsson SE600 и Extreme X460 и ACL ?

Были

Share this post

Link to post
Share on other sites

iMPoSsibLe_iT   

iMPoSsibLe_iT
Posted

+1 за Карбон. Воткнул в свич рядом с бордером отзеркалил вход+исход и забыл.

Share this post

Link to post
Share on other sites

man781   

man781
Posted

таки все таки вход + исход (хотя выше писали, что достаточно исхода)...

 

И что, кто-нить юзал карбон редуктор на трафике 10Г вх + 3Г исх ?

Share this post

Link to post
Share on other sites

man781   

man781
Posted

Тор выходные ноды ?

если вы про список ипов для блокировки - то это вроде прокси анонимайзеры

 

почитал как работает skydns zapret isp

Здорово придумано - по списку урл - дна А резолвятся периодически в ипы - далее с помощью динамической маршрутизации тольке этот трафик заворачивается из ядра на прозрачный прокси

где с помощью регулярок находится только запрещенные урл и направляется на заглушку - остальной трафик на эти ипы пропускается прозрачно и попадает на бордер

(типа ассиметричная маршрутизация).

Все здорово.

Но не пойму - сработает ли такая схема - если у меня по сути нет ядра - впн тунели юзеров терминируются на брасе, который и является бордером!!!???

 

еще было бы интересно - если тот кто шарит - кратенько описал бы - как работает блокировка СКАТ и еще карбон редуктор (для общего развития многим будет полезно)

Share this post

Link to post
Share on other sites

DimaM   

DimaM
Posted

СКАТ работает на зеркале аналогично карбону, только за 10 лет он обойдется в 10 раз дешевле, так как за него разовый платеж, а не пожизненный

Но СКАТ - это скорее замена SE600, чем просто блокировщик.

 

еще было бы интересно - если тот кто шарит - кратенько описал бы - как работает блокировка СКАТ

 

Для работы на зеркале достаточно только исходящего трафика:

1) когда детектируется HTTP запрос на запрещенный сайт, то клиенту отправляется ответ как бы от оригинального сайта в котором в качестве ответа содержится редирект на заглушку и так как этот ответ приходит раньше, чем ответ от оригинального сайта, то ответ оригинального сайта, пришедший позже, уже не впишется в TCP сессию и будет отброшен (также на оригинальный сайт СКАТ посылает RST, чтобы он вообще не слал ответ, но некоторые системы защиты от DDOS его срезают, впрочем это уже не важно)

2) HTTPS блокируется по имени хоста в сертификате или по IP:PORT, прочие протоколы блокируются по IP:PORT : для блокировки клиенту и серверу отправляется TCP пакет о закрытии соединения (RST или FIN)

 

Особо экономные через BGP анонс по списку IP заруливают на СКАТ только небольшую часть трафика, который подлежит фильтрации. Такая схема применяется в Ростелекоме.

Share this post

Link to post
Share on other sites

SyJet   

SyJet
Posted
http://xgu.ru/wiki/Carbon_Reductor#.D0.9D.D0.B0.D1.81.D1.82.D1.80.D0.BE.D0.B9.D0.BA.D0.B0_.D0.BF.D1.80.D0.B8.D1.91.D0.BC.D0.B0_.D0.B7.D0.B5.D1.80.D0.BA.D0.B0.D0.BB.D0.B0_.D1.82.D1.80.D0.B0.D1.84.D0.B8.D0.BA.D0.B0

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...