Jump to content
Калькуляторы

Перенаправление трафика на фильтрацию (URL, Layer 7, etc.) с применением BGP FlowSpec

Материал:

Реализация на сети технологий MPLS и VPN позволяет реализовать гибкую схему управляемого перенаправления трафика на узлы фильтрации Layer7, URL, etc.

 

Полный текст

Share this post


Link to post
Share on other sites

Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт.

Share this post


Link to post
Share on other sites

Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт.

 

"extFilter - Программа для блокирования сайтов из списка РКН с использованием DPDK. Программа осуществляет блокировку сайтов путем анализа зеркалированного трафика от пользователей."

Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях?

MPLS в сочетании с MP-BGP и BGP Flow-Spec в данной статье рассмотрен исключительно как транспорт для доставки перенаправленного трафика.

Share this post


Link to post
Share on other sites

Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях?

Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает.

Share this post


Link to post
Share on other sites

Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях?

Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает.

 

 

Естественно, можно все обрабатывать на региональных узлах, зеркалировать через сплиттеры, или на коммутаторах, ну еще и несколько стоек серверов с портами 10GE, чтоб обработать весь трафик. :)

Share this post


Link to post
Share on other sites

Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт.

Нет проблем жевать ему трафик с мплс метками. Мплс не означает, что пейлоад поменялся.

Share this post


Link to post
Share on other sites

Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях?

Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает.

Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат.

Share this post


Link to post
Share on other sites

Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат.

И для клиентов - тоже. Весь межаобонентский трфик внутри региона через центральный узел идет да еще и натится. На котором узле (и по дороге на который) систематически все тормозит (железки не справляются) и пакетики теряются. Ну очень "хорошо" на любом голосовом или видео общении сказывается.

Share this post


Link to post
Share on other sites

Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат.

И для клиентов - тоже. Весь межаобонентский трфик внутри региона через центральный узел идет да еще и натится. На котором узле (и по дороге на который) систематически все тормозит (железки не справляются) и пакетики теряются. Ну очень "хорошо" на любом голосовом или видео общении сказывается.

Одного забанят - все будут страдать

Share this post


Link to post
Share on other sites

Но выход-то очевиден :) v6 впринудилово всем, натить не надо, только роутить и писать. Мелкая сошка без v6 быстро бежит в магазин, за продвинутыми роутерами. А чего - v6 почти все операционки умеют. Правда для меня все серверы доступа и bgp в ядре поменять придётся, с шейперами софтовыми заодно, ну и биллинг. Но я этого не говорил :) Как говорил ММЖ - "с ним невозможно ходить по магазинам. Он им подсказывает ответ. Пива нет ? Пива нет!"

Share this post


Link to post
Share on other sites

Мелкая сошка без v6 быстро бежит в магазин, за продвинутыми роутерами.

Да какими продвинутыми? Не умеют v6 только те роутеры, которые и так брать не стоит.

Правда для меня все серверы доступа и bgp в ядре поменять придётся

Что-то я в это не верю. v6 на тех железках, что имеет наглость называться 'маршрутизатор ядра' уже лет 10 как имеется. Во всяком случае, эта позиция в фичах у них имелась еще тогда(давно), когда я в телекоме работал.

Share this post


Link to post
Share on other sites

v6 на тех железках, что имеет наглость называться 'маршрутизатор ядра' уже лет 10 как имеется. Во всяком случае, эта позиция в фичах у них имелась еще тогда(давно), когда я в телекоме работал.

"Есть для галочки" и "есть и работает хорошо" - две большие разницы, однако...

Share this post


Link to post
Share on other sites

"Есть для галочки" и "есть и работает хорошо" - две большие разницы, однако...

Неубедительно. Оно вполне сносно(для того места, куда железка предназначена) работает даже в дешевых SOHO роутерах. И да, в ОС-ах тоже. 'Маршрутизаторы ядра' за 10 лет тоже должны были допилить.

Share this post


Link to post
Share on other sites

'Маршрутизаторы ядра' за 10 лет тоже должны были допилить.

Вот за 10 и допилили. А сиськин IOS, например, десятилетней выдержки полного функционала не даёт.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this