Robot_NagNews Posted July 4, 2017 · Report post Материал: Реализация на сети технологий MPLS и VPN позволяет реализовать гибкую схему управляемого перенаправления трафика на узлы фильтрации Layer7, URL, etc. Полный текст Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted July 4, 2017 · Report post Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tec1 Posted July 4, 2017 · Report post Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт. "extFilter - Программа для блокирования сайтов из списка РКН с использованием DPDK. Программа осуществляет блокировку сайтов путем анализа зеркалированного трафика от пользователей." Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? MPLS в сочетании с MP-BGP и BGP Flow-Spec в данной статье рассмотрен исключительно как транспорт для доставки перенаправленного трафика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tosha Posted July 4, 2017 · Report post Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tec1 Posted July 4, 2017 · Report post Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает. Естественно, можно все обрабатывать на региональных узлах, зеркалировать через сплиттеры, или на коммутаторах, ну еще и несколько стоек серверов с портами 10GE, чтоб обработать весь трафик. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted July 4, 2017 · Report post Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт. Нет проблем жевать ему трафик с мплс метками. Мплс не означает, что пейлоад поменялся. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted July 4, 2017 · Report post Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает. Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted July 6, 2017 · Report post Естественно снимать трафик надо до нат Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted July 6, 2017 · Report post Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат. И для клиентов - тоже. Весь межаобонентский трфик внутри региона через центральный узел идет да еще и натится. На котором узле (и по дороге на который) систематически все тормозит (железки не справляются) и пакетики теряются. Ну очень "хорошо" на любом голосовом или видео общении сказывается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted July 6, 2017 · Report post Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат. И для клиентов - тоже. Весь межаобонентский трфик внутри региона через центральный узел идет да еще и натится. На котором узле (и по дороге на который) систематически все тормозит (железки не справляются) и пакетики теряются. Ну очень "хорошо" на любом голосовом или видео общении сказывается. Одного забанят - все будут страдать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted July 6, 2017 · Report post Но выход-то очевиден :) v6 впринудилово всем, натить не надо, только роутить и писать. Мелкая сошка без v6 быстро бежит в магазин, за продвинутыми роутерами. А чего - v6 почти все операционки умеют. Правда для меня все серверы доступа и bgp в ядре поменять придётся, с шейперами софтовыми заодно, ну и биллинг. Но я этого не говорил :) Как говорил ММЖ - "с ним невозможно ходить по магазинам. Он им подсказывает ответ. Пива нет ? Пива нет!" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted July 6, 2017 · Report post Мелкая сошка без v6 быстро бежит в магазин, за продвинутыми роутерами. Да какими продвинутыми? Не умеют v6 только те роутеры, которые и так брать не стоит. Правда для меня все серверы доступа и bgp в ядре поменять придётся Что-то я в это не верю. v6 на тех железках, что имеет наглость называться 'маршрутизатор ядра' уже лет 10 как имеется. Во всяком случае, эта позиция в фичах у них имелась еще тогда(давно), когда я в телекоме работал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted July 6, 2017 · Report post v6 на тех железках, что имеет наглость называться 'маршрутизатор ядра' уже лет 10 как имеется. Во всяком случае, эта позиция в фичах у них имелась еще тогда(давно), когда я в телекоме работал. "Есть для галочки" и "есть и работает хорошо" - две большие разницы, однако... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted July 6, 2017 · Report post "Есть для галочки" и "есть и работает хорошо" - две большие разницы, однако... Неубедительно. Оно вполне сносно(для того места, куда железка предназначена) работает даже в дешевых SOHO роутерах. И да, в ОС-ах тоже. 'Маршрутизаторы ядра' за 10 лет тоже должны были допилить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted July 6, 2017 · Report post 'Маршрутизаторы ядра' за 10 лет тоже должны были допилить. Вот за 10 и допилили. А сиськин IOS, например, десятилетней выдержки полного функционала не даёт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...