Robot_NagNews Posted July 4, 2017 Материал: Реализация на сети технологий MPLS и VPN позволяет реализовать гибкую схему управляемого перенаправления трафика на узлы фильтрации Layer7, URL, etc. Полный текст Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted July 4, 2017 Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tec1 Posted July 4, 2017 Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт. "extFilter - Программа для блокирования сайтов из списка РКН с использованием DPDK. Программа осуществляет блокировку сайтов путем анализа зеркалированного трафика от пользователей." Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? MPLS в сочетании с MP-BGP и BGP Flow-Spec в данной статье рассмотрен исключительно как транспорт для доставки перенаправленного трафика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tosha Posted July 4, 2017 Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tec1 Posted July 4, 2017 Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает. Естественно, можно все обрабатывать на региональных узлах, зеркалировать через сплиттеры, или на коммутаторах, ну еще и несколько стоек серверов с портами 10GE, чтоб обработать весь трафик. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted July 4, 2017 Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт. Нет проблем жевать ему трафик с мплс метками. Мплс не означает, что пейлоад поменялся. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted July 4, 2017 Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает. Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted July 6, 2017 Естественно снимать трафик надо до нат Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted July 6, 2017 Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат. И для клиентов - тоже. Весь межаобонентский трфик внутри региона через центральный узел идет да еще и натится. На котором узле (и по дороге на который) систематически все тормозит (железки не справляются) и пакетики теряются. Ну очень "хорошо" на любом голосовом или видео общении сказывается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted July 6, 2017 Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат. И для клиентов - тоже. Весь межаобонентский трфик внутри региона через центральный узел идет да еще и натится. На котором узле (и по дороге на который) систематически все тормозит (железки не справляются) и пакетики теряются. Ну очень "хорошо" на любом голосовом или видео общении сказывается. Одного забанят - все будут страдать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted July 6, 2017 Но выход-то очевиден :) v6 впринудилово всем, натить не надо, только роутить и писать. Мелкая сошка без v6 быстро бежит в магазин, за продвинутыми роутерами. А чего - v6 почти все операционки умеют. Правда для меня все серверы доступа и bgp в ядре поменять придётся, с шейперами софтовыми заодно, ну и биллинг. Но я этого не говорил :) Как говорил ММЖ - "с ним невозможно ходить по магазинам. Он им подсказывает ответ. Пива нет ? Пива нет!" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted July 6, 2017 Мелкая сошка без v6 быстро бежит в магазин, за продвинутыми роутерами. Да какими продвинутыми? Не умеют v6 только те роутеры, которые и так брать не стоит. Правда для меня все серверы доступа и bgp в ядре поменять придётся Что-то я в это не верю. v6 на тех железках, что имеет наглость называться 'маршрутизатор ядра' уже лет 10 как имеется. Во всяком случае, эта позиция в фичах у них имелась еще тогда(давно), когда я в телекоме работал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted July 6, 2017 v6 на тех железках, что имеет наглость называться 'маршрутизатор ядра' уже лет 10 как имеется. Во всяком случае, эта позиция в фичах у них имелась еще тогда(давно), когда я в телекоме работал. "Есть для галочки" и "есть и работает хорошо" - две большие разницы, однако... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted July 6, 2017 "Есть для галочки" и "есть и работает хорошо" - две большие разницы, однако... Неубедительно. Оно вполне сносно(для того места, куда железка предназначена) работает даже в дешевых SOHO роутерах. И да, в ОС-ах тоже. 'Маршрутизаторы ядра' за 10 лет тоже должны были допилить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted July 6, 2017 'Маршрутизаторы ядра' за 10 лет тоже должны были допилить. Вот за 10 и допилили. А сиськин IOS, например, десятилетней выдержки полного функционала не даёт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...