Robot_NagNews Опубликовано 4 июля, 2017 Материал: Реализация на сети технологий MPLS и VPN позволяет реализовать гибкую схему управляемого перенаправления трафика на узлы фильтрации Layer7, URL, etc. Полный текст Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 4 июля, 2017 Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tec1 Опубликовано 4 июля, 2017 Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт. "extFilter - Программа для блокирования сайтов из списка РКН с использованием DPDK. Программа осуществляет блокировку сайтов путем анализа зеркалированного трафика от пользователей." Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? MPLS в сочетании с MP-BGP и BGP Flow-Spec в данной статье рассмотрен исключительно как транспорт для доставки перенаправленного трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 4 июля, 2017 Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tec1 Опубликовано 4 июля, 2017 Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает. Естественно, можно все обрабатывать на региональных узлах, зеркалировать через сплиттеры, или на коммутаторах, ну еще и несколько стоек серверов с портами 10GE, чтоб обработать весь трафик. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 4 июля, 2017 Фильтрующее устройство лучше всего ставить на уровне второй модели OSI. На счёт MPLS - для него пойдёт не всякое фильтрующее устройство. Например extfilter(https://github.com/max197616/extfilter) для фильтрации mpls-потока не подойдёт. Нет проблем жевать ему трафик с мплс метками. Мплс не означает, что пейлоад поменялся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 4 июля, 2017 Как Вы себе представляете "зеркалированного трафика от пользователей" и его доставку в больших операторских сетях? Имхо технически правильно такое реализовывать на региональных узлах. Вот стоит в регионе узел связи - на нем и СОРМ и фильтрация. И всю область или район обрабатывает. Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 6 июля, 2017 Естественно снимать трафик надо до нат Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 6 июля, 2017 Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат. И для клиентов - тоже. Весь межаобонентский трфик внутри региона через центральный узел идет да еще и натится. На котором узле (и по дороге на который) систематически все тормозит (железки не справляются) и пакетики теряются. Ну очень "хорошо" на любом голосовом или видео общении сказывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 6 июля, 2017 Я это триста лет назад придумал. Для оператора - хорошо, для ловящих террористов - плохо. Регион - он большой, масса народу за нат. И для клиентов - тоже. Весь межаобонентский трфик внутри региона через центральный узел идет да еще и натится. На котором узле (и по дороге на который) систематически все тормозит (железки не справляются) и пакетики теряются. Ну очень "хорошо" на любом голосовом или видео общении сказывается. Одного забанят - все будут страдать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 6 июля, 2017 Но выход-то очевиден :) v6 впринудилово всем, натить не надо, только роутить и писать. Мелкая сошка без v6 быстро бежит в магазин, за продвинутыми роутерами. А чего - v6 почти все операционки умеют. Правда для меня все серверы доступа и bgp в ядре поменять придётся, с шейперами софтовыми заодно, ну и биллинг. Но я этого не говорил :) Как говорил ММЖ - "с ним невозможно ходить по магазинам. Он им подсказывает ответ. Пива нет ? Пива нет!" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 6 июля, 2017 Мелкая сошка без v6 быстро бежит в магазин, за продвинутыми роутерами. Да какими продвинутыми? Не умеют v6 только те роутеры, которые и так брать не стоит. Правда для меня все серверы доступа и bgp в ядре поменять придётся Что-то я в это не верю. v6 на тех железках, что имеет наглость называться 'маршрутизатор ядра' уже лет 10 как имеется. Во всяком случае, эта позиция в фичах у них имелась еще тогда(давно), когда я в телекоме работал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 6 июля, 2017 v6 на тех железках, что имеет наглость называться 'маршрутизатор ядра' уже лет 10 как имеется. Во всяком случае, эта позиция в фичах у них имелась еще тогда(давно), когда я в телекоме работал. "Есть для галочки" и "есть и работает хорошо" - две большие разницы, однако... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 6 июля, 2017 "Есть для галочки" и "есть и работает хорошо" - две большие разницы, однако... Неубедительно. Оно вполне сносно(для того места, куда железка предназначена) работает даже в дешевых SOHO роутерах. И да, в ОС-ах тоже. 'Маршрутизаторы ядра' за 10 лет тоже должны были допилить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 6 июля, 2017 'Маршрутизаторы ядра' за 10 лет тоже должны были допилить. Вот за 10 и допилили. А сиськин IOS, например, десятилетней выдержки полного функционала не даёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
