[ae]

про NAT не понял, в нашем случае его нет совсем...

Чтобы не заниматься каждый день отловом вирусов надо ставить на внешние каналы либо NAT, либо stateful firewall с traffic normalization, что в плане нагрузки монопенисуально.

опять же NAT совершенно не при чём, так как ставим SCE в том числе и для этого...

 

однако, относительно вирусни не могу согласиться - суть проблемы в том, что у нас довольно большая сеть и существенную нагрузку создают внутренние генераторы аномального трафика, именно их мы отлавливаем и гасим ( с внешними-то и так всё понятно и большой проблемы нет), так вот сеть 100/1000 при том, что потерь на интерфейсах нигде нет (так как в сети не используется Dlink, то все дропы мониторятся без проблем), то есть все пакеты могут долететь до центра, проблема "генераторов трафика" - очень даже заметна и актуальна, практически все они - зомби, в массе своей не ловятся антивирусами (не понимаю, за что платят деньги антивирусописателям, когда они только и умеют сигнатуры добавлять, а каждый школьник умеет ту сигнатуру менять, так что сизифов труд получается), отлавливается всё, как я писал через NetFlow (так как нас беспокоит только та нагрузка, что нам создаётся, а что грохнулось в L2-L3 ACL на подлёте пофигу в общем-то) и искренне напрягает, когда какой-нибудь орёл шлёт нам 1-2М пакетов за какие-то 5-15 минут... ничего не дропается, но бойца отключают от сети... ;)

 

то есть, ещё раз, jab - нет проблемы с внешними вирусами!!! я говорю о проблеме внутренних!!! а тут NAT НИКАК не помогает, разве что помогает не узнать об этой проблеме и просто удивляться почему внутри сети периодически возникают непонятные потери, хотя я знаю массу сетей, где не мониторят потри внутри сети вовсе, например, когда используют dlink'и...

[jab]

 

Куда уж нам, сиволапым, с маленькими-то сетями... :-) Но я подозреваю, что Вы просто _не_пробовали_ NAT. Процент заражений на порядки

меньше чем на реальных IP.

[neyros]

Можно использовать Dlink и тем не менее мониторить всю сеть. Зависит от того, как сеть строить...

[ae]

Куда уж нам, сиволапым, с маленькими-то сетями... :-) Но я подозреваю, что Вы просто _не_пробовали_ NAT. Процент заражений на порядки

меньше чем на реальных IP.

нам его проблемно попробовать при нынешних масштабах, но поначалу, конечно, пробовали, но отказались ради сервисов и производительности... однако, суть не меняется, достаточно одному во внутренней сети заразиться через страничку или файл, так он тут же заразит всю внутреннюю сеть, когда таких оглоедов сидит несколько десятков тысяч, то процесс выглядит удручающе, если есть чем его наблюдать опять же... процент, м.б. и ниже, но суть ни на копейку не меняется... собственно и у нас сейчас инцидентов немного, так как они автоматом отлавливаются и не успевают заразить других...

 

собственно, насколько я понимаю все, кто понаставил NAT теперь думают что делать с P2P ибо они через него не работают нормальным образом... и тут начинаются игры с ретрекерами и прочими радостями... кстати, каковы успехи с ретрекерами?

 

и ещё один вопрос концептуальный - если мы предоставляем клиенту полноценное участие в сети (подключение к сети), то по всем канонанм мы обязаны ему выдать уникальный (в переделах сессии, конечно) сетевой адрес! если ли же мы даём серый адрес, то по большому счёту мы уже немножко обманываем клиента и становимся не ISP, а контент-провйдером, который транслирует избранный контент из Интернета в свою локальную сеть... мне кажется, что сравнивать две качественно разные услуги всё же некорректно, понятно, что в массе своей клиенты "лохи", но потом окажется, что клиенты тупо сидят на честном провайдере, так как у них там тупо работают их железки (всякие IP-фоны, проигрыватели, P2P клиенто-сервера и т.п.), а на NATе тупо не работают и не умеют клиенты их настраивать, им проще провайдера сменить на того, где всё прозрачно работает...

 

вот я сейчас наблюдаю миграцию P2P местной тусовки (то, что мне видно - не так много - около 3 тыс), но они сидят на честных провайдерах и учат остальных зачем им нужно сменить провайдера... меня такой вариант вполне устраивает... ;) всё-таки агентство ОБС по-прежнему эффективно...

[jab]

 

Ну началось... Степень честности провайдера... :-) Штамп "провайдер кристальной честности" в Ижевске небось уже ставить некуда. :-)

 

Если по канонам, то Вы ему и мультиплексировать не должны. А то получается, что Вы его немного обманываете. Слабо дать анлим без

мультиплексирования ?

 

PS. "Деньги дерут, а корицы не докладывают" (С) Карлсон

[MrBear]

Ну началось... Степень честности провайдера... :-) Штамп "провайдер кристальной честности" в Ижевске небось уже ставить некуда. :-)

Вообще, именно этим и отличается оператор - от домушника. :) Не шучу.

[jab]

Ну началось... Степень честности провайдера... :-) Штамп "провайдер кристальной честности" в Ижевске небось уже ставить некуда. :-)

Вообще, именно этим и отличается оператор - от домушника. :) Не шучу.

[ Article crossposted from relcom.archives ]

[ Author was <censored> (a...@mark-itt.ru) ]

[ Posted on 23 May 1994 02:22:16 GMT ]

в связи со значительным зарубежным траффиком и несовершенством системы

оплаты оного доступ к www.izhmark.udmurtia.su ограничен с all до .ru .su

.ua sovam.com и vernet.lv... изменения доступа могут произойти в случае

изменения схемы опталы у АО Релком... кстати, есть ещё вариант сделать на

www.Relcom.EU.net mirror'ы узловых www...

И эти люди запрещают мне ковыряться пальцем в носу ?

[MrBear]

И эти люди запрещают мне ковыряться пальцем в носу ?

http://redeyes.ru/panopticum/osobist/osobist.shtml :))

[_ruslan_]

Соглашусь с АЕ.

NAT вещь полезная, но на определённом этапе развития сети, он становится больше убытком нежели плюсом.

Маршрутизатор тратит огромное число ресурсов на трансляцию адресов.

 

И даже мы в своей относительно небольшой сети ощущаем это на себе.

Почему и начали плавный перевод наших абонентов особенно тех кто сидит на безлимитах на внешние IP адреса.

 

Что касается «вирусного трафика» АЕ вы мне кажется слишком кардинально подходите к вопросу безопасности вашей сети.

Вместо того чтоб отключать человека, то есть жить по принципу: нет человека нет проблем, мне кажется достаточно отфильтровать на NAS весь паразитный трафик. Что очень просто и достаточно эффективно. Пользователя можно и не информировать об этом, более того со временем он сам вам позвонит и спросит: «а почему у меня так медленно работает Интернет, хотя у друга/знакомого вроде бы тоже самое, но быстрее?!»

 

Насчет того, что у вас возникали проблемы с линукс шейперем и так называемые «немотивированные потери».

Я думаю, у вас просто было банальное переполнение очереди netfilter’а, что решается в линуксе достаточно просто увеличением очереди. А если добавить более «агрессивную политику» избавления от «ненужных очередей»…

Мы этот этап прошли, и у нас спокойно на одном сервере уживается и NAS и шейпер.

 

Насчет гигабита до клиента, это какой-то бред просто. Мало того, что экономически это совершенно не оправдано, так еще и много практических проблем с данной реализацией.

Изменено 17 марта, 2008 пользователем _ruslan_

[jab]

И эти люди запрещают мне ковыряться пальцем в носу ?

http://redeyes.ru/panopticum/osobist/osobist.shtml :))

А шо поделать ? Жисть такая. :-) Но ae первый начал. :-) Честностью меряться...

[MrBear]

Честностью меряться...

Вот кстати, что искренне удивило, так это Ваша приверженность к NAT. Старая школа

действительно предпочитает "белые" адреса для клиентов, не раз убеждался, даже

когда это не вполне целесообразно, как в случае с домашними клиентами. Я понимаю,

что Татуину традиции не писаны, но забавно, да. :)

[ae]

Ну началось... Степень честности провайдера... :-) Штамп "провайдер кристальной честности" в Ижевске небось уже ставить некуда. :-)

 

Если по канонам, то Вы ему и мультиплексировать не должны. А то получается, что Вы его немного обманываете. Слабо дать анлим без

мультиплексирования ?

 

PS. "Деньги дерут, а корицы не докладывают" (С) Карлсон

да я тут про основополагающие принципы и руководящие документы и, смею заверить, у нас на рынке доступа к Интернет всё не так плохо и нет нужды куда-то ставить печати - есть выбор и клиент его делает в пользу полноценного сервиса, благо он есть и доступен... и клиенты это ценят...

[ae]

Что касается «вирусного трафика» АЕ вы мне кажется слишком кардинально подходите к вопросу безопасности вашей сети.

Вместо того чтоб отключать человека, то есть жить по принципу: нет человека нет проблем, мне кажется достаточно отфильтровать на NAS весь паразитный трафик. Что очень просто и достаточно эффективно. Пользователя можно и не информировать об этом, более того со временем он сам вам позвонит и спросит: «а почему у меня так медленно работает Интернет, хотя у друга/знакомого вроде бы тоже самое, но быстрее?!»

я уже пояснял, что та как у нас по одним магистралям ходят разные приложения и услуги, то состояние магистрали критично и если на неё вливаются откуда-то "тонны мусора" в виде флуд-трафика, то для нас это сигнал к тому, что если эту мелкую проблему не решить сразу, то она выльется в массу других, то есть наша "жесткость" в данном случае результат того, чтомы используем proactive подход, культивируемый Cisco, то есть если есть признаки того, что может что-то случиться - надо уже предпринимать меры, пока оно не случилось... а сеть-то у нас в массе своей L2 и NASы стоят всего в двух аппаратных на весь город... что касается звонков клиентам, то у нас есть специальная служба, которая по вечерам обзванивает в том числе и таких клиентов, но как показывает практика после отключения они чаще всего успевают уже сами позвонить нам раньше, благо с дозвоном до нас давно проблем нет...

 

PS: читаю почту и чуть не падаю от смеха, Cisco сообщает об очередной уязвимости, которая обнаружилась в MS Excel!!! оказывается они и его в своих продуктах пользуют (в какой-то модификации IPCC, но в нашем IPCC crystal report насколько я помню, так что повезло - нет уязвимости ;) )

[ae]

Ну началось... Степень честности провайдера... :-) Штамп "провайдер кристальной честности" в Ижевске небось уже ставить некуда. :-)

Вообще, именно этим и отличается оператор - от домушника. :) Не шучу.

[ Article crossposted from relcom.archives ]

[ Author was <censored> (a...@mark-itt.ru) ]

[ Posted on 23 May 1994 02:22:16 GMT ]

в связи со значительным зарубежным траффиком и несовершенством системы

оплаты оного доступ к www.izhmark.udmurtia.su ограничен с all до .ru .su

.ua sovam.com и vernet.lv... изменения доступа могут произойти в случае

изменения схемы опталы у АО Релком... кстати, есть ещё вариант сделать на

www.Relcom.EU.net mirror'ы узловых www...

И эти люди запрещают мне ковыряться пальцем в носу ?

;) очень смешно сейчас такое читать, но было - факт... ;) только казалось бы логично, что "эти люди" и "запрещают ковыряться пальцем в носу"...

 

кстати, у нас IP до МСК появился несколько раньше, чем первый забугорный канал... ;) сейчас это, конечно, забавно, но тогда всё было серьёзно и очень увлекательно... а сейчас всё уже не так, всё меряется рублём и нет никакой романтики... а раньше как было - собрались мы толпой из Нижнего, Ульяновска, Ё-бурга, Н. Челнов, Йошкар-олы вроде ещё и поехали на озеро Таватуй обсуждать как нам связность организовать между собой и организовали связность друг через друга через всякие извращенческие аналоговые линии, тогда ещё никаких приличных баз отдыха не было, всё вполне по стапртански, но рубили сосны и жги костры... ;) весело было... сейчас сигары и бильярд... ;)

 

кстати, был такой момент, когда я ездил на РРС Юг, что близ Перми чтобы поставить там модем, который свистит в аналоговую релейку 2Мбит в каком-то служебном окне, т.е. мы договорились с Ростелекомом, что мы поставим свои модемы для прогона канала 2М из Екатеринбурга до Ижевска (это тогда был первый наземный цифровой канал в Ижевске)... сейчас такое уже в принципе не возможно - вертикаль власти и всё такое прочее... а раньше съездили в Екатеринбург - хорошо поговорили с нужным человеком и вопрос решился...

[MrBear]

и бильярд... ;)

О! Захвачу-к я на КРОС свою палочку... :)

[ae]

кстати, вот же картинка про DDoS http://stopddos.ru/current/ мы там не столь плохо выглядим 11 паразитов на 50 тыс абонентов - это неплохо, мне кажется... давайте поизучаем сети подобного размера с NAT, сколь им хорошо живётся?

 

могу сказать, что тут в ом же списке есть два других (ну уж кого увидел на вскидку) провайдера, один из которых использует серые адреса, так у него там присутствует 8 паразитов при том, что клиентов у них около 5 тыс... никакой прелести серых адресов в плане вирусов я не вижу... всё то же самое... мне кажется, что Вы путаете желаемое и действительное в данном случае...

 

всё же единственный довод против честных адресов - жалко и ничего иного!!! всё остальное никак не подтверждается... а вводить в заблуждение людей про безопасность на серых адресах крайне плохо...

 

итого, давая серые адреса вы не предоставляете полноценной услуги и создаёте опасную иллюзию безопасности, которй на самом деле нет и в помине!

 

и бильярд... ;)

О! Захвачу-к я на КРОС свою палочку... :)

лучше сигару и коньячок... ;)

[MrBear]

лучше сигару и коньячок... ;)

Еще чего! А Нагибин на что?! :))

 

P.S. Паш, всеми святыми, не делай шашлык из свинины на этот раз, разорись уж на баранинку! :)

[jab]

кстати, вот же картинка про DDoS http://stopddos.ru/current/ мы там не столь плохо выглядим 11 паразитов на 50 тыс абонентов - это неплохо, мне кажется... давайте поизучаем сети подобного размера с NAT, сколь им хорошо живётся?

Не нашел себя. :(

[Kirya]

;) линуксовые решения прокатывают только на очень скромных объёмах, для больших объемов потребуется SCE2020, вот он и вправду масштабируется в отличии от линуксов и производительность у него другого порядка... собственно, почитайте Cisco'вскую архитектуру для таких решений - она реально работает...

 

на нашем опыте - затянулся срок поставки очередной пары Cisco 7101, а так как всяких серваков, в том числе и выведенных из продакшн хватает, то решили опробовать Linux решение для BRAS и для шейпера, результат плачевен - в нашем профиле нагрузки сервер на паре зеонов с 4Г памяти тянул в качестве BRAS что-то около 800 клиентов (дальше идут потери), а в качестве шейпера в него удалось залить 2 тыс. клиентов, дальше опять немотивированные потери... та же 7301 (одна) у нас тянет без проблем 2500 пользователей с шейпингом сразу... так что, цена владения Cisco просто в разы ниже, чем Linux, особенно если учесть наработку на отказ (нет там винчестеров и вентиляторы нормальные стоят)... помнится, тот же автор в своё время спрашивал как на линуксе терминировать больше 500 сессий... ;)

Ну фактически, только что нам было расписано, что в конторе ae нормальных админов нет.

Не поднять на Linux с 2 xeon-ами более 800 коннектов, это надо уметь :(.

Про шейпинг слишком мало инфы на тему, как он был настроен, хотя есть подозрение, что так же криво, как и в случае BRAS.

Или же это саботаж админов, которые отжимают под себя зп или другие блага, так как давно известно, что тем дороже оборудование с которым работает админ, тем больше его зп.

 

[Sonne]

Кажется не до всех еще доходит элементарная мысль что минимально необходимые по квалификации Юникс админы стоят вдвое дороже минимально необходимых циско админов.

 

При этом производительность труда (количество железок) которые обслуживает Cisсo админ примерно в десять раз выше чем под никсами.

[Kirya]

А про Juniper админов что скажете ? :)

[Sonne]

А про Juniper админов что скажете ? :)

 

Скажу что это чрезвычайно редкие звери, посему имеет смысл, при необходимости, взращивать их для своих нужд, из имеющихся IP гуру. Мне кажется потребность в них на всю страну менбше 100 штук.

Вобще это количество несопоставимо с десятками тысяч знакомых с продукцией циско.

[Kirya]

Вобще это количество несопоставимо с десятками тысяч знакомых с продукцией циско.

Моя плакал...

А про продукцию Force10 и Foundry слышали ?

Изменено 18 марта, 2008 пользователем Kirya

[jab]

Кажется не до всех еще доходит элементарная мысль что минимально необходимые по квалификации Юникс админы стоят вдвое дороже минимально необходимых циско админов.

То есть предлагается держать два комплекта админов ? На сервера один комплект, на рутера второй комплект ?

[jab]

 

Я вот как представлю себе, что мне придется содержать CCIE и пару CCNP и ночами не спать из опасений, что этот <censored> возьмет и свалит.

"вы мне тут десятитонник не купили, а на новом месте предложили пять двенадцатитонников на поиграться". Так прям смешно становится.