Jump to content

Режем дестанейшн IP на L3.

Pritorius
 Share

Recommended Posts

Pritorius

Pritorius

Posted
Posted

1. Есть Cisco C3750G-24TS, потянет резать около 3000 дейстанейшн IP (фильтр Роскомнадзора)?

2. Если Да. Кто находил варианты заливки списка IP в ACL на PHP.

infery

infery

Posted
Posted

1. Есть Cisco C3750G-24TS, потянет резать около 3000 дейстанейшн IP (фильтр Роскомнадзора)?

2. Если Да. Кто находил варианты заливки списка IP в ACL на PHP.

Может чуть не по теме, но мы делали так:

Там, где выгружаем списки, поднимаем quagga и Bgp, с помощью perl-скрипта генерируем конфиг для квагги и рестартим ее. На 3750 делаем статически маршрут ip route 192.168.0.1 255.255.255.255 null 0, поднимаем пириннг с кваггой, на которой с помощью роутмапа next-hop ставим 192.168.0.1. Если есть интерес поделюсь наработкой.

SyJet

SyJet

Posted
Posted

Вот чесслово, уже таких решений, если нет железного dpi, используй софтовый. Зеркалируй трафик на DPI, а она в свою очередь tcp rst посылать будет. Сначала софт мутили сами, по скачиваю реестра и заполнения acl маршрутизатора. Сначала по IP, потом начал рулить по url.. Пока в один момент роутер колом не стал.

В итоге забросили все и перешли на стороннее решение с зеркалированием и копеечными ежемесячными платежами.

joesm

joesm

Posted
Posted

Может чуть не по теме, но мы делали так:

Там, где выгружаем списки, поднимаем quagga и Bgp, с помощью perl-скрипта генерируем конфиг для квагги и рестартим ее. На 3750 делаем статически маршрут ip route 192.168.0.1 255.255.255.255 null 0, поднимаем пириннг с кваггой, на которой с помощью роутмапа next-hop ставим 192.168.0.1. Если есть интерес поделюсь наработкой.

 

Используем примерно такую же схему для блокировки по IP. Но генерить конфиг квагге не надо. Гораздо проще обращаться с ней по телент и менять конфиг штатными командами, это исключает необходимость ее перезапуска. Как бонус клиенты имеют редирект на страницу с предупреждением о блокировке, а не сидят и ждут таймаута как в случае с acl.

Pritorius

Pritorius

Posted
  • Author
Posted

Вот чесслово, уже таких решений, если нет железного dpi, используй софтовый. Зеркалируй трафик на DPI, а она в свою очередь tcp rst посылать будет. Сначала софт мутили сами, по скачиваю реестра и заполнения acl маршрутизатора. Сначала по IP, потом начал рулить по url.. Пока в один момент роутер колом не стал.

В итоге забросили все и перешли на стороннее решение с зеркалированием и копеечными ежемесячными платежами.

 

Легко тратить чужие деньги :)

Pritorius

Pritorius

Posted
  • Author
Posted

Может чуть не по теме, но мы делали так:

Там, где выгружаем списки, поднимаем quagga и Bgp, с помощью perl-скрипта генерируем конфиг для квагги и рестартим ее. На 3750 делаем статически маршрут ip route 192.168.0.1 255.255.255.255 null 0, поднимаем пириннг с кваггой, на которой с помощью роутмапа next-hop ставим 192.168.0.1. Если есть интерес поделюсь наработкой.

 

Используем примерно такую же схему для блокировки по IP. Но генерить конфиг квагге не надо. Гораздо проще обращаться с ней по телент и менять конфиг штатными командами, это исключает необходимость ее перезапуска. Как бонус клиенты имеют редирект на страницу с предупреждением о блокировке, а не сидят и ждут таймаута как в случае с acl.

 

Оу оу оу ))) Парни полегче :) Ладно сузим круг вопросов.

 

Давайте представим что кроме 3750 больше ничего под рукой нет. Вообще нет, вакуум.

 

1. Потянет или нет 3000 записей?

SyJet

SyJet

Posted
Posted

Вот чесслово, уже таких решений, если нет железного dpi, используй софтовый. Зеркалируй трафик на DPI, а она в свою очередь tcp rst посылать будет. Сначала софт мутили сами, по скачиваю реестра и заполнения acl маршрутизатора. Сначала по IP, потом начал рулить по url.. Пока в один момент роутер колом не стал.

В итоге забросили все и перешли на стороннее решение с зеркалированием и копеечными ежемесячными платежами.

 

Легко тратить чужие деньги :)

Чужие? Как раз нет ;)

А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением.

YuryD

YuryD

Posted
Posted

А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением.

 

Это только стоимость разработки :) Дешево вам программисты обходятся. Полную стоимость внедрения приведите. С оборудованием, и стоимость эксплуатации. Мы сейчас в стадии внедрения софтового стороннего dpi, одно железо уже обошлось в >50крублей, сервер плюс сетевая карта, место в стойке, монтаж, порты коммутаторов и прочее..

SyJet

SyJet

Posted
Posted

А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением.

 

Это только стоимость разработки :) Дешево вам программисты обходятся. Полную стоимость внедрения приведите. С оборудованием, и стоимость эксплуатации. Мы сейчас в стадии внедрения софтового стороннего dpi, одно железо уже обошлось в >50крублей, сервер плюс сетевая карта, место в стойке, монтаж, порты коммутаторов и прочее..

Пошёл на склад, нашёл старый HP DL360 g4 с двумя зеонами и 4гб памяти, залил DPI, отзеркалировал порт, подкинул ЭЦП, ввел инн и огрн, указал интерфейс в меню - и закончилось внедрение, правда разрабам подкинул пару идей по алгоритму и интеграции с zabbix. Работает не жужжит, ежемесячный платёж я уже указал, триад 2 недели, суппорт отменный. Так что мне сторонний DPI, обошелся в дреавний сервер и ничего более. А быть всегда привязанным к одному аутсорсеру - не кайф.

Pritorius

Pritorius

Posted
  • Author
Posted

А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением.

 

Это только стоимость разработки :) Дешево вам программисты обходятся. Полную стоимость внедрения приведите. С оборудованием, и стоимость эксплуатации. Мы сейчас в стадии внедрения софтового стороннего dpi, одно железо уже обошлось в >50крублей, сервер плюс сетевая карта, место в стойке, монтаж, порты коммутаторов и прочее..

Пошёл на склад, нашёл старый HP DL360 g4 с двумя зеонами и 4гб памяти, залил DPI, отзеркалировал порт, подкинул ЭЦП, ввел инн и огрн, указал интерфейс в меню - и закончилось внедрение, правда разрабам подкинул пару идей по алгоритму и интеграции с zabbix. Работает не жужжит, ежемесячный платёж я уже указал, триад 2 недели, суппорт отменный. Так что мне сторонний DPI, обошелся в дреавний сервер и ничего более. А быть всегда привязанным к одному аутсорсеру - не кайф.

 

Будьте тогда столь любезны, киньте в ЛС контакты этого райского DPI ;-)

 

Про зеркало не совсем понлял... как можно что то резать на зеркале, насколько я понимаю только мониторить...

Pritorius

Pritorius

Posted
  • Author
Posted

Хех, ну так бы и сказали что карбон :) Ладно попробуем, только вопрос как быстро закончится ограничение SLA1 в 10000 записей :)

SyJet

SyJet

Posted
Posted (edited)

Хех, ну так бы и сказали что карбон :) Ладно попробуем, только вопрос как быстро закончится ограничение SLA1 в 10000 записей :)

Реклама была бы. Но работает хорошо, сам недоверчиво отнёсся сначала.

По лицензии 750 000 htttp/s пакетов в секунду, это как я понял по твоему варианту

Edited by SyJet

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.