Ответы пользователя по тегу Сетевое администрирование
  • Ограничение трафика на открытые порты?

    @yaror
    10 лет в мобильном телекоме
    В принципе, если Ваш провайдер готов разделить Ваш канал на два VLAN и настроить в нём QoS таким образом, чтобы каждый VLAN имел некоторую гарантированную полосу, то почему нет?
    Сделать это со стороны провайдера обычно можно, но - лень )

    А ещё есть техническая возможность отсеять DDoS с вашей стороны, однако, для этого придётся либо воспользоваться услугой очистки трафика от провайдера либо специализированной конторы, либо - самый "лобовой" способ - поднять с вашим провайдером BGP + BGP Flowspec.
    Полагаю, коммерческие вопросы обсуждаются обычно отдельно )

    Итак, BGP Flowspec: RFC 5575/7674.
    Если кратко, то BGP Flowspec позволит Вам попросить вышестоящего провайдера даже в автоматическом - важно! - режиме заблокировать входящий трафик, удовлетворяющий некоторым критериям:
    - Source Prefix
    - Destination Prefix
    - IP Protocol
    - Source port/Destination port
    - Packet Length
    и т.д.

    То есть, с помощью стандартного расширения протокола BGP Вы можете попросить Вашего провайдера: "Пожалуйста, не пропускайте в мою сторону UDP-пакеты размерами от 100 до 150 байт с source port из диапазона 1000-2000 и имеющие Source ip address из диапазона 1.2.3.0/24"

    Таким образом - да, трафик, который Вы попросили к Вам не пропускать, умрёт ещё у Вашего провайдера (а может, и у провайдера Вашего провайдера), и Ваш канал перегружен не будет.
    Открытым, конечно, остаётся творческий вопрос "как понять, какой именно трафик следует блокировать" )

    Вероятно, BGP Flowspec есть смысл использовать _совместно_ с разделением канала на два VLAN с гарантированной минимальной полосой: один VLAN для управления и, если понадобится, ручной модификации правил Flowspec, а второй - продуктивный.
    Ответ написан
    Комментировать
  • Как делать запросы по нескольким ip?

    @yaror
    10 лет в мобильном телекоме
    Смотря что и как надо )

    Вот из man curl:
    --interface
    Perform an operation using a specified interface. You can enter interface name, IP address or host name. An example could look like:
    curl --interface eth0:1 www.netscape.com
    If this option is used several times, the last one will be used.


    Если хочется написать делающую сие программу самостоятельно, то стоит обратиться к документации реализации сетевых сокетов в близком Вам языке.
    Вот так конкретный ip-адрес приколачивается к будущему TCP-соединению в C:
    When a socket is created with socket(2), it exists in a name space
    (address family) but has no address assigned to it. bind() assigns
    the address specified by addr to the socket referred to by the file
    descriptor sockfd. addrlen specifies the size, in bytes, of the
    address structure pointed to by addr. Traditionally, this operation
    is called “assigning a name to a socket”.
    Ответ написан
    Комментировать
  • Варианты блокировка контента на уровне провайдера?

    @yaror
    10 лет в мобильном телекоме
    Уж очень общий вопрос.
    Примерно как "приведите пример автомобиля". Приводим: от Оки до БелАЗа.
    Обычно вопрос более детальный: "На чём можно возить от одного до трёх человек по построенным по ГОСТ дорогам со скоростью до 100 км/ч".

    Или, может быть, в этом вопрос и состоит - оценить возможные масштабы?
    Ну, тогда аналог Оки - это программное, собранное на коленке решение под линукс: iptables + squid + mitmproxy.

    А если нужно что-то операторского класса по надёжности либо пропускной способности (аналог: от полуторки до БелАЗа), можно глянуть на решения:
    - Cisco SCE / ASR5xxx
    - Sandvine
    - Procera
    - Huawei SIG
    - Ericsson SSR
    - Allot
    Ответ написан
    Комментировать
  • Как назначить ip адрес, если он уже занят?

    @yaror
    10 лет в мобильном телекоме
    Забрать обратно - уже никак. Как минимум, придётся ждать, пока истечёт срок жизни.

    Если важно, чтобы конкретный ip-адрес назначался конкретному устройству, можно:
    1. Посмотреть MAC-адрес устройства и в настройках DHCP-сервера явно прописать соответствие MAC -> IP, или
    2. В настройках DHCP-сервера изменить диапазон автоматически выдаваемых ip-адресов так, чтобы желаемый IP-адрес в него не попадал, и на устройстве прописать желаемый IP-адрес вручную
    Ответ написан
    Комментировать
  • Какой объем широковещательного трафика в GPRS/3G сетях?

    @yaror
    10 лет в мобильном телекоме
    10.0.0.0/8 - это адресный пул.
    Однако, каждый абонент живёт в отдельном Point-to-point-тоннеле.

    Вообще, ip-броадкаста в мобильном интернете нет за ненадобностью.
    Есть что-то вроде мультикаста (MBMS, прости Господи), который полностью управляется оператором и работает строго в одну сторону: из специального узла сети в сторону абонента.

    Поэтому:
    1. То, что несколько разных корпоративных клиентов оказались не просто в одной ip-подсети (это ещё ладно бы), а ещё и увидели друг друга - это, конечно, безобразие, стыд и позор.

    2. То, что traceroute показывает один хоп, тоже нормально: ip-пакет из одного ppp-тоннеля в другой вполне можно переложить и без уменьшения TTL, а зациклить ip-пакет не даст проверка на совпадение source ip address и собственно ip-адреса, выделенного абоненту.

    3. Запинговать/зафлудить кого-либо насмерть теоретически можно, но при условии, что uplink-канал отправителя шире, чем downlink жертвы (например, если флудить из более новой технологии пользователя более старой: 3G -> GSM или LTE -> GSM). Однако, нагадить всем разом не получится, гадить придётся поштучно и с постоянным страхом получить по ушам за хулиганство от оператора.
    Ответ написан
    4 комментария
  • Микротик: как дублировать трафик по разным каналам связи?

    @yaror
    10 лет в мобильном телекоме
    Дмитрий Александров : bounding, судя по документации, не решит вопрос резервирования трафика; полосу расширит, это да.

    Этим давно и успешно занимаются в Industrial Ethernet:
    wwwlehre.dhbw-stuttgart.de/~rentschler/Publication...

    А вот в ip-сетях это направление, похоже, только зарождается:
    https://tools.ietf.org/html/draft-popovic-iprp-00

    С другой стороны, если поднять OVPN-стык поверх собранной multipath SCTP-ассоциации...
    SCTP умеет, во-первых, использовать несколько endpoint-ов одновременно через разные каналы связи, а во-вторых, по сравнению с TCP, намного резвее отрабатывает потерю и выполняет ретрансмиссию пакетов.
    Ответ написан
  • Смогу ли я работать с juniper после Cisco?

    @yaror
    10 лет в мобильном телекоме
    Да.
    Логика работы та же, чего-то принципиально нового тут не придумать.
    Протоколы те же.
    Плюс, внезапно захочется придушить того, кто придумал синтаксис цисковых настроек.
    Ответ написан
    2 комментария
  • Какое устройство с поддержкой BGP поставить на границу сети?

    @yaror
    10 лет в мобильном телекоме
    Не, ну это точно не сюда.
    Надо сесть и составить ТЗ, в котором будут:
    1. Примерная схема сети (пусть даже на уровне пять квадратов: два провайдера, сам маршрутизатор, руководство, отдел продаж)
    2. Примерная нагрузка в Мбит/с и тысячах пакетов в секунду (посмотрите, сколько ваша сеть создаёт сейчас и возьмите запас раза в 4, а то и в 10)
    3. Если есть возможность, посмотрите на существующем маршрутизаторе количество количество tcp-соединений, и тоже возьмите запас
    4. Количество BGP-префиксов (пообщайтесь с провайдерами, надо ли Вам BGP Full View?)
    5. Со всем этим приходите к двум-трём местным официальным продавцам/интеграторам за спецификацией и коммерческим предложением. Через них же лучше и брать, ибо цена относительно официально объявленной производителем GPL-цены может упасть в разы.

    Не забудьте потребовать, чтобы в спецификации была указана максимально достижимая аппаратная производительность и ёмкость, она обычно описывается для трёх разных случаев: small packets, large packets и IMIX (распределение, примерно соответствующее усреднёному абонентскому трафику).

    Кстати, я бы к Juniper тоже посоветовал присмотреться.
    Ответ написан
    Комментировать
  • Как защититься от опасного роутера?

    @yaror
    10 лет в мобильном телекоме
    Windows голым задом в интернет?
    Он же и ip-маршрутизатор, а брандмауэр (он межсетевой экран, он же файрволл), он же security gateway?
    Мсье знает толк...

    Тогда так:
    1. Какие меры безопасности можно предпринять чтобы не допустить кражи конфиденциальной информации?
    1.1. Завести отдельное устройство для организации стыка с Интернетом. Пусть даже просто сервер с юниксом (OpenWRT/pfSense/m0n0wall), но отдельное.
    1.2. Разделить сеть на непересекающиеся функциональные сегменты:
    - управление оборудованием
    - лица, зашедшие через удалённый доступ
    - основные отделы организации
    - руководство
    - общие ресурсы
    1.3. Уточнить у руководства, кто, откуда и куда должен попадать. Любой иной доступ должен быть закрыт.

    2. Можно ли настроить роутер так, чтобы красть информацию/шпионить за всеми, кто подключается к этому роутеру?
    Любое устройство, через которое проходит трафик, технически способно этот трафик проанализировать, записать - да что угодно с ним сделать: и украсть, и нашпионить.
    Ответ написан
    Комментировать
  • Как писать удаленно в БД? TCP/FTP?

    @yaror
    10 лет в мобильном телекоме
    Я бы:
    1. Парсил прямо на машине, принимающей поток с COM-порта
    2. Сливал в БД прямо с этой же машины, через SQL: "insert into туда-то values такие-то". В случае вылезшего exception (нет связности с БД, БД упала и т.д.), распарсенные значения можно было бы залоггировать локально
    Ответ написан
    Комментировать
  • Посредством чего блокирует сайт мой провайдер?

    @yaror
    10 лет в мобильном телекоме
    Поскольку резолвинг DNS происходит корректно, промышленно готовых вариантов остаётся три:

    1. Провайдерский DPI: наверняка он уже есть у всех провайдеров в том или ином виде.
    Логически DPI обычно включается в разрыв линка между ядром и NAT.
    Физически зачастую тоже.
    Кроме обычных шейпинга и подсчёта трафика per-subscriber, там реализован набор ALG (Application Layer Gateway), которые представляют из себя, фактически, прозрачные прокси для типичных протоколов: HTTP, FTP, DNS и т.д.
    Как правило, ALG умеют не только реагировать на определённые значения полей, но и вмешиваться в процесс передачи данных.
    Количество ALG зависит от навороченности DPI; в Procera даже World of Warcraft есть )
    Ну а уж подмена HTTP-страницы - пожалуй, самая используемая функция HTTP ALG.

    2. Наколенное решение раз:
    Описано у none7
    Завести у себя в сети сервер с ip-адресами, совпадающими с Ip-адресами Вконтакта (ну, или NAT'ить все запросы к нему на сервер-заглушку, что примерно то же самое) - вполне себе решение, если надо заблокировать сервис целиком, а не отдельные страницы на нём.
    Но если вдруг ваши политики наберутся дурости у наших, и список блокируемых ресурсов начнёт расти, провайдеры взвоют этот вариант поддерживать )

    3. Наколенное решение два:
    На самом деле, в России есть свой список блокируемых ресурсов (т.н. список Роскомнадзора) с сотнями тысяч URL.

    Выяснилось, что таким количеством записей множество провайдерских DPI попросту давится, поэтому эта задача зачастую решается следующим образом: заводятся отдельные серверы, подключаемые непосредственно к провайдерским BR (Border router'ам).

    Задачи серверов:
    - заглотить список блокируемых ресурсов, выдрать оттуда имена доменов и разрезолвить их в ip-адреса; адресов получается несколько десятков тысяч
    - полученные адреса через OSPF или BGP сливаются в BR. BR - он большой, спокойно держит BGP Full View, поэтому 10-20-50k лишних префиксов для него - капля в море

    Получается, что весь трафик в сторону ip-адресов, на которых находится хотя бы одна заблокированная страница, теперь льётся на эти серверы.
    Казалось бы, фиг какой сервер всё это переварит, но их можно плодить десятками: срабатывает ECMP/Load Balancing на уровне маршрутизации, и трафик размазывается между серверами примерно поровну.

    На самих серверах Linux, а в Linux - squid в transparent mode и iptables )
    Соответственно:
    - tcp port 80 силами iptables отправляется в сквид, где каждый запрошенный абонентом URL ищется в списке блокированных ресурсов
    - в tcp port 443 проверяется SNI чтобы понять, пропускать трафик дальше, или резать к такой-то матери
    - весь остальной трафик (и пинги, угу) пропускается насквозь без изменения
    Ответ написан
    1 комментарий
  • Juniper SRX 100 не видит порты?

    @yaror
    10 лет в мобильном телекоме
    Круто! А в конфиге всё-всё нормально?
    Предлагаю подцепиться COM-портом и посмотреть:
    > show system commit - вдруг кто-то таки что-то менял? Можно будет посмотреть, что и когда.
    > show interface terse - состояние интерфейсов
    > show configuration interface - настройки интерфейсов
    > show log messages - вдруг что-то интересное есть
    Ответ написан
    Комментировать
  • TCP. Можно ли ужимать ReceiveTimeout со стороны сервера до миллисекунд?

    @yaror
    10 лет в мобильном телекоме
    Согласен с res2001 .
    Данные, для которых критична оперативность доставки, следует отправлять по UDP.
    Или, если настолько критично поддержание сессии и нет желания реализовывать сессии самостоятельно, то по SCTP.

    Выкручивание же таймаутов TCP до околонулевых значений приведёт, наоборот, к тому, что при малейшем возмущении на пути прохождения трафика начнутся постоянные ретрансмиты, и передача данных встанет вообще.
    Не предназначен TCP для оперативной, в реальном времени, передачи данных! Его задача - гарантированно доставить данные хоть когда-нибудь.
    Ответ написан
    Комментировать
  • Как отрезать устройство от доступа ко внутренней сети?

    @yaror
    10 лет в мобильном телекоме
    В дополнение к варианту Eugene Khrustalev:
    Предполагаю, что малина сидит не голым задом в интернете, а за каким-то маршрутизатором.

    В таком случае, разумнее всего было бы выселить её в так называемую демилитаризованную зону (DMZ):
    1. Поселить её в отдельный Ethernet-сегмент/VLAN
    2. В этом сегменте:
    2.1. Использовать отдельную серую ip-адресацию
    2.2. Настроить NAT: Destination NAT для входящих и Source NAT для исходящих соединений с малины
    2.3. Запретить любой доступ на сам маршрутизатор, разрешив только транзит трафика
    3. На маршрутизаторе явно разрешить только разрешённые типы трафика:
    3.1. Из внутренней сети в DMZ
    3.2. Из DMZ во внутреннюю сеть (не стоит, но вдруг зачем-то очень надо)
    3.3. Из DMZ в интернет
    3.4. Из интернета в DMZ

    Таким образом, даже при взломе сервера, получении рута и отключения iptables на малине злодей не сможет вылезти оттуда куда попало, поскольку трафик режется на условно неуязвимом для него маршрутизаторе.
    Ответ написан
    6 комментариев
  • Почему сеть ведёт себя очень странно?

    @yaror
    10 лет в мобильном телекоме
    Это стык внутри провайдерской сети - между маршрутизаторами самого провайдера.

    Примерно так:
    b74b56932f6a4f82a4b1a94fdc30b3e6.jpg
    Ответ написан
    9 комментариев
  • У оператовов мобильной связи при LTE подключении и 3g подключении одни и те же диапазоны IP выдаются?

    @yaror
    10 лет в мобильном телекоме
    Как правило, да.
    Как правило, GGSN (в 3g) и PGW (в LTE) (для справки - это некий аналог BRAS) - это один и тот же узел.
    Сделано так для того, чтобы при бесшовном переключении между LTE и 3g не рвалась пакетная сессия и, соответственно, ip-соединения.

    В общем, если кратко:
    - сидишь ты в LTE или 3g, всё равно твой трафик, _как правило_, приземлится на одном и том же узле
    - абоненты LTE и 3g, _как правило_, сидят на одном и том же узле вперемешку
    - абоненты LTE и 3g, сидящие на одном и том же узле, _как правило_, используют одни и те же ip-пулы
    Ответ написан
    Комментировать
  • Где ищут подработку сетевые и телеком-инженеры?

    @yaror Автор вопроса
    10 лет в мобильном телекоме
    Зайдём немного с другой стороны: есть специалист в достаточно узкой области.
    В моём случае - мобильное пакетное ядро (проще говоря, мобильный интернет) в мобильном операторе связи.

    В принципе, есть навыки, применимые и в других областях:
    маршрутизация OSPF/BGP
    MPLS
    Ethernet-свитчинг
    вовсю используются RADIUS и Diameter
    DPI
    Carrier grade NAT

    На работе что-то интересное происходит, как и в любом операторе, раз в несколько лет.
    Хочется потратить имеющиеся умения с дополнительной пользой.
    С social networking - беда.

    Веб-разработчики в таком случае идут на фриланс-биржу.
    А сетевые инженеры?
    Инженеры телекома?
    Ответ написан
    Комментировать