По итогам того тикета было произведено разделение московского и санкт-петербургского сегмента сетей на разные автономные системы и анонсирование региональных сетей в регионе. Ряд случаев, действительно, может сохраняться и сейчас, но мы уделяем большое внимание вопросам связности, и реагируем на описание проблем.
СПб и МСК сети живут в разных автономных системах. Набор аплинков действительно чуть-чуть отличается, в разных городах есть разные пиринги, которые могут не дублироваться. «Пинг из точки, подключенной в МСК, до ДЦ Selectel в МСК больше, чем до ДЦ в СПб.» — из какой точки? Опять же, у ряда сетей стык в СПб, и трафик из той же Самары, например, действительно может идти сначала в СПб, потом уже нашими каналами в МСК. Интернет-связность не всегда повторяет географическую и железнодорожную карту. Очень многие маршруты, например, в Индию ведут через Франкфурт или вообще Лондон. В Китай тоже. Если есть конкретика, которую хочется исправить — пишите в тикеты, с указанием ип-адресов откуда-куда, трейсов прямого и обратного маршрутов.
Вопрос IP-migration и миграции в облаках решается или на L2, или на L3 схеме с VXLAN на гипервизорах и BGP от гипервизоров или виртуальных маршрутизаторов до маршрутизаторов в разных ДЦ.
Очень разные решения. ДЦ постоянно развивается, очень много разноплановых задач, так что в инсталлированной базе коммутаторов есть и Juniper ЕХ3200, и Arista 7050X3
На первый взгляд, кажется, что решают. Но нужны большие FIB, RIB, количество VRF. Т.е. это уже не коммутаторы, а большие маршрутизаторы. Плюс EVPN/VXLAN только увеличивают количество проблем с BUM-трафиком. Передача BUM-трафика и просто МАС-сигнализация за счет CPU, по-моему, так себе идея…
afaik, RETN flowspec делает только сам внутри себя, не давая клиентам сделать flowspec правила на свои сети.
Про защиту конкретных сервисов от ддос — смотря от какого уровня ддос надо закрыться. Если сервис TCP, то закрыть к нему UDP на аплинках помогает в 80% случаев.
На «секретные» адреса атак практически нет — их не разглашают. Плюс есть возможность их сделать «серыми».
Про SMTP — мы объясняем, что в том же постфиксе есть возможность подставлять другой адрес при отправке сообщений. Ну и 95% «недохакеров» не ищут реальные ип-адреса.
только не specflow, а flowspec. И нет, на моем опыте — никто. 10 правил у Раскома, это мало.
Прокси на то и прокси, чтобы весь трафик через нее шел. Трансляция адресов идет на прокси, протокольная обработка идет на прокси. TCP проксируется, например. UDP тоже, есть ответ-нет ответа — на основании этой информации определяется легитимность трафика, который «похож на настоящий»
«Просто если вы используете Arbor, мне казалось достаточно почистить входящий трафик» — арбор на входящий трафик плохо чистит л3 и никак — л7. Для этого прокси через F5.
у партнера Арбор и Ф5. В общем случае логи нгинкса — нет, а QRator тоже можем подключить.
Усложнение маршрутизации — чтобы на сервере ничего не настраивать, все сложности с маршрутизацией мы берем на себя.
Один клиент с коробочкой способен сделать техотделу провайдера месяц изощренного секса. Потому что "коробочка показывает, что на 64 байтном пакете у меня 950 мбит, а должно быть 1000".
При том, что клиент никогда не будет использовать этот канал на 64-байтных пакетах при 1.5 мппс. Он там RDP гонять будет.
Коробочка автоматом умеет находить в л3 сети провайдера ECMP и LAG и тестировать все пути? Не думаю
Коробка выдаст 16k+ LSP на предмет тестирования Р-устройств и FRR в сети для этого количества транзитных LSP? Вряд ли.
Коробка такая нужна, когда непонятное железо, ты на нем делаешь L2VPN и тебе надо понять, железный он или софтовый, есть ли проблемы с максимальным количеством ппс…
Коробка хорошая, но со специфичными задачами, "не для всех".
у нас IX'ов очень много, но полностью выносить кого-то мак-фильтром на своей стороне неправильно — у него же продолжает быть связность с роут-серверами, и он видит твои префиксы через них. Т.е. ты полностью теряешь связность с кем-то.
Про защиту конкретных сервисов от ддос — смотря от какого уровня ддос надо закрыться. Если сервис TCP, то закрыть к нему UDP на аплинках помогает в 80% случаев.
Про SMTP — мы объясняем, что в том же постфиксе есть возможность подставлять другой адрес при отправке сообщений. Ну и 95% «недохакеров» не ищут реальные ип-адреса.
только не specflow, а flowspec. И нет, на моем опыте — никто. 10 правил у Раскома, это мало.
Прокси на то и прокси, чтобы весь трафик через нее шел. Трансляция адресов идет на прокси, протокольная обработка идет на прокси. TCP проксируется, например. UDP тоже, есть ответ-нет ответа — на основании этой информации определяется легитимность трафика, который «похож на настоящий»
«Просто если вы используете Arbor, мне казалось достаточно почистить входящий трафик» — арбор на входящий трафик плохо чистит л3 и никак — л7. Для этого прокси через F5.
Усложнение маршрутизации — чтобы на сервере ничего не настраивать, все сложности с маршрутизацией мы берем на себя.
При том, что клиент никогда не будет использовать этот канал на 64-байтных пакетах при 1.5 мппс. Он там RDP гонять будет.
Коробочка автоматом умеет находить в л3 сети провайдера ECMP и LAG и тестировать все пути? Не думаю
Коробка выдаст 16k+ LSP на предмет тестирования Р-устройств и FRR в сети для этого количества транзитных LSP? Вряд ли.
Коробка такая нужна, когда непонятное железо, ты на нем делаешь L2VPN и тебе надо понять, железный он или софтовый, есть ли проблемы с максимальным количеством ппс…
Коробка хорошая, но со специфичными задачами, "не для всех".