Комментарии 26
Интересная штука, было бы интересно попробовать, а от DDoS она сможет защитить?
На этих устройствам возможно создавать ACL (L3-L7), устанавливать ограничения на количество коннектов, pps, Mbps (и т.д.) в серверную ферму, но это далеко не защита от DDoS, так как в случае атаки отфильтруеются (подрежится) как легитимный траффик, так и траффик атаки.
В портфеле компании CISCO было (уже end-of-sale) такое аппаратное обеспечение как CISCO Anomaly Detector CISCO Anomaly Guard. Одно выполняет роль анализатора траффика и атаки (мозги), другое — средство фильтрации/защиты траффика (мускулы). Тем не менее пара этих сервисным модулей активно используется у нас в сети. Ресурсы этого оборудования позволяют отфильтровать до 3 Гбит/сек. Есть планы написать статью о возможностях и настройке этого оборудования.
Если говорить об этом направлении (защиты от DDoS), то сейчас CISCO активно сотрудничает с Arbor Networks и рекомендует ее продукты для внедрения при построении Центров очистки траффика. Оборудование Arbor Networks качественно отличается техническими характеристиками и алгоритмами обнаружения атак.
К слову, на днях инсталируем у себя набор из SP+TMS Peakflow от Arbor. Будем делать пилот. Потестируем — посмотрим. А если найдется свободный выходной, то еще и постараюсь рассказать от этом.
В портфеле компании CISCO было (уже end-of-sale) такое аппаратное обеспечение как CISCO Anomaly Detector CISCO Anomaly Guard. Одно выполняет роль анализатора траффика и атаки (мозги), другое — средство фильтрации/защиты траффика (мускулы). Тем не менее пара этих сервисным модулей активно используется у нас в сети. Ресурсы этого оборудования позволяют отфильтровать до 3 Гбит/сек. Есть планы написать статью о возможностях и настройке этого оборудования.
Если говорить об этом направлении (защиты от DDoS), то сейчас CISCO активно сотрудничает с Arbor Networks и рекомендует ее продукты для внедрения при построении Центров очистки траффика. Оборудование Arbor Networks качественно отличается техническими характеристиками и алгоритмами обнаружения атак.
К слову, на днях инсталируем у себя набор из SP+TMS Peakflow от Arbor. Будем делать пилот. Потестируем — посмотрим. А если найдется свободный выходной, то еще и постараюсь рассказать от этом.
работаю в одном крупном провайдере в Европе, поставили в некоторых странах эти АСЕ, теперь постоянно мучаемся. Очень нестабильные (не нексус, конечно), хотя многие крупные клиенты их все же держат — стало быть без них хуже
Как я писал в статье, жалобы на оборудование есть, но чаще всего все заканчивается на фразе «глючноватое». А что именно происходит, с чем проблемы — детальнее не пишут. На своей памяти проблем с балансировщиками не было.
теряет маки серверов, просто отваливаются сервера, вываливаются ACE из кластера, просто перестает балансить и т.п. У нас просто очень много инсталяций, поэтому статистика накопилась
Наверное глупо спрашивать о том, производилось ли обновление версии ПО/прошивки.
У самих используется множество сервисных модулей — FWSM, IDSM-2, Detector, GUARD и скажу что удовлетворенность — 98%. Как-то был не особо понятный момент с CISCO GUARD. Оборудование присутствует на двух тех. площадках. Однажды (сначала на первой, а потом на второй площадке) наблюдалась такая проблема: защита зоны не активировалась из-за переполнения Flash. В документации черным по белому написано, что когда заполнение флеша подходит к 80% — устройство начинает автоматически удалять старую информацию для избежания переполнения. На флеше не было ни логов, ни дампов пакетов, одним словом ничего… Вылечилось перезагрузкой сервисного модуля. Работают эти модули в таком режиме, что их downtime не приводит к недоступности сервисов для пользователей. За 2 года такое было всего 1 раз, но тогда я очень сильно удивился.
У самих используется множество сервисных модулей — FWSM, IDSM-2, Detector, GUARD и скажу что удовлетворенность — 98%. Как-то был не особо понятный момент с CISCO GUARD. Оборудование присутствует на двух тех. площадках. Однажды (сначала на первой, а потом на второй площадке) наблюдалась такая проблема: защита зоны не активировалась из-за переполнения Flash. В документации черным по белому написано, что когда заполнение флеша подходит к 80% — устройство начинает автоматически удалять старую информацию для избежания переполнения. На флеше не было ни логов, ни дампов пакетов, одним словом ничего… Вылечилось перезагрузкой сервисного модуля. Работают эти модули в таком режиме, что их downtime не приводит к недоступности сервисов для пользователей. За 2 года такое было всего 1 раз, но тогда я очень сильно удивился.
конечно обновлялось :)
и я говорил конкретно про АСЕ, с другими сервисными модулями проблем меньше. Тем не менее, насколько я могу судить по уровню клиентов, которые используют АСЕ, видимо плюсы такого решения все же перевешивают эти баги :)
так что я вовсе не отговаривал их использовать, но просто быть готовым к нештатным ситуациям
и я говорил конкретно про АСЕ, с другими сервисными модулями проблем меньше. Тем не менее, насколько я могу судить по уровню клиентов, которые используют АСЕ, видимо плюсы такого решения все же перевешивают эти баги :)
так что я вовсе не отговаривал их использовать, но просто быть готовым к нештатным ситуациям
А нексус они что? Совсем не надежные или надежные?
Если не секрет, то скажите каким клиентам ставите такое железо и для каких целей?
Вы имеете ввиду кто пользуется услугами промышленных балансировщиков или набором железа упомянутого ранее?
Да верно.
Я так понимаю, что основное применение — это веб-сервера. А есть ли еще какие-то применения? И кто эти компании вообще? Кто закупает подобное железо, владельцы ДЦ, провайдеры,…?
Я так понимаю, что основное применение — это веб-сервера. А есть ли еще какие-то применения? И кто эти компании вообще? Кто закупает подобное железо, владельцы ДЦ, провайдеры,…?
отвечу за своего провайдера: крупные банки, системы платежей, нагруженные веб-сайты
Вообще, ACE может балансировать все что угодно, это называется generic load-balance. В таком случае запросы просто напросто балансируются между доступными серверами в серверной ферме.
Такой подход может вызвать проблемы при использовании, например, протокола HTTP (cookies, ssl, etc.). Поэтому, такие протоколы как HTTP, FTP, DNS, SIP, RDP, RTSP, extended RTSP, RADIUS балансировщик «поминает» очень хорошо.
Можно сказать, что веб-сервера — это самое популярное применение такого рода устройств. По крайней мере у нас.
Интересно показало себя устройство при одной DDoS атаке. При резком возрастании вредоносного и легитимного трафика (с учетом работы средств защиты), виртуальному серверу клиента не хватало остаточных ресурсов ноды (на этой ноде были и другие клиенты). Клонирование виртуальной машины клиента на дополнительные разные ноды (в т.ч. территориально разнесенные) в объединение серверов в ферму, позволило избежать простоя. (Просто вспомнилось — прошу особо не цепляться к примеру и не устраивать разбор полетов).
Кто эти компании? Нечего особенного, клиенты которые готовы платить за такого рода сервисы. На самом деле таких не мало. Естественно, конкретных имен Вы тут не найдете. Но как Вы догадываетесь, горизонтальное масштабирование делают очень многие растущие проекты.
Кто покупает такое железо? Линейка этого оборудования предназначена для инфраструктуры ДЦ. Покупают его себе ЦОД, возможно крупные провайдеры. Виртуализация устройств позволяет полностью предоставить клиенту полнофункциональный балансировщик, причем клиент не обязательно должен разместить свои сервера в данном ДЦ. Об этом планирую отдельную заметку.
Также, планирую рассказать как имея такого рода устройства (имеется ввиду упомянутое ранее), можно реализовать сервис защиты от DDoS-on-demand, концептуально похожий на QRATOR.
Такой подход может вызвать проблемы при использовании, например, протокола HTTP (cookies, ssl, etc.). Поэтому, такие протоколы как HTTP, FTP, DNS, SIP, RDP, RTSP, extended RTSP, RADIUS балансировщик «поминает» очень хорошо.
Можно сказать, что веб-сервера — это самое популярное применение такого рода устройств. По крайней мере у нас.
Интересно показало себя устройство при одной DDoS атаке. При резком возрастании вредоносного и легитимного трафика (с учетом работы средств защиты), виртуальному серверу клиента не хватало остаточных ресурсов ноды (на этой ноде были и другие клиенты). Клонирование виртуальной машины клиента на дополнительные разные ноды (в т.ч. территориально разнесенные) в объединение серверов в ферму, позволило избежать простоя. (Просто вспомнилось — прошу особо не цепляться к примеру и не устраивать разбор полетов).
Кто эти компании? Нечего особенного, клиенты которые готовы платить за такого рода сервисы. На самом деле таких не мало. Естественно, конкретных имен Вы тут не найдете. Но как Вы догадываетесь, горизонтальное масштабирование делают очень многие растущие проекты.
Кто покупает такое железо? Линейка этого оборудования предназначена для инфраструктуры ДЦ. Покупают его себе ЦОД, возможно крупные провайдеры. Виртуализация устройств позволяет полностью предоставить клиенту полнофункциональный балансировщик, причем клиент не обязательно должен разместить свои сервера в данном ДЦ. Об этом планирую отдельную заметку.
Также, планирую рассказать как имея такого рода устройства (имеется ввиду упомянутое ранее), можно реализовать сервис защиты от DDoS-on-demand, концептуально похожий на QRATOR.
у меня используются предшественники CSS 11503, объединены в кластер. используются для балансировки нагрузки (разброс клиентов) по серверам для хитрого торгового приложения. Нареканий, глюков и сбоев в работе (уже года 2-3 как работают 24/7/365) не было.
Сейчас открываем новую точку и туда заказали как раз парочку ACE'ов. кстати с фсб очень долго бадались чтоб получить разрешение на ввоз данного оборудования (1,5 года бумажками швырялись).
Работаю в финансовой организации, ане в провайдере или интеграторе.
Сейчас открываем новую точку и туда заказали как раз парочку ACE'ов. кстати с фсб очень долго бадались чтоб получить разрешение на ввоз данного оборудования (1,5 года бумажками швырялись).
Работаю в финансовой организации, ане в провайдере или интеграторе.
Как обстоят дела с ГОСТовой криптографией? Можно ли как-то заставить ACE терминировать ГОСТовые сертификаты?
Что Вы подразумеваете под «ГОСТовыми сертификатами»?
Если сертификаты выданные (как в Украине) Аккредитованными Центрами сертификации, то проблем нет — позволяет импортировать любые сертификаты, но нужно понимать, что в браузере будем иметь Не доверенный сертификат безопасности. Браузеры не понимают наших АЦСК.
Если Вы подразумевали реализацию ГОСТ 28147-89, то дела никак не обстоят. Поддерживается: AES, 3DES, DES, RC4. И мне кажется что в обозримом будущем ситуация не изменится.
Если сертификаты выданные (как в Украине) Аккредитованными Центрами сертификации, то проблем нет — позволяет импортировать любые сертификаты, но нужно понимать, что в браузере будем иметь Не доверенный сертификат безопасности. Браузеры не понимают наших АЦСК.
Если Вы подразумевали реализацию ГОСТ 28147-89, то дела никак не обстоят. Поддерживается: AES, 3DES, DES, RC4. И мне кажется что в обозримом будущем ситуация не изменится.
Подтитог: циська гамно. Просто сцуко очень бесит когда нужно чонить посмотреть типа ifconfiga eth4 и приходицо набирать какие-то не то вендовые, не то ваще терминаторские, команды типа show interface и прочее. Сцуко, ну впилите туда обычный юникс. Или там не знаю, венду. Но этот ад, не понятный никому кроме кетаезных програмеров циски убивает.
Стабильность — то что отличает оборудование F5 от конкурентов. Приятно, что и у Cisco появилось такое решение, через годик-другой допилят все немейнстримовые функции и будет(?) альтернатива F5.
Скажите, а что мешает использовать программные решения? Где-то читал что nginx для этого можно использовать.
Если мы будем рассматривать балансировку только ВЕБ сервисов, то можно использовать и nginx в том числе, но стоить отметить что функционал CISCO ACE (лучше сказать специализированных балансировщиков) является куда богаче. Здесь и функционал определения доступности сервиса и более гибкие механизмы распределения запросов. А также глубокое инспектирование HTTP протокола (для данного примера) — об этом не стоит забывать во избежания проблем.
Аппаратные промышленные балансировщики, как уже упоминалось раньше, могут балансировать не только HTTP. Здесь Вы можете заметить, что nginx может работать и как mail proxy. Также, они обвешены многим другим функционалом и технологиями, о которых писалось ранее.
А вообще, при ответе на этот вопрос можно привести много аналогий:
1) нужен firewall: FreebSD+PF, Linux+iptables vs. CISCO ASA, Juniper Netscreen;
2) маршрутизатор с кучей протоколов: Quagga vs. CISCO/Juniper Router;
3) IPS/IDS: Snort vs. CISCO IPS, Juniper IDP;
4) и т.д. примеры можно приводить до бесконечности.
При выборе решения учитывается множество параметров, поэтому рассматривая одно ТЗ — nginx будет превосходить решения CISCO ACE, F5, а в другом случае — все будет наоборот.
Аппаратные промышленные балансировщики, как уже упоминалось раньше, могут балансировать не только HTTP. Здесь Вы можете заметить, что nginx может работать и как mail proxy. Также, они обвешены многим другим функционалом и технологиями, о которых писалось ранее.
А вообще, при ответе на этот вопрос можно привести много аналогий:
1) нужен firewall: FreebSD+PF, Linux+iptables vs. CISCO ASA, Juniper Netscreen;
2) маршрутизатор с кучей протоколов: Quagga vs. CISCO/Juniper Router;
3) IPS/IDS: Snort vs. CISCO IPS, Juniper IDP;
4) и т.д. примеры можно приводить до бесконечности.
При выборе решения учитывается множество параметров, поэтому рассматривая одно ТЗ — nginx будет превосходить решения CISCO ACE, F5, а в другом случае — все будет наоборот.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
CISCO ACE — балансировка приложений