Открыть список
Как стать автором
Обновить
44
Карма
37
Рейтинг
Кирилл @CMHungry

сетевые технологии

История одного переключения

Код легально может получить любой легальный покупатель

Путешествие по ЦОД Selectel. Динозавр в огне, VMware, С2F5H и невидимый оборотень

По итогам того тикета было произведено разделение московского и санкт-петербургского сегмента сетей на разные автономные системы и анонсирование региональных сетей в регионе. Ряд случаев, действительно, может сохраняться и сейчас, но мы уделяем большое внимание вопросам связности, и реагируем на описание проблем.

Путешествие по ЦОД Selectel. Динозавр в огне, VMware, С2F5H и невидимый оборотень

СПб и МСК сети живут в разных автономных системах. Набор аплинков действительно чуть-чуть отличается, в разных городах есть разные пиринги, которые могут не дублироваться. «Пинг из точки, подключенной в МСК, до ДЦ Selectel в МСК больше, чем до ДЦ в СПб.» — из какой точки? Опять же, у ряда сетей стык в СПб, и трафик из той же Самары, например, действительно может идти сначала в СПб, потом уже нашими каналами в МСК. Интернет-связность не всегда повторяет географическую и железнодорожную карту. Очень многие маршруты, например, в Индию ведут через Франкфурт или вообще Лондон. В Китай тоже. Если есть конкретика, которую хочется исправить — пишите в тикеты, с указанием ип-адресов откуда-куда, трейсов прямого и обратного маршрутов.

Объединение проектов в разных дата-центрах

Вопрос IP-migration и миграции в облаках решается или на L2, или на L3 схеме с VXLAN на гипервизорах и BGP от гипервизоров или виртуальных маршрутизаторов до маршрутизаторов в разных ДЦ.

Объединение проектов в разных дата-центрах

Очень разные решения. ДЦ постоянно развивается, очень много разноплановых задач, так что в инсталлированной базе коммутаторов есть и Juniper ЕХ3200, и Arista 7050X3

Объединение проектов в разных дата-центрах

На первый взгляд, кажется, что решают. Но нужны большие FIB, RIB, количество VRF. Т.е. это уже не коммутаторы, а большие маршрутизаторы. Плюс EVPN/VXLAN только увеличивают количество проблем с BUM-трафиком. Передача BUM-трафика и просто МАС-сигнализация за счет CPU, по-моему, так себе идея…

Selectel IPv4 prefix route leaking

Пропускной способностью канала на DE-CIX

Selectel IPv4 prefix route leaking

да, анализировали. Но это могло привести к сильному перекосу трафика, поэтому такое решение было отложено «на потом»

10-гигабитный Ethernet: советы новичку

это до л2 порта свитча исправляется, по сути. Т.е. чисто на физике, чипы именно физических портов.

10-гигабитный Ethernet: советы новичку

на оптике меньше шумов, на меди чаще шумы и ретрансмиты.

Как устроена расширенная защита от DDoS в Selectel

afaik, RETN flowspec делает только сам внутри себя, не давая клиентам сделать flowspec правила на свои сети.
Про защиту конкретных сервисов от ддос — смотря от какого уровня ддос надо закрыться. Если сервис TCP, то закрыть к нему UDP на аплинках помогает в 80% случаев.

Как устроена расширенная защита от DDoS в Selectel

На «секретные» адреса атак практически нет — их не разглашают. Плюс есть возможность их сделать «серыми».
Про SMTP — мы объясняем, что в том же постфиксе есть возможность подставлять другой адрес при отправке сообщений. Ну и 95% «недохакеров» не ищут реальные ип-адреса.

только не specflow, а flowspec. И нет, на моем опыте — никто. 10 правил у Раскома, это мало.

Как устроена расширенная защита от DDoS в Selectel

С адресами путаницу посмотрю, спасибо.

Прокси на то и прокси, чтобы весь трафик через нее шел. Трансляция адресов идет на прокси, протокольная обработка идет на прокси. TCP проксируется, например. UDP тоже, есть ответ-нет ответа — на основании этой информации определяется легитимность трафика, который «похож на настоящий»

«Просто если вы используете Arbor, мне казалось достаточно почистить входящий трафик» — арбор на входящий трафик плохо чистит л3 и никак — л7. Для этого прокси через F5.

Как устроена расширенная защита от DDoS в Selectel

у партнера Арбор и Ф5. В общем случае логи нгинкса — нет, а QRator тоже можем подключить.
Усложнение маршрутизации — чтобы на сервере ничего не настраивать, все сложности с маршрутизацией мы берем на себя.

Выбор ЦОДа в Санкт-Петербурге, практический опыт выбора

tower и в Селектеле в Дубровке можно

Секреты тестирования Ethernet каналов

Один клиент с коробочкой способен сделать техотделу провайдера месяц изощренного секса. Потому что "коробочка показывает, что на 64 байтном пакете у меня 950 мбит, а должно быть 1000".
При том, что клиент никогда не будет использовать этот канал на 64-байтных пакетах при 1.5 мппс. Он там RDP гонять будет.

Коробочка автоматом умеет находить в л3 сети провайдера ECMP и LAG и тестировать все пути? Не думаю
Коробка выдаст 16k+ LSP на предмет тестирования Р-устройств и FRR в сети для этого количества транзитных LSP? Вряд ли.

Коробка такая нужна, когда непонятное железо, ты на нем делаешь L2VPN и тебе надо понять, железный он или софтовый, есть ли проблемы с максимальным количеством ппс…

Коробка хорошая, но со специфичными задачами, "не для всех".

Juniper MX + IX + SynFlood

у нас IX'ов очень много, но полностью выносить кого-то мак-фильтром на своей стороне неправильно — у него же продолжает быть связность с роут-серверами, и он видит твои префиксы через них. Т.е. ты полностью теряешь связность с кем-то.

Juniper MX + IX + SynFlood

а это коммерческая тайна =)

Информация

В рейтинге
156-й
Откуда
Санкт-Петербург, Санкт-Петербург и область, Россия
Работает в
Зарегистрирован
Активность