Итак, поздравляю: каким-то образом вас всё таки затронула тема установки комплекса фильтрации. Приключение, что называется, “то ещё”, подготовьтесь к нему заранее.
Сразу: не надейтесь, никто вам не будет рассказывать как это работает, вам придётся всё придумывать и проектировать самостоятельно, «наугад».
Читать статью: “ТСПУ: год эксплуатации. Опыт.” про фактическую работу оператора связи с установленным комплексом.
Дисклеймер: всё, что написано ниже - это реальный опыт внедрения ТСПУ, площадка 6323. Если вам повезло и всё / почти всё было существенно лучше - поздравляю, вам повезло. Лишь бы хуже не было.
- Бабочек и радуги не будет
- Важные технические детали
- Отдельно про страницу-заглушу
- Кратко весь процесс
- Проблемы при запуске
- Что нужно изменить в процессе, чтобы стало лучше
Бабочек и радуги не будет
Сразу запишите список «никаких»:
- Никаких описаний системы, компонентов и алгоритмов.
- Никаких best practice, white papers и прочей буржуйской мути.
- Никаких руководств по проектированию системы.
- Никаких расчётов по производительности, нагрузкам, трафику и тд.
- Никаких описаний по процессу ввода в эксплуатацию.
- Никаких программ испытаний.
- Никаких документов, подтверждающих, функциональность.
Зато:
- Требование обеспечить фильтрацию всего трафика, без исключений (транзит тоже).
- Согласование сроков ввода в эксплуатацию, а затем, на пол-дороги, требование сократить срок в два раза и только для того, чтобы по выполнении в уже сокращенное время, исчезнуть с радаров просто на месяц.
- Протокол безвозмездной передачи комплекса вам, где будет вписан пункт не только о том, что комплекс передан, но и что он «работоспособен».
ВременнЫе рамки:
Скорее всего, с вами свяжутся в феврале, потом исчезнут до июля, в августе надо будет «срочно-срочно», потом в октябре все сроки уже будут гореть синим пламенем, в ноябре исчезнут с горизонта, в декабре надо будет срочно всё доделать.
Важные технические детали
Есть множество технических особенностей, которые лучше знать ещё до начала проектирования.
- Ставится это всё дело на ваши аплинки. Не обязательно непосредственно на линии связи ним, но логика такая.
- Мониторить вы это не сможете. У вас не будет доступа вообще.
- Система «бажная», но понять что что-то идёт не так можно только по косвенным данным (например, у некоторых пользователей перестаёт открываться AppStore).
- Подключение выполняется ТОЛЬКО 2-волоконными трансиверами. Поэтому чтобы не перекладывать с каждым каждым аплинком трассу с 1-волоконных на 2-волоконные, лучше привести аплинки в коммутатор, а в маршрутизатор их отдать LACP-ом. ТСПУ вполне ставится в этот разрыв, умеет LACP и dotQ trunk.
- Обещание «да не переживайте, в случае аварии ТСПУ за 3 миллисекунды разворачивает физические зеркала и трафик идёт мимо» – всё это фигня. 3 секунды. Засекали. Физический интерфейс падает, потом поднимается со всеми стандартными процедурами. Ни черта это не «прозрачно».
- BGP-сессия сбрасывается, если маршрутизатор видит, что интерфейс отключился. Думайте как увести BGP-сессии так, чтобы они не видели падение физического интерфейса. А то восстанавливаться будет чёрти сколько.
- 100-гигабитное оборудование занимает меньше места, чем оборудование с 10 штуками 10-гигабитных интерфейсов.
- При настройке инженеры видят ваш внешний трафик, видят vlan-ы, через которые он идёт, мухлевать не получится.
- Сессия фильтрации стартует по ACK-пакету TCP-сессии, который приходит от внешнего ресурса к вам. Если такого пакета ТСПУ не видит – не срабатывает.
- Страница-заглушка, которая показывается вместо запрещенных ресурсов, прописывается в протоколе. Требований к странице никаких. Я так и не смог добиться какой формат этой страницы должен быть и что на ней можно размещать, а что нет.
- По слухам, система работает нестабильно при DDoS-ах – начинает дропать не те пакеты, ронять интерфейсы. Подчёркиваю: по слухам, мы пока на себе не проверили. Но надо иметь ввиду такую вероятность.
- Вы НЕ сможете отключить свою систему фильтрации после установки ТСПУ. Они вам напишут пачку выдержек из законов и подзаконных актов, из которых следует, что никто ни за что не отвечает, поэтому провайдер должен и далее обеспечивать фильтрацию самостоятельно. ТСПУ – это так… баловство…
Отдельно про страницу-заглушу
Подумайте вот о чём: если у вас есть только конечные клиенты, то не очень важно какая именно страница показывается. Как позволит ваша фантазия.
Но если у вас есть присоединенные операторы, то есть другие компании покупают у вас трафик и далее раздают его уже своим конечным клиентам, то что именно увидит конечный клиент на этой странице?
Пример: допустим, есть крупный оператор «Ромашка», к которому присоединён оператор «Лепесток». «Лепесток» пока не имеет своего ТСПУ и покупает трафик у «Ромашки». У «Ромашки» на сети ставят ТСПУ. И теперь оба оператора – и большой «Ромашка», и его присоединённый «Лепесток» получают исключительно фильтрованный трафик. А оператор «Ромашка» для заблокированных ресурсов подготовил свою страницу блокировки – на своём домене, брендированную, с логотипом, своей рекламой и даже телефоном службы поддержки. Угадайте, куда будет звонить клиент оператора «Лепесток» когда увидит такую страницу.
Тут много вопросов:
- Нагрузка на службу поддержки
- Лёгкая шизофрения у конечного клиента, не понимающего к какому оператору он подключён
- Нарушение принципа «клиент моего клиента – не мой клиент»
и так далее.
Выход: использование предельно нейтральной страницы-заглушки. Мы у себя сделали вообще на отдельном домене blockpage.ru . Можете, кстати, тоже пользоваться – планируем оставить её в таком же, максимально нейтральном виде, а если что-то и будет появляться, то не про наши услуги точно.
Кратко весь процесс
Как выглядит весь процесс от начала до конца
- Скорее всего, на вас выйдет кто-то из РКН или подрядной организации с информацией о том, что вам пора.
- Вам вышлют опросник о параметрах вашей сети (суммарные нагрузки). Смело пишите в 2 раза больше (минимум), а то потом не расширитесь.
- После сбора данных проектная организация будет с вами согласовывать схему сети и место установки ТСПУ. СХЕМУ ДУМАЙТЕ САМИ! Только вы знаете свою сеть, «с той стороны» выполняют задачу «лишь бы поставить». Учитывайте пункты из раздела «Технические детали…».
ОБЯЗАТЕЛЬНО ПРИВЛЕКАЙТЕ ТЕХНИЧЕСКОГО СПЕЦИАЛИСТА (АДМИНА, ТЕХДИРА, СЕТЕВОГО ИНЖЕНЕРА,…) С МОМЕНТА НАЧАЛА ПЕРЕГОВОРОВ о вводе ТСПУ – возможно вашу сеть потребуется перепроектировать, чтобы выполнить требования. У инженеров будет время подготовиться. И процесс обдумывания занимает ВРЕМЯ! Чем тщательнее он пройдёт (да, это затраты по времени), тем спокойнее будет потом.
Продумайте схемы возможного обхода на случай полного трэша (кстати, у нас система работает относительно стабильно, пока не приходилось что-то изобретать).
Проблемы при запуске
Если у вас всё заработало с первого раза и нет никаких проблем – скорее всего у вас просто слишком медленно работает канал обратной связи от клиентов, либо вы чего-то не видите. Скорее всего.
- Трафик не фильтруется. Морально будьте готовы, что Ревизор будет ловить пропуски после ввода в эксплуатацию. Так что не надейтесь снять Ревизоры.
Эту ситуацию можно решить. Вам надо инженерам «с той стороны» предоставить данные: откуда, куда, какой трафик/сервис недоступен. - Фильтруется лишнее. Могут начать разваливаться VPN-ы (особенно Cisco AnyConnect), переставить работать AppStore и Apple Music и тд. По каждому случаю – писать, просить чтобы поправили.
Кстати, у меня до сих пор нет уверенности, что все проблемы с VPN-ами смогли решить. Как будто для указанных пользователей сделали «белый список», а про остальные мы просто пока не знаем. И новые как будут работать – тоже не в курсе. Но, подчеркну, это ощущение, обосновать не могу. - На универсальном ресурсе РКН по блокировкам нет некоторых сайтов, которые фильтруются. Например, play.google.com. Его нет в реестрах. А он фильтруется, потому что «запрещен ….». Что это за запрещение – вообще непонятно.
- На том же ресурсе по проверке блокировок вообще непонятно как проверить запрещенные VPN-сервисы – непонятно как именно спросить у реестра что именно заблокировано.
И, да, фактически получается, что установка в вашу сеть ТСПУ запроектирована подрядчиком РКН-а, установлена и настроена подрядчиком РКН-а, фильтрует по спискам РКН-а и проверяется оборудованием РКН-а (Ревизоры), но за пропуски в фильтрации отвечаете вы. Вплоть до штрафов. А не РКН. Это я про ответственность.
Что нужно изменить в процессе, чтобы стало лучше
Процесс внедрения корректируется и меняется. Но, я так понимаю. скорее в сторону закрытия информации, чем а сторону решения возникающих проблем.
Что обязательно нужно менять со стороны регулирующих органов в процедурах:
- Разработать хоть какое-то техническое описание работы комплекса, его базовых алгоритмов и процедур работы. Чтобы NOC оператора связи понимал где бага, где фича, а где вообще случайное совпадение.
- В документах к внедрению зафиксировать на какие именно нагрузки рассчитан комплекс (сам объём трафика в мегабитах – СЮРПРИИИЗ!! – это далеко не все данные для расчёта нагрузки на комплекс). Описать что будет происходить с системой при превышении расчётных нагрузок и что делать в этом случае.
- Описать программу испытаний комплекса, чтобы удостовериться, что он вообще заработал. Базовую программу, которая покажет как именно ведёт себя оборудование в случае блокировки ресурса.
Три, казалось бы, простых пункта. Даже очевидных. Даже унаследованных их старой советской школы, которая, как говорят, была не самой плохой. Но по какой-то невероятной причине эти элементарные пункты просто отсутствуют. А потом вы удивляетесь почему пытливый русский ум пытается “что-то придумать” и “как-то извернуться”. Ну потому и пытается, что попадает в условия, когда по-другому никак.