Если учесть всю нагрузку, которая передается на маршрутизатор, то мы увидим следующий объем:
- В FIB (Forwarding Information Base — таблица для ускоренной пересылке пакетов) уже содержится порядка 800 000 маршрутов
- Также от оператора связи может анонсироваться определенное количество маршрутов, зависящее от размера сети
- По BGP анонсируется около 1,5 миллиона маршрутов из списка РКН.
Какие проблемы это создает для оборудования оператора и почему?
Конечно, речь идет об оборудовании, которое рассчитано на значительно меньший объем обработки маршрутов. Например, нередко в сетях операторов встречаются маршрутизаторы семейства Juniper MX, которые согласно документации обрабатывают до 1 миллиона маршрутов. На 2009 год, когда только создавались эти модели, оборудование рассчитывалось на 500 тысяч адресов, что на тот момент казалось более чем достаточным количеством.
С аналогичной проблемой могут вскоре столкнуться владельцы Cisco SCE, способность обработки которых составляет до 2,5 миллионов адресов.
Некоторое оборудование не справляется с нагрузкой уже сейчас, а линейные карты, содержащие до 2.5 млн префиксов FIB, могут исчерпать свой ресурс уже совсем скоро, если количество заблокированных IP продолжит увеличиваться.
Чтобы решить проблему фильтрации большого количества адресов, применяется установка фильтрующего оборудования типа СКАТ по схеме «в разрыв». Фильтрация проходит средствами DPI. Платформа СКАТ может обрабатывать до 4 миллиардов записей.
Важным аспектом применения DPI является переход от блокировки по IP к умеренной блокировке по URL, SNI, CN и при необходимости IP+порт.
Схемы фильтрации
Давайте разберем подробнее все возможные схемы фильтрации трафика.
- BGP Blackhole на маршрутизаторе: предполагает отбрасывание трафика на маршрутизаторе в направлении данного IP адреса или подсети.
Плюсы: Реализация на имеющемся оборудовании.
Минусы: Необходимость подготовки списка для маршрутизатора, полная блокировка ресурсов, что влечет негатив со стороны абонентов. Создает дополнительную нагрузку на маршрутизатор. - Установка DPI на предфильтрованный исходящий трафик: отбор трафика осуществляется по BGP или PBR по определенным портам (80, 443).
Плюсы: Снижение стоимости внедрения и объема обрабатываемого трафика.
Минусы: Дополнительная нагрузка на маршрутизатор и возможные пропуски на запрещенные ресурсы, т.к. не весь трафик подается на фильтр. - DNS фильтрация: использование стороннего сервера DNS, который содержит список запрещенных ресурсов и отвечает на резолв клиента.
Плюсы: Быстрое внедрение и низкая стоимость владения.
Минусы: Простота обхода путем изменения DNS на стороне клиента.
- Установка DPI на зеркало трафика: зеркалирование осуществляется через оптические сплиттеры или активное оборудование с использованием SPAN портов.
Плюсы: Нет влияния на сеть в случае аварии.
Минусы: Отсутствие возможности ограничить выход из сети первоначального запроса и неполное зеркало трафика, влечет за собой возможную доступность запрещенных ресурсов и невозможность блокировки IP или подсети целиком. - Установка DPI в разрыв только на исходящий трафик: подразумевает пропуск запросов от абонентов в сторону интернет через фильтрующее устройство, обратный трафик идет без обработки.
Плюсы: Снижение стоимости владения системой, т.к. объем исходящего трафика в разы меньше.
Минусы: необходимость разделения потоков, что усложняет схему сети и требует дополнительных портов. - Установка DPI в разрыв на входящий и исходящий трафик: реализуется путем пропуска всего трафика через фильтр.
Плюсы: Возможность использовать полноценные возможности DPI с целью повышения QoS/QoE в сети, реализации функций BRAS/NAT/сбора статистики.
Минусы: Увеличение стоимости внедрения по сравнению с предыдущими вариантами, повышение точек требующих резервирования.
Таким образом, можно решить проблему перегруженности и сбоев в работе маршрутизаторов, изменив способ фильтрации: необходимо снять с оборудования нагрузку в виде анонсирования дополнительных маршрутов и настроить фильтрацию средствами DPI по схеме «в разрыв» или «асимметрично».