Компания
   - Новости
   - Контакты
Услуги и цены
   - Dom@NET
   - Dial-Up :)
   - Наши конкуренты
Для клиентов
   - Ваш аккаунт
   - Изменение пароля
   - Изменение тарифа
Технология
   - статья о технологии
 

Данный рассказ является художественной обработкой ответов на типовые вопросы и одного забавного диалога с одним "технарем". Пользуясь нормой Закона Украины про "Вiльний доступ до Iнформацii", начнем:

- Расскажите, пожалуйста, какое новшество в Доманете было реализовано в последних числах августа-2013?

- Для того чтобы объяснить что делалось, нужно рассказать историю развития и логического построения Сети, чтобы понять о чем пойдет речь. Вам это интересно?

- Да, конечно!

- Итак, в какой-то момент стало понятно, что "плоская сеть" (неважно каких размеров: в масштабах города или дома или даже подъезда) - это ЗЛО, причем большое зло. Она абсолютно БЕЗЗАЩИТНА в том плане, что ЛЮБОЙ пользователь может (намеренно или случайно) "положить" сегмент (говоря человеческим языком: сделать так, что у остальных пользователей его сегмента перестанет работать интернет).

Это касается АБСОЛЮТНО всех "плоских" сетей (а именно такие строят практически все провайдеры/операторы Украины и, что характерно, СНГ)

- Подождите, Вы хотите сказать, что ВСЕ локальные сети - это полное г... Вы не слишком много на себя берете?

- Я хочу сказать, что ВСЕ без исключения "плоские" (подчеркиваю: именно ПЛОСКИЕ) сети УЯЗВИМЫ. Конечно, за последние годы производители оборудования сделали некоторые шаги для того, чтобы операторы cмогли "обезопасить" абонентов от их же соседей, но большинство этих "защит", (простите меня) для "ламеров". Мало-мальски грамотный человек их "обойдет".

Да и за примером ходить далеко не надо - начиная с "детской" болезни: прописал вместо своего IP-адреса (нечаянно, по-ошибке) IP-адрес сервера-шлюза (default_gateway который) - и все: "прощай, интернет" во всем сегменте (а то и городе). Причем сделать это можно совсем не специально, а случайно по невнимательности, но зато какой эффект!...

Во многих свитчах есть привязка к МАС-адресу (эдакая "защита" от любителей "подставлять" чужие МАС-адреса или, еще хуже, МАС-адрес шлюза), но далеко не все свитчи умеют проверять IP, и предыдущий пример ярко показал к чему это может привести.

Но все может быть гораздо проще: я сейчас (опять же, нечаянно) включу в свой WiFi-роутер кабель провайдера не в WAN-порт, а в LAN-порт и, как результат, начну всем подряд соседям со своего дома "выдавать" (по DHCP) айпишники в стиле 192.168.х.х. Весело будет тех.поддержке провайдера, правда? И таких "приколов" десятки, если не сотни...

- Что-то меня настораживает то, что Вы говорите. Это вообще правомерно то, что Вы рассказываете?

- Я рассказываю ИЗВЕСТНЫЕ вещи, которые "знает каждый школьник" (и слава Богу, что "знает, но не делает"!), и которые можно спокойно найти в открытых источниках. Или действительно НЕЧАЯННО сделать. Ну ведь никто не застрахован от того что "перепутает местами" на своем роутере WAN и LAN порт и "вырубит" абонентов своего подъезда, у которых стоит "автоматическое" получение IP-адреса.

Знаете, это как история про кухонный нож: им можно резать хлеб, а можно совершить преступление (причем бывают случаи и по неосторожности). Но это же не повод теперь запретить кухонные приборы, правда? Потом, я рассказываю что МОЖЕТ произойти если кто-то НЕЧАЯННО что-то у себя на компьютере сделает - какие будут последствия, и (Боже упаси!) я призываю никого так не поступать!!!

Более того, я много раз все это рассказывал всем подряд провайдерам (публично заявляю впервые). И что Вы думаете, хоть кто-то "почесался" на этот счет? Нет, все "забили" на проблему (а некоторые в силу своей технической отсталости даже не смогли ее понять) и "забили" на абонентов как таковых, прикрываясь Законодательством и пользуясь "безграмотностью" населения.

- Вы хотите сказать что все настолько плохо?

Нет, сейчас ситуация намного лучше, чем, скажем, в 2004..2006 году. То поколение, которому интересно было "ломануть сетку провайдера" уже выросло, а молодежи это не интересно: их интересуют "вконтакте", "музло", игры итд итп. Но тем не менее проблема как таковая осталась, и вообще-то говоря ВСЯ ОТРАСЛЬ "сидит на пороховой бочке" - в любой момент может начаться ТАКОЙ технический АРМАГЕДОН (в рамках всей страны), который даже трудно себе представить...

- Хорошо, но вот Вы так пессимистично все обрисовали, а сами-то вы что-то сделали в этом направлении?

- Забегая наперед, скажу, что мы добились ПОЛНОЙ ЗАЩИТЫ работы локальной Сети, но обо всем по-порядку.

Так вот: много лет назад пришло осознание того, что СТАНДАРТНЫМИ техническими средствами проблему глобально не решить. Хотя бы потому что все новые "прошивки" и "заплаты" выходят с опозданием на несколько лет (!!!), а за это время можно всех абонентов потерять.

- И какой же выход?

- А выход был избавиться от понятния "плоской сети". Да, можно было "порубать" сеть на сегменты ("понатыкав" L3-свитчей, как это делают многие провайдеры), но все равно минимальным объектом "плоской сети" оставался один (как правило 24-портовый) свитч-коммутатор, в котором абоненты "плавали" как говорят технари "в одном домене коллизий".

Нужно было сделать так, чтобы в одном "сегменте" (пусть даже и логическом, а не физическом) остался ОДИН пользователь (чтобы "гадить" кроме как себе же было больше некому). На техническом языке это называется каждого пользователя - в отдельный VLAN.

А для того чтобы потом как-то "склеить" эти "логические сегменты / vlan-ы из одного юзера" пришлось (только не падайте со стула) разработать собственный коммутатор (техн. "bridge"), точнее написать свой софт, который "сэмулировал" бы работу "умного" свитча(бриджа). И в этом софте/прошивке написать все те защиты, про которые шла речь.

Ко всему прочему, благодаря "компьютерному контролю", кроме "наведения порядка" в рамках одного свитча, мы получили практически неограниченные возможности контроля над корректностью работы ВСЕЙ сети (например, недопустить чтобы в разных участках сети встречался один и тот же пользовательский МАС или запретить передачу данных на несуществующие в сети MAC- или IP-адреса). Это можно сравнить с авиа-диспетчерской службой аэропорта. А теперь представьте себе, что большинство домашних сетей "летают" безконтрольно. Какова вероятность "катастрофы" в этом случае? Тут и думать нечего: "неприятность" у них рано или поздно произойдет. Вопрос только КОГДА.

Причем неоспоримым достоинством данной ИДЕИ был тот факт, что мы получали в распоряжение инструмент, с помощью которого можно было ОПЕРАТИВНО защититься от ЕЩЕ НЕИЗВЕСТНЫХ видов атак. Время реакции - скорость написания программного кода, обычно пару часов.

Говоря техническим языком, мы написали "firewall" только не уровня L3, а уровня L2 с элементами L3/L7. а реализовали это на базе обычных компьютеров с OS Linux (сначала на Pentium-3, потом на Pentium-4), которыми "подпирали" сегмент из группы домов.

Математически - идеальная топология. Но, была одна организационная проблема:

1) сложность обслуживания: это тебе не свитч пойти дернуть, тут надо квалификацию иметь сотрудникам провайдера

2) масштабируемость: дело в том что Pentium-4 больше 1 гигабита трафика вряд ли пропустит, на 1 дом вроде как нормально, тем более что все провайдеры считают нормой построение FTTB (Fiber To The Building) - гигабит на дом (хотя у "некоторых" до сих пор и 100 мбит на дом/подъезд и это при том что они регламентриуют 100 мбит КАЖДОМУ юзеру - вот кто бы знал это... а потом пишут на их же форумах "у меня на тарифе 100 мбит скорость больше 2 мбит не подымается"... естественно! ведь 100 мбит на ВЕСЬ подъезд, а не тебе одному, родимый! вот кто, блин, так сети строит, а?!... или построили так несколько лет назад и за все это время ни разу не проапгрейдили? ну-ну... несчастные юзера таких "провайдеров" так никогда и не поймут почему "то есть скорость, то нету"...), но нам захотелось больше: зайти оптической жилой, Гигабитом в КАЖДЫЙ СВИТЧ и в КАЖДЫЙ ПОДЪЕЗД.

Да, это то, что мы запланировали: очередную маленькую "техническую революцию" в отрасли. Но городить "огород" этих "четвертых пней" на каждом подъезде - это даже не расточительство, это полный бред.

Но что же делать? Отказываться от идеи ПОЛНОЙ ЗАЩИТЫ абонента, когда ИСКЛЮЧЕНА возможность "укладывания сети" (выхода из строя по вине другого абонента)? Да ни за что! Никакое повышение скорости не стоит того, чтобы сетка стала "лагать" как у "других" провайдеров.

Решением оказалось свести "весь интеллект" в Центр, в серверную. Собрать один супер-компьютер, который заменит весь этот "зоопарк" роутеров-бриджей.

Что, собственно, и делалось в эти дни с 24 по 28 августа. Точнее не так: сервак-то был запущен в тестовом режиме гораздо раньше, пробовали перевести на него несколько сегментов сети и смотрели "потянет ли он все это". А вот технические проблемы пришлось решать "вживую", потому что до нас подобного никто еще не делал (попробуйте "сбриджевать" десяток тысяч интерфейсов и чтобы сервер не "склеил ласты"; к тому же пришлось кое-что переписать в исходниках), и заранее было неизвестно на какие "грабли" мы наткнемся.

Да, мы утверждаем, что наша сеть по-прежнему в техническом плане одна из самых "пуле-непробиваемых" (то есть "уложить" Сеть от абонента практически нереально), но нам захотелось сделать ее еще и "самой быстрой" и "самой технологичной".

- Скажите, вот Вы столько времени "проковырялись" - значит все было не так просто, но неужели нельзя было "подсмотреть" у других провайдеров решение?

- Я уже ответил, что мы одни из немногих (а в некоторых моментах чуть ли не единственные) кто занимается подобными вещами, поэтому "подсматривать" было просто не у кого.

- Неужели никто не использует подобную технологию?

- Массово - нет (иначе все бы об этом знали). Возможно кто-то и пришел к этой или подобной идее и с успехом ее применяет. Но 99% что никто "не признается" в этом. Ну, нет ему никакого резона с кем-то делиться своим "ноу-хау".

На самом деле как минимум в одном городе N такая технология более чем успешно используется, и этот провайдер (при жесткой конкуренции) до сих пор занимает абсолютное лидирующее положение на рынке (по одной простой причине: у него сеть, благодаря этой системе, работает так как ни у кого из конкурентов - просто идеально).

Но с этим городом N есть одна особенность: дело в том что хозяин этого ISP - мой коллега и более чем друг (начнем с того, что оба учились в университете Шевченко, факультете Кибернетики, на одной кафедре). И много лет назад, когда у него была ситуация, близкая к катастрофичной (рушилась вся сеть), я ему рассказал КАК я решил эту проблему в Обухове, ну и, если можно так выразится, подарил свое "ноу-хау". Результат, как говорится, "не налицо, а на лице" :)))

Но, несмотря на общую ИДЕЮ ("один пользователь - в одном логическом сегменте"), у нас разная техническая реализация, поэтому помогаем мы друг другу только добрым советом, софт наших систем несовместим между собой (пользуясь случаем, хочу передать большущее спасибо своему коллеге из города N за всю оказанную им помощь и поддержку на протяжении многих лет работы наших ISP).

Cпрашивать "совета" у кого-то еще? Ну не строит никто домашние сети "vlan на юзера", не агрегирует сегменты в Q-in-Q, а потом "терминирует" все это в супер-бридже. Хотя, был один случай, причем у одного очень крупного украинского Оператора.

Работал там один человек (кстати, очень квалифицированный специалист, и, что характерно, тоже же мой очень хороший знакомый, которому я очень многим чем обязан) и на стадии разработки проекта "домашнего интернета" (кстати, само словосочетание "домашний интернет" они честно "стыбзили" с названия нашей сети Dom@NET, которое было придумано и ЗАПАТЕНТОВАНО еще в 2001 году, ну да ладно), так вот на стадии разработки он предложил руководству построить сеть ГРАМОТНО (в итоге - почти как у нас, какого-то мелкого провайдера из рай.центра Обухова) и сделать "конфетку" в масштабе всей страны.

И что Вы думаете ему ответило руководство? Этот ответ меня когда-то самого поверг в шок: "Это слишком сложно. Надо сделать так, чтобы любой сотрудник, даже ПОЛНЫЙ ДУРАК смог обслуживать нашу "национальную" сеть, самый неквалифицированный монтажник".

Подождите, друзья, но если сделать так чтобы "было понятно и идиоту" - тогда будет понятно и любому "ламеру-злоумышленнику". Ответ не заставил себя долго ждать: "слушай, ты чего из себя строишь? Ты считаешь себя самым умным? В эту отрасль МИЛЛИАРДЫ инвестированы, а ты про какую-то дыру в безопасности рассказываешь, что любой школьник может вырубить оператора национального масштаба..."

На этом и закончился разговор. Получается что:

1) нужно чтобы идиоту-сотруднику было понятно (кстати, а они вообще подписывают "наверху" кабеля номером квартиры? и есть ли привязка к порту? Если нет и порты можно менять местами - что мешает абоненту потреблять интернет соседа?...)

2) оказывается что "раз в отрасль инвестированы миллиарды" - значит в ней не может быть ошибок и недоработок. Ну да, в Аполлон-13, в шатл Колумбия и сверх-звуковой Конкорд тоже миллиарды вгрохали и каков был результат?....

3) основная цель большинства корпораций - "получение максимальной прибыли", а мы по-прежнему живем советской идеологией и пытаемся "сделать людям хорошо" и "оказать максимально качественную услугу". Может поэтому мы такие бедные?... Но предавать свои моральные принципы и делать г..., которое "пипл все равно схавает" - мы так не воспитаны...

Больше там этот товарищ не работает, ушел в другую контору. Но это уже другая история.

Возвращаясь к нашей теме. Да, мы решили в очередной раз сделать "самую лучшую сеть" (пусть наша технология в чем-то и "уникальна"), но для этого пришлось двухзначное количество раз попереключать потоки. Да, мы работали в эти дни не так как Вы привыкли (а скорее как заурядный "обычный" провайдер домашней сети), но цель-то была благородная!

Или Вы хотите пользоваться услугами провайдеров, у которых сеть - "решето" и может "рассыпаться" в любой момент от того что "ваш сосед по дому куда-то что-то включил по ошибке... а может и НЕ по ошибке..."? Выбор, безусловно, за Вами.


- Последний вопрос. Вот Вы говорите что у вас "самая лучшая сеть"...

- ...ну, не "самая лучшая" именно сеть, а "логически грамотная" идеология функционирования, я бы сказал...

- Ладно, пусть будет по-Вашему. Но чем-то Вы свои слова подтвердить можете?

- А я Вам сейчас покажу график работы любого из узлов сети. На графике рисуются потери (слева, в процентах) и задержки (справа, в милисекундах):



А теперь скажите, пожалуйста: кто-то может похвастаться нулевыми потерями и задержками в домашней сети? на графике "гладь" как у "лезвия бритвы". И еще скажите: а вообще подобные графики кто-то строит? Много ли провайдеров круглосуточно мониторят КАЖДЫЙ свитч своей сети?

Вот Вам и ответ на вопрос: почему мы УВЕРЕНЫ в качестве своей работы.

Спасибо за внимание!

P.S. Заметим, что статья была написана в конце августа-2013, а до сих пор никаких изменений в отрасли так и не произошло: провайдеры по-прежнему строят "плоские" (простите) говно-сети, и все всех устраивает. Вот только всех ли? (имеется в виду устраивает ли абонентов такое отношение к ним со стороны предоставителей услуги).

©  Dom@NET™ Tech.Lab.

Дизайн: Creative Studio