GD Star Rating
loading...

Да пребудет с вами сила!
Соратники, мне тут внезапно понадобилось придумать решение по защите от DDoS и оптимизации пиринговой политики для мелкого оператора (2-4 бордера /juniper MX старшие/, менее 40 гбит/с трафика). Беда в том, что на Arbor Peakflow SP (CP5500 + TMS) денег у них явно нету. Как нынче принято выкручиваться в подобных случаях?

Tagged with →  

9 Responses to Да пребудет с вами сила!

  1. DroZlo:

    Короче говоря, нужно что-то, что умеет чистить перенаправляя на себя при атаки трафик при помощи BGP и нечто анализирующее sflow от бордеров и дающее раскладку по трафику по клиентам на аплинков.

  2. GibPhone:

    Ну, есть Corero и Radware, по цене они пониже. Но bgp нет у обоих. У Radware можно дополнительно взять особый оптический, гм, свитч, который будет перенаправлять трафик на анализ и очистку.
    Ну а так вообще можно и в inline поставить, не вижу большой проблемы, при наличии bypass на портах.

  3. DroZlo:

    : Цена инлайн решения обычно возрастает линейно от числа аплинковых портов. Если у вас 5-6 ipv4 аплинков и несколько ipv6, а кроме того есть жирненькие клиенты-операторы, то цена инлайн решения становится негуманной. Но это было про DDoS, если я правильно понял. А что есть про анализ сфлоу в части решения проблемы оптимизации пиринговой политики для оператора?

  4. GibPhone:

    : про сфлоу не подскажу.
    Ну а насчет “цена” уж извините, надо исходить из нужд бизнеса. Считаем ROI, на основании расчета определяем бюджет, на основании бюджета выбираем решение. А то как-то мутно “денег явно нету”. Циферки нужны, обоснованные хоть как-то, а не какие-то пространные суждения.
    Нету денег – ставим фряху с ipfw, на апач mod_evasive и вперед, лол.

  5. DroZlo:

    : Ну, у арбора все-таки ценник начинается со 120 000 $ за мониторилку + тысяч 200 баксов за чистилку. * на количество источников флоу / 4. Все это без отказоустойчивости (ибо сбоку). Как-то очень жестко платить 1 мегабакс за подобное.

  6. GibPhone:

    : чего жесткого-то? Нормальный ценник.
    Повторю, обывательские суждения “чой-то дохера денег” оставь на случай, когда будешь себе мобильник выбирать. Приобретение “основных средств” для бизнеса – совсем другое, чем купить хлеба в магазине. Тут вполне себе можно сделать расчет. Если ты сам не можешь это сделать – попроси того, кто сможет. Вот после расчета ROI и TCO приходи уже на рынок выбирать морковку, а пока разговор ни о чем. Не приобретаются такие штуки просто так, погуглив да спросив в бложеке друзей, какая пепяка попригожее, да подешевле. Драйвером должна быть бизнес-задача, от которой ждут каких-то результатов, т.е. “сверху-вниз”, а не наоборот, пришел инженер и придумал, что обязательно надо от ддос защиту сделать. Впрочем, что я тут кэпом прикидываюсь в который раз.

  7. DroZlo:

    : ROI и TCO я будучи инженером точно не посчитаю. Я и слов-то таких не знаю. Те ребята, которым нужен арборозаменитель тоже таких слов не знают будучи инженерами. Их коммерческие боссы возможно слышали что-то о ROI и TCO, но, боюсь, не знают, что такое DDoS. Да и что такое sflow тоже. “Запад есть Запад, Восток есть Восток, и вместе им никогда не сойтись.”

  8. GibPhone:

    : да не зачем кому-то там сходиться. Если боссы не в курсе или не заинтересованы, то все вы там лососнете тунца и пойдете пилить ipset и quagga. По другому не бывает.
    Ну и зря ты себя недооцениваешь, приблизительно посчитать эти штуки не так и сложно, нужно лишь быть в курсе бизнес-процессов. Придется учиться разговаривать с руководством на их языке, если хочется не прыщами покрываться, чахнув над опенсорцом, а получать нормальные инструменты для работы.

  9. PlbMega:

    : насмешил сучемяка

Добавить комментарий