Security Teams



:::
  Ответ в темуСоздание новой темы

> Первые шаги во взрослую жизнь, (c) mt6561
mt6561
Дата 13.11.2006 - 15:14
Цитировать сообщение
Offline



Activist
**

Профиль
Группа: -users-
Сообщений: 105
Пользователь №: 2007
Регистрация: 2.11.2005



Рейтинг:
(30%) XX---


Первые шаги во взрослую жизнь

Автор - Max Tulyev.

Жила-была домашняя сетка. Хорошо жила. И потому вскоре выросла в настоящего оператора...

А что такое собственно настоящий полноценный оператор связи в Интернет? Как бы не хотелось некоторым, но это увы не собственная лицензия на предоставление телеком услуг. И не офис в крутом месте. И не отдельный от аплинка биллинг своих абонентов и свой собственный счет в банке. А это собственный блок адресов и своя автономная система, позволяющая иметь одновременно несколько каналов, как поставщиков коннективити, так и межсетевых пирингов.

За распределение уникальных мировых IP-адресов и номеров автономных систем сети Интернет в европейском регионе (включая Россию и все республики бывшего СССР) отвечает организация, именуемая RIPE. Ее офис расположен в Нидерландах, в Амстердаме. Туда-то нам и предстоит обратиться. RIPE является бесприбыльной ассоциацией европейских операторов, оказывающей своим участникам разнообразные полезные услуги, которые кстати не ограничиваются только распределением адресного пространства и номеров AS.

Существует два способа стать автономной системой Интернета. Первый – провайдрско-классический, стать локальной Интернет-регистратурой (статус LIR), то есть фактически соучредителем RIPE. При этом за Вами будет закреплен блок адресов размером от 4096 и более штук – столько, сколько нужно. Сначала эти адреса будут просто закреплены, но не выданы Вам (статус ALLOCATED PA). По правилам RIPE, все клиентские сети размером более 4 адресов должны быть зарегистрированы в базе данных RIPE. Также нужно зарегистрировать блок непосредственно для своей инфраструктуры: роутеров, серверов, интерфейсных адресов, клиентов, имеющих менее 4 адресов, например диалапщиков. Зарегистрированные блоки получают статус ASSIGNED PA – присвоен. Такая система чем-то напоминает работу регистратора доменов. Единственная разница в том, что если каждый новый домен регистратор проводит через администрацию домена, то в случае с LIR за ним закрепляется нераспределенный блок под дальнейшую раздачу пользователям. Это позволяет экономить ресурсы в мировом масштабе, так как весь этот закрепленный блок аннонсируется LIR'ом в мировую таблицу маршрутизации одной строчкой.

Но существует и другой путь. И путь этот – использование провайдеро-независимого блока адресов (PI – provider independent) совместно со своей автономной системой (AS). PI адреса были придуманы для тех, кому нужна автономность, наличие нескольких одновременных подключений и собственная маршрутизация, но при этом владелец таких адресов формально является их конечным пользователем, ему не требуется раздавать адреса дальше с регистрацией такой раздачи в базе данных RIPE. Как правило, это подразумевает достаточно малый размер сети (до 1024 адресов), хотя формальных ограничений на максимальный размер PI сети нет. Примером типичного пользователя PI может быть фирма, которой требуется очень надежный и стабильный доступ в Интернет с многократным резервированием, локальная сеть, государственная организация.

Например, украинский аналог ФСБ – Служба Безопасности Украины работает через собственную провайдеро-независимую сеть 193.29.204.0/24. Хостинг-операторы также могут получить PI сеть с мотивацией, что иначе при переходе от провайдера к провайдеру придется менять настройки тысяч доменов, что неприемлемо для бизнеса. Однако, формально PI адреса имеют несколько ограничений. Первое – такие адреса даются определенной фирме под определенную задачу. Если фирма или задача меняется – необходимо получать новый блок. Второе – нельзя регистрировать в базе данных (БД) RIPE выделение более мелких сетей для клиентов. Третье – теоретическая негарантированная достижимость из любой точки Интернет. Последнее связано с тем, что некоторые провайдеры для экономии памяти своих маршрутизаторов не принимают анонсы мелких сетей. На практике такую проблему имеют сети размером не более 128 адресов.

Сравним оба пути. Достоинствами варианта с LIR можно считать потенциальное практически неограниченное расширение размера сети в любое время, возможность (точнее, необходимость) регистрирования клиентов в БД RIPE, возможность управлять работой RIPE NCC (избирать совет директоров, влиять на биллинговую политику и т.д.). Недостатками LIR является относительно большая цена (около 2000EUR в год), необходимость платежей зарубеж и валютного контроля фирмы по этой причине, необходимость содержания грамотных сотрудников, проходящих регулярное обучение в RIPE (к счастью, бесплатное для LIR'ов). Достоинствами варианта с PI является небольшая стоимость (около $1000), однократная а не ежегодная оплата, возможность получить PI сеть через местные юридические лица (теоретически – обратившись к любому LIR'у), не прибегая к платежам зарубеж, нетребовательность к наличию тренированных в RIPE сотрудников. Недостатками – отсутствие расширяемости, возможности регистрировать своих клиентов в БД RIPE, у мелких сеток, в дикой природе не встречающихся – проблемы с глобальной маршрутизацией.

Теперь подойдем к самому интересному. Европейская демократическая бюрократия – это конечно предмет отдельного фельетона, но на самом деле все, а особенно в нашем варианте действительности, совсем не так. Как же дело обстоит на практике?

Сейчас в России при необходимости получения собственных адресов просто получают статус LIR для дальнейшего его варварского с точки зрения документов RIPE использования. Действительно, что такое каких-то там 2000 Евро в год за адреса в сравнении с той же неофициальной стоимостью сдачи узла связи ГСН? Но опустим финансовый вопрос. Почему таки варварской? Потому что получив те самые нераспределенные, а только закрепленные за LIR адреса (ALLOCATED PA), начинают аннонсировать и использовать по собственному усмотрению фактически все еще чужие адреса, ничуть не заботясь об обязательной фиксации их распределения (часто – и обязательности подтверждения легитимности каждого такого распределения от RIPE).

С одной стороны, этому способствует техническая неграмотность персонала, нежелание понять и вникнуть в саму идею локальных регистратур. С другой – боязнь публиковать контактные данные своих клиентов в открытых источниках, таких как БД RIPE. А попытки переманить клиентов, используя эту контактную информацию, увы далеко не редкость. Но самое главное – отсутствие должного контроля и надзора над LIR'ами со стороны RIPE. По информации персонала RIPE, силовым методом не было забрано ни одной сети, и более того, RIPE вообще не имеет такой процедуры! Есть процедуры добровольного закрытия LIR, покидающего бизнес. А вот силовым методом – никак. Особенно интересна тут ситуация с PI, которые не привязаны ни к выдававшим их LIR'ам, ни к самому RIPE ни ежегодными платежами, ни фактически вообще ничем этому RIPE не обязаны. Поэтому скопилось множество зависших, неиспользуемых более PI сетей, которые можно было бы использовать, но увы их владельцы не освободили эти сети, так как поленились послать соответствующую бесплатную заявку или же просто не знают, как это сделать. Вопрос введения хотя-бы минимальной оплаты за PI именно с целью возвращения неиспользуемых более сетей обсуждается, но в этом году к консенсусу прийти так и не удалось.

Второй вопрос: управление RIPE. В этом году количество российских LIR'ов вышло на первое место среди других стран региона RIPE. Еще чуть-чуть – и число российских LIR'ов превысит суммарное число других LIR'ов в RIPE вообще. После этого будет возможна хоть полная смена руководства RIPE. И выборы Буркова в этом году – первый к тому шаг. Хотя, уверен, RIPE держит в запасе ходы против такого сценария. Например, согласно уже имеющимся правилам провести проверки соответствия этим самым правилам российских LIR'ов (LIR audit procedure), после чего своих сетей потенциально могут лишиться чуть ли не 90% российских провайдеров. С другой стороны, несмотря на численность LIR'ов на последнем собрании акционеров от СНГ присутствовало всего трое человек: один от Украины (NetAssist.kiev.ua) и два от России (оба от Вымпелкома)...

А что же провайдеры других стран СНГ и восточной Европы? Они выбирают PI сети. Среди лидеров по числу полученных PI сетей – Украина и Польша.

Какой вариант выбрать вам – решать вам! Одно на мой взгляд важно: в наших условиях независимость, резервирование и паритетные каналы стали теми тремя китами, на которых держится даже самый мелкий ISP...
PM
Top
Decoy
Дата 3.01.2007 - 11:55
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 12
Пользователь №: 3076
Регистрация: 21.03.2006



Рейтинг:
(10%) X----


Какие каналы связи используют LIR?
PMСайт пользователяICQ
Top
nameless
Дата 3.01.2007 - 13:24
Цитировать сообщение
Offline



.:Тень:.
******

Профиль
Группа: -experts-
Сообщений: 1745
Пользователь №: 18
Регистрация: 19.02.2005



Рейтинг:
(90%) XXXXX


Цитата
Какие каналы связи используют LIR?

Гы, а на что это влияет?


--------------------
Мы расправим крылья
PM
Top
Decoy
Дата 3.01.2007 - 15:21
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 12
Пользователь №: 3076
Регистрация: 21.03.2006



Рейтинг:
(10%) X----


Интересна иерархия Сети. К кому подключаются LIR?
PMСайт пользователяICQ
Top
mulder
Дата 3.01.2007 - 18:59
Цитировать сообщение
Offline



.:in root we trust:.
*****

Профиль
Группа: -vip-
Сообщений: 1181
Пользователь №: 1151
Регистрация: 9.08.2005



Рейтинг:
(70%) XXXX-


Decoy
Интересный вопрос LIR может подключатся к кому пожелает... LIR это точно такая же провайдеронезависимая еденица мало того в рамках одного LIR спокойно уживаются несколько АС.
Вообще становится LIR или довольствоватся собственной АС вопрос довольно сложный поскольку регистратор не коим образом в общем не привязан к АС это просто резервирование участка сети и не более!
PM
Top
murgy
Дата 3.03.2010 - 22:49
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 6
Пользователь №: 6913
Регистрация: 3.03.2010



Рейтинг:
(0%) -----


продолжаю спрашивать про первые шаги
смысл задавать вопрос именно тут а не в "живую" на тренировке в том, что ответы на мои вопросы могут интересовать не только меня, и соответсвенно они могут быть полезны любым новичкам


--------------------
Предлагаем вашему вниманию минераловатные https://www.complect.su - сендвич - панели по оптовым ценам в розницу
PMПисьмо на e-mail пользователюСайт пользователяIntegrity Messenger IMICQAOLYahooMSN
Top

Опции темы Ответ в темуСоздание новой темы