RSS
 

Posts Tagged ‘kh-ix’

KH-IX – 2G уверенно

01 Sep

Как я и предполагал, с началом осени начался рост трафика – тут не нужно быть “семи пядей во лбу”. Стоило мне пойти в отпуск, как планка в 2 гбит/с была успешно преодолена. На графиках, кстати, видена динамика загрузки за последние полгода. Картинка кликабельна.

khix-2g

 

Смеялся сегодня

13 Aug

Приходит сегодня один из клиентов и начинает мне рассказывать о том, что, мол, оказывается из KH-IX провайдеры ОТКЛЮЧАЮТСЯ :) Я аж испугался, посмотрел на список bgp-сессий – все в порядке, все на месте.

Подразумеваю, что единственный отключившийся самостоятельно рассказывает на своем примере, что кто-то откуда-то отключился. Как дети, честное слово.

 

40 терабайт в сутки

23 Jul

Если я ничего не напутал, считая на коленке, то после сегодняшней модернизации производительность KH-IX составляет около 40 терабайт в сутки.

А это потому, что мы увеличиваем скорость бэкбона и ставим правильные свитчи. Стопка каталистов на столе растет, вот думаю, собрать на них для поиграться кластер ?  :)

 

KH-IX: Взяли 1.5 Гбит/с. И про обгоны.

09 Jun

Собственно, информирую читателей о том, что мы не то, чтобы уверенно, но взяли планку в 1.5 Гбит/с. Так что скоро будем менять оборудование, есть мысль построить peering.kh-ix.net на паре Juniper EX3200, например.

Это была новость раз. Новость два – в начале года в кулуарах я говорил о своем пожелании – обгоне по объемам трафика KH-IX’ом другой крупной точки обмена трафиком – Od-IX. Так вот – мы сделали это совместным усилиями. KH-IX демонстрирует достаточно стабильный рост (даже пугающий несколько – прийдется подтягивать под объемы инфраструктуру в ближайшее время). Думаю, в течение полугода сделаем 2-2.5 Гбит/с.

Оставайтесь с нами.

 

Маршрутизация: Domonet, KH-IX, NAT

13 Apr

Давайте рассмотрим небольшой пример – типичная схема подключения провайдера, обслуживающего как бизнес-абонентов, так и квартирно-домовые подключения (т.е. владеющий домовой сетью). Схема не очень красивая и эстетичная – но какая есть.

Итак, у провайдера есть L3-коммутатор, которым он строит пиринг с KH-IX/Domonet.KH-IX. Выбор верный – скорости в KH-IX растут, роутер для обслуживания такого потока данных будет непомерно дорогой. В роутинговой таблице провайдерского коммутатора есть записи 10.33.55.0/24 (куда входит дом Семена) и 99.33.33.0/24 (где стоит важный вэбсервер). Эти записи пришли от маршрутизатора KH-IX. Между коммутатором и маршрутизатором (а последний обслуживает аплинки) провайдер гоняет iBGP или еще какую динамику – не столь важно. Еще одна функция роутера – NAT для домовой сетки провайдера, где адреса из блока 10.1.0.0/16 транслируются в один из маршрутизируемых адресов из блока провайдера.

Типичное KH-IX-подключение домовой сети

Теперь смотрим, как ходит трафик. Петя решил скачать у Семена файл – без проблем, все нормально. Фирма А решила сходить на вэбсервер – тоже все отлично. Роутер-свитч-peering.kh-ix.net-роутер_другого_участника-вэбсервер. Петя, работающий в фирме Б, пришел на работу и решил докачать файл у Семена – опять же, все в порядке. Но Васе понадобилось сходить за нужным прайс-листом на вэбсервер – а ответа нет. Проблема может быть в следующем:

  • политика безопасности – на сервере запрещены соединения с 10.0.0.0/8. В принципе верно – ведь это немаршрутизируемые в интернете адреса. Владелец сервера вправе это сделать – он ожидает, что приходить будут из Интернета, а не с неустановленного места.
  • Маршрутизатор, куда терминирован порт вэбсервера, не знает о 10.0.0.0/8. Причина – та же, что и выше, 10/8 – это не интернет.
  • Вэбсервер обслуживается провайдером, который не принимает анонсы Domonet.KH-IX. Снова connection timed out – может быть фильтр по 10/8 на входе и гарантированно будет отсутствие адреса Васи в таблице.

Вася звонит своему провайдеру, провайдер думает, а как же выйти из ситуации. Можно, конечно, попросить еще пару адресов из сети KH-IX, построить еще одну сессию с peering.kh-ix.net, поставить отдельный FreeBSD/Linux между свитчем и KH-IX. Но в соответствие с правилами (и здравым смыслом) – каждому участнику выдается один адрес, строить еще сессии – это либо secondary на интерфейсе, что есть моветон, либо еще один VLAN на бэкбоне, что есть дефицит.

А ведь есть решение простое и нетребовательное к ресурсам. Единственно, что для этого нужно – поддержка policy-routing на L3-коммутаторе. Нужно добиться следующего алгоритма работы комплекса:

  • Пакет с 10/8 на 10/8 проходит прозрачно, согласно роутинговой таблицы коммутатора
  • Пакет с 10/8 НЕ на 10/8, но в сторону KH-IX, уходит на роутер.
  • Роутер исполняет NAT, “маскируя” 10.1.3.27 в адрес из провайдерского блока. Пускай это будет 90.20.10.77. Далее пакет совершенно нормально уходит в свитч (так как приоритет на KH-IX должен быть выше, нежели на сети, полученные от аплинков) и с правильным, “белым” адресом доходит до вэбсервера.

Если нужно, чтобы NAT работал только в сторону недомонетного KH-IX – тоже нет больших проблем. Для этого мы запрещаем на роутере выход в сторону аплинков с source-адреса (90.20.10.77), на котором работает NAT.

Реализация в каждом конкретном программно-аппаратном случае будет разная – тут и буквари в руки.