{toc}
Наиболее правильным способом обеспечить надёжность фильтрации при больших объёмах трафика является комбинирование асинхронной маршрутизации с обработкой зеркала трафика.
h2. Словарь
Несколько синонимов для лучшего понимания:
* разрыв - активная схема включения DPI
* зеркало - пассивная схема включения DPI
h2. Схема сети
!scheme_2_reductor_mirror_and_gap.png|border=1!
h2. Описание
В данной схеме используется два сервера Carbon Reductor 8.
*Reductor (зеркало)* анализирует весь исходящий трафик, зеркалируемый с Border'а.
*Reductor (разрыв)* анонсирует известные ему IP адреса запрещённых ресурсов на NAS с помощью BGP. При этом фильтрации по самим IP адресам в большей части случаев не происходит, на *Reductor (разрыв)* производится анализ пакетов и решение принимается на основе их содержимого. Такая схема повышает надёжность фильтрации, устраняя небольшую вероятность потерь исходящих от абонентов пакетов зеркалирующим оборудованием и потерь отправленных редиректов. В этой схеме не решается проблема с ресурсами, часто изменяющими свой IP адрес - они анализируются в зеркале трафика. Основная проблема, которую решает эта схема - сделать надёжным анализ 90-98% ресурсов, IP адреса которых известны.
Какие адреса анонсирует *reductor (разрыв):*
* ip_block_subnet - список IP адресов подсетей, которые должны быть заблокированы по всем портам и протоколам.
* ip_forward - список IP адресов, которые должны отправляться в разрыв через reductor.
** на текущий момент этот список формируется из списков ip_http_plus, ip_https и ip_https_plus.
Адреса подсетей в этих двух списках не должны пересекаться. Это обеспечивается системой обработки списков Carbon Reductor 8, приоритет отдаётся ip_block_subnet. Обработка пересечений проводится с учётом вхождения небольших подсетей в более крупные подсети.
h2. Вариации этой схемы
В принципе Reductor (зеркало) и Reductor (разрыв) можно совместить на одном сервере, но в таком случае возрастают требования к аппаратной части этого сервера.
NAS-серверов может быть несколько и со всеми будет устанавливаться BGP сессия.
h2. Настройки
Наиболее правильным способом обеспечить надёжность фильтрации при больших объёмах трафика является комбинирование асинхронной маршрутизации с обработкой зеркала трафика.
h2. Словарь
Несколько синонимов для лучшего понимания:
* разрыв - активная схема включения DPI
* зеркало - пассивная схема включения DPI
h2. Схема сети
!scheme_2_reductor_mirror_and_gap.png|border=1!
h2. Описание
В данной схеме используется два сервера Carbon Reductor 8.
*Reductor (зеркало)* анализирует весь исходящий трафик, зеркалируемый с Border'а.
*Reductor (разрыв)* анонсирует известные ему IP адреса запрещённых ресурсов на NAS с помощью BGP. При этом фильтрации по самим IP адресам в большей части случаев не происходит, на *Reductor (разрыв)* производится анализ пакетов и решение принимается на основе их содержимого. Такая схема повышает надёжность фильтрации, устраняя небольшую вероятность потерь исходящих от абонентов пакетов зеркалирующим оборудованием и потерь отправленных редиректов. В этой схеме не решается проблема с ресурсами, часто изменяющими свой IP адрес - они анализируются в зеркале трафика. Основная проблема, которую решает эта схема - сделать надёжным анализ 90-98% ресурсов, IP адреса которых известны.
Какие адреса анонсирует *reductor (разрыв):*
* ip_block_subnet - список IP адресов подсетей, которые должны быть заблокированы по всем портам и протоколам.
* ip_forward - список IP адресов, которые должны отправляться в разрыв через reductor.
** на текущий момент этот список формируется из списков ip_http_plus, ip_https и ip_https_plus.
Адреса подсетей в этих двух списках не должны пересекаться. Это обеспечивается системой обработки списков Carbon Reductor 8, приоритет отдаётся ip_block_subnet. Обработка пересечений проводится с учётом вхождения небольших подсетей в более крупные подсети.
h2. Вариации этой схемы
В принципе Reductor (зеркало) и Reductor (разрыв) можно совместить на одном сервере, но в таком случае возрастают требования к аппаратной части этого сервера.
NAS-серверов может быть несколько и со всеми будет устанавливаться BGP сессия.
h2. Настройки