Отчего упал Интернет

Функционирование множества веб-сайтов было нарушено в понедельник днем, после того как маршрутизаторы Juniper Network, использующие ОС JunOS версий 10.2 и 10.3, обресетили Border Gateway Protocol (BGP) соединение.

Проблема затронула нескольких интернет-провайдеров и фирм, среди которых Level3. Она подтвердила, что проблема была вызвана маршрутизаторами в ее сети.

«Утром в начале десятого по восточному времени, в связи с ошибкой некоторых маршрутизаторов, сеть Level 3 претерпела несколько сбоев на территории Северной Америки и Европы«, — сообщила компания.

«Наши технические специалисты быстро работали, чтобы вернуть системы онлайн. На этот раз все проблемы с соединением были решены, и мы упорно работаем с поставщиками нашего оборудования, чтобы определить точную причину сбоя и убедиться в стабильности всех систем».

В понедельник вечером компания начала уведомлять клиентов, что проблема была решена.

«Теперь мы можем подтвердить, что проблемы с соединением, с которыми мы столкнулись днем, были решены примерно к 16:00», — сообщила компания. «Мы можем также подтвердить, что ключевой причиной инцидента стал сбой в транзитной сети Level 3, вызвавший перебои в соединении в определенных направлениях».

Для справки: Level 3 Communications, Inc. — американская компания, работающая в сфере телекоммуникаций и являющаяся одним из крупнейших в мире оператором сетей передачи данных. Владеет одной из самых больших сетей магистральных каналов передачи данных — около 75 тыс. км. Штаб-квартира в Брумфилде, Колорадо, США.

Компания обеспечивала основной транспорт, IP, передачу голоса, видео и контента для средних и крупных интернет-операторов в Северной Америке, Латинской Америке, Европе и некоторых городах Азии. Уровень 3 также был крупнейшим конкурентоспособным поставщиком услуг местной телефонной связи (CLEC) и третьим по величине поставщиком оптоволоконного доступа в Интернет (в зависимости от покрытия) в США.

31 октября 2016 года CenturyLink объявила о приобретении Level 3 Communications, так что с 2017 года это подразделение CenturyLink. CenturyLink, Inc. — американская телекоммуникационная компания, предоставляющая широкий спектр услуг связи. Занимает третье место в США в этой отрасли после AT&T и Verizon.

А теперь зацените — эта новость от 08.11.2011 года. Проблемы с маршрутизаторами Juniper Networks были давно. И сейчас снова произошло то же самое. Никогда такого не было, и вот опять! (с) Черномырдин

Juniper Networks выпустила семь «советов» (на самом деле — заплаток, закрывающих дыры в системе) по безопасности для своих продуктов, включая исправление для неприятной ошибки, которая может быть использована для сбоя роутеров компании.

Интересно, что этот «поставщик маршрутизаторов номер два в мире» не выпускает общедоступную информацию о безопасности для любой из ошибок своих продуктов — эта информация доступна только для зарегистрированных клиентов. Но в этот раз дерьмо таки вытекло на всеобщее обозрение, и мир узнал, что:

«Все маршрутизаторы, использующие операционную систему JunOS, подвержены этой атаке, но любая версия ОС, построенная после 28 января 2009 года, включает в себя патч против неё», говорится в рекомендациях Juniper.

Насколько этот патч эффективен — мы все увидели на днях, когда сети упали.

Маршрутизаторы JUNIPER (установленные в России) в 9 часов по Гринвичу получили BGP–анонс (маршрутный протокол) с префиксом от провайдера Telia Company. Анонс не смогли обработать только джуниперы с версией прошивки 16.7, в Ростелекоме и у некоторых других операторов вышли из строя ряд маршрутизаторов этой марки.

А потому что понабрали сисадминов по объявлениям, а они вместо расово правильного Хуавея накупили дерьма.

Драть, прошивка уже версии 16.7 — а дыры как были еще во времена 10.2 и 10.3, так и остались.

Многие пишут, что маршрутизаторы JUNIPER американские. Увы, но американские они чисто номинально, реально они — ИНДИЙСКИЕ. Да-да. Это такая забавная панама — внутренняя ОС слеплена из FreeBSD, заказные в Китае микрухи Junos Trio, чтобы никто не мог впрямую это копировать, и всё такое. Бангалор такой Бангалор.

Вот товарищи пишут:

Компания Juniper Networks, при условии того, что платим колоссальные деньги на сервисный контракт («Next business day”), условие которого подразумевает замену оборудования производителем на следующий рабочий день — не делает ничего. Сдох роутер — и две недели ждали замены. Всё это время региональная сеть лежала.

По бумагам роутеры якобы очень быстрые. На самом деле это, разумеется, индийское нахлебалово. Фактически эти «роутеры» не роутеры, а коммутаторы пакетов. Идея состоит в том, что вместо анализа и маршрутизации каждого пакета анализируется TCP соединение в момент его установления, соединению присваивается номер, этот номер цепляется ко всем последующим пакетам, и дальше вся куча пакетов этого соединения льется по фиксированному маршруту, соответствующему номеру.

Это развитие идеи так называемых Network Switches Level 3 (сетевых коммутаторов, умеющих динамически формировать правила коммутации за счет анализа TCP соединений). И еще со времен этих коммутаторов известны потенциальные дыры такого подхода. Но индусы же, им же надо как-то конкурировать с Циской и Хуавеем — вот они и конкурируют, показывают рекордные цифры полосы пропускания. А то, что при этом наблюдается неполная изоляция пакетов — то есть в чужую сеть могут пролетать пакеты из другой сети, возможно, содержащие критические для безопасности данные — индусам и дела нету. Равно как и коммерческим провайдерам. Главное, чтобы работало подешевле и побыстрее, тяп-ляп и в продакшен, пипл хавает.

Основных производителей магистральных маршрутизаторов сейчас три:

Cisco: Основатель — Леонард Боскак, ​​Сэнди Лернер (Соединенные Штаты Америки).
Juniper: Основатель — Прадип Синдху (Индия).
Huawei: Основатель — REN Zhengfei (Китай).
Alcatel-Lucent сошел с гонки, продался Nokia и не представляет интереса.

Там, где Хуавей обещает относительно честные 6.4 Тбит/с пропускной способности внутренней магистрали маршрутизатора, Джунипер бестрепетно обещает 80 Тбит/с. Ничего похожего там, конечно, нет и близко — но идиоты, которых всякие телекомы понабрали по объявлениям, вместо реальных стресс-тестов оборудования выбирают его по рекламным проспектам.

Ну а потом начинается — «ой, маршрутизаторы упали».

PS. Вы спросите — есть ли в России свои собственные маршрутизаторы? Есть, как не быть — вот вам ростеховский ММСН:

Это тот самый «Маршрутизатор мультипротокольный специального назначения» (ММСН), который гендиректор компании Павел Смирнов охарактеризовал как первый серийный «честно отечественный» российский маршрутизатор. Ценник — 435 тысяч рублей. Что несколько дешевле ближайшего аналога от Cisco, но дороже Хуавея.

На ступень ниже стоит изделие от компании NSG. Это российский разработчик и производитель телекоммуникационного оборудования, который приступил к серийному производству маршрутизаторов серии NSG-3000 на основе процессора Байкал-Т1 (BE-T1000) российской компании «Байкал Электроникс».

Понятно, что это оборудование не того класса, как старшие линейки Циско, Хуавей и Джунипер, прости Господи. Но строить работоспособные сети полностью на отечественном оборудовании Россия может, и, кстати, делает это — но пока не в коммерческом сегменте. В коммерческом сегменте у нас сидят сисадминами нанятые по объявлениям белорусы и хохлы, а оборудование закупается то, с которого дадут наибольший откат.

Но на самом деле и на Западе ситуация точно такая же. Так что сети будут продолжать падать.

Материал: Proper специально для TopRu.Org
Настоящий материал самостоятельно опубликован в нашем сообществе пользователем Proper на основании действующей редакции Пользовательского Соглашения. Если вы считаете, что такая публикация нарушает ваши авторские и/или смежные права, вам необходимо сообщить об этом администрации сайта на EMAIL abuse@newru.org с указанием адреса (URL) страницы, содержащей спорный материал. Нарушение будет в кратчайшие сроки устранено, виновные наказаны.

You may also like...

13 Комментарий
старые
новые
Встроенные Обратные Связи
Все комментарии
Atuma
Atuma
1 месяц назад

пичальная новасть )) не хуже чем у других значицца

千ㄥㄚ_丂ㄥ丨爪 フ尺.
千ㄥㄚ_丂ㄥ丨爪 フ尺.
1 месяц назад

Ставим Хуавей и Микрот. Остальное либо как самолёт либо гогно полное, даже, если СтОит как самолёт

kak_tuz
kak_tuz
для  Proper
1 месяц назад

У нас два Intel на 12 портов каждый , относительно старые , с куллерами охлаждения.

Gena
Gena
для  Proper
1 месяц назад

У Моей на работе Зухель,в принципе,безотказен и рабатает. Для ихней конторы вполне. У нас зато «ростелеком-ноунейм» уже две разы за пять лет меняли.

千ㄥㄚ_丂ㄥ丨爪 フ尺.
千ㄥㄚ_丂ㄥ丨爪 フ尺.
для  Proper
1 месяц назад

У меня стоит 3 zywall usg 50 — вполне нормально рулят по области между филиалами vpn. Коммутатором обычно микрот cloud core.
Из дликов только метро остались . Они управляемы более менее, стоят на менее нагруженных участках. На узлах микрот тип 3011

千ㄥㄚ_丂ㄥ丨爪 フ尺.
千ㄥㄚ_丂ㄥ丨爪 フ尺.
для  Proper
1 месяц назад

Да. Удобен как для подключения помойки по юзб так и мобильного провайдера. В принципе, балансировка каналов провайдеров неплохо работает в рамках возможности ПО zyxell. Я юзаю дома кинетик втрой. Собираюсь переходить на микрот. У кинетика по ограничено в плане правил фаира, ну и проц слабоват. Хочу взять помощнее,чтоб детям урезать соцсети и прочее фильтрануть. Ибо много интернету — зло.

Tzemisce
Tzemisce
для  千ㄥㄚ_丂ㄥ丨爪 フ尺.
1 месяц назад

У нас на работе HPE и Sonicwall в качестве фаера. Хьюллет подкупил тем, что у них получается пожизненная гарантия на ряд коммутаторов. И по заходу стоили не больно дорого. Сейчас правда не в курсе насчёт этой политике но старые коммутаторы именно такие. Например 2826 один раз меняли (лет 5 назад целиком) из за нерабочего порта.

Gena
Gena
1 месяц назад

Интернет упал. Отжался. И понесло Цыску по Хуавею во всю Джуниперскую Хенрень!

kak_tuz
kak_tuz
1 месяц назад

На работе , на одной «сисе» сидят четыре машины и четыре девайса лабораторных. В своё время она здорово выручила , когда от скачка напруги локаль упала. Сейчас пашет как обычный хаб.

千ㄥㄚ_丂ㄥ丨爪 フ尺.
千ㄥㄚ_丂ㄥ丨爪 フ尺.
для  kak_tuz
1 месяц назад

Сиси есть, старые свитчи. Поснимал с эксплуатации. Просажены на 30-40% уже. Заваливаются. Списал.

ivb
ivb
1 месяц назад

Juniper нормальные железки, за обновлениями просто следить надо.
Из отечественных маршрутизаторов есть Eltex.
Вот, https://eltex-co.ru/catalog/provider_edge_router/marshrutizator_me5000/ если допилят годная железка будет.

Чтобы добавить комментарий, надо залогиниться.