Отчего упал Интернет

Функционирование множества веб-сайтов было нарушено в понедельник днем, после того как маршрутизаторы Juniper Network, использующие ОС JunOS версий 10.2 и 10.3, обресетили Border Gateway Protocol (BGP) соединение.

Проблема затронула нескольких интернет-провайдеров и фирм, среди которых Level3. Она подтвердила, что проблема была вызвана маршрутизаторами в ее сети.

“Утром в начале десятого по восточному времени, в связи с ошибкой некоторых маршрутизаторов, сеть Level 3 претерпела несколько сбоев на территории Северной Америки и Европы“, – сообщила компания.

“Наши технические специалисты быстро работали, чтобы вернуть системы онлайн. На этот раз все проблемы с соединением были решены, и мы упорно работаем с поставщиками нашего оборудования, чтобы определить точную причину сбоя и убедиться в стабильности всех систем”.

В понедельник вечером компания начала уведомлять клиентов, что проблема была решена.

“Теперь мы можем подтвердить, что проблемы с соединением, с которыми мы столкнулись днем, были решены примерно к 16:00”, – сообщила компания. “Мы можем также подтвердить, что ключевой причиной инцидента стал сбой в транзитной сети Level 3, вызвавший перебои в соединении в определенных направлениях”.

Для справки: Level 3 Communications, Inc. – американская компания, работающая в сфере телекоммуникаций и являющаяся одним из крупнейших в мире оператором сетей передачи данных. Владеет одной из самых больших сетей магистральных каналов передачи данных – около 75 тыс. км. Штаб-квартира в Брумфилде, Колорадо, США.

Компания обеспечивала основной транспорт, IP, передачу голоса, видео и контента для средних и крупных интернет-операторов в Северной Америке, Латинской Америке, Европе и некоторых городах Азии. Уровень 3 также был крупнейшим конкурентоспособным поставщиком услуг местной телефонной связи (CLEC) и третьим по величине поставщиком оптоволоконного доступа в Интернет (в зависимости от покрытия) в США.

31 октября 2016 года CenturyLink объявила о приобретении Level 3 Communications, так что с 2017 года это подразделение CenturyLink. CenturyLink, Inc. — американская телекоммуникационная компания, предоставляющая широкий спектр услуг связи. Занимает третье место в США в этой отрасли после AT&T и Verizon.

А теперь зацените – эта новость от 08.11.2011 года. Проблемы с маршрутизаторами Juniper Networks были давно. И сейчас снова произошло то же самое. Никогда такого не было, и вот опять! (с) Черномырдин

Juniper Networks выпустила семь “советов” (на самом деле – заплаток, закрывающих дыры в системе) по безопасности для своих продуктов, включая исправление для неприятной ошибки, которая может быть использована для сбоя роутеров компании.

Интересно, что этот “поставщик маршрутизаторов номер два в мире” не выпускает общедоступную информацию о безопасности для любой из ошибок своих продуктов – эта информация доступна только для зарегистрированных клиентов. Но в этот раз дерьмо таки вытекло на всеобщее обозрение, и мир узнал, что:

“Все маршрутизаторы, использующие операционную систему JunOS, подвержены этой атаке, но любая версия ОС, построенная после 28 января 2009 года, включает в себя патч против неё”, говорится в рекомендациях Juniper.

Насколько этот патч эффективен – мы все увидели на днях, когда сети упали.

Маршрутизаторы JUNIPER (установленные в России) в 9 часов по Гринвичу получили BGP–анонс (маршрутный протокол) с префиксом от провайдера Telia Company. Анонс не смогли обработать только джуниперы с версией прошивки 16.7, в Ростелекоме и у некоторых других операторов вышли из строя ряд маршрутизаторов этой марки.

А потому что понабрали сисадминов по объявлениям, а они вместо расово правильного Хуавея накупили дерьма.

Драть, прошивка уже версии 16.7 – а дыры как были еще во времена 10.2 и 10.3, так и остались.

Многие пишут, что маршрутизаторы JUNIPER американские. Увы, но американские они чисто номинально, реально они — ИНДИЙСКИЕ. Да-да. Это такая забавная панама — внутренняя ОС слеплена из FreeBSD, заказные в Китае микрухи Junos Trio, чтобы никто не мог впрямую это копировать, и всё такое. Бангалор такой Бангалор.

Вот товарищи пишут:

Компания Juniper Networks, при условии того, что платим колоссальные деньги на сервисный контракт («Next business day”), условие которого подразумевает замену оборудования производителем на следующий рабочий день — не делает ничего. Сдох роутер — и две недели ждали замены. Всё это время региональная сеть лежала.

По бумагам роутеры якобы очень быстрые. На самом деле это, разумеется, индийское нахлебалово. Фактически эти “роутеры” не роутеры, а коммутаторы пакетов. Идея состоит в том, что вместо анализа и маршрутизации каждого пакета анализируется TCP соединение в момент его установления, соединению присваивается номер, этот номер цепляется ко всем последующим пакетам, и дальше вся куча пакетов этого соединения льется по фиксированному маршруту, соответствующему номеру.

Это развитие идеи так называемых Network Switches Level 3 (сетевых коммутаторов, умеющих динамически формировать правила коммутации за счет анализа TCP соединений). И еще со времен этих коммутаторов известны потенциальные дыры такого подхода. Но индусы же, им же надо как-то конкурировать с Циской и Хуавеем – вот они и конкурируют, показывают рекордные цифры полосы пропускания. А то, что при этом наблюдается неполная изоляция пакетов – то есть в чужую сеть могут пролетать пакеты из другой сети, возможно, содержащие критические для безопасности данные – индусам и дела нету. Равно как и коммерческим провайдерам. Главное, чтобы работало подешевле и побыстрее, тяп-ляп и в продакшен, пипл хавает.

Основных производителей магистральных маршрутизаторов сейчас три:

Cisco: Основатель — Леонард Боскак, ​​Сэнди Лернер (Соединенные Штаты Америки).
Juniper: Основатель — Прадип Синдху (Индия).
Huawei: Основатель — REN Zhengfei (Китай).
Alcatel-Lucent сошел с гонки, продался Nokia и не представляет интереса.

Там, где Хуавей обещает относительно честные 6.4 Тбит/с пропускной способности внутренней магистрали маршрутизатора, Джунипер бестрепетно обещает 80 Тбит/с. Ничего похожего там, конечно, нет и близко – но идиоты, которых всякие телекомы понабрали по объявлениям, вместо реальных стресс-тестов оборудования выбирают его по рекламным проспектам.

Ну а потом начинается – “ой, маршрутизаторы упали”.

PS. Вы спросите – есть ли в России свои собственные маршрутизаторы? Есть, как не быть – вот вам ростеховский ММСН:

Это тот самый «Маршрутизатор мультипротокольный специального назначения» (ММСН), который гендиректор компании Павел Смирнов охарактеризовал как первый серийный «честно отечественный» российский маршрутизатор. Ценник – 435 тысяч рублей. Что несколько дешевле ближайшего аналога от Cisco, но дороже Хуавея.

На ступень ниже стоит изделие от компании NSG. Это российский разработчик и производитель телекоммуникационного оборудования, который приступил к серийному производству маршрутизаторов серии NSG-3000 на основе процессора Байкал-Т1 (BE-T1000) российской компании «Байкал Электроникс».

Понятно, что это оборудование не того класса, как старшие линейки Циско, Хуавей и Джунипер, прости Господи. Но строить работоспособные сети полностью на отечественном оборудовании Россия может, и, кстати, делает это – но пока не в коммерческом сегменте. В коммерческом сегменте у нас сидят сисадминами нанятые по объявлениям белорусы и хохлы, а оборудование закупается то, с которого дадут наибольший откат.

Но на самом деле и на Западе ситуация точно такая же. Так что сети будут продолжать падать.

Материал: Proper специально для TopRu.Org
Настоящий материал самостоятельно опубликован в нашем сообществе пользователем Proper на основании действующей редакции Пользовательского Соглашения. Если вы считаете, что такая публикация нарушает ваши авторские и/или смежные права, вам необходимо сообщить об этом администрации сайта на EMAIL abuse@newru.org с указанием адреса (URL) страницы, содержащей спорный материал. Нарушение будет в кратчайшие сроки устранено, виновные наказаны.

Дочитал до конца? Жми кнопку!

Вам может понравиться...

13 Комментарий
старые
новые
Встроенные Обратные Связи
Все комментарии
Atuma
Atuma
3 лет назад

пичальная новасть )) не хуже чем у других значицца

千爪 尺.Z
千爪 尺.Z
3 лет назад

Ставим Хуавей и Микрот. Остальное либо как самолёт либо гогно полное, даже, если СтОит как самолёт

kak_tuz
kak_tuz
для  Proper
3 лет назад

У нас два Intel на 12 портов каждый , относительно старые , с куллерами охлаждения.

Gena
Gena
для  Proper
3 лет назад

У Моей на работе Зухель,в принципе,безотказен и рабатает. Для ихней конторы вполне. У нас зато “ростелеком-ноунейм” уже две разы за пять лет меняли.

千爪 尺.Z
千爪 尺.Z
для  Proper
3 лет назад

У меня стоит 3 zywall usg 50 – вполне нормально рулят по области между филиалами vpn. Коммутатором обычно микрот cloud core.
Из дликов только метро остались . Они управляемы более менее, стоят на менее нагруженных участках. На узлах микрот тип 3011

千爪 尺.Z
千爪 尺.Z
для  Proper
3 лет назад

Да. Удобен как для подключения помойки по юзб так и мобильного провайдера. В принципе, балансировка каналов провайдеров неплохо работает в рамках возможности ПО zyxell. Я юзаю дома кинетик втрой. Собираюсь переходить на микрот. У кинетика по ограничено в плане правил фаира, ну и проц слабоват. Хочу взять помощнее,чтоб детям урезать соцсети и прочее фильтрануть. Ибо много интернету – зло.

Tzemisce
Tzemisce
для  千爪 尺.Z
3 лет назад

У нас на работе HPE и Sonicwall в качестве фаера. Хьюллет подкупил тем, что у них получается пожизненная гарантия на ряд коммутаторов. И по заходу стоили не больно дорого. Сейчас правда не в курсе насчёт этой политике но старые коммутаторы именно такие. Например 2826 один раз меняли (лет 5 назад целиком) из за нерабочего порта.

Gena
Gena
3 лет назад

Интернет упал. Отжался. И понесло Цыску по Хуавею во всю Джуниперскую Хенрень!

kak_tuz
kak_tuz
3 лет назад

На работе , на одной “сисе” сидят четыре машины и четыре девайса лабораторных. В своё время она здорово выручила , когда от скачка напруги локаль упала. Сейчас пашет как обычный хаб.

千爪 尺.Z
千爪 尺.Z
для  kak_tuz
3 лет назад

Сиси есть, старые свитчи. Поснимал с эксплуатации. Просажены на 30-40% уже. Заваливаются. Списал.

ivb
ivb
3 лет назад

Juniper нормальные железки, за обновлениями просто следить надо.
Из отечественных маршрутизаторов есть Eltex.
Вот, https://eltex-co.ru/catalog/provider_edge_router/marshrutizator_me5000/ если допилят годная железка будет.

Чтобы добавить комментарий, надо залогиниться.