Отчего упал Интернет
Функционирование множества веб-сайтов было нарушено в понедельник днем, после того как маршрутизаторы Juniper Network, использующие ОС JunOS версий 10.2 и 10.3, обресетили Border Gateway Protocol (BGP) соединение.
Проблема затронула нескольких интернет-провайдеров и фирм, среди которых Level3. Она подтвердила, что проблема была вызвана маршрутизаторами в ее сети.
“Утром в начале десятого по восточному времени, в связи с ошибкой некоторых маршрутизаторов, сеть Level 3 претерпела несколько сбоев на территории Северной Америки и Европы“, – сообщила компания.
“Наши технические специалисты быстро работали, чтобы вернуть системы онлайн. На этот раз все проблемы с соединением были решены, и мы упорно работаем с поставщиками нашего оборудования, чтобы определить точную причину сбоя и убедиться в стабильности всех систем”.
В понедельник вечером компания начала уведомлять клиентов, что проблема была решена.
“Теперь мы можем подтвердить, что проблемы с соединением, с которыми мы столкнулись днем, были решены примерно к 16:00”, – сообщила компания. “Мы можем также подтвердить, что ключевой причиной инцидента стал сбой в транзитной сети Level 3, вызвавший перебои в соединении в определенных направлениях”.
Для справки: Level 3 Communications, Inc. – американская компания, работающая в сфере телекоммуникаций и являющаяся одним из крупнейших в мире оператором сетей передачи данных. Владеет одной из самых больших сетей магистральных каналов передачи данных – около 75 тыс. км. Штаб-квартира в Брумфилде, Колорадо, США.
Компания обеспечивала основной транспорт, IP, передачу голоса, видео и контента для средних и крупных интернет-операторов в Северной Америке, Латинской Америке, Европе и некоторых городах Азии. Уровень 3 также был крупнейшим конкурентоспособным поставщиком услуг местной телефонной связи (CLEC) и третьим по величине поставщиком оптоволоконного доступа в Интернет (в зависимости от покрытия) в США.
31 октября 2016 года CenturyLink объявила о приобретении Level 3 Communications, так что с 2017 года это подразделение CenturyLink. CenturyLink, Inc. — американская телекоммуникационная компания, предоставляющая широкий спектр услуг связи. Занимает третье место в США в этой отрасли после AT&T и Verizon.
А теперь зацените – эта новость от 08.11.2011 года. Проблемы с маршрутизаторами Juniper Networks были давно. И сейчас снова произошло то же самое. Никогда такого не было, и вот опять! (с) Черномырдин
Juniper Networks выпустила семь “советов” (на самом деле – заплаток, закрывающих дыры в системе) по безопасности для своих продуктов, включая исправление для неприятной ошибки, которая может быть использована для сбоя роутеров компании.
Интересно, что этот “поставщик маршрутизаторов номер два в мире” не выпускает общедоступную информацию о безопасности для любой из ошибок своих продуктов – эта информация доступна только для зарегистрированных клиентов. Но в этот раз дерьмо таки вытекло на всеобщее обозрение, и мир узнал, что:
“Все маршрутизаторы, использующие операционную систему JunOS, подвержены этой атаке, но любая версия ОС, построенная после 28 января 2009 года, включает в себя патч против неё”, говорится в рекомендациях Juniper.
Насколько этот патч эффективен – мы все увидели на днях, когда сети упали.
Маршрутизаторы JUNIPER (установленные в России) в 9 часов по Гринвичу получили BGP–анонс (маршрутный протокол) с префиксом от провайдера Telia Company. Анонс не смогли обработать только джуниперы с версией прошивки 16.7, в Ростелекоме и у некоторых других операторов вышли из строя ряд маршрутизаторов этой марки.
А потому что понабрали сисадминов по объявлениям, а они вместо расово правильного Хуавея накупили дерьма.
Драть, прошивка уже версии 16.7 – а дыры как были еще во времена 10.2 и 10.3, так и остались.
Многие пишут, что маршрутизаторы JUNIPER американские. Увы, но американские они чисто номинально, реально они — ИНДИЙСКИЕ. Да-да. Это такая забавная панама — внутренняя ОС слеплена из FreeBSD, заказные в Китае микрухи Junos Trio, чтобы никто не мог впрямую это копировать, и всё такое. Бангалор такой Бангалор.
Вот товарищи пишут:
Компания Juniper Networks, при условии того, что платим колоссальные деньги на сервисный контракт («Next business day”), условие которого подразумевает замену оборудования производителем на следующий рабочий день — не делает ничего. Сдох роутер — и две недели ждали замены. Всё это время региональная сеть лежала.
По бумагам роутеры якобы очень быстрые. На самом деле это, разумеется, индийское нахлебалово. Фактически эти “роутеры” не роутеры, а коммутаторы пакетов. Идея состоит в том, что вместо анализа и маршрутизации каждого пакета анализируется TCP соединение в момент его установления, соединению присваивается номер, этот номер цепляется ко всем последующим пакетам, и дальше вся куча пакетов этого соединения льется по фиксированному маршруту, соответствующему номеру.
Это развитие идеи так называемых Network Switches Level 3 (сетевых коммутаторов, умеющих динамически формировать правила коммутации за счет анализа TCP соединений). И еще со времен этих коммутаторов известны потенциальные дыры такого подхода. Но индусы же, им же надо как-то конкурировать с Циской и Хуавеем – вот они и конкурируют, показывают рекордные цифры полосы пропускания. А то, что при этом наблюдается неполная изоляция пакетов – то есть в чужую сеть могут пролетать пакеты из другой сети, возможно, содержащие критические для безопасности данные – индусам и дела нету. Равно как и коммерческим провайдерам. Главное, чтобы работало подешевле и побыстрее, тяп-ляп и в продакшен, пипл хавает.
Основных производителей магистральных маршрутизаторов сейчас три:
Cisco: Основатель — Леонард Боскак, Сэнди Лернер (Соединенные Штаты Америки).
Juniper: Основатель — Прадип Синдху (Индия).
Huawei: Основатель — REN Zhengfei (Китай).
Alcatel-Lucent сошел с гонки, продался Nokia и не представляет интереса.
Там, где Хуавей обещает относительно честные 6.4 Тбит/с пропускной способности внутренней магистрали маршрутизатора, Джунипер бестрепетно обещает 80 Тбит/с. Ничего похожего там, конечно, нет и близко – но идиоты, которых всякие телекомы понабрали по объявлениям, вместо реальных стресс-тестов оборудования выбирают его по рекламным проспектам.
Ну а потом начинается – “ой, маршрутизаторы упали”.
PS. Вы спросите – есть ли в России свои собственные маршрутизаторы? Есть, как не быть – вот вам ростеховский ММСН:
Это тот самый «Маршрутизатор мультипротокольный специального назначения» (ММСН), который гендиректор компании Павел Смирнов охарактеризовал как первый серийный «честно отечественный» российский маршрутизатор. Ценник – 435 тысяч рублей. Что несколько дешевле ближайшего аналога от Cisco, но дороже Хуавея.
На ступень ниже стоит изделие от компании NSG. Это российский разработчик и производитель телекоммуникационного оборудования, который приступил к серийному производству маршрутизаторов серии NSG-3000 на основе процессора Байкал-Т1 (BE-T1000) российской компании «Байкал Электроникс».
Понятно, что это оборудование не того класса, как старшие линейки Циско, Хуавей и Джунипер, прости Господи. Но строить работоспособные сети полностью на отечественном оборудовании Россия может, и, кстати, делает это – но пока не в коммерческом сегменте. В коммерческом сегменте у нас сидят сисадминами нанятые по объявлениям белорусы и хохлы, а оборудование закупается то, с которого дадут наибольший откат.
Но на самом деле и на Западе ситуация точно такая же. Так что сети будут продолжать падать.
пичальная новасть )) не хуже чем у других значицца
Ставим Хуавей и Микрот. Остальное либо как самолёт либо гогно полное, даже, если СтОит как самолёт
Да, на нижнем уровне микротик более-менее. Длинки испортились совсем.
А кстати – вы не пробовали Зухели? Например, вот такие:
У них и стековые коммутаторы есть интересные, с мощным POE (вот на этом – 130 ватт) и без вентиляторов:
С управлением через небулу.
У нас два Intel на 12 портов каждый , относительно старые , с куллерами охлаждения.
У Моей на работе Зухель,в принципе,безотказен и рабатает. Для ихней конторы вполне. У нас зато “ростелеком-ноунейм” уже две разы за пять лет меняли.
У меня стоит 3 zywall usg 50 – вполне нормально рулят по области между филиалами vpn. Коммутатором обычно микрот cloud core.
Из дликов только метро остались . Они управляемы более менее, стоят на менее нагруженных участках. На узлах микрот тип 3011
USG50 хороши тем, что их можно на Авито за 2-3 тыщи купить, и при этом у него уже есть два USB-порта, и он довольно шустрый.
А так для мелких офисов и USG20VPN достаточно.
Да. Удобен как для подключения помойки по юзб так и мобильного провайдера. В принципе, балансировка каналов провайдеров неплохо работает в рамках возможности ПО zyxell. Я юзаю дома кинетик втрой. Собираюсь переходить на микрот. У кинетика по ограничено в плане правил фаира, ну и проц слабоват. Хочу взять помощнее,чтоб детям урезать соцсети и прочее фильтрануть. Ибо много интернету – зло.
У нас на работе HPE и Sonicwall в качестве фаера. Хьюллет подкупил тем, что у них получается пожизненная гарантия на ряд коммутаторов. И по заходу стоили не больно дорого. Сейчас правда не в курсе насчёт этой политике но старые коммутаторы именно такие. Например 2826 один раз меняли (лет 5 назад целиком) из за нерабочего порта.
Интернет упал. Отжался. И понесло Цыску по Хуавею во всю Джуниперскую Хенрень!
На работе , на одной “сисе” сидят четыре машины и четыре девайса лабораторных. В своё время она здорово выручила , когда от скачка напруги локаль упала. Сейчас пашет как обычный хаб.
Сиси есть, старые свитчи. Поснимал с эксплуатации. Просажены на 30-40% уже. Заваливаются. Списал.
Juniper нормальные железки, за обновлениями просто следить надо.
Из отечественных маршрутизаторов есть Eltex.
Вот, https://eltex-co.ru/catalog/provider_edge_router/marshrutizator_me5000/ если допилят годная железка будет.