Интеграция в сетевую инфраструктуру

Есть всего 4 способа интеграции в сетевую инфраструктуру

  • In-line
  • Off-line (вручную или автоматизированно)
  • Cloud (IP-Transit)
  • Hybrid

Local

Архитектура отказоустойчивого кластера

Локальная интеграция представляет собой установку ПО на серверное оборудование Клиента, либо развёртывание программно-аппаратного комплекса (ПО + аппаратной платформы).

При этом, как ПО, так и ПАК могут управляться и поддерживаться силами службы технической поддержки Servicepipe (managed on-prem), при этом контроль за актуальностью ПО, создание правил (Anti-DDoS, firewall, DNAT, SNAT, rate-limit etc), мониторинг состояния сети, взаимодействие с инженерной командой заказчика - предоставляются в рамках сервиса.

Существует и “классический” подход, при котором Клиент берёт на себя управление и эксплуатацию решения, при этом получая необходимую помощь от Serviceepipe в рамках договора о технической поддержки.

In-line

Установка Inline ("в разрыв") подразумевает, что трафик постоянно маршрутизируется через ПО DoSGate. Трафик приходит на один сетевой интерфейс и возвращает его с другого.

Поддерживается L2 multicast, ARP, LACP, LAG

Inline-onprem

Out-line

Установка out-line (или VLAN swap) подразумевает, что DoSGate может принимать и возвращать трафик в рамках одного интерфейса, например, принимая трафик с одним VLAN tag и возвращая с другим.

Досгейт держит BGP-соединение с роутерами и может как сам анонсировать от себя IP-адреса, используя bird, так и в него может приходить анонс от автоматизированной системы (например, анализатора)

Outline-onprem

Cloud (IP-Transit)

Облачная интеграция подразумевает, что ноды фильтрации DoSGate располагаются в инфраструктуре Servicepipe в географически распределенных центрах очистки. Трафик идёт через DoSGate постоянно (Inline), или по запросу (outline) (автоматизированному от средств аналитики (анализатора), или ручному

В обоих случаях наша сетевая инфраструктура (AS201706) становится BGP-upstream для инфраструктуры Клиента, через неё маршрутизируется часть или весь входящий трафик.

Уровень SLA рассчитывается индивидуально

Cloud

Shared Anti-DDoS + Stateless Firewall

В случае подключения к "общему" аппаратному кластеру возможна организация только Stateless Fiewall и Anti-DDoS

В shared-решении конфигурацией сетевых правил занимается наша инженерная смена (24/7/365). Предоставляется личный кабинет с статистикой. Поддержка осуществляется по телефонной связи, электронной почте, в Telegram

Dedicated DoSGate

В случае подключения выделенного DoSGate кластера в нашей сетевой инфраструктуре, подразумевается что трафик сначала проходит через наши общие кластеры очистки, попадает на выделенный клиентский кластер, и после передается в сетевую инфраструктуру клиента.

Клиент имеет полноценный доступ к выделенному под него кластеру DoSGate в нашей инфраструктуре и может выполнять любые с ним операции, как будто он установлен в самой сети клиента

Dedicated_cloud

Cloud Signaling

Сигнализация позволяет сообщать какие IP-маски должны быть направлены через центр очистки DoSGate Cloud

Сигнализация может применяться в разных случаях. Например, когда локальное решение перегружено и требуется помощь облачного центра очистки

Досгейт поддерживает сигнализацию от самого себя (установленного локально) и сторонних решений

Список протестированных поддерживаемых вендоров

Hybrid

Гибридная схема инсталляции подразумевает комбинацию локального DoSGate (Onprem In-line или Onprem Out-line) и облачного (Сloud In-line или Cloud Out-line)

Облачный и локальный DoSGate могут синхронизировать списки правил (включая префикс-сеты) в реальном времени

Облачный DoSGate активируется только при получении автоматизированного или ручного сообщения от локального

Гибридная схема работает как с Shared так и с Dedicated облачным DoSGate.

Hybrid In-line

Hybrid_inline

Hybrid Out-line

Hybrid_outline