Добавлены новые разделы:

- Раздел 22: Балансировщик: мониторинг и диагностика
- Раздел 23: Распознавание протоколов (DPI Engine)
- Раздел 24: Траблшутинг

Каждый раздел включает команды, описания и практические примеры для диагностики и мониторинга работы балансировщика и системы фильтрации.

chapters/03.md

@@ -0,0 +1,216 @@
+# 3. Байпас (Bypass)
+
+[← Оглавление](../README.md) · [← Раздел 2: Прохождение трафика через ТСПУ](02.md)
+
+---
+
+## 3.1. Назначение и роль байпаса в ТСПУ
+
+Байпас — это устройство, обеспечивающее **физическую защиту каналов связи оператора** при установке ТСПУ. Каналы связи оператора физически разрываются и заводятся на байпас, который в штатном режиме прозрачно пропускает трафик дальше — в сторону балансировщика и фильтров.
+
+Основная задача байпаса — гарантировать, что **при любой аварии оборудования ТСПУ** (отказ фильтров, балансировщиков, обесточивание) связность сети оператора не будет нарушена. В аварийной ситуации байпас замыкает каналы оператора напрямую, минуя остальное оборудование ТСПУ.
+
+Количество байпасов на площадке определяется **количеством линков оператора**, в разрыв которых устанавливается ТСПУ. Байпасы работают на скоростях **10–100 Гбит/с** (в отдельных случаях — 1 Гбит/с).
+
+В проекте АСБИ используются два типа байпасов:
+
+| Проект              | Производитель | Особенности                                           |
+| ------------------- | ------------- | ----------------------------------------------------- |
+| **Федеральный**     | Silicom       | Полный набор режимов, безфлаповое переключение        |
+| **Пилотный (Урал)** | GL Sun        | Только Power-off Bypass, флап линков при переключении |
+
+## 3.2. Байпасы Silicom (федеральный проект)
+
+Байпасы Silicom устанавливаются в рамках федерального проекта и обладают полным набором режимов работы, обеспечивающих гибкое управление прохождением трафика.
+
+### 3.2.1. Порты: Net0/Net1 (оператор) и Mon0/Mon1 (балансировщик)
+
+Для каждого канала связи байпас Silicom имеет **четыре порта**:
+
+- **Net0** и **Net1** — порты, подключаемые к оборудованию оператора (две стороны разорванного канала);
+- **Mon0** и **Mon1** — порты, подключаемые к балансировщику (или напрямую к фильтру в простейшей конфигурации).
+
+```text
+    Оборудование          Оборудование
+    оператора             оператора
+    (сторона A)           (сторона B)
+         │                     │
+         ▼                     ▼
+      ┌──────────────────────────┐
+      │        Байпас Silicom    │
+      │                          │
+      │   Net0              Net1 │
+      │     │                │   │
+      │     │    (логика     │   │
+      │     │   режимов)     │   │
+      │     │                │   │
+      │   Mon0              Mon1 │
+      └────┬──────────────────┬──┘
+           │                  │
+           ▼                  ▼
+        В сторону балансировщика
+```
+
+### 3.2.2. Режим Inline — основной рабочий режим
+
+**Inline** — основной рабочий режим байпаса. В этом режиме трафик прозрачно пропускается насквозь от оборудования оператора к балансировщику и обратно:
+
+- Net0 → Mon0 (трафик от оператора к балансировщику)
+- Mon1 → Net1 (обратный трафик)
+- И симметрично для другого направления.
+
+```text
+    Net0 ─────────────►  Mon0
+                                       ──► к балансировщику
+    Net1 ◄───────────── Mon1
+```
+
+Весь трафик оператора проходит через ТСПУ и подвергается анализу и фильтрации. Это штатный режим работы при нормальном функционировании всего оборудования.
+
+### 3.2.3. Режим TAP — копирование трафика без влияния на оператора
+
+**TAP** — режим зеркалирования (копирования) трафика. В этом режиме:
+
+1. Каналы оператора **замыкаются напрямую** между собой (Net0 ↔ Net1);
+2. **Копия трафика** отправляется в сторону балансировщика через порты Mon0/Mon1;
+3. Обратный трафик от балансировщика **не принимается**.
+
+```text
+    Net0 ◄────────────► Net1      ← канал оператора замкнут
+      │                    │
+      └──► Mon0    Mon1 ◄──┘      ← копия трафика
+           (только отправка)
+```
+
+В режиме TAP система фильтрации получает **полную копию** всего трафика оператора, но **никаким образом не может на него повлиять** — ни заблокировать, ни модифицировать. Это делает TAP идеальным **режимом отладки**: можно настраивать систему фильтрации, выявлять проблемы, проверять работу DPI — при полной гарантии, что операторский трафик не пострадает.
+
+### 3.2.4. Режим Active Bypass — замыкание без копирования
+
+**Active Bypass** — режим чистого обхода. Практически идентичен режиму TAP, за исключением того, что **копия трафика в сторону балансировщика не отправляется**:
+
+```text
+    Net0 ◄────────────► Net1      ← канал оператора замкнут
+                                  ← трафик к балансировщику НЕ идёт
+         Mon0            Mon1
+         (неактивен)     (неактивен)
+```
+
+Каналы оператора замыкаются напрямую. ТСПУ полностью исключено из пути прохождения трафика. Этот режим используется, когда необходимо полностью отключить ТСПУ от обработки трафика, например, при проведении технических работ на оборудовании фильтрации.
+
+### 3.2.5. Режим Power-off Bypass — аварийное замыкание при обесточивании
+
+**Power-off Bypass** — аварийный режим, в который байпас переходит автоматически при **отключении электропитания**. На физическом уровне (вероятно, оптический переключатель внутри оборудования) каналы замыкаются напрямую:
+
+```text
+    Net0 ◄═══════════► Net1      ← физическое замыкание
+                                  ← оптический переключатель
+         Mon0            Mon1
+         (обесточены)    (обесточены)
+```
+
+Это **последнее средство** защиты трафика оператора. При переключении в этот режим:
+
+- у оператора **возможны флапы линков** (оптика «моргает»);
+- перерыв в трафике более существенный, чем при переключении между другими режимами;
+- оператор почувствует переключение — может начать перестраиваться маршрутизация;
+- последствия более негативные, но это **аварийный** случай.
+
+### 3.2.6. Переключение между режимами и влияние на оператора
+
+Ключевое преимущество байпасов Silicom — переключение между режимами **Inline**, **TAP** и **Active Bypass** происходит **безболезненно для оператора связи**:
+
+- порты оператора **не флапают** (не падают);
+- возможна лишь **кратковременная потеря единичных пакетов** — тех, которые уже ушли в сторону балансировщика, но не успели вернуться в момент переключения;
+- такая потеря, как правило, **незаметна** ни для оператора, ни для абонентов — пропадание трафика на доли секунды восстанавливается протоколами верхних уровней модели OSI.
+
+Сводная таблица режимов:
+
+| Режим             | Трафик оператора | Копия на ТСПУ | Влияние на оператора при переключении |
+| ----------------- | ---------------- | ------------- | ------------------------------------- |
+| **Inline**        | Через ТСПУ       | Да (полная)   | —                                     |
+| **TAP**           | Замкнут напрямую | Да (копия)    | Безболезненно                         |
+| **Active Bypass** | Замкнут напрямую | Нет           | Безболезненно                         |
+| **Power-off**     | Замкнут напрямую | Нет           | Флапы линков, перерыв трафика         |
+
+## 3.3. Байпасы GL Sun (пилотный проект, Урал)
+
+Байпасы GL Sun используются в рамках **пилотного проекта на Урале**. По сравнению с Silicom, они значительно проще и имеют ряд существенных ограничений.
+
+### 3.3.1. Отличие от Silicom: только режим Power-off Bypass
+
+Байпасы GL Sun поддерживают **только один механизм переключения** — эквивалент режима Power-off Bypass у Silicom. У них нет промежуточных режимов TAP или Active Bypass с безболезненным переключением.
+
+Фактически GL Sun умеет только:
+
+- **пропускать трафик** через себя (аналог Inline);
+- **замыкать каналы** физически (аналог Power-off Bypass).
+
+При этом, в отличие от Silicom, байпасы GL Sun не генерируют heartbeat-пакеты самостоятельно. Вместо этого heartbeat-пакеты отправляются **балансировщиком** (или фильтром, если балансировщик отсутствует) в сторону GL Sun. На балансировщике или фильтре настраивается IP-адрес байпаса, интервал отправки heartbeat-пакетов и список линков байпаса, для которых выполняется проверка.
+
+В федеральном проекте эта схема **не актуальна**, поскольку байпасы Silicom самостоятельно отправляют heartbeat-пакеты и самостоятельно проверяют доступность каналов.
+
+### 3.3.2. Флап линков при каждом переключении
+
+Каждое переключение режима работы байпаса GL Sun — это **флап линков оператора**. Оптика «моргает», оператор связи видит падение и восстановление интерфейсов, что может приводить к:
+
+- перестройке маршрутизации на стороне оператора;
+- заметному перерыву в прохождении трафика;
+- срабатыванию мониторинга и генерации инцидентов у оператора.
+
+Это значительное неудобство по сравнению с байпасами Silicom, у которых переключение между режимами Inline, TAP и Active Bypass происходит прозрачно для оператора.
+
+## 3.4. Мониторинг каналов: Heartbeat-пакеты байпаса
+
+Байпас осуществляет **постоянный мониторинг доступности каналов** в сторону балансировщика с помощью специальных **heartbeat-пакетов**.
+
+Принцип работы (для байпасов Silicom):
+
+1. Байпас отправляет heartbeat-пакет из порта **Mon0**;
+2. Пакет проходит через балансировщик (балансировщик пропускает heartbeat-пакеты прозрачно между своими портами);
+3. Пакет должен дойти до порта **Mon1** (и аналогично в обратном направлении);
+4. Если пакет проходит — байпас считает канал исправным и продолжает работу в текущем режиме.
+
+```text
+      Байпас                    Балансировщик
+    ┌─────────┐              ┌──────────────────┐
+    │         │  heartbeat   │                  │
+    │   Mon0 ─┼─────────────►  прозрачный      │
+    │         │              │  пропуск         │
+    │   Mon1 ◄┼──────────────┤                  │
+    │         │  heartbeat   │                  │
+    └─────────┘              └──────────────────┘
+```
+
+Heartbeat-пакеты байпаса Silicom — это **не IP-пакеты**, а специальные служебные кадры (по умолчанию формат IPX). По запросу RDP.ru формат пакета был изменён на согласованный вариант, который прозрачно проходит через балансировщик и, при необходимости, через фильтр, не вызывая проблем с обработкой (фильтр пропускает не-IP-пакеты прозрачно).
+
+Важно: heartbeat-пакеты байпаса **не доходят до фильтров** при наличии балансировщика — они заворачиваются обратно на уровне балансировщика. Таким образом, существуют **две независимые стадии** проверки отказоустойчивости:
+
+1. **Байпас → Балансировщик** — heartbeat-пакеты байпаса проверяют доступность каналов до балансировщика;
+2. **Балансировщик → Фильтр** — keep-alive пакеты балансировщика проверяют доступность фильтров (подробнее — в [разделе 4](04.md)).
+
+## 3.5. Автоматическое переключение в TAP/Active Bypass при потере канала
+
+Если heartbeat-пакеты, отправленные через Mon0, не доходят до Mon1 в течение определённого времени (настраиваемый порог), байпас считает, что **канал связи до балансировщика неисправен**.
+
+В этом случае байпас **автоматически переключает** данный канал в безопасный режим:
+
+- **TAP** — если требуется сохранить копирование трафика для диагностики;
+- **Active Bypass** — если требуется полностью исключить ТСПУ из пути трафика.
+
+Выбор режима зависит от **настроек** конкретного байпаса.
+
+```text
+   Штатная работа (Inline):
+   Net0 ──► Mon0 ──► Балансировщик ──► Mon1 ──► Net1
+                     heartbeat ✓
+
+   Потеря канала → автоматическое переключение:
+   Net0 ◄────────────► Net1     ← замыкание
+        (± копия на Mon0/Mon1, в зависимости от настроек)
+```
+
+Такое автоматическое переключение обеспечивает **защиту трафика оператора** без ручного вмешательства: если что-то случится с балансировщиком или фильтрами, каналы оператора будут замкнуты напрямую, и связность сети сохранится.
+
+---
+
+[← Оглавление](../README.md) · [← Раздел 2: Прохождение трафика через ТСПУ](02.md) · [Раздел 4: Балансировщик →](04.md)