souce/tspu-docs
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Отредактированы графические элементы и текстовые блоки для улучшения читаемости в документации

Browse Source
This commit is contained in:
Daniel Lavrushin
2026-02-20 12:23:25 +01:00
parent 12bf4c06ae
commit a4a7802ce8
6 changed files with 111 additions and 111 deletions
Download Patch File Download Diff File Expand all files Collapse all files

20
01.md
View File

@@ -49,19 +49,19 @@
```text
Оборудование оператора
┌───────┴───────┐
│ Байпасы │ ← защита каналов оператора
│ Байпасы │ ← защита каналов оператора
└───────┬───────┘
┌───────┴───────┐
│Балансировщики │ ← распределение трафика
│Балансировщики │ ← распределение трафика
└───────┬───────┘
┌────────┼──────────┐
┌───┴───┐ ┌──────┐ ┌──────┐
│Фильтр │ │Фильтр │ │Фильтр │ ← анализ и фильтрация
─────────────┼─────────────
│ │
┌───┴───┐ ┌──────┐ ┌──────┐
│Фильтр │ │Фильтр │ │Фильтр │ ← анализ и фильтрация
└───────┘ └───────┘ └───────┘
──────────────────────────────────────────
@@ -127,4 +127,4 @@
---
[← Оглавление](README.md) · [Раздел 2: Прохождение трафика через ТСПУ →](02.md)
[← Оглавление](README.md) · [Раздел 2: Прохождение трафика через ТСПУ →](02-traffic-path.md)

86
02.md
View File

@@ -13,14 +13,14 @@
```text
Абонент → Интернет:
┌─────────────────────────────────────────────┐
│ Source: local IP : local port
│ Destination: remote IP : remote port
│ Source: local IP : local port │
│ Destination: remote IP : remote port │
└─────────────────────────────────────────────┘
Интернет → Абонент:
┌─────────────────────────────────────────────┐
│ Source: remote IP : remote port
│ Destination: local IP : local port
│ Source: remote IP : remote port │
│ Destination: local IP : local port │
└─────────────────────────────────────────────┘
```
@@ -34,8 +34,8 @@
```text
┌──────────┬─────────────────┬──────────────┬─────────┬──────┐
│ Ethernet │ Доп. заголовки │ IP-заголовок │ TCP/UDP │ Data
│ заголовок │ (??? ) │ │ │
│ Ethernet │ Доп. заголовки │ IP-заголовок│ TCP/UDP │ Data │
│ заголовок│ (??? ) │ │ │
└──────────┴─────────────────┴──────────────┴─────────┴──────┘
```
@@ -61,12 +61,12 @@
- **WAN-порты** — порты, смотрящие в сторону **интернета** (внешняя сторона).
```text
Абоненты Интернет
┌──────────┐ ┌──────────┐
│ LAN-порт │ ◄── ТСПУ ──► │ WAN-порт │
└──────────┘ └──────────┘
Абоненты Интернет
│ │
▼ ▼
┌──────────┐ ┌──────────┐
│ LAN-порт │ ◄── ТСПУ ──► │ WAN-порт │
└──────────┘ └──────────┘
```
Эта идеология **прослеживается через всё оборудование ТСПУ** — от байпасов до балансировщиков и фильтров. Все порты на любом устройстве ТСПУ можно разделить на две группы: порты в сторону абонентов (LAN) и порты в сторону интернета (WAN).
@@ -84,16 +84,16 @@
- **сегмент управления** — SPFS, СПХД, коммутатор, VPN-шлюз.
```text
Оборудование Оборудование
оператора оператора
(LAN) (WAN)
│ ┌────────────┐
─┤ Байпас ├───┘
└──────┬─────┘
┌─────┴────┐
│ Фильтр
Оборудование Оборудование
оператора оператора
(LAN) (WAN)
│ │
│ ┌───────────
────┤ Байпас ├───┘
─────┬─────┘
┌─────┴────┐
│ Фильтр │
└───────────┘
─────────────────────────────
@@ -114,15 +114,15 @@
```text
Оборудование оператора Оборудование оператора
(сторона абонентов, LAN) (сторона интернета, WAN)
│ Канал 1 │ Канал 1
│ Канал 1 │ Канал 1 │
┌────┴───────────┴───┐ ┌────┴───────────┴───┐
│ Байпас 1 │ │ Байпас 1
│ Net0 Net1│ │ Mon0 Mon1 │
│ Байпас 1 │ │ Байпас 1 │
│ Net0 Net1│ │ Mon0 Mon1 │
└────┬───────────┬───┘ └────┬───────────┬───┘
│ │ │ │
│ │ │ │
┌────┴───────────┴───────────────────┴───────────┴───┐
Балансировщик │
│ Балансировщик │
│ │
│ ┌─────────┐ ┌──────────────┐ ┌─────────────┐ │
│ │ Фильтры │ │ Группа │ │ Программный │ │
@@ -188,34 +188,34 @@
┌──────────────────┐ Нет
│ IP-пакет? │──────────► Прозрачный пропуск
│ IP-пакет? │──────────► Прозрачный пропуск
└────────┬─────────┘
│ Да
┌──────────────────┐ Нет
│ Попал в ACL? │──────────► Прозрачный пропуск
│ (привязка к
│ пулу)
│ Попал в ACL? │──────────► Прозрачный пропуск
│ (привязка к │
│ пулу) │
└────────┬─────────┘
│ Да
┌──────────────────┐ Нет
│ Попал в │──────────► Прозрачный пропуск
│ DPI-лист?
│ (IP-подсети)
│ Попал в │──────────► Прозрачный пропуск
│ DPI-лист? │
│ (IP-подсети) │
└────────┬─────────┘
│ Да
┌──────────────────┐
│ Движок DPI
│ (анализ и
│ решение)
│ Движок DPI │
│ (анализ и │
│ решение) │
└────────┬─────────┘
┌──────┴─────────┐
Пропустить Заблокировать
(drop)
┌────────┐
▼ ▼
Пропустить Заблокировать
(drop)
```
1. **Проверка: IP-пакет или нет.** Если пакет не является IP-пакетом (например, служебный keep-alive от балансировщика), он прозрачно пропускается через парный порт обратно в сеть оператора.

44
03.md
View File

@@ -32,22 +32,22 @@
```text
Оборудование Оборудование
оператора оператора
(сторона A) (сторона B)
оператора оператора
(сторона A) (сторона B)
│ │
▼ ▼
┌──────────────────────────┐
│ Байпас Silicom
│ Net0 Net1 │
│ │ │
│ │ (логика │
│ │ режимов)
│ │ │
│ Mon0 Mon1
│ Байпас Silicom │
│ │
│ Net0 Net1 │
│ │ │ │
│ │ (логика │ │
│ │ режимов)
│ │ │ │
│ Mon0 Mon1 │
└────┬──────────────────┬──┘
│ │
▼ ▼
В сторону балансировщика
```
@@ -171,14 +171,14 @@
4. Если пакет проходит — байпас считает канал исправным и продолжает работу в текущем режиме.
```text
Байпас Балансировщик
┌─────────┐ ┌──────────────────┐
│ heartbeat │
│ Mon0 ─ ┼─────────────► прозрачный
│ пропуск
│ Mon1 ◄──┼──────────┤
│ heartbeat │
└─────────┘ └──────────────────┘
Байпас Балансировщик
┌─────────┐ ┌──────────────────┐
│ │ heartbeat │ │
│ Mon0 ─┼─────────────► прозрачный │
│ пропуск │
│ Mon1 ◄┼──────────────┤ │
│ │ heartbeat │ │
└─────────┘ └──────────────────┘
```
Heartbeat-пакеты байпаса Silicom — это **не IP-пакеты**, а специальные служебные кадры (по умолчанию формат IPX). По запросу RDP.ru формат пакета был изменён на согласованный вариант, который прозрачно проходит через балансировщик и, при необходимости, через фильтр, не вызывая проблем с обработкой (фильтр пропускает не-IP-пакеты прозрачно).

34
04.md
View File

@@ -46,23 +46,23 @@
Порты внутри каждой группы объединяются в **пары** LAN + WAN и далее — в логические сущности, называемые **линками**.
```text
Оборудование оператора (через байпасы)
P42(L) P41(W) P10(L) P9(W)
└─────┬─────┘ └─────┬─────┘
Линк 1 Линк 2
(10G) (100G)
┌──── ───────────────────────────┴──────────┐
│ Балансировщик
│ Flow rules → Balance Group
└───┬─────┬─────┬──────────┬─────┬─────────┘
P21(L) P22(W) P31(L) P32(W) P41(L) P42(W)
└──┬──┘ └──┬──┘ └──┬──┘
Filter Group 1 Filter Group 2 Filter Group 3
Фильтр 1 Фильтр 2 Фильтр N
Оборудование оператора (через байпасы)
│ │
P42(L) P41(W) P10(L) P9(W)
└─────┬─────┘ └─────┬─────┘
Линк 1 Линк 2
(10G) (100G)
┌───────────────────────────────┴──────────┐
│ Балансировщик │
│ │
│ Flow rules → Balance Group │
└───┬─────┬─────┬──────────┬─────┬─────┬─────┘
P21(L) P22(W) P31(L) P32(W) P41(L) P42(W)
└──┬──┘ └──┬──┘ └──┬──┘
Filter Group 1 Filter Group 2 Filter Group 3
Фильтр 1 Фильтр 2 Фильтр N
```
### 4.3.1. Принцип чётных/нечётных портов

36
05.md
View File

@@ -12,39 +12,39 @@
```text
Пакет от балансировщика
┌─────────────────────┐
│ 1. IP-пакет или нет
│ 1. IP-пакет или нет │
└────────┬────────────┘
Не IP → прозрачный пропуск ──►
Не IP → прозрачный пропуск ──►
┌─────────────────────┐
│ 2. Проверка по ACL
│ (привязка к пулу)
│ 2. Проверка по ACL │
│ (привязка к пулу) │
└────────┬────────────┘
Не попал в ACL → прозрачный пропуск ──►
Не попал в ACL → прозрачный пропуск ──►
┌─────────────────────┐
│ 3. Проверка по │
│ DPI-листу (IP/сети) │
└────────┬────────────┘
Не попал в DPI-лист → прозрачный пропуск ──►
Не попал в DPI-лист → прозрачный пропуск ──►
┌─────────────────────┐
│ 4. Обработка
│ движком DPI
│ 4. Обработка │
│ движком DPI │
└────────┬────────────┘
┌────┴────┐
┌────┴────┐
Пропустить Заблокировать
(pass) (drop)
(pass) (drop)
```
На каждом этапе, если пакет не удовлетворяет условиям для дальнейшей обработки, он **прозрачно возвращается** через парный интерфейс обратно в сеть оператора — как будто фильтра в тракте нет.
Важно понимать, что даже самая первая проверка (является ли пакет IP-пакетом) выполняется **программным ядром фильтра** — процессом EcoNAT. Если «мозг» фильтра не работает (процесс завис или перегружен), даже эта простейшая проверка не будет пройдена, и keep-alive пакеты от балансировщика не вернутся. Именно поэтому keep-alive пакеты балансировщика проверяют не только физическую связность канала, но и работоспособность процесса обработки на фильтре (подробнее — в [разделе 4.6.1](04.md#461-keep-alive-пакеты-к-фильтрам)).
Важно понимать, что даже самая первая проверка (является ли пакет IP-пакетом) выполняется **программным ядром фильтра** — процессом EcoNAT. Если «мозг» фильтра не работает (процесс завис или перегружен), даже эта простейшая проверка не будет пройдена, и keep-alive пакеты от балансировщика не вернутся. Именно поэтому keep-alive пакеты балансировщика проверяют не только физическую связность канала, но и работоспособность процесса обработки на фильтре (подробнее — в [разделе 4.6.1](04.md)).
### 5.1.1. Проверка: IP-пакет или нет

2
06.md
View File

@@ -14,7 +14,7 @@
│ ← (1) До BRAS: PPPoE-трафик
┌───┴───┐
│ BRAS │ (BPE / BNG / GGSN / PGW)
│ BRAS │ (BPE / BNG / GGSN / PGW)
└───┬───┘
│ ← (2) До CGNAT: серые IP, наиболее удобная точка