souce/tspu-docs
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
cba7581665c317f888d5f15054227c4b034b2dd4
tspu-docs/01.md
Daniel Lavrushin cba7581665 first commit
2026-02-20 11:58:48 +01:00

14 KiB
Raw Blame History

1. Введение и общая архитектура АСБИ

← Оглавление

1.1. Что такое АСБИ

АСБИ (Автоматизированная система обеспечения безопасности интернета) — это государственная система, создаваемая в рамках реализации закона о суверенном интернете. Её основная задача — обеспечить возможность анализа, фильтрации и управления интернет-трафиком на уровне операторов связи на всей территории Российской Федерации.

АСБИ представляет собой распределённую иерархическую систему, состоящую из:

  • ТСПУ (технические средства противодействия угрозам) — комплексы оборудования, устанавливаемые непосредственно у операторов связи;
  • Центральная система управления (ЦСУ) — централизованная платформа для управления всеми ТСПУ, развёрнутая на двух физически независимых площадках с резервированием.

Все ТСПУ связаны с ЦСУ и управляются через неё. Именно через центральную систему управления выполняются основные операции по конфигурированию, мониторингу и обновлению оборудования ТСПУ.

1.2. Закон о суверенном интернете и участники проекта

Проект АСБИ реализуется в рамках закона о суверенном интернете (Федеральный закон № 90-ФЗ). В реализации проекта участвуют несколько ключевых организаций:

Роль Организация Описание
Заказчик ГУП ГРЧЦ (Главный радиочастотный центр) Представляет интересы государства
Генеральный подрядчик АО «ДЦА» Осуществляет общее руководство проектом
Поставщик оборудования RDP.ru Поставляет два типа устройств: балансировщики и фильтры, а также разрабатывает часть системы управления

Проект развивался поэтапно:

  • Пилотный проект — развёрнут на Урале, включает ограниченное количество площадок. Использует байпасы GL Sun и раннюю версию ЦСУ;
  • Федеральный проект — масштабное развёртывание по всей стране. Включает байпасы Silicom, новое оборудование фильтров (модели 2020 года), новую версию ЦСУ и эшелонированную систему фильтрации. На данном этапе предполагается порядка 350 площадок и суммарно около 5 000 устройств.

1.3. Что такое ТСПУ — комплекс оборудования у операторов связи

ТСПУ (Технические средства противодействия угрозам) — это комплекс оборудования, который устанавливается в разрыв каналов связи оператора. ТСПУ перехватывает проходящий трафик, анализирует его и при необходимости выполняет блокировку или деградацию определённых типов соединений.

Ключевой принцип работы ТСПУ — прозрачность для оператора. С точки зрения сетевой топологии оператора, ТСПУ представляет собой «прозрачный провод»: трафик, вошедший через определённый канал связи, обязательно возвращается в тот же канал. Оператор не должен вносить изменения в свою маршрутизацию при установке ТСПУ.

ТСПУ может устанавливаться в нескольких различных местах сети оператора (подробнее — в разделе 6), и на одной площадке оператора может быть развёрнуто различное количество оборудования в зависимости от объёма трафика и количества каналов связи.

Существует два типа ТСПУ:

  • ТСПУ тип А (первый эшелон) — основной тип, устанавливается у большинства операторов. Когда говорят просто «ТСПУ» без уточнения, подразумевают именно тип А;
  • ТСПУ тип Б (второй эшелон, эшелонированная система) — устанавливается на уровне ядра сети крупных операторов для обработки трафика, который не прошёл через ТСПУ тип А (подробнее — в разделе 7).

1.4. Общая схема: байпасы, балансировщики, фильтры, сегмент управления

ТСПУ состоит из следующих подсистем (устройств):

                    Оборудование оператора
                                    │
                    ┌───────┴───────┐
                    │    Байпасы            │    ← защита каналов оператора
                    └───────┬───────┘
                                    │
                    ┌───────┴───────┐
                    │Балансировщики   │    ← распределение трафика
                    └───────┬───────┘
                                    │
                  ┌────────┼──────────┐
                  │                │                    │
          ┌───┴───┐    ┌─┴─────┐    ┌─┴─────┐
          │Фильтр  │    │Фильтр   │    │Фильтр   │  ← анализ и фильтрация
          └───────┘    └───────┘    └───────┘

    ──────────────────────────────────────────
          Сегмент управления (VPN → ЦСУ)

Байпасы

Байпасы — это устройства, обеспечивающие физическую защиту каналов связи оператора. Каналы связи оператора разрываются и заворачиваются на байпас. Количество байпасов на площадке определяется количеством линков оператора, в разрыв которых устанавливается ТСПУ.

Байпасы работают на скоростях 10100 Гбит/с (в отдельных случаях — 1 Гбит/с). В случае аварии (например, обесточивания) байпас замыкает каналы напрямую, минуя остальное оборудование ТСПУ, чтобы не нарушить связность сети оператора.

Балансировщики

Балансировщики — это высокопроизводительные программируемые коммутаторы, принимающие трафик от байпасов и распределяющие его по подключенным фильтрам.

Основные характеристики:

  • 32-портовые, одноюнитовые (1U);
  • пропускная способность — 3,2 Тбит/с (на полной скорости при размере пакета более 160 байт);
  • количество балансировщиков зависит от количества каналов связи и объёма трафика оператора.

Все порты балансировщика разделяются на две группы:

  • LAN-порты — в сторону оборудования оператора (через байпасы), где находятся абоненты;
  • WAN-порты — в сторону интернета.

Эта идеология LAN/WAN прослеживается через всё оборудование ТСПУ — от байпасов до фильтров.

Фильтры

Фильтры — это основные устройства ТСПУ, занимающиеся непосредственно анализом и обработкой трафика (DPI — Deep Packet Inspection). Именно на фильтрах выполняется распознавание протоколов, фильтрация по реестру Роскомнадзора, блокировка и деградация трафика.

Количество фильтров зависит исключительно от объёма трафика, который необходимо обрабатывать:

  • У оператора с большим количеством каналов, но небольшим объёмом трафика — может быть мало фильтров;
  • У оператора с малым количеством высокоскоростных каналов и большим трафиком — потребуется много фильтров.

Фильтры подключаются к балансировщикам преимущественно интерфейсами 10 Гбит/с Ethernet (в отдельных случаях — 1 Гбит/с). Количество интерфейсов между балансировщиком и фильтрами может значительно превышать количество каналов в сторону оператора.

Сегмент управления

Сегмент управления — это набор коммутаторов, VPN-шлюзов и вспомогательных серверов, обеспечивающих связь оборудования ТСПУ с центральной системой управления. Через VPN-канал все устройства площадки подключаются к ЦСУ, что позволяет удалённо управлять каждым компонентом ТСПУ.

В состав сегмента управления также входят:

  • SPFS (сервер предварительного формирования списков) — собирает протокольные логи с фильтров и передаёт их в ЦСУ для формирования списков блокировки;
  • СПХД (сервер предварительного хранения данных) — используется для хранения системных логов с устройств площадки.

Простейший вариант ТСПУ

В минимальной конфигурации ТСПУ может состоять из:

  • 1 байпас — для одного-двух каналов связи;
  • 1 фильтр — для обработки всего трафика оператора;
  • Сегмент управления — SPFS, СПХД, коммутатор, VPN-шлюз.

В таком варианте балансировщик не требуется, так как весь трафик обрабатывается одним фильтром. Однако могут быть подключены только каналы 1 или 10 Гбит/с Ethernet, поскольку фильтры текущего проекта не поддерживают интерфейсы 100 Гбит/с — только 1G и 10G в зависимости от модели.

Типовая схема ТСПУ

В типовой конфигурации присутствуют все компоненты: несколько байпасов (по количеству каналов оператора), один или несколько балансировщиков и множество фильтров. Балансировщик принимает трафик от всех байпасов, распределяет его по фильтрам для обработки, после чего обработанный трафик возвращается через балансировщик и байпас обратно в сеть оператора.

← Оглавление · Раздел 2: Прохождение трафика через ТСПУ →

Reference in New Issue View Git Blame Copy Permalink