По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Автоматизация в классическом понимании совокупность технических, методических и программных средств, обеспечивающих процесс измерения без непосредственного участия человека. Задача автоматизации повышение эффективности проводимых измерений и их качество.
p>
Автоматизация позволяет обеспечить:
Диагностику состояния системы в режиме реального времени;
Обработку результатов измерений для получения диагностической или прогнозирующей информации;
Измерение и вычисление параметров быстропротекающих процессов;
Снижение влияния помех на результат измеряемого параметра;
Сбор измерительной информации в местах, недоступных для человека;
Одновременное измерение большого числа величин;
Длительные, многократные измерения;
Повышение достоверности конечных результатов.
Различают два уровня автоматизации:
Частичная автоматизация. Осуществляется в тех случаях, когда стоит задача повышения качества измерений за счет освобождения оператора от рутинной работы, тогда простые автоматические устройства эффективно заменяют его. Это не освобождает человека от участия в производственном процессе, но существенно облегчает его работу. Техническим средством частичной автоматизации служит включение вычислительных средств (обычно микропроцессоров-МП) в средство измерения (СИ).
Полная автоматизация. Высшая ступень автоматизации, которая повышает качество измерений за счет исключения человека-оператора из процесса измерений. Так как в силу физиологических возможностей человек не способен с необходимой скоростью обрабатывать информацию. Техническим средством полной автоматизации является информационно-измерительная система (ИИС).
Функции микропроцессоров при частичной автоматизации
Микропроцессоры позволяют автоматизировать процесс управления цифровыми измерительными приборами. С помощью средств измерения (СИ), в которые включены микропроцессорные системы достигается:
Многофункциональность приборов возможность одним СИ измерить несколько параметров;
Увеличение точности и надежности приборов;
Расширение измерительных возможностей данных приборов за счет проведения различных измерений;
Простота в управлении прибором;
Возможность получения математических функций из измеренных значений;
Экономичность аппаратуры;
Возможность объединения набора приборов в измерительно-вычислительный комплекс;
Уменьшение погрешностей за счет выявления и исключения грубых и систематических погрешностей;
Прощенное включение СИ в ИИС.
Информационно-измерительная система
Основной причиной создания информационно-измерительных систем является необходимость контролировать/измерять одновременно большое количество физических величин, многие из которых должны измеряться одновременно. С помощью ИИС можно решать задачи, которые нельзя решить с помощью других средств измерения, такие как:
Возможность обеспечивать наиболее высокий уровня автоматизации процесса измерений
Возможность обеспечивать высокую достоверность получаемых результатов
Возможность получения высокоинформативной и удобной индикацию
Возможность хранения результатов измерения.
На рисунке 2.1 в общем виде структура ИИС. В данной структуре все СИ цифровые и управление этими приборами осуществляется командами в цифровом виде, передаваемыми по линиям интерфейса. Автоматизация аналоговых систем сложнее, для аналоговых СИ схема ИИС должна дополняться АЦП и ЦАП.
На рисунке 2.1. обозначено:
Сплошными линиями изображены функциональные связи, пунктирными интерфейсные;
- приборы воздействия на объект измерения (измерительные сигналы, вид которых и их параметры задаются контроллером (ВУ) и управляющие команды передаются по линиям интерфейса (показаны пунктиром);
- коммутаторы, управляемые контроллером;
- измерительные приборы, измеряющие результат прохождения измерительных сигналов от приборов воздействия через объект измерения;
УР устройства регистрации (принтер и т.п.).
ИИС могут быть достаточно сложными устройствам, которые должны в зависимости от решаемой задачи иметь возможность переконфигурироваться. Как показывает практика, такие системы могут эффективно и надежно функционировать только если они строятся поблочно - модульному принципу. Для реализации этого принципа необходимо использовать стандартный интерфейс.
Стандартные интерфейсы для измерительных систем
Для каждой ИИС необходимо создавать свои уникальные аппаратные и программные средства. Для их разработки требуется много времени, квалифицированные специалисты и высокая надежность, которая не может быть обеспечена в неспециализированных условиях производства. Альтернативой индивидуальному способу построения ИИС является блочно-модульный способ, который можно осуществить только при использовании стандартного интерфейса. В данном случае стандартный интерфейс это система сопряжения, включающая аппаратные и программные средства, для которых регламентированы три группы условий: информационные (логические), электрические и конструктивные. Такой интерфейс позволяет агрегатировать устройства, входящие в ИИС, без изменений и доделок.
Информационная совместимость
Согласование входных и выходных сигналов, исходя из их спектра изменения, порядка обмена сигналами. ИС определяется унификацией измерительных сигналов и способов их передачи. Унификация измерительных сигналов означает, что их параметры не могут быть отобраны произвольно, но должны отвечать требованиям стандарта для таких сигналов, которые принятые для этой системы. Условия совместимости информации влияют на объем и сложность схемотехники и ПО.
Электрическая совместимость
Согласованность статических и динамических параметров электрических сигналов, учитывающих ограничения на пространственное устройство интерфейсов и техническое внедрение приемки и передачи элементов. Электрические условия совместимости влияют на основные параметры интерфейса - скорость обмена данными, максимальное количество подключенных устройств, их конфигурацию и расстояние.
Конструктивная совместимость
Согласованность конструктивных параметров интерфейса, обеспечивающая механический контакт электрических соединений и механической замены съемных элементов, блоков и узлов. Условия совместимости по конструкции определяют типы соединителей, конструкцию кабельного соединения, печатной платы, рамы и стойки. Объём конструктивных особенностей для разных интерфейсов может сильно отличаться. Так для интерфейса МЭК это конструкция только разъёмов, а для интерфейса КАМАК конструкция шкафов, разъёмов, ячеек, каркасов, положения ячеек в каркасах.
Обычно в стандарт на интерфейс входит и структура (топология) соединения приборов ИИС. Существует три основных структуры:
цепочечная;
магистральная;
радиальная;
в некоторых ИИС (обычно в иерархических системах) используется комбинация из некоторых структур. На рис.2.2 приведены эти структуры.
На рисунке 2.2 комбинированная структура показана для трех уровней иерархии. На самом высоком уровне используется радиальная структура, во втором магистральная и в самом низком цепочечная. Здесь обозначено:
блоки радиальной структуры и в качестве пятого блока радиальной структуры входит контроллер магистральной структуры;
блоки магистральной структуры, в которую и входит контроллер нижнего уровня;
блоки цепочечной структуры вместе с контроллером, который одновременно является блоком структуры второго (магистральной) второго уровня.
Выполнение всех трех условий интерфейса необходимо, но этого недостаточно для обмена данными между устройствами и их взаимного сопряжения. Для работы системы должны быть определены интерфейсные функции, которые позволяют устройствам выполнять операции связанные с обменом информации такие как : прием и передача сообщений, распознавание адреса и подключение к линиям интерфейса, в определенной последовательности.
Интерфейсная функция заключается в обеспечении передачи данных, в том числе информации о состоянии прибора. Эта функция обязательна для любого прибора источника.
Функции интерфейса обеспечивают совместимость различных устройств без ограничения возможности работы других устройств в системе. Так называются функции, которые устройства чаще всего выполняют фундаментальные. Обсудите их:
Подготовка и получение информации (осуществляется источниками и получателями информации);
Данные передают контроль (функцию контроллера)
Согласование источника информации (осуществляется с помощью исходного устройства или контроллера);
Согласование информационного приемника (выполняется устройством приемника или контроллером).
Функции контроллера могут выполняться несколькими устройствами в системе, основные из которых необходимо выполнять для обеспечения совместимости информации, определяются организацией пользовательского интерфейса. Канал управления - это назначенные функции выбора информационного канала, синхронизации обмена обучением информации, координации взаимных действий, а канал информации - функции буферного хранения информации и т.д.
При выборе информационного канала задается значение производительности процесса взаимных действий элементов системы. Существует несколько процедур отбора: Инициация вопроса, выбор вопроса приоритета и выявление вопроса.
Синхронизация обмена информацией обеспечивает временную координацию процессов между функциональными устройствами системы.
Координация определяет набор процедур для организации и контроля за процессом взаимных действий системных устройств. Оперативные координационные операции - адаптация для взаимной поддержки, контроль взаимных действий, передача надзорных функций.
Интерфейсный информационный канал предназначен для выполнения обмена информацией и функции преобразования.
Основными процедурами функции обмена является подготовка и получение информации из регистров системных компонентов. Основные процедуры функции преобразования должны преобразовывать серьезный код, чтобы уравнять код, и наоборот; кодирование преобразования информации; декодирование команд, адресов; логические действия над статусом сохраняют содержимое.
Рассмотрим пример стандартного интерфейса МЭК.
Стандартный интерфейс МЭК
Разработчиком интерфейса прибора является Hewlett-Packard (США), он был представлен под торговой маркой HP-IB (Hewlett-Packard Interface Bus) и использовался для сопряжения устройств (рис. 2.3). Позже он был стандартизирован во многих странах мира.
Данная структура состоит из трёх групп модулей - измерения оборудования (СИ); Информационное оборудование; вспомогательные аппараты. К шине KOП подключаются следующие единицы измерения: коммутатор (K); Метр частоты электронного счета (Ч); осциллограф (ОС); Цифровой вольтметр (В); Генератор сигнала (Г) и ПК.
Они соединяются с основной линией интерфейсными приставками (интерфейсными модулями, интерфейсными картами), которые обеспечивают "перевод" информации с языка модуля на язык ствола и наоборот.
Ствол интерфейса состоит из 16 информационных линий, которые сгруппированы в 3 шины.
Синхронизационная шина предназначена для координации операции источника и приема во время обмена информацией и состоит из трёх линий:
Обслуживание данных - SD (NAV);
Готовность к приему - PU (NRED);
Принятые данные - НДАК.
При синхронизации источник информации, если убедится, что приёмник готов к приёму сигнала GP, будет передавать байт данных, при этом сопровождая сигналом (SD).
убедившись, что приёмник готов к приёму (сигнал GP), передает байт данных, сопровождая его сигналом SD. Приемник их по очереди первых постановок GP делает сигналы, а затем сигнал ДП.
- Управляющая шина имеет пять линий:
"Управление" (ATN) - сигнал производится контроллером и является признаком передачи данных со-связи интерфейса (команды или адреса) на шине;
"Конец передачи" (EOI) - на этой линии передаётся сигнал об окончании обмена;
"Запрос на обслуживание" ("3О") - указывает контроллеру, что в системе есть запрос на обслуживание;
"Ясный интерфейс" (IFC) - сигнал производится контроллером и обеспечивает интерфейс в первоначальном положении;
Пульт управления (РЕН) - сигнал производится контроллером, блокируется ручное управление устройством и монтируется управление устройством и управление основной линией. В DPC находятся восемь ЛД0...... Также передаются линии ЛД7, по которым поступает информация - Через информационные линии, сообщения интерфейса, с-в-д адреса модулей и команд. Адрес модуля или код команды не отображаются в строках, а код - это ЛД0-ЛД4 для команды ЛД5-6.
Характеристика интерфейса
Максимальное количество модулей в интерфейсе без использования до полноценных вспомогательных устройств - 15.
Передача команд и информации через информационный шину "асинхронная" и "двусторонняя" - 1MB/s.
Интерфейс обеспечивает отрицательную логику, а уровни сигналов соответствуют уровням транзисторной логики транзистора (TTL).
Характер направления централизован (1 уровень центрации).
Система раздельной шины - управление и информационные сигналы.
Порядок обмена: бит - параллельный, байт - последовательный.
Организация системы шины - магистральное.
Нерегламентированная конструкция, позволяющий использовать любой инструмент.
Компьютер выполняет одну из трех функций: чтение измерений происходит из модулей приборов, передача команд для обмена параметрами работы модулей приборов, организовывая обмен между модулями. Главным режимом работы таких модулей является непрерывное освидетельствование основной магистрали. Если модуль обнаруживает необходимую информацию (по нужному адресу), он вступает в операцию и получает или передает информацию.
Заключение
Необходимость решения практических задач диагностики и измерения в сложных системах привели к необходимости автоматизации измерений. Накоплен большой опыт разработки и эксплуатации информационно-измерительных систем.
Современная телекоммуникационная система является сложной системой, включающей разнообразные приборы и среду передачи информации. Для диагностики таких систем разработаны и широко используются системы автоматического мониторинга (САМ), которые по назначению и принципам построения являются частным случаем ИИС. Практический интерес представляет анализ существующих САМ с точки зрения использования в них опыта разработки ИИС, которые были разработаны и используются намного раньше.
Подаренный компанией Google сообществу Opensource, Kubernetes теперь стал инструментом контейнерного хранения по выбору. Он может управлять и координировать не только среду выполнения докеров, но и среду контейнерного хранения объектов и Rkt.
Типичный кластер Kubernetes обычно имеет главный узел и несколько рабочих узлов или Minions. Управление рабочими узлами осуществляется из главного узла, что обеспечивает управление кластером из центральной точки.
Важно также отметить, что можно развернуть кластер с одним узлом Kubernetes, который обычно рекомендуется использовать для легких непроизводственных рабочих нагрузок. Для этого можно взять Minikube - инструмент, который управляет кластером K ubernetes с одним узлом в виртуальной машине.
В этом руководстве мы рассмотрим многоузловую установку кластера Kubernetes в системе Linux CentOS 7. Это учебное пособие основано на командной строке и требует доступа к окну терминала.
Требования
Иметь несколько серверов под управлением Centos 7 (1 главный узел, 2 рабочих узла). Рекомендуется, чтобы главный узел содержал по крайней мере 2 ЦП, хотя это не является строгим требованием.
Подключение к Интернету на всех узлах. Мы будем извлекать пакеты Kubernetes и докеров из хранилища. Кроме того, необходимо убедиться, что диспетчер пакетов yum установлен по умолчанию и может получать пакеты удаленно.
Вам также потребуется доступ к учетной записи с правами sudo или root. В этом учебном пособии я буду использовать свою учетную запись root.
Наш 3-узловой кластер будет выглядеть примерно так:
Установка кластера Kubernetes на главном узле
Для работы Kubernetes потребуется механизм контейнеризации. Для этой установки мы будем использовать docker, так как он самый популярный.
На главном узле выполняются следующие шаги.
Шаг 1: Подготовить имя узла, брандмауэр и SELinux
На главном узле задайте имя хоста и, если у вас нет DNS-сервера, обновите файл /etc/hosts.
# hostnamectl set-hostname master-node
# cat <<EOF>> /etc/hosts
10.128.0.27 master-node
10.128.0.29 node-1 worker-node-1
10.128.0.30 node-2 worker-node-2
EOF
Можно выполнить проверку связи с рабочим узлом 1 и рабочим узлом 2, чтобы убедиться в правильности работы обновленного файла хоста с помощью команды ping.
# ping 10.128.0.29
# ping 10.128.0.30
Затем отключите SElinux и обновите правила брандмауэра.
# setenforce 0
# sed -i --follow-symlinks 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux
# reboot
Установите следующие правила брандмауэра для портов. Убедитесь, что каждая команда firewall-cmd возвращает результат.
# firewall-cmd --permanent --add-port=6443/tcp
# firewall-cmd --permanent --add-port=2379-2380/tcp
# firewall-cmd --permanent --add-port=10250/tcp
# firewall-cmd --permanent --add-port=10251/tcp
# firewall-cmd --permanent --add-port=10252/tcp
# firewall-cmd --permanent --add-port=10255/tcp
# firewall-cmd –reload
# modprobe br_netfilter
# echo '1' > /proc/sys/net/bridge/bridge-nf-call-iptables
Шаг 2: Настройка Kubernetes Repo
Нужно будет вручную добавить хранилище Kubernetes, так как оно не установлено по умолчанию в CentOS 7.
cat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
EOF
Шаг 3: Установить Kubeadm и Docker
После того, как пакет repo уже готов, вы можете продолжить и установить kubeadm и docker пакеты.
# yum install kubeadm docker -y
После успешного завершения установки включите и запустите обе службы.
# systemctl enable kubelet
# systemctl start kubelet
# systemctl enable docker
# systemctl start docker
Шаг 4: Установка Kubernetes Master и настройка пользователя по умолчанию
Теперь мы готовы инициализировать Kubernetes Master, но до этого нужно отключить swap, чтобы запустить команду kubeadm init.
# swapoff –a
Инициализация Kubernetes master - это полностью автоматизированный процесс, управляемый командой kubeadm init, которую необходимо выполнить.
# kubeadm init
Инициализация Kubernetes master
Возможно, потребуется скопировать последнюю строку и сохранить ее в другом месте, поскольку нужно будет запустить ее на рабочих узлах.
kubeadm join 10.128.0.27:6443 --token nu06lu.xrsux0ss0ixtnms5 --discovery-token-ca-cert-hash sha256:f996ea3564e6a07fdea2997a1cf8caeddafd6d4360d606dbc82314688425cd41
Совет: Иногда эта команда может жаловаться на переданные аргументы (args), поэтому отредактируйте ее, чтобы избежать ошибок. Таким образом, вы удалите символ , сопровождающий --token, и ваша последняя команда будет выглядеть следующим образом.
kubeadm join 10.128.0.27:6443 --token nu06lu.xrsux0ss0ixtnms5 --discovery-token-ca-cert-hash sha256:f996ea3564e6a07fdea2997a1cf8caeddafd6d4360d606dbc82314688425cd41
После успешной инициализации Kubernetes необходимо разрешить пользователю начать использование кластера. В нашем случае мы хотим запустить эту установку от имени пользователя root, поэтому мы продолжим выполнение этих команд с этого же имени. Вы можете перейти на пользователя с поддержкой sudo, который вы предпочитаете, и запустить ниже с помощью sudo.
Чтобы использовать root, выполните следующие действия:
# mkdir -p $HOME/.kube
# cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
# chown $(id -u):$(id -g) $HOME/.kube/config
Чтобы быть пользователем с поддержкой sudo, выполните следующие действия:
$ mkdir -p $HOME/.kube
$ sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
$ sudo chown $(id -u):$(id -g) $HOME/.kube/config
Теперь проверьте, активирована ли команда kubectl.
# kubectl get nodes
На этом этапе также можно заметить, что главный узел имеет статус NotReady. Это связано с тем, что сеть модулей еще не развернута в кластере.
Pod Network - это сеть наложения для кластера, которая развернута поверх текущей сети узла. Она предназначена для обеспечения возможности подключения через модуль.
Шаг 5: Настройка сети модуля
Применение сетевого кластера является очень гибким процессом в зависимости от потребностей пользователя и наличия множества доступных вариантов. Так как мы хотим сохранить нашу установку как можно проще, мы будем использовать плагин Weavenet, который не требует никакой конфигурации или дополнительного кода, и он предоставляет один IP-адрес на модуль, что отлично для нас. Для просмотра дополнительных параметров проверьте здесь.
Эти команды будут важны для настройки сети модуля.
# export kubever=$(kubectl version | base64 | tr -d '
')
# kubectl apply -f "https://cloud.weave.works/k8s/net?k8s-version=$kubever"
Теперь, если вы проверите статус главного узла, он должен показать "Ready"
# kubectl get nodes
Далее мы добавим рабочие узлы в кластер.
Настройка рабочих узлов для присоединения к кластеру Kubernetes
Следующие шаги будут выполнены на рабочих узлах. Эти шаги должны выполняться на каждом рабочем узле при присоединении к кластеру Kubernetes.
Шаг 1: Подготовить имя узла, брандмауэр и SELinux
На рабочем узле-1 и рабочем узле-2 задайте имя, а если у вас нет DNS-сервера, то обновите основные и рабочие узлы в файле /etc/hosts.
# hostnamectl set-hostname 'node-1'
# cat <<EOF>> /etc/hosts
10.128.0.27 master-node
10.128.0.29 node-1 worker-node-1
10.128.0.30 node-2 worker-node-2
EOF
Можно выполнить ping master-node для проверки правильности обновленного файла хоста.
Затем отключите SElinux и обновите правила брандмауэра.
# setenforce 0
# sed -i --follow-symlinks 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux
Установите следующие правила брандмауэра для портов. Убедитесь, что все команды firewall-cmd возвращаются успешно.
# firewall-cmd --permanent --add-port=6783/tcp
# firewall-cmd --permanent --add-port=10250/tcp
# firewall-cmd --permanent --add-port=10255/tcp
# firewall-cmd --permanent --add-port=30000-32767/tcp
# firewall-cmd --reload
# echo '1' > /proc/sys/net/bridge/bridge-nf-call-iptables
Шаг 2: Настройка Kubernetes Repo
Вам потребуется добавить хранилище Kubernetes вручную, так как оно не будет предварительно установлено на CentOS 7.
cat <<EOF > /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
EOF
Шаг 3: Установить Kubeadm и Docker
После того, как пакет repo уже готов, вы можете продолжить и установить kubeadm и docker пакеты.
# yum install kubeadm docker -y
Запустите и включите обе службы.
# systemctl enable docker
# systemctl start docker
# systemctl enable kubelet
# systemctl start kubelet
Шаг 4: Присоединение рабочего узла к кластеру Кубернетов
Теперь для присоединения к кластеру требуется маркер, созданный kubeadm init. Его можно скопировать и вставить в узлы 1 и 2, если он был скопирован в другом месте.
# kubeadm join 10.128.0.27:6443 --token nu06lu.xrsux0ss0ixtnms5 --discovery-token-ca-cert-hash sha256:f996ea3564e6a07fdea2997a1cf8caeddafd6d4360d606dbc82314688425cd41
Как показано в последней строке, вернитесь к главному узлу и проверьте, присоединились ли рабочие узлы 1 и 2 к кластеру с помощью следующей команды.
# kubectl get nodes
Если все шаги выполнены успешно, на главном узле должны быть показаны узлы 1 и 2 в состоянии готовности.
На этом этапе мы успешно завершили установку кластера Kubernetes на Centos 7 и успешно взяли два рабочих узла. Теперь можно начинать создавать модули и разворачивать службы.
Когда читаете данную статью, браузер подключается к провайдеру (или ISP) а пакеты, отправленные с компьютера, находят путь до сервера, на котором размещен этот веб-сайт. BGP (Border Gateway Protocol, протокол граничного шлюза) решает, по какому пути следует идти пакетам.
Если маршрутизатор не работает или слишком нагружен, пакеты проходят по другому маршруту. BGP по умолчанию принимает объявленные маршруты от других соседей BGP. Нет объявления о пути или владельце, что оставляет серьезную проблему безопасности.
В этой статье описывается протокол RPKI, как решение для безопасной маршрутизации BGP.
Что такое BGP?
Протокол BGP – основной протокол, который используется для обмена маршрутами в Интернете. Пакеты передаются по всему миру децентрализованным образом с автоматизированной маршрутизацией. По мере передачи данных с одного маршрутизатора на другой информация перемещается ближе к пункту назначения.
Каждый маршрутизатор поддерживает локальную таблицу наилучших путей для каждой группы префиксов IP-адресов. AS (Autonomous System - автономная система) владеет группами префиксов и определяет, как происходит обмен маршрутизацией. Каждая AS имеет уникальный идентификатор (Number), и протокол BGP определяет, как автономные системы обмениваются информацией о маршрутах.
Каждый ASN (Autonomous System Number) объявляет префиксы, по которым он может доставлять данные. Например, AS отвечающая за подсеть 1.0.0.0/8, будет передавать этот префикс соседям и другим провайдерам.
Недостатки BGP
Прием маршрута BGP зависит от проектирования ISP. Сложно принять во внимание все сценарии: ошибки ввода, ошибки автоматизации или злой умысел - это лишь некоторые примеры проблем, которые трудно предотвратить. В конечном счете, суть проблемы заключается в том, что нет никакого видения того, кто должен объявлять маршрут или кто настоящий владелец.
Угоны префиксов равной длины
Угон префикса равной длины происходит, когда тот, кто не является владельцем, объявляет об этом же префиксе. Например:
Исходная AS отправляет данные, предназначенные для 1.0.0.0/8
AS назначения объявляет 1.0.0.0/8
Другая AS также объявляет 1.0.0.0/8
В случае объявления равной длины BGP должен выбрать маршрут. Решение сводится к конфигурации AS.
Источник AS замечает небольшое падение трафика. Падение трафика является обычным явлением, которое может произойти по любому числу причин. За счет этого угон BGP остается незамеченным.
Угон определенного префикса
Захват определенного префикса происходит, когда злонамеренный ASN объявляет более конкретный префикс. Оба префикса добавляются в таблицу маршрутизации BGP, но более конкретный адрес выбирается в качестве наилучшего пути к сети.
Например:
Источник отправляет данные, предназначенные для 1.0.0.0/8
AS назначения объявляет 1.0.0.0/8
Другая AS объявляет более конкретный 1.2.3.0/24
Поскольку 1.2.3.0/24 лучше соответствует, все данные в диапазоне 1.2.3.0 поступают в нелегитимную сеть.
Что такое RPKI?
RPKI (Resource Public Key Infrastructure) - уровень безопасности в протоколе BGP, обеспечивающий полное криптографическое доверие владельцу, где последний имеет общедоступный идентификатор. В BGP понятия владельца не существует. Любому разрешается анонсировать лучший маршрут, будь то злонамеренно или случайно.
RPKI основан на существующем стандарте PKI - RFC6480. Существует много ссылок на существующие методологии криптографии для безопасной связи.
Почему RPKI важен?
Инфраструктура открытого ключа ресурсов делает BGP более безопасным и надежным. Из-за особенностей работы BGP, уязвимость интернета является систематической проблемой. С ростом Интернета последствия заметнее.
Маршрутизация информации в небольшую сеть создает перегрузку. Вредоносная маршрутизация доставляет конфиденциальную информацию не туда. Ошибки BGP могут привести к мошенничеству и крупномасштабным сбоям. Известны следующие случаи:
Amazon - маршрут 53 BGP угнал DNS Amazon для кражи криптовалют.
Google - неправильная настройка фильтрации BGP во время обновления маршрутизировал весь трафик в Китай, Россию и Нигерию.
Mastercard, Visa и крупные банки - произошла утечка 36 префиксов платежных услуг.
YouTube - Попытка заблокировать сайт YouTube в Пакистане в итоге положила его.
Какую форму защиты предлагает RPKI?
Проблемы BGP возникают по многочисленным причинам:
Нет надежного плана обеспечения безопасности
Ошибки перераспределения
Опечатки
Преступное намерение
Наиболее распространенным фактором является человеческая ошибка.
Криптографическая модель RPKI обеспечивает аутентификацию владельца через открытый ключ и инфраструктуру сертификатов без наличия в них идентифицирующей информации. Сертификаты добавляют уровень сетевой безопасности к префиксам IPv4 и IPv6. Сертификаты RPKI продлеваются каждый год. HTTP использует аналогичное шифрование для защиты веб-страниц.
Хотя весь путь не защищен, RPKI проверяет идентичность источника и предоставляет способ подтвердить, что они являются теми, кем они являются. RPKI является шагом в обеспечении безопасности в маршрутизации BGP, где мы знаем происхождение входящей информации и кто владеет каким пространством.
Широкое распространение делает его еще более эффективным в предотвращении угонов в целом.
Как работает RPKI?
RIR (Regional Internet Registry) обеспечивает корневое доверие в модели криптографии RPKI. IANA (Internet Assigned Numbers Authority) является частью ICANN (Internet Corporation for Assigned Names and Numbers), которая владеет адресными пространствами IPv4 и IPv6.
IANA распределяет порции IP пространства для RIR. Локальные RIR затем распределяют пространство IP для сетей, которые далее распределяют для сетей меньшего размера. Этот путь создает доверенную цепочку в сертификатах подписи. Регионы RIR делятся на пять географических районов:
ROA
Заключительной частью цепочки является ROA (Route Origin Authorization - авторизация источника маршрута). ROA представляет собой простой документ с двумя частями информации:
Какой маршрут и максимальная длина.
AS, объявившая маршрут.
Например, если AS65005 объявляет маршрут в диапазоне от 1.0.0.0/8 до 1.0.0.0/12, ROA содержит область и идентификатор AS65005, проверяя, кто является реальным владельцем информации с полным доверием.
Каждая ROA специфична для каждого из существующих RIR.
Как развертывается RPKI?
"P" в RPKI означает, что сертификаты и ROA доступны в публичных (public) хранилищах. Эта информация используется для формирования списков префиксов, которые относятся к конкретному ASN.
Подписи сертификатов и срок действия ROA проверяются каждой сетью независимо. Если какой-либо из следующих ошибок завершается неуспешно, ROA игнорируется:
Дата начала или дата окончания ROA и привязки сертификатов к корню находятся в прошлом или будущем.
Любая из подписей недействительна или отозвана.
Все ROA, которые прошли тест сохраняются в списке проверенных. Фильтр генерируется и выгружается на маршрутизаторы на основе проверенного списка кэша. Маршрутизаторы проверяют объявления BGP через фильтр и получает один из трех результатов:
Действительное - ROA присутствует. Длина префикса и номер AS совпадают.
Недопустимое - присутствует ROA. Длина префикса или номер AS не совпадают.
Не найдено или неизвестно - ROA отсутствует.
Маршрутизатор действует на основе состояния префикса, сгенерированного фильтром.
Подпись префиксов
RIR предлагают онлайн-инструменты для подписи префиксов. При этом префикс и длина префикса связываются с AS. После подписания префикса другие пользователи, реализовавшие проверку RPKI, могут проверить префиксы.
Подписание сертификата предотвращает захват префиксов (намеренно или непреднамеренно). Подписанные сертификаты являются ядром ROA. RPKI не предлагает проверки пути, и атаки «человек в середине» по-прежнему возможны.
Проверка префиксов
Реализация проверки зависит от сведений о сети. Общие шаги при настройке сети для проверки префиксов:
Установка средств проверки RPKI - программное обеспечение, которое извлекает данные RPKI из всех реестров маршрутизации Интернет (IRR) и проверяет подписи.
Настройка проверки на пограничных маршрутизаторах с помощью средства проверки маршрута - маршрутизаторы заполняют кэш проверки комбинациями проверенных префиксов, длин префиксов и исходных ASN.
Реализация фильтров BGP для внешних сеансов BGP - добавление политики для всех сеансов BGP (одноранговых, транзитных и клиентов) для отклонения любого префикса, который является недопустимым с точки зрения RPKI.
Заключение
RPKI предлагает дополнительный уровень в защите BGP маршрутизации. Большинство маршрутизаторов имеют встроенные возможности проверки и развертывания RPKI.