2499
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
ICANN пытается разбираться в сортах нежелательной почты (в pdf). Наверное не новость для тех кто давно занимается почтой, но основная масса нежелательной почты летит по весьма предсказуемым адресам, например <название города>@домен, или <должность>@домен, или, наверное особенность зоны .RU, на транслит sekretar, zakaz, pochta. Не используйте их или сразу заблокируйте если принимаете почту на любые адреса, и тогда SpamAssassin будет попроще.
Лучший сервис - сервис незаметный, по большому счёту я так могу сказать про своего домашнего провайдера, отсутствие проблем и возможность всем нужным управлять из личного кабинета (хотя его организация с каждым годом становится всё хуже и хуже) - это всё что нужно, лично мне. Я даже плачу раз в год по специальной опции, которая помимо того что приносит скидку, дополнительно страхует от поднятия цены на тариф за этот самый год.
Но в этом году ДОМ.RU решил сделать что-то странное, на мой взгляд, и упразднил все тарифы со скоростями меньше 100Мбит/c, я не знаю точную дату, когда-то в 2023. При том минимальный тариф 200Мбит/c, а 100Мбит/c по той же цене! что и 200 можно подключить только через общение с ТП и зачем он тогда? Мало того что тарифная линейка только такая, цены на все старые тарифы выросли выше, а порой и гораздо выше текущих, что говорит о целенаправленном выдавливании абонентов в сторону новых скоростных тарифов.
Казалось бы, если такое решение принято, то инфраструктура к этому должна быть готова, но ведь нет, столкнувшись дважды (что конечно мало значимо, но всё же) с ситуацией смены тарифа за последнюю неделю в обоих случаях пришлось менять кабель и в обоих случаях коммутатор куда подключали новый кабель был не гигабитный, выискивали свободные гигабитные порты из тех немногих что там были. Вся остальная масса подключений до сих пор оставалась на 100Мбит/c портах.
Моя стратегия домашнего Интернет подключения - минимум цены, он мне не нужен для работы, для игрушек, для стриминга. Качество это не только скорость и не столько скорость и любой провайдер имеет одинаковое качество обслуживания на дешёвых и дорогих тарифах, плохой - плохое, хороший - хорошее, разница только в скорости, а мне она не нужна. Но теперь у меня 200Мбит/c и это самое дешёвое в предлагаемой мне провайдером линейке.
Я теряюсь, чтобы объяснить хитрый план который преследовался оператором, не оставившим ни одного 100Мбит/c тарифа. Возможно, это действительно выделяет как-то провайдера на фоне других: "Минимальная скорость 200Мбит/c!", возможно это желание заработать на продажах роутеров и стоимости переключения на гигабитный кабель, которая составляет 100 рублей, может быть чисто техническая проблема для чего абонентам обязательно надо гигабитное окончание. В чём я точно уверен это сгенерирует массу визитов монтажников к абонентам, на мой взгляд совсем не нужных, для которых как и мне 50Мбит/c Интернета более чем достаточно.
Но мне этого не видно, а то что действительно видно это то что монтажники по прежнему абсолютно уверенные в себе люди, которые флюком и обжимкой решают любые проблемы, даже несуществующие.
Как быть хорошим пиринговым партнёром: будьте открытым, не забывайте про защиту RPKI/ROV и антиспуфинг, обеспечьте сервис. Вещи о которых говорят давно и много, но если говорят, значит всё не так радужно. Главный момент и в нём же ответ - взаимодействие.
Читать полностью…
Использование BGP LLGR из опубликованного недавно RFC9494. Хочется назвать это костылём и очередной тонкой подстройкой за другой тонкой подстройкой, но пожалуй не буду, выглядит полезно для некоторых случаев когда сетевая связность остаётся, а BGP перестаёт работать. Запоминаем два новых well-known BGP community: 65535:6 LLGR_STALE и 65535:7 NO_LLGR.
Если у вас более или менее нагруженный сервис всегда пройдитесь и посмотрите на таймеры всех задействованных для этого сервиса механизмов, в данном случае PF. Всё для чего поддерживаются сессии должно их максимально быстро и качественно освобождать, будь то firewall или NAT.
Читать полностью…
С другой стороны океана пока только за корпоративный IPv6 only агитируют, в любом случае это новый уровень когда не лишь бы было, а стремимся делать только так. Но без NAT64/DNS64 никуда.
Про допущения проверок цепочек TLS сертификатов в браузерах, когда цепочек-то и нет, а проверки проходят.
Читать полностью…
Russ White про инженеров вообще и сетевых инженеров в частности в двух частях. Сети никуда не делись, пусть границы компетенций немного и размылись это не страшно и даже полезно. Но, быть инженером - это решать проблемы, не свои, а потребителей, а уж как их решать, настраивать BGP или не настраивать, дело десятое.
Эволюция покрытия серверов тестирования скорости Speedtest от Ookla за последние три года. Много про Россию, как пример влияния геополитических событий, когда количество серверов сократилось, при том что почти везде их количество растёт. Про внутренние запреты Ookla РКНом нету, называются другие причины - санкции против телекомов. В Японии тоже сократилось, но там Ookla сама постаралась. А больше всего серверов в Бразилии и динамика роста больше всего в Бразилии, в России хоть и стало меньше, но всё равно в пятёрке.
Читать полностью…
Cisco, Juniper, Huawei, Mikrotik - самые распространённые маршрутизаторы в Интернет и Cisco больше за явным преимуществом. Использовались данные трассировок из Ripe Atlas и комбинации Cisco-Juniper или по отдельности только Cisco и только Juniper самые популярные. Тип маршрутизатора определяли по сигнатурам, и приводимые данные это то, что смогли определить. Подробности метода в публикациях, там же можно попросить сырые данные.
Читать полностью…
Настройка авторизации по RADIUS на SR Linux, вроде как и везде, есть роли сразу из коробки.
Читать полностью…
Семь шагов в семи статьях от Russ White от идеи до RFC.
Прогресс в скорости решения задач оптимизации в линейном программировании с 1989 года составил 20 миллиардов раз. 60 секунд на решение в 2023 и 38000 лет для той же задачи в 1989 году, но конечно её в принципе невозможно было посчитать из-за отсутствия необходимых ресурсов. И это не только рост производительности компьютеров, но и производительности методов решения. В других задачах, может и не так хорошо, а может и ещё лучше, но точно прогресс не стоит на месте. Мы определённо в будущем, в бесконечно далёком от даже 1989 года.
Читать полностью…
И ещё традиционной аналитики от Geoff Huston по размерам таблиц BGP и их обновлениям. И хотя в заключении говорится о неопределённости и сложности долгосрочных прогнозов, в самом начале говорится следующее:
The year 2023 marks a significant point in the evolution of the Internet where the strong growth numbers that were a constant feature of the past thirty years are simply not present in the data. Not only is the Internet’s growth slowing down significantly, but in the IPv4 network it appears to be shrinking, which is unprecedented in the brief history of the Internet to date.
Внутри гораздо больше: выделяются отдельные периоды, ищутся причины, экстраполируются текущие тренды. Миру немного, уже года три-четыре, не до Интернета, но всё может поменяться.
"For its part, ICBC has told users that its US division is back online and operational, the people said. One person familiar with the hack and investigation said a reason the bank could get back online quickly was that a key part of its trading system was unaffected by the attack — a server that was more than 20 years old, made by now-defunct IT equipment maker Novell Inc.. That server contained much of the bank’s trading data and capabilities and is so old that LockBit’s ransomware didn’t work on it, the person said."
Энтузиасты открыли ASCII-кинотеатр!
Все фильмы показывают в ASCII-арте. Чтобы посмотреть, надо набрать в терминале:
ssh -o StrictHostKeyChecking=no watch.ascii.theater
Если прикрутить Pytest к Batfish то может получиться очень даже не плохо, но сначала надо конечно озаботится и сделать снимок своей сети в Batfish. А после этого всё просто: делаем изменения, прогоняем тесты, в случае успешности выкатываем на прод, скрещиваем пальцы и смотрим ко скольким железкам придётся ехать восстанавливать доступ.
Читать полностью…
Мне кажется это плохая практика, при том что я сам постоянно использую такой подход и постоянно напарываюсь на отсутствие команд в истории, когда нахожусь в процессе какого-то проекта. Но в конечном счёте, то что должно приобрести законченный вид я стараюсь придать законченный вид в виде скрипта.
История это удобно и быстро, но если она остаётся навсегда, то из навыков остаётся только нажимание клавиш вверх и вниз для поиска нужного. Поэтому если что-то потерялось, я набиваю снова, порой эффективней или проще чем было, или нет, но с неизменно успешным результатом - такой способ повторения знаний, постоянно оставаясь в тонусе. Если тебе что-то не было нужно 5 лет, то это повод обновить не только практику, но и теорию углубившись в документацию инструмента и, возможно, узнать что-то новое.
❗В ближайшее время доступ к сайтам в зоне .RU будет восстановлен
Возникла техническая проблема, затронувшая зону .RU, связанная с глобальной инфраструктурой DNSSEC*. Специалисты Технического центра Интернет и МСК-IX работают над её устранением.
В настоящее время для абонентов Национальной системы доменных имен проблема решена. Идут восстановительные работы. Мы будем держать вас в курсе ситуации.
*DNSSEC — это набор расширений протокола DNS, благодаря которому гарантируется целостность и достоверность данных
@mintsifry
Открыт сезон личных инженерных историй про Juniper, пока ещё HP не сделала своё дело. От Jeff McLaughlin изнутри и Antti Leimio снаружи.
Моя история началась с Netscreen, M7i и E120 и я в целом согласен что по настоящему хорошими продуктами у Juniper являются маршрутизаторы (M серия). Мне не удалось довести до ума инсталляцию с QFX, она как-то ещё работает, но инженеры с ним работающие сильно не в восторге от результата, выученный урок на будущее - коммутаторы должны оставаться только коммутаторами, даже если производитель добавил в них что-то ещё. То что у меня есть сейчас - SRX, он меня устраивает, после фазы принятия и обучения.
Не могу ничего сказать про HP, потому что не довелось поработать ни с чем из их продукции серьёзно, и уж тем более что будет с Juniper внутри HP, но мой личный опыт подсказывает, что покупки такого рода обычно кончаются уничтожением идентичности купленного.
Китай не разменивается по мелочам, хотя в рамках Китая может и мелочь, и строит города сразу и только на IPv6. По Википедии в 2020 году 1,2 миллиона населения.
Читать полностью…
Проценты мощности Wi-Fi в dBm в Windows: (percent / 2) – 100 = dBm
Зачем нужны знаки = в завершении base64 кодированной строки?
Читать полностью…
Alpine Linux во FreeBSD jail и пусть все видят кто тут главный. Вообще, после того когда я понял что Linux и *BSD не одно и то же, меня всегда удивляла вот эта поддержка Linux внутри FreeBSD, с другой стороны и Windows теперь там.
Читать полностью…
Рецепт быстрого Web сайта и не только - небольшой размер, всё в памяти, почти всё определяется статически, избавляемся от зависимостей и слоёв вроде БД и JS чтобы работать напрямую. Имея это, нам не так важны облачные сервисы.
На самом деле я понял, что, внезапно, нашёл отличную подборку мировой классики на английском, и уже не так важно как это всё устроено.
В Linux 6.7 впилили новый тип сетевого интерфейса - netkit c BPF фильтрами, с помощью которых можно провести оптимизацию для виртуальных машин, чтобы поскорее принять очевидное решение и два раза внутри сетевого стека трафик не гонять.
Сканирование IPv6 адресов теория и практика во второй части. Конечно, и все это признают, что сканирование в лоб работает плохо, но кто сказал что надо делать именно так. Человеческий фактор когда хочется упростить и повесить свой маршрутизатор на первый адрес в подсети, связанные ресурсы, вроде DNS сдающие все адреса с потрохами, математические методы предсказания действительных адресов - всё это поможет найти достаточно целей в вашей сети, чтобы волноваться и не думать что это невозможно. Да и сканеры подтянулись, поэтому инструментов достаточно.
Juniper новую фишку сделал для своих маршрутизаторов, сообщать в IPFIX причины сброса пакета, помимо тех что попали под ACL, например TTL дошёл до 0, или в MTU не влезли. В статье обзор и ссылка уже на документацию.
MPLS, VPNv4, RD и RT - вспоминаем что к чему и проверяем себя, что будет если забыть одну из частей пазла.
Читать полностью…