12610
Обучающий канал по сетевому и системному администрированию. Сотрудничество: @dad_admin Биржа: https://telega.in/c/networkadm РКН: https://bit.ly/4ioc61C
Как спустить миллионы ИТ-бюджета на апдейт серверной впустую? Да легко!
Покупаете оборудование, внедряете ПО, а первоначальная проблема так и не решена. Всё продолжает тормозить, те же простои в сервисах, и безопасность - на нуле.
А вот чтобы избежать такого провала - надо решать эту задачу с надежным партнером-интегратором, который делал это уже не раз, как Константин Сизов.
Константин работает в ИТ невообразимых 17 лет, и всё это время строит серверные инфраструктуры. Да ещё и защищает их от киберугроз. Сразу. By design.
В своем блоге «Давайте об IT» он простыми словами рассказывает о том как построить у себя крутую серверную инфраструктуру и делится реальным опытом импортозамещения в ЦОДе.
Так что подписывайтесь прямо сейчас, такой полезный опыт и такую живую подачу редко встретишь:
@lets_about_it
#реклама
О рекламодателе
🔥dad_admin&utm_term=phystech">Прими участие в Хакатоне от ИТ-холдинга Т1 в Новосибирске и поборись за призовой фонд 800 000 рублей!
Когда: 23–26 октября
Формат: онлайн + финал на площадке
Участвуй, если ты:
🔹обучаешься на технической или ИТ-специальности;
🔹развиваешься в направлении разработки, аналитики, CV, ML или DevOps;
🔹сможешь быть в Новосибирске 26 октября.
Выбери свой кейс:
✴️Цифровой дресс-код: фон, который выделяет вас. Создай локальный ML-модуль сегментации видео и генератор персонализированных фонов.
✴️CodeMetrics: метрики, которые помогают расти. Разработай систему автооценки эффективности команд через анализ Git-метрик.
Все надоело и пропал интерес, чувствуешь себя амебой и хочется только залипать в телефоне. Бывает?
Homo Manifestans — канал для айтишников, у которых периодически опускаются руки и отключается мозг, ибо переработки и постоянная тревожность не приводят к другим исходам 🤗
✓ Как научиться отвлекаться от работы и отдыхать?
✓ Как совместить кучу рабочих задач и время с семьей?
✓ Как справиться с прокрастинацией?
✓ Как не растерять запал, даже если начальник и коллеги 💩 и кажется, что ничего не выходит?
Подписывайтесь на канал @vadimpetrovpsi и научитесь работать без упахивания, выгорания и ущерба для личной жизни!
Псс. Заходите в закреп — там много полезного, и даже бесплатный мини-курс по выходу из апатии:
👉 /channel/+kAvguZoxBUM2ZGYy
Классическая виртуализация и контейнеры под управлением Kubernetes
Команда Deckhouse выпустила релиз платформы виртуализации (Deckhouse Virtualization Platform) версии 1.0, готовой к самым требовательным продакшен-нагрузкам. В основе платформы лежит KubeVirt. Был переработан сетевой стек и повышена производительность, добавлена полноценная система мониторинга, а вся сложность скрыта «под капотом».
DVP закрывает ключевые требования для реального продакшена:
— поддержка VLAN, сетевая мультитенантность и несколько интерфейсов для одной ВМ;
— высокая доступность. Живая миграция между узлами кластера без остановки;
— бэкапы и экспорт дисков без агентов внутри гостевой ОС;
— управление через API или интуитивный веб-интерфейс.
Протестировать DVP можно бесплатно в Open Source-платформе DKP CE. Она позволяет управлять через веб-интерфейс до 1000 серверов и 50 000 виртуальных машин, поддерживая основные типы хранилищ (NFS, Ceph и др.).
Для решения enterprise-задач рекомендуем получить консультацию на сайте.
Мониторинг реального PPS (Packets Per Second) на Linux
Когда мы думаем о производительности сети, обычно смотрим на Mbps или Gbps.
Но для диагностики и оптимизации сетевых интерфейсов не менее важен PPS — количество пакетов в секунду, которое проходит через сетевую карту.
Особенно критично для систем с высокой нагрузкой: VoIP, микросервисы, сетевые функции (NFV) или DPDK-приложения.
Простые способы мониторинга
1️⃣ethtool — статусы NICethtool -S eth0 | grep -i pack
Выведет счётчики, включая rx_packets и tx_packets. Снимайте их с интервалом в секунду, чтобы видеть PPS:
watch -n 1 "ethtool -S eth0 | grep -i pack"
ip -s link show eth0
sudo apt install sysstat
sar -n DEV 1 10
sudo tcpdump -i eth0 udp port 5060 -nn -c 1000
Простой rate-limit на Linux с помощью tc
Иногда нужно ограничить скорость — например, чтобы протестировать приложение при «медленном интернете» или эмулировать канал клиента.
Делается это очень просто через встроенный в Linux traffic control (tc).
Настройка TBF (Token Bucket Filter)
Допустим, у нас есть интерфейс eth0, и мы хотим ограничить его до 10 Мбит/с:
# Очистим старые правила
sudo tc qdisc del dev eth0 root 2>/dev/null
# Задаем ограничение
sudo tc qdisc add dev eth0 root tbf rate 10mbit burst 32kbit latency 400ms
tc -s qdisc show dev eth0
sudo tc qdisc del dev eth0 root
Где «зависает» TCP-коннект?
Иногда приложение жалуется «не подключается», а понять, на каком этапе застрял TCP, сложно.
В Linux помогает ss — современная замена netstat.
Проверка стадий соединений:
# Пакет SYN ушёл, но ответа нет
ss -o state syn-sent
# Сервер получил SYN, ответил SYN-ACK, ждёт подтверждения
ss -o state syn-recv
# Соединение установлено
ss -o state established
VLAN и Bridge поверх MACsec: сегментация защищённого трафика
После того как MACsec поднят и трафик шифруется, часто возникает задача разделить сеть на несколько VLAN или подключить несколько хостов через L2-бридж.
Linux позволяет сделать это без лишнего оборудования.
1️⃣Создание VLAN на MACsec-интерфейсе
Допустим, нам нужно два сегмента — 10 и 20. На сервере:
ip link add link macsec0 name macsec0.10 type vlan id 10
ip addr add 192.168.10.1/24 dev macsec0.10
ip link set macsec0.10 up
ip link add link macsec0 name macsec0.20 type vlan id 20
ip addr add 192.168.20.1/24 dev macsec0.20
ip link set macsec0.20 up
ip link add name br-macsec type bridge
ip link set macsec0 master br-macsec
ip link set eth1 master br-macsec
ip link set eth2 master br-macsec
ip link set br-macsec up
ping 192.168.10.2 -I macsec0.10
ping 192.168.20.2 -I macsec0.20
ping 192.168.10.3 -I br-macsec
Эмуляция RPL-сети на Linux через Docker Compose
Цель — поднять небольшую IoT-сеть с 5 узлами, построить DAG и проверить маршрутизацию.
Docker Compose конфигурация
Создаём файл docker-compose.yml:
version: '3.9'
services:
rpl-node1:
image: ubuntu:22.04
container_name: rpl-node1
privileged: true
network_mode: "bridge"
command: bash -c "apt update && apt install -y iproute2 iputils-ping rpl-tools && sleep infinity"
rpl-node2:
image: ubuntu:22.04
container_name: rpl-node2
privileged: true
network_mode: "bridge"
command: bash -c "apt update && apt install -y iproute2 iputils-ping rpl-tools && sleep infinity"
rpl-node3:
image: ubuntu:22.04
container_name: rpl-node3
privileged: true
network_mode: "bridge"
command: bash -c "apt update && apt install -y iproute2 iputils-ping rpl-tools && sleep infinity"
rpl-node4:
image: ubuntu:22.04
container_name: rpl-node4
privileged: true
network_mode: "bridge"
command: bash -c "apt update && apt install -y iproute2 iputils-ping rpl-tools && sleep infinity"
rpl-node5:
image: ubuntu:22.04
container_name: rpl-node5
privileged: true
network_mode: "bridge"
command: bash -c "apt update && apt install -y iproute2 iputils-ping rpl-tools && sleep infinity"
ip link add veth1 type veth peer name veth1-peer
ip addr add 2001:db8:1::1/64 dev veth1
ip link set veth1 up
ip link set veth1-peer netns <container> # подключаем к соседнему контейнеру
rpld -i veth1 -r
rpld -i veth2
rpld -i veth3
rpld -i veth4
rpld -i veth1
rpld -i veth2
rplctl -i veth1 show
ping6 2001:db8:1::2 -I veth1
RPL для IoT-сетей: эмуляция на Linux
RPL (Routing Protocol for Low-Power and Lossy Networks) — это протокол маршрутизации, созданный для сетей с низким энергопотреблением, высокой потерей пакетов и ограниченными ресурсами устройств.
Эмуляция RPL в Linux позволяет понять работу протокола без покупки сенсорных устройств.
Подготовка Linux для эмуляции
Мы будем использовать Contiki-NG или Cooja для симуляции IoT-устройств, но можно собрать минимальную тестовую сеть на обычных Linux-машинах с помощью утилит rpld или rpl-tools.
1️⃣Установите необходимые пакеты:
sudo apt install git build-essential python3 python3-pip
git clone https://github.com/contiki-ng/contiki-ng.git
cd contiki-ng
sudo ip link add veth0 type veth peer name veth1
sudo ip addr add 2001:db8:1::1/64 dev veth0
sudo ip addr add 2001:db8:1::2/64 dev veth1
sudo ip link set veth0 up
sudo ip link set veth1 up
sudo rpld -i veth0 -r
sudo rpld -i veth1
rplctl -i veth0 show
rplctl -i veth1 show
ping6 2001:db8:1::2 -I veth0
Ethernet OAM (802.1ag) с Linux и FRRouting
Ethernet OAM (Operations, Administration and Maintenance) по стандарту 802.1ag позволяет контролировать доступность и состояние линков на уровне L2.
На Linux можно использовать утилиты eth-oam для генерации OAM-сообщений (Continuity Check Messages, Loopback, Link Trace).
Пример проверки линка:
# Проверка доступности линка между хостами через CFM Continuity Check
eth-oam-ccm -i eth0 -m 1 -t 10
# Loopback запрос к соседнему устройству
eth-oam-lb -i eth0 -m 1
# Trace путь до узла через L2
eth-oam-lt -i eth0 -m 1 -d <MAC-адрес-соседа>
Overlay-сеть с WireGuard и BGP
Цель: объединить несколько удалённых площадок в одну защищённую L3-сеть с автоматической маршрутизацией без десятков статических туннелей.
Архитектура
Каждая площадка — Linux-сервер с WireGuard и FRRouting (или Bird).
WireGuard создаёт защищённые туннели между площадками, FRRouting обменивается маршрутами по BGP. Получается mesh-топология: каждый узел видит всех, а маршруты строятся автоматически.
Схематично:
[Site A] 192.168.10.0/24
wg0: 10.10.0.1
|
BGP AS65001
/ \
/ \
[Site B] 192.168.20.0 [Site C] 192.168.30.0
wg0: 10.10.0.2 wg0: 10.10.0.3
BGP AS65002 BGP AS65003
[Interface]
Address = 10.10.0.1/32
PrivateKey = <keyA>
ListenPort = 51820
[Peer]
PublicKey = <keyB>
AllowedIPs = 10.10.0.2/32
Endpoint = B:51820
PersistentKeepalive = 25
[Peer]
PublicKey = <keyC>
AllowedIPs = 10.10.0.3/32
Endpoint = C:51820
PersistentKeepalive = 25
router bgp 65001
bgp router-id 10.10.0.1
neighbor 10.10.0.2 remote-as 65002
neighbor 10.10.0.3 remote-as 65003
network 192.168.10.0/24
🔫🔫🔫 день, а это означает, что пора поздравлять вас с днём программиста!
Желаю вам, чтобы Ваша зп росла быстрее, чем количество тасок. И пусть в жизни, как в коде, всегда находится правильный алгоритм! 🔫
N.A. ℹ️ Help
Легкая настройка NTP на MikroTik
NTP (Network Time Protocol) синхронизирует время на вашем устройстве с публичным или приватным сервером.
Точное время важно для туннелей IPSec и Kerberos — при рассинхронизации ключи истекают быстрее, а туннели могут падать.
/system ntp client set enabled=yes server-dns-names=time.google.com,0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org,3.pool.ntp.org
/system clock set time-zone-name=Europe/Moscow
IP-in-IP туннель для тестовой overlay-сети: поднимаем и проверяем
Иногда хочется объединить два Linux-хоста в одну виртуальную сеть через интернет или тестовую лабораторию, не используя тяжёлые оверлейные решения вроде VXLAN или WireGuard.
Для этого идеально подходит IP-in-IP — простой механизм инкапсуляции IPv4-пакетов в другие IPv4-пакеты.
Как это работает?
IP-in-IP добавляет дополнительный IPv4-заголовок к каждому пакету.
10.0.0.110.0.0.2ip tunnel add tun0 mode ipip remote 10.0.0.2 local 10.0.0.1 ttl 64
ip link set tun0 up
ip addr add 192.168.100.1/24 dev tun0
ip tunnel add tun0 mode ipip remote 10.0.0.1 local 10.0.0.2 ttl 64
ip link set tun0 up
ip addr add 192.168.100.2/24 dev tun0
ping 192.168.100.2
192.168.100.0/24 видна с обеих сторон.ping -M do -s 1400 192.168.100.2
ip link set dev tun0 mtu 1400
ip route get 192.168.100.2
traceroute -n 192.168.100.2
Виртуализация – зачем она нужна?
Современные серверы и рабочие станции часто используют лишь 15-20% своих ресурсов.
Это значит, что значительная часть мощностей простаивает, но при этом требует затрат на электроэнергию, обслуживание и место в серверных.
Отслеживание и анализ ARP-трафика с tcpdump
Чтобы понять, как ARP-запросы и ответы реально ходят по сети, можно использовать tcpdump.
Это особенно полезно, если нужно проверить, доходит ли пакет до нужного интерфейса или где теряется.
Примеры:
Смотрим все ARP-пакеты на интерфейсе eth0:
sudo tcpdump -i eth0 arp
sudo tcpdump -i eth0 arp and dst host 192.168.1.1
ARPing для диагностики сетевых проблем
Обычный ping работает на уровне IP, но если есть подозрение, что проблема на канальном уровне (L2), пригодится arping.
Он напрямую отправляет ARP-запросы и показывает, отвечает ли сосед своим MAC-адресом.
Примеры использования:
Проверка доступности соседа по Ethernet:
arping -I eth0 192.168.1.1
arping -I eth0 -D 192.168.1.10
arping -c 5 -I eth0 192.168.1.1
arping -I eth0 -f 192.168.1.1
Быстрая проверка RPF (reverse path filtering)
Linux иногда «мешает» при тестах, когда трафик приходит на один интерфейс, а ответ уходит через другой.
Причина часто в включённом RPF — ядро проверяет, совпадает ли путь ответа с интерфейсом, на котором пришёл пакет.
cat /proc/sys/net/ipv4/conf/all/rp_filter
cat /proc/sys/net/ipv4/conf/eth0/rp_filter
sysctl -w net.ipv4.conf.eth0.rp_filter=0
Собрали топ-30 бесплатных курсов для Python-разработчиков 🐍
Эксперты Академии Selectel собрали более 30 онлайн-программ для IT-специалистов с тестами и заданиями для проверки знаний. Среди них вы найдете:
🔹 обучающие подборки по программированию на Go и JavaScript;
🔹 гайды и инструкции для создания собственных pet-проектов на Python, Flask и Django;
🔹 курсы для тех, кто хочет освоить новый навык — Linux или работу с PostgreSQL: в процессе учебы вы получите промокод для практики в панели управления Selectel, а после — сертификат о прохождении.
Курсы доступны в любое время, проходите их в комфортном темпе. А главное — все бесплатные!
Выберите нужную программу и начните обучение прямо сейчас ➡️
Реклама. АО "Селектел". erid:2W5zFGhpZFW
В нашем канале нет историй про вайти вайти за 2 недели и зарплату 300к/наносек.
Только свежие мемы, костыли и коллективная терапия от Двоичного Кота.
Если узнал себя, то ты знаешь, что делать (подписаться).
Если не узнал, то тоже подпишись. 😌
🐱 /start @binarcat
⚡️ На Stepik вышел курс по Linux
Внутри 20+ модулей: от установки Linux и работы с файлами до сетей, прав, дисков, процессов, автоматизации на Bash и многого другого. Всё сразу закрепляется на практике (200+ заданий с автопроверкой).
Материал подаётся понятным языком, шаг за шагом, на реальных примерах и с наглядными схемами.
После прохождения вы получите сертификат, который можно добавить в резюме.
Есть бесплатные демо-уроки для ознакомления. В ближайшие 48ч курс доступен со скидкой 20% по промокоду «LINUX_ADMIN»: открыть курс на Stepik
👩💻 LinuxCamp — канал системного разработчика, который поможет тебе освоить Linux и DevOps на профессиональном уровне!
— Уникальные гайды по администрированию Linux
— Продвинутые техники и рекомендации по работе в Bash
— Подробные статьи о внутреннем устройстве операционных систем
Подписывайся: @linuxcamp_tg
IPv6: всё, что нужно знать сетевому инженеру
Открытый урок в рамках курса "Network Engineer. Professional"
Рассмотрим межсетевой протокол IPv6, который в конечном итоге придет на смену IPv4. Знакомство не будет долгим или сложным, но поможет Вам ближе узнать IPv6, выполнить базовые настройки протокола и подготовиться к выполнению домашних работ с его использованием на курсе Сетевой инженер от ОТУС.
На занятии:
-Разберем основы протокола IPv6, сравним его с IPv4.
-Познакомимся со структурой и принципами работы IPv6.
-Произведем настройку сети для работы с этим протоколом.
Познакомившись с протоколом IPv6, технологией его реализации, вы сможете начать использовать данную технологию, которая необходима при реализации домашних работ на курсе Сетевой инженер, что позволит в будущем полноценно взаимодействовать с данным протоколом
Урок будет интересен слушателям, желающим развить карьеру сетевого специалиста. Он позволит познакомиться с протоколом IPv6.
👉 Регистрация и подробности о курсе Network Engineer. Professional
https://otus.pw/XofW/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
🎥 Вебинар по Linux: «Введение в Git: основы работы с системой контроля версий»
☝️ На вебинаре вы узнаете:
- Что такое Git и зачем он нужен системным администраторам и разработчикам
- Основные команды для работы с репозиториями
- Как создавать коммиты, отслеживать изменения и управлять историей проекта
- Типовые сценарии использования Git в повседневной работе
💪 В результате вебинара вы:
- Научитесь создавать репозитории и управлять ими
- Сможете отслеживать и сохранять изменения в проектах
- Попробуете основные команды Git на практике
- Поймёте, как Git помогает в командной работе и администрировании
🎁 Все участники вебинара получат специальные условия на полное обучение курса «Administrator Linux. Basic»
👉 Для участия зарегистрируйтесь: https://otus.pw/791P/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
SRv6 демо на Linux: пошаговый пример
Какая задача: показать, как с помощью SRv6 можно заставить IPv6-пакеты идти по определённому маршруту, минуя стандартный алгоритм выбора пути.
Это основа для traffic engineering и современных overlay-сетей.
Схема
[ Host A ] ---- [ Router 1 ] ---- [ Router 2 ] ---- [ Host B ]
Host A: 2001:db8:a::1
Router1: 2001:db8:1::1
Router2: 2001:db8:2::1
Host B: 2001:db8:b::1
sysctl -w net.ipv6.conf.all.seg6_enabled=1
ip -6 route add 2001:db8:b::1/128 encap seg6 mode encap segs 2001:db8:2::1 dev eth0
ping6 -c 3 2001:db8:b::1
tcpdump -i eth0 -n -vv ip6
ip -6 route add 2001:db8:b::1/128 encap seg6 mode encap \
segs 2001:db8:2::1,2001:db8:3::1 dev eth0
Схема построения overlay-сети с WireGuard и BGP
Наша цель: объединить три удалённых площадки (A, B, C) в одну защищённую L3-сеть с маршрутизацией между всеми участниками без головной боли от десятков туннелей.
Архитектура
• Каждая площадка — это нода с Linux-сервером.
• На каждой ноде:
• работает WireGuard — создает защищённый туннель;
• крутится FRRouting (или Bird) — обменивается маршрутами с соседями по BGP;
• Получается mesh-топология, где каждый может видеть всех, и BGP сам решает, куда как идти.
Схематично:
[ Site A ]
192.168.10.0/24
|
[ wg0: 10.10.0.1 ]
|
BGP (AS65001)
/ \
/ \
/ \
[ Site B ]------[ Site C ]
192.168.20.0 192.168.30.0
wg0: 10.10.0.2 wg0: 10.10.0.3
BGP: AS65002 BGP: AS65003
[Interface]
Address = 10.10.0.1/32
PrivateKey = <keyA>
ListenPort = 51820
[Peer]
PublicKey = <keyB>
AllowedIPs = 10.10.0.2/32
Endpoint = B:51820
PersistentKeepalive = 25
[Peer]
PublicKey = <keyC>
AllowedIPs = 10.10.0.3/32
Endpoint = C:51820
PersistentKeepalive = 25
router bgp 65001
bgp router-id 10.10.0.1
neighbor 10.10.0.2 remote-as 65002
neighbor 10.10.0.3 remote-as 65003
network 192.168.10.0/24
NTP для больших сетей MikroTik: несколько серверов и failover
В корпоративной или разветвленной сети важно не просто синхронизировать время на одном роутере, а обеспечить резервирование и согласованность времени на всех устройствах.
⏺Несколько NTP-серверов
Лучше указывать сразу несколько серверов, чтобы при недоступности одного синхронизация продолжалась с другим:
/system ntp client set enabled=yes primary-ntp=192.168.1.10 secondary-ntp=192.168.1.11 server-dns-names=0.pool.ntp.org,1.pool.ntp.org
/system ntp client print
/system ntp servers print
Канал про Kubernetes без ванильной теории. Только хардкор из бигтеха, опыт, набитый на реальных продах, щепотка IT-юмора и, конечно, мой кот Маркус — у него чуйка на баги.
Я — Виталий Лихачев, SRE в крупном голландском тревелтехе.
У себя на канале делюсь:
ℹ️ Мясом по Kubernetes: как оно на самом деле работает (и фейлится) в больших конторах.
ℹ️ Боевыми лайфхаками и граблями, собранными в энтерпрайзных траншеях.
ℹ️ Регулярными вебинарами и прямыми эфирами — живое общение, ответы на каверзные вопросы.
Если K8s для тебя – это не просто набор букв, а ежедневная задача (и боль, разумеется), то welcome, обсудим конфиги и не только.
➡️Канал «Kubernetes и кот Лихачева»
⚡️ RECURA — один из лучших каналов для разработчиков и программистов.
Канал ведёт практикующий DevOps-инженер, который ежедневно публикует:
• код, повышающий эффективность разработки
• лайфхаки и полезные трюки для Bash и Linux
• готовые решения для Docker и Kubernetes
• инструменты и утилиты для автоматизации
• полезные материалы и советы по информационной безопасности
Подпишись, чтобы быть востребованным специалистом.