Cisco: Private VLAN для изоляции устройств

Private VLAN (PVLAN) — это механизм L2-изоляции внутри одного большого VLAN.

Используется там, где клиенты должны видеть интернет, но не видеть друг друга: отели, коворкинги, общественные сети.

Как это работает:

PVLAN делит один VLAN на подтипы:
⏺Primary VLAN — основной VLAN.
⏺Isolated VLAN — хосты не могут общаться между собой, только с promiscuous-портом.
⏺Promiscuous port — обычно uplink к маршрутизатору/фаерволу. Видит всех.

В итоге, 100 клиентов в одном VLAN → каждый полностью изолирован, без создания сотен отдельных VLAN.

⚙️ Конфигурация PVLAN на Cisco

1️⃣Создаём primary и isolated VLAN

vlan 100
 private-vlan primary

vlan 101
 private-vlan isolated

2️⃣Связываем их

vlan 100
 private-vlan association 101

3️⃣Настраиваем promiscuous порт (uplink)

interface Gi1/0/1
 switchport mode private-vlan promiscuous
 switchport private-vlan mapping 100 101

4️⃣Настраиваем обычные клиентские порты (isolated)

interface range Gi1/0/10 - 20
 switchport mode private-vlan host
 switchport private-vlan host-association 100 101

И финально проверяем

show vlan private-vlan
show interfaces switchport

N.A.

Читать полностью…

Почему сервис “умирает” после включения retry

Retry включили на клиенте или gateway, и вместо стабилизации получили рост нагрузки и ощущение деградации, хотя инфраструктура не менялась.

curl -v <url>



Сразу видно, что один пользовательский запрос начинает превращаться в несколько попыток. Они накладываются друг на друга и создают лишний трафик там, где его не было.

Дальше это проявляется как рост latency и “тяжёлые” ответы, даже если сервис формально не падает.

mtr <ip>



Иногда кажется, что проблема в сети, но фактически это сам retry разгоняет нагрузку при любых задержках.

Если посмотреть на уровень пакетов:

tcpdump -i <iface>



видно, как одинаковые запросы уходят пачками вместо одного нормального потока.

На HTTP уровне это превращается в повторяющиеся обращения к одному endpoint без необходимости.

curl -I <url>



И в итоге система деградирует не из-за ошибок, а из-за того, что retry усиливает любую задержку в несколько раз.

N.A.

Читать полностью…

Почему после добавления VLAN пропадает связь

Добавили VLAN, всё выглядит корректно, но хосты внезапно перестают видеть шлюз или друг друга. При этом линк “зелёный”, порты up, явных ошибок нет.

Проверка обычно начинается с того, что VLAN вообще существует и не потерялся на уровне коммутатора.

show vlan brief



Иногда уже здесь видно, что VLAN есть, но он фактически никуда не “приклеен” - нет активных портов или он не проходит дальше по сети.

Дальше почти всегда упирается в транк: VLAN создан, но между устройствами он просто не доходит.

show interfaces trunk



Частая ситуация - VLAN не в allowed list, и трафик физически режется на выходе, хотя локально всё выглядит нормально.

Если с транком всё ок, проверяется интерфейс с точки зрения реальной конфигурации, а не ожиданий.

show running-config interface Gi0/1



Иногда проблема всплывает в несовпадении native VLAN или в том, что один конец линка настроен иначе, чем другой.

Если есть L3, дальше смотрят SVI - и тут часто оказывается, что интерфейс просто не поднялся.

show ip interface brief | include Vlan



И если там down/down, VLAN как будто есть, но в маршрутизации он не участвует вообще.

Проверка маршрутов иногда быстро подтверждает картину.

show ip route connected



N.A.

Читать полностью…

В России можно посещать IT-мероприятия хоть каждый день: как оффлайн, так и онлайн

Но где их находить? Как узнавать о них раньше, чем когда все начнут выкладывать фотографии оттуда?

Переходите на канал IT-Мероприятия России. В нём каждый день анонсируются мероприятия со всех городов России

📆 в канале размещаются как онлайн, так и оффлайн мероприятия;
👩‍💻 можно найти ивенты по любому стеку: программирование, frontend-backend разработка, кибербезопасность, дата-аналитика, osint, devops и другие;
🎙 разнообразные форматы мероприятий: митапы с коллегами по цеху, конференции и вебинары с известными опытными специалистами, форумы и олимпиады от важных представителей индустрии и многое другое

А чтобы не искать по разным форумам и чатам новости о предстоящих ивентах:

🚀 IT-мероприятия России — подписывайся и будь в курсе всех предстоящих мероприятий!

Читать полностью…

Правильное Питание (ПП) коммутационного оборудования

Система резервного электроснабжения должна обеспечивать не просто бесперебойное, но правильное питание. ПП — как у зожников, только для электроприборов. Много есть неочевидных нюансов — и первые в мире ПП-ИБП, решающие все проблемы с плохим качеством электричества, делает Systeme Electric.

Тотальный онлайн-ЗОЖ — онлайн Защита от Отключений Железа. ПП-ИБП Systeme Electric с онлайн-топологией двойного преобразования обеспечат чистый синус, защитят от помех и скачков напряжения.

Повышенная БЖУ — Бесперебойность Жизненно-важных Устройств. Тянут нагрузку в 150% от номинальной. Система не рухнет в момент включения мощных потребителей (именно в это время возникают краткосрочные, но сильные перегрузки).

Настоящий суперфуд для оборудования — высочайший КПД 95%. Из-за этого ПП-ИБП Systeme Electric не перегреваются.

Самое полное ПП-меню — поддерживают все возможные интерфейсы и протоколы (EPO, SNMP, RS-485, RS-232, USB, RJ45/RJ11, EMBS). Не будет сложностей с подключением нового бесперебойника к существующему оборудованию.

Гарантия рекордная — 3 года — такую больше никто не дает.

Техподдержка 24/7 (в мессенджерах, днем и по телефону): после 6 — можно!

ПП-ИБП Systeme Electric — это не какой-то китайский электро-фастфуд. Это бывшее российское подразделение Schneider Electric, производителя легендарных APC. Технологии и лучшая команда инженеров те же самые — только вывеска новая (из-за евросанкций). Эти люди точно знают: на здоровье оборудования не экономят!

Первые в мире ПП-ИБП тут.

Читать полностью…

VXLAN vs MPLS vs VLAN design в датацентре

Три разных подхода к сегментации и масштабированию сети. Отличаются не только технологией, но и моделью построения всей инфраструктуры.

1️⃣VLAN design

VLAN - это классическая L2 сегментация через broadcast domain. Всё просто: разделили сеть на VLAN и связали их через trunk или L3 устройство.

Подходит для небольших и средних сетей, где важна простота и быстрый запуск.

Проблемы начинаются при масштабировании: рост количества VLAN, зависимость от STP и сложность расширения между сегментами и стойками.

show vlan brief
show interfaces trunk
show spanning-tree

2️⃣MPLS

MPLS использует label switching вместо чистого IP routing. Трафик идет по меткам, что позволяет строить масштабируемый core и управлять путями.

Часто используется в операторских сетях и больших backbone инфраструктурах, где важны контроль и предсказуемость.

Сложность выше за счет control-plane (LDP, RSVP, BGP) и более сложной диагностики.

show mpls forwarding-table
show mpls ldp neighbor
show ip route

3️⃣VXLAN

VXLAN строит overlay поверх IP сети. Ethernet кадры инкапсулируются в UDP и переносятся через L3 underlay.

Это основной подход для современных spine-leaf DC, где underlay остается простым IP routing, а логика сегментации уходит в overlay.

Минус - добавляется слой абстракции, который нужно дебажить вместе с underlay.

show nve peers
show nve vni
show bgp l2vpn evpn summary

N.A.

Читать полностью…

DNS кеш на уровне системы и «устаревшие» ответы

Сервис уже переехал, DNS запись обновлена, инфраструктура выглядит корректно. Но часть клиентов продолжает ходить на старый IP и поведение выглядит нестабильно.

В таких ситуациях проблема часто не в DNS как сервисе, а в том, что ответ уже зафиксирован ближе к клиенту.

Это может быть кеш ОС, systemd-resolved, браузера или самого приложения. Пока TTL не истечёт или кеш не сброшится, запросы продолжают уходить на старый адрес.

resolvectl status
resolvectl statistics

dig <domain>
nslookup <domain>

getent hosts <domain>

В реальной работе это чаще всего проявляется при миграциях сервисов, смене backend или переезде между датацентрами.

Сеть уже работает на новом IP, но часть трафика всё ещё живёт в старой картине из-за локального резолва.

N.A.

Читать полностью…

QoS surprises в multi-tenant сетях

Даже когда вроде всё настроено, трафик может терять приоритет. CoS на L2 и DSCP на L3 не совпадают, и на trunk или overlay это особенно заметно: пакеты проходят, но VoIP, видео и контрольные протоколы начинают тормозить.

Чтобы понять, где «теряется приоритет», полезно смотреть, как устройство обрабатывает QoS. Например на Cisco:

# Как классифицируются пакеты на интерфейсе
show mls qos interface Gi1/0/1
show policy-map interface Gi1/0/1

# Какие очереди и сколько пакетов дропается
show queueing interface Gi1/0/1

# Какие class-map и DSCP сопоставления настроены
show class-map
show policy-map

# Проверка QoS на VLAN
show vlan brief
show mls qos vlan 10

⏺Практика: согласовывать trust boundary между L2 и L3, следить за очередями и задержками для критичных VLAN. Даже маленький mismatch может превратить приоритетный трафик в «тормозной», а эти команды помогут быстро увидеть проблему и исправить её.

N.A.

Читать полностью…

Апгрейд канала не всегда ускоряет приложение

Увеличили линк с 1 Гбит/с до 10 Гбит/с, а скорость приложения почти не изменилась. Такое часто встречается, когда речь про один TCP-поток.

Дело не в канале, а в том, сколько данных поток успевает держать «в полёте». 

RTT остался прежним, TCP window не вырос - поток просто не успевает заполнять новый bandwidth.

Реальный прирост появляется только если:
⏺добавить параллельные потоки
⏺оптимизировать TCP параметры

Проверка:

iperf3 -c <server-ip> -P 1    # один поток — потолок не выше старого
iperf3 -c <server-ip> -P 8    # несколько потоков — канал полностью загружен

N.A.

Читать полностью…

Инженеры перебрали... Linux-кейсов 🤩

23 апреля K2 Cloud и K2Тех проведут онлайн - митап — pебята будут разбирать реальные инженерные кейсы из практики про поломанный SSH, обновление ядер, поломку сети в ВМ и балансировщики с одинаковыми конфигами, но разными результатами.

А ещё можно принести свой кейс на разбор и получить приз.

Подробности и регистрация по ссылке.

Читать полностью…

Корпоративные сети 2026 – конференция по сетевым технологиям. Никакой рекламы. Только обмен опытом.

🔗 Регистрация
Участие бесплатное, но регистрация обязательна

📅 8 апреля 2026 в 11:30
📍 Москва, ВК «Тимирязев Центр» (Верхняя аллея, 6, стр. 1)
Ⓜ️ Станция метро «Петровско-Разумовская»

Сетевые инженеры и ИТ-руководители поделятся реальными кейсами эксплуатации, настройки и защиты сетей. Честно обсуждаем цены и особенности железа разных производителей.

🧩 Полная программа конференции тут

Лично пообщаться с экспертами и коллегами можно будет во время кофе-брейков и в зоне экспозиции оборудования.

Конференция пройдет в рамках выставки «Связь-2026», так что вы сможете совместить посещение крупнейшего отраслевого события и нашей профильной площадки.

Организатор мероприятия:
ООО «Элтекс Коммуникации» — официальный дилер завода Eltex.

Ждем Вас на КС-2026!

#eltex #eltexcm #cnets #cnets2026 #связь2026 #кс2026

@eltexcm
#реклама
О рекламодателе

Читать полностью…

SNMP и NetFlow могут тайно ломать сеть

На первый взгляд кажется, что мониторинг - безопасное занятие. Но на high-end маршрутизаторах частый SNMP или NetFlow polling может создавать настоящие microbursts для CPU. В результате:

⏺Ping остаётся стабильным, но TCP/UDP падает.
⏺Пакеты silently drop, jitter растёт.
⏺Даже high-speed uplinks начинают вести себя странно.

Симптомы, которые сразу бросаются в глаза:

show processes cpu sorted
show platform hardware qfp active statistics drop
show interface <int> counters errors

N.A.

Читать полностью…

5 команд, которые реально спасают на high-end сетях

Ситуация: маршруты есть, линк up, ping работает, но TCP/UDP падает, jitter/packet loss наблюдается. Эти команды быстро выявляют глубокие проблемы:

1️⃣RIB vs FIB divergence - маршрут есть в control-plane, но не запрограммирован в forwarding:

show ip route <prefix>
show platform hardware forwarding table drop

2️⃣ECMP hash distribution - почему traffic концентрируется на одном uplink:

show platform hardware forwarding hash <port-channel>
show etherchannel load-balance

3️⃣BFD session flaps - link вроде жив, но маршруты конвергируют мгновенно:

show bfd neighbors
show bfd sessions

4️⃣Overlay/VTEP sanity check - VXLAN/EVPN мультикаст и BUM-трафик:

show nve vni
show nve peers
show ip mroute

5️⃣CPU spikes под SNMP/NetFlow - microbursts silently дропят пакеты:

show processes cpu sorted
show platform hardware qfp active statistics drop

N.A.

Читать полностью…

ECMP и hash buckets: почему трафик концентрируется на одном линке

Вроде несколько uplink и ECMP включён, но весь трафик «съезжает» на один порт.

Причина в том, как работает hashing: большинство платформ используют 5-tuple (src/dst IP, src/dst port, protocol) для распределения потоков по линкам. 

Если потоков мало или они одинаковы по этим полям, почти всё попадает в один bucket.

⏺На high-end роутерах есть ограничения ASIC - максимальное число hash-bucket’ов, которые реально могут распределять трафик. Даже при большом количестве линков маленькие TCP/UDP потоки часто концентрируются на одном порту.

Проверка распределения трафика:

show etherchannel load-balance
show interface <port-channel> counters
show interface <member-interface> statistics

На некоторых платформах можно посмотреть hash-бакеты напрямую:

show platform hardware forwarding hash <port-channel>

⏺Признак проблемы: линк full-duplex не загружен по среднему, но один порт получает почти весь трафик, а остальные почти пустые.

С небольшой коррекцией hash или увеличением числа параллельных потоков трафик начинает распределяться равномернее.

N.A.

Читать полностью…

SNMP polling начинает «тормозить» сеть

Маршрутизатор вроде работает, интерфейсы up, маршруты в таблице, но приложения жалуются на задержки или потерю пакетов.

Часто виноват частый SNMP polling: когда CPU под нагрузкой, device тратит ресурсы на обработку запросов, и forwarding пакетов начинает падать.

Сначала проверяем, сколько SNMP-запросов обрабатывается:

show processes cpu sorted
show snmp group

Далее можно увидеть spikes и drops в data-plane:

show interfaces counters errors
show platform hardware qfp active statistics drop

Если на high-end маршрутизаторах наблюдаются microbursts в CPU, пакеты тихо дропаются, а latency-sensitive трафик (VoIP, video) начинает тормозить.

⏺Признак проблемы: ping стабильный, но потоковый TCP/UDP трафик теряет пакеты, и это коррелирует с периодом SNMP polling.

N.A.

Читать полностью…

Почему “не видно проблему” в сети, пока не посмотришь состояние TCP очередей

Иногда сервис не падает, но начинает “вязнуть”: запросы идут, ответы есть, но задержки растут без очевидной причины.

В таких случаях полезно смотреть не соединения как факт, а их внутреннее состояние в ядре.

ss -tin state established



Здесь часто всплывают признаки деградации: растущий rtt, повторные передачи, перегруженные соединения, которые внешне выглядят как обычный HTTP-трафик.
Почему “всё открывается”, но часть запросов теряется

Бывает ситуация, когда сеть вроде бы живая, но часть пакетов просто не доходит. Это не видно на уровне приложения, пока не посмотреть статистику интерфейса.

ip -s link show <iface>



Потери, ошибки и dropped packets часто оказываются уже на уровне NIC или драйвера, а не где-то “в сети”.
Почему DNS “работает”, но поведение разное у клиентов

Иногда проблема вообще не в резолвинге как таковом, а в том, как ядро кеширует и повторно использует результаты.

getent ahosts <domain>



В отличие от dig, здесь видно реальное поведение резолвинга в контексте системы, а не абстрактного запроса.

N.A.

Читать полностью…

Появился удобный AI-инструмент для подготовки к найму и прохождения собеседований - Sobes Copilot.

Это ассистент, который помогает прямо во время интервью: слушает диалог, распознаёт речь в реальном времени и подсказывает, как лучше ответить. Работает в Zoom, Google Meet, Teams, VK Calls и других платформах, и не виден при демонстрации экрана.

Что есть в Sobes Copilot:
• Подсказки в реальном времени во время собеседований
• Пост-анализ интервью - сервис разбирает прошедший созвон, выделяет сильные и слабые места, удачные формулировки и зоны роста
• Генератор и улучшение резюме - помогает собрать сильное резюме под конкретную вакансию
• Мок-собеседования (и System Design) - тренировки с ИИ, приближённые к реальным интервью
• Авто-отклики на HH - автоматизируют массовую подачу на вакансии по заданным фильтрам

Если хочешь проходить собеседования спокойнее, увереннее и системнее - посмотри, что умеет Sobes Copilot.

Читать полностью…

Почему после изменения ACL пропадает доступ к части сети

Настроили новый ACL на интерфейсе или между сегментами, но часть сервисов перестала отвечать: одни IP доступны, другие нет, часть приложений зависает на таймаутах.

Чаще всего проблема не в самом ACL, а в порядке правил и скрытых “deny any” в конце. Также часто забывают про обратный трафик, из-за чего запрос проходит, а ответ блокируется.

Типовые причины: ⏺правило блокирует обратный трафик (return traffic) ⏺ACL применён не в том направлении (in/out) ⏺отсутствуют разрешения для established/related соединений ⏺правило выше по списку перекрывает нужный allow ⏺забытый implicit deny в конце списка ⏺ACL применён только на одном интерфейсе в цепочке
Команды для проверки:

show access-lists
show ip interface
show run interface Gi0/0



Проверка фактической обработки трафика:

debug ip packet

(аккуратно в проде)

Проверка пути:

traceroute <ip>
ping <ip>

Проверка логики ACL:

show access-lists <name>



Смотрим counters у правил - если растут deny, значит трафик реально режется.
Если проблема в направлении применения ACL:

interface Gi0/0
 ip access-group <name> in



или

ip access-group <name> out

Если ломается из-за порядка правил — правило выше перекрывает нужный трафик, поэтому проверять нужно сверху вниз, а не по смыслу.

N.A.

Читать полностью…

⚡️ Анонсирована еще более бюджетная версия MacBook Pro

N.A.

Читать полностью…

FastPath vs FastTrack и разрыв модели обработки трафика

FastPath и FastTrack оба ускоряют обработку, но работают на разных уровнях и ломают привычную линейную модель прохождения пакета через RouterOS.

⏺FastPath пытается вывести трафик из полного firewall pipeline и отправить его напрямую в forwarding path, если условия позволяют.

⏺FastTrack работает поверх conntrack и ускоряет уже установленные соединения, сокращая участие firewall, mangle и части обработки для established/related потоков.

Один и тот же поток сначала проходит полный стек обработки, а после установления состояния часть трафика начинает идти по ускоренному пути.

В итоге поведение firewall, очередей и счетчиков может меняться в процессе жизни соединения без изменения конфигурации.

MikroTik проверка

/ip firewall filter print
/ip firewall mangle print
/ip firewall connection print
/ip settings print

N.A.

Читать полностью…

Link aggregation hashing algorithms и почему нагрузка распределяется неравномерно

Port-channel или bond выглядит как один быстрый интерфейс, но внутри трафик всегда режется по алгоритму хеширования. И от того, какие поля участвуют в hash, зависит реальная загрузка линков.

Если hash основан на L2 (например src-mac или dst-mac), распределение зависит от количества MAC-адресов. В сети с few talkers это быстро приводит к перекосу, когда один линк загружен, а остальные почти пустые.

⏺Если используется L3/L4 (src-ip, dst-ip, 5-tuple), балансировка становится ближе к реальной нагрузке приложений, но все равно упирается в количество потоков. Один большой поток всегда останется на одном физическом линке.

Cisco:

show etherchannel load-balance
show etherchannel summary
show interfaces port-channel 1

Можно посмотреть, как именно устройство строит hash и какие поля участвуют в распределении.

MikroTik:

/interface bonding print
/interface bonding monitor bond1

А проявляется так: порт-канал есть, суммарная скорость высокая, но один линк перегружен, остальные недоиспользованы. И поведение может меняться просто из-за смены типа трафика или количества потоков.

N.A.

Читать полностью…

Почему «низкая загрузка» не означает, что сеть здорова

На графиках всё спокойно. 10–20% загрузки, никаких красных зон, интерфейсы не перегружены. С точки зрения мониторинга - сеть «дышит».

Но пользователи всё равно жалуются: видео фризит, API отвечает рывками, TCP ведёт себя странно.

А дело в том, что сеть редко работает равномерно. Трафик приходит не гладкой линией, а короткими всплесками. И эти microbursts легко забивают буферы даже на полностью «свободном» канале.

В этот момент интерфейс может выглядеть почти пустым по среднему значению, но внутри уже идут очереди, дропы и задержки.

show interfaces counters
show interface <int> | include rate
show queueing interface <int>

И получается парадокс: по метрикам всё хорошо, а по факту сервис уже деградирует.

N.A.

Читать полностью…

TCP retransmits в реальных сетях

Даже на пустом канале приложения могут тормозить. Packet loss или jitter заставляют TCP пересылать пакеты снова и снова, а один поток не успевает «накачать» канал.

⏺Признаки - медленный throughput, высокий RTT, заметные retransmits.

На Linux проверить легко

ss -ti | grep retrans
tcpdump -i eth0 tcp and host <peer-ip> -vv

Даже 0.1–0.5% потерь на WAN сильно сказываются на скорости одного потока. Параллельные соединения и настройка TCP window позволяют компенсировать этот эффект.

Особенно это важно для high-speed каналов между датацентрами, VoIP и стриминговых сервисов, где каждая миллисекунда задержки критична.

N.A.

Читать полностью…

Parallelism в сети: почему несколько потоков - это норма

Один TCP-поток почти никогда не использует весь канал между узлами с высокой пропускной способностью или большим RTT.

Даже гигабитный линк может быть недогружен, если работает только одно соединение.

Чтобы это обойти, системы создают несколько параллельных соединений. Браузеры открывают сразу несколько TCP-сессий к серверу, CDN и S3 одновременно гонят несколько потоков для одного файла.

В итоге канал используется максимально, ограничения одного TCP-потока нивелируются, а мелкие потери пакетов уже не тормозят весь трафик.

Проверка и тест:

iperf3 -c <server-ip> -P 1    # один поток, упираемся в single-flow limit
iperf3 -c <server-ip> -P 8    # 8 потоков, канал почти полностью загружен

N.A.

Читать полностью…

Как понять, что упираешься в single-flow limit

Канал вроде быстрый, интерфейс не забит, CPU в порядке - но скорость упирается в 200–300 Мбит/с и выше не растёт. При этом параллельные загрузки «вдруг» дают почти весь канал.

Это классический случай single-flow ограничения: один TCP-поток не может «раскачать» линк из-за latency и размеров окна. Чем выше RTT, тем сильнее эффект - поток просто не успевает нарастить объём данных в полёте.

Самая быстрая проверка - сравнить один поток и несколько:

iperf3 -c <server-ip> -P 1
iperf3 -c <server-ip> -P 10

Если при -P 1 скорость низкая, а при -P 10 резко растёт - это не проблема канала. Это ограничение одного TCP-потока.

Дальше можно посмотреть детали по соединению:

ss -ti

Обращаем внимание на cwnd, rtt, retrans. Маленькое окно или высокий RTT сразу объясняют, почему throughput не растёт.

Что обычно влияет:
⏺latency между узлами
⏺TCP window size и autotuning
⏺packet loss (даже небольшой сильно режет throughput)

⚡️В таких ситуациях «сеть медленная» - неправильный вывод. Канал свободен, просто один поток физически не может его загрузить.

N.A.

Читать полностью…

BFD flaps на стабильных линках

Линк выглядит стабильным: OSPF и BGP держат соседство, ping проходит, маршруты есть, но BFD внезапно сигнализирует «link down».

В результате мгновенно конвергируют маршруты, появляются кратковременные packet drops, а логи показывают тревожные сообщения, хотя физический линк не упал.

Часто причина кроется в jitter или небольших microbursts на линке. BFD очень чувствителен к задержкам: heartbeat и detect time могут «срабатывать» слишком быстро.

Проверка ситуации:

show bfd neighbors
show bfd sessions
ping <neighbor-ip> repeat 100

⏺Что помогает: увеличить тайминги BFD (detect interval, multiplier), проверить качество линка на jitter и drops, применить QoS для BFD-трафика, чтобы он не терялся при нагрузке.

N.A.

Читать полностью…

VRF для полной изоляции management-трафика

На первый взгляд кажется, что смешивание management и user traffic - нормальное решение. 

Пока сеть лёгкая и нагрузка маленькая - работает. Но стоит появиться перегрузке, broadcast storm или spikes, и управление сетью превращается в кошмар: ping проходит, но SSH/Telnet/HTTPS могут не открываться, ACL и QoS накладывают неожиданные ограничения, и любое управление становится невозможным.

⏺VRF - это способ полностью изолировать management VLAN от основной сети. В нём свой routing table, отдельные ACL и QoS. Даже при критических нагрузках на user traffic, доступ к устройствам остаётся стабильным.

Пример на Cisco:

vrf definition MGMT
 rd 65000:99

interface Vlan99
 vrf forwarding MGMT
 ip address 10.99.0.10 255.255.255.0
 no shutdown

Теперь management VLAN живёт в своём «контейнере маршрутов». Трафик не смешивается с основной сетью, можно спокойно применять правила безопасности и приоритеты QoS без риска повлиять на user traffic.

Даже если в будущем нужно расширить управление или добавить мониторинг - всё остаётся чётко разделённым и предсказуемым.

N.A.

Читать полностью…

🧬 Вебинар: эволюция DDoS-защиты в 2026–2027

Атак стало больше в 2 раза, сценарии усложнились. Всё чаще они маскируются под легитимный трафик, из-за чего классические методы защиты теряют эффективность.

Приглашаем на вебинар, где разберем:
– Трансформацию DDoS и что нас ждет в будущем
– Почему классические методы защиты уже перестают работать
– На какие метрики важно обращать внимание
– Что должна уметь современная система защиты

Актуально для ИТ- и ИБ-руководителей, сетевых инженеров и специалистов по защите IT-инфраструктуры.

Зарегистрироваться бесплатно ✅

Читать полностью…

BFD flaps при высокой jitter

BGP и OSPF соседства держатся, но BFD периодически фиксирует «link down», и маршрутизатор мгновенно перестраивает путь.

Пакеты могут уходить через резервные линии на доли секунд, создавая micro-convergence.

Состояние BFD смотрим так:

show bfd neighbors
show bfd sessions

Для анализа задержек и потерь:

ping <neighbor-ip> repeat 100 size 100 df-bit
show interfaces <interface> counters

На высоконагруженных линках короткие spikes создают колебания heartbeat, что проявляется именно как BFD flap, хотя маршруты в control-plane остаются стабильными.

N.A.

Читать полностью…

📘 На Stepik вышел курс — «DevOps-инженер: От основ до продакшена»

Хотите автоматизировать деплой и выстраивать надёжные CI/CD процессы? Этот курс — полный путь DevOps-инженера: от первого сервера до продакшена.

• CI/CD: Jenkins, GitLab CI/CD, GitHub Actions, Blue-Green, Canary, rollback
• Контейнеризация: Docker (образы, Compose, networking), безопасность контейнеров
• Kubernetes: Pods, Services, Deployments, Helm
• Infrastructure as Code: Terraform, Ansible, ArgoCD и Flux для GitOps
• Мониторинг: Prometheus, Grafana, ELK Stack, OpenTelemetry, SLI/SLO/SLA
• Продакшен практики: High Availability, Disaster Recovery, Chaos Engineering
• В стоимость включено: поддержка на протяжении курса, разбор задач и вопросов, рецензирование итогового проекта и помощь в составлении резюме

🎓 Сертификат — добавьте в резюме или LinkedIn
🔥 Цена со скидкой: 9 990 ₽ → 5 990 ₽, действует ограниченное время

👉 Пройти курс на Stepik

Читать полностью…