2499
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Черновик про то, что надо что-то сделать наконец с BGP атрибутами которые разлетаются по всему миру. Такое поведение заложенное изначально, позволяющее транслировать не поддерживаемые атрибуты дальше, удобно при адаптации новых возможностей, когда не надо сразу бежать менять всё оборудование, удобно для экспериментов, но бывает приводит к непредвиденному поведению, что бывало не раз.
BGP Router ID это не IP адрес, хотя выглядит привычно похоже. Если на маршрутизаторе есть IPv4 адреса, то можно использовать их, если нет, то придумать свою структуру и использовать любой уникальный в рамках своей автономной системы. Лучше назначить руками, чтобы не оставлять процесс на самотёк.
Большое спасибо нашему подписчику за ссылку на карту с местами подключения к AWS - chris.elsen.xyz/dx-location-details. Дополним её историей от создателя карты, где есть ответы на вопросы почему и зачем, и раскрываются заложенные в неё возможности.
Читать полностью…
Опять день IPv6 поэтому давайте зафиксируем что в этом году добрались до 50%, хотя выглядит с натяжкой, как будто бы 50% всё ещё остаётся рубежом об который бились половину прошлого года и половину этого и пока чисто не преодолели. Если сравнивать с самым первым нашим прогнозом 5% за год, то должно было бы быть уже 60%. Сейчас рост 5% за два года, итого ещё 20 лет, но это не точно. Точно, что рост ещё замедлился на рубеже 2023-2024.
Поздравляю всех подписчиков с началом лета! И вручаю вам тёплый летний подарок: методичку по харденингу Ubuntu 24.04 на русском.
Методичка - моего авторства (@bykva)
Долгие и нудные часы чтения 1000-страничного CIS и публичной ansible роли зародили во мне идею - вот бы была готовая выжимка, по которой можно было бы настроить автоматизацию, при этом понимать что именно она выполняет. и сделать это за 1 день, а не за несколько недель.
В итоге родилась она - сжатая выжимка тысячестраничного CIS Benchmark: по каждому пункту коротко - что и зачем настраивать, с выделенными нюансами и ссылками на источники.
Внутри - более подробное описание что это и зачем.
З.Ы. саммаризация была сделана полностью без ИИ, но вот цветовое оформление, фактчекинг и правки орфографии и пунктуации я уже делал с помощью него, поэтому что-то могло поехать. Буду благодарен за ОС.
Инструмент всего лишь инструмент и для него есть своя область применения, BGP Damping один из них. Надо очень чётко представлять какого результата вы хотите добиться, чтобы подогнать параметры и согласовать поведение других механизмов и инструментов. Ничего не лечит, в причинах флапания всё равно придётся разбираться и чем раньше тем лучше. При наличии мониторинга и возможности вмешиваться в процесс другими средствами, скорее скрывает проблему, чем помогает.
Читать полностью…
Статистика Google по использованию IPv6 больше 50% дала повод многим написать очень много восторженных отзывов, действительность куда более приземлённее. Статья из этой серии, что ваш сайт станет быстрее с IPv6, если надо повлиять на человека не вполне погружённого в тему. Но даже в этой статье видно что только 30% сайтов имеют поддержку IPv6, среди популярных больше, но это все те же 50%. Не забываем что Интернет это не только сайты. В любом случае, процесс уже не остановить, поэтому внедряем, но быстрее от этого ваш сайт, скорее всего, не станет.
TTL (Hop Limit в IPv6) важная штука, решающая проблему колец маршрутизации и позволяющая понимать пути следования пакета при решении проблем. Правда, как и всему в Интернет, не стоит слепо доверять тому что вы видите, потому что многие TTL перезаписывают, что мешает исследователям. Поэтому они всех посчитали, а с AT&T разобрались отдельно. В причинах - MPLS, баги, желание скрыть внутреннюю структуру.
В IPv6 картина с /48 стабильно крутится около 45-46%. Но куда заметнее чем в IPv4 виден рост долей /40 и /44 префиксов, которые, вероятно, тоже скоро вытеснят /32 со своего места. Это не может быть связано с дефицитом адресов, возможно, с более широким использованием механизмов управления трафиком и ростом популярности IPv6. А ещё можно увидеть как /47 префикс сменяет /29, который мы больше не видим среди первой шестёрки, хотя стоит отменить, что сумма долей всех других префиксов вместе взятых занимает второе место. В IPv6 куда больше вариантов делить своё адресное пространство.
Пока обсуждали в чатике аварию с DE, добрались до проблемы стандартных ограничений BIND в 50 итеративных запросов, которых катастрофически не хватает уже ни для чего, с учётом А, АААА, и DNSSEC записей. Даже если забрать копию корневой зоны себе, а не перебирать серверы, всё равно не будет хватать, до тех пор когда всё нужное не окажется в кеше. Уже закрытое issue в BIND GitLab.
К вопросу о простоте DNS, как и BGP, которая позволила добавить в них столько много дополнительных вещей, что они уже вываливаются наружу.
Свежий RFC 9972 определяет больше параметров которые можно получать с помощью BMP и короткий обзор где это пригодится.
Получаем код V-SOL OLT через гугление, в забытом, но открытом web каталоге, а дальше анализируем его и находим много уязвимостей и причин бояться за своё оборудование. В конце, автор даёт несколько очевидных советов по ограничению доступа, смене паролей, отключению неиспользуемых функций и других, а также говорит, что ещё много чего можно накопать. Не так эпично как с RedBack, случился неожиданный open source аудит.
Читать полностью…
А Cloudflare сделали просмотрщик MRT файлов (дампов BGP) прямо в браузере radar.cloudflare.com/routing/mrt-explorer
Использование веб инструмента IHR для мониторинга BGP, на примере разбора инцидента с ROA Северной Кореи. Доступность исторических данных делает этот ресурс удобным для анализа. Внутри, знакомые RIPE Atlas, RIS, PeeringDB. Проект живёт достаточно давно и присутствует на GitHub.
Не написал, напишу, если что-то заметили что не работает как должно - пишите, в меру своих сил и средств и оперативности всё поправлю. Я рад, что внимательный подписчик, спасибо за это, уже нашёл проблемы в цепочке сертификатов для DoT, и теперь работает как надо.
В Cloudflare озаботились контролем включения проверки BGP enforce-first-as, чтобы в Интернете было безопаснее и прямо настаивают чтобы все включили. Но ситуации тут могут быть сильно индивидуальные, от упомянутого подключения к RS на IX, до многочисленных локальных временных и постоянных договорённостей между пиринг партнёрами. В первый раз работы с IX я значительное время потратил, как раз на понимание того, что это поведение - проверку первой AS в AS_PATH, надо отключить. А с учётом значительного распространения IX и того, что в общем вилане некоторые не гнушаются транзитные сети раздавать, то всё ещё сильнее запутывается.
Список Tier 1 сетей у которых выключено, приведён в статье, так же и список вендоров, где выключено по умолчанию. Можно сравнить с тем что настроено у вас и прикинуть нужно ли что-то менять. Доверие - это то на чём ещё держится Интернет, а частные отклонения от общих правил, являются редкими случаями. Подменять доверие на технические проверки, как бы это не звучало хорошо, в конечном итоге убьёт и доверие и не решит проблем.
SRv6 на VPP, теория и немного лабораторной практики. Плюс исправления для поддержки не только физических интерфейсов, добавленные в следующий ожидаемый релиз 26.06.
Читать полностью…
В продолжении темы, сколько нужно DNS запросов чтобы разрешить имя - Geoff Huston разбирает процесс на примере teams.microsoft.com по мотивам доклада Ondřej Surý на RIPE92.
Привет всем! Вышла заметка как я из интереса купил почти 300 штук симок и решил исследовать - https://telegra.ph/Kak-ya-kupil-292-sim-karty-na-Ozone-i-nashel-na-nih-interesnoe-06-02
Читать полностью…
Ещё про RADIUS и что его ждёт в ближайшем будущем - TLS.
В большинстве стран, большинство пользователей использует DNS резолверы предоставленные провайдером или другие локальные. А если не используют их, то скорее всего Google или Cloudflare. А вот с точки зрения авторитетных DNS, картина уже другая и многие, вероятно, используют DNS предоставленные хостером, а это чаще всего Amazon, Google и Cloudflare - на троих больше 40%.
Я почему-то думал что уже давно никто не доверяет ни IP адресам ни MAC адресам как средству идентификации устройства, поэтому проблема случайных MAC адресов, внедрённая разработчиками ОС, должна была пройти незаметно. Но до RADIUS такое поведение докатилось только сейчас и в качестве выходы из ситуации предлагается новый атрибут Persistent-Device-Id, который не требует модификации протокола, а только корректного заполнения из сертификата выданному устройству. Наличие сертификата устройства подразумевает корпоративную среду и централизованное управление, где проблему можно решать многими уже доступными способами, начиная от запрета смены MAC адресов, заканчивая агентом установленным в систему.
Кстати, домашние провайдеры, если не используют PON, где привязка идёт к ONT, или PPPoE где у нас логин с паролем, перекладывают ответственность привязки и не смены MAC адреса на абонента, заставляя его каждый раз подтверждать доступ логином паролем на веб портале при смене устройства подключенного к сети. Некоторые и этого не делают, идентифицируя абонента привязкой к интерфейсу своего оборудования, если уверены, что он не может внезапно смениться. Сертификаты, впрочем, здесь тоже применимы, если провайдер выдаёт и привязывается только к своим устройствам, но пока у нас не так.
Пятничное. Ошибки при работе с ИИ, заголовочный файл. Там же по ссылке аналогичный, но для людей, написанный 10 лет назад.
Читать полностью…
Как изменилось соотношение количества префиксов в BGP по слепкам из моего @FullViewBGPbot, в основном по данным коллектора RRC0, за последние четыре года. Доля /24 IPv4 растёт с 59% до 63%, соотношения между префиксами сохраняются. Но последнее время стало заметно, что доля /23 тоже стала расти, и может быть, в ближайшее время /22 лишаться своего второго места. Предположу, что /22 стали разагрегировать на продажу или для использования на нескольких площадках.
А как с BMP справляются в Akvorado. С версии 2.2 - лучше, а в будущей 2.4 - гораздо лучше.
Читать полностью…
Поиск проблем с прохождением трафика между двумя Juniper маршрутизаторами, без подробностей, но с упоминанием терминов и задействованных механизмов. Виной всему оказался фильтр трафика, но не сам по себе, а из-за своего большого размера, на прохождения которого тратилось слишком много времени.
Читать полностью…
Жизнь сетевика be like.
Энтерпрайз: Таскаешь виланы между Hub и Spoke
Датацентр: Таскаешь виланы между Spine и Leaf
Провайдер: Таскаешь виланы между PoP и PE
Интегратор: Таскаешь не свои виланы
Netops: Таскаешь виланы на Python
Облако: Таскаешь виланы между Pod
Neocloud: "Действуй как CCIE, протащи виланы, не ошибайся, объясни результат понятно ребёнку"
Вендор: Наши виланы самые лучшие
IEEE и IETF: Мы придумали новый способ таскать виланы
Свежее изменение в RIPE DB, теперь в объектах организаций видно регистрационный номер в своей стране - атрибут reg-nr. Для России это ОГРН и теперь проще сопоставить объекты в RIPE DB со списком лицензий РКН, например.
Отчёт Backblaze (Cloud Storage) за первый квартал этого года по трафику. Интересно смотреть, в разрезе США особенно, какой тип трафика куда притягивается. Калифорния побеждает по CDN, облакам, облакам для ИИ (Neocloud). За рамками США, Neocloud больше всего в Финляндии, CDN в Нидерландах, а хостинга в Германии. И вся эта картина достаточно подвижная, в рамках США точно, за исключением трафика провайдеров, где всё стабильно.
Дошла очередь до переезда host-correct.ru, теперь на связке PowerDNS dnsdist и pdns_recursor. Lighttpd оставил по большей части для другого, но оставил как прокси. За всё время перепробовал, если помните, и Unbound, и Knot, и Bind, и почему-то незаслуженно проходил мимо PowerDNS. Очень продуктивное решение в стиле unix way, разделить собственно DNS и формы доступа к нему: DoT, DoH, DoQ и остальные - вынести в другой инструмент. Отдельное личное большое спасибо за эту наводку Андрею Пазычеву, обязательно смотрим его доклады на Linkmeetup. Это лучшее решение из всех которые я использовал.
Для Munin не нашёл готового плагина DNSdist, но это я допишу. IPv6-only для DNS резолвера тоже не летит, многие не имеют IPv6 NS записей, поэтому добавил ещё IPv4. Это немного отрезвляет, при всём моём оптимизме, попробовать развернуть что-то IPv6-only.
host-correct.ru свободно доступен для использования DoH и DoT, логирование запросов выключено, гарантий по надёжности и производительности никаких. Я вижу что никто им не пользуется, кроме меня, даже боты брезгуют по TLS заходить, но если вдруг понадобиться и нет своего, а другие не хочется, то пожалуйста.