2193
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Если пропустили для себя ERSPAN, то обязательно поищите такую возможность на своих устройствах, есть не везде. Идеально заменяет RSPAN без возни с виланами, позволяя отправлять трафик поверх IP сети упаковывая его в GRE. Можно прямо в нужный сервер отдавать или на снифер. Но можно поймать на удалённом поддерживаемом устройстве и перенаправить в нужный порт убрав лишние заголовки.
Только будьте внимательны при настройке destination session, где source address - это не адрес соседнего хоста источника, а ваш собственный локальный адрес на который приходит трафик с удалённого хоста, он должен совпадать с тем что настроен для source session.
Если вы настраиваете настоящий stateful firewall, что я например делал совсем не часто, сейчас чаще, то обязательно озаботьтесь параметрами жизни сессий и всеми граничными значениями. С NAT я в своё время набил достаточно шишек, чтобы времена жизни трансляций выкручивать в очень агрессивной манере, а с Juniper SRX попался на очень долгие заданные по умолчанию времена жизни сессий. Не пропускайте этот момент и добавьте также early-ageout, если место под сессии кончится, это позволит выжить.
OSPFv3 и IPv6 соответственно, в базовой настройке с объяснениями от маршрутизации до хостов. Затрагивается довольно много специфичных моментов дизайна, но в то же время не привязанных к вендору, несмотря на то что сеть строится на Aruba. Но в целом, ещё раз повторюсь, это пример с базовыми настройками.
Читать полностью…
Whois к РАНР (реестр адресно-номерных ресурсов сети Интернет) - https://w.ranr.noc.gov.ru, можно и из консоли whois -h. Теоретически должно находить все ресурсы Интернет в российской принадлежности.
Работавшим с Whois RIPEDB должно быть знакомо.
Что есть что в автоматизации сетей - перечисление, с тезисным описанием, технологий, инструментов, подходов. Я бы рекомендовал с этого начинать, чтобы охватить картину целиком.
Читать полностью…
А это уже про стратегию. Как быть уверенным в своей сети настолько, чтобы не растеряться и знать что ответить на вопрос: "Моё приложение не работает, может дело в сети?"
Читать полностью…
Своеобразная реализация a'la Port knocking - ShieldWall. Заходим на веб интерфейс, открываем себе доступ, попадаем на ресурс. Не знаю, может удобно, я себе делал просто на iptables/ipset, в текущем виде это точно не лучше.
Забираем на Github и обязательно поднимаем свой сервер для управления.
DoH в dig 9.17.11. Сервер был чуть раньше. DoT ещё раньше.
И ещё из блога APNIC: 50 летняя история развития архитектуры маршрутизаторов - выученные и ещё не выученные уроки.
Читать полностью…
DNS over TLS пока всё ещё не очень. Помимо этого в работе представлена интересная статистика и по обычным широко известным провайдерам публичных DNS, включая Yandex DNS - надёжности и задержкам. Делаем скидку на распространение RIPE Atlas по миру, не на каждом континенте их одинаково много.
Читать полностью…
Эволюция Интернет 1997-2021 в одном видео, как карта BGP соседств. Очень красиво, есть исходники, можно картинок на рабочий стол надёргать.
Читать полностью…
HTTP/3 vs. HTTP/2 vs. HTTP/1.1 под разными углами в картинках.
Читать полностью…
APNIC выбирает Knot для работы с подписями DNSSEC, статья про то как, что и с чем сравнивали.
Читать полностью…
Тема разговоров во всех профильных чатах уже вторую неделю. Да, процесс идёт. ТСПУ, возможно ещё не на боевом дежурстве, но по местам уже расставлены/расставляются. DNS в том числе, но это меньшее из зол. Плюс к нему netflow, BGP пиринг, SNMP. Для всех кто имеет AS, но операторы всё равно больше всех попадают.
Грусть, печаль... прошлого не вернуть, теперь это новая реальность.
Мы недавно писали про настройку VyOS с нуля, может даже не один раз. Не могу скрыть своего интереса к данной системе, которая используется у меня в качестве домашнего роутера. Тем кто знаком с сетями и настройками каких-либо других сетевых устройств, разобраться труда не составит - всё должно быть знакомо и понятно. Но на всякий случай ещё одна серия статей про настройку.
Те кто делает резервные копии каждый день или раз в неделю - те молодцы. Те кто проверяет свои копии восстанавливая их - красавцы. Сегодня надо делать как всегда, потому что сегодня День резервного копирования.
Те кто про свои бэкапы вспоминает только в этот день - не надо так. Это всё ещё не просто, это всё ещё требует усилий, но это именно та возможность которую не стоит упускать.
Всегда полезно повторить про STP, потому что ошибок здесь не прощают. Подробно, на 12 страниц в PDF, только про PortFast, BPDU Filter и BPDU Guard. Чем надо обязательно пользоваться если STP включен.
Вот так выглядят живые сети, а если пытаться повторять кабель-порно, то можно что-то и вывихнуть ненароком :). С другой стороны - не стоит уж совсем расслабляться.
Читать полностью…
И выбирая путь автоматизации, точнее место программиста на этом пути не забывайте про основы, и те многие и многие шишки набитые поколениями до нас.
Читать полностью…
Пока многие из вас спят, а я нет. 23 марта 18:00 UTC опубликовано RFC8996, которое формально запрещает использование TLSv1.0 и 1.1. Не используйте, даже несмотря на то, что это всего лишь RFC.
Самое главное в процессе отладки - придерживаться выбранного метода, стратегии, тактики. Педантично и досконально, по другому не работает. Например, можно двигаться снизу вверх по уровням OSI ничего не пропуская.
Path MTU discovery сломан в Интернет и сломан основательно, просто потому что в большинстве случаев вы не дождётесь нужного ICMP и уже не важно является ли это намеренным действием, опечаткой, незнанием, особенность подхода который применяется. Это данность. И единственный выход сделать хорошо для многих, но не для всех - это экспериментируя с TCP MSS и MTU на своей стороне, пытаясь найти баланс.
Утилита, которая пытается справится с этой проблемой в конкретном архитектурном решении балансировки в дата центрах, основываясь на информационном черновике IETF. Почитайте его обязательно, там, как раз, есть и про костыли TCP MSS. Cloudflare делал подобную реализацию несколько лет назад для одного Ethernet сегмента, эта утилита чуть более универсальная. В любом случае, Cloudflare реалисты и тоже играют в игру угадай нужное MTU.
За ссылку огромное спасибо нашему подписчику, очень рад что не забываете про меня. Спасибо.
Список информационных команд для JunOS: интерфейсы, логи, время, маршрутная информация, утилизация - всё что может помочь собрать и сравнить со штатным рабочим состоянием.
Читать полностью…
Этот вечный вопрос курицы и яйца, на этот раз для современного подхода к сетям. Мы хотим избавиться от ручного конфигурирования устройств и вообще от устройств, а рассматривать сеть как единое целое, задавая высокоуровневые параметры (намерения), а всё остальное за нас сделает автоматика. Для этого надо написать спецификацию того чего мы хотим и формализовать свою сеть. А если у нас уже есть сеть? Тогда мы можем эту спецификацию построить по текущей сети, автоматически. Главное при этом не притащить с собой старые подходы и вовремя остановиться в этом цикле.
Читать полностью…
Помимо пути "туда" есть путь "обратно" и часто это не одно и то же. Если это становится важным то обычные утилиты вам могут уже не помочь, ping - бессилен, покажет только суммарное время туда+обратно. Написать корректную реализацию подобного инструмента, учитывающего асимметричность маршрутов совсем не просто, в дело вмешивается время, его синхронизация. И поэтому, например, встроенный в ICMP Timestamp Requests, будет работать не всегда достаточно точно.
Однако всегда можно что-то придумать, особенно если это Ben Cox. То что получилось забираем на GitHub, реализация с ICMP там же.
P.S. Не забываем и про Record Route, правда применимо это далеко не всегда.
Лучший способ понять как работает сеть, тот или иной протокол, это написать собственный клиент или сервер. Можно смотреть и в дампы конечно, но сделать своё работает лучше когда становишься непосредственным участником процесса. Тем более в первом приближении это не так уж и сложно. Серия из нескольких постов, начиная с теории до реализации простейшего TCP SYN сканера на Python используя модуль socket. С ручной генерацией нужных пакетов с заполнением всех полей. Бонусом то же для ICMP.
Тут даже не важен язык и даже результат, процесс строительства позволяет узнать больше, чем простое созерцание.
Сервер для проверки замедления доменов t.co который сделал Леонид Евдокимов. Обсуждение здесь.
https://speed.gulag.link/
Снизу и сверху тесты скорости до одного и то же сервера, разница только в доменах:
Первый t.co.speed.gulag.link
Второй speed.gulag.link
UPD: Если вы видите значительную разницу в скоростях, значит вас тоже опустили. Обычно если проблема есть, то сверху будут значения около 0.1 а снизу >1. Не смотрите на абсолютные значения скорости, значение имеет только разница. Это дешевый сервер в Scaleway с узким каналов.
«Около четырёх лет назад я сделал небольшую статью на тему невозможного в то время суверенного интернета. С того времени многое изменилось, появились законы и даже реализации этих законов, что ожидаемо вызвало много публикаций на эту тему. Однако, для обычного пользователя все эти движения оставались незаметными»
Суверенный DNS уже здесь, а вы и не заметили
Наши подписчики добавляют лоск:
~$ : | openssl s_client -connect google.com:443 2>&1 | openssl x509 -noout -dates
notBefore=Feb 17 12:27:54 2021 GMT
notAfter=May 12 12:27:53 2021 GMT
"не надо echo, достаточно true, built-in которого в bourne shell - это : и в /dev/null тоже не обязательно слать.
Ещё важный момент, сервер может отвечать bundle из сертификатов, а openssl возьмёт только первый и для него выдаст dates, правда, первый обычно в цепочке такой и будет выпущен именно для хоста, а не intermediate или ca root."
