2499
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Балансировка нагрузки сетевого UDP приложения средствами сетевого стека Linux: SO_REUSEPORT и SO_ATTACH_REUSEPORT_CBPF в двух частях. Все грабли и суть во второй части вместе с очень простым примером программы на BPF и способом его компиляции, а также кодом самого сервера на разных этапах по ссылкам на Github.
Поразмышлять перед сном. Лично мне не хватает BNG/BRAS, не вообще, а одного конкретного, но его уже никто не заменит. А в текущих потребностях нормального корпоративного маршрутизатора где всего понемножку: с туннелями, NAT'ом, файрволлом с кластеризацией и асимметрией, SD-что-то пусть тоже там будет.
Убедитесь что своей инфраструктурой управляете вы и только вы, или будьте готовы делиться не только ответственностью и сложностью, но и проблемами. История про Aruba, ZeroTouch и облака, в которой администраторов с доступом больше чем вы видите. Частная история, но не новая, Ruckus тоже так умеет.
Читать полностью…
Устройство сети в VK Cloud - всё виртуальное и программно-определяемое. Про не виртуальные сети почти не говорится, зато про остальное достаточно подробно. История собственной разработки, было/стало.
Читать полностью…
Шпаргалка по бинарной арифметике и логике и чуть больше. Мне нравится тем что охвачено сразу много, включая числа с плавающей точкой и, особенно, то что есть конкретные примеры работы с битами в нижней части схемы. Мне не хватает примеров составления логических функций по таблицам истинности и их упрощения, хотя базовые элементы этого присутствуют. С отрицательными числами на мой взгляд вообще мимо в плане восприятия. Для тех кто помнил, но забыл.
Читать полностью…
Итоги на мой взгляд ожидаемые. Смешно, но я забыл термин dial-up, может быть, потому что мой первый Интернет был через EDGE, а проводной через DSL, а компьютер без Интернет был в общем-то нормой. Ещё я вас обогащу термином AON - это оптика до вашего домашнего роутера, но не PON, где A - Active. И пока мы посматриваем не взять ли себе домой гигабитное подключение, некоторые наши подписчики, спасибо им большое за комментарии, живут в абсолютном будущем и могут позволить себе 25Гбит/c чистого незамутнённого Интернета оптикой прямо в порт не PONом!, который у нас становится всё популярнее.
Если вдруг давно не заходили на Looking glass MSK-IX, то там теперь доступна возможность графически увидеть маршруты от IX до заданного префикса, естественно, если он каким-то образом там присутствует. Кнопка называется "Нарисовать схему" и появляется она после выполнения какой-либо из основных команд по просмотру префиксов или соседств.
Сам узнал, что называется, из первых рук и поэтому всей команде MSK-IX большой привет. А для личного общения и инсайдов уже скоро пиринговый форум, регистрация на который открыта.
IOS XR решили новую нумерацию версий сделать - по датам. Меня в датах смущает только одно, совершенно невозможно отделить эпохальный релиз от не эпохального, как будто производитель, любой, говорит что у меня все релизы одинаковые и никаких больших ломающих изменений между релизами не будет. А если наоборот, каждый релиз эпохальный, то это ещё хуже. Могу погадать, что на этом история IOS XR подходит к концу, через какое-то время маркетологи, чтобы выделить очередную новую фичу, просто решат сменить название, а не последнюю цифру в череде таких же.
Читать полностью…
no ip http server/secure-server разве не делают все сразу как только включают новую Cisco, по крайней мере староверы? Если нет, то сделайте, а вот что делать с автоматизацией и почему её прикрутили именно к веб я не знаю. Веб - слабое звено.
В Скандинавии почти умер DSL, но есть DOCSIS и кое-где радио, даже с растущим трендом в Норвегии, это 5G? Ещё мне не очень понятно что есть Fiber на графиках, сколько там PON, а сколько нет, но его много.
Поэтому давайте про нас: "Какой ваш основной домашний канал в Интернет?" Я думаю в опросе понятно что есть что, упор не на то какой кабель подведён к вашей квартире/дому, а на то, какие кадры бегают сразу внутри этого кабеля. Что-то другое для меня - это ISDN, хотя я никогда не слышал чтобы он был у кого-то дома, но вдруг, а также то, что я скорее всего не знаю, и я надеюсь поделитесь, что же это. А всё что вы считаете старым, может быть и не таким старым как вам кажется, просто в другом месте.
Коллега подкинул сайт с эмуляторами (веб мордами) домашних роутеров http://linserv.ru/. Наверное, на родных сайтах выбор будет побольше, но для быстрого поиска удобно. Тем более, что и ссылки на родные сайты присутствуют.
Читать полностью…
Ууххх, что у Cloudflare c 1.1.1.1 произошло вчера:
1. Не мониторили один из ключевых процессов
2. Не протестировали один из предполагаемых ключевых отказов, хотя и было предусмотрено его автоматическое резервирование
3. Пропустили одно из ключевых изменений во внешней системе - добавление новой записи в корне ZONEMD4. И не реализовали перехват и обработку программной ошибки
Это всё хорошо понятно и вроде даже банально звучит, когда уже закончилось, а вот свои системы, не обязательно DNS, стоит посмотреть и проверить с учётом этого заранее.
Ethernet везде Ethernet даже в суперкомпьютерах, кластерах GPU, в которых балансировка трафика в фабрике происходит по потокам, а не по пакетам, что в свою очередь недогружает сеть, но оправдано с других точек зрения. Однако решения пакетной балансировки появляются, хотя и зависят от конкретных условий и задач, как и везде.
Читать полностью…
Cisco покупает себе Splunk, но покупать не обязательно, можно выбирать из доступного: быстрое сравнение Grafana Loki, Logstash, Graylog, Syslog-ng, FluentD, Logwatch.
Читать полностью…
Срочно! Нет времени объяснять!
Жмешь сюда, а дальше сам знаешь, что делать!
Обширное дополнение про перехват в механизме выпуска сертификатов от автора RFC8657 и много чего ещё Hugo Landau. Плюсы, минусы, дыры, что произошло и что ещё может произойти, как защищаться или как минимум усложнить жизнь атакующей стороне.
Читать полностью…
Geoff Huston на тему TCP vs. QUIC на APNIC 56 проходившей в начале сентября, и презентация. Процитирую последний слайд:
What can a Network Operator Do?
When all customer traffic is completely obscured and encrypted?
- Traffic Shaping?
- Regulatory Requirements for traffic interception?
- Load Balancing / ECMP
А сейчас с QUIC всё очень даже неплохо.
VPP и виланы, теория и конкретные примеры настройки в конкретных задачах.
Читать полностью…
Поведение различных устройств/систем при попытке установки соединений BGP от неизвестных соседей - сессия не устанавливается, но мы знаем что BGP это прикладной протокол, поэтому TCP SYN может проходить и добираться до демона BGP, хотя и не для всех. Это может быть проблемой, поэтому добавьте фильтров на сетевой интерфейс, не надейтесь на поведение по умолчанию.
Приколитесь: немцы снифали и расшифровывали зашифрованный трафик на серверах jabber.ru в датацентре Hetzner.
Выпустили отдельный SSL сертификат и проксировали коннекты к TCP:5222. Ого! Вскрылось случайно из-за ошибки их админов. Если бы не эта ошибка, скорее всего, так никто бы и не заметил.
Скорее всего это правительственная атака и хостеров просто обязали накручивать эти редиректы. Интересно сколько таких джаббер серверов прослушивается в данный момент. Ведь кулхацкеры скамеры чаще всего используют именно джаббер. Еще один эпизод оправдывающий параною красноглазых криптоманьяков.
Мораль:
1. Проверяйте фингерпринты сертификатов даже если лень.
2. Безопаснее E2E шифрования ничего не придумали, но и там всем лень проверять отпечатки ключей.
Лично мне больше все нравится подход Телеграм с 4 эмоджи в качестве отпечатка ключа, это не сложно сверить при звонке.
Пост на HN: https://news.ycombinator.com/item?id=37955264
Само расследование https://notes.valdikss.org.ru/jabber.ru-mitm/
Большая лаба по BGP на разные аспекты управления трафиком, о чём же ещё. И прямая ссылка на Google drive PDF: начальный конфиг, задача, проверка, изменения, финальный конфиг, проверка - всего 155 страниц.
Читать полностью…
He calls it “Stable Connection” и это надо слушать.
Читать полностью…
BGP reverse proxy, который позволяет встроится между BGP спикерами и делать разные вещи: например, дампить апдейты или наоборот проиграть апдейты из дампа, может добавить пароль в сессию, а ещё умеет в JSON. Написан на Go и пока в ранней стадии разработки.
Настройка pfSense для балансировки между двумя Интернет каналами. Но это лишь прелюдия для дальнейших рассуждений автора о том чем в принципе два канала могут быть лучше и дешевле чем один, и о проблемах роста Интернет, а также роли IPv6, в том числе, в случае решения задачи балансировки между двумя провайдерами.
Linkmeetup заценили и я надеюсь возможность заценить появится у всех когда мы увидим записи докладов, среди которых были очень достойные и которые хочется обсуждать и пересматривать, а ещё конечно увидеть те которые пропустил.
Следующий на очереди NextHop 20 ноября, который в этом году обещают сделать больше. Не удержусь чтобы не сказать что больше не значит лучше, но я думаю в Yandex запомнили то что сказали в приветствии Linkmeetup и в этом году постараются особенно, тем более конференции идут друг за другом. Регистрация уже открыта, поэтому я думаю надо даже поспешить чтобы поучаствовать лично.
В плане вообще конференций мне не очень нравится многозальная история, попытка объять все темы, всё равно, как правило проваливается, интересные доклады пересекаются, а внимание расфокусируется. Каждому конечно своё, но лучше многодневная история где один зал с докладами, если действительно их очень много. А ещё раньше были блокнотики чтобы что-то записывать, потом от этого все откзались, цифровая эпоха как-никак и их давно уже не предлагают, даже на выставочных стендах нету, хотя ручки ещё кое-где можно найти. Но блокнотики это лампово, пусть они будут, если в космосе меня кто-то слышит.
С пятницей - https://www.youtube.com/watch?v=dcbWV9c-304 - не забывайте выключать работу на выходных, хотя бы иногда.
Читать полностью…
Значимое изменение подписей префиксов в некоторых странах, некоторые страны почти всё своё подписали, и в некоторых стран для этого хватило всего одного провайдера.
Читать полностью…
Введение в VXLAN: как происходит изучение MAC адресов и сопоставление конечных точек передачи в базовой сети. Где-то тут надо будет вспомнить про PIM или разобраться в EVPN. И как всё это настроить на Nexus, если в EVPN всё ещё не разобрались.
Передача трафика между VRF на Firepower в статическом исполнении не сложнее чем для многих других устройств, главное суть понимать vrf. А про это было на Cisco Live, но туда надо ещё постараться добраться из России.
Сколько аргументов можно передать в командной строке Linux зависит от многих вещей и они не всегда явные, но автор докопался.
Читать полностью…