2499
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Сначала напишу про ситуацию с NTP и Yandex станцией, потому что сегодняшний Пиринговый форум расставил некоторые точки. На картинке, слайд из презентации Александра Ильина про технические новости MSK-IX за год.
Читать полностью…
Пиринговый форум, поехали. В этом году много обсуждений, почти с каждым докладом панельная дискуссия, и, кажется, самое интересное в этом году оставили под конец дня.
Читать полностью…
Пока я жду в аэропорту и думаю какой из моих домашних роутеров я прокачаю до 800G, поделюсь с вами впечатлением о прошедшем nexthop 2024.
Получилась очень практическая конференция, на все презентации я, конечно, не попал, поэтому жду видео, чтобы пересмотреть.
Яндекс признал и осознал, что не может не радовать
15 октября мы раскатили прошивку на 10% устройств. Поэтапная раскатка обновления — это стандартная практика. Она предназначена в том числе для того, чтобы выявлять проблемы новых версий на ранней стадии. И прежде чем увеличивать процент раскатки, мы отсматриваем метрики всех ключевых пользовательских сценариев. Но число генерируемых нами NTP‑запросов исторически никогда не входило в метрики, требующие валидации, потому что NTP‑клиент годами существовал практически без изменений и не приводил к проблемам.
К 24 октября новая прошивка докатилась до 100% колонок. Опять же, критичные для пользователей сценарии покрыты автоматическим мониторингом. Если что‑то важное ломается, мы получаем уведомление. Но, как вы уже догадались, для NTP‑клиента таких уведомлений настроено не было.
. . .
Жалоб было мало, действующий регламент поддержки не был рассчитан на подобные ситуации, поэтому обращения рассматривали не в самом высоком приоритете. К 20 ноября мы нашли ошибку, внесли исправление в код и начали готовить новый релиз.
В выходные 23–24 ноября ситуация с NTP‑серверами обостряется: доступными остаются лишь четыре сервера. К этому моменту мы уже начали раскатывать релиз с исправлением на 10% устройств.
. . .
В воскресенье мы выпустили хотфикс в виде новой рантайм‑конфигурации для NTP‑клиента, который увеличивал период перезапроса с 5 до 600 секунд, уменьшая нагрузку на серверы в 120 раз. Хотфикс не исправлял проблему полностью, но был единственным быстрым способом снять чрезмерную нагрузку с NTP-серверов.
. . .
мы запланировали выделить ресурсы в общий пул NTP‑серверов. Это займёт некоторое время, потому что наши дата‑центры удалены от основных точек обмена трафиком, а для NTP‑серверов RTT (Round Trip Time) это — ключевой фактор качества. Мы установим и запустим мощности на основных точках обмена трафиком.
Для наших устройств мы заведём именную зону в соответствии с гайдлайнами проекта NTPPool.org для бо́льшей прозрачности. Генерируемый ими трафик будет локализован на наших NTP‑серверах, если мы продолжим полагаться на публичную инфраструктуру проекта.
Ещё мы добавим метрики, связанные с NTP, на этап валидации A/Б‑экспериментов, а также реалтайм‑уведомления о неполадках в этом компоненте. В том числе расширим сценарии мониторинга исходящего и входящего служебного трафика устройства в целом. Также поработаем над каналами коммуникаций и поддержкой, чтобы подобные проблемы быстрее до нас эскалировались.
Напоминание о том что такое Интернет и от том, что от этого понимания очень многое зависит, особенно когда начинаешь что-то в нём менять. Результат изменений за последние 40 лет мы уже видим и что из Интернета получится, конечно, тоже увидим.
Читать полностью…
Peering Manager дорос до 1.9, можно обновляться, если пользуетесь или попробовать, если нет.
Читать полностью…
Про технологии, на примере RIP, когда технологии под задачу, а не задачи под технологии. Кстати, дома у меня работает до сих пор. Относитесь к этому критически, всё же, статья к этому и призывает в первую очередь.
Читать полностью…
Why I stopped using OpenBSD?
Last month, I decided to leave the OpenBSD team as I have not been using OpenBSD myself for a while. A lot of people asked me why I stopped using OpenBSD, although I have been advocating it for a while. Let me share my thoughts. First, I like OpenBSD, it has values, and it is important that it exists. It just does not fit all needs, it does not fit mine anymore...
https://dataswamp.org/~solene/2024-11-15-why-i-stopped-using-openbsd.html
#system #hardware #problems
P. S. Well, such feedback should be taken into account, too.
Великий Китайский Файрвол не файрволит нешифрованный HTTP/2, Иранский тоже. Про Россию ничего не говорят, желающие могут проверить сами, специально созданным для этого инструментом. Доля сайтов с поддержкой нешифрованного HTTP/2 маленькая и в браузерах такого нет. Но если хочется быть Неуловимым Джо, то это один из способов, пока эту статью не прочитают там где надо.
Эксперименты Cisco SD-WAN со Starlink, хотя статья маркетинговая с перечислением фишек, но результаты тестов Starlink интересные. Чистый тест хуже ожиданий, потери до 4% и задержки выше, зависимость от географии. Но после того как покрутили настройки, всё, конечно, стало значительно лучше.
Читать полностью…
RIPE NCC подробно, со ссылочками и ценами, рассказывает про разные способы получения IPv6 и IPv4 адресов, документ на русском в pdf. IPv4 у них нет, точнее придётся подождать в очереди 1,5 года, поэтому только аренда у тех у кого есть или покупка на рынке.
Дизайн централизованной внеполосной сети управления для провайдеров, можно взять как пример, но тут, конечно, сразу всего много, с учётом опыта громких падений последнего времени. В любом случае придётся построить полноценную сеть рядом, что провайдерам особенно аукнется, с учётом того что даже продуктовые каналы не всегда есть возможность зарезервировать.
В датацентрах часто присутствует услуга удалённой консоли, которая, наверное, не будет доступна при проблемах самого датацентра, но по крайней мере будет доступна при проблемах с вашей сетью или устройствами. В своей инфраструктуре можно начать с консольного сервера для критичных вещей, например, Opengear, или Moxa NPort, а у Cisco есть aux порт и reverse telnet/ssh. Когда все аварийные вопросы закрыты, можно смотреть в полноценную OOB сеть, если конечно её не построили сразу в момент проектирования основной.
Обзор методов работы с файлами из приложений. Всё, конечно, не просто.
Читать полностью…
Ох, сравнение в одной статье QinQ, MPLS и SDH c DWDM. Всё это, конечно, для передачи Ethernet как сервиса, но чтобы так в лоб сравнивать. Интересно, что автор называет QinQ проще чем MPLS, но в то же время противоречит сам себе и говорит, что обычно опыта работы с L2 не хватает поэтому большинство выбирает MPLS.
Масштабно QinQ мне встречался 15 лет назад и это была только провайдерская сеть, где для сегментации обычной нумерации виланов не хватило и пришлось добавлять второй тег. Но позже, несколько раз приходилось использовать двойное тегирование в том смысле в котором написано в статье, чтобы перенести клиентские виланы сквозь собственную сеть, не нарушив инкапсуляцию. В таком микро виде, с минимум подготовительной работы, QinQ действительно проще. Но L2 сети остаются L2 сетями со своими заморочками, а при том количестве материалов описывающих MPLS в различных видах, он не кажется сильно сложнее или дороже в эксплуатации.
Помните про serverless? Говорят что оно возвращается. На мой взгляд далекого от этого человека всё выглядит дико странно. Серверы никуда не делись, поставщики просто переподняли их у себя, на примере AWS Fargate, поменяв сложность обслуживания серверов на сложность взаимодействия с облачным провайдером, скорее всего не одним, и построение собственного слоя абстракции.
Читать полностью…
Мы начинаем 🎉
Зал: Инфраструктура и сетевые сервисы
Секция: КИИ, Постановление 1912 и оборудование для провайдеров
Алексей Болдин из компании RDP.RU открывает секцию с докладом на тему:
«КИИ: требования импортозамещать!»
Алексей расскажет, как критическая информационная инфраструктура (КИИ) связана с операторами связи, какие объекты КИИ есть у провайдеров, и как их категоризация влияет на их действия. Также обсудим переход на доверенное ПО и оборудование в рамках Постановления №1912.
🚩 Прямая трансляция форума
Но из того что я смог послушать, можно сказать, что подход который был взят в прошлом году, условно без матана, в этом году максимально реализовали. Естественно, для каждого матан свой, проходных и поверхностных докладов я не видел, над всем надо думать. К сожалению, я пропустил первый доклад от Hadal и про Dragonfly в Yandex (то о чём писал eucariot) и подозреваю что весь матан был сосредоточен в них, в записи увидим.
Отдельно отмечу близкие мне провайдерские темы про VK CDN от Андрея Старченкова, с программерской точки зрения, и мониторинг инцидентов BGP изнутри от Александра Азимова и Андрея Шабарова. Ещё было интересно узнать что офисная сеть Yandex живёт на FreeBSD роутерах, и что WLAN PI цветёт и пахнет со всей силой, особенно если собрать самому в два раза дешевле, а в Linux продолжают замещать стандартные функции ядра своими в userspace, потому что быстрее, о чём рассказывает Александр Демиденко в своей истории.
Всем кого встретил вчера, кто узнал и не узнал большой привет, было очень приятно пообщаться. Организаторам отдельное спасибо за организацию. Завтра Пиринговый форум вместе с которым до нового года можно каждый вечер заполнить просмотром чего-то интересного.
З.Ы. Продолжаю ругать фронтендоров, которые не реализовали прямые ссылки на описания докладов, поэтому без ссылок, щёлкайте сами с главной.
Если вдруг ещё не слышали, хотя из каждого утюга слышно, что CML теперь можно скачать и использовать бесплатно для 5 устройств, то теперь и вы об этом знаете. Какой-то аккаунт на cisco.com надо иметь и доступ не с Российских адресов, чтобы залогиниться. Есть ли смысл использовать именно CML, когда есть масса всего другого и не ограниченного по количеству одновременно работающих устройств? Наверное, нет. Cisco видимо тоже в этот вагон хочет заскочить за GNS3, EVE-NG, netlab и даже за Packet Tracer.
Читать полностью…
Наконец-то дописал статью по докладу, с которым выступал на Linkmeetup`KZ в Алматы.
Хочу сфокусировать ваше внимание на том, что это не исключительно техническая статья, что впрочем итак надеюсь будет понятно. Основная цель была в том, чтобы показать принцип инженерного подхода к решению задач и проработке тех или иных решений.
Надеюсь вам понравится, приятного чтения! ☕️
https://telegra.ph/RIP-BGP-11-23-2
Анализ labs.ripe.net по поводу обрывов кабелей в Балтийском море. Видно точное время, можно оценить количество пострадавших у кого увеличилось время отклика, и что не увеличилось количество потерь. Транзитный трафик не рассматривался, только Швеция - Литва и Финляндия - Германия.
Читать полностью…
У APNIC есть сервис который пытается отображать количество пользователей в автономных системах. Geoff Huston пишет как это устроено - на рекламных объявлениях. С точностью правда беда, в основном об этой беде вся статья. Но так как, в принципе, такой информацией мало кто делится, а если и делится то тоже привирает, поэтому хоть что-то лучше чем ничего.
Читать полностью…
Juniper про новую функцию vpn-global-import, которая должна упростить жизнь провайдерам.
Механизм разнообразных таблиц, типов маршрутов и метрик у них достаточно объёмный, что выливается в такой же объёмный конфиг для решения рядовых задач. Но с другой стороны десять раз подумаешь, а стоит ли нарушать границы, которые часто сам же и провёл.
Вспоминая свои первые шаги в профессии - понимание виланов, транковых и портов доступа, тегов, было наверное самым сложным, после этого всё завертелось быстрее.
Недавно в разговоре я столкнулся с тем, что начинающие практиковаться в сетях неотъемлемо связывают виланы с маршрутизацей и IP адресацией. Почти как здесь, где происходит в основном настройка интерфейсов маршрутизации (сабинтерфейсов, SVI) хотя названо всё это настройкой виланов. У себя я такого не помню, одно от другого было отделено, может быть потому что меня сразу пускали только коммутаторы настраивать. Вилан как сущность - это одно, а интерфейс с адресом - это другое, и одно без другого прекрасно существует.
Я не знаю как к такому можно быть готовым: Kentik рапортует об увеличении трафика Netflix в 4 раза, то же и на пиринге у Ohaio IX где в абсолютных цифрах выглядит страшнее. Эфирное телевидение с такими событиями лучше справляется, сколько бы народу не смотрело, а Netflix, судя по многочисленным отзывам не справился. Операторам связи, скорее всего, тоже досталось, вряд ли кто-то держит четырёхкратный запас, чтобы такое переварить, если заранее не знать.
Читать полностью…
Чуть больше подробностей о том как Fortnite распространяет свои обновления, что это становится заметно всем. И они так делают не первый раз, и не только они.
Читать полностью…
Fastly радуется тому что не попал в новости и поэтому делает новость сам про RPKI и проверку маршрутов. Проблема утечки и перехватов маршрутов в Интернет, как и технология RPKI давно уже не новая и широко используется, настолько, что государства обратили на неё внимание, как минимум в США и России (ищем на 71 странице pdf).
Сейчас подписано больше половины всех маршрутизируемых префиксов, пора внедрять проверку для широкого круга, а это делается немного сложнее чем просто подписать, но делать тоже надо. В будущем, наверное, доживём когда неподписанные прификсы приравняют к сбойным и тогда можно будет считать вопрос в этом аспекте решённым.
Пошаговый разбор момента установки BGP сессии в дампах трафика, начиная с рукопожатия TCP, на минимальной конфигурации BIRD.