Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Анализ украинского Интернет сегмента от Kentik на основе анонсируемых IPv4
адресов, количество которых уменьшилось на 18,5%.
terinjokes/statuses/01JWECYB8H9RQ3NEMX1XTJ45RE">Даже Windows 98 уже может в IPv6, запускать правда нечего. Надеемся на статью от автора с пояснениями.
Читать полностью…Никогда такого не было и вот опять - кто-то проанонсировал в BGP то что там не должно быть, некоторые это подхватили и проанонсировали дальше, а некоторые не справились и легли. Иногда, это даже специально происходит, порой хватало и длины AS_PATH, чтобы навести шороху. Про уже банальные утечки, происходящие почти каждый день, никто уже и не вспоминает. Интернет продолжает держаться на честном слове, как в прямом так и в переносном смысле. А на всякий случай, можно освежить в памяти мою статью про анализ BGP NOTIFICATION.
Читать полностью…Пример сложности внедрения IPv6
- сеть это ещё не всё, главное это ПО которое тоже придётся обновлять, в данном случае cPanel. Давно не встречалось этого названия, но хорошо что починили.
Суть статьи про IPv6 в Docker в этом куске конфигурации:
networks:
ipv6_native:
driver: bridge
driver_opts:
com.docker.network.bridge.gateway_mode_ipv6: "routed"
enable_ipv6: true
ipam:
driver: default
config:
- subnet: 2001:db8::/64
gateway: 2001:db8::1
IPv6
, но тут можно пропускать.NAT66
с трансляцией /64
в адрес интерфейса. Для этого тоже термин PAT используется? Не хватило мне публично маршрутизируемых префиксов, а без IPv6
уже никак не работает.
Читать полностью…
RFC
- не закон, порой даже совсем наоборот. Идеальный мир где на каждом интерфейсе присутствует глобальный IPv6
адрес разбился о сложность реального мира и лень (тут в хорошем смысле) инженеров. Поэтому BGP работает без глобальных IPv6 адресов, даже частных, а на автоматических канальных адресах fe80::/10
, которые присутствуют всегда. У разных вендоров по разному, но работает, нарушая RFC
, но его может и поправят.
Читаю сейчас первый раз Гюго Отверженные, про революционную Францию начала 19 века, про Свободу, Равенство, Братство, Идеалы, Прогресс, Любовь, всё с большой буквы, потому что всё настоящее. Не знаю чем кончится, но пока все ключевые моменты разрешаются чудесным и невероятным образом, ожидаю такого же конца, одним словом - романтизм.
Читать полностью…Настройка Juniper SRX в качестве VPN концентратора для нативных клиентов на Android, настройка самого Android тоже приводится. По пути ещё и FreeRADIUS подняли вместе со StrongSwan, и сертификаты научили выписывать.
Читать полностью…Инструмент от APNIC - rex.apnic.net, где можно посмотреть на проникновение RPKI
и не только, APNIC хвалится что QUIC
недавно добаваили, про IPv6
тоже есть.
От теории к практике анализа сетевого трафика и что с этим знанием потом можно делать. Описываемый инструмент xenoeye
- доступен на GitHub с хорошей документацией.
Там Neal Agarwal собрал интернет-артефакты с 1977 года. Начиная с карты ARPANET и первого спам-письма (отправлено в 1978 году 320 получателям, в результате продано мейнфреймов на $13 млн).
Через первую вебкаму к проблеме 2000 и хампстерденсу. Артефакты есть до 2007 года. На фото к посту одно из самых первых фото, загруженных в интернете: чисто женская музыкальная группа сотрудниц CERN, которые тусили в той же лабе, что и изобретатель веб Тим Бернерс-Ли.
Все вроде бы хорошо и по делу. Но. Где Ядерный Титбит?
Наша статья про связность глазами магистрального оператора, рожденная в муках и спорах, таки принята к печати и вышла в журнале Интернет изнутри №22.
Время не соглашаться и возмущаться.
Вариант настройки поддержки DNS зоны с DNSSEC в надёжном и безопасном варианте с использованием Knot DNS.
Если вы помните я поддерживаю DNSSEC
зону для моего почтового сервера на Bind. И вроде бы он не плохо справляется с этой ролью, достаточно дружелюбно, но так как я поддерживаю ещё и DoH
резолвер host-correct.ru, то я и его переместил на Bind.
И вот тут вышла засада, конечно, как серьёзный инструмент я его не рассматриваю и надеюсь его также не рассматривают немногочисленные его пользователи, но раз в месяц или раз в два месяца DoH
отваливается, при том что всё остальное работает. Поэтому скорее всего в приближающейся очередной итерации обновлений моей инфраструктуры, для DoH
я вернусь на Unbound или Knot-resolver. Мне хочется вынести перед ними настоящий веб-сервер/прокси который бы занимался обработкой TLS
, оставив DNS
работу только DNS
.
Будничный анализ рядового события утечки от Geoff Huston по таблице маршрутизации за 1 мая и рассуждения о пользе RPKI
. Бонусом и про отключение электричества в Испании.
С такой точностью в @FullViewBGPbot данных нет, поэтому именно это событие прошло незаметно, но другие, если внимательно смотреть, можно увидеть.
Арифметические линейные модели, даже ошибочные, всё равно лучше чем люди эксперты. Читается просто и на английском, но автоперевод тоже адекватный. Общий вывод - лучше посчитать, хоть как-то, чем поверить субъективной, хоть и экспертной, оценке. Но без экспертизы всё равно не обойтись на этапе составления модели, особенно при выборе переменных модели.
Читать полностью…А давайте теперь про Eltex, заодно и Huawei помянем. Я, кажется, уже говорил что мне нравится Eltex, но работал я только с коммутаторами, так и не пощупав до сих пор ESR хотя видел его описание ещё в самых первых анонсах.
Но вот, наконец, я добрался и до него в уже достаточно зрелом виде. Оказалось, что Eltex ESR и Huawei AR почти близнецы если смотреть на логику организации CLI
и предлагаемый функционал, они похожи больше друг на друга чем каждый из них на Cisco или Juniper. Конечно, видно кто чем вдохновлялся, но на мой вкус, получился странный конфиг-гибрид, и не строгий иерархичный Juniper и не двухуровневая плоская Cisco, уж слишком много строк где всего одно действие, но все они объединяются под общей функцией и не могут существовать отдельно, и слишком много оставлено за скобками в действиях по умолчанию, чтобы уменьшить количество этих строчек для удобства чтения.
Если уж вспомнили про Cisco, то ESR, это то чем можно заменить ISR и ASR1k - корпоративный сервисный маршрутизатор всё в одном. И когда я это понял я был в полнейшем восторге о чём даже написал коллегам, что наконец-то, то чего так долго недоставало у нас есть. Причём, говоря про Eltex, у нас есть вообще все классы сетевых устройств, чтобы построить моновендорную сеть на отечественном оборудовании.
Но потом я углубился, хотя то что я пишу это всё ещё первые впечатления, и значение WTFs/m стало достаточно быстро расти, значительно опередив Huawei. Не то чтобы прямо что-то не заработало, но когда ожидаемое для тебя поведение сильно расходится с действительностью, всё время натыкаешься на то что приходится перешагивать. Оно может быть даже правильным согласно многочисленным стандартам, но вот сложившаяся практика от этого поведения отличается. В общем, я умудрился сломать ARP
, запутаться в логике выбора лучшего BGP
маршрута для анонсов, и файрволе, который statefull
между интерфейсами a'la ASA, а не между зонами, поэтому трафик приходится укладывать в линеечку в обе стороны всегда.
Huawei в своём поведении оказался предсказуемей, но у Eltex больше привычных Cisco фич, а у Huawei в принципе больше крутилок и сразу включены умные функции защиты, у Eltex выключены - это в плюс, кроме файрвола, который включен, а у Huawei, наоборот, выключен. Документация лучше у Huawei - помимо отдельных команд, есть полный и подробный пошаговый гид по очень многим функциям, Eltex старается, но пока до такого далеко.
В любом случае, Eltex - зачёт, как я уже сказал, все классы сетевых устройств в копилке есть, можно строиться и доводить ожидаемое до действительного.
Как в IS-IS организована работа в общем сетевом сегменте с несколькими маршрутизаторами. Очень подробно, с выводамии из консоли каждого изменения и теорией графов в начале. Сравнение с OSPF
тоже присутствует, и там почти также.
Старая школа, против нового ACME. Всё совсем плохо, к чему мы привыкли, но в статье главное - это подача. Настоящий инженерный сарказм в виде рабочих заметок, после лирического вступления.
Читать полностью…NLnet Labs уже больше года пилят модульный BGP коллектор Rotonda, позволяющий получать маршрутную информацию из BGP
, BMP
, MRT
файла, RPKI
информацию через RTR
и анализировать её, строить фильтры. Есть HTTP API и собственный язык фильтрации Roto. Последняя версия 0.4.1
и всё очень активно меняется.
Вот сначала как повезло владельцам РДП, а потом, когда нормальный бизнес с тугой маржинальностью потребовалось налаживать, везение превратилось в «финансовую яму».
Государство! Срочно закажи 100500 новых ТСПУ на столько миллиардов, сколько Маску для полета на Марс было бы с шапкой.
А может настала пора снять все ТСПУ и сдать их в металлолом?
Сколько недостаточного места в ДЦ освободилось бы? Сколько дефицитных сотрудников IT на прогрессивные разработки переключились бы? Сколько талантливых спецов по эксплуатации сетей реальными траблами занялись бы, а не изучением черных ящиков, которые изучают специалистов? А сколько продавцов випиэнов поняли, что они не IT резистанс, а нормальные инженеры и опять бы делом занялись. А?
Вспомнилось
Приходит мужик к Моисею и жалуется:
⁃ Жизнь ни к черту, домик маленький, детей много, тесно, еды на всех не хватает. Невмоготу!
⁃ Купи козу! - говорит Моисей
⁃ Да какая еще коза? И без нее не продохнуть…
⁃ Поступай, как я говорю!
Мужик пошел на базар, купил козу в кредит под 28%. Через месяц возвращается к Моисею:
⁃ Все! Совсем конец мне. Теснота еще хуже, коза все портит и везде гадит, а еще и кредит.
⁃ Продай козу!
⁃ ?
И мужик продал козу. Вернул кредит. В доме место появилось, еды стало больше, чистота вернулась, жена и дети заулыбались. И зажил мужик счастливо.
Новый инструмент у Cloudflare Radar показывает диаграмму связности до Tier1 на живых данных. Чтобы оценить самому, в интерфейсе выбираем Connectivity->Routing и вбиваем в строке поиска вверху префикс, для которого и будет строится диаграмма. Есть API
, под капотом RIPE RIS и RouteViews. Стоит вспомнить и про radar.qrator.net в котором тоже можно посмотреть на диаграмму связности и не только.
И ещё Cisco лабы уровня CCNA. Плюс лабы по OSPF
того же автора собранные в посте Linkedin.
Geoff Huston про устойчивость RPKI - даже если всё сломается, то с трафиком ничего не произойдёт, а оно периодически ломается. В остальном, надёжнее уже некуда. А как выглядит веб морда локального валидатора у провайдера, откуда данные уже забирают маршрутизаторы и строят фильтры можно глянуть, например тут rpki.powernet.com.ru.
Читать полностью…Про чудный мир современного программирования, где ничто не постоянно и приложения начинают гнить с момента своего рождения, а попытка это исправить и обрести спокойствие может привести вас к сумасшествию. И ответ на это, что так было не всегда (надеюсь вы научили добираться до Twitter), раньше (ну конечно!) было лучше.
Читать полностью…Чтобы использовать IPv6
надо думать как IPv6
, думать как IPv4 не надо. Но от NAT
, в каком-либо виде всё равно не уйти.
К прочтению обязателен весь номер, который наконец-то отражает суть вынесенную в названии журнала и суть, вообще, Интернета - связность, на всех её уровнях: от подводных кабелей, ДЦ, спутников, провайдерских взаимоотношений. Авторы подошли со всей серьёзностью и даже формулы не побоялись оставлять в статьях. И ещё про вино, что в каком-то смысле тоже про связность :)
Читать полностью…Как в Juniper прикрутить измеренную задержку к выбору наилучшего маршрута с использованием IS-IS
. Там далеко не только заявленный IS-IS
и поэтому выглядит очень громоздко в настройках. Отдельно про основы IS-IS
в Juniper, хотя в примере выше они вообще не важны, смотрим тут.
Обсуждение применения и влияния принципа надёжности: "Будьте строги при передаче и лояльны при приёме", для процессов создания и поддержки Интернет протоколов - RFC9413, с примерами в обе стороны.
Читать полностью…Тихих вам выходных и спокойно отметить все наступающие праздники.
Прошедшее 1 мая обогатило меня знаниями, что AD активно использует ICMP и зря я в этот раз перестарался с его блокировкой, а также доверился дефолтному поведению Huawei anti-attack
, впрочем, дефолтными таймаутами сессий файрвола я остался доволен.