Патчкорд

10 June 2025 09:20

Один день из жизни BGP. Графики, статистика по префиксам, автономным системам, кто сколько анонсировал в абсолютном и относительном выражении. В финале Geoff Huston вспоминает что BGP уже 40 лет, а он всё не меняется и всё также используется, и вероятно ещё долго будет.
Время напомнить про @FullViewBGPbot где актуальную статистику можно смотреть 3 раза в день.

Патчкорд

09 June 2025 09:49

Самые редко используемые подсети из диапазонов 192.168.0.0/16, 172.16.0.0/12 и 10.0.0.0/8. Метод не ахти точный, показывает то что используется, в основном, в домашних сетях - 192.168.0.0 вне конкуренции. Остальное тоже далеко не свободно, даже в этом исследовании. Нарваться на что-то занятое шансов, конечно, меньше в 10.0.0.0 и 172.16.0.0, но и они применяются весьма активно. Настолько активно, что достаточно многие выбирают адреса из 100.64.0.0/10 для назначения устройствам, чтобы наверняка ни с кем не пересечься, хотя и здесь нет никаких гарантий.
Из личной практики: 10.0.0.0 хотя и сильно больше, но именно из-за этого его и используют в провайдерах и корпоратах. А вот 172.16.0.0 встречается пореже, только выбирайте случайную, не очевидную подсеть, все удобочитаемые и рядом с ними будут заняты.

Патчкорд

05 June 2025 16:58

Можно же техническую ситуацию назвать милой? Syslog на удалённый сервер, логов не видно. Через какое-то время отладки логи находятся в сыром виде. Рядом точно такая же железка работает нормально. Ситуация накалаяется из-за своей внезпаной непонятности, время течёт, количество вовлечённых инженеров растёт. Когда пришёл лесник и посмотрел очень глубоко - обнаружил записи в системе логирования от Января 1970 года и не настроенные часы на железке. Железка реабилитирована, жизненный урок получен вместе с хорошим настроением от понимания собственного непонимания.

Патчкорд

04 June 2025 15:24

Результаты эксперимента в целом положительные, отъехало обновление, что естественно, обновление баз файрвола в том числе, и публичная почта Outlook, как будто бы больше ничего. Из эффектов заметно повысился отклик системы, особенно в момент пробуждения и загрузки. А в итоге, всё кончилось тем что я уехал на Linux Mint, тем что ещё оставалось.

Патчкорд

03 June 2025 16:05

Установка соединения HTTP по шагам с дампами Wireshark. Что и в каких случаях будет выбрано и как на это можно влиять: HTTP/1.1, HTTPS, HTTP/2, HTTP/3.

Патчкорд

02 June 2025 14:14

Как обстоят дела с BGPsec сегодня. Фактически никак, хотя инструменты и реализации есть, но всё это пока эксперименты. Ни один из RIR не поддерживает, а это необходимое условие.

Патчкорд

31 May 2025 18:59

Пятницу мы хоть и не пропустили, но вот ещё вдогонку.

Патчкорд

29 May 2025 14:40

А давайте теперь про Eltex, заодно и Huawei помянем. Я, кажется, уже говорил что мне нравится Eltex, но работал я только с коммутаторами, так и не пощупав до сих пор ESR хотя видел его описание ещё в самых первых анонсах.
Но вот, наконец, я добрался и до него в уже достаточно зрелом виде. Оказалось, что Eltex ESR и Huawei AR почти близнецы если смотреть на логику организации CLI и предлагаемый функционал, они похожи больше друг на друга чем каждый из них на Cisco или Juniper. Конечно, видно кто чем вдохновлялся, но на мой вкус, получился странный конфиг-гибрид, и не строгий иерархичный Juniper и не двухуровневая плоская Cisco, уж слишком много строк где всего одно действие, но все они объединяются под общей функцией и не могут существовать отдельно, и слишком много оставлено за скобками в действиях по умолчанию, чтобы уменьшить количество этих строчек для удобства чтения.
Если уж вспомнили про Cisco, то ESR, это то чем можно заменить ISR и ASR1k - корпоративный сервисный маршрутизатор всё в одном. И когда я это понял я был в полнейшем восторге о чём даже написал коллегам, что наконец-то, то чего так долго недоставало у нас есть. Причём, говоря про Eltex, у нас есть вообще все классы сетевых устройств, чтобы построить моновендорную сеть на отечественном оборудовании.
Но потом я углубился, хотя то что я пишу это всё ещё первые впечатления, и значение WTFs/m стало достаточно быстро расти, значительно опередив Huawei. Не то чтобы прямо что-то не заработало, но когда ожидаемое для тебя поведение сильно расходится с действительностью, всё время натыкаешься на то что приходится перешагивать. Оно может быть даже правильным согласно многочисленным стандартам, но вот сложившаяся практика от этого поведения отличается. В общем, я умудрился сломать ARP, запутаться в логике выбора лучшего BGP маршрута для анонсов, и файрволе, который statefull между интерфейсами a'la ASA, а не между зонами, поэтому трафик приходится укладывать в линеечку в обе стороны всегда.
Huawei в своём поведении оказался предсказуемей, но у Eltex больше привычных Cisco фич, а у Huawei в принципе больше крутилок и сразу включены умные функции защиты, у Eltex выключены - это в плюс, кроме файрвола, который включен, а у Huawei, наоборот, выключен. Документация лучше у Huawei - помимо отдельных команд, есть полный и подробный пошаговый гид по очень многим функциям, Eltex старается, но пока до такого далеко.
В любом случае, Eltex - зачёт, как я уже сказал, все классы сетевых устройств в копилке есть, можно строиться и доводить ожидаемое до действительного.

Патчкорд

28 May 2025 14:29

Как в IS-IS организована работа в общем сетевом сегменте с несколькими маршрутизаторами. Очень подробно, с выводамии из консоли каждого изменения и теорией графов в начале. Сравнение с OSPF тоже присутствует, и там почти также.

Патчкорд

27 May 2025 15:51

Старая школа, против нового ACME. Всё совсем плохо, к чему мы привыкли, но в статье главное - это подача. Настоящий инженерный сарказм в виде рабочих заметок, после лирического вступления.

Патчкорд

26 May 2025 13:32

NLnet Labs уже больше года пилят модульный BGP коллектор Rotonda, позволяющий получать маршрутную информацию из BGP, BMP, MRT файла, RPKI информацию через RTR и анализировать её, строить фильтры. Есть HTTP API и собственный язык фильтрации Roto. Последняя версия 0.4.1 и всё очень активно меняется.

Патчкорд

22 May 2025 14:56

Вот сначала как повезло владельцам РДП, а потом, когда нормальный бизнес с тугой маржинальностью потребовалось налаживать, везение превратилось в «финансовую яму».

Государство! Срочно закажи 100500 новых ТСПУ на столько миллиардов, сколько Маску для полета на Марс было бы с шапкой.

А может настала пора снять все ТСПУ и сдать их в металлолом?

Сколько недостаточного места в ДЦ освободилось бы? Сколько дефицитных сотрудников IT на прогрессивные разработки переключились бы? Сколько талантливых спецов по эксплуатации сетей реальными траблами занялись бы, а не изучением черных ящиков, которые изучают специалистов? А сколько продавцов випиэнов поняли, что они не IT резистанс, а нормальные инженеры и опять бы делом занялись. А?

Вспомнилось

Приходит мужик к Моисею и жалуется:
⁃ Жизнь ни к черту, домик маленький, детей много, тесно, еды на всех не хватает. Невмоготу!
⁃ Купи козу! - говорит Моисей
⁃ Да какая еще коза? И без нее не продохнуть…
⁃ Поступай, как я говорю!
Мужик пошел на базар, купил козу в кредит под 28%. Через месяц возвращается к Моисею:
⁃ Все! Совсем конец мне. Теснота еще хуже, коза все портит и везде гадит, а еще и кредит.
⁃ Продай козу!
⁃ ?

И мужик продал козу. Вернул кредит. В доме место появилось, еды стало больше, чистота вернулась, жена и дети заулыбались. И зажил мужик счастливо.

Патчкорд

22 May 2025 08:12

Новый инструмент у Cloudflare Radar показывает диаграмму связности до Tier1 на живых данных. Чтобы оценить самому, в интерфейсе выбираем Connectivity->Routing и вбиваем в строке поиска вверху префикс, для которого и будет строится диаграмма. Есть API, под капотом RIPE RIS и RouteViews. Стоит вспомнить и про radar.qrator.net в котором тоже можно посмотреть на диаграмму связности и не только.

Патчкорд

21 May 2025 08:05

И ещё Cisco лабы уровня CCNA. Плюс лабы по OSPF того же автора собранные в посте Linkedin.

Патчкорд

20 May 2025 08:46

Geoff Huston про устойчивость RPKI - даже если всё сломается, то с трафиком ничего не произойдёт, а оно периодически ломается. В остальном, надёжнее уже некуда. А как выглядит веб морда локального валидатора у провайдера, откуда данные уже забирают маршрутизаторы и строят фильтры можно глянуть, например тут rpki.powernet.com.ru.

Патчкорд

09 June 2025 15:10

NLnet Labs выкатили набор утилит на Rust для работы с DNS, на своей же библиотеке domain, как замену своим же утилитам на Си. Есть для генерации ключиков и разных записей DNSSEC, подписи зоны и посылки notify и update. Документация присутствует.

Патчкорд

06 June 2025 09:26

Хмммм... И в этом году до 50% не добрались, наверное, в следующем пройдём этот рубеж. Это что-то да значит, график всё ещё похож на линейный, но это явно не тот темп который был в момент начала нашего гадания. У Cloudflare, в целом, то же самое, если ботов не учитывать. Как будто бы Интернет в целом не растёт и это сказывается на IPv6.

Патчкорд

05 June 2025 07:19

DNS в опасности настолько, что целый лендинг для этого замутили dnsatrisk.org. Технически, наверное, ничего нового вы из него не узнаете. Из предлагаемой к прочтению публикации, скорее всего, тоже. Удобный способ фильтровать доступ к информации, простой и надёжный как сам DNS, поэтому им пользуются все. Не самый надёжный правда, но первый в ряду. Есть ещё про фрагментацию Интернета, блокировку по IP и всякое другое с примерами.

Патчкорд

04 June 2025 10:54

Пошаговый проход алгоритма поиска кратчайшего пути сразу с сетевой спецификой и дампами отладки IS-IS. Это скорее не объяснение, а реализация, неплохое, неформальное и наглядное объяснение есть в Википедии. Лучше эту реализацию написать самому на любом из языков программирования, так надёжнее всего усваивается. Скорее всего, вас заставят её написать в учебном учреждении, если в нём вообще проходят алгоритм Дейкстры. Я писал, недавно, кстати, на Leetcode, правда там это был не оптимальный алгоритм, но руки вспомнили именно его.
Заметьте, что мы ищем не сами маршруты, все точки перехода, а только стоимость маршрутов и ближайшую точку перехода от начала пути - next-hop, третий элемент в структуре данных применяемой автором (R2). А следующую точку перехода и стоимость, посчитает уже следующий маршрутизатор.

Патчкорд

03 June 2025 09:48

Azure не очень аккуратно работает со временем, если для вас это важно в пределах 0,1с - используйте NTP вместо PTP. С PTP не то что микросекундной точности, никакой точности не будет.

Патчкорд

02 June 2025 08:53

Анализ украинского Интернет сегмента от Kentik на основе анонсируемых IPv4 адресов, количество которых уменьшилось на 18,5%.

Патчкорд

30 May 2025 19:37

terinjokes/statuses/01JWECYB8H9RQ3NEMX1XTJ45RE">Даже Windows 98 уже может в IPv6, запускать правда нечего. Надеемся на статью от автора с пояснениями.

Патчкорд

29 May 2025 08:45

Никогда такого не было и вот опять - кто-то проанонсировал в BGP то что там не должно быть, некоторые это подхватили и проанонсировали дальше, а некоторые не справились и легли. Иногда, это даже специально происходит, порой хватало и длины AS_PATH, чтобы навести шороху. Про уже банальные утечки, происходящие почти каждый день, никто уже и не вспоминает. Интернет продолжает держаться на честном слове, как в прямом так и в переносном смысле. А на всякий случай, можно освежить в памяти мою статью про анализ BGP NOTIFICATION.

Патчкорд

28 May 2025 09:34

Пример сложности внедрения IPv6 - сеть это ещё не всё, главное это ПО которое тоже придётся обновлять, в данном случае cPanel. Давно не встречалось этого названия, но хорошо что починили.

Патчкорд

27 May 2025 08:51

Суть статьи про IPv6 в Docker в этом куске конфигурации:

networks:
  ipv6_native:
    driver: bridge
    driver_opts:
      com.docker.network.bridge.gateway_mode_ipv6: "routed"
    enable_ipv6: true
    ipam:
      driver: default
      config:
        - subnet: 2001:db8::/64
          gateway: 2001:db8::1

Патчкорд

26 May 2025 09:10

RFC - не закон, порой даже совсем наоборот. Идеальный мир где на каждом интерфейсе присутствует глобальный IPv6 адрес разбился о сложность реального мира и лень (тут в хорошем смысле) инженеров. Поэтому BGP работает без глобальных IPv6 адресов, даже частных, а на автоматических канальных адресах fe80::/10, которые присутствуют всегда. У разных вендоров по разному, но работает, нарушая RFC, но его может и поправят.

Патчкорд

22 May 2025 14:56

Читаю сейчас первый раз Гюго Отверженные, про революционную Францию начала 19 века, про Свободу, Равенство, Братство, Идеалы, Прогресс, Любовь, всё с большой буквы, потому что всё настоящее. Не знаю чем кончится, но пока все ключевые моменты разрешаются чудесным и невероятным образом, ожидаю такого же конца, одним словом - романтизм.

Патчкорд

21 May 2025 15:15

Настройка Juniper SRX в качестве VPN концентратора для нативных клиентов на Android, настройка самого Android тоже приводится. По пути ещё и FreeRADIUS подняли вместе со StrongSwan, и сертификаты научили выписывать.

Патчкорд

20 May 2025 14:57

Инструмент от APNIC - rex.apnic.net, где можно посмотреть на проникновение RPKI и не только, APNIC хвалится что QUIC недавно добаваили, про IPv6 тоже есть.

Патчкорд

19 May 2025 14:26

От теории к практике анализа сетевого трафика и что с этим знанием потом можно делать. Описываемый инструмент xenoeye - доступен на GitHub с хорошей документацией.