2499
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Интернет это не архив и не библиотека, в том смысле что данные там не хранятся долго. Я бы не рассчитывал и на 5 лет, за 10 лет, как говорят исследования, теряется больше трети. Какое-то количество сохраняется, про что рассказывают в блоге archive.org, но это сохранение весьма условно. Веб уже достаточно давно не только текст, да и за границами веба есть много другого. Иными словами, копируйте информацию, а не ссылки.
Читать полностью…
ИИ научился настраивать BGP роли (RFC 9234). Но без ИИ можно и обойтись, тем более это всего одна команда на каждом пире и она есть не только на Juniper. Точно не повредит, а может даже спасёт.
Читать полностью…
Если используете Topolograph приходите в чатик пообщаться и рассказать о своём опыте, обсудить новую версию и возможности, предложить свои идеи. А если не используете, то стоит, конечно, попробовать, чтобы визуализировать и анализировать вашу IS-IS и OSPF сеть онлайн и офлайн тоже.
Что конкретно поменялось в curl при работе с DNS: ECH, HEv3 и производительность - в четырёх небольших частях, два, три, и четыре.
Бонусом ко всей этой истории с IPv8 мы теперь можем вспомнить и прочитать как и зачем делали IPv6 и что с ним не так, или не с ним.
Нельзя отрицать что с тех пор, когда стало понятно что нужен новый протокол что в итоге привело к IPv6, многое поменялось, всё стало сильно сложнее. Из-за этого всё новое, ставящее себе целью не сломать текущее, скорее всего, даже не сможет начать внедрение. Вспомним про QUIC, который строится не как новый номерной протокол транспортного уровня, рядом с TCP и UDP, а как следующий уровень над UDP.
Внедрение затянулось, это тоже сложно отрицать, но для IPv6 уже проглядывается финиш. IPv4, скорее всего никуда не уйдёт, даже в среднесрочной перспективе, но уже не будет основным, сейчас это сложно сказать определённо для всех возможных случаев.
Перебор с мемами на этих выходных, но не могу удержаться.
Читать полностью…
Посмотрите в подвале, в самом тёмном углу, возможно они всё ещё там.
Читать полностью…
Segment Routing на Arista и IS-IS, первые три статьи про основы, следующие про сервисы. Пока написано пять штук. Для Juniper и Cisco тоже есть.
Читать полностью…
Как CDN выбирают откуда отдавать трафик, публикация целиком в pdf. Авторы посмотрели на популярные в мире CDN, отдельно по странам тоже, про Россию есть. Глобально, больше выбирают через DNS, а не через anycast BGP, есть пересекающиеся варианты. Отдельно проверили использование в этом выборе DNS ECS и посетовали на непрозрачность механизмов принятия решений в выборе точки раздачи трафика, и излишнюю централизацию.
Возможно в физическом смысле время бесконечно, но это не точно. В инженерном смысле оно точно конечно, напоминание про это от Geoff Huston. Если не брать в расчёт GPS, где время уже несколько раз кончалось, то до ближайших дат больше 10 лет.
terrysweetser_90287/project-ipv6-first-a-case-study-in-achieving-an-80-native-ipv6-soho-network-34cb2912923d">Если задаться целью, то конечно можно дожать IPv6 и до 80% трафика и даже до 100% трафика. Но исходные 67%, у автора, прямо очень не плохо, в предыдущем посте тоже доля IPv6 преобладающая. Оставшиеся приложения, в данном случае это был BitTorrent, можно подтолкнуть, для совсем оставшихся есть CLAT.
Строим отказоустойчивую схему на двух Juniper SRX с их фишками. В комплекте - два провайдера, NAT, IPSec site-to-site, клиентский VPN, BGP, зоны безопасности, VRF.
SPF, DKIM и DMARC, почему не помогают и что можно с этим сделать - добавить MTA-STS, выкрутить все опции в strict и не забыть про DNSSEC и CAA.
https://www.instagram.com/evanroth_/reel/DWoldeDkvPI/
Читать полностью…
Универсальный инструмент против специального. В данном случае, ускорение вывода /proc/interrupts на треть, за счёт подрезания жирного функционала printf(). А всё потому что обращаться приходится слишком часто, чтобы это имело эффект и потребовалась специализация.
Я бы схоронил статью на диск, а то мало-ли, сейчас одна категория, а завтра другая. А шутка хорошая, конечно, с долей шутки.
Читать полностью…
Что можно узнать по QUIC CID просто слушая случайно падающий на вас трафик. На самом деле довольно много про внутреннюю структуру Meta, Google и Cloudflare.
Читать полностью…
Не все утечки маршрутов в BGP настоящие утечки, многое можно списать на переходные процессы. В каждом случае надо разбираться, даже такие неутечки, могут помочь построить свою маршрутизацию лучше, чтобы потом они не превратились во что-то большее. ASPA, RFC9234, MANRS, инженерные подходы и здравый смысл в этом помогут.
Интернет достаточно запутанное место, особенно там где встречается много операторов на точках обмена трафиком. Поэтому неудивительно, что через фильтры просачиваются не те маршруты которые должны. Других Интернета и фильтров у нас нет, особенно помня про качество исходного материала в IRR и AS-SET.
Читать полностью…
Сегодня все обсуждают версии IP протоколов, я предлагаю прочитать вот этот реальный RFC1606 про IPv9, на секундочку. Оцените предсказательный уровень, некоторые шутки и смелые допущения того времени, сейчас уже не кажутся таковыми. В любом случае, если изобретаете что-то новое, изобретайте новое, латание дыр это не серьёзно.
В вебе достаточно данных чтобы получить относительно точное время, не используя NTP или другой специальный протокол. Как это можно сделать с помощью Cloudflare, который добавляет некоторые заголовки с отметками времени, и функций браузера. Есть готовый виджет.
Новое руководство NIST про DNS в pdf. В блоге APNIC небольшой обзор. DNSSEC и DNS over что-то - присутствуют, свои DNS лучше и не забываем про мониторинг.
Промелькнул в ленте туннельный брокер route64.org (лучше сразу идти в панель управления, там же и регистрация, manager.route64.org), поймал себя на мысли, что сильно проще сделать самому на виртуалке в облаке, или где угодно. VPN все делать научились, надо к нему только IPv6 добавить, даже если у кого-то ещё нет IPv6, то мест где он есть полно. Не знаю как работает конкретно этот, регистрацию точно принимает, выглядит развесисто, но, кажется, всё это доживает последние дни, особенно если посмотреть на графики с двух предыдущих постов.
Для любителей притащить работу к себе домой - что попадает в NetFlow на домашнем роутере, помним про гиковость автора и его расположение в Индии. В качестве коллектора используется Akvorado.
Читать полностью…
IPv6 много, мы сами этого хотели, а используется их мало. Многое из неиспользуемого попадает в петли маршрутизации. От этих петель пользы никакой, но вред принести можно и достаточно ощутимый. Поэтому если сеть не используется, заверните её в Null0, потом достанете.
Много и обстоятельно про Safe Mode в микротиках, который вернёт конфигурацию в исходную, если доступ к устройству потерян, и другие подходы к безопасному конфигурированию, с примерами. Единственная мысль которая у меня мелькнула относительно этого, а почему не сделать этот режим включенным по умолчанию? В Eltex ESR, например, commit всегда требует подтверждения. Можно, наверное, придумать ситуации от которых и такой вариант не спасёт, но внеполосный доступ и резервные копии, упоминаемые в статье в том числе, никто не отменял.
Социальная инженерия для оператора связи. Злоумышленники убедили транзитного провайдера и установили сессию BGP с номером автономной системы, которым не обладали. Безопасность, она не только про технические средства, которые тоже важны, но не являются панацеей.
Распределённая сеть пробников для проверки доступности ресурсов - globalping.io. Можно воспользоваться услугами или предоставить свои мощности. Есть консоль, API, GitHub и аппаратные пробники, за спонсорство.