Про котят и сетевые протоколы. В комментариях продолжение и толковые замечания.

Объясняй это просто, но не проще чем требуется. Простое объяснение работы OSPF, но только на его вдумчивое чтение придётся потратить, я думаю, несколько часов. Есть про типы LSA от 1 до 5, про Area, про заголовки и LSDB и про то как это всё вместе работает, с упоминанием особенностей и примерами вывода для Cisco IOS.

Повествование последовательное, так что перелистывать не стоит, но если прямо всё действительно кажется простым, то последняя часть Connecting The LSA подводит итог и на примере показывает как из данных OSPF database собирается готовый маршрут.

Собственно программирование сетей, как есть: ConQuest - гоняемся за микробёрст на скорости порта. Нужны устройства с поддержкой P4 через которые проходит трафик или на которые трафик зеркалируем. Если проходит то ещё эффективно можем на него влиять, гораздо гибче предопределённых правил QoS. Как там интересно в ближайшем будущем, будет магазин с приложениями для коммутаторов?

#dns И раз уж я начал про DNS, сделаю пост для интересующихся (ВНИМАНИЕ — по ссылкам много узкоспециализированной технической информации)

✅ DNSSEC. Руководство регистратора доменов. Декабрь 2016:
Слайды: https://www.slideshare.net/schors/dnssec-71055077
(доклада не существует)

✅ DNSSEC. Руководство оператора. Октябрь 2017:
Слайды: https://www.slideshare.net/schors/enog14-dnssec
Видео Часть 1: https://youtu.be/rrDL7ymvm0A
Видео Часть 2: https://youtu.be/I2UEGPM0_ic
Видео Часть 3: https://youtu.be/RsPEoPWuxoY
Видео Часть 4: https://youtu.be/7e1Wj1wNRaA
Видео Часть 5: https://youtu.be/1b6G4VZJOt0

✅ Безопасность DNS. Популярный обзор современных практик. Сентябрь 2018:
Слайды: https://www.slideshare.net/schors/a-popular-dns-security-overview-modern-theory-and-practice-116166410
Видео: https://youtu.be/wkN1Yqcpj2c

👍 Возможно, под шумок, кто-нибудь решит внедрить DoH, или даже DNSSEC :)

А теперь не про простой OSPF, про его сходимость в самых базовых понятиях начиная от момента обнаружения проблемы до того как маршруты будут загружены в FIB/RIB. Есть и конкретные рекомендации, для тех кто заботится и кому важно не потерять ни одного пакета в своей сети. Классическая уже статья Петра Лапухова.

Не думал что уже увижу просто vi, а не vim и тем более им придётся воспользоваться. Но в итоге именно он и спас когда пришлось править установочные скрипты на RAM диске для восстановления одного из серверов с очень странной флэшки. Попутно оказалось, что я помню куда нажать в GRUB и mount, хотя не трогал эти инструменты много лет.
Интернет как справочник спасает сильно, но случается что и в режиме на полу в серверной прямо здесь и сейчас надо что-то сделать и тогда спасут только верная память и простые инструменты которые будут всегда. На ENIAC, который сегодня отмечает свой день рождения, конечно и vi не было, но на многом остальном он есть и лучше уметь им пользоваться, может пригодиться.

От этого процесса зависит будущее всего DNSSEC, хорошо что сломать сейф проще чем цифровой ключ. Сегодня в 6 вечера UTC можно будет посмотреть как это происходит, не как ломают сейф, а как используют самый главный ключ для подписи других ключей. Это происходит регулярно 4 раза в год, но в этот раз, наверное, народу посмотреть соберётся побольше. Популярно о том, что будет происходить и про то что случилось с сейфом можно почитать здесь.

Теперь и рядовые узлы RIPE Atlas можно скачать и развернуть в виртуальном окружении, а не ждать когда приедет железный вариант. Есть несколько вариантов установки включая Docker и Raspbian в списке рассылки уже за FreeBSD попросили. Самое время присоединиться.

​Домашний тест BBR vs. Cubic vs. Reno vs. Westwood в условиях 140мс RTT и 1,5% искусственных потерь с настройками по умолчанию - BBR побеждает с большим отрывом. Плюс статьи в том, что приводятся все необходимые настройки, чтобы повторить самим.

Наверное, стоит ещё раз сказать, что в конкретном боевом применение сначала стоит выяснить причину низкой пропускной способности, а уже потом пытаться её решать.
Возможно, применить пока что-то более экзотическое, например, FQ-CoDel, для решения проблемы с bufferbloat. На APNIC совсем недавно обзорная статья про это была, но лучше сразу сходить на bufferbloat.net.

​RFC это всего лишь RFC и даже MUST нам не указ. Работа в которой исследуется соответствие стандарта TCP (RFC793) обязательным требованиям и в итоге, проблемы есть как на уровне операционных систем и их стека, так и в большом Интернете.
При этом оно работает и можно сказать что успешно уже много-много лет. Может быть это говорит насколько силён запас прочности заложенный в RFC, или насколько все привыкли что RFC не соблюдаются и поэтому реализуют их с максимальным уровнем толерантности даже к обязательным требованиям.

Про микротики и VXLAN, наверное, уже все слышали. Вот минимальная лаба в виртуальном окружении со всеми нужными настройками.

Почему Ethernet MTU 1500 байт? А всё очень просто, дело в деньгах, точнее в памяти для буфера сетевой карты - 500 байт на заголовки и килобайт на данные:

The quote is correct; the primary reason for the 1500 byte frame length limit was to reduce the buffer memory requirement for network interfaces.
The intent was to allow for 1K byte of data, plus 500 bytes for protocoloverhead, encapsulation, etc. There *was* a single, deciding moment during the DEC-Xerox discussions when we locked down the length. In retrospect, a longer maximum might have been better, but if it increased the cost of NICs during the early days, it may have prevented the widespread acceptance of Ethernet, so I'm not really concerned.

--
Rich Seifert             Networks and Communications
                         Consulting
[email protected]     21885 Bear Creek Way
(408) 395-5700           Los Gatos, CA 95033

В статье Ben Cox, вспомнил про таймеры и синхронизацию, что, наверное, справедливо, как минимум это важные параметры протокола и достаточно сложные вещи для реализации. В любом случае конкретное решение и число, это всегда совокупность многих факторов, пусть и неявных и принимаемых подсознательно или на основе только опыта.

Помимо этого в статье немного статистики по количеству фреймов разной длины на AMS-IX и сколько тратится на заголовки, не будем говорить что впустую, но при большем размере MTU полосу можно было бы использовать эффективнее.

За всё надо платить, статья про скорость в вебе и сертификаты, которые тормозят этот самый веб, с примерами для Chrome и Firefox. Зелёный огонёк с названием компании в строке браузера стоит дороже всего. Теперь бы понять является ли это фетишем или реальной потребностью.

Тут, кстати, ещё красивый ASn продают 7007. К нему можно и красивых IP прикупить для полного комплекта.

Электронной почтой пользоваться небезопасно, зашифрованной тоже. Слишком много служебной информации доступно в открытом виде, слишком много промежуточных узлов которые видят всё это, слишком много иллюзий по поводу всего этого. Основной посыл такой, что архитектурно электронная почта не предназначена для безопасного общения, поэтому любые попытки этого добиться обречены на провал.
Ещё в статье присутствует немного ненавязчивой рекламы Signal, который настоящий и надёжный, хоть и требует от пользователя номер телефона и ругают PGP, но его только ленивый не ругает сейчас.
У меня вообще шифрование не прижилось, никто, абсолютно никто в моём круге общения не использует специальные методы чтобы себя обезопасить, если они не встроены и не включены по умолчанию. Как-то так, а нешифрованная почта с нами надолго, может хоть электронные подписи в ней приживутся, но не факт.

​На этой неделе к нам приехал небольшой презент от MSK-IX, спасибо ребятам за это большое. Сейчас у меня не так много личного живого общения, в основном чаты и почта, да и сложно назвать деловую переписку личной. Поэтому приятно получать какие-то вещи, даже если это просто коробка конфет, и знать что на том конце провода не роботы сидят, не только одни лишь роботы :) Не забывайте общаться вживую, это важно.

Ethernet, вероятно, самая распространённая сеть, но всё ещё не для всех случаев в этом мире и это нормально. Но такое желание есть и оно выливается в новые Ethernet стандарты для промышленных сетей контроллеров и автоматизации.

Чем плох классический полудуплексный Ethernet для автоматики - отсутствием определённости, в первую очередь в интервалах передачи, так как всегда присутствует фактор коллизии которую надо героически преодолевать. Не скажу за другие промышленные протоколы которые упоминаются в статье, но, например, в CAN коллизия как таковая отсутствует, конфликт решается жёстким определением приоритетов у контроллеров на основе его адреса и способа формирования сигнала в физической среде. Да, сам контроллер может заглючить и захватить полный контроль, но от глюков вообще мало кто застрахован.
Ethernet (полнодуплексный) в режиме точка-точка ограничен количеством подключаемых устройств, потому что между каждым из них надо организовывать среду передачи. В общем и это решается - полингом или передачей токена и один из вариантов такого решения в статье приводится. Это конечно свойство протокола, но уже, по сути, логическая надстройка над первым уровнем.

Так что мне думается, что просто так у Ethernet не получится вытеснить привычных "старичков" из этой ниши, тем более что это уже далеко не первая попытка. Инструменты подбираются под задачу, а не наоборот.

P.S. А CAN в самом деле интересный и не сложный в своей основе, про него стоит почитать для расширения кругозора и понимания, как у них там. Я в свое время на целую дипломную работу начитал.

Ещё немного Habr - хорошее описание использования специальных мультикаст link-local адресов IPv6. Однажды я так перезагрузил ядро нашей сети выполнив ping ff02::1 непосредственно с центрального коммутатора. Было это конечно давно и наверняка подобные глюки фазы роста уже не будут проявляться, но это не точно.
Полный список того что определено глобально или для специальных целей.

Hello world впервые появился в книге про Си непосредственно от создателей языка Си. Даже в википедии про это есть. Книга была опубликована сегодня в 1978 году, что позволяет нам отмечать день Hello world, неизменный атрибут программирования на любом языке все эти годы.

Cacti рисует самые красивые графики, мне нравится больше всех других систем мониторинга. Так что если пользуетесь, как мы, обновляемся обязательно, а то версию 1.2.8 немного поломали. Там есть нюансы в возможности использования уязвимости, надо быть залогининым, но не всегда.

Набор стилей Windows 95, смотрю сейчас и кажется что прямо ужас-ужас, при этом одновременно - ооох верните меня в мой 1997, когда я впервые нажал на кнопку Пуск.