Патчкорд
2.42K subscribers
203 photos
18 videos
59 files
2.97K links
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Download Telegram
Ещё один клиент для многих утилит сканирования сети - GoScan. Интерактивный интерфейс, готовый набор команд, база данных с результатами работы. Работает в Linux и для Docker всё готово, куда теперь без него.
Может мне кажется, но в последнее время в поле зрения попадает много обёрток над проверенными годами инструментами, а новых оригинальных инструментов которые на слуху, не видно?
С приходом универсальных инструментов на специализированные устройства происходят интересные казусы. Например, SSH пытается разрешить обратное имя по IP и у него обычно это получается, так как DNS обычно настроен на серверах, чего нельзя сказать про коммутаторы. Поэтому либо настраиваем, либо отключаем: UseDNS no в sshd_config. Похожая, но другая классическая проблема у Cisco, решается по другому.

Самый, наверное, противный момент с DNS, что когда надо действовать быстро, что требуется во время аварии, а DNS недоступен вследствие той самой аварии, то теряются драгоценные секунды если разрешение имён не выключено, хотя в остальное время он очень даже полезен.
Большая статья про URL и историю современного Интернета в блоге CloudFlare. Много общеизвестных вещей, много отступлений не совсем по делу, но интересные детали тоже присутствуют. Повествование построено на разборе составных частей URL, для каждой из которой дано описание и какие-то исторические сведения. По сегодняшним меркам, из-за объёма, не тянет на лёгкое чтение, но в итоге получился такой исторический ликбез, без погружения, то что, предполагается, должны знать все.
Прямо ухх статья, про Unix-way и вообще философию CLI, что мы потеряли или не потеряли за всё прошедшее время. Классический подход, одна утилита - одна функция, отсюда есть отдельно cat и tac. При этом количество аргументов стандартных утилит выросло иногда в разы. Плохо это или хорошо? Чем отличается в сложности построить конвейер из 10 элементов или применить 10 опций у одной утилиты? Автор достаточно критично проходится по "старой школе", что наверное не плохо, нельзя держаться за реалии 50 летней давности.

С другой стороны, очевидный минус который я вижу это наименование опций командной строки для разных утилит, когда "-L" всякий раз значит что-то разное. Не всегда, но полагаться на то что опции одинаковые для разных инструментов не стоит. И тут разница, запомнить 10 утилит с 5 опциями в каждой, или 5 со 100. Может быть вообще можно обойтись и одной утилитой, но чего не отнять - сложность увеличилась. Наличие конвейера всё же заставляло поставлять более менее стандартизированный поток вывода, иначе не заработает.

Но тут опять стоит согласиться с автором, мало кто запоминает ВСЕ опции. Наличие возможности быстро найти то что нужно нивелирует многие спорные моменты. Да и совместимость никуда не делась, можно писать в old school стиле и всё будет работать.
Сделал себе DoH сервер, на всякий случай, а потом подумал, почему только себе и решил поделиться с вами https://host-correct.ru/doh, чем мы хуже Cloudflare :)

Побочным эффектом запилил munin плагин для Knot Resolver (переделал из Unbound плагина). Быстро не нашёл готового, поэтому немного поразмял мозги.

Не уверен что сервер вытащит больше даже 100 запросов в секунду, поэтому надеяться на него не стоит, для надёжности и безопасности лучше свой поднимать. Логи я отключил, оставил только статистику запросов, конфигурация элементарная, места под кеш практически нет, но пользоваться можно.
Мне очень нравится организация файла конфигурации у Juniper: строгая, иерархическая и структурированная. Правда, как оказалось, после того как у нас появился Juniper, самый не очевидный момент для моих коллег это включение интерфейса из состояния disable. Вот такая конструкция delete interfaces xe-0/0/0 disable, вызывает минимум удивление, а максимум эмоций я описывать не стану. При этом Juniper самый логичный из всех - установить настройку всегда set, убрать настройку всегда delete.

В Нuawei используется undo, чтобы убрать настройку, но там в целом подход больше похожий на Cisco CLI - undo shutdown, включит интерфейс.

У Brocade в контексте интерфейса можно написать как no disable, так и просто enable. Где-то не далеко D-Link у которого есть пара enable/disable для сервисов и конструкция conf ... state disable/enable для интерфейсов.

А вот больше всего удивления от delete interfaces xe-0/0/0 disable. Что-то в этом delete не то для нашего брата админа, ассоциации вызывает другие, может слишком знакомое слово, Juniper на заметку.
Forwarded from NetDevOps Space
Junos маршрутизатор собственными руками? Не вопрос!
Теперь вы можете собрать его используя cRPD и LinuxKit
"На момент написания этой статьи бесплатная пробная версия для cRPD отсутствует" - пишет автор статьи. "Но когда это нас останавливало?"- скорее всего подумали вы.
"Тем не менее, многие из Juniper работают над тем, чтобы cRPD стал доступнее."- ответит вам автор.

Что такое сRPD?
cRPD берет некоторые из лучших частей Junos (RPD, MGD), дезагрегирует и упаковывает их в легкий образ контейнера.

Что такое LinuxKit?
Linuxkit - это "набор инструментов для сборки настраиваемых минимальных, постоянных дистрибутивов Linux".
Он позволяет вам собрать свой собственный легковесный дистрибутив Linux, используя контейнеры.

Пойду приготовлю себе маршрутизатор! - 🔥
Меня это не остановит! -💪
Не, не надо! - 😏

Хотите обсудить? Айда в чат - https://t.iss.one/automate_devnet

#juniper #crdp #linuxkit
Иногда поздний старт даёт колоссальные преимущества. Основная рабочая лошадка в США для скоростного интернета это кабельные операторы, которые кабельное телевидение, и соответственно DOCSIS как способ доступа. Телеком операторы (бывшие телефонные компании) в догоняющих, скорее в отстающих, потому что из коаксиального кабеля выжать получается больше. В DOCSIS 3.1 добрались до гигабитных скоростей, xDSL сильно проигрывает.

Если сравнивать с нами, то у нас развитие шло другим путём. Взрывной рост интернет операторов, которые сразу строили свою инфраструктуру для Интернет, который в начале 2000-х уже играл доминирующую роль. Итого, если говорить про большие города, говорю про свой город - оптика, как минимум до здания, обычное дело, витая пара под гигабит, тоже. Оптика в помещение (квартиру) xPON, у многих.

Итого, инфраструктура вплоть до симметричного гигабит канала до конечного абонента у нас была построена уже лет 10-15 как. И как минимум один переход с обычного Ethernet до Fast Ethernet операторы уже пережили и многим это обошлось только в смену оборудования, не кабельной инфраструктуры (если изначально не сильно экономили), замена которой обходится дороже всего. Сейчас вялотекущий переход от Fast Ethernet к Gigabit Ethernet, найти парочку операторов с тарифами больше 100Мбит/c не проблема.

Почему у нас так, потому что у нас не было ничего, а тем у кого было строить заново очень сложно, вот коаксиал и дотянул до последнего. Но переход на 10Гбит/с легко не дастся никому. И тут мы уже можем оказаться в отстающих и использовать свою кабельную инфраструктуру до последнего, вместо того чтобы строить новую.
На этой неделе ко мне подошёл коллега, кого я обманываю, конечно, написал в чате, и говорит: "Хочу IPv6 себе домой, можно?". В такой безвыходной ситуации я ответил что можно, вот у нас туннель настраивай и подключайся, всё работает последние много лет. Но он оказался настойчивый, от туннеля отказался и потребовал себе всё нативно.

И это странно. Простому абоненту в домашних условиях не нужен IPv6. Точнее ему всё равно что там с той стороны экрана - картинки открываются, музыка играет, вот основная цель. И своё мнение я не изменил за прошедшие 6 лет. В первую очередь это надо провайдеру, по многим причинам, и как продать это абоненту, или директору, или инвестору уже его проблемы. Иногда бывает, что в IPv4 не работает и случается повышение интереса именно к IPv6 - с 0 до 10 в год ;). Но обычно в IPv4 всё быстро чинится, или в IPv6 быстро становится нерабочим. В наших реалиях это когда РКН что-то блокирует, хотя бывает и по-другому.

Несомненно, мой коллега не является обычным абонентом и у него другой интерес к этому, что не может меня не радовать, но и чуть печалить, потому что такое случается не чаще раза в три года. Зато теперь на одного абонента IPv6 в мире больше.

Наш проект законсервирован и уже давно, но многие другие работают и делятся опытом - видео с IETF104 2019 год и презентация в PDF:

1. Deutsche Telekom. Простая сеть без туннелей и PPPoE. "Модные" IPoE и даже термин такой звучит. IPv6 only опорная сеть.
2. DHCP Relay и PD. Описаны типичные проблемы, у нас такие же были при внедрении.
3. Несколько разных /56 абоненту в CPE, чтобы дифференцировать услуги, их провижининг. А вот это чуть необычно и вызвало вопросы в зале, в том числе. Но каждый строит так как ему удобнее, значит так было надо.
4. Про MTU, куда без этого.

Не всё ещё решено, но чтобы решать проблемы надо с этим работать и использовать каждый день. Пусть и в пилотном режиме, пусть это будет в руках нескольких энтузиастов, но когда придёт время будет значительно проще.
SETI приостанавливает свою работу, новость начала марта, но стоит того чтобы к ней вернуться. 20 лет работы, невероятная цель и возможность участвовать каждому желающему. Всегда, где-то на границе моего сознания и памяти было ощущение грандиозности проекта, я не помню когда я о нём услышал, но точно не позже 3 или 4 года существования и даже поучаствовал чуть-чуть. Я знал что SETI работает, а значит есть кто-то, кто верит в мечту и ты можешь верить вместе с ними. И почему-то казалось, что это есть и будет всегда, ведь мечту нельзя остановить. Наверное, сейчас другие мечты - пишут что все данные посчитаны, надо провести анализ и написать статьи, а есть ли внеземной разум или нет, науке про это неизвестно.
Вряд ли те кто использует Routinator 3000 никак его не мониторили, но вот тут официальный дашборд для Grafana выложили. Так что можно использовать, сначала поставить Routinator, конечно, если ещё не поставили. Его использовать важнее - от проверки RPKI уже никуда не уйти.
Статья про то, что DHCPv6 не нужен (стащил ссылку у linkmeup). И в Google так считают.

В основном, написано про то как собирать и отслеживать уже существующую информацию, про Radius accounting, логирование, про безопасность и авторизацию, которая реализуется NAC. Что правильно, но как эти данные назначить и передать хосту? За пределами назначения DNS полномочия IPv6 SLAAC кончаются, да даже DNS является дискуссионной опцией.

DHCP не обеспечивает синхронность состояний, конечный хост может произвольно поменять или игнорировать любые параметры от DHCP, но DHCP позволяет централизованно осуществить рассылку нужных хосту параметров и это уже далеко шагнуло за границы IP как такового. Упомянутый в статье NTP это как торчащие ушки большой проблемы централизованного управления большим набором конечных устройств.

Конечно, для этого есть AD или TR-069, или если уж на то пошло SD-* решения. Поэтому, ни капли не защищая DHCP - он не обеспечит ни безопасность. ни контроль состояний, ни гарантию применения параметров - не используйте его в этих целях. Но, DHCP рабочее решение прямо сейчас, которое поддерживается подавляющим большинством устройств и позволяет как минимум попытаться определить границы и передать те начальные значения в которых устройство должно работать. А уже потом можно включиться и взрослым ребятам с аккаунтингом и мониторингом и автоматизацией и авторизацией по сертификатам, чтобы контролировать эти границы, которые для начала должны быть обозначены. И пускать этот процесс на самотёк так себе идея.

Другой вариант как передать адрес сервера начальной настройки или другого сервиса без DHCP - DNS и сказать что это лучше, никак нельзя. Сколько уже разных вариантов service discovery туда прикрутили и сколько из них хотя бы минимально совместимы между собой? DNS ещё более резиновый.
Или, размазать выдачу адресов конечным хостам на сотни разных сетевых устройств, для каждого из которых придётся менять настройки, вместо централизованного управления DHCP. Это не проблема в эпоху тотальной автоматизации можно управлять и 10 000 устройствами одновременно, но всё сразу ломается когда это будет хотя бы 100 разных версий одного вендора, не говоря о 100 разных вендорах - типичная ситуация с абонентскими подключениями в провайдере, где каждый абонент сам по себе.

DHCP удачно объединяет в себе многие функции. В статье эти функции по отдельности расписаны и для реализации которых надо поднимать несколько разных систем вместо одной, пусть плохой, но рабочей. Рано его ещё хоронить, светлое будущее непосредственного управление каждым устройством в сети конечно наступит, но не прямо сейчас. Но не стоит забывать что всему своё место и решать задачи надо теми инструментами которые для них предназначены, у DHCP такие задачи всё ещё есть.
Бесплатный доступ к онлайн-курсам вузов России

Министерство науки и высшего образования (Минобрнауки) подготовило перечень бесплатных онлайн-курсов от основных российских вузов. Перечень включает свыше 600 курсов от МГУ, СПбПУ, МИСиС, УрФУ и других университетов и институтов.

https://minobrnauki.gov.ru/ru/press-center/card/?id_4=2473

Список курсов - https://minobrnauki.gov.ru/common/upload/library/2020/03/Spisok_onlayn-kursov_20200316-03.pdf
MSK-IX предлагает порты в тест на 3 месяца, я думаю не стоит отказываться у кого есть такая возможность. У нас есть потребность, но возможность не очень есть.

Честно, я не увидел сильных аномалий на графике MSK-IX, разве что IPv6 трафик вырос, но его в принципе меньше, т.е. просто на глаз рост заметнее. Однако, многие другие рапортуют что интернет трафик значительно вырос ввиду перераспределения рабочих мест из-за карантинных мер.
У нас скорее сезонный спад, без аномалий и пусть он таким и остаётся. При этом, обычная картина в будние дни это явно выраженный пик в вечерние часы и мало трафика в среднем за сутки. В выходные дни, когда все дома, много трафика в среднем в течение всего дня, но не максимально много и пик вечером меньше.

Подавляющее большинство трафика это онлайн видео, в частности Youtube, и я не думаю что он у многих является рабочим инструментом, если не филонить. Наверное, мы не превысим пики потребления даже в случае если все кто могут станут работать удалённо, при том что средние значения, вероятно, поднимутся. Загадывать сложно, как минимум максимальное потребление в вечерние часы не совпадает с рабочими часами. Но мы оператор последней мили преимущественно только для домашних абонентов, у IX и CDN ситуация уже другая, с каждого по капельке вот и наводнение получилось.

В любом случае, к этому надо быть готовым и даже в обычных условиях иметь полосу про запас. Значительный рост потребления трафика иногда случается просто из-за резкого ухудшения погоды, как одного из основного фактора влияющего на загрузку наших магистралей.
Самое главное при поиске проблемы - это системность этого поиска, в статье совсем краткий обзор нескольких подходов, на cisco.com чуть более развёрнуто.
По сути даже не очень важен метод, важнее его дотошно придерживаться. В противном случае, через какое-то время будет не отличить начальную проблему от той которую привнесли в ходе решения. Экспертный подход - исключение, которое часто, очень часто заводит в такие дебри, где уже и двум экспертам не разобраться.
В блоге APNIC большая статья, других Geoff Huston не пишет, про проблему отзыва сертификатов - как это работает и где не работает. Мало того что сайт предоставляет вам действительный подписанный сертификат, он уже может быть скомпрометирован и узнать это можно только проверив его в центре авторизации.
Для этого существуют различные способы, которые влияют, в том числе, и на скорость работы сайта, если вообще браузер их использует. Но от этого даже можно отказаться сделав время жизни сертификатов короче, может быть сильно короче, или использовать DNS, он всё стерпит.
FTP в браузерах похоже всё - по соображениям безопасности. Браузер, наверное, не самый лучший способ использовать FTP, но иногда удобный из доступных. С другой стороны, и в самом деле ему там не место.
13 каждодневных инструментов командной строки, это не ликбез, это просто перечисление с одним или двумя примерами. Каждодневных совсем не преувеличение, из всего вышеперечисленного лично я не использую awk, вот вообще, и наверное fold, для которого я не вспомнил ни одной реальной стоящей передо мной задачи в консоли, всё остальное постоянно.
Последнее время я много заменяю sed усложняя его команды, вместо использования простых утилит. Но каждая из них сама по себе достойна того чтобы как минимум прочитать man, так как они интереснее и мощнее чем кажутся на первый взгляд. Например, tail - не просто вывод последних N строк, но и вывод всех строк кроме N первых, а всего-то надо поменять минус на плюс. И всё это описано на одной-двух страничках руководства и реализуется не большим количеством страниц на Си.
Как подобрать забытый пароль от Cisco. В двух простейших случаях ничего подбирать не придётся, про password 7 все знают - это всё равно что ничего не зашифровано. С secret сложнее и зависит от типа использованного шифрования, но даже перебором современное железо с некоторыми может справиться быстро.

Про причины подбирать пароль а не сбрасывать не буду рассказывать, расскажу про один недавний случай:

Cisco(config)#username admin secret 5 admin
ERROR: The secret you entered is not a valid encrypted secret.
To enter an UNENCRYPTED secret, do not specify type 5 encryption.
When you properly enter an UNENCRYPTED secret, it will be encrypted.

Что происходит: мы пытаемся задать пароль, когда должны были задать его хеш и Cisco нас подстраховала (потом отыгралась на switchport trunk allowed vlan). Если бы нет, то мы никогда бы не смогли зайти под пользователем admin, потому что не знаем какой пароль на самом деле скрывается за хешем "admin". И это вполне реальная ситуация, потому что системы резервного копирования тоже подстраховываются и могут заменить хеш, например, звёздочками:

username admin secret 5 ***

Если просто взять эту копию конфигурации и залить на железку, то может получиться не очень.

Так страхует Cisco, но есть же и другие вендоры. Попадает ко мне устройство с тестов с комментариями: "Невозможно зайти в консоль, не подходит пароль":

administrator admin encrypted 1 admin1253

Но это я, конечно, увидел уже после того как прошёл процедуру восстановления пароля.
Forwarded from addmeto
Netflix снижает качество "вещания" своего контента на Европу - чтобы даже у маленьких европейских провайдеров хватало канала и пользователи могли круглосуточно продолжать смотреть свои сериалы. В принципе это все что вам надо знать об эффективности массовой работы из дома https://www.bbc.com/news/technology-51968302
Отличное, пусть и не новое, описание и сравнение команда в команду для ifconfig и ip.

ifconfig вряд ли выпилят. Максимум спрячут в отдельный пакет который надо будет ставить или сделают обёртку поверх ip с привычным синтаксисом, потому что выпиливать не принято, но в man очень грозно предупреждают:

IFCONFIG(8) Linux Programmer’s Manual

NAME
ifconfig - configure a network interface

SYNOPSIS
ifconfig [interface]
ifconfig interface [aftype] options | address ...

NOTE
This program is obsolete! For replacement check ip addr and ip link. For statistics use ip -s link.