Как бы не хотелось построить по настоящему отказоустойчивую и распределённую сеть, почти всегда останутся места более важные чем остальные. Это может быть оборудование, или магистраль, или целый ЦОД. Даже в глобальном масштабе случаются проколы.

Многие, если не большинство мелких и средних провайдеров, в том числе отдельные части у больших провайдеров не имеют горячего резерва 1+1. Хороший вариант если резерв потянет хотя бы 50% от общей нагрузки, чуть хуже, если то из чего можно собрать резерв есть в наличии, или это можно снять с другого менее загруженного участка сети. Частый вариант, нечем менять и тогда замена ищется у друзей или соседей, или собирается кардинально новая схема позволяющая работать хоть как-то.

Эту картину плохо видно в общем, но на вскидку за последние 4-5 лет, в нашем регионе я знаю про несколько подобных аварий, со сроками устранения до нескольких недель, то время чтобы найти и доставить адекватную замену или настроить неадекватную требующую переделку многих внутренних механизмов. И мы сейчас говорим про центральный узел, на периферию часто легче найти замену из ранее используемого оборудования, но уже выведенного из эксплуатации, или быстро купить ввиду меньших требований к функционалу и производительности, да и последствий меньше.

Ещё момент касающийся централизации и почему иметь две точки выхода в Интернет в разных частях, разнесённых географически, для многих совершенно не по силам - это СОРМ и уже многочисленные инициативы и законы по централизованному управлению трафиком, которые в принципе ломают децентрализацию, если в провайдере её имели хоть в каком-то виде.

Я хочу понимать почему так и даже сам иногда верю что это дорого и не оправдано, но это точно не правильно. Пусть у вас ничего не ломается, а если и ломается то всегда было что-то вместо.

​Всё что вы скажете или сделаете может быть использовано против вас. В блоге APNIC представление работы, в которой делается предположение о типе и модели устройства на основе срабатывающей защиты от ICMP флуда.

Так как ICMP предназначенные устройству обрабатывается на центральном процессоре, производительность которого может быть небольшая, то его надо защищать и не только от этого. Разные устройства защищаются по разному, ограничивая обработку входящих запросов. По тому как они это делают, можно сделать вывод что это за устройства. Всё представлено в этой работе, со всеми выкладками и расчётами.

Метод может быть болезненным для роутеров, не зря же они защищаются, но на тех устройствах где тестировали всё было хорошо и ничего не упало.

Угадывать с какого IP будет получен ответ от устройства при использовании трассировки дело увлекательное, но неблагодарное, особенно в эпоху повсеместных туннелей. Однако кое-что можно предположить и даже выявить закономерности, что в случае использования L3VPN, роутер на границе туннеля ответит IP с исходящего интерфейса, а не входящего. Знать это важно для проведения всяких исследований настоящим учёным.

Обширная работа касающаяся этого "феномена" опубликована на CAIDA.org (pdf). Удивительно, что исследования требует созданная человеком конструкция и эта особенность находится не в результате чтения документации и общения с производителями, а в результате кропотливого и подробного анализа. Ссылка на готовый инструментарий на Github правда не рабочая, но как и подобает настоящей исследовательской работе написано всё подробно и дотошно с многочисленными экспериментами в реальных сетях.

Как управляться с dig - презентация c вебинара организованного ISC, запись тоже уже доступна.

У меня есть бумажная "Прикладная криптография" Брюса Шнайера, русское переиздание 2003 года. Я не знаю насколько это всё уже устарело, но встречаемая терминология, вроде, всё такая же. Вот другая "Прикладная криптография" из тех же лет, свободно доступная для скачивания. Но, собственно, и Шнайера сейчас можно легко найти на почитать не тратя ни копейки.

Сканеры портов TCP и UDP на полстранички кода в PowerShell. Можно сканировать по сетям или по списку, есть настройки таймаутов. На GitHub дополнительно лежит ещё парочка утилит для брутфорса паролей, тоже на PS.

В самом простейшем варианте можно использовать Test-NetConnection, чтобы определить доступность порта.

Проект по мониторингу некоторых публичных DNS резолверов на основе сети пробников smokeping и сами графики. К проекту можно присоединиться установив у себя ответчик. Что к чему и зачем автор это всё затеял подробно в статье, где он агитирует всех небольших интернет провайдеров установить локальный DNS резолвер для своих клиентов.

Обзорная статья про ECMP с прицелом на MPLS, но есть и про другое, включая некоторые типичные особенности и проблемы реализации в data plane.

NTP c TLS внутри - NTS, можно уже пробовать: если клиенты и серверы. Cкоро и в RFC. Путь который стоило пройти.

Про автоматизацию сети и почему не надо её использовать. На самом деле всё надо, но этот вопрос гораздо глубже и шире чем обычно представляется в самом начале. Не важно какой дорогой у вас кран на кухне если он протекает. Так и автоматизация, это один из элементов очень большой системы, не только самой сети, людей и просто поменяв одно на другое, не поменяв остального может и не принести результата, кроме потраченных усилий и денег, а за это с вас уже спросит хозяин этого банкета. Нужно понимать для себя ответ на очень простой вопрос "Зачем?" и видеть в этом реальную выгоду, если нет, то нет. А если да, то тут уже можно и горы сворачивать.

Новости отечественного ракетостроения, приборостроения. Вполне себе гигабитный коммутатор, это микросхема, ещё не продукт для телекомов. Не топовая, в сравнении с другими, но они и сами это понимают:

Несмотря на широкую номенклатуру Ethernet-решений нашей компании, они не выдерживают конкуренцию в сравнении с зарубежными разработками. На сегодняшний день зарубежные компании предлагают разные Ethernet-решения: в первую очередь, сетевые процессоры,
которые ведут обработку пакетов уровней L5–L7 на скоростях 10, 40 и 100 Гбит/c. Это следующая планка для нашей компании.

Зато с хорошим настроем, возможностями и планами на будущее.

Полистайте странички с документацией к этому и другим продуктам, сами документы, проекты, там даже Quick Start есть. Хорошая возможность взглянуть на уровень ниже, для большего понимания что же такое коммутаторы в принципе и как они устроены, тем более всё на русском-инженерном.

FCC собирает сведения о последствиях аварии произошедшей на сети T-Mobile 15 июня - как это повлияло на системы жизнеобеспечения, в частности на 911. Интересно, наш Роскомнадзор занимается такими расследованиями, было бы интересно почитать про реальные последствия массовых сбоев.

Если NAT это не про безопасность, то DNS точно про неё. Агентство национальной безопасности тестирует DNS для защиты предприятий на госконтрактах, потому что по их исследованиям это сокращает на 92% возможности атаки вредоносного ПО. Речь, скорее всего, про что-то вроде безопасного DNS как у Yandex или Cloudflare.
А чтобы защититься от самой АНБ надо использовать DNS over, совсем хорошо сделать себе свой, или используя что-то посерьёзнее.

Даже если сделать no switchport на интерфейсе Cisco коммутатора, то вилан для этого интерфейса всё равно будет использоваться, просто Cisco сделает некоторую работу за вас. Посмотреть такие виланы можно командой show vlan internal usage, а выбрать способ как такие виланы назначаются, командой vlan internal allocation policy. Служебные виланы для специальных нужд совсем не редкость, только, конечно, от устройства к устройству свои причуды и надо обязательно смотреть документацию.

О влиянии физики на экономику.

У задержек в Интернете есть чёткая нижняя грань — скорость света, 299 792 458 м/с. Это помнит большинство.

При этом многие забывают, что скорость света очевидным образом зависит от материала, сквозь который проходит свет. Если ему нужно проходить через гранит, то скорость будет равна нулю, а в вакууме, наоборот, свету ничего не будет мешать.

Коэффициент влияния среды на скорость света называется показателем преломления (refraction index). Для вакуума он определён как единица, у воздуха — около 1,00027, у дистиллированной воды — 1,3333.

У основанной на стекле структуры оптоволоконных линий связи показатель преломления обычно 1,467, то есть скорость света падает в 1,467 раза.
1 / 1,467 = 0,682 ≈ ⅔, то есть, грубо говоря, скорость падает на треть. Помимо этого, дальнобойные линии никогда не бывают идеально прямыми, есть и другие сложности.

В списке рассылки NANOG Род Бек из United Cable Company (компании, которая работает с подводными кабелями, включая трансатлантические) рассказывает: фирмы, которые занимаются высокочастотным биржевым трейдингом, больше этими подводными кабелями не пользуются.

Вместо этого они устанавливают на одном конце Атлантики (где у них источник информации для принятия решения) радиопередатчик, а на другом конце Атлантики (где у них NASDAQ) — радиоприёмник. Радиоканал на 5,4 тысячи километров, конечно, получается ненадёжный и убогий, всего 4 кбит/с, но передать по нему сообщение вида “BUY MSFT 1350”, в целом, можно.

Скорость передачи от этих манипуляций, понятно, возрастает примерно в полтора раза. На круг это около 8-9 миллисекунд, что весьма существенно.

Это хороший публичный пример того, из каких высокоскоростных и в то же время ужасающих костылей примерно весь этот высокочастотный трейдинг состоит.

Это как Формула-1 для IT. Тот, кто пойдёт туда работать, выйдет оттуда с колоссальными знаниями и контактами пары хороших психотерапевтов в придачу.

(как будто что-то плохое, да)

Шпаргалки по Wireshark - основы + типичные фильтры.

1000BASE-X изнутри и почти всё понятно: видно где байты, поля заголовка - спасибо автору за декодирование.
По этой картинке даже, можно грубо прикинуть реальную скорость в битах. Не грубо и удобнее это делается на самом осциллографе, у кого он есть.

Мы используем SoftEther VPN для удалёнки. Он весьма своеобразный и относительно простой, если не погружаться в детали. Админ который его поднимал с нами больше не работает, поэтому, как водится, другой админ решил сделать своё. И теперь у нас два VPN :) Второй - OpenСonnect VPN.

Не думаю, что принципиально для наших объёмов и задач будет какая-то разница между большинством VPN, но довольный админ тоже результат.

Про сложность отладки приложений и ещё немного примеров WireShark, в конце представление утилиты для сравнения дампов трафика в приемлемом виде - можно увидеть где и какие поля изменились, а какие добавились. Забирать с GitHub, в статье пишут что в процессе разработки, но репозиторий уже давно не обновлялся.

Современные процессоры сложные, очень сложные. Настолько сложные, что очень мало кто, в принципе, понимает тонкости их работы. Гонки за производительностью породили многие штуки, не всегда корректные с точки зрения надёжности, безопасности, согласованности состояний. Интересное, действительно лёгкое чтение про одну из них - Store Buffer, когда память слишком медленная, но всё равно хочется побыстрее. Внутри есть ссылка на более основательный вариант статьи.
Ну и конечно, всё что было порождено однажды, теперь требует вечной поддержки, даже если, в подавляющем большинстве случаев, используется не более четверти от этого.

У RETN новая интерактивная карта сети. Я не знаю какая была старая, на новой точки присутствия с указанием услуг и типами магистралей между ними. Есть просто висящие в воздухе точки и это не офисы, ощущение что чего-то не хватает. LG - нагляднее.