​Если на клетке слона прочтёшь надпись «буйвол», не верь глазам своим.

Детальный обзор Cisco 2960, которая совсем не Cisco. При этом всё работало и даже устраивало владельцев, пока не пришло время обновляться. Я думаю многие так и не заметили бы - списали бы как брак, или потому что просто не обновляются. Может быть, даже покупали бы подешевле, зная что это не настоящая Cisco. Что, в том числе, говорит о высоком уровне технологического обеспечения тех кто такие подделки делает и серьёзных затратах на это.

Не читая сам документ, попробуйте определить на какой картинке подделка, на левой 👈 или на правой 👉.

​Я сейчас не часто покупаю себе бумажные книжки. Раньше делал чуть чаще, особенно студентом, почти с каждой стипендии. Но раньше выбора было поменьше, да и стипендии не на всё хватало. Сейчас я, отчасти, восполняю этот пробел покупая классические вещи, но делая это от случая к случаю, больше под настроение чем системно. И вопрос цены, по прежнему, тут не последний.

Сегодня забрал с доставки "Внутреннее устройство Windows" в современном варианте. Читать буду обязательно, надеюсь будет интересно, потому что в своё время я так и не забрался сильно глубоко. Для моих практических целей хватало win32.chm и SoftICE. И даже то что вы можете увидеть на фотографии на полке слева, я с трудом помню, что вообще читал.

Пока вы спали, у cloudflare на 23 минуты прилегло 50% их сети. Знаете почему?? Опечатка в конфиге на роутере в одном из приватных бекбонов! https://blog.cloudflare.com/cloudflare-outage-on-july-17-2020

Пульс Интернета - каждый участник глобальной сети подключенный к ней по BGP может это увидеть.

Остальные могут воспользоваться ris-live.ripe.net и одной из двух десятков точек присутствия, или всеми сразу, чтобы получать уже отформатированные данные и нарисовать свой пульс. А можно просто смотреть за сменяющими друг-друга сообщениями и медитировать, прикоснувшись к самой его сути.

Про BGP - тезисно. Разные аспекты работы, не все, но очень важные. Шпаргалка, чтобы вспомнить, для тех кто уже знает.

Кстати, простой способ DNS over TLS используя systemd-resolved, с большой вероятностью он уже есть в системе. И держим в уме что всё падает, поэтому резервируем своим.

Современное состояние мира Интернет, того самого, который с большой буквы. В котором одновременно существуют IPv6 и IPv4 и это делает его хуже. НО, надежда есть.

Это статья продолжение вот этой песни и не менее замечательная. В ней нету технических деталей, всё простым и понятным языком, про те эмпирические законы на которых Интернет был построен и IPv6, в том числе, и что из этого получилось.

Коллега админ поднимал тестовую среду и столкнулся с проблемой что SFP+ не определяется в сервере - нет интерфейса. Дело уже почти дошло до перекомпиляции драйвера, но хватило опции allow_unsupported_sfp=1. Такой привычной для Cisco, но почему-то не подумалось, что такое может быть для серверной карточки и её драйвера. Причём эту опцию он как раз в коде драйвера и увидел.

Самый быстрый способ - известный в первую очередь тебе самому, а значит самый простой. Проблема могла бы быть решена и заменой SFP+, и "прошивкой", чтобы мимикрировать под нужного вендора, и перекомпиляцией драйвера, если так проще. И это всё верные решения, правильные с разных сторон, для разных людей с разным опытом и разными подходами. И теперь в этой копилке есть ещё одно.

Что к чему с настройками разрешения имён DNS в Linux, в пяти частях. Про все конфигурационные файлы, чуть про Docker с Kubernetes и отладка. В продолжение настроек DNS over TLS.

А вот то, про что я говорю последние два года: эпоха единого интернета проходит, начинается фрагментация. Уже есть четыре самостоятельных сети, регулируемых США, Евросоюзом, Китаем и Индией.

Если вас интересует состояние и будущее интернета - обязательно прочитайте, особенно про Индию и Jio. Статья небольшая, но важная https://stratechery.com/2020/india-jio-and-the-four-internets/

Апдейт: В блоге Дзена отличная выжимка-перевод этой статьи https://t.iss.one/zenleaks/2625

Про кикстартер и то, что бюрократия везде бюрократия, во все времена и во всех местах. А ещё про то, что за идеей стоит гораздо больше чем просто идея и конечный продукт - это не самый простой путь.

Меня спрашивают по десять раз в день, когда уже можно будет купить флиппер. Попробую ответить здесь


Почему так долго?
Сделать полноценное устройство намного сложнее, чем просто голые платы. Тут нужно объединить одновременно работу нескольких заводов. Изготовление корпуса и плат происходит в разных местах, отдельно еще сборка, прошивка, тестирование, упаковка. Никакой завод не будет производить вам десять штучек, (вернее будет, но по цене они будут как из золота) поэтому нужно сразу заказывать партию от тысячи штук. Поэтому, чтобы запустить производство, нам нужно сразу оплатить всю партию, а это миллионы денег.

Помимо этого есть еще целая куча юридических вопросов. Кикстартер работает только с некоторыми странами вроде США, Гонконга, Японии, Германии и еще пары штук. Изначально мы планировали все делать через Гонконг, но нас долго мурыжили с проверками из-за нашего не очень благородного происхождения и в результате послали.

Поэтому в начале месяца мы решили идти через США. Эта процедура состоит из нескольких этапов, возможно, когда-то я расскажу подробнее.

✅ Открытие компании
Компанию в США может открыть иностранец. Это делается достаточно просто, можно полностью удаленно, сидя за компьюктером у себя в Мухосранске. По сути, это просто создание сущности в реестре штата. У нас заняло 4 дня. При этом вас даже не спрашивают паспорт! Просто имя “Вася Пупкин Инкорпорешн”.

✅ Получение физического адреса
Это очень смешная процедура. Чтобы подать документы в налоговую, вам нужен физический адрес в США, на который будет приходить бумажная почта. Для этого вы должны разрешить посреднику вскрывать ваши письма и пересылать их сканы по интернету. Закон требует нотариального заверения такого разрешения. Выглядит это так: вам звонит темнокожая женщина по видеосвязи, и вы показываете ей паспорт в камеру. Вот только проблема в том, что ей нужен документ на английском языке с подтверждением вашего домашнего адреса, на котором будет ваше имя. По-русски она читать не умеет. Пришлось ей в прямом эфире переводить счета за электричество, очень весело.

✅ Получение номера налогоплательщика EIN
Сама по себе компания не может почти ничего. Чтобы оперировать деньгами ей нужен номер налогоплательщика. Это уже намного сложнее, вы должны ПО ФАКСУ (!!!) отправить запрос в налоговую и ждать ответа на физический адрес. Многие знакомые ждут ответа уже второй месяц. Нам же удалось сделать этот номер всего за день. Часть этой процедуры предполагает звонок в налоговую США, где нужно попросить прислать тебе ответ по факсу. Для этого пришлось арендовать факс (sic!)

✅ Верификация компании на Кикстартере через Stripe
C этой процедурой мы как раз застряли дольше всего. Из-за того, что EIN мы получили очень быстро, судя по всему, он не успел попасть в какие-то базы налоговой и не проходил автоматическую проверку в Stripe. Но благодаря вашей активности в твиттере, Stripe быстро все решил прямо в самом твиттере. Лайки и комменты действительно работают.


❌ Получение банковского счета
Это самый сложный этап. Большинство серьезных банков открывают счета только после того, как посмотрят вам в глаза лично и обнюхают со всех сторон. Иностранцам открывают счета с большей настороженностью, а удаленно почти никто не открывает. Сейчас мы ждем апрува от сервиса Mercury, это что-то вроде отечественного Рокетбанка, то есть модная веб-прокладка к другому материнскому банку. Они единственные заявляют, что открывают счета удаленно иностранцам. Их CEO мне пообещал в твиттере что все будет норм. На всяких случай вот твит https://twitter.com/zhovner/status/1286046151695884289

❌ Проверка продукта Кикстартером
В самом конце Кикстартер проверяет соответствует ли наш продукт их требованиям. Это делается в самом конце, когда уже есть банковский счет, поэтому мы пока эту проверку не проходили. По заявлению Кикстартера это занимает до 3 рабочих дней.


Сейчас остались только эти два последних шага. По опыту предыдущих действий я не могу даже примерно сказать, сколько это займет времени на самом деле. Но если все пройдет гладко, то через пару дней после апрува мы запустимся.

Простыми словами как работает зеркалирование в коммутаторах и как не работает тоже. Функция несомненно полезная, но как и любая функция может иметь особенности применения, про которые стоит знать.

Например, ограничение производительности, которое сказывается не только на скопированном трафике, но и на проходящем. В этом случае несколько часов поиска причин происходящего вам обеспечены. Для некоторых устройств существуют разные способы добиться желаемого, которые задействуют разные механизмы, об это тоже стоит узнать и выбрать нужный.

Если сразу строить сеть на IPv6, то, во-первых, будут исключены все проблемы связанные с трансляцией адресов в любом виде. А, во-вторых, не будет никаких отмазок и психологических барьеров, которые сейчас присутствуют у очень многих компаний: всё работает, нас всё устраивает, продержимся ещё пару лет, а там уж как-нибудь.
Такая роскошь доступна, конечно, стартапам и тем кто вдруг затеял реорганизацию или большой, новый, независимый проект внутри своей компании - стоит воспользоваться шансом.

​Просто Mac OS 8.1 как приложение Electron, написано на JavaScript, запускается везде, даже мой ноутбук справился, с трудом конечно.

Интернета нет, но есть уже предустановленные приложения и можно подключать диски и копировать своё. Можно ностальгировать тем у кого был Макинтош в конце 90-х. Или пощупать и сравнить с тем, что было в конце 90-х у вас.

Дотошный разбор проблемы соединения между клиентом и сервером. Очень хорошо расписаны конкретные техники работы с Wireshark и на что обращать внимание в заголовках пакетов. Стоит конечно учитывать, что разбор был сделан уже с учётом найденной причины, да и не часто удаётся иметь дампы с двух сторон. Они, кстати, представлены в статье, можно смотреть на них и следовать за автором, но и без этого всё понятно.

А ещё про то, что презентация результата не менее важная часть, чем собственно результат. Надо чтобы вас услышали и поверили, а для этого надо себе верить. Про это тоже есть.

Всех тех кого бил током терминатор, тех для кого оранжевый, синий и зелёный не просто цвета, тех кто может подобрать любой пароль любого сотрудника бухгалтерии, тех кто был чернее-чёрного после заправки первого картриджа, тех кто знает где находится не только любая кнопка, а даже кнопка ровер, тех кто не мёрзнет в серверной бесконечными бессонными ночами, тех кто знает сколько раз надо перезагрузить компьютер, чтобы всё заработало, тех кто не гонится за славой и богатством, всех тех кто остался таким в душе и всех тех кому ещё предстоит пройти этот путь - с праздником.

Т-а-а-а-к. Плюс один год нашему каналу, итого целых 3! Если ещё не начали праздновать, то вот вам повод.

439 постов за истекший год, 136 из которых форвард из других каналов. В сумме - это меньше чем в предыдущие годы, в какой-то мере, потому что не хочется повторяться, в какой-то, потому что кардинально нового, профессионального в моей жизни ничего не происходит, не смотря на всю ту бурю событий которые происходят в мире. А прежде чем писать, хочется пропустить через себя, чтобы понять что есть что.

В среднем по 870 просмотров на пост, что больше чем в прошлом году, но и наших подписчиков теперь тоже значительно больше. Спасибо что приходите и остаётесь, спасибо что пишите замечания и предлагаете на что-то посмотреть. Спасибо тем кто форвардит и вспоминает нас добрым словом.

Самые-самые по просмотрам. Про министерство обороны и IPv4 адреса, где в итоге, всё не совсем так. Про IPv6 Day, где тоже всё не совсем так, потому что смотрю вокруг и везде вижу IPv6 уже сейчас, а не через 14 лет, такого ещё несколько лет назад не было и в помине. Про то как самому портить трафик, когда это надо и про OSPF в шпаргалках.

Скажу спасибо за то что выразили свою поддержку в связи с уходом от нас админов и с праздником программистов, наверное, тоже. Заслужили оценки и Eltex, которому помогла прошивка и моё рабочее место на которое я ещё так и не вернулся.

Мне нравится Juniper и его консоль, но не всем как мне ;) no switchport и как правильно блокировать в Интернете тоже не являются самыми приятными темами.

Воспользуюсь случаем и напомню ещё про @bgp_table_bot в котором живёт лента Твиттера про то насколько большой Интернет, и про https://host-correct.ru, чтобы помнить какой он небезопасный. Проекты (скорее игрушки), которые я неразрывно связываю с этим каналом.

Три года это много, для меня точно. Не скажу что не ожидал, просто не задумывался о том во что это выльется и может вылиться. Я рад что это не превратилось в рутину, я рад что мне по прежнему интересно, я рад что могу делиться тем что интересно мне и нахожу вашу поддержку. Продолжаем в том же духе, взрослеем и пишем дальше про жизнь в сетях, жизнь сети, новое и фундаментальное, стараясь не попасть в сиюминутные веяния сосредоточившись на главном.

Как строить сети современному Интернет провайдеру, чтобы иметь возможность быстро удовлетворить потребности своих клиентов. Иногда очень быстро, как показывает опыт этого года, когда потребовалось единовременно пропускать гораздо большие объёмы трафика, чем обычно, даже, в самый нагруженный день.

Статья-рассуждение на тему построения масштабируемой архитектуры в современных провайдерах, как это устроено сейчас и чему им стоит поучиться, например, у дата центров с их leaf-spine подходом, если вдруг повторится ситуация текущего года с резким ростом требуемой мощности, и надо ли.

Почти 15 лет назад, когда я пришёл работать в свой первый провайдер, у нас была одна Cisco 7301, потом вторая, потом третья, потом их стало пять. Каждая из них играла роль PPPoE концентратора, каждая принимала и отвечала на запросы всех пользователей, мы даже не делали балансировки: она получалась естественным образом соответственно нагрузке каждого из устройств. Это были независимые устройства, выход каждого из строя не стоил бы нам ничего, если бы мы не экономили на них и использовали, хотя бы, с минимальным резервом N+1, но мы всегда были почти на грани, иногда за ней.

Потом пришла мода на большие коробки - BRASы, вокруг которых строилась инфраструктура. Но кто-то продолжал покупать 7301 или что-то, что позволяло обслуживать 1000-3000 абонентов на ограниченной территории, строя свой мини-интернет в рамках города или области. Потеря одного узла - почти ничто, отсутствие центральной точки отказа многого стоит, расшириться тоже очень легко - не надо покупать большую коробку, достаточно маленькой и дешёвой.

И это была бы идеальная архитектура, которая со временем обросла бы необходимыми резервами магистралей. Но самая большая проблема это получить доступ в большой Интернет, что заставляло стягивать всё в одну или реже две точки, что ставило под вопросом необходимость держать много небольших самодостаточных узлов, вместо одного, который и так был необходим. Не забываем и про государство.

В результате, получили то что получили - сеть не из кубиков, а монолит, не у всех, но многих. Не в рамках страны, а в рамках города или области, что, конечно, сужает возможности быстрого и масштабного расширения простыми способами, которые так хорошо работают в дата центрах, как описано в статье.

Настройка pf для разрешения доступа к SSH и не только, блокировка всего остального раз и навсегда. Так как заранее известны параметры работы наши сервисов, можно легко срезать все IP которые постучались не на тот порт, или делают что-то слишком настойчиво, или не из той страны. Следующий, логичный, но не сделанный, шаг - белые списки.
Подходы общие не только для pf, аналогичное можно повторить и на iptables. Не забываем про возможный спуфинг, чтобы самих себя не заблокировать.

Лаба в PacketTracer c Vlan, STP, VTP - подробнейшее описание со схемами, логами, командами. Прямая ссылка на Dropbox.

Время VTP прошло, вроде бы, хотя у меня в 2018 году интересовались про отличие версии 2 и 3 на собеседовании перед началом одного проекта. Может быть, если у вас только Cisco одной модели, в изолированной сети и вы знаете что делать, то это оправдано, если вообще оправдано держать большие широковещательные сегменты.

Сейчас vlan pruning, самое интересное в VTP, собственно, как и распространение настроек виланов по устройством решается автоматизацией, а у многих других вендоров всегда только так решалось. Главное предсказуемость, а кажущаяся простота VTP тут обманчива.