Патчкорд
2.42K subscribers
203 photos
18 videos
59 files
2.97K links
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Download Telegram
Много видео-презентаций уроков про маршрутизацию в Интернет, даже очень много https://learn.nsrc.org/bgp, спасибо большое за ссылку нашему подписчику. Есть про технологии, есть про лучшие практики, есть про безопасность, есть про устройство и взаимодействие, есть даже чуть-чуть про OSPF и IS-IS, а не только BGP. Под каждым видео мини тест на понимание.
Управляемся с виланами и vnet внутри jail во FreeBSD - простые действия, как создать, как настроить, как добавить правила ipfw и pf.
Кстати, про контейнеры и jail есть системы обёртки, если не хочется вручную, например, Bastille или CBSD.
Всегда держите вариант про запас, очередной виток мироздания и популярным может стать что-то другое.
Хорошая попытка обобщить разные мнения в споре SLAAC vs. DHCP, ответов тут нет, а вывод как и всегда - используйте то что больше подходит в вашей ситуации.

Походите по ссылочкам, так как рассматривается общая проблема полезно оценивать всё это издалека. Во многом, с точки зрения безопасности, про то что DHCP их не решает, но не только.
Если запустить EIGRP, OSPF, IS-IS, RIP (а почему нет?), поверх всего этого BGP, конечно используя разные аппаратные и программные платформы и среды, то результату удивляться не стоит, просто стоит быть внимательным и поменьше доверять системе в выборе лучшего решения.
И ещё инструменты для диагностики и разворачивания своего.
Список публично доступных серверов DoH (DNS over HTTPS) - полезно для мониторинга обхода средств защиты https://t.co/M4Xbjupgsw
— Alexey Lukatsky (@alukatsky) January 14, 2021
Ещё один способ построить L3 топологию сети, используя BGP-LS, GoBGP и Python. GoBGP, со своим API очень вовремя появился и если не как боевой маршрутизатор, то как мост для автоматизации наверняка своё место застолбил.

Остальное в общем понятно, есть распространённая инженерная задача, мы её решаем. Cпособов много, используя модные инструменты, и даже программировать не надо.
Все системные вызовы FreeBSD - название, пару слов описания и ссылки на MAN и исходники.
Каждый учится только на своих ошибках, даже если знает про чужие. Хорошая статья про архитектуру приложений, в которой чувствуются все набитые шишки. И конечно во всём виноват DNS.
Распределение DNS записей: CAA, DKIM, SPF, DMARC, а также DNSSEC и IPv6 за последние 3 года. Выборка не очень большая и, по большому счёту, каких-то видимых изменений за это время в ней не произошло.
Работа в которой показывается, что IP адреса в качестве уникального идентификатора не самый точный показатель. Поэтому составляя запрещающие правила на основе только адресов, не забывайте их периодически обновлять, 1-2 дня и ситуация меняется кардинально.
Интересно, что в работе использовался BitTorrent в качестве исследовательского инструмента, чтобы определить какие адреса являются NAT. Собранные адреса и скрипты можно найти по ссылкам.
Forwarded from TT — Terrible Telco (Дмитрий Шемонаев)
Johan Gustawsson (Telia AS1299) показал в твиттере график использования чипов на сети Telia. BRCM DNX это Cisco NCS 55/5700 и Arista R3.
Вот и в Монголии уже 100% покрытие ROA. Как они этого добились, а шли они к этому сознательно, в блоге APNIC.

Таких стран всего две и это не самые большие страны в мире Интернет. В России, например, на два порядка больше ASn делегировано. Но, это не значит что можно этим не заниматься, тем более что для этого достаточно пары кликов на специальной страничке после авторизации в ripe.net.

Я знаю что многие компании, большие и маленькие, для которых Интернет средство, а не основной бизнес, но при этом имеющие адреса и даже являющиеся LIR относятся к этому, мягко говоря, спустя рукава - не поддерживают актуальность записей, забывают что у них вообще есть эти ресурсы, ведь всё и так работает, делегируют эту обязанность тому через кого взаимодействовали (покупали адреса) с RIPE NCC. Некоторым потом это аукается.

Операторы в Монголии только разговорами и информированием смогли добиться выдающихся результатов, давайте и мы также, а? Тем более, что процесс внедрения валидации идёт неплохо. А скоро ещё и ASPA подвезут, но надо всем поучаствовать, иначе бессмысленно.
Если пишите на Bash время от времени, то можно взять за основу вот этот шаблон - включаются различные проверки, есть корректный выход, разбор входных параметров, даже украшалки. Объяснения прилагаются.

Кто пишет много, наверное, сам до всего дошёл. Я почти не пишу сейчас, вообще никак, но несколько небольших, как залог успеха, но ключевых для работы моих скриптов на Bash успешно трудится и свою роль выполняет.
Я всегда использовал вот такие настройки для аутентификации в Cisco консоли:

aaa authentication login default group radius local

Сначала RADIUS, потом, если с ним что-то не то, локальные записи. Собственно, этот же подход растиражирован во всех официальных и не очень инструкциях, учебниках и статьях. Но вот так:

aaa authentication login default local group radius

тоже работает. Если логина не существует в локальной базе, то происходит авторизация по RADIUS. Локальная база хоть и стоит первой, но отсутствие логина не считается за ошибку авторизации и обработка методов продолжится. Я правда не знаю в каких конкретно Cisco и версиях IOS это работает, поэтому пробуйте.

В чём тут плюс. Если до RADIUS нельзя достучаться, а такое часто происходит во время аварий, то при использовании первого варианта тратится время на отработку таймаутов, во втором варианте можно сразу вводить локальный пароль, что сэкономит драгоценные секунды. Минуc в том же, так как локальный пароль всегда можно использовать для авторизации удалённо, хранить его надо пуще прежнего. Из разряда аварийных и на крайний случай, он становится вполне себе боевым.

Кстати, про базовые понятия AAA - это практически выдержка из официального учебника для подготовки к сдаче экзамена. Можно оценить качество и сложность, всегда мимо Security ветки проходил, может и зря.
Круглый стол (видео) про современное состояние рынка низкоорбитальных спутниковых группировок, про Starlink и не только. Есть интересная, в том числе и техническая информация доступная для восприятия, что-то, конечно, можно и промотать. Но в основном, это видение этих систем изнутри отрасли в России, куда и как они могут применяться и чем это грозит или не грозит.

Для погружения в тематику ещё один круглый стол можно посмотреть, но за это время многое уже потеряло актуальность.
Не только в IT, всего лишь человеческая природа. В продолжении темы 10x Engineer. Вырасти в профессионала или так и остаться в песочнице.
Ресурс с документацией к iproute2 с акцентом на конкретные задачи, был значительно обновлен автором, читаем про это в блоге. И, конечно, берём на вооружение - много примеров, от управления адресами до VXLAN, PBR, мультикаста и мониторинга.