Если запустить EIGRP, OSPF, IS-IS, RIP (а почему нет?), поверх всего этого BGP, конечно используя разные аппаратные и программные платформы и среды, то результату удивляться не стоит, просто стоит быть внимательным и поменьше доверять системе в выборе лучшего решения.

И ещё инструменты для диагностики и разворачивания своего.

Список публично доступных серверов DoH (DNS over HTTPS) - полезно для мониторинга обхода средств защиты https://t.co/M4Xbjupgsw
— Alexey Lukatsky (@alukatsky) January 14, 2021

Ещё один способ построить L3 топологию сети, используя BGP-LS, GoBGP и Python. GoBGP, со своим API очень вовремя появился и если не как боевой маршрутизатор, то как мост для автоматизации наверняка своё место застолбил.

Остальное в общем понятно, есть распространённая инженерная задача, мы её решаем. Cпособов много, используя модные инструменты, и даже программировать не надо.

Все системные вызовы FreeBSD - название, пару слов описания и ссылки на MAN и исходники.

Каждый учится только на своих ошибках, даже если знает про чужие. Хорошая статья про архитектуру приложений, в которой чувствуются все набитые шишки. И конечно во всём виноват DNS.

Распределение DNS записей: CAA, DKIM, SPF, DMARC, а также DNSSEC и IPv6 за последние 3 года. Выборка не очень большая и, по большому счёту, каких-то видимых изменений за это время в ней не произошло.

Работа в которой показывается, что IP адреса в качестве уникального идентификатора не самый точный показатель. Поэтому составляя запрещающие правила на основе только адресов, не забывайте их периодически обновлять, 1-2 дня и ситуация меняется кардинально.
Интересно, что в работе использовался BitTorrent в качестве исследовательского инструмента, чтобы определить какие адреса являются NAT. Собранные адреса и скрипты можно найти по ссылкам.

Johan Gustawsson (Telia AS1299) показал в твиттере график использования чипов на сети Telia. BRCM DNX это Cisco NCS 55/5700 и Arista R3.

Вот и в Монголии уже 100% покрытие ROA. Как они этого добились, а шли они к этому сознательно, в блоге APNIC.

Таких стран всего две и это не самые большие страны в мире Интернет. В России, например, на два порядка больше ASn делегировано. Но, это не значит что можно этим не заниматься, тем более что для этого достаточно пары кликов на специальной страничке после авторизации в ripe.net.

Я знаю что многие компании, большие и маленькие, для которых Интернет средство, а не основной бизнес, но при этом имеющие адреса и даже являющиеся LIR относятся к этому, мягко говоря, спустя рукава - не поддерживают актуальность записей, забывают что у них вообще есть эти ресурсы, ведь всё и так работает, делегируют эту обязанность тому через кого взаимодействовали (покупали адреса) с RIPE NCC. Некоторым потом это аукается.

Операторы в Монголии только разговорами и информированием смогли добиться выдающихся результатов, давайте и мы также, а? Тем более, что процесс внедрения валидации идёт неплохо. А скоро ещё и ASPA подвезут, но надо всем поучаствовать, иначе бессмысленно.

Если пишите на Bash время от времени, то можно взять за основу вот этот шаблон - включаются различные проверки, есть корректный выход, разбор входных параметров, даже украшалки. Объяснения прилагаются.

Кто пишет много, наверное, сам до всего дошёл. Я почти не пишу сейчас, вообще никак, но несколько небольших, как залог успеха, но ключевых для работы моих скриптов на Bash успешно трудится и свою роль выполняет.

Я всегда использовал вот такие настройки для аутентификации в Cisco консоли:

aaa authentication login default group radius local

Сначала RADIUS, потом, если с ним что-то не то, локальные записи. Собственно, этот же подход растиражирован во всех официальных и не очень инструкциях, учебниках и статьях. Но вот так:

aaa authentication login default local group radius

тоже работает. Если логина не существует в локальной базе, то происходит авторизация по RADIUS. Локальная база хоть и стоит первой, но отсутствие логина не считается за ошибку авторизации и обработка методов продолжится. Я правда не знаю в каких конкретно Cisco и версиях IOS это работает, поэтому пробуйте.

В чём тут плюс. Если до RADIUS нельзя достучаться, а такое часто происходит во время аварий, то при использовании первого варианта тратится время на отработку таймаутов, во втором варианте можно сразу вводить локальный пароль, что сэкономит драгоценные секунды. Минуc в том же, так как локальный пароль всегда можно использовать для авторизации удалённо, хранить его надо пуще прежнего. Из разряда аварийных и на крайний случай, он становится вполне себе боевым.

Кстати, про базовые понятия AAA - это практически выдержка из официального учебника для подготовки к сдаче экзамена. Можно оценить качество и сложность, всегда мимо Security ветки проходил, может и зря.

Круглый стол (видео) про современное состояние рынка низкоорбитальных спутниковых группировок, про Starlink и не только. Есть интересная, в том числе и техническая информация доступная для восприятия, что-то, конечно, можно и промотать. Но в основном, это видение этих систем изнутри отрасли в России, куда и как они могут применяться и чем это грозит или не грозит.

Для погружения в тематику ещё один круглый стол можно посмотреть, но за это время многое уже потеряло актуальность.

Не только в IT, всего лишь человеческая природа. В продолжении темы 10x Engineer. Вырасти в профессионала или так и остаться в песочнице.

Ресурс с документацией к iproute2 с акцентом на конкретные задачи, был значительно обновлен автором, читаем про это в блоге. И, конечно, берём на вооружение - много примеров, от управления адресами до VXLAN, PBR, мультикаста и мониторинга.

Тест - "Не пора ли отдохнуть?" А что вы видите?

Хорошая попытка разбора терминологии Bogons и Martians применительно к адресному пространству, включая ASn. Итог, Bogons=Martians + Unallocated Address Space at IANA and RIRs/NIRs. Всё то, что ни под каким видом не должно появляться в вашей таблице маршрутизации и/или при передаче из вашей сети или в вашу сеть.

В статье нет списка с сетями, хотя есть ссылки на RFC. Попробуем восполнить пробел, применительно к границе сети и Интернет в обе стороны, от вас эти сети тоже не должны улетать:

0.0.0.0/8
10.0.0.0/8
127.0.0.0/8
169.254.0.0/16
172.16.0.0/12
192.0.0.0/24, кроме
192.0.0.9,
192.0.0.10
192.0.2.0/24
192.88.99.0/24
192.168.0.0/16
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
224.0.0.0/3

Для IPv6 из Интернет не стоит ожидать ничего отличающегося от 2000::/3 из которого надо исключить:

2001::/23, кроме
2001:1::1,
2001:1::2,
2001:3::
2001:4:112::/48 и
2001:20::/28
2002::/16

Сюда же включаются и ваши собственные сети со стороны Интернет и запросы к сетям которые вы не маршрутизируете. Это ни в коем случае не исчерпывающий список (тут как минимум не хватает ещё не распределённых сетей) и может быть не совсем правильный для вашей ситуации, будьте аккуратней с мультикаст и локальными частными сетями они вполне могут быть использованы на пограничных стыках. И не забывайте про dataplane - мало добавить это в фильтры BGP это надо сделать и в ACL на интерфейсах.

Что касается ASn и куда дополнительно, я думаю, можно добавить ещё и запрет работать с AS_SET как рекомендует RFC6472 и что сделали в OpenBGPd одной опцией и в Bird тоже можно.

Если вы большой транзитный оператор с сотнями клиентов, которые тоже являются большими транзитными операторами, то конечно так однозначно и просто избавиться от bogons анонсов и трафика не получится. Но положа руку на сердце, большинство владельцев сетей в мире не являются такими, они просто этим не занимаются.

Достойное резюме и достойное исполнение:

# traceroute6 cv6.poinsignon.org

Мониторинг пожалуй один из ключевых механизмов в успешной и управляемой сети. Рассказ про мониторинг сети в Roblox: что было, что стало, как справились с классической задачей роста количества событий при росте сети, отделили важное от неважного и даже стали реагировать и исправлять аварии автоматически. Во многом это не техническое повествование, без подробностей, хотя и мелькают названия инструментов, но проблемы описываются общие для всех и всем кто растёт и собирается расти, придётся справляться с таким же.

Подмена ответов DNS вполне себе распространённая вещь, этим занимаются как минимум провайдеры. Обзор работы в которой приводится статистика за последние 6 лет и даже есть разбивка по странам и провайдерам с относительными количественными данными. Оригинал интереснее и подробнее. Но это почти легитимное поведение, или вынужденное, но решающее проблемы (DoH вам в помощь), существующими технологиями и средствами владельцами транзитных узлов. А вот dnsmasq стоит обновить, если вдруг новость пропустили.