И если мы уж недавно вспоминали про
PMTU discovery
, давайте погрузимся чуть глубже и посмотрим как это работает на хостах, для IPv6
это ещё более важно. Немного теории и что можно проверить на Windows/Linux и при необходимости подкрутить на Linux.Cellstream
CellStream - IPv4/IPv6 Path MTU (PMTU) Discovery Demystified
IPv6 Path MTU PMTU Discovery Demystified
Получил сегодня почтовую рассылку и даже не знаю как прокомментировать, но очень хочется поделиться с вами той заботой которую мне предлагает
Сторонние приложения это:
Чтобы защититься, тут конечно я выдернул только начало абзаца, но совет и в таком виде 100% рабочий:
mail.ru
. Рекомендацией я, конечно, не воспользуюсь.Сторонние приложения это:
"Например, Microsoft Outlook, Spark, стандартная почта на iOS или Android и другие."
Чтобы защититься, тут конечно я выдернул только начало абзаца, но совет и в таком виде 100% рабочий:
"Главное — откройте настройки почтового приложения и отключите там аккаунт Mail.ru."
Yandex.Cloud сделали иконочки для своих сервисов. А почитать на какой сети это всё построено, можно в свежей статье на Habr, больше про путь, нежели технические детали.
Telegram
Yandex.Cloud
Вы просили, мы сделали!
Выложили на сайт иконки сервисов и элементы для создания архитектурных схем для инструментов Visio и Draw.io.
Спасибо за идею😉
Выложили на сайт иконки сервисов и элементы для создания архитектурных схем для инструментов Visio и Draw.io.
Спасибо за идею😉
Генератор XDP программы из правил FlowSpec, если вам это действительно нужно или надо с чего-то начать. По сути это законченное решение, не забываем что нужен будет ещё C компилятор, предлагается использовать
clang
, со всеми нужными зависимостями. Поставщик flowspec
- вывод birdc
.GitHub
GitHub - TheBlueMatt/flowspec-xdp: Utility to convert flowspec rules (extracted from bird) to an XDP program
Utility to convert flowspec rules (extracted from bird) to an XDP program - TheBlueMatt/flowspec-xdp
Forwarded from linkmeup
Разбор недавнего падения Linx от Ripe Labs, с попыткой выяснить как такие косяки влияют на окружающих в современном мире. И, кажется, сетевики таки научились в резервирование и теперь падение даже такого крупного IXP не приводит к выходу из строя половины интернета.
Горд за профессию.
https://labs.ripe.net/author/emileaben/does-the-internet-route-around-damage-edition-2021/
Горд за профессию.
https://labs.ripe.net/author/emileaben/does-the-internet-route-around-damage-edition-2021/
RIPE Labs
Does The Internet Route Around Damage? - Edition 2021
On 23 March 2021, LINX London experienced an outage. As this is one of the very large Internet Exchange Points, this is an interesting case to study in more depth in order to see what we can learn about Internet robustness.
Nick Russo подготовил новый обширный документ по дизайну сети, в этот раз удалённый доступ - VPN - IPv6 - защищённый контур/второй VPN. Подробно про среднюю часть "gray net", почему
IPv6
и как сделать красиво. Что-то обязательно можно будет почерпнуть, даже если целиком дизайн не про вас. Забрать в PDF
и не только это.Twitter
Nick Russo
New professional whitepaper just published. It details a secure and scalable WAN design leveraging DHCPv6 prefix delegation, SLAAC, and BGP: njrusmc.net/r/wpmacp Please RT if you enjoy it and want to see more in the future!
FreeRADIUS может всё, если хотите Cisco SD-Access, надо только правильные атрибуты навесить.
SGT
метки это ещё, точнее из Cisco TrustSec, так что если очень хочется именно FreeRADIUS - мы, в тебе не сомневались.GitHub
GitHub - eiddor/cisco-sda-freeradius: Sample FreeRADIUS configuration for use with Cisco Software-Defined Access
Sample FreeRADIUS configuration for use with Cisco Software-Defined Access - eiddor/cisco-sda-freeradius
Великолепный способ и пример разделения окружений свой/чужой и возможность избежать статического маршрута при подъёме туннеля с динамической маршрутизацией в блоге Networking with FISH. Не бойтесь
VRF
и берите на вооружение.Networking with FISH
Tunnels and the Use of Front Door VRFs
Front Door VRFs seem to cause a lot of confusion. In this blog Fish goes delves into the whys, the hows, and the how it works in a simple easy way.
Петли маршрутизации это не очень хорошо, не стоит увеличивать энтропию гоняя лишний трафик, ну и чтобы на всякие DDoS не нарваться. Хотя полезность тоже можно найти.
Простое правило, все ваши сети должны иметь место назначения и это не должен быть
Простое правило, все ваши сети должны иметь место назначения и это не должен быть
0.0.0.0/0
, то есть они должны быть в таблице маршрутизации. Если их нет - сделайте агрегированный префикс в null
. Для серых сетей можно максимально широко /8
, /12
, /16
прямо из RFC1918, про IPv6
не забывайте. Помимо петель это сэкономит правила в ACL
, даже поэффективнее будет, гарантированно не даст в Интернет просочиться тому чему не надо.Andree's Musings
The Risks and Dangers of Amplified Routing Loops.
In this article will take a closer look at network loops and how they can be abused as part of DDoS attacks.
BGP
всё ещё можно сделать лучше на фундаментальном уровне, а не просто прикрутив очередной контейнер для переноса чего-либо. Описание одной из возможных причин возникновения маршрутов зомби, как следствие неучтённого состояния TCP
соединения с нулевым размером окна. При этом один из BGP
спикеров не в состоянии отправить ответ своему соседу, но и не в состоянии разорвать соединение удерживая маршруты активными. Решать предлагается новым таймером, в самое сердце основного алгоритма.blog.benjojo.co.uk
Hunting down the stuck BGP routes
👍1
Forwarded from Network Warrior
Добро пожаловать на juniper-exam!https://juniper-exam.ru/wiki/%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0
Данный ресурс создавался собственноручно при подготовке к сдаче JNCIS-SP и JNCIP-SP.
Изначально работал для меня как блокнот с основными выжимками, потом с ростом полезной информации перерос с wiki и стал публичным.
Здесь находится переработанный мной материал из официальных источников Juniper, некоторые статьи являются вольным переводом. Также сюда перенесены знания, полученные на курсах Juniper.
Как в Roblox отвечают на вопрос: "Не в сети ли дело"? Строят активный мониторинг из тысяч пробников в полносвязной сети и сотен миллионов запросов в минуту, не боясь нагрузить каналы служебным трафиком, ради уверенности и спокойствия в своём ответе.
И если вам важно качество, то без активного мониторинга, мониторинга потерь в пользовательском трафике никуда не уйти. Начать можно с Cisco IP SLA - это хорошо работает между двумя поддерживающими это устройствами. Потом правда придётся пройти квест по доказыванию магистральному провайдеру, что надо устранить этот 1% потерь на канале, которых раньше никогда не было и что это много.
И если вам важно качество, то без активного мониторинга, мониторинга потерь в пользовательском трафике никуда не уйти. Начать можно с Cisco IP SLA - это хорошо работает между двумя поддерживающими это устройствами. Потом правда придётся пройти квест по доказыванию магистральному провайдеру, что надо устранить этот 1% потерь на канале, которых раньше никогда не было и что это много.
Medium
Network Packet Loss & Latency Monitoring on Roblox Cloud
Innovation behind the network packet loss and latency monitoring service on Roblox Cloud.
Если используете 9.9.9.9, то прямо сейчас они не очень, пишут про
DDoS
. Впрочем, от меня всё нормально.Twitter
Andree Toonk, Adelante!
Ouch that doesn't look good.. Seeing several reports on Twitter as well about @Quad9DNS issues from around the world. #hugops
Wireshark очень богатый на настройки и допиливания напильником инструмент. Да, он хорошо работает и из коробки, но не ленитесь сделать чуть лучше, за удобством идёт глубина и осознание, можно увидеть то что раньше не было видно и понять то что не было понятно. Выделите время и пройдитесь по всем пунктам меню, откройте для себя "Статистику", Форматы заголовков, VoIP плеер и бог знает что ещё.
Nping - отличная вещь, почему-то про неё не так часто говорят, но помимо
"Layer 4 ping"
это ещё и генератор трафика, покрывающий очень большой пласт потребностей, в том числе и из пользовательского окружения.Weberblog.net
Nping aka Layer 4 Ping
I was missing a generic layer 4 ping in my toolbox. Initially searching for a mere TCP ping, I have found Nping which completely satisfies my needs and gives so much more. ;) What’s a layer 4…
Отлично разжёвано, со всеми выкладками и ссылками на
Нежелание, наверное, вызвано привычкой что за статику абоненту надо платить, ну и где-то, это в самом деле технически оправдано.
RFC
и BCP
, почему каждому конечному потребителю нужен свой статический IPv6 префикс. Потому что SLAAC
, аварии, очень долгие времена жизни префиксов по умолчанию и проблемы связности как следствие всего этого. Но если Интернет провайдер всё же не хочет так делать, надо его попросить, а уж если совсем никак, то что-то можно сделать с помощью стандартов. Нежелание, наверное, вызвано привычкой что за статику абоненту надо платить, ну и где-то, это в самом деле технически оправдано.
6connect
Is your ISP constantly changing the delegated IPv6 prefix on your CPE/router?
ISP's changing the delegated IPv6 prefix on your CPE/router can be an inconvenience, to say the least.
Bgpq4 обновился до 0.0.7 и уже должен быть доступен в репозиториях вокруг RHEL. Пока RPKI ещё не везде, зато новая версия мониторинга у NIST, а фильтровать как-то надо.
Twitter
Robert Scheck
#bgpq4 0.0.7 (github.com/bgp/bgpq4) is on its way as RPM into the #Fedora and #EPEL (for #CentOS, #RHEL and #RockyLinux) repositories, see also bodhi.fedoraproject.org/updates/?like=…