Патчкорд
2.42K subscribers
203 photos
18 videos
59 files
2.97K links
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Download Telegram
И если мы уж недавно вспоминали про PMTU discovery, давайте погрузимся чуть глубже и посмотрим как это работает на хостах, для IPv6 это ещё более важно. Немного теории и что можно проверить на Windows/Linux и при необходимости подкрутить на Linux.
Получил сегодня почтовую рассылку и даже не знаю как прокомментировать, но очень хочется поделиться с вами той заботой которую мне предлагает mail.ru. Рекомендацией я, конечно, не воспользуюсь.
Сторонние приложения это:

"Например, Microsoft Outlook, Spark, стандартная почта на iOS или Android и другие."

Чтобы защититься, тут конечно я выдернул только начало абзаца, но совет и в таком виде 100% рабочий:

"Главное — откройте настройки почтового приложения и отключите там аккаунт Mail.ru."
Ещё один инструмент агрегатор - bgp.tools, в котором собрана информация по ASn и префиксам. Может whois, карту отношений upstreams/downstreams, статусы RPKI, членство в IX. Если данных хватит, то и скриншот с заглавной странички сайта владельца покажет.
Генератор XDP программы из правил FlowSpec, если вам это действительно нужно или надо с чего-то начать. По сути это законченное решение, не забываем что нужен будет ещё C компилятор, предлагается использовать clang, со всеми нужными зависимостями. Поставщик flowspec - вывод birdc.
Пирингов мало не бывает.
Forwarded from linkmeup
Разбор недавнего падения Linx от Ripe Labs, с попыткой выяснить как такие косяки влияют на окружающих в современном мире. И, кажется, сетевики таки научились в резервирование и теперь падение даже такого крупного IXP не приводит к выходу из строя половины интернета.
Горд за профессию.
https://labs.ripe.net/author/emileaben/does-the-internet-route-around-damage-edition-2021/
Nick Russo подготовил новый обширный документ по дизайну сети, в этот раз удалённый доступ - VPN - IPv6 - защищённый контур/второй VPN. Подробно про среднюю часть "gray net", почему IPv6 и как сделать красиво. Что-то обязательно можно будет почерпнуть, даже если целиком дизайн не про вас. Забрать в PDF и не только это.
FreeRADIUS может всё, если хотите Cisco SD-Access, надо только правильные атрибуты навесить. SGT метки это ещё, точнее из Cisco TrustSec, так что если очень хочется именно FreeRADIUS - мы, в тебе не сомневались.
Великолепный способ и пример разделения окружений свой/чужой и возможность избежать статического маршрута при подъёме туннеля с динамической маршрутизацией в блоге Networking with FISH. Не бойтесь VRF и берите на вооружение.
Петли маршрутизации это не очень хорошо, не стоит увеличивать энтропию гоняя лишний трафик, ну и чтобы на всякие DDoS не нарваться. Хотя полезность тоже можно найти.

Простое правило, все ваши сети должны иметь место назначения и это не должен быть 0.0.0.0/0, то есть они должны быть в таблице маршрутизации. Если их нет - сделайте агрегированный префикс в null. Для серых сетей можно максимально широко /8, /12, /16 прямо из RFC1918, про IPv6 не забывайте. Помимо петель это сэкономит правила в ACL, даже поэффективнее будет, гарантированно не даст в Интернет просочиться тому чему не надо.
BGP всё ещё можно сделать лучше на фундаментальном уровне, а не просто прикрутив очередной контейнер для переноса чего-либо. Описание одной из возможных причин возникновения маршрутов зомби, как следствие неучтённого состояния TCP соединения с нулевым размером окна. При этом один из BGP спикеров не в состоянии отправить ответ своему соседу, но и не в состоянии разорвать соединение удерживая маршруты активными. Решать предлагается новым таймером, в самое сердце основного алгоритма.
👍1
Forwarded from Network Warrior
Добро пожаловать на juniper-exam!

Данный ресурс создавался собственноручно при подготовке к сдаче JNCIS-SP и JNCIP-SP.

Изначально работал для меня как блокнот с основными выжимками, потом с ростом полезной информации перерос с wiki и стал публичным.

Здесь находится переработанный мной материал из официальных источников Juniper, некоторые статьи являются вольным переводом. Также сюда перенесены знания, полученные на курсах Juniper.

https://juniper-exam.ru/wiki/%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0
Как в Roblox отвечают на вопрос: "Не в сети ли дело"? Строят активный мониторинг из тысяч пробников в полносвязной сети и сотен миллионов запросов в минуту, не боясь нагрузить каналы служебным трафиком, ради уверенности и спокойствия в своём ответе.
И если вам важно качество, то без активного мониторинга, мониторинга потерь в пользовательском трафике никуда не уйти. Начать можно с Cisco IP SLA - это хорошо работает между двумя поддерживающими это устройствами. Потом правда придётся пройти квест по доказыванию магистральному провайдеру, что надо устранить этот 1% потерь на канале, которых раньше никогда не было и что это много.
Если используете 9.9.9.9, то прямо сейчас они не очень, пишут про DDoS. Впрочем, от меня всё нормально.
Wireshark очень богатый на настройки и допиливания напильником инструмент. Да, он хорошо работает и из коробки, но не ленитесь сделать чуть лучше, за удобством идёт глубина и осознание, можно увидеть то что раньше не было видно и понять то что не было понятно. Выделите время и пройдитесь по всем пунктам меню, откройте для себя "Статистику", Форматы заголовков, VoIP плеер и бог знает что ещё.
Nping - отличная вещь, почему-то про неё не так часто говорят, но помимо "Layer 4 ping" это ещё и генератор трафика, покрывающий очень большой пласт потребностей, в том числе и из пользовательского окружения.
Отлично разжёвано, со всеми выкладками и ссылками на RFC и BCP, почему каждому конечному потребителю нужен свой статический IPv6 префикс. Потому что SLAAC, аварии, очень долгие времена жизни префиксов по умолчанию и проблемы связности как следствие всего этого. Но если Интернет провайдер всё же не хочет так делать, надо его попросить, а уж если совсем никак, то что-то можно сделать с помощью стандартов.
Нежелание, наверное, вызвано привычкой что за статику абоненту надо платить, ну и где-то, это в самом деле технически оправдано.
Bgpq4 обновился до 0.0.7 и уже должен быть доступен в репозиториях вокруг RHEL. Пока RPKI ещё не везде, зато новая версия мониторинга у NIST, а фильтровать как-то надо.