Почему copy run start на NX-OS выполняется долго: история одного бага и внутренности организации работы с конфигурацией в Nexus'ах.

В Cisco, в принципе, конфигурация это не описания действий которые нужно выполнить - это сами действия, поэтому следите за этим внимательно, столько возможностей для ошибок.

Чек-лист в виде алгоритма, что точно не забыть сделать, как минимум с этого начать управление маршрутами на Route Server в своём IX. Приводится для BIRD и OpenBGPD, но разница в целом несущественна и связана больше с внутренней организацией этих серверов, поэтому подходит для всего того на чём можно поднять RS.

За что можно любить FreeBSD и тут совсем не важны аргументы когда есть чувства.

У меня до сих пор, например, просыпаются ностальгические воспоминания, когда я где-то вижу DOS консоль. Формально, это даже не первая моя ОС, мой мир начался с поздних Windows 95, OSR2 кажется, которая очень быстро была сменена на Windows 98. Рядом появилась и FreeBSD и Linux в разных вариантах дистрибутивов, экспериментов было много и разных.

Но DOS первая ОС к которой я залез в кишки, сделал системный вызов и свой обработчик прерывания, написал драйвер, руками восстанавливал таблицу разделов и файловую систему. Это та система которую я смог охватить целиком, понять её, и наверное единственная с которой я так мог сделать. С остальными, я не то что опоздал, когда они стали большими и неподъёмными в одного, и в этом тоже можно находить красоту исследовав закоулки или подвалы, а может и вершины, я уже не стремился к этому.

Любовь это не про то кто лучше, это про то что ближе и роднее, поэтому кто-то любит Linux, кто-то Windows, кто-то MacOS или DOS, а кто-то как Peter Czanik - FreeBSD.

Потянули бы такую семестровую? Есть студенты? Подкиньте идею своим преподавателям. Мне в студенческие годы практики именно по сетям сильно недоставало, хотя это компенсировалось практикой по железу и микроэлектронике. С другой стороны свой студенческий IMAP сервер по RFC я реализовал, да и теоретическую надёжность сети заданной топологии посчитал не раз.

Конечно, нам нужна была библиотека на Rust для работы с MRT BGP, где-то должна быть и на Go. Для любителей классики bgpdump есть в репозиториях, что-то посовременнее как µbgpsuite уже придётся собрать самим.

​​Сегодня с коллегами разворачиваем Wi-Fi на работе, хоть и пятница.

SFP с Linux на борту - сделано в России. Участники Академии NAG 2021 могли наблюдать стенд и видеть способы применения.

У меня не вызвал этот модуль много эмоций, так как у автора статьи. Бывает много и всякого, часто это вопрос необходимости. Те кто работает с PON, наверняка, сразу вспомнили решение ONU в SFP. Мне почему-то вспомнились переходники SFP-XENPACK. И это серийные производства, а уж что по спецзаказу можно сделать, дай только волю фантазии, не поленитесь зайти на сайт производителя там много вариантов.

Введение в SR и пример использования в схеме с быстрым восстановлением при отказе одного из линков. Заодно обсуждается работа данных механизмов в обычной MPLS сети. Примеры конфигов и целая лаба для EVE-NG в придачу.

Немного внутренностей VoWiFi и VoLTE в попытках установить контролируемое соединение и как результат создание поддельного сервера для VoWiFi. Статья больше про возможности, но нужные ссылки для более глубокого погружения присутствуют.

Разумные принципы управления очень многими системами не только DNS. Единственное на что обращу внимание - почему-то многие пренебрегают использовать системы контроля версий для конфигураций, используйте. Не надо тащить автоматизацию если не хочется, ограничьтесь административными мерами и процессами, но иметь возможность сравнивать пошагово свои действия и действия своих коллег - бесценно. А также иметь возможность собирать изменения в одном месте, координировать действия до их выполнения и в случае проблем всегда знать что же конкретно было залито.

Касательно DNS, автоматизация при работе с IPAM очень удобна, когда на каждый зарегистрированный адрес создаётся как минимум PTR, чтобы всегда иметь красивую трассировку и быстро восстанавливать контекст происходящего.

Наверное, не трудно было предположить что даже после утечки базы с паролями мало кто меняет их на новые, а если и меняют то во многом пароль остаётся похожим на тот что был. Публикация об этом с графиками и цифрами в PDF.

Когда что-то строишь очень долго, даже очень-очень долго в какой-то момент есть опасность погрузиться в детали, или наоборот потерять фокус и мыслить только концептуально. В это время даже, казалось бы, невинный и простой вопрос может поставить тебя в ступор, потому что понимание потеряно, остался только очень узкий или очень широкий охват. И тогда приходиться делать реверс инжиниринг собственной системы, отматывать до того момента когда понимание было потеряно и дальше двигаться уже не теряя его из фокуса.

Мне кажется сейчас вся IT индустрия и сеть, в том числе, находится в такой ситуации. У нас есть очень сложные архитектурные вещи замаскированные под простые, есть простые концепции, доступ к которым и реализация которых замысловата. Мы имеем множество способов сделать одно и то же на разных уровнях, мы имеем огромное количество решений живущих и не меняющихся десятилетиями и вместе с тем системы полностью обновляющиеся меньше чем за год. Мы конечно имеем конфликт "старой" и "новой" школы с "самой новой".

Всё это говорит лишь о том что получившееся целое даже для своих создателей стало неизведанным и в котором придётся разобраться, только придётся. А пока мы только задаёмся вопросами, наблюдая, кто-то со стороны, а кто-то изнутри за былинными отказами, былинность которых с каждым годом всё нарастает и сокрушаясь в многочисленных эссе про сложность сетей которые стоило бы сделать попроще переложив сложность на программные продукты, и про сложность программных продуктов, которые берут на себя слишком много. Такие дела.

Истории про сети https://www.jumboframeinternet.com со смыслом, с близкими и родными сюжетами и тонной юмора, сарказма, сатиры, что найдёте. Пока меньше десятка, но это только начало. Читается достаточно сложно и переводчик тут плохо помогает из-за специфики как изложения так и материала, но на мой взгляд всё прекрасно, хотя предполагаю это сильно на любителя.

Одна беда, когда это надо редко всё равно забываешь и приходится гуглить https://t.iss.one/patchcord/958

Помните преимущества IPv6, в частности что адресов так много что прямой перебор невозможен, почти. И по началу даже MAC адреса встроили прямо в IPv6 адрес - EUI-64. Потом правда подумали что слишком и прикрутили различные расширения размывающие след оставляемый в сети - рандомизацию адреса и ротацию префиксов. Но, конечно, всё что было когда-то придумано уже не изымешь из обращения, это Интернет.

Просто замечательная техника основанная на EUI-64 и вашем домашнем роутере - CPE. Ведь у каждого есть роутер, наверное, и если начать перебирать адреса, с учётом знаний что выделенные префиксы на абонента лежат в диапазоне /48 - /64, то немалая часть роутеров ответит, а вы получите ответ ICMPv6 UNREACHABLE с адреса роутера. Если это EUI-64 адрес, что для роутеров является очень вероятным ввиду более редкого обновления, экономии не ресурсах, ну и в целом меньшей защищённости и более расхлябанного отношения вендоров к защите, то отследить дальше этот уникальный адрес уже дело техники и ротация префиксов не сильно помогает, о чём собственно и статья. И, конечно, этот роутер можно просто сломать, ведь адрес вы уже знаете, он глобально маршрутизируемый.

Помимо этого можно достоверно узнать структуру адресного пространства провайдера, например, какой длины префикс выделяется на одного абонента, достаточно перебирать по одному адресу в каждом /64 и ловить ответы с ошибками с одинаковыми EUI-64. По статистике из статьи, ~40% - /56 на абонента, 30% - /64 на абонента, ещё одно частое значение это /60 на абонента.

Безопасность системы определяется самым незащищённым её компонентом, IPv6 не лучше по умолчанию. За любой заложенной проектной абстракцией стоит реализация, которая всё это может помножить на 0, потому что так было проще.

Немного общих слов про Jitter от Doug Dawson. Замечу только что тенденция упрощать, в том числе, приводит к тому что мы часто смотрим только на ICMP, как самое доступно средство измерения, Jitter в том числе. Но картина в разрезе работы конкретных протоколов может быть разная. Не умоляя важности пингов, всегда стоит держать в уме что скорее всего придётся копать глубже в случае чуть более запутанных проблем чем оборванные линки.

Статический маршрут всегда выиграет при прочих равных у Cisco или про то насколько может быть глубока кроличья нора, если действительно захотеть добраться до самого конца, в данном случае это не удалось.

Про современную FAT, которая ещё всех переживёт, и её реализации. Если вдруг кажется что там всё просто, то вовсе нет. И, конечно, документация это одно, а реализация немного другое, но к этому нам не привыкать.

Не знаю насколько вы следите за драмой перехода логинов на cisco.com на почтовые адреса вместо никнеймов (уже год как), которые теперь нельзя поменять, а только создать новые с потерей всех сертификатов естественно, которые, вероятно, можно перенести с помощью тех.поддержки. Я расскажу про Сетевую академию. Она жила со своими логинами отдельно от cisco.com и уже пережила несколько переездов, в один из которых мне грохнули всю мою историю, доступы к сертификатам Академии и курсам, что-то восстановилось опять же через тех.поддержку, но собственно мне не сильно было надо, доступ к Packet Tracer остался и ладно.

Потом работу с Packet Tracer привязали к онлайн логину в Академии, но по-прежнему это был отдельный логин. И вот через какое-то время непользования запускаю я Packet Tracer и меня спрашивают уже логин от cisco.com. Ого думаю, наверное использовали cisco id, который я указывал в личном кабинете Академии. Ан нет, залогинившись под cisco.com я получаю сообщения что вы не являетесь членом Академии - приехали... Я немного погоревал и пошёл на сайт Академии помахать кулаками, естественно там тоже просят логин от cisco.com, но при этом вываливают информационное сообщение, мол если не получилось залогиниться, то попробуйте свою старую почту которую использовали для Академии и старый пароль.

Я попробовал и получилось, но знаете как они это сделали? Та-даам! Они конвертнули логин академии в логин cisco.com *facepalm* и теперь у меня два логина от Cisco, *double facepalm*. Сайт Cisco и вот это вот всё что они делают в вебе никогда не были хороши, что Cisco периодически и доказывает. Если ещё не заходили и не сталкивались зайдите посмотрите, если собрались менять адрес почты, озаботьтесь этим заранее тем более имея сертификаты. А я пойду поиграюсь в Packet Tracer, пока опять что-нибудь не придумали.