Передача трафика между VRF на Firepower в статическом исполнении не сложнее чем для многих других устройств, главное суть понимать vrf. А про это было на Cisco Live, но туда надо ещё постараться добраться из России.

Cisco покупает себе Splunk, но покупать не обязательно, можно выбирать из доступного: быстрое сравнение Grafana Loki, Logstash, Graylog, Syslog-ng, FluentD, Logwatch.

Введение в VXLAN: как происходит изучение MAC адресов и сопоставление конечных точек передачи в базовой сети. Где-то тут надо будет вспомнить про PIM или разобраться в EVPN. И как всё это настроить на Nexus, если в EVPN всё ещё не разобрались.

Ethernet везде Ethernet даже в суперкомпьютерах, кластерах GPU, в которых балансировка трафика в фабрике происходит по потокам, а не по пакетам, что в свою очередь недогружает сеть, но оправдано с других точек зрения. Однако решения пакетной балансировки появляются, хотя и зависят от конкретных условий и задач, как и везде.

Значимое изменение подписей префиксов в некоторых странах, некоторые страны почти всё своё подписали, и в некоторых стран для этого хватило всего одного провайдера.

Ууххх, что у Cloudflare c 1.1.1.1 произошло вчера:

1. Не мониторили один из ключевых процессов
2. Не протестировали один из предполагаемых ключевых отказов, хотя и было предусмотрено его автоматическое резервирование
3. Пропустили одно из ключевых изменений во внешней системе - добавление новой записи в корне ZONEMD
4. И не реализовали перехват и обработку программной ошибки

Это всё хорошо понятно и вроде даже банально звучит, когда уже закончилось, а вот свои системы, не обязательно DNS, стоит посмотреть и проверить с учётом этого заранее.

С пятницей - https://www.youtube.com/watch?v=dcbWV9c-304 - не забывайте выключать работу на выходных, хотя бы иногда.

Коллега подкинул сайт с эмуляторами (веб мордами) домашних роутеров https://linserv.ru/. Наверное, на родных сайтах выбор будет побольше, но для быстрого поиска удобно. Тем более, что и ссылки на родные сайты присутствуют.

Сегодня так.

Linkmeetup заценили и я надеюсь возможность заценить появится у всех когда мы увидим записи докладов, среди которых были очень достойные и которые хочется обсуждать и пересматривать, а ещё конечно увидеть те которые пропустил.

Следующий на очереди NextHop 20 ноября, который в этом году обещают сделать больше. Не удержусь чтобы не сказать что больше не значит лучше, но я думаю в Yandex запомнили то что сказали в приветствии Linkmeetup и в этом году постараются особенно, тем более конференции идут друг за другом. Регистрация уже открыта, поэтому я думаю надо даже поспешить чтобы поучаствовать лично.

В плане вообще конференций мне не очень нравится многозальная история, попытка объять все темы, всё равно, как правило проваливается, интересные доклады пересекаются, а внимание расфокусируется. Каждому конечно своё, но лучше многодневная история где один зал с докладами, если действительно их очень много. А ещё раньше были блокнотики чтобы что-то записывать, потом от этого все откзались, цифровая эпоха как-никак и их давно уже не предлагают, даже на выставочных стендах нету, хотя ручки ещё кое-где можно найти. Но блокнотики это лампово, пусть они будут, если в космосе меня кто-то слышит.

В Скандинавии почти умер DSL, но есть DOCSIS и кое-где радио, даже с растущим трендом в Норвегии, это 5G? Ещё мне не очень понятно что есть Fiber на графиках, сколько там PON, а сколько нет, но его много.
Поэтому давайте про нас: "Какой ваш основной домашний канал в Интернет?" Я думаю в опросе понятно что есть что, упор не на то какой кабель подведён к вашей квартире/дому, а на то, какие кадры бегают сразу внутри этого кабеля. Что-то другое для меня - это ISDN, хотя я никогда не слышал чтобы он был у кого-то дома, но вдруг, а также то, что я скорее всего не знаю, и я надеюсь поделитесь, что же это. А всё что вы считаете старым, может быть и не таким старым как вам кажется, просто в другом месте.

Настройка pfSense для балансировки между двумя Интернет каналами. Но это лишь прелюдия для дальнейших рассуждений автора о том чем в принципе два канала могут быть лучше и дешевле чем один, и о проблемах роста Интернет, а также роли IPv6, в том числе, в случае решения задачи балансировки между двумя провайдерами.

no ip http server/secure-server разве не делают все сразу как только включают новую Cisco, по крайней мере староверы? Если нет, то сделайте, а вот что делать с автоматизацией и почему её прикрутили именно к веб я не знаю. Веб - слабое звено.

BGP reverse proxy, который позволяет встроится между BGP спикерами и делать разные вещи: например, дампить апдейты или наоборот проиграть апдейты из дампа, может добавить пароль в сессию, а ещё умеет в JSON. Написан на Go и пока в ранней стадии разработки.

IOS XR решили новую нумерацию версий сделать - по датам. Меня в датах смущает только одно, совершенно невозможно отделить эпохальный релиз от не эпохального, как будто производитель, любой, говорит что у меня все релизы одинаковые и никаких больших ломающих изменений между релизами не будет. А если наоборот, каждый релиз эпохальный, то это ещё хуже. Могу погадать, что на этом история IOS XR подходит к концу, через какое-то время маркетологи, чтобы выделить очередную новую фичу, просто решат сменить название, а не последнюю цифру в череде таких же.

He calls it “Stable Connection” и это надо слушать.

Если вдруг давно не заходили на Looking glass MSK-IX, то там теперь доступна возможность графически увидеть маршруты от IX до заданного префикса, естественно, если он каким-то образом там присутствует. Кнопка называется "Нарисовать схему" и появляется она после выполнения какой-либо из основных команд по просмотру префиксов или соседств.

Сам узнал, что называется, из первых рук и поэтому всей команде MSK-IX большой привет. А для личного общения и инсайдов уже скоро пиринговый форум, регистрация на который открыта.

Большая лаба по BGP на разные аспекты управления трафиком, о чём же ещё. И прямая ссылка на Google drive PDF: начальный конфиг, задача, проверка, изменения, финальный конфиг, проверка - всего 155 страниц.

Итоги на мой взгляд ожидаемые. Смешно, но я забыл термин dial-up, может быть, потому что мой первый Интернет был через EDGE, а проводной через DSL, а компьютер без Интернет был в общем-то нормой. Ещё я вас обогащу термином AON - это оптика до вашего домашнего роутера, но не PON, где A - Active. И пока мы посматриваем не взять ли себе домой гигабитное подключение, некоторые наши подписчики, спасибо им большое за комментарии, живут в абсолютном будущем и могут позволить себе 25Гбит/c чистого незамутнённого Интернета оптикой прямо в порт не PONом!, который у нас становится всё популярнее.

Приколитесь: немцы снифали и расшифровывали зашифрованный трафик на серверах jabber.ru в датацентре Hetzner.

Выпустили отдельный SSL сертификат и проксировали коннекты к TCP:5222. Ого! Вскрылось случайно из-за ошибки их админов. Если бы не эта ошибка, скорее всего, так никто бы и не заметил.

Скорее всего это правительственная атака и хостеров просто обязали накручивать эти редиректы. Интересно сколько таких джаббер серверов прослушивается в данный момент. Ведь кулхацкеры скамеры чаще всего используют именно джаббер. Еще один эпизод оправдывающий параною красноглазых криптоманьяков.

Мораль:

1. Проверяйте фингерпринты сертификатов даже если лень.

2. Безопаснее E2E шифрования ничего не придумали, но и там всем лень проверять отпечатки ключей.

Лично мне больше все нравится подход Телеграм с 4 эмоджи в качестве отпечатка ключа, это не сложно сверить при звонке.

Пост на HN: https://news.ycombinator.com/item?id=37955264

Само расследование https://notes.valdikss.org.ru/jabber.ru-mitm/