Если остались ещё настоящие Сисадмины, то всех вас с праздником! Crowdstrike, конечно, на недельку поторопился с подарком, но сегодня подарки самим себе можно устраивать, если про вас ваши юзеры вдруг забыли, что тоже само по себе является подарком. Хорошей всем праздничной пятницы, каждой пятницы. Ура!

В Голландии довели до боевого воплощения DDoS Clearing House, хорошо бы, конечно, не допускать ситуации возникновения условий для DDoS, но уж как есть так есть, надо действовать сообразно ситуации и действовать совместными усилиями лучше чем в одиночку. За ссылку большая благодарность нашему подписчику.
Наверное, про защиту от DDoS многие задумываются, смотря на бесконечные новости. Но для многих, как мне кажется, это всё равно будет неожиданностью, не всё, к тому же, решается шириной полосы. Можно и на РКН с ГРЧЦ и ЦМУ ССОП надеяться, а можно самим подготовиться.

Когда сломали твой домашний модем, а ты в попытке выяснить как это сделали сломал своего провайдера, но причину так и не нашёл.

Напоминание, что петли маршрутизации тоже петли и с ними надо поступать так же как и с петлями в L2 - недопускать. Хотя они и могут быть иногда полезны, чтобы сгенерировать тестовый трафик, много трафика, но наружу такое выпускать не стоит - каждый ваш префикс должен иметь конкретную точку приземления. Если сходите по ссылке внутри заметки, то там обстоятельная статья про то, что петли маршрутизации это довольно обычное явление.

XCP-ng в сравнении с Proxmox, тут же хорошо видны отличия подходов первого и второго типа гипервизоров, это помимо других отличий в подходах и проработанности этих систем.

Все говорят про EVPN и VXLAN, если ждали знака чтобы начинать разбираться то вот он - основательно, на русском, повод не пройти мимо. Но начальное понимание, всё-таки стоит иметь, прежде чем начинать читать. Вендор не так важен, в тексте Ариста.

Кто умеет - делает, кто не умеет - учит других. Однажды сказал какой-то типок.
Но он напиздел. Я например и делаю и учу других (в качестве хобби наверное) :)
Поэтому сегодня предлагаю вашему вниманию отличный авторский контент, к которому я приложил косвенное наставничество, скажем так.
С помощью данного труда, вы без труда сможете ещё раз попробовать разобраться как работают эти ваши EVPN\VXLAN-ы. И наглядно посмотреть практический пример настройки этого всего на софте от Аристы. Всякие клёвые rfc, айпивэшесть цветные картинки и роут тайп пять на месте
Я такого в Рунете если честно не встречал - ну а вы встречайте - работу от Виталия @viterkag
https://docs.vtre.ru/evpn_vxlan_arista

Январский отчёт ЦМУ ССОП, про который я почти забыл и перестал следить когда он появится. Логично бы выкладывать отчёты ежемесячно, как, например, еженедельные новости про противодействие угрозам, но хорошо, что они есть, сейчас последний доступный за Апрель.

В США не хватает инженеров, которых, как оказалось, автоматизация заменить не сможет. Проблемы по всем фронтам, приезжих не принимают, а свои недоучиваются, или учатся не тому. Женщины почему-то инженерами тоже не хотят быть, хотя в колледжах большинство обучающихся как-раз женщины. Сложно эту ситуацию экстраполировать на нас, Инженеров, которые с большой буквы и по призванию, вроде никогда много не было.

Вчера, 1 августа, было 7 лет с момента первого поста в нашем канале, поэтому традиционный (можно уже говорить "традиционный" через 7 лет?) пост с итогами за истёкший год. Нас становится больше, совсем недавно перевалили за отметку 2000 подписчиков, каждому от меня большая благодарность, очень приятно что вы находите здесь что-то полезное для себя и делитесь со мной интересными вещами, и материалами из этого канала со своими друзьями.
Постов (вместе со всеми репостами) в этом году тоже чуть-чуть больше, всего 359 и почти всё про сети и одну большую сеть - Интернет, иногда про людей в этих сетях.

Самые просматриваемые посты:

- Про важность многофакторной аутентификации, даже для владельцев автономных систем
- Про рабочие будни в большой компании
- Про мониториг, когда хочется чего-нибудь этакого

Самый залайканый пост уже упоминаемый ticket traceroute, да и в целом, такие эмоции больше относились к праздничным постам, из остальных:

- Серверная, которую все видели хоть один раз. Всем героям в полях, большой привет
- Новые 100000000 секунд UNIX
- Обзор докладов с nexthop2023

Эмоции в другую сторону:
- Новость про новые пошлины на лицензии связи и про то как было раньше
- HPE покупает Juniper
- Неудача Луны-25 с надеждой что всё получится в следующий раз

Я по прежнему поддерживаю @FullViewBGPbot, @bgp_table_bot и https://host-correct.ru и знаю что @bgp_table_bot перестал выдавать анонсы с 22 июня, это связно с отсутствием этих самых анонсов в Mastodon, в Twitter они остались, но автор оригинального бота очень жалуется именно на Twitter и мне бы не хотелось переделывать мой бот обратно, пока ждём. Остальное в строю, мой DoH сервер, конечно, не составит конкуренции гигантам индустрии да и вероятно любому другому, но я иногда использую, где-то в мыслях лежит расширить функционал добавив что-то ещё полезного не только DNS, но мысли эти очень глубоко.

Новый год :) продолжаем продолжать!

CEO Tailscale написал программный пост про Новый Интернет, мне он показался больше рекламным. Но его стали достаточно бурно обсуждать, например на Slashdot, из-за очевидных прямолинейных кивков в сторону облачных платформ, переусложненных решений, излишней централизацией всего и "раньше было лучше". Сломанную связность в IPv4 предлагаемый продукт чинит полносвязанным VPN, IPv6 не упоминается ни в каком виде, хотя как раз прямую связность между хостами вполне обеспечивает, ещё и безопасность, куда без неё. На мой взгляд на "Новый Интернет" не тянет, что не отменяет возможности всем, в конечном итоге, завернуться в ВПНы, но для доступа к Интернет, из них, таки, придётся выходить.

Про петли в IP поговорили, теперь про петли в BGP. Будьте внимательны если строите сложные структуры, тем более, если добрались аж до конфедераций, про которые пора бы уже и забыть. Вмешиваться и менять AS_PATH, тоже до добра не доводит, хотя и бывает необходимо.

Разработка RTP over QUIC изнутри, на самом острие стандартизации.

Вчера смотрел ютуб. Показывает в разных видах на разных устройствах. Ну, качество - говно. Ни ясности в картинках, Ни плавности в их смене. Поставить красивую фоновую музыку с красивыми видами - это теперь не в ютуб. Экономия трафика потребления налицо. Клиентам хотеть расширяться не под что. Трафик GGC просел на 45%. А насколько просело качество - это вопрос.

И вспомнилось мне детство с юностью, тогда мы слушали музыку через вражьи голоса. Ее глушили, но она пробивалась то тут, то там. Строили приемники с нестандартными диапазонами и натягивали антенны. И в этом шумящем и затухающем эфире иногда, вдруг начиналось отличное прохождение радиоволн и ясный звук какого-нибудь ревущего rad bat bat bat blue от дип пёпла навсегда оставлял тебя фанатом этого звука.

Вот и сейчас глушилки ютуба вызывают у молодежи прилив творчества в поисках как пропихнуть заторможенное дипиаями. Как из мутного и заикающегося сделать четкое и плавное. Ничего у них не выйдет, но зато желание посмотреть запретное станет для кого-то самоцелью. И это запретное скорей всего окажется не музыкой, а ненавистью…

или произойдет замещение интересов?

GRE, BGP и BFD на NSX, в двух частях, тема файрвола не раскрыта, зато в картинках, поэтому получилось несколько многословно. Автор в консоль заходит только чтобы проверить результат.

Товарищ программист ёрничает над сетевиками :)

Youtube тормозит, Twitter вообще заблокирован, но остаются ещё маленькие профессиональные радости, которые никак не отнять.

Представьте ситуацию, когда ваш вендор какого-нибудь сетевого приложения советует отключить сеть или не запускать приложение, чтобы защитится от атаки.
CVE-2024-38063, Microsoft: "IPv6 не нужен". И ведь поможет.

Если покопаться в истории то, навскидку: CVE-2020-16898, там советовали RDNSS отключать, ещё CVE-2013-3183, но тогда в IPv6 больше верили и отключать его не советовали, только фильтры проверить сетевые. В общем, под вашу ответственность, а ведь у кого есть служба ИБ, Windows и IPv6, наверное, уже пришли и спросили, как защищаться будем.

Первая версия совместной книги по IPv6, немногим больше 100 страниц, в которой много достаточно разноплановых глав разной степени проработки. Никогда не поздно присоединиться и внести свой вклад, но я по прежнему продолжаю советовать "IPv6 для знатоков IPv4" Ярослава Тихого, даже с учётом прошедшего времени с момента публикации.

Для тех кому удобнее видео формат, да ещё и на русском - RIPE NCC представила перевод курса своей академии по основам IPv6 - 31 ролик по 5-10 минут каждый. (C Youtube, конечно, надо будет что-то придумать, если ещё не придумали)

В чатике IPv6 уже всё решили с ютубом залив на торрент, там же обсуждение есть https://t.iss.one/version6/77744, спасибо всем кто поделился.