Бессонная ночь у многих, очень многих админов сегодня. Ооооочень многих. По всей стране.
В нашей сети почти нет Cisco, а то что есть сильно изолировано или не имеет подобный функционал. А наши провайдеры коллеги попали :(
Другое железо, которое мы используем не такое популярное, но возможно с ещё большими дырами, которые не придают широкой огласке и это имеет куда более печальные последствия. Про эту уязвимость известно давно, широко стало известно в начале недели. После этого случая я думаю многие задумаются над отдельным человеком специализирующимся только на безопасности сети. Который, как минимум, следит за новостями. У нас такого нет.

В общем, слишком это всё легко оказалось чтобы кто-то из скрипт-кидди смог справиться с задачей завалить всё. Не могу представить чтобы так действовал какой-либо профессионал.

Вот так-вот - сегодня в 1994 году был создан TLD RU. Но до этого, c 1990 года был TLD SU. И вот теперь скажите, что считать днём рождения Рунета?

Написал для себя бота на golang, который умеет следующее:

/rfc - Показывает 20 новых RFC
/draft - Показывает 20 новых драфтов

Возможно кому-то еще пригодится. Как обычно - пожелания по функционалу и баги в личку - @mxssl

@go_rfc_feed_bot

grepcidr утилита поиска адресов IPv4 и IPv6 заданных привычным способом: по маске, по диапазону:

ip addr | grepcidr fe80::/10
inet6 fe80::a00:27ff:fe1b:7062/64 scope link

Можно и обычным grep, нужные regexp на подкорке уже сидят, но так удобнее.
Есть в Linux репозиториях, компилировать не надо.

​Всегда систематизированный подход даёт больше результатов, даже если по отдельности знаешь все описываемые вещи. Книга про то как работать с текстами в Unix 1987 года. В 2004 выложена в открытый доступ.

Несмотря на возраст, можно встретить все знакомые утилиты в одном месте. И конечно, всё построено от простого к сложному, это не man страницы - это книга, которая должна обладать таким свойством как повествование, сюжет, развитие - по другому и книги-то не выходит.

Вдогонку к предыдущему посту. Список утилит для работы со структурированным текстом: CSV, YAML, JSON, INI.

lldpd дорос до версии 1.0, но первый релиз 0.2 был в 2008. Это реализация LLDP одобренная ISC для *nix платформ. Помимо LLDP там ещё CDP, FDP и другие протоколы для обнаружения соседей и топологии.

Почему-то я никогда не сталкивался с работающим LLDP или чем-то подобным на серверах. Обычно всё решается во время проектирования, порт подписывается сервер учитывается и на этом всё.
А вот на сетевых устройствах частенько приходилось восстанавливать топологию через CDP.

Как настроить Kea для выдачи IPv6 абоненту в зависимости от идентификатора option 37. Стоит сходить и по ссылке на презентацию, где рассказано больше про сеть в которой это работает.

В примере база данных абонентов живёт непосредственно в конфигурации DHCP. И я скажу вам, что при всём при том, что это решение "в лоб" оно рабочее даже для масштаба 10-20 тысяч абонентов. Потому что, мы так делали несколько лет назад для ISC DHCP - конфигурация обновляется каждый раз при добавлении нового абонента или удалении или перемещении на другой порт. Большая проблема это постоянное перечитывание конфигурации при её обновлении, что сказывается в первую очередь на скорости реакции на эти обновления. Но это работает. Для 50-100 абонентов, это вообще можно делать руками держа табличку соответствия номера контракта и адреса в голове или в комментариях в той же конфигурации. У нас этим занимался один человек и у него отлично получалось.

Но этим не так удобно управлять, даже совсем не удобно, особенно если всё делается руками. Тот же поиск, или добавление специфичных опций. Поэтому база данных, или скрипт-ловушка который уже обращается к базе данных, Radius - это путь который сильно сэкономит ресурсы, в первую очередь во время поиска возможных проблем.

Не знаю может такого добра навалом, но обычно мне не приходиться обрабатывать файлы размерами больше нескольких сотен килобайт. Поэтому обратил внимание на программу для быстрого поиска в больших файлах.
Есть нюанс - файл должен быть отсортирован, но ищет и вправду быстро. Некоторые данные часто уже в отсортированном виде, поэтому в общем случае надо ещё быстрый сортировщик, а для частных случаев всё должно работать замечательно.

Интересно когда это станет действительно актуально, как сделают и сделают ли общедоступную online сеть Земля-Луна? Земля-Венера?
Роскосмос опубликовал эскизный проект части системы связи Земля-Луна. Прямая ссылка на сам документ - 1958 год. 178 страниц по ГОСТ: расчтёты, схемы, фотографии.
В списке литературы в том числе и англоязычные источники.

​Wendell Odom, в честь 20 летия CCNA, собирается написать цикл статей посвящённый этой сертификации. Первая уже здесь.

Как получить по SNMP счётчик пакетов в ACL для IOS XR. Пост на Cisco форуме с ссылками к оригинальной документации.
Коротко - делаем именованный счётчик, используем его ASCII нотацию как часть OID в запросе. После этого можно строить красивые графики структуры трафика, например в Cacti.

Обязательно посмотрите стенограмму разговора Гагарина и Королева перед стартом.

https://www.youtube.com/watch?v=rJU77lOj1wY

Темы и технологии из CCIE, на данный момент, с примерами команд которые их реализуют. Всё одном документе, в виде дерева, в разных форматах (в том числе и интерактивных), вот в pdf.

Система мониторинга с красивыми подвижными дашбордами. Красота важна почти всегда. Иногда, важна даже больше чем то что внутри, когда эту красоту надо показывать своему начальнику или заказчику.
Забрать можно с github.

Timeweb откопал несколько забавных программ для консоли Linux и не только консоли. При желании можно найти даже полезность в некоторых, помимо визуального ряда и юмора. А ещё, программисты любят коров не меньше чем котов.
Оригинал на losst.ru.

Пару месяцев назад мы подняли публичные репозитории для несколькоких Linux дистрибутивов. Основная цель - альтруистическая, романтика и всё такое. На самом деле, в России публичных репозиториев, даже для широко используемых систем всего десяток. Иногда и 5 не набирается. Для непопулярных, часто вообще ничего нет. Основной ресурс это дисковое пространство, трафика не так много - стабильно около 150Мбит/c исходящего для Ubuntu, EPEL и Centos вместе взятых. Так что почувствовать себя частью большой идеи совсем просто.

Но что совсем не входило в наши планы и от чего я просто в восторге: мы решили часть очень важного вопроса - доступ наших серверов к обновлениям без Интернета. И это особенно важно для тех ресурсов которым и интернет-то не нужен будет никогда.
Ещё одна вещь которая решается - это сокрытие вашей приватной информации о структуре сети. Потому что когда я посмотрел на логи запросов то увидел домены достаточно известных банков, как пример, с явно внутренними служебными именами. И это открыло, да, именно открыло глаза на возможное применение публичных ресурсов. Всё-таки безопасностью надо дышать, это прямо стиль жизни. Когда читаешь обзоры про ту же структуру серверов NTP которые могут собирать IPv6 адреса, думаешь и что? А потом когда видишь на своём публичном сервере то что раскрытию не должно подвергаться, ответственность уже совсем другая, совсем.

Последнюю неделю в каждом Telegram канале проскочило не менее 10-ка разных ресурсов для доступа к Telegram в отключенном состоянии. Вашу переписку никто не увидит, а вот время, место, объёмы переданных данных... С другой стороны Telegram раскрывает все свои ресурсы и в это место можно бить прицельно.
Для 10000 человек это статистика, но уже полезная. Если из этих 10000 знать кого искать, то забудьте про приватность. Telegram не отдаёт данные об абонентах (наверное не отдаёт), потому что может. Непонятный прокси сервер из чатика - это не Telegram, будьте внимательны кому доверять даже небольшую часть вашей личной информации.

​Таблицу маршрутизации надо иметь такую, чтобы в ней было легко разобраться. Так как разбираться будет человек, то лучше чтобы она не была сильно большая. Особенно это актуально на устройствах терминации, когда BRAS делает очень много маршрутов по /32.

Что такое агрегация маршрутов и как всё работает на Juniper. Хорошо расписаны в сравнении несколько вариантов, не сильно глубоко, но достаточно для использования. Можно сравнить с тем как это происходит на Cisco в случае BGP.

Конечно не стоит забывать что адресный план должен быть построен иерархически, иначе ничего не получится.

​Что делает провайдер интернет когда его магистральный оператор ломается? То же что и обычный абонент - звонит в тех.поддержку. А зачем? Чтобы выразить своё негодование :) Потому что, в отличие от обычного абонента, как правило, уже включены все необходимые резервы (иногда за большие деньги), уже разосланы все оповещения своим абонентам и службам и в операторском чатике уже успели пожаловаться. Осталось только позвонить и выразить своё "фи".
С большой вероятностью во время большой аварии этот звонок ничего не решит и интернет операторы это знают. Можно узнать причину и примерные сроки, но повлиять на это вряд ли можно, потому что технические службы скорее всего и так всё знают и до вашего звонка им дела нет - сделают когда смогут.

Так выглядит вчерашний двойной обрыв DWDM магистрали у Мегафон в пингах. Для клиентов никаких обрывов кроме двойных не бывает - потому что двойной обрыв это серьёзно, а всё остальное восстанавливается само, незаметно.

Коллега читает про VRRP и спрашивает, что такое Skew time, говорит что я должен знать. А я не знаю :( Чтобы не знать вместе - прочитали у Lindsay Hill статью по данному вопросу.

В общем, эта такая штука которая ранжирует тех кто хочет стать мастером по порядку. Но не в прямую, а через задержку проверки доступности этого самого мастера. Чем выше приоритет, тем быстрее начитается попытка стать мастером, если предыдущий мастер отвалился. Похоже на костыль, но функционал полезный если в сегменте больше 2-х маршрутизаторов - можно всех расставить по линейке.

RIPE - всё, отстрелялся. Последний /22 из адресов от IANA полученных в 2012 ушёл. А в феврале писали что на 4 месяца должно хватить.