Таблицу маршрутизации надо иметь такую, чтобы в ней было легко разобраться. Так как разбираться будет человек, то лучше чтобы она не была сильно большая. Особенно это актуально на устройствах терминации, когда BRAS делает очень много маршрутов по /32.
Что такое агрегация маршрутов и как всё работает на Juniper. Хорошо расписаны в сравнении несколько вариантов, не сильно глубоко, но достаточно для использования. Можно сравнить с тем как это происходит на Cisco в случае BGP.
Конечно не стоит забывать что адресный план должен быть построен иерархически, иначе ничего не получится.
Что такое агрегация маршрутов и как всё работает на Juniper. Хорошо расписаны в сравнении несколько вариантов, не сильно глубоко, но достаточно для использования. Можно сравнить с тем как это происходит на Cisco в случае BGP.
Конечно не стоит забывать что адресный план должен быть построен иерархически, иначе ничего не получится.
Что делает провайдер интернет когда его магистральный оператор ломается? То же что и обычный абонент - звонит в тех.поддержку. А зачем? Чтобы выразить своё негодование :) Потому что, в отличие от обычного абонента, как правило, уже включены все необходимые резервы (иногда за большие деньги), уже разосланы все оповещения своим абонентам и службам и в операторском чатике уже успели пожаловаться. Осталось только позвонить и выразить своё "фи".
С большой вероятностью во время большой аварии этот звонок ничего не решит и интернет операторы это знают. Можно узнать причину и примерные сроки, но повлиять на это вряд ли можно, потому что технические службы скорее всего и так всё знают и до вашего звонка им дела нет - сделают когда смогут.
Так выглядит вчерашний двойной обрыв DWDM магистрали у Мегафон в пингах. Для клиентов никаких обрывов кроме двойных не бывает - потому что двойной обрыв это серьёзно, а всё остальное восстанавливается само, незаметно.
С большой вероятностью во время большой аварии этот звонок ничего не решит и интернет операторы это знают. Можно узнать причину и примерные сроки, но повлиять на это вряд ли можно, потому что технические службы скорее всего и так всё знают и до вашего звонка им дела нет - сделают когда смогут.
Так выглядит вчерашний двойной обрыв DWDM магистрали у Мегафон в пингах. Для клиентов никаких обрывов кроме двойных не бывает - потому что двойной обрыв это серьёзно, а всё остальное восстанавливается само, незаметно.
Коллега читает про VRRP и спрашивает, что такое Skew time, говорит что я должен знать. А я не знаю :( Чтобы не знать вместе - прочитали у Lindsay Hill статью по данному вопросу.
В общем, эта такая штука которая ранжирует тех кто хочет стать мастером по порядку. Но не в прямую, а через задержку проверки доступности этого самого мастера. Чем выше приоритет, тем быстрее начитается попытка стать мастером, если предыдущий мастер отвалился. Похоже на костыль, но функционал полезный если в сегменте больше 2-х маршрутизаторов - можно всех расставить по линейке.
В общем, эта такая штука которая ранжирует тех кто хочет стать мастером по порядку. Но не в прямую, а через задержку проверки доступности этого самого мастера. Чем выше приоритет, тем быстрее начитается попытка стать мастером, если предыдущий мастер отвалился. Похоже на костыль, но функционал полезный если в сегменте больше 2-х маршрутизаторов - можно всех расставить по линейке.
RIPE - всё, отстрелялся. Последний /22 из адресов от IANA полученных в 2012 ушёл. А в феврале писали что на 4 месяца должно хватить.
Twitter
RIPE NCC RS Dept
Today @RIPE_NCC distributed the final /22 IPv4 allocation from 185/8. We are now distributing IPv4 address space that has been returned since September 2012. See the remaining IPv4 pool here: https://t.co/s4Pf5eX5b0
Да, без этого никак. На разных системах по разному проявляется, но принцип один.
Twitter
@0x41414141
https://t.co/wWePi3pCRD
Современные IPS и Firewall вполне себе тянут трафик небольшого ISP. На cisco.com, как всегда, подробнее.
В итоге, LAN Enterprise технологии для одного-двух городов - удобное и рабочее решение. Конечно если у провайдера есть соответствующая кабельная инфраструктура для Ethernet и желание, намерение управлять своими абонентами.
В итоге, LAN Enterprise технологии для одного-двух городов - удобное и рабочее решение. Конечно если у провайдера есть соответствующая кабельная инфраструктура для Ethernet и желание, намерение управлять своими абонентами.
Twitter
Router-switch.com
Cisco NGFW throughput
В честь пятницы. Сходите на "Первому игроку приготовиться". Трейлер наводит на мысль, что это очередная сопливая сага в духе многих последних подростковых фильмов - я сам так подумал, но это не так.
Он детский? - ДА. Но он скорее для тех детей которые в своём детстве боялись смотреть Сияние и Чаки, играли в Червячков и Леммингов, сначала убегали, а потом бежали вместе с Терминатором.
Этот фильм полностью скроен из штампов и мемов, отсылок к компьютерной и околокомпьютерной культуре 80-90х. Он на порядок круче чем Пиксели. Не разочаровывайтесь началом, самый смак от середины фильма и почти до конца. Есть книга и скорее всего она лучше чем фильм.
Он детский? - ДА. Но он скорее для тех детей которые в своём детстве боялись смотреть Сияние и Чаки, играли в Червячков и Леммингов, сначала убегали, а потом бежали вместе с Терминатором.
Этот фильм полностью скроен из штампов и мемов, отсылок к компьютерной и околокомпьютерной культуре 80-90х. Он на порядок круче чем Пиксели. Не разочаровывайтесь началом, самый смак от середины фильма и почти до конца. Есть книга и скорее всего она лучше чем фильм.
Aaron Toponce проделал большую работу и сравнил очень много генераторов паролей. Само сравнение в Goolge Sheets (будьте внимательны, там много листов). А вот тут подробное описание параметров по которым велось сравнение. Несмотря на то что, сам автор победил в тех категориях где он был представлен, материал весьма и весьма впечатляет.
Я почему-то до сих пор делаю случайные?, нечитаемые, многосимвольные пароли на 12-20 позиций, хотя вот уже модно делать пароли из большого количества слов подлиннее. Надо попробовать какой нибудь из генераторов. Главное учитывать нюансы, что в некоторых случаях длина пароля может быть неявно ограничена самим сервисом/устройством и тогда вся эта энтропия коту под хвост.
Я почему-то до сих пор делаю случайные?, нечитаемые, многосимвольные пароли на 12-20 позиций, хотя вот уже модно делать пароли из большого количества слов подлиннее. Надо попробовать какой нибудь из генераторов. Главное учитывать нюансы, что в некоторых случаях длина пароля может быть неявно ограничена самим сервисом/устройством и тогда вся эта энтропия коту под хвост.
Twitter
Aaron Toponce 🐧
Need a password? I just finished a browser-based password generator audit of: * 82 online passphrase generators * 58 online password generators * 16 bookmarklets * 112 Chrome extensions * 34 Firefox extensions Mandatory blog post: https://t.co/raDno34kTX
Карта Интернета на 16 апреля 2018 (в превью маленькая картинка, так что лучше жать на ссылку). Каждый пиксель - это сеть /24. Цвет 256 RGB - количество хостов ответивших на пинг в этой подсети.
Как это было сделано написано в статье у Ben Cox. Есть сравнение с предыдущими замерами, а также бонусом IPv6 карта Интернета.
Как это было сделано написано в статье у Ben Cox. Есть сравнение с предыдущими замерами, а также бонусом IPv6 карта Интернета.
Как выглядели сайты интернет компаний в самом начале. Внезапно осознал что ничего из этого не помню, кроме Google. Даже при том что интернет более менее на постоянной основе у меня с 2003, а работать в интернете я стал с 2006 были какие-то другие интересы. Конечно тут не такие популярные для России ресурсы, но вот даже и среди популярных, тот же Youtube, очень долго мимо меня проходил.
В базе многие вендоры предлагают похожие вещи. Но вся суть в мелочах конечно-же. Когда начинаешь использовать PBR уже сложно оторваться, хотя во многом это компенсация не всегда удачного дизайна и я больше привык опираться на таблицу маршрутизации.
Почти у всех есть PBR где можно установить произвольный
Но что делать если преимущественно трафик должен бегать в соответствии с таблицей маршрутизации и только в некоторых случаях маршрутизироваться по политике. Надо построить правила ACL, иногда сложные, часто очень сложные или многоуровневые. Что делать если надо балансировать трафик - это придётся делать вручную, работая за таблицу маршрутизации.
В части ситуаций некоторые моменты можно решить set ip default next-hop который есть у Cisco. Работает как маршрут по умолчанию, т.е. редирект происходит только в случае, если адреса назначения нету в активной таблице маршрутизации. Очень удачное решение для пограничных устройств, сокращает кучу правил-исключений для локальных адресов. А если ещё и ip sla обмазать сверху... Но на нашем железе - нет ни того ни другого.
Почти у всех есть PBR где можно установить произвольный
next-hop или несколько. И в случае если один из них становится недоступен (не обязательно из-за упавшего порта) то трафик бежит на второй и так далее.Но что делать если преимущественно трафик должен бегать в соответствии с таблицей маршрутизации и только в некоторых случаях маршрутизироваться по политике. Надо построить правила ACL, иногда сложные, часто очень сложные или многоуровневые. Что делать если надо балансировать трафик - это придётся делать вручную, работая за таблицу маршрутизации.
В части ситуаций некоторые моменты можно решить set ip default next-hop который есть у Cisco. Работает как маршрут по умолчанию, т.е. редирект происходит только в случае, если адреса назначения нету в активной таблице маршрутизации. Очень удачное решение для пограничных устройств, сокращает кучу правил-исключений для локальных адресов. А если ещё и ip sla обмазать сверху... Но на нашем железе - нет ни того ни другого.
Cisco
Configure Policy-based Routing with Next-Hop Commands
This document describes how to use the set ip default next-hop and set ip next-hop commands to configure policy-based routing (PBR).
Куча статистики по исследованию технической стороны интернета у Center of Applied Internet Data Analysis.
Например, спуфигну адресов - очень подробно, всё кликабельно, есть отчёты в сыром виде. Детектируется в том числе NAT и не NAT сети. Используют для этого специальный софт-пробник внутри сетей.
Например, спуфигну адресов - очень подробно, всё кликабельно, есть отчёты в сыром виде. Детектируется в том числе NAT и не NAT сети. Используют для этого специальный софт-пробник внутри сетей.
CAIDA
CAIDA: Center for Applied Internet Data Analysis
The Center for Applied Internet Data Analysis (CAIDA) conducts network research and builds research infrastructure to support large-scale data collection, curation, and data distribution to the scientific research community.
The system uptime is 1491 days 7 hours 55 minutes 5 seconds
На одном из магистральных узлов. Как правило это означает, что 4 года система не проходила ТО, у неё нет резерва, про неё забыли.
Конечно это может говорить о её надёжности, что всё построено на hotswap модулях, а обновления софта проходят без перезагрузки. Но в данном случае всё же первый вариант.
Несколько лет назад мы тестировали решение A10 networks для cgNAT и не только. Скорее эта платформа даже не столько для NAT как для всего остального. Был у нас железный вариант, потом вернулись ещё раз к ней и попробовали виртуальный вариант. По большей части нам тогда понравилось.
Так вот, на основе своего анти DDoS сервиса они рисуют вот такую карту https://threats.a10networks.com где считаются и отображаются места откуда происходит атака и какого она типа. DNS, SNMP, SSDP, все ботнеты попали под один тип, из нового memcached есть. Нарисовано красиво, атак много, можно пить кофе и грустить.
Так вот, на основе своего анти DDoS сервиса они рисуют вот такую карту https://threats.a10networks.com где считаются и отображаются места откуда происходит атака и какого она типа. DNS, SNMP, SSDP, все ботнеты попали под один тип, из нового memcached есть. Нарисовано красиво, атак много, можно пить кофе и грустить.
A10 Networks
DDoS Threat Intelligence Map
DDoS Threat Intelligence map of threat agents. Map is updated in real-time showing threats around the world.
Не знаю как сейчас, раньше была популярна спутниковая рыбалка. Сигнал для всех, шифрования нет, файл может принять любой, даже тот кто его не запрашивал.
Вот утилитка которая может вытаскивать файлы из дампов трафика. Помимо файлов ещё и пароли всякие и много другой интересной информации. Конечно, найти не https сайт скоро будет совсем трудно, но другие протоколы пока никто не отменял.
Если отвлечься от этого, то в целях администрирования очень удобно получать сетевую активность устройств сразу в читабельном виде. Для чего вполне хватает бесплатного варианта.
Вот утилитка которая может вытаскивать файлы из дампов трафика. Помимо файлов ещё и пароли всякие и много другой интересной информации. Конечно, найти не https сайт скоро будет совсем трудно, но другие протоколы пока никто не отменял.
Если отвлечься от этого, то в целях администрирования очень удобно получать сетевую активность устройств сразу в читабельном виде. Для чего вполне хватает бесплатного варианта.
Netresec
NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏
Network Miner is a network forensics tool for analyzing network traffic
Хотел написать про мультикаст RPF, но чёт коротко не получается. Вообще не получается ни у кого коротко.
Проблема в том что современный PIM использует таблицу маршрутизации общую, а древний DVMRP строил свою. И если надо чтобы мультикаст приходил только с определённого интерфейса, а второй был резервный, то в DVMRP можно было накинуть
Вот откуда адрес
Проблема в том что современный PIM использует таблицу маршрутизации общую, а древний DVMRP строил свою. И если надо чтобы мультикаст приходил только с определённого интерфейса, а второй был резервный, то в DVMRP можно было накинуть
cost на нужный интерфейс. А для PIM - крутить маршруты из общей таблицы.
show ip mroute 239.0.0.1
(192.0.2.1, 239.0.0.1), 1d03h/00:02:55, flags: T
Incoming interface: Vlan2, RPF nbr 192.0.2.129
show ip route 192.0.2.1
Routing entry for 192.0.2.0/25
Known via "static", distance 1, metric 0
Routing Descriptor Blocks:
* 192.0.2.129
Route metric is 0, traffic share count is 1
Вот откуда адрес
192.0.2.1 к нам прилетает, оттуда мультикаст и побежит, при условии что на интерфейсах всё нужное для PIM включено.Новый туннельный брокер IPv6 https://ipv6.ip4market.ru/ наверное единственный публичный в России, больше что-то я не припомню. На мировом уровне с https://tunnelbroker.net уже никто не сравнится, хотя вот мне кажется они уже давно там ничего не крутят.
6to4 не всегда хорошо заходит, кто-то фильтрует точку входа, да и серверы прыгают по миру - когда в Москве подключишься, когда в Бразилии. Хотя 6to4 удобнее в плане настройки и доступности внутри 2002::/16
В мировом масштабе это всё уже давно не актуально, но вот для России может быть... может быть... Оригинальная новость от автора в тематическом чатике https://t.iss.one/ru_ipv6/8431
6to4 не всегда хорошо заходит, кто-то фильтрует точку входа, да и серверы прыгают по миру - когда в Москве подключишься, когда в Бразилии. Хотя 6to4 удобнее в плане настройки и доступности внутри 2002::/16
В мировом масштабе это всё уже давно не актуально, но вот для России может быть... может быть... Оригинальная новость от автора в тематическом чатике https://t.iss.one/ru_ipv6/8431
Telegram
Yuri in ru_ipv6
мы тут российского IPv6 брокера тунельного запилили
IPv6 уже внедрили, теперь время за IoT. Специфическая тема в плане физики из-за большого количества потерь при передаче и одновременно большого количества устройств. И всё это требует новых протоколов, У IETF есть цела рабочая группа ROLL, которая сделала протокол маршрутизации RPL (distance-vector, source-routing). Маршруты формируются исходя из объективных физических факторов, всё работает в IPv6 (только).
Интересно почитать, может даже разобраться. В своё время для меня было совершенным открытием как элегантно и просто работают CAN сети. Зацикливание на одном не только работу в рутину превращает, но и лишает возможности использовать красивые решения пусть и придуманные не в твоём окружении.
Интересно почитать, может даже разобраться. В своё время для меня было совершенным открытием как элегантно и просто работают CAN сети. Зацикливание на одном не только работу в рутину превращает, но и лишает возможности использовать красивые решения пусть и придуманные не в твоём окружении.
IETF Journal
ROLL on a roll!
26-27 апреля где-то под Москвой прошла конференция Мультисервис 2018. Давно не был, но в своё время данное мероприятие (ещё под Екатеринбургом) произвело на меня впечатление горой подарков от телеканалов :)
Собственно с моей колокольни эта конференция про операторов связи с уклоном в телевидение и орг.вопросы вокруг этого, но всякие вопросы касаемо работы интернет само собой затрагиваются, потому что чистых кабельных ТВ операторов наверное уже и нет. И часто это выглядит как давно известные откровения. Но на злободневные темы бывают интересные разговоры, как и на любой другой конференции где собираются живые люди.
Текстовый репортаж на Кабельщике, можно читать пропустив нулевой день и в целом он даёт хорошее представление о происходящем.
Собственно с моей колокольни эта конференция про операторов связи с уклоном в телевидение и орг.вопросы вокруг этого, но всякие вопросы касаемо работы интернет само собой затрагиваются, потому что чистых кабельных ТВ операторов наверное уже и нет. И часто это выглядит как давно известные откровения. Но на злободневные темы бывают интересные разговоры, как и на любой другой конференции где собираются живые люди.
Текстовый репортаж на Кабельщике, можно читать пропустив нулевой день и в целом он даёт хорошее представление о происходящем.
www.cableman.ru
Самая душевная операторская конференция Multiservice-2018
И снова операторская конференция Multiservice, или в простонародье Muse собрала операторов в Подмосковье, в пансионате Лесные дали. В этом году много новшеств - как формальных и программных, так и неформальных - стала совсем большой и серьезной премия Альтернатива…
Никогда не забывайте о файрволе. Включаем и с чистой совестью отправляемся на выходные.
Twitter
düssel IT UG
@TunnelsUp @DO9XE