Щёлкнул вчера по ссылке на linkedin.com и понял - что-то сломалось. Конечно сломалось уже давно, когда сайт попал в чёрные списки РКН. Но IPv6 работал, а недавно (не такой я частый гость Linkedin) перестал потому что:

$ curl.exe --head linkedin.com
HTTP/1.1 302 Moved Temporarily
Location: https://lawfilter.ertelecom.ru

$ host lawfilter.ertelecom.ru
lawfilter.ertelecom.ru has IPv6 address 2a02:2698:a002:1::3:17

ДОМ.RU включил фильтрацию на IPv6. Не знаю только в моём регионе или везде, но судя потому что на другом PPPoE концентраторе фильтрация не включена, то пока это тесты. Сам фильтр стоит где-то сбоку (может не только), потому что реальный ответ от Linkedin всё равно приходит, но не успевает:

15:06:38.519901 IP6 (hlim 126, next-header TCP (6) payload length: 249) linkedin.http ertelecom.9657: Flags [P.], cksum 0x9e5c (correct), seq 1:230, ack 78, win 65534, length 229: HTTP, length: 229
HTTP/1.1 302 Moved Temporarily
Location: https://lawfilter.ertelecom.ru

15:06:39.088585 IP6 (class 0x70, hlim 56, next-header TCP (6) payload length: 149) linkedin.http ertelecom.9657: Flags [P.], cksum 0x7fea (correct), seq 1:130, ack 79, win 16, length 129: HTTP, length: 129
HTTP/1.1 301 Moved Permanently
Location: https://www.linkedin.com/

И знаете, это на самом деле хорошая новость. Чёрт с ней с фильтрацией, IPv6 с этим проще потому что все адреса публичные и можно строить красивые асимметричные каналы практически без потери качества, так как в подавляющем большинстве случаев фильтруются только исходящие запросы. Или пошаманить с локальными фильтрами, или... кто ищет тот всегда найдёт.

Это значит, что большая инженерная задача и головная боль в нашей действительности решена или почти решена. А-а-а-а-а, ещё СОРМ :-(. И для включения IPv6 рядовому предприятию перед менеджером больше не стоит барьер в виде админа за спиной, над которым висит Дамоклов меч штрафа за пропущенные ссылки от РКН (не знаю висит ли он в ДОМ.RU). Всё перемещается в рамки договорных отношений - количество сетей, цена и другие вопросы - просто бизнес. Может быть слишком оптимистично, может быть... может быть... но почему-то мне кажется что это именно так.

TCP/IP 45 лет. Прикоснуться к живой истории можно вот тут. На первой странице есть точная дата - когда получен, кто заказал и кто разрабатывал, но эту историю сложно не знать.

Пока RPKI не совсем рабочий инструмент фильтры надо строить самим. В пиринговых отношениях или когда подключаем клиента, без фильтров - опасно. Было бы желание.

Пример того как это можно сделать на Микротик. Используется готовая утилита IRRPT (нужен PHP), которая из публичной базы данных Интернет ресурсов (по умолчанию radb.net) получает нужные сведения. Не забываем про вопрос актуальности этих баз, на это надо обязательно делать скидку.
Для Микротика нет готового формата вывода, но есть для многих других устройств: cisco, ciscoxr, extreme, foundry, force10, juniper, edgeos, huawei. В статье, как раз, приводится нужный скрипт генерирующий требуемые фильтры.

Для генерации фильтров есть ещё bgpq, если вы не успели написать что-то своё или не строите фильтры вручную.

В конце прошлой недели проходила ACM Internet Measurement Conference 2018. Очень серьёзное мероприятие. На labs.ripe.net текстовый репортаж со ссылками на работы. Часть ссылок не открывается, поэтому ищем прямо на сайте sigcomm.org. Каждая работа большое исследование, поэтому читать и вникать придётся много. Кое-что я себе в закладки положил.

Скрипт от сетевика (от программистов никакой помощи), всё в духе автоматизации всего.

Задаём свою ASn и ASn с кем хотим установить пиринговые отношения. По базе PeeringDB происходит поиск точек присутствия обоих операторов (конечно если они их обозначили). После чего можно выбрать для каких точек сделать шаблонный конфиг. Поддерживается формат Cisco IOS или XR, IPv6.

$ python peerpal.py -l 12389 -p 6939

The following are the locations where Rostelecom and Hurricane Electric have common IPv4 presence:
(IPs for Hurricane Electric are displayed)
1: DE-CIX Frankfurt - 80.81.192.172
2: LINX LON1 - 195.66.224.21
3: AMS-IX - 80.249.209.150
4: Netnod Stockholm - 194.68.123.187
5: NL-ix - 193.239.116.14
6: Equinix Tokyo - 203.190.230.40
7: BBIX Tokyo - 218.100.6.74
8: Exchange_Number_1322 - 103.203.158.51
9: Equinix Hong Kong - 119.27.63.8
10: DE-CIX New York - 206.130.10.8
11: HKIX - 123.255.91.158

Бонусом получаем список IX где присутствуют оба оператора. В примере для Ростелекома и HE.
Почти все параметры задаются в файле конфигурации, их не много но без них практически никуда. Поэтому внимательно читаем README на GitHub. Написано на Python и получилось действительно полезно и просто, можно менять под свои нужды.

Ещё один тренд последнего времени это - телеметрия. Полинг с использованием SNMP (например) не позволяет получить много и точно. Логирование и аккаунтинг - это про другое. Netflow не универсален, даже v9.

Статья как получить телеметрию с Juniper, буквально на коленке. Конкретный пример, с настройками и всеми нужными утилитами, короткий экскурс что там под капотом на транспортном уровне. Полезно для понимания вопроса, но не отменяет того факта что для использования "по настоящему" надо хорошую систему управления и анализа сверху.

man pages online для мира BSD. Удобная штучка, хотя сейчас это параллельный для меня мир.

Статья про базовые понятия IP сетей объяснённые с помощью masscan. Не сказал бы что это первый урок, даже не второй - скорее второй семестр. Почитать интересно как практику использования masscan.
А по поводу базовых понятий сетей TCP/IP мой, наверное, любимый вопрос: "Сколько разных адресов IP можно назначить на интерфейс в твоей любимой ОС?" - это про понятия, потому что маски это про математику.

RIPE Atlas Anchor в виртуальном окружении доступен для полномасштабного использования. Тестирование шло с лета, сейчас можно заказывать даже кнопка есть специальная в статье. Требования далеко не заоблачные.
В своё время обычные RIPE Atlas probe до нас не доехали, не знаю уж в чём дело в таможне или в почте. Видно было что они появились в сети в нашем регионе у другого оператора (мягко сказать я был озадачен), потом пропали и всё. В итоге на весь наш регион один пробник стоит. Думаю с этим VM Anchor будет надёжнее.

Это такой невероятный подход что не смог удержаться (отсюда @nuancesprog).

Проверяем простое число или нет с помощью регулярного выражения. Там пример для JS, но по сути это не важно - важно то как там построено регулярное выражение и как они вообще работают. Очень качественный пример этого, особенно что касается "обратной ссылки".

Я конечно не такой мастер, но вот так будет выглядеть для shelll и sed. Важно чтобы echo не делал перенос строки -n не везде работает. Не жадный +? повтор sed делает и так, но я постарался сохранить строку из примера, поэтому лишние скобки и вторая \2 обратная ссылка, а не первая.

$ echo -n $x{1..10}"1" | tr -d ' ' | sed -ne "s/^1$\|^\(\(11\+\)\?\)\2\+$/Non Prime/; {t nonprime;}; s/.*/Prime/; :nonprime p;"
Non Prime

$ echo -n $x{1..11}"1" | tr -d ' ' | sed -ne "s/^1$\|^\(\(11\+\)\?\)\2\+$/Non Prime/; {t nonprime;}; s/.*/Prime/; :nonprime p;"
Prime

Числа проверяются от 1 до 42, дальше производительность совсем падает и ждать становится скучно. time для 43.

real 0m27,197s
user 0m26,531s
sys 0m0,076s

Какими инструментами проверять различные подсистемы Linux, шпаргалка под стекло.

Про то насколько изменился, точнее не изменился cat с начала его существования. Немного философский экскурс по исходникам cat.

Это пугающе прекрасно, насколько современные вещи "современны" на самом деле и на чём всё держится. Очередная волна BGP hijack хорошая иллюстрация этого на примере современного, но чуть более молодого протокола BGP.

QoS best practice, от маркировки и полисинга до управления очередями. Конкретно, по пунктам, всё сведено в таблички. Можно сделать скидку на Cisco и использовать не только для Cisco.

Слушайте, сдаётся мне что DHCPv6 на Android не будет. Большая и подробная статья с историей вопроса.

Я как-то за этой темой не следил, но это принципиальная позиция Google. Не буду приводить свои аргументы за DHCPv6, можно жить и без него, наверное. Но вот эта вот демократия железок с выбором адреса SLAAC мне совсем не по вкусу. Даже при том что мне сильно не нравится DHCP (для выдачи адресов) своей толерантностью и необходимостью компенсировать это средствами безопасности L2 доменов на коммутаторах.

Итого, без DHCP, получаем только один правильный дизайн сети - вилан на пользователя и никаких общих коммутационных сред на втором уровне. Виланы при этом выдаются 802.1x VLAN Assignment или чем-то подобным, это позволяет учитывать абонентов и применять к ним разные политики. Но в таком случае и классический DHCPv4 почти не нужен, был бы у меня такой дизайн сети...

Черновик RFC7706 про то что если поднять root DNS локально то будет быстрее, потому что не надо запрашивать настоящие корневые серверы которые всегда будут дальше чем локальный. Тем более AXFR сейчас поддерживается несколькими корневыми серверами.
Помимо собственно описания приводятся конфигурации для BIND, Unbound. NSD, Microsoft. Видео презентации на IETF103.

А не кажется ли вам что мы как-то начали забывать про Perl? Однострочники на Perl собранные в 8 разделов. У автора есть ещё книжка с разъяснениями что к чему - стоит денег, можно купить на Амазон, например.

Ещё одна глобальная карта Internet кабелей - фактически должен получиться мониторинг магистралей. Товарищ собирает деньги на Kickstarter для завершения проекта.

Вот ещё крутая визуализация - распределение IP адресов из базы MaxMind на карте.

Нажимаем Start и выбираем один из блоков по /8. Если выбрать "ничего", то построится вся известная база /0. Тут же приведён способ как это реализуется.

RHEL 8 beta здесь, будем думать что не последняя.

Про HTTP/3. С HTTP/2 далеко не всё так плохо, даже наоборот. Но картинка от этого менее забавней не становится.

На злобу дня (этой недели и всего последнего времени). Головная боль большого, по сути добровольного и саморегулируемого сообщества - кому доверять, стоит ли доверять и почему доверие работает, всё ещё. Обсуждают профессионалы своего дела - именно те люди которые рулят Интернетом как технической структурой, рулят во всех смыслах.

Часто попадаются на различных конференциях. На ближайшем пиринговом форуме обязательно кто нибудь из них будет.