show run может уронить вашу Cisco. Список достаточно большой: Catalyst 9300, 9400, 9500, 3650, 3850 с IOS 16.9.1. Кривую интенсивности отказов, которых больше в начале жизни продукта не обманешь.

Наши читатели конечно не прошли мимо новости про Beeline и Mail.ru, примечательную для меня в первую очередь тем что участники дали публичные комментарии. Эпоха псевдопубличности и социальных сетей, однако. На Habr статья про то как это выглядит со стороны маршрутизации.

Все отвыкли, а многие не застали, но в совсем недавнее время первого десятилетия 2000-х и даже чуть позже было веселее. В Google хорошо ищется по ключевым словам: "пиринговые войны" и "ОПГ" или "Объединённая Пиринговая Группа". Можно почитать Comnews, Exler и конечно Кипчатов, на Habr тоже есть. Ходить на российские ресурсы через зарубеж было нормой. Со стороны абонентов выглядит странно, со стороны профессионалов не этично, но вроде никто не запрещал - бизнес решает.

Интернет достаточно тонкая структура, Mail.ru, наверное, самый масштабный генератор трафика из местных, один VK чего стоит и игровые сервисы. Поэтому если отрубить один канал, оставшегося места в остальных может и не хватить, принцип домино и могут пострадать вообще все. Но опять же, абонентов это мало должно заботить, всё таки ради них всё. Тяжелее всего приходится операторам у которых Beeline основной магистральный провайдер, они вроде ни при делах, а их клиенты тоже под замес попали. Лес рубят щепки летят.

В OpenBSD шутят над systemd, очень внимательно почитайте описание чтобы шутка не превратилась в трагедию. Судя по чек листу, неужели прямо совсем так всё плохо? Мой опыт не приводит меня к этой мысли, но я в недра не погружался.
Надо сказать что классический sysvinit для Linux продолжает жить и кое-где ещё используется.

​Интернет не самая важная штука, когда нет электричества. Сегодня Аргентина и Уругвай испытали это на себе. Обратите внимание, что BGP анонсы остались почти в полном объёме, провайдеры о себе позаботились, а вот с последней милей всё по другому.

Балансировка трафика на устройствах Huawei, обзор некоторых проблем и конкретных реализаций, по пунктам. В свете намечающейся новой китайской дружбы, проходить мимо точно не стоит.
https://ntwrk.today/ - хорошее начинание от самого большого сетевого чатика @ntwrk, пожелаем удачи им в этом и много интересных статей. Всё-таки для большинства популярных ресурсов профессиональные сетевые проблемы - не формат. Автором может стать каждый, присоединившись к проекту на Github.

В новости про Аргентину и Уругвай если внимательно смотреть на график который генерируется IODA, то помимо анонсов BGP и доступности активных пробников можно увидеть нечто под заголовком Darknet. Это график с количеством уникальных IP в не запрашиваемом трафике: ботнеты, вирусы и много чего ещё что стучится в каждый хост с доступом к Интернет. Для этого даже есть термин Internet Background Radiation/Noise - IBR/IBN. Наверное, по аналогии с космическим фоновым излучением - CBR.

Этого трафика так много что его можно анализировать в целом и делать какие-то выводы только на основе наблюдения, что собственно видно на графиках IODA. В отличие от наблюдения за BGP это не управляющий, а непосредственный трафик с данными, то есть даёт большее представление о ситуации, почти как активный мониторинг.

Если развить идею и прикрутить статистику, то можно получить метод Chocolatine позволяющий на 90% верно определить сбой где либо в Интернет, даже на незначительном наборе данных. Собственно именно этот метод и планируется внедрить вместо того что есть сейчас в IODA, что помимо прочего должно увеличить количество обнаруживаемых сбоев.

Malcolm - анализатор трафика, можно PCAP или Zeek логи (это такая IDS, наверное популярная раз на Wikipedia про неё есть). Обещают что всё ставится легко, но всё же придётся почитать readme больше чем на 1000 строчек текста. Есть веб интерфейс Moloch и есть Kibana. Графики, зависимости, поиск, география, статистика - присутствует, выглядит внушительно и серьёзно, как и должно выглядеть ПО для гос.заказчика. Лицензию стоит почитать, она своя.

У Cloudflare есть свой Malcolm, там про перехват трафика в HTTPS.

У меня не было шансов, или я их не заметил, стать разработчиком процессоров и цифровой микроэлектроники, даже программистом для железок я не стал. А кто-то из моих знакомых стал и занимаются теперь ровно тем о чём мы когда-то говорили и обсуждали на парах в университете.

Иногда я вижу вот такие новости пусть и написанные слегка, кхммм, даже не знаю как сказать, вычурно что-ли, бахвально, и тихо вспоминаю свои студенческие годы. Когда было всё понятно и просто и не было проблем на коленке спроектировать ни один процессор или контроллер с любой уникальной архитектурой.

Но теперь я делаю сети из тех устройств, которые может быть делают в том числе и мои бывшие сокурсники и хорошо что кто-то их делает, иначе как бы я эти самые сети строил :)

А Extreme, кстати, коммутаторы с виртуалкой Linux на борту делает, которая позволяет запилить диагностику разнообразной сложности прямо из коробки. У них ещё и Python есть в консоли.
Мы, как правило, для магистральных узлов держим отдельный ПК или какую нибудь STB с Linux, обычно там BusyBox, чтобы проводить тесты с уровня приложений, когда сеть в порядке, а всё равно что-то да не работает.

В Cloudflare сделали свой NTP, NTS ещё черновик, но если есть клиент то можно попробовать использовать. В блоге довольно много про что к чему и почему время тоже должно быть безопасным.
Не забываем что сила Интернета, всё ещё, в открытых протоколах и децентрализации. Большие компании создают иллюзию что всё только у них, но это не так и класть все яйца в одну корзину точно не стоит.

Ещё одно сравнение QUIC и TCP, но тут решили подойти с тем условием что TCP надо настроить, а не сравнивать с вариантом по умолчанию. Были взяты несколько сайтов и Mahimahi, с помощью которого и делались тесты и измерения на Arch Linux. Параметры измерений подогнали под DSL, LTE и ещё два варианта сетей с потерями и большими задержками. Потом покрутили настройки TCP и QUIC оказался быстрее. Не настолько быстрее если использовать просто TCP никак его не настраивая, но всё равно быстрее.

Так как по своему дизайну QUIC быстрее на этапе установки соединения, чем TCP+TLS+HTTP/2, то для чистоты эксперимента решили их уравнять и искусственно вычли эту добавочку RTT, т.е. в реальной жизни так не бывает никогда. Но QUIC всё равно оказался быстрее, не всегда для высокоскоростных сетей без потерь, но всегда для сетей с потерями.

Прямая ссылка на arxiv.org. Всего 7 страничек в PDF. Работа будет представлена на ANRW'19.

Ни для CCNP ни для CCNA (тем более) такой набор железок не нужен, слишком избыточен. Но полезен потом когда погружаешься в тонкости практики которая за рамками учебников. Вот тогда что-то покрутить, по настоящему, на тёплом железе бывает единственным способом понять, как оно на самом деле работает.

How Verizon and a BGP Optimizer Knocked Large Parts of the Internet Offline Today

Подробный разбор вчерашнего инцидента, в результате которого пожухла половина интернета.

https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today

Тут в один чатик принесли интересную подборку утилит, на первый взгляд некоторые вещи выглядят интересными. Далее цитата.

Если кто вдруг не знал, UNIX утилиты переписанные на Rust (зачастую быстрее оригинала)：
- альтернатива grep - https://github.com/BurntSushi/ripgrep
- альтернатива sed - https://github.com/chmln/sd
- альтернатива jq/pq - https://github.com/dflemstr/rq
- aльтернатива coreutils - https://github.com/uutils/coreutils
- альтернатива bash - https://github.com/mitnk/cicada
- альтернатива GNU Parallel - https://github.com/mmstick/parallel
- альтернатива терминалу - https://github.com/jwilm/alacritty

#utils

В RFC, обычно в самом конце есть раздел Security Considerations. Там нет привычных MUST и MAY, там просто "соображения о...". Очередной раз у нас всплыла особенность c IGMP, когда роутер, по соображениям безопасности, может проверять источник IGMP отчёта, сравнивая его со своей подсетью на интерфейсе, RFC2236. А может не проверять и так делают большинство. Но наш роутер проверяет без возможности изменить своё поведение. В MLD, кстати это исключили из Considerations прописав требование к достоверному link-local адресу непосредствено при описании основной части RFC.
В результате можно, наверное, похвалить вендора о такой заботе, но с другой стороны практика большинства решает. Это ограничивает наш выбор в случае архитектуры с multicast vlan, добавляя ещё один пункт в список проверки возможностей оборудования при подборе решения. И ещё раз напоминая что безопасность и удобство стоят по разную сторону шкалы и решение в таких случаях всегда компромиссное.

Как работает и что собой представляет Pre-Defined NAT на IOS XR. Это механизм позволяющий избавиться от логирования состояний Частный-Публичный IP, за счёт определения постоянного диапазона портов и адресов по некоторому алгоритму. То есть, зная публичный адрес, порт и настройки можно вычислить какой используется частный адрес.

Такой промежуточный вариант между полностью описанной трансляцией статического NAT и NAPT, когда трансляция (адрес и порт) формируются по факту запроса и несколько сессий с одного частного адреса могут оказаться в разных частях публичного диапазона. Во многих решениях CgNAT, опять же, чтобы снизить количество записей состояний и их логирования, используется подход выделения на частный IP диапазона из 16 или больше портов. Если количество сессий превышает количество выделенных портов, то добавляется ещё столько же. В любом случае, в отличие от Pre-Defined NAT, можно увидеть только мгновенное состояние трансляций, придётся записывать логи.

Подход с логированием более динамичен и позволяет в большей степени упаковывать частные адреса в публичные. Для механизма Pre-Defined NAT высокая степени экономии может быть достигнута если утилизация частного адресного пространства высока, т.е. мы управляем назначением IP адресов и периодом их реального использования, например с помощью PPPoE. В конечном итоге результат зависит только от того сколько портов будет зарезервировано в настройках на один частный адрес. Ориентироваться в современных условиях стоит на 4000 или больше - 16 частных на один публичный. Для серой сети /24 потребуется /28 белой. Если частное адресное пространство с пропусками, то эффект экономии падает.

Зачем знать это состояние и тем более сохранять его? В статье в первом предложении прямо написано, что так требует государственное регулирование (на самом деле намного больше этого). В общем случае, если у кого-то появляется желание найти кого-то, кто что-то делал где-то в Интернете, то такие данные будут нужны, иначе связать публичный и частный IP и абонента не получится никак. Массивы данных накапливаются большие и обычно лежат мёртвым грузом, до редких моментов их использования, на всякий случай.

Ещё один grep на стероидах, точнее на NVIDIA CUDA. Ускорение обработки regexp до 10 раз по сравнению с обычным grep, а по сравнению с perl regexp в 68 раз. Правильная ссылка на Github.
Если прошли мимо ripgrep из одного из предыдущих постов, то он тоже быстрее и не только классического grep.

Wendell Odom интригует. L2 отправляется на свалку истории? И даже любимого циской EIGRP нет :)

Tadviser немного громковато пишет, если не смотреть на то что железо это x86, то да. RDP делает, наверное, самые приятные для админов железки, привычные и понятные, потому что выросли как раз из именно того самого Экотелеком, делали для себя и у них получилось.

Для среднего и мелкого провайдера выбирать сейчас действительно есть из чего отечественного, пусть и с поправкой на элементную базу. Есть, конечно, много мусора или того что ещё в самом начале и пользоваться этим нереально, но есть достойные представители. Вообще, по заголовку я подумал что речь про Eltex, у них тоже большая линейка. Так что если откинуть предубеждения и подходить инженерно, с испытаниями и контрольными тестами, то конкуренция вполне себе есть, не только потому что так требует государство.

​Таки я стал счастливым обладателем RIPE Atlas probe, завтра отвезу на узел и включу в сеть. В этот раз ни почта ни таможня не добралась до посылки. Точнее посылка добралась до меня, но внутри конверта я обнаружил порванный, хотя его можно было бы и просто открыть, и заклеенный скотчем пластиковый пакет с искомым содержимым.

Чистого времени на пересылку ушло 20 дней судя по штампам. С момента запроса прошёл год. Комплектацию можно посмотреть на картинке, очень компактное и аккуратное исполнение, все нужные патчи присутствуют - бери и включай.