Балансировка трафика на устройствах Huawei, обзор некоторых проблем и конкретных реализаций, по пунктам. В свете намечающейся новой китайской дружбы, проходить мимо точно не стоит.
https://ntwrk.today/ - хорошее начинание от самого большого сетевого чатика @ntwrk, пожелаем удачи им в этом и много интересных статей. Всё-таки для большинства популярных ресурсов профессиональные сетевые проблемы - не формат. Автором может стать каждый, присоединившись к проекту на Github.

В новости про Аргентину и Уругвай если внимательно смотреть на график который генерируется IODA, то помимо анонсов BGP и доступности активных пробников можно увидеть нечто под заголовком Darknet. Это график с количеством уникальных IP в не запрашиваемом трафике: ботнеты, вирусы и много чего ещё что стучится в каждый хост с доступом к Интернет. Для этого даже есть термин Internet Background Radiation/Noise - IBR/IBN. Наверное, по аналогии с космическим фоновым излучением - CBR.

Этого трафика так много что его можно анализировать в целом и делать какие-то выводы только на основе наблюдения, что собственно видно на графиках IODA. В отличие от наблюдения за BGP это не управляющий, а непосредственный трафик с данными, то есть даёт большее представление о ситуации, почти как активный мониторинг.

Если развить идею и прикрутить статистику, то можно получить метод Chocolatine позволяющий на 90% верно определить сбой где либо в Интернет, даже на незначительном наборе данных. Собственно именно этот метод и планируется внедрить вместо того что есть сейчас в IODA, что помимо прочего должно увеличить количество обнаруживаемых сбоев.

Malcolm - анализатор трафика, можно PCAP или Zeek логи (это такая IDS, наверное популярная раз на Wikipedia про неё есть). Обещают что всё ставится легко, но всё же придётся почитать readme больше чем на 1000 строчек текста. Есть веб интерфейс Moloch и есть Kibana. Графики, зависимости, поиск, география, статистика - присутствует, выглядит внушительно и серьёзно, как и должно выглядеть ПО для гос.заказчика. Лицензию стоит почитать, она своя.

У Cloudflare есть свой Malcolm, там про перехват трафика в HTTPS.

У меня не было шансов, или я их не заметил, стать разработчиком процессоров и цифровой микроэлектроники, даже программистом для железок я не стал. А кто-то из моих знакомых стал и занимаются теперь ровно тем о чём мы когда-то говорили и обсуждали на парах в университете.

Иногда я вижу вот такие новости пусть и написанные слегка, кхммм, даже не знаю как сказать, вычурно что-ли, бахвально, и тихо вспоминаю свои студенческие годы. Когда было всё понятно и просто и не было проблем на коленке спроектировать ни один процессор или контроллер с любой уникальной архитектурой.

Но теперь я делаю сети из тех устройств, которые может быть делают в том числе и мои бывшие сокурсники и хорошо что кто-то их делает, иначе как бы я эти самые сети строил :)

А Extreme, кстати, коммутаторы с виртуалкой Linux на борту делает, которая позволяет запилить диагностику разнообразной сложности прямо из коробки. У них ещё и Python есть в консоли.
Мы, как правило, для магистральных узлов держим отдельный ПК или какую нибудь STB с Linux, обычно там BusyBox, чтобы проводить тесты с уровня приложений, когда сеть в порядке, а всё равно что-то да не работает.

В Cloudflare сделали свой NTP, NTS ещё черновик, но если есть клиент то можно попробовать использовать. В блоге довольно много про что к чему и почему время тоже должно быть безопасным.
Не забываем что сила Интернета, всё ещё, в открытых протоколах и децентрализации. Большие компании создают иллюзию что всё только у них, но это не так и класть все яйца в одну корзину точно не стоит.

Ещё одно сравнение QUIC и TCP, но тут решили подойти с тем условием что TCP надо настроить, а не сравнивать с вариантом по умолчанию. Были взяты несколько сайтов и Mahimahi, с помощью которого и делались тесты и измерения на Arch Linux. Параметры измерений подогнали под DSL, LTE и ещё два варианта сетей с потерями и большими задержками. Потом покрутили настройки TCP и QUIC оказался быстрее. Не настолько быстрее если использовать просто TCP никак его не настраивая, но всё равно быстрее.

Так как по своему дизайну QUIC быстрее на этапе установки соединения, чем TCP+TLS+HTTP/2, то для чистоты эксперимента решили их уравнять и искусственно вычли эту добавочку RTT, т.е. в реальной жизни так не бывает никогда. Но QUIC всё равно оказался быстрее, не всегда для высокоскоростных сетей без потерь, но всегда для сетей с потерями.

Прямая ссылка на arxiv.org. Всего 7 страничек в PDF. Работа будет представлена на ANRW'19.

Ни для CCNP ни для CCNA (тем более) такой набор железок не нужен, слишком избыточен. Но полезен потом когда погружаешься в тонкости практики которая за рамками учебников. Вот тогда что-то покрутить, по настоящему, на тёплом железе бывает единственным способом понять, как оно на самом деле работает.

How Verizon and a BGP Optimizer Knocked Large Parts of the Internet Offline Today

Подробный разбор вчерашнего инцидента, в результате которого пожухла половина интернета.

https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today

Тут в один чатик принесли интересную подборку утилит, на первый взгляд некоторые вещи выглядят интересными. Далее цитата.

Если кто вдруг не знал, UNIX утилиты переписанные на Rust (зачастую быстрее оригинала)：
- альтернатива grep - https://github.com/BurntSushi/ripgrep
- альтернатива sed - https://github.com/chmln/sd
- альтернатива jq/pq - https://github.com/dflemstr/rq
- aльтернатива coreutils - https://github.com/uutils/coreutils
- альтернатива bash - https://github.com/mitnk/cicada
- альтернатива GNU Parallel - https://github.com/mmstick/parallel
- альтернатива терминалу - https://github.com/jwilm/alacritty

#utils

В RFC, обычно в самом конце есть раздел Security Considerations. Там нет привычных MUST и MAY, там просто "соображения о...". Очередной раз у нас всплыла особенность c IGMP, когда роутер, по соображениям безопасности, может проверять источник IGMP отчёта, сравнивая его со своей подсетью на интерфейсе, RFC2236. А может не проверять и так делают большинство. Но наш роутер проверяет без возможности изменить своё поведение. В MLD, кстати это исключили из Considerations прописав требование к достоверному link-local адресу непосредствено при описании основной части RFC.
В результате можно, наверное, похвалить вендора о такой заботе, но с другой стороны практика большинства решает. Это ограничивает наш выбор в случае архитектуры с multicast vlan, добавляя ещё один пункт в список проверки возможностей оборудования при подборе решения. И ещё раз напоминая что безопасность и удобство стоят по разную сторону шкалы и решение в таких случаях всегда компромиссное.

Как работает и что собой представляет Pre-Defined NAT на IOS XR. Это механизм позволяющий избавиться от логирования состояний Частный-Публичный IP, за счёт определения постоянного диапазона портов и адресов по некоторому алгоритму. То есть, зная публичный адрес, порт и настройки можно вычислить какой используется частный адрес.

Такой промежуточный вариант между полностью описанной трансляцией статического NAT и NAPT, когда трансляция (адрес и порт) формируются по факту запроса и несколько сессий с одного частного адреса могут оказаться в разных частях публичного диапазона. Во многих решениях CgNAT, опять же, чтобы снизить количество записей состояний и их логирования, используется подход выделения на частный IP диапазона из 16 или больше портов. Если количество сессий превышает количество выделенных портов, то добавляется ещё столько же. В любом случае, в отличие от Pre-Defined NAT, можно увидеть только мгновенное состояние трансляций, придётся записывать логи.

Подход с логированием более динамичен и позволяет в большей степени упаковывать частные адреса в публичные. Для механизма Pre-Defined NAT высокая степени экономии может быть достигнута если утилизация частного адресного пространства высока, т.е. мы управляем назначением IP адресов и периодом их реального использования, например с помощью PPPoE. В конечном итоге результат зависит только от того сколько портов будет зарезервировано в настройках на один частный адрес. Ориентироваться в современных условиях стоит на 4000 или больше - 16 частных на один публичный. Для серой сети /24 потребуется /28 белой. Если частное адресное пространство с пропусками, то эффект экономии падает.

Зачем знать это состояние и тем более сохранять его? В статье в первом предложении прямо написано, что так требует государственное регулирование (на самом деле намного больше этого). В общем случае, если у кого-то появляется желание найти кого-то, кто что-то делал где-то в Интернете, то такие данные будут нужны, иначе связать публичный и частный IP и абонента не получится никак. Массивы данных накапливаются большие и обычно лежат мёртвым грузом, до редких моментов их использования, на всякий случай.

Ещё один grep на стероидах, точнее на NVIDIA CUDA. Ускорение обработки regexp до 10 раз по сравнению с обычным grep, а по сравнению с perl regexp в 68 раз. Правильная ссылка на Github.
Если прошли мимо ripgrep из одного из предыдущих постов, то он тоже быстрее и не только классического grep.

Wendell Odom интригует. L2 отправляется на свалку истории? И даже любимого циской EIGRP нет :)

Tadviser немного громковато пишет, если не смотреть на то что железо это x86, то да. RDP делает, наверное, самые приятные для админов железки, привычные и понятные, потому что выросли как раз из именно того самого Экотелеком, делали для себя и у них получилось.

Для среднего и мелкого провайдера выбирать сейчас действительно есть из чего отечественного, пусть и с поправкой на элементную базу. Есть, конечно, много мусора или того что ещё в самом начале и пользоваться этим нереально, но есть достойные представители. Вообще, по заголовку я подумал что речь про Eltex, у них тоже большая линейка. Так что если откинуть предубеждения и подходить инженерно, с испытаниями и контрольными тестами, то конкуренция вполне себе есть, не только потому что так требует государство.

​Таки я стал счастливым обладателем RIPE Atlas probe, завтра отвезу на узел и включу в сеть. В этот раз ни почта ни таможня не добралась до посылки. Точнее посылка добралась до меня, но внутри конверта я обнаружил порванный, хотя его можно было бы и просто открыть, и заклеенный скотчем пластиковый пакет с искомым содержимым.

Чистого времени на пересылку ушло 20 дней судя по штампам. С момента запроса прошёл год. Комплектацию можно посмотреть на картинке, очень компактное и аккуратное исполнение, все нужные патчи присутствуют - бери и включай.

На Cisco 9000 тоже можно свои приложения пускать внутри Docker. Универсальность x86 даром не проходит, если есть ресурс/возможность то это вылезет не только у Extreme.
Насчёт безопасности пишут что она есть, но всё же, наверное, не стоит совмещать критически важный коммутатор с каким нибудь публичным сайтом, хотя теперь можно.

Вот так вот.

Теперь мы официально представлены на Яндекс.Маркет! Все последние модели и решения Cisco, точное описание характеристик в карточках товаров, постоянный мониторинг списка продавцов и "чистка" серых магазинов, удобный фильтр для поиска самой оптимальной модели, промо-кампании, полезные статьи и многое другое. Посмотрите сами: https://market.yandex.ru/brands--cisco/722706.

​Тут как-бы про BGP, но больше про IPv6.
Airtel AS9498 пульнули анонс блока 2400::/12 и неделю всём было фиолетово, пока один товарищ случайно не заметил и подсказал им, что опечаточка вышла и должно быть 2400::/127.
А на картинке показано, как GTT принимает префикс и всё нормально.
В удивительное время живём.