Ну, с днём редистрибуции, парни! За OSPF не чокаясь.

Haiku OS 20 лет, если не отмечали 18 августа то ещё не поздно. Напоминания про те времена, когда деревья были большими.

Ядру Linux исполнилось 30 лет https://opennet.ru/55678/

На Хабр хорошо известные всем работникам провайдеров факты про оптические трансиверы. Они есть хорошие и плохие, основная разница как правило, в том как разные устройства с ними работают, и не обязательно это выражается в том что не удаётся определить модуль, бывают совершенно странные и непредсказуемые заскоки.
Перегрев плохо, но обычно достаточно остудить и всё нормализуется. Выходят из строя, из моей практики, редко и даже очень редко. Когда варят оптику - лучше выключить, но чтобы прямо сгорали не встречал, хотя в err-disabled порт уходил. Из моего опыта, даже если вставить 80км друг напротив друга в 1-2 метрах, то скорее всего будет работать 1-3dBm прожуётся на приёме.
Прошивать можно, но лучше купить те которые понимаются вашими устройствами, не обязательно это будут родные. Cisco в статье упомянули лишь однажды и правильно, цена на Cisco модули запредельная в 10-20 раз больше чем аналоги, и разницы - никакой. Просто не забываем мантру:

service unsupported-transceiver
no errdisable detect cause gbic-invalid

И даже для серверов такое есть, правда не для всех.

Интересно, но за большую часть своей сетевой карьеры мне, по-большому счёту, не приходилось сталкиваться с отладкой работы именно приложений. А понял я это когда покинул стройные, но не многочисленные ряды альтернативных интернет провайдеров и влился в мир большого, конечно кровавого, энтерпрайза. И это, как говорится, совсем другая разница, когда твоей конечной или если хотите начальной точкой является конкретное приложение на конкретном месте, а никак не порт на коммутаторе.

Теперь мои сети это NAT, netflow, NBAR, QoS, ACL, VPN и NGFW и относительно простая, по моим меркам, маршрутизация, то что я привык считать за настоящую сетевую задачу. Ощущение такое что пересел с потрёпанного, но крепкого muscle car, даже скорее с какой-то из машин Безумного Макса где педаль газа всегда выжата на максимум, и съехал со сто полосного и почти пустого шоссе в центр, забитого под завязку, гигантского города где вынужден пробиваться по узким улочкам не более 20км/ч на длиннющем лимузине.

Я очень рад что история с ТСПУ обошла меня стороной, нет конечно, это про всех про нас, но непосредственно пощупать его руками загнав гвоздь в собственную сеть мне не пришлось. Я рад что наконец нашёл применение всему тому, что удалось почерпнуть из учебников и курсов, Cisco в том числе, где большая часть это всё же энтерпрайз, не зря свою сертификацию они переименовали. Я рад что cмог принести немного большого Интернета с собой, там где RIRы, RPKI, мультихоминг и IXы, и сделать ещё одну его часть лучше.

Необычно теперь смотреть на работу провайдеров со стороны клиента, это более чем полезный опыт, но его надо приобретать работая в провайдерах, чтобы сделать их лучше, надеюсь что никого не будут раздражать в этом новом взаимодействии находясь с другой стороны баррикад. Коллегам большой привет, в провайдерах по-прежнему лучшие сетевики, просто будьте более доброжелательны и снисходительны к своим клиентам.

Что ещё осталось попробовать - Tier-1, IX, вендора, интегратора, ЦОД, облака, bigtech, стартап, если ничего нового не придумают.

Контроль доступа на основе ролей (RBAC) что об этом думают в Tailscale, но про их реализацию в самом конце. В основном это сравнение и описание принципов построения различных концепций контроля доступа, их реализация в существующих решениях, шаг за шагом приближаясь к описываемой системе. Хорошая и длинная статья по теме, если никогда не интересовались этим раньше.

RSA/SHA1 теперь будет отключен по умолчанию в OpenSSH для генерации сигнатур, возможность включить обратно останется. Ключи это не затронет.

За кулисами индийского Интернет провайдера не самая радужная картина. С нашими реалиями не сравнить, у нас много лучше, хотя аналогии можно попытаться поискать.

Вы же не забываете включать IPv6 в Docker?

Мой друг подкинул мне ссылку про проклятое современное ПО - sad but true, такова реальность. Надо было слушать товарища Столлмана, а не считать его борцом с ветряными мельницами, так что во многом это то что мы сами и построили. А 20-25 лет назад можно было посмеиваться над загнивающим западом качая варез с BBS и покупать пиратские диски со 100500 программами на все случаи жизни, и не иметь ни одной не сломанной, включая WinRAR. А теперь, теперь мы сами себе не принадлежим. Пойду, наверное, пересмотрю Revolution OS, для вдохновения.

Когда-нибудь BGP таки разжалуют из протоколов маршрутизации, а пока читаем новый RFC9107 призванный улучшить RR за счёт знаний внутренних метрик IGP.

RFC9109 где NTP теперь будет использовать разные порты если работает в режиме клиента, а не только 123. И это реально большая проблема, потому что NTP - везде, каждая безделушка держит у себя клиента, упустим тот факт что не всегда корректно настроенного, что позволяет его использовать как очень удобный амплификатор для DDoS. Поэтому, основываясь, как раз на том факте что NTP это src udp 123 можно красиво загнать весь такой трафик в небольшой PAT, не рандомизировав, но хотя бы перемешав порты. Теперь, в ближайшем времени, сами клиенты так смогут и это хорошо.

А ещё один RFC791 вчера скромно отметил свой юбилей. Несмотря на возраст используется всеми и на покой не собирается, хотя вроде и преемник есть.

Если не видели Eltex CLI изнутри, что называется сравните с Cisco. Но на самом деле все видимые отличия лежат как раз в настройках маршрутизации в статье не затронутой. Есть отдельная от interface vlan сущность interface ip, где, например, настройка OSPF cost для 15 вилана из статьи выглядит вот так:

interface ip 192.168.2.21
ip ospf cost 10

Однако, та же настройка в OSPFv3 будет уже внутри interface vlan:

interface vlan 15
ipv6 ospf cost 10

Всё согласно документации. На других модельках формат команд может немного отличаться, так что обращайте на это внимание.

К ACL тоже придётся привыкать, показанный в статье management ACL отличается от того который используется для пакетного фильтра. Вот правило для пропуска любых TCP ACK из 10.0.0.0/8:

permit tcp 10.0.0.0 0.255.255.255 any any any match-all +ack ace-priority 10

Указание source и destination портов наравне с подсетями обязательно, в данном примере - any. Порядковый номер правила ace-priority находится в конце строки.

Есть, конечно, и другие мелочи, но в целом пользоваться можно. В своё время они оставили мне очень положительные впечатления.

Если вдруг пропустили - монтаж Ethernet кабеля снаружи МКС и видео.

Сегодня было бы 80 лет со дня рождения Денниса Ритчи одного из изобретателей современного мира. Это та История которую мы застали и которую смогли ощутить.

С 256 днём года всех программистов, c 0x100 - всех системных программистов и с 0FFh - всех настоящих программистов. Кто хоть раз в жизни написал что-то на любом из многочисленных языков программирования тоже с праздником.

По случаю этого события смотрим на шпаргалки MySQL, читаем их беглый обзор и пишем лучший код в этом году, которого как известно не существует.

Калькулятор IPv6 сетей. Что, зачем и почему в блоге 6connect.com.

В начале сентября была зафиксирована крупнейшая DDoS атакак на уровне L7.
Информация от Яндекс и Qrator Labs.

Пишут про новый ботнет Mēris (по-латышски «чума»).

Исследователи из Яндекс и Qrator Labs считают, что ботнет состоит, в основном, из устройств на ОС RouterOS, при это версии RouterOS различные, вплоть до последних стабильных версий.

Предполагается наличие новой уязвимости.
——
По информации от MikroTik уязвимость, которую можно использовать "для захвата" роутера исправили ещё в 2018 году.

Вероятно, атакующие устройства были "захвачены" ещё до устранения уязвимости.
Новые версии RouterOS могут говорить о том, что злоумышленники обновляют "захваченные" устройства, для исключения "захвата" конкурентами.

Какого-либо подтверждения наличия уязвимости в актуальных версиях RouterOS нет.

Официальная новость на сайте MikroTik о ботнете Mēris
https://blog.mikrotik.com/security/meris-botnet.html