Пример eBPF приложения на Go для отбрасывания трафика адресованного конкретному процессу, с объяснениями и исходным кодом.

Выученные уроки аварии, теперь в удобном веб формате, с лаконичными универсальными рекомендациями. И рассуждения вдохновлённые этим отчётом и авариями в принципе - если аварии не победить, то посторайтесь быть к ним готовыми.

Доброе корпоративное пятничное утро.

Кажется, сообщество перестаралось с популяризацией сетевых технологий, в частности прямого подключения к Интернет из своей собственной автономной системы, поэтому в RIPE NCC озаботились вопросом выдачи номеров AS в частные руки, хотя это ничему не противоречит, было разрешено и сейчас разрешено. Основная проблема, как мне показалось из статьи, это уловки некоторых LIR, которые зная внутренние механики регистрации и используя недосказанность, делают на этом бизнес. А ещё, автор интересно использует определения для IPv4 и IPv6 адресов, как 32-х битные винтажные адреса и 128-ми битные новые, по аналогии с 16-битными и 32-битными номерами автономных систем.
Интересно и боязно увидеть вечный сентябрь в настоящем Интернете, но судя по статье мы его уже наблюдаем. Брать себе домой автономку, потому что это круто, точно не стоит, даже если очень хочется, да и вообще не стоит - это отдельная забота, не дающая никакого технического преимущества, кроме мнимой крутизны. Поиграться возможностей хватает без этого, даже упоминаемая DN42, уже не игрушки и до которой надо дорасти.

Я обычно ничего не меняю в Windows кроме нескольких мелочей из базы, да и Windows, из того подмножества вещей которыми я пользуюсь, остаётся весьма стабильной очень давно. Но вот этот набор инструментов, выглядит, как минимум, полезным - Microsoft PowerToys, я раньше не сталкивался, да и смысла не было искать. Действительно POWER, конечно, другой набор инструментов - Sysinternals, вот его надо ставить сразу, рано или поздно обязательно понадобится.

Чтобы качественно управлять потоком, задержками очередями, надо обязательно знать что просиходит на другой стороне и лучше это знать до того как сеть будет перегружена, что и реализуется в механизме контроля перегрузки ETC представленнoм в публикации на USENIX ATC24. Выкидываем ECN и все реактивные действия на RTT и потери, проактивно измеряем время доставки с высокой точностью, и если видим что что-то собирается пойти не так, управляем скоростью передачи, одновременно обеспечивая справедливое распределение полосы между потоками. Есть промышеленная реализация поверх UDP, авторы уверяют что работает лучше всего того что сейчас есть.

Внутренности eBPF и реверс инжиниринг готовой программы. Совсем не про сети, но низкоуровневая суть, со ссылками на почитать подробнее, представлена хорошо.

Тесты VPP на разных сетевухах для GoWin R86S. Совсем немного про компиляцию, надо обладать пониманием процесса, и дальше разные тесты, с особенностями и выводами по итогу.

Представление MAP-T у Juniper, что к чему и как настраивать. Для тех кто уже перешёл на IPv6-only внутри своей провайдерской инфраструктуры.

Кого очень сильно расстраивало что для документирования IPv6 максимальный префикс всего /32 - 2001:db8::/32, то c сегодняшнего дня можно аж на целых /20 размахиваться с 3fff::/20. А если давно не заглядывали в специальные IPv6 сети, то в этом году добавили ещё префикс для SRv6 - 5f00::/16 и anycast для регистрации сервисов в DNS-SD - 2001:1::3/128.

Взгляд Google на проектирование инфраструктуры в ретроспективе 25 лет развития. Выученные уроки, борьба с законом Мура и представление о будущем.

Если остались ещё настоящие Сисадмины, то всех вас с праздником! Crowdstrike, конечно, на недельку поторопился с подарком, но сегодня подарки самим себе можно устраивать, если про вас ваши юзеры вдруг забыли, что тоже само по себе является подарком. Хорошей всем праздничной пятницы, каждой пятницы. Ура!

В Голландии довели до боевого воплощения DDoS Clearing House, хорошо бы, конечно, не допускать ситуации возникновения условий для DDoS, но уж как есть так есть, надо действовать сообразно ситуации и действовать совместными усилиями лучше чем в одиночку. За ссылку большая благодарность нашему подписчику.
Наверное, про защиту от DDoS многие задумываются, смотря на бесконечные новости. Но для многих, как мне кажется, это всё равно будет неожиданностью, не всё, к тому же, решается шириной полосы. Можно и на РКН с ГРЧЦ и ЦМУ ССОП надеяться, а можно самим подготовиться.

Когда сломали твой домашний модем, а ты в попытке выяснить как это сделали сломал своего провайдера, но причину так и не нашёл.

Напоминание, что петли маршрутизации тоже петли и с ними надо поступать так же как и с петлями в L2 - недопускать. Хотя они и могут быть иногда полезны, чтобы сгенерировать тестовый трафик, много трафика, но наружу такое выпускать не стоит - каждый ваш префикс должен иметь конкретную точку приземления. Если сходите по ссылке внутри заметки, то там обстоятельная статья про то, что петли маршрутизации это довольно обычное явление.

XCP-ng в сравнении с Proxmox, тут же хорошо видны отличия подходов первого и второго типа гипервизоров, это помимо других отличий в подходах и проработанности этих систем.

Все говорят про EVPN и VXLAN, если ждали знака чтобы начинать разбираться то вот он - основательно, на русском, повод не пройти мимо. Но начальное понимание, всё-таки стоит иметь, прежде чем начинать читать. Вендор не так важен, в тексте Ариста.

Кто умеет - делает, кто не умеет - учит других. Однажды сказал какой-то типок.
Но он напиздел. Я например и делаю и учу других (в качестве хобби наверное) :)
Поэтому сегодня предлагаю вашему вниманию отличный авторский контент, к которому я приложил косвенное наставничество, скажем так.
С помощью данного труда, вы без труда сможете ещё раз попробовать разобраться как работают эти ваши EVPN\VXLAN-ы. И наглядно посмотреть практический пример настройки этого всего на софте от Аристы. Всякие клёвые rfc, айпивэшесть цветные картинки и роут тайп пять на месте
Я такого в Рунете если честно не встречал - ну а вы встречайте - работу от Виталия @viterkag
https://docs.vtre.ru/evpn_vxlan_arista

Январский отчёт ЦМУ ССОП, про который я почти забыл и перестал следить когда он появится. Логично бы выкладывать отчёты ежемесячно, как, например, еженедельные новости про противодействие угрозам, но хорошо, что они есть, сейчас последний доступный за Апрель.

В США не хватает инженеров, которых, как оказалось, автоматизация заменить не сможет. Проблемы по всем фронтам, приезжих не принимают, а свои недоучиваются, или учатся не тому. Женщины почему-то инженерами тоже не хотят быть, хотя в колледжах большинство обучающихся как-раз женщины. Сложно эту ситуацию экстраполировать на нас, Инженеров, которые с большой буквы и по призванию, вроде никогда много не было.