Не очень люблю обилие цвета в терминале, в vim, например, специально выключаю раскраску синтаксиса. Но если хочется можно сделать красиво, при условии использования PuTTY - включить xterm-256color, шрифты немного поправить и конечно уравнять в правах IPv6.

Очень интересный подход как капитализировать меш-сеть, кажущийся объективным и правильным по принципу "ты мне я тебе" - абоненты платят друг другу за трафик. Большая благодарность за наводку нашему подписчику, спасибо что делитесь со мной. Как это устроено в презентации с NANOG76 и видео выступлении.

По сути, провайдер избавился от своих мощностей переложив затраты на своих же абонентов, при этом стимулируя их наращивать мощности, потому что чем больше предоставляешь своих ресурсов в общее пользование тем больше зарабатываешь. Но, конечно, можно быть и просто клиентом, оплачивая доступ к сети. На сайте компании почти то же самое что и в презентации, но там есть ссылки на документацию и блог.

Не знаю что сказать про наши реалии, мне кажется такую схему будет очень сложно объяснить контролирующим организациям. Но идея и правда замечательная.

Я до сих пор страдаю от того что COM порт исчез из стандартного набора портов на ПК и ноутбуках, вроде и USB2COM есть, да и на самих железках можно к USB напрямую подключаться, но что-то не то.

Конечно есть терминальные серверы на разное количество портов с доступом по сети и со всякими плюшками, вроде встроенного модема для телефонной линии - MOXA наше всё. Такое уже не только для первичной настройки годится, но и для организации внеполосного управления в боевом режиме.

Нечто похожее предлагают ребята из проекта WLAN Pi - доступ к COM порту через Wi-Fi. По факту это WLAN Pi, плюс переходник USB2COM, плюс софт который позволяет получить доступ через сеть. Подключаешься к точке, получаешь IP а дальше уже telnet для доступа к консоли. Наверное, где-то это будет применимо, там где с проводами или электропитанием сложно или неудобно возиться, как минимум выглядит интересно.

Вдогонку. Мне в личку вот такую советуют консоль беспроводную, говорят лучше не найти https://www.get-console.com/shop/en/27-airconsole

В копилку публичных ресурсов DoH от Powerdns - doh.powerdns.org. Больше графиков, не только этого сервиса, можно тут посмотреть.

А ещё SIDN Labs запустили свой NTP - time.nl, про него тоже можно смотреть статистику и в блоге почитать (язык голландский, но Google спасает).

Ваш пароль не имеет значения, по мнению инженера из Microsoft, а вот двухфакторная аутентификация решает. На самом деле, если внимательно следить за руками, то пароль таки имеет значение, как раз по причине того что он должен быть сложным и длинным, то что отвергается в самом начале статьи, но из неё же и вытекает.
Да, существует масса способов украсть его у вас и этих способов гораздо больше чем случаев когда сложность пароля действительно важна, но пренебрегать сложным паролем и полагаться полностью на двухфакторную аутентификацию... так себе способ. Чем меньше слабых звеньев в цепочке тем цепочка прочнее.

В блоге APNIC обзор исследования про предотвращение DDoS атак при помощи blackhole. Три тезиса:
1. У многих защита срабатывает автоматически в течение нескольких минут после начала атаки.
2. Опять же, многие не сразу возвращают сети из blackholing после завершения атаки. От нескольких часов до суток, кто-то и больше.
3. Даже невысокая интенсивность 100 пакетов в секунду и меньше, может послужить поводом для отправки сетей в blackhole, хотя в общем эта мера применяется к более мощным атакам.

Всё же DDoS это головная боль хостеров и держателей ресурсов, интернет провайдерам для домашних пользователей попроще. Иногда прилетает, конечно, трафик в сторону какого-нибудь абонента так, что все магистрали в полку укладываются, но обычно это не долго, а увести такого абонента в blackhole гораздо проще. Автомата у нас нет, но нескольких минут хватает, если уж видим что совсем всё плохо. Плюс хорошо работают мерой превентивной защиты, спрятать IP абонента от Интернета. Можно PAT, можно ACL прикрыться, подавляющему большинству открытые наружу порты не нужны, а для тех кому нужны можно оставить переключатель в личном кабинете.

Иван Пепельняк напоминает, что если в OSPF использовать только одну area то она не обязана быть ноль. Даже больше, можно использовать две разные не нулевые area на одном устройстве между которыми формально не передаются маршруты, но так как устройство одно, то в таблице маршрутизации будут нужные маршруты до доступа к адресам из любой area. Можно вообще два разных OSPF процесса поднять, главное чтобы трафик смог дойти до конкретно этого маршрутизатора который уже решит куда его дальше отправить, потому что знает обо всём что у него есть. Такое часто встречается в различных промежуточных моментах, когда две сети объединяются, например.

Чем глубже знания и больше практического опыта их применения тем меньше в голове различных запретов, даже если они формально где-то описаны. В своё время этот барьер сломал для меня преподаватель по микроэлектронике когда спросил: "А что будет если на входы RS-триггера подать сигналы одновременно?" - в учебниках и справочниках это запрещённое состояние, так нельзя делать. А правда, что будет? А ничего страшного, в идеальном случае будет идеальный случайный выбор одного из состояний, на практике чаще будет выбираться какое-то одно, никакого бабаха. Нет запретов, но почти всегда есть последствия, а чтобы их осознавать как раз и нужны знания.

Замечательная статья про подходы к проектированию сетей и при чём тут автоматизация. Если у нас разнородная сеть, пусть и с единым высокоуровневыми решениями, то автоматизация превращается в кошмар. Так как в этом случае мы имеем миллионы мелочей которые практически невозможно учесть. Если у нас единый проект вплоть до унифицированной нумерации интерфейсов, не говоря уже о версиях устройств и операционных систем, всё гораздо проще.
В первом случае мы тратимся по факту, выбирая наиболее подходящее оборудование для конкретного места, а не в рамках всей сети и экономим на капитальных расходах, однако увеличиваем эксплуатационные, в том числе за счёт наёма более высококвалифицированных сотрудников. Во втором случае, единого проекта, увеличиваем капитальные расходы, но значительно снижает эксплуатационные, в том числе и за счёт автоматизации.

Мой опыт очень часто сталкивает меня с сетями первого типа, почему-то отечественный заказчик не берёт в расчёт эксплуатацию, от слова совсем. В итоге мы получаем сеть, даже не всегда с дешёвым оборудованием, но совершенно не подготовленную для использования. Очень часто следом за реализацией первого проекта идёт второй, который добавляет что-то ещё, не смотря на то что уже есть и так в несколько слоёв. Потом IT отдел или аутсорсер, пытаясь решить конкретные проблемы сети в рамках своего видения, а не проекта целиком, месяцами выбивает уже дешёвые устройства, чтобы подпереть то что должно было работать с самого начала. Так и живём, сроки планирования вперёд максимум год или два, даже приверженность одному вендору не избавит сеть от зоопарка, как бы это не было грустно. Все хотят потратить потом, а не сразу.

Но единые сети я всё же видел и даже если выкинуть автоматизацию они очень легко эксплуатируются. Можно всё свести к замене неисправного оборудования, не думая - не работает меняй, и почти в 100% случаев это поможет. Админы в этом случае всё же нужны, чтобы в рамках заложенного проекта расширять и масштабировать, как правило это всегда требуется с ростом компании.

Пусть не покажется что это касается только больших сетей, в рамках офиса на 10-20 компьютеров зоопарка чаще больше чем в сети корпорации. И на обслуживание этого зоопарка тратятся вполне реальные средства, которые могли бы быть потрачены изначально на хорошо сделанную сеть без головных болей в дальнейшем.

Amazon купили себе 44.192.0.0/10. История этой сети и её продажи со стороны продавца AMPRNet. В самом конце есть FAQ - дайджест статьи в ответах на вопросы, в том числе "Почему?" и "За сколько?". Продали тем кто больше предложил, себе оставили ещё /9 и /10.
IPv4 адреса всё ещё есть, пока их можно купить.

PuTTY часто стала обновляться, вчера до версии 0.72: security и bug fix.

Если у вас в компании есть процессы связанные с информационной безопасностью, то может быть будет полезно посмотреть на OpenCTI, как на один из инструментов для организации работы по накоплению и анализу данных по киберугрозам. Можно пощёлкать в demo, код доступен на Github. Это для тех кто уже понимает зачем, начать с этого не получится.
Странно может, но за всё время своей работы в различных организациях так и не удалось увидеть ни одного настоящего безопасника, не говоря уже о кибербезопаснике. Но я не теряю надежды :)

Сетевые админы массово помешались на Python, забыв что автоматизация это совсем не про языки программирования. Пример того как можно управиться с задачами управления устройствами на Kotlin, используя библиотеки для NETCONF под Java от Juniper.
Главное результат, НО! средства важны в том плане что результат это в том числе и поддержка реализованного решения. Если использовать какой нибудь Brainfuck, то итог выглядит сомнительно.

Иногда производитель не оставляет выбора или оставляет его мало. Поэтому у нас в копилке решений оказался инструмент на Java для Cisco SCE, в условиях без открытого SMARTnet и весьма куцой документации, благо что Java позволяла легко найти хотя бы список методов библиотечного API о роли которых можно было догадаться по названию. Ввиду относительной популярности в России платформы Cisco SCE, решения автоматизации на Java были у заметного числа провайдеров лет 5-7 назад, может и сейчас есть. Не Python'ом единым.

​Когда сделал нечто настолько неправильное, что оно кажется абсолютно логичным.

Чтобы не ползать по коммутаторам вручную сопоставляя mac-table в поиске источника адреса у Cisco есть traceroute mac. У команды достаточно много ограничений, по чужим коммутатором никакого пути не будет показано, естественно. Но её можно использовать, бонусом у Huawei есть аналог.

К счастью, наверное, у меня под рукой нету большой L2 сети и даже маленькой нет, но когда-то была. Не скажу что эта утилита сильно помогала, но таблицы форвардинга приходилось сопоставлять регулярно, медитируя над mac адресами и гадая почему трафика нет, хотя mac есть.

Ничего необычного, просто 2 Терабит/c карточка от Nokia, пока пробничёк. А 36x400Гбит/c уже можно брать.
С большой благодарностью за ссылки нашему читателю.

Наверное уже все знают, что IP адреса это числа и их можно вполне себе записывать числами, а не через точку, и это будет работать.

К этому есть общепринятый подход, точка разделяет самый старший и остальные разряды. Можно написать 1.16535, что равно 1.0.64.151, но нельзя 280.1 или 1.280.1, а вот 1.1.280 можно. То есть, мы всегда идём слева направо начиная со старшего октета весом 2^24 и уменьшая степень с каждым шагом на 8. Если количество октетов меньше 4, то последний октет всегда весом 2^0, даже если предыдущий имеет степень большую чем 8. Это всё про основы позиционных систем счисления.

Так работает для многих утилит, например ping, которые пользуются стандартными библиотеками для преобразования адресов. Но не работает для пакета iproute2 - ip route get 1.1 вернёт 1.1.0.0, вместо ожидаемого 1.0.0.1. Будте внимательны. В любом случае, подобные сокращения не общепринятый путь (не стоит сравнивать с IPv6, там по другому), лучше никого не путать и самому не путаться и писать адреса IPv4 полностью.

Мы ни разу ещё не упомянули про SaltStack, а между тем современный, расширяемый и мощный менеджер управления и конфигураций на Python, который в этом случае стоит знать для применения этой системы.

Несколько простых примеров дружбы с Netmiko и Napalm прямо из консоли. Minion это управляемые узлы, чтобы далеко не лазить в справочники.

Классный проект посвящённый 50-летию документам RFC. Каждый день 2019 года описание одного RFC начиная с первого. Прекрасный способ погрузиться в историю, не сильно погружаясь в сами документы. Блог добрался до номера 147, в общем перечне это ещё не отражено.

Дню сисадмина 20 лет, праздник прижился и продержался. Несомненно, это один из главных героев нашего времени, пусть и немного комичный в своём стереотипе. Сегодня впервые за долгое время собрался отметить с друзьями, хотя по правде говоря настоящим сисадмином я так почти и не был. От эникея через программиста сразу в сети, потом чуть-чуть посисадминил и опять в сети, из которых не выбираюсь уже почти десяток лет.
И даже на текущем моём месте работы, фактически, нет сисадмина. Есть серверы, есть сети, есть телефоны и телевизоры, а сисадмина который поддерживает локальную сеть со всеми её устройствами и принимает заявки от пользователей - нет. Конечно, бухгалтерия и офис у нас есть, но как-то всё происходит относительно гладко, никто (ну почти) не бегает с криками что кончился картридж или 1С затупила. Даже и поздравить некого.

Поэтому я поздравляю всех вас, настоящих сисадминов, своих друзей и знакомых, а также всех тех кто вырос из этой культуры. Пусть 20 лет не самый большой срок, не сравнить с другими отраслевыми праздниками, но я думаю что всё ещё впереди. Вива ла сисадмин!

P.S. В Баларуси не обманули и открыли виртуальный памятник сисадмину. По моему, не очень - не попали в характер, может я конечно от трендов отстал, зато виртуальный.