Ну вот для чего ещё использовать VXLAN как не для грязного хака в облаке - статья-заметка про то как подружить keepalived и non-multicast сети.

Как-то мы тоже дошли до такой ситуации, когда искали проблему с рассыпанием телеканалов в IP TV. Очень долго ловили такие ситуации, очень долго не могли понять в чём дело, и стали думать что проблема возникает в момент работы грузового лифта около шахты которого проходил наш кабель.

В итоге, это всё же оказались настройки IGMP Fast leave. Просто в то время уровень наших знаний и опыт завёл нас очень далеко не туда, а бритвы Оккама под рукой ни у кого не было. А история замечательная и редкая, даже не стандартная, показывающая отношение провайдера к своим абонентам.

OpenPGP похоже ещё поживёт, в любом случае это самое раскрученное криптографическое средство. А на днях Sequoia и на FreeBSD была портирована.

Thunderbird, кстати, мне кажется сделал странное. В новом обновлении импортировал все ключи к себе без возможности автоматической синхронизации с системным GnuPG. Теперь придётся два хранилища поддерживать.

Такая картинка конечно же должна была появиться, но настоящий выбор многих провайдеров, совершенно разных размеров, состоит между D-Link, SNR и Eltex... Микротики же.

А ещё, со стороны из окна на эту сцену смотрит инженер, у которого дома Huawei со скалкой наперевес :)

Причёсанный график IPv6 Google по годам. Текущий 2020 год настолько необычный, что его можно отнести к одному большому сплошному выбросу и выкинуть из статистики, как минимум в разрезе здесь и сейчас. Ещё бы хорошо сравнивать с IPv4, так как сдаётся мне что там то же самое, т.е. мы видим не график активности в IPv6, а просто график активности 1/3 абонентов Google, это много.
Интересно, что не видно характерного летнего спада, который замечают, наверное, все провайдеры последней мили. Последние годы он не такой выраженный, но всё же присутствует - летом в городе проводными, домашним интернетом пользуются меньше.

​И на улице любителей DOS тоже праздник. Не WSL единым, теперь и DSL - DOS Subsystem for Linux. Это всё ещё DOS, который внутри Linux, из которого вызывается Linux окружение. Этакая обратная эмуляция. Не знаю, правда, как оно дружит с XMS и EMS, но при случае обязательно попробую.

Способ управление доступом к серверам по SSH, который действительно решает некоторые насущные проблемы даже у тех кто имеет настроенную оркестровку. Роли и отзыв ключей - бесценно. Как всегда, за это есть цена, надо разворачивать и поддерживать инфраструктуру распределения ключей и подписей, иметь доверенные центры сертификации.

С другой стороны, если продолжить идею ещё дальше, то на серверы ручками вообще ходить не надо, вот совсем. Всё только через системы управления. Единая точка входа позволяет избежать бардака, избавиться от систем проверки конфигураций непосредственно на серверах и, в том числе, от необходимости давать к ним доступ, за исключением самой системы управления.

И сразу вдогонку. Если прошли мимо FreeIPA, как мне подсказывают и за что большое спасибо вам, то вот как там с ключиками можно управляться.

Очевидные плюсы от использования универсальной аппаратной платформы и программных решений в сетевых устройствах это возможность запускать привычные инструменты там где хочется и когда хочется, например, iperf3 на FortiGate. Минусы тоже есть, но в целом тренд сейчас именно такой.

Отладка на IOS XR станет не то чтобы проще, но по крайней мере появятся новые её возможности.

Не скажу, что я в принципе часто пользовался режимом отладки, даже скорее придерживаюсь подхода что это признание поражения, факта что ты не понимаешь систему, не понимаешь что настроено и какой результат желаешь получить. В большинстве случаев при поиске проблем хватает существующих счётчиков и сообщений, при условии, что знаешь что они означают. Пошаговая отладка хорошо работает в обучающих целях, но плохо в боевых условиях, подталкивая закрывать сиюминутную проблему, а не устранять первопричину. Но иногда это позволяет показать на ошибку работы самого устройства, а не сделанных настроек.

Это, скорее, камень в огород современных переусложнённых систем, когда общую картину функционирования очень сложно составить, при том что частности описаны вполне неплохо. Что заставляет разработчиков этих систем перекладывать ответственность на пользователей, давая им в руки системные инструменты разработки.

Cacti таки сломался после 1600000000 секунды Unix эпохи. Удивительно, что сломаться не должно было - это не круглое двоичное число, никакие счётчики не переполнились, но всё равно сломалось. А я ещё подумал, что что-то такое должно было произойти, когда писал новость, спасибо коллеги заметили :)

Иван Пепельняк про то что не стоит полагаться только на то что видишь, потому что можно упустить суть. Сначала причина, потом следствие. Если перепутать эти два понятия, в конце концов решение, как минимум, может быть переусложнено, а как максимум, можно получить неприятный и катастрофический результат, пусть он и будет сначала казаться не таким.

Между IPv6 и IPv4 почти нет никакой разницы - исследование CDN Netflix. В целом, не только про IPv6, интересно наблюдать как за эти годы 2016-2019 изменился сам Интернет. Скорости подросли, пинги упали, а повсеместные локальные кеши, которыми с охотой делится не только Netflix, ещё на порядки меняют эти показатели. Интернет, во многих случаях, не где-то там далеко, а в ближайшей серверной вашего провайдера, более-менее крупного. Новая жизнь локалок, только теперь брендированных.

А теперь точно про IPv6, потому что по другому эти штуки не работают. Наверное, тот кто будет их использовать не сильно будет зацикливаться именно на IPv6, главное будет продукт, а уж как там оно данные передаёт, работает и работает, может вообще не будет об этом знать.

И это хорошо, IoT, хайп по поводу которого вроде прошёл, может стать отличным буксиром для вытягивания IPv6 в большой Интернет. В любом случае хуже не будет, так как похоронить его, сделав нишевым для промышленности уже не получится. Кстати, про RPL мы уже писали.

Заметки на предмет тюнинга sysctl networking

Интересный сабж на тему оптимизации:

https://bl.ocks.org/magnetikonline/2760f98f6bf654d5ad79

Не самое заметное событие, по сравнению даже с первым, но всё же. Если хотите оставаться актуальными при работе с вашими DNS, то стоит почитать и начать применять соглашения в рамках DNS Flag Day 2020 - продолжаем тюнить EDNS и обязательно включаем TCP в обмене. Тем более что команда собралась приличная.

Про типичные параметры настройки SSH клиента в файле ssh_config. Во второй части статьи много внимания уделяется ssh-agent и тому как заменить его на ProxyJump, по соображениям безопасности. Всё с конкретными, простыми примерами.

Я, кстати, перебрался на SuperPuTTY c PuTTY Session Manager. Не скажу что почувствовал сильно большую разницу. Второй висит в трее, не занимая места на экране, и прямо оттуда можно запускать нужный сеанс. А SuperPuTTY вкладки делает удобно. В плане организации управлением базой хостов, что то, что другое одинаково.

Хорошо конечно, но, на мой взгляд уже поздновато, как минимум для России. IPv6 как инструмент обхода блокировок хорошо работал ещё года 3 назад, но сейчас уже не так хорошо. Есть конечно свои особенности и плюсы из-за использования публичного адреса. Например, можно строить ассиметричные маршруты один конец которого в туннеле для исходящего трафика который режется провайдером, а второй прямой. Но, все кому надо уже научились, да и публичный адрес упрощает работу по поиску и идентификации источника, всё же с NAT это сложнее было сделать.

Большая и обстоятельная статья про то что делать дальше с корневой зоной DNS, которая всё ещё держится, что удивительно, на чистом альтруизме. Количество запросов растёт и очень быстро и не всегда они ожидаемы и полезны, но всегда должны обрабатываться. Новых альтруистов найти, наверное, не получится.

Ситуацию, во многом и пока решает кеширование. Для DNSSEC ещё и новый RFC8198 позволяющий сразу исключать из проверки целые группы имён в алфавитном порядке за один запрос/ответ. Он же помогает и в случае NXNSAttack, вы же подписали и поддерживаете DNSSEC в своих зонах?

Другой подход - каждому держать свою копию корневой зоны. Опять же, вопрос её достоверности должен решить DNSSEC, а вопрос распространения - строго заданное расписание публикаций. С CDN и раздачей статических файлов, худо-бедно современный Интернет научился справляться. Но для этого придётся изменить правила, сразу и для всех, чего добиться будет ой как не просто, тем более что всё ещё есть альтруисты в этом мире.