Работа в которой показывается, что IP адреса в качестве уникального идентификатора не самый точный показатель. Поэтому составляя запрещающие правила на основе только адресов, не забывайте их периодически обновлять, 1-2 дня и ситуация меняется кардинально.
Интересно, что в работе использовался BitTorrent в качестве исследовательского инструмента, чтобы определить какие адреса являются NAT. Собранные адреса и скрипты можно найти по ссылкам.

Johan Gustawsson (Telia AS1299) показал в твиттере график использования чипов на сети Telia. BRCM DNX это Cisco NCS 55/5700 и Arista R3.

Вот и в Монголии уже 100% покрытие ROA. Как они этого добились, а шли они к этому сознательно, в блоге APNIC.

Таких стран всего две и это не самые большие страны в мире Интернет. В России, например, на два порядка больше ASn делегировано. Но, это не значит что можно этим не заниматься, тем более что для этого достаточно пары кликов на специальной страничке после авторизации в ripe.net.

Я знаю что многие компании, большие и маленькие, для которых Интернет средство, а не основной бизнес, но при этом имеющие адреса и даже являющиеся LIR относятся к этому, мягко говоря, спустя рукава - не поддерживают актуальность записей, забывают что у них вообще есть эти ресурсы, ведь всё и так работает, делегируют эту обязанность тому через кого взаимодействовали (покупали адреса) с RIPE NCC. Некоторым потом это аукается.

Операторы в Монголии только разговорами и информированием смогли добиться выдающихся результатов, давайте и мы также, а? Тем более, что процесс внедрения валидации идёт неплохо. А скоро ещё и ASPA подвезут, но надо всем поучаствовать, иначе бессмысленно.

Если пишите на Bash время от времени, то можно взять за основу вот этот шаблон - включаются различные проверки, есть корректный выход, разбор входных параметров, даже украшалки. Объяснения прилагаются.

Кто пишет много, наверное, сам до всего дошёл. Я почти не пишу сейчас, вообще никак, но несколько небольших, как залог успеха, но ключевых для работы моих скриптов на Bash успешно трудится и свою роль выполняет.

Я всегда использовал вот такие настройки для аутентификации в Cisco консоли:

aaa authentication login default group radius local

Сначала RADIUS, потом, если с ним что-то не то, локальные записи. Собственно, этот же подход растиражирован во всех официальных и не очень инструкциях, учебниках и статьях. Но вот так:

aaa authentication login default local group radius

тоже работает. Если логина не существует в локальной базе, то происходит авторизация по RADIUS. Локальная база хоть и стоит первой, но отсутствие логина не считается за ошибку авторизации и обработка методов продолжится. Я правда не знаю в каких конкретно Cisco и версиях IOS это работает, поэтому пробуйте.

В чём тут плюс. Если до RADIUS нельзя достучаться, а такое часто происходит во время аварий, то при использовании первого варианта тратится время на отработку таймаутов, во втором варианте можно сразу вводить локальный пароль, что сэкономит драгоценные секунды. Минуc в том же, так как локальный пароль всегда можно использовать для авторизации удалённо, хранить его надо пуще прежнего. Из разряда аварийных и на крайний случай, он становится вполне себе боевым.

Кстати, про базовые понятия AAA - это практически выдержка из официального учебника для подготовки к сдаче экзамена. Можно оценить качество и сложность, всегда мимо Security ветки проходил, может и зря.

Круглый стол (видео) про современное состояние рынка низкоорбитальных спутниковых группировок, про Starlink и не только. Есть интересная, в том числе и техническая информация доступная для восприятия, что-то, конечно, можно и промотать. Но в основном, это видение этих систем изнутри отрасли в России, куда и как они могут применяться и чем это грозит или не грозит.

Для погружения в тематику ещё один круглый стол можно посмотреть, но за это время многое уже потеряло актуальность.

Не только в IT, всего лишь человеческая природа. В продолжении темы 10x Engineer. Вырасти в профессионала или так и остаться в песочнице.

Ресурс с документацией к iproute2 с акцентом на конкретные задачи, был значительно обновлен автором, читаем про это в блоге. И, конечно, берём на вооружение - много примеров, от управления адресами до VXLAN, PBR, мультикаста и мониторинга.

Тест - "Не пора ли отдохнуть?" А что вы видите?

Хорошая попытка разбора терминологии Bogons и Martians применительно к адресному пространству, включая ASn. Итог, Bogons=Martians + Unallocated Address Space at IANA and RIRs/NIRs. Всё то, что ни под каким видом не должно появляться в вашей таблице маршрутизации и/или при передаче из вашей сети или в вашу сеть.

В статье нет списка с сетями, хотя есть ссылки на RFC. Попробуем восполнить пробел, применительно к границе сети и Интернет в обе стороны, от вас эти сети тоже не должны улетать:

0.0.0.0/8
10.0.0.0/8
127.0.0.0/8
169.254.0.0/16
172.16.0.0/12
192.0.0.0/24, кроме
192.0.0.9,
192.0.0.10
192.0.2.0/24
192.88.99.0/24
192.168.0.0/16
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
224.0.0.0/3

Для IPv6 из Интернет не стоит ожидать ничего отличающегося от 2000::/3 из которого надо исключить:

2001::/23, кроме
2001:1::1,
2001:1::2,
2001:3::
2001:4:112::/48 и
2001:20::/28
2002::/16

Сюда же включаются и ваши собственные сети со стороны Интернет и запросы к сетям которые вы не маршрутизируете. Это ни в коем случае не исчерпывающий список (тут как минимум не хватает ещё не распределённых сетей) и может быть не совсем правильный для вашей ситуации, будьте аккуратней с мультикаст и локальными частными сетями они вполне могут быть использованы на пограничных стыках. И не забывайте про dataplane - мало добавить это в фильтры BGP это надо сделать и в ACL на интерфейсах.

Что касается ASn и куда дополнительно, я думаю, можно добавить ещё и запрет работать с AS_SET как рекомендует RFC6472 и что сделали в OpenBGPd одной опцией и в Bird тоже можно.

Если вы большой транзитный оператор с сотнями клиентов, которые тоже являются большими транзитными операторами, то конечно так однозначно и просто избавиться от bogons анонсов и трафика не получится. Но положа руку на сердце, большинство владельцев сетей в мире не являются такими, они просто этим не занимаются.

Достойное резюме и достойное исполнение:

# traceroute6 cv6.poinsignon.org

Мониторинг пожалуй один из ключевых механизмов в успешной и управляемой сети. Рассказ про мониторинг сети в Roblox: что было, что стало, как справились с классической задачей роста количества событий при росте сети, отделили важное от неважного и даже стали реагировать и исправлять аварии автоматически. Во многом это не техническое повествование, без подробностей, хотя и мелькают названия инструментов, но проблемы описываются общие для всех и всем кто растёт и собирается расти, придётся справляться с таким же.

Подмена ответов DNS вполне себе распространённая вещь, этим занимаются как минимум провайдеры. Обзор работы в которой приводится статистика за последние 6 лет и даже есть разбивка по странам и провайдерам с относительными количественными данными. Оригинал интереснее и подробнее. Но это почти легитимное поведение, или вынужденное, но решающее проблемы (DoH вам в помощь), существующими технологиями и средствами владельцами транзитных узлов. А вот dnsmasq стоит обновить, если вдруг новость пропустили.

Инвентаризация в Zabbix версий Linux, по данным из /etc/os-release используя LLD. Готовый шаблон можно забирать на share.zabbix.com.

Про важность сетей, как основы для всего остального, важность для бизнеса, важность для инженеров. Почему это настолько важно сейчас, что если сеть начинают замечать - значит что-то идёт не так. Несколько примеров из Amazon, подходов, архитектурных решений и ошибок, того что из себя должна представлять современная сеть, которая незаменима как воздух.

Наш персональный, пятничный, пламенный привет улетает в Березники, Соликамск и Усолье, где даже в шахте есть LTE, а в твоём городе не везде на центральной улице.

В Пермском крае запустили выделенную LTE-сеть в соляной шахте на глубине 400 м

По правде говоря я или на себе тестировал (на IT отделе или сотрудниках), но тут масштаба не добьёшься, или на живых абонентах. С разными исходами, в начале карьеры чаще с печальным.
Инструмент должно быть хороший, главное абонентам не показывать, чтобы не получить непредвиденных тестов.