FreeRADIUS может всё, если хотите Cisco SD-Access, надо только правильные атрибуты навесить.
SGT метки это ещё, точнее из Cisco TrustSec, так что если очень хочется именно FreeRADIUS - мы, в тебе не сомневались.GitHub
GitHub - eiddor/cisco-sda-freeradius: Sample FreeRADIUS configuration for use with Cisco Software-Defined Access
Sample FreeRADIUS configuration for use with Cisco Software-Defined Access - eiddor/cisco-sda-freeradius
Великолепный способ и пример разделения окружений свой/чужой и возможность избежать статического маршрута при подъёме туннеля с динамической маршрутизацией в блоге Networking with FISH. Не бойтесь
VRF и берите на вооружение.Networking with FISH
Tunnels and the Use of Front Door VRFs
Front Door VRFs seem to cause a lot of confusion. In this blog Fish goes delves into the whys, the hows, and the how it works in a simple easy way.
Петли маршрутизации это не очень хорошо, не стоит увеличивать энтропию гоняя лишний трафик, ну и чтобы на всякие DDoS не нарваться. Хотя полезность тоже можно найти.
Простое правило, все ваши сети должны иметь место назначения и это не должен быть
Простое правило, все ваши сети должны иметь место назначения и это не должен быть
0.0.0.0/0, то есть они должны быть в таблице маршрутизации. Если их нет - сделайте агрегированный префикс в null. Для серых сетей можно максимально широко /8, /12, /16 прямо из RFC1918, про IPv6 не забывайте. Помимо петель это сэкономит правила в ACL, даже поэффективнее будет, гарантированно не даст в Интернет просочиться тому чему не надо.Andree's Musings
The Risks and Dangers of Amplified Routing Loops.
In this article will take a closer look at network loops and how they can be abused as part of DDoS attacks.
BGP всё ещё можно сделать лучше на фундаментальном уровне, а не просто прикрутив очередной контейнер для переноса чего-либо. Описание одной из возможных причин возникновения маршрутов зомби, как следствие неучтённого состояния TCP соединения с нулевым размером окна. При этом один из BGP спикеров не в состоянии отправить ответ своему соседу, но и не в состоянии разорвать соединение удерживая маршруты активными. Решать предлагается новым таймером, в самое сердце основного алгоритма.blog.benjojo.co.uk
Hunting down the stuck BGP routes
👍1
Forwarded from Network Warrior
Добро пожаловать на juniper-exam!https://juniper-exam.ru/wiki/%D0%97%D0%B0%D0%B3%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0
Данный ресурс создавался собственноручно при подготовке к сдаче JNCIS-SP и JNCIP-SP.
Изначально работал для меня как блокнот с основными выжимками, потом с ростом полезной информации перерос с wiki и стал публичным.
Здесь находится переработанный мной материал из официальных источников Juniper, некоторые статьи являются вольным переводом. Также сюда перенесены знания, полученные на курсах Juniper.
Как в Roblox отвечают на вопрос: "Не в сети ли дело"? Строят активный мониторинг из тысяч пробников в полносвязной сети и сотен миллионов запросов в минуту, не боясь нагрузить каналы служебным трафиком, ради уверенности и спокойствия в своём ответе.
И если вам важно качество, то без активного мониторинга, мониторинга потерь в пользовательском трафике никуда не уйти. Начать можно с Cisco IP SLA - это хорошо работает между двумя поддерживающими это устройствами. Потом правда придётся пройти квест по доказыванию магистральному провайдеру, что надо устранить этот 1% потерь на канале, которых раньше никогда не было и что это много.
И если вам важно качество, то без активного мониторинга, мониторинга потерь в пользовательском трафике никуда не уйти. Начать можно с Cisco IP SLA - это хорошо работает между двумя поддерживающими это устройствами. Потом правда придётся пройти квест по доказыванию магистральному провайдеру, что надо устранить этот 1% потерь на канале, которых раньше никогда не было и что это много.
Medium
Network Packet Loss & Latency Monitoring on Roblox Cloud
Innovation behind the network packet loss and latency monitoring service on Roblox Cloud.
Если используете 9.9.9.9, то прямо сейчас они не очень, пишут про
DDoS. Впрочем, от меня всё нормально.Twitter
Andree Toonk, Adelante!
Ouch that doesn't look good.. Seeing several reports on Twitter as well about @Quad9DNS issues from around the world. #hugops
Wireshark очень богатый на настройки и допиливания напильником инструмент. Да, он хорошо работает и из коробки, но не ленитесь сделать чуть лучше, за удобством идёт глубина и осознание, можно увидеть то что раньше не было видно и понять то что не было понятно. Выделите время и пройдитесь по всем пунктам меню, откройте для себя "Статистику", Форматы заголовков, VoIP плеер и бог знает что ещё.
Nping - отличная вещь, почему-то про неё не так часто говорят, но помимо
"Layer 4 ping" это ещё и генератор трафика, покрывающий очень большой пласт потребностей, в том числе и из пользовательского окружения.Weberblog.net
Nping aka Layer 4 Ping
I was missing a generic layer 4 ping in my toolbox. Initially searching for a mere TCP ping, I have found Nping which completely satisfies my needs and gives so much more. ;) What’s a layer 4…
Отлично разжёвано, со всеми выкладками и ссылками на
Нежелание, наверное, вызвано привычкой что за статику абоненту надо платить, ну и где-то, это в самом деле технически оправдано.
RFC и BCP, почему каждому конечному потребителю нужен свой статический IPv6 префикс. Потому что SLAAC, аварии, очень долгие времена жизни префиксов по умолчанию и проблемы связности как следствие всего этого. Но если Интернет провайдер всё же не хочет так делать, надо его попросить, а уж если совсем никак, то что-то можно сделать с помощью стандартов. Нежелание, наверное, вызвано привычкой что за статику абоненту надо платить, ну и где-то, это в самом деле технически оправдано.
6connect
Is your ISP constantly changing the delegated IPv6 prefix on your CPE/router?
ISP's changing the delegated IPv6 prefix on your CPE/router can be an inconvenience, to say the least.
Bgpq4 обновился до 0.0.7 и уже должен быть доступен в репозиториях вокруг RHEL. Пока RPKI ещё не везде, зато новая версия мониторинга у NIST, а фильтровать как-то надо.
Twitter
Robert Scheck
#bgpq4 0.0.7 (github.com/bgp/bgpq4) is on its way as RPM into the #Fedora and #EPEL (for #CentOS, #RHEL and #RockyLinux) repositories, see also bodhi.fedoraproject.org/updates/?like=…
Автоматическое, бесплатное ускорение ваших shell программ в разы. Готовый продукт и публикация с выкладками, почему и как такое можно сделать. Пример из статьи с распараллеливанием на два, но можно и больше:
И это всё оно само.
##### Before #####
base="ftp://ftp.ncdc.noaa.gov/pub/data/noaa";
for y in {2015..2019}; do
curl $base/$y | grep gz | tr -s" " | cut -d" " -f9 |
sed "s;^;$base/$y/;" | xargs -n 1 curl -s | gunzip |
cut -c 89-92 | grep -iv 999 | sort -rn | head -n 1 |
sed "s/^/Maximum temperature for $y is: /"
done
##### After #####
mkfifo $t{0,1...}
curl $base/$y > $t0 & cat $t0 | split $t1 $t2 &
cat $t1 | grep gz > $t3 &
cat $t2 | grep gz > $t4 &
...
cat $t9 | sort -rn > $t11 & cat $t10 | sort -rn > $t12 &
cat $t11 | eager > $t13 & cat $t12 | eager > $t14 &
sort -mrn $t13 $t14 > $t15 &
cat $t15 | head -n1 > $out1 &
wait $! && get-pids | xargs -n 1 kill -SIGPIPE
И это всё оно само.
Twitter
MIT CSAIL
PaSh, a system for parallelizing Unix shell scripts, with an average speed-up of 7x. Paper: arxiv.org/pdf/2007.09436… Code: github.com/andromeda/pash (v/@nikosvasilakis @EuroSys_conf)
Пятничное, но актуальное, классика жанра, хотя что-то из этого за столько лет можно было бы слегка подправить - 9 простых способов сломать Cisco.
Путь настоящие связисты посмеются в свой праздник над нерадивым потомством.
Путь настоящие связисты посмеются в свой праздник над нерадивым потомством.
ESHARP.NET
9 Easy Ways to Break a Cisco Network
We’ve all been there. You make a simple configuration change that should have no impact on production traffic. Suddenly your phone begins to ring, or worse, you lose access to the equipment you wer…
Строить сложные и большие системы - надо максимально просто, чтобы они не развалились под собственным весом. История Telia Carrier про это.
Forwarded from Телеком-ревью
Всемирный день электросвязи и информационного сообщества
Сегодня - 17 мая отмечается Всемирный день электросвязи и информационного сообщества.
Всемирный день электросвязи отмечается ежегодно 17 мая с 1969 года.
Дата знаменует годовщину основания МСЭ 17 мая 1865 года, когда в Париже была подписана первая международная телеграфная Конвенция.
В 1973 году мероприятие было официально учреждено на полномочной конференции МСЭ в Малаге-Торремолиносе, Испания.
Каждый год выбирается актуальная тема, и мероприятия, посвященные этой теме, проходят по всему миру.
World Telecommunication and Information Society Day (WTISD) -
https://www.itu.int/en/wtisd
Сегодня - 17 мая отмечается Всемирный день электросвязи и информационного сообщества.
Всемирный день электросвязи отмечается ежегодно 17 мая с 1969 года.
Дата знаменует годовщину основания МСЭ 17 мая 1865 года, когда в Париже была подписана первая международная телеграфная Конвенция.
В 1973 году мероприятие было официально учреждено на полномочной конференции МСЭ в Малаге-Торремолиносе, Испания.
Каждый год выбирается актуальная тема, и мероприятия, посвященные этой теме, проходят по всему миру.
World Telecommunication and Information Society Day (WTISD) -
https://www.itu.int/en/wtisd
Если вдруг задумали построить свой коммерческий датацентр и не знаете с чего начать - начните с этого. Не большой, в целом, документ, позволяющий охватить проблематику со всех сторон: электропитание, персонал, помещение, документирование, администрирование и многое другое. Есть, даже, чек листы и примеры расчётов и размещения в Excel файликах.
При всём при том это очень верхнеуровневый документ, о чём надо подумать перед тем как начинать, и это, конечно, далеко не всё.
При всём при том это очень верхнеуровневый документ, о чём надо подумать перед тем как начинать, и это, конечно, далеко не всё.
GitHub
GitHub - cpc2018/my-first-colo: A guide on building up a first (wholesale) colocation presence.
A guide on building up a first (wholesale) colocation presence. - cpc2018/my-first-colo
Разбор установки и завершения TCP соединения по шагам с фиксацией каждого шага выводом
netstat. Дампы и диаграммы с описанием прилагаются. В качестве клиента и сервера - nc.
Атакуем Kubernetes правильно, или не стоит увольнять сетевого инженера раньше времени. Часть первая - спуфинг
DNS, ARP, IP, то что работает в любых сетях и на всех уровнях абстракции. Часть вторая - манипулируем BGP, вспоминая что в него не встроены никакие механизмы защиты.Cyberark
Attacking Kubernetes Clusters Through Your Network Plumbing: Part 1
Have you ever wondered how the water supply gets into your home and to the taps? Honestly it may not be something you ever thought about. When receiving a system that works “out of the...