У Cisco есть FTP - ftp://ftp.cisco.com/pub/mibs. И он решает одну очень важную задачу - там лежат MIB. То есть в ответе на один из вечных вопросов: "Где взять эти чёртовы MIB?", Cisco не отличается оригинальностью и это прямо хорошо.
Помимо собственно MIB есть сгенерированные по ним OID, можно качать непосредственно файлы по веткам или архивы. Последнее обновление было 15 ноября.

Можно было бы сказать, вот же были времена, но мой век начался сильно позже :) https://www.righto.com/2017/12/creating-christmas-card-on-vintage-ibm_7.html - просто ёлочка, на просто IBM 1401 1960 года. Посмотрите на ассемблерный код - вот тут ничего, до сих пор, не меняется.

Bird 2.0 подоспел, налетай!

Наглядная схема про что к чему в Zone Based Firewall на densemode.com. Сам по себе механизм решает много проблем, так как использует stateful механизмы при анализе трафика.

BGPMon опять увидел некорректные анонсы в BGP - трафик Microsoft, Twitch, Facebook и других развернулся в сторону одного из дальневосточных операторов. Не аккуратное поведение, отсутствие опыта, плохое планирование часто приводит к катаклизмам в сетях с разными протоколами, просто BGP глобально и это сразу становится заметно всем.

Достаточно любой мелочи, вот как у нас например, route-map который фильтрует анонсы по префикс листу во внешний мир:

route-map RM2OUT-Upstream2 permit 10
match ip address prefix-list AS64511-PUBLIC

если захотеть добавить препенд и написать:

route-map RM2OUT-Upstream2 permit
set as-path prepend 64511

То все маршруты из BGP, не только все наши, но и все полученные от других соседей выльются наружу - организовали route leak. Фильтр не сработает, так как результат получился вот такой:

route-map RM2OUT-Upstream2 permit 10
match ip address prefix-list AS64511-PUBLIC
route-map RM2OUT-Upstream2 permit 20
set as-path prepend 64511

А всего-то забыли во втором случае написать 10, после permit.
Ситуацию исправил явный route-map RM2OUT-Upstream2 deny 1000 в конце, что справедливо не только для route-map, но и для prefix-list и acl, т.е. если даже забыли написать номер правила то оно вставится после deny и не будет играть никакой роли.

C BGP hikacking (анонсы чужих префиксов от своей AS) как это увидел BGPMon, не сильно сложнее, где-то сломали редистрибьюцию по такому же принципу и всё.

Поэтому быть невнимательным не стоит, не стоит надеяться на фильтры у вышестоящих операторов, не стоит спешить и тогда ваши клиенты и вы сами останетесь довольны, а таких новостей будет поменьше.

Про Интернет который меняется в блогах на APNIC.net. Неожиданно, даже про Сноудена есть.

Про QinQ по делу. Если используете то надо увеличить MTU, не забыть вытащить служебные протоколы наружу. Иногда, ether-type потюнить, но в целом решение рабочее и полезно, главное не запутаться в схемах. В минимальном виде на Cisco, примерно так:

interface GigabitEthernet1/0/9
switchport access vlan 319
switchport mode dot1q-tunnel
l2protocol-tunnel vtp
l2protocol-tunnel stp

Всё упакуется в 319 вилан. С другой стороны магистрали можно всё распаковать или приземлить на роутер:

interface GigabitEthernet0/1.319
encapsulation dot1Q 319 second-dot1q 21-89

Шпаргалка по IPv6 - утилиты, ресурсы, основы. Обновлена 7 месяцев назад, принципиально за это время ничего не поменялось.
С IPv6 уже не возможно не столкнуться, поэтому его надо просто взять и использовать.

​Тестируем зону для домена с zonemaster.net. Много результатов, даже очень много, включая проверку синтаксиса, SOA параметров, проверку принадлежности мастер серверов одной ASn. Можно выбирать разные профили для теста, русскоязычный интерфейс есть ;)
Единственное, иногда случаются глюки - тесты не добираются до конца с первого раза, но со второго добираются.

Вот тут пресcрелиз, про то что Эльбрус обзавёлся настоящей операционной системой, которую будут поддерживать и обслуживать - ОС АЛЬТ. Не нашёл у них на сайте подтверждений, но в прошлом году на конференции немного было рассказано про процесс и продолжение уже в этом году.

В какой-то момент в процессе эксплуатации сети встаёт вопрос: "А сколько трафика мы потребляем?". Часто прямого ответа нет, поэтому приходиться снимать flow на коллектор, или данные с интерфейсов, или RADIUS, пропустить через DPI...
Но один простой вариант доступен прямо из консоли Cisco маршрутизатора и называется он ip accounting:

Router# show ip accounting

Source Destination Packets Bytes
172.16.19.40 192.168.67.20 7 306
172.16.13.55 192.168.67.20 67 2749
172.16.2.50 192.168.33.51 17 1111
172.16.2.50 172.31.2.1 5 319

Можно видеть узлы источника и назначения и количество переданных пакетов и байтов. Предварительно надо включить на интерфейсе и всё будет сваливаться в одну табличку, поэтому надо включать аккуратно, чтобы трафик дважды не посчитался.
Бонусом можно видеть трафик с привязкой не по IP, а по MAC адресам. В общем, когда привыкаешь, уже сложно отказаться.

На Радио-Т сегодня про OpenSSH в Windows говорили вроде. Сам не слушал, но в темах есть, ссылаются на блог STH от 1 декабря. Microsoft 15 опубликовала.
Полез проверять - действительно, можно поставить: есть клиент и сервер. Поставилось в System32\openssh, полный набор.

PS C:\Windows\system32\openssh> .\ssh.exe -V
OpenSSH_7.5p1, without OpenSSL
PS C:\Windows\system32\openssh> dir

Каталог: C:\Windows\system32\openssh

LastWriteTime Length Name
—---------— —---- ——
17.12.2017 23:37 Logs
28.09.2017 15:49 322048 scp.exe
28.09.2017 15:49 390656 sftp.exe
28.09.2017 15:49 521728 ssh-add.exe
28.09.2017 15:49 612352 ssh-agent.exe
28.09.2017 15:49 599552 ssh-keygen.exe
28.09.2017 15:49 851456 ssh.exe
28.09.2017 15:49 3520 sshd_config

От Putty отказываться не будем, но теперь если что, инструмент всегда под рукой есть.

Кто-то сделал выгодную покупку или с другой стороны кто-то выгодно продал IPv4 адресов. Последние два месяца по статистике RIPE очень выделяющийся пик, по передаче адресов между LIR или от LIR абонентам - около 183 сетей по /16.
Рынок дорос до массового спроса? Признак настоящего конца адресов? Или их на биткоины меняют?

​Вау! шпаргалки на packetfilter.net. Периодически делаю и печатаю по маскам подсетей, теперь буду отсюда брать. Есть ещё много по разным протоколам и технологиям, забрать можно сразу архивом или скачать понравившиеся.

В копилку общедоступных сервисов проверок https://pulse.turbobytes.com. Можно выполнить DNS запрос, HTTP или трассировку. Примечателен тем, что позволяет выполнять запрос сразу со всех узлов в своей сети одновременно, сейчас 64 узла по всему миру.
Также, проекту можно помочь и поставить узел в своей сети.

Для сбора netflow можно не думать и поставить Nfdump, можно что-то поискать ещё, главное определить цели. Обзор некоторых коллекторов можно найти в статье на Forwarding Plane, но в итоге читателя знакомят с решением от Manito Networks для сбора и анализа Netflow v5 и v9, IPFIX и sFlow.
В нашей сети Netflow, это в первую очередь механизм сбора соответствий cgNAT трансляций для BRAS. И Nfdump (совсем не оригинально) только интерфейс из которого уже всё попадает в базу по которой строится весь анализ. Система живёт и здравствует усилиями одного разработчика, за что мы ему постоянно выражаем благодарность :) что, тоже наверное, совсем не оригинально иметь собственные инструменты для анализа netflow.

Медитативная новогодняя инсталляция. Посылаешь IPv6 пинг, а в ответ вместо reply лампочка загорается. В прошлом году 100Мбит/c канал был в полку, в этом до 1Гбит/c.
Пинговать надо адрес в формате 2001:6a8:2880:2018::RR:GG:BB

DHCP бывают разные :)

"Evolving" технологии в рамках CCIE курса - самописный конспект порядка 100 страниц, можно качать и использовать без ограничений. Не знаю прямо доберусь ли разобрать внимательно, но в закладках оставил.

10 лет назад я был категорически против универсальных *nix решений в качестве части ядра сети. Хотя именно в то время в том месте где я работал полисер для более чем 20000 абонентов онлайн и бордер как раз работали на FreeBSD и Linux соответственно. А у нас был очень, очень толковый *nix админ.
Теперь мне нравится универсальность, да и знаний с опытом поднакопилось, чтобы такие решения понимать и обслуживать, поэтому я готов пробовать что-то на универсальных процессорах и операционных системах. Если конечно к тому времени всю нужную мне гибкость производители сами не встроят в своё оборудование - вот так на лету можно патчить Catalyst 9300 - долой перезагрузки! Даёшь проверку и закачку обновлений прямо с сайта!