Когда-то в институте я себе очень хотел свой форум, чтобы быть там админом. И какое-то время мы даже что-то делали с однокашниками, причём вполне на официальном уровне. Или они делали, а я рядом стоял.
Форум я так и не организовал, хотя сейчас выбирать есть из чего. Пока я просто не знаю куда его определить, потому что на работе совместными усилиями и для себя мы уже поддерживаем внутренние ресурсы: Wiki - DokuWiki, Q&A - question2answer, Имиджборд - ага, Jabber - ejabberd. Делаем мы это конечно потому что можем, но и свой потребитель у этого есть, даже несмотря на мизерный трафик и охват.
Не хватает форума и социалочки, которые отчасти нам заменяют ERP и CRM, но кто знает... поздно точно не будет.

Очень давно не было каких-то громких новостей про SDN. Я склоняюсь к тому что это хорошо - все работают и может уже скоро появится что-то массовое, доступное, рабочее и популярное настолько, чтобы можно было брать и ставить.
А пока, не очень старая, но уже и не новая статья с интересной аналогией - BGP протокол для SDN, а Route Reflector это SDN контроллер. И это даже правда со многих сторон.

Фоточки из южноафриканского IX NAPAfrica с POP в Кейптауне и Йоханнесбурге. Видно не много, но что-то увидеть можно.

Небольшое пояснение в начале статьи и больше 20 конкретных примеров работы с tcpdump с комментариями.

Иногда смотрю на TR-069 и думаю что интересно было бы попробовать. Но также я смотрю на очень многие другие подобные протоколы, но пока ничего не срослось ни с одним из них.
Однако очень много устройств по всему миру поддерживают TR-069 и, больше того, доступны для управления. В статье много и подробно про уже найденные уязвимости и статистику по странам и провайдерам где работают открытые к запросам CPE. В России заметное количество ~300 000 - у Ростелекома. Можно воспользоваться моментом, обратить внимание и починить, или воспользоваться тем что пока не починили.

Последнее время пересел на OpenVPN, больше из-за того что всё под одним колпаком/идеей. Чистый IPSec сам по себе тоже отлично работает, но как-то я всё время натыкаюсь на разные подходы в настройках то в strongswan то в Linux: вот эти вот версии ядер (2.6, вообще, не редкость до сих пор), XFRM, отладка.

Поэтому у меня сейчас для личного пользования OpenVPN и сертификаты. А вот как быть с PSK, если решили что его проще сделать и использовать, можно почитать на blog.webernetz.net.

Вдогонку к предыдущему посту. Я в большинстве случаев к безопасности отношусь по-дилетантски. Вот эти вот туннельчики для меня играют роль трубы от точки А к точке Б и показателем работы является то что трафик доходит. Даже если он доходит не так быстро или его перехватывают, я это имею ввиду. Если бы ipip или gre имели бы чуть больше гибкости в плане динамической адресации и сильнее бы были представлены на конечных устройствах. я бы их использовал.

Поэтому я очень рад что подписчики этого канала делятся лучшими решениями, я даже на это рассчитываю (профит). Cтатья от нашего читателя - как сделать современный VPN на IKEv2 с сертификатами X.509 (например, от Let's Encrypt) и настроить сервер и клиентов.

Про GLBP коротко, есть все состояния, сообщения и типы балансировки. Забыли правда обратить внимание на виртуальный MAC адрес 0007.b400.0000, никак не бросается в глаза, но если готовитесь к экзамену то лучше не пропускать. На cisco.com поразвесистей, но про MAC адреса тоже вскользь.

PeeringDB уже не только на английском. Может доберутся и до русского и в этом им можно помочь, но вроде и сейчас всё понятно.

Knot DNS самый быстрый, почти, по своей версии теста. Разница начинается где-то около 500000 запросов в секунду. Максимальное, что видно на наших серверах Unbound - 6000 запросов в секунду. Одним словом - выбирать DNS можно по душе, а не по тестам.

Помните же что в Windows есть свой SSH. Статья про то как и где он хранит приватные ключи, точнее ssh-agent, и как их оттуда можно достать.
Береги свой ключ смолоду!

Не пройду мимо новости. Не то что бы меня сильно волновало в какой системе я ковыряю дырочки, чтобы ходить на те сайты на которые нравится и кто мне подсовывает рекламные страницы когда их совсем не ждёшь. Но теперь я знаю. Насколько могу судить ничего экстраординарного, многие наши подобные системы в тех же рамках работают.

Что-то стало с современными L3 свичами low-end операторского сегмента. Куда ни ткнись все стали пилить подобие Cisco like интерфейса. Даже D-Link, получается прямо криво - чувствуется что довлеет предыдущий подход поверх которого плохо лёг новый cli.

А ещё все сломали ACL - можно только на физический порт (для всех виланов разом, хотя хочется раскидать по svi), плюс некое подобие VACL. Бывает в классическом варианте без направлений, а бывает что можно in/out задавать для вилана прямо. Полезная штука, но если хочется делать L3 и немного транзитных виланов, то вот эти два варианта ни к селу ни к городу.
В общем что-то у меня сломалось с восприятием новой концепции. Внезапно, классический D-Link интерфейс кажется очень хорошим - другим, но хорошим.

P.S. Про MPLS молчу, но его тоже везде впилили, каждый коммутатор отметился, прямо каждый. Наверное, потому что могут.

Интересный проект "народной" базы с точками доступа WiFi. Хорошо видно как провайдеры именуют точки доступа которые ставят абонентам, и насколько случайные-неслучайные пароли используются.

Yandex DNS семейный 77.88.8.7 сегодня, примерно с 4-х утра судя по нашему мониторингу, начал находить на vk.com материалы для взрослых. Раньше не находил. Теперь DNS возвращает ответ на страницу Yandex.

>host vk.com 77.88.8.7
Using domain server:
Name: 77.88.8.7
Address: 77.88.8.7#53

vk.com has address 93.158.134.250
vk.com has IPv6 address 2a02:6b8::b10c:babe
vk.com mail is handled by 0 mx.vk.com.

>whois 93.158.134.250

inetnum: 93.158.134.0 - 93.158.134.255
netname: YANDEX-93-158-134
status: ASSIGNED PA
country: RU
descr: Yandex enterprise network

Дети останутся недовольны.

Абоненты находятся за границей сети, так же как и пиринг партнёры и апстрим провайдеры. На границе сети должен быть контроль - тотальный, в меру возможности тех устройств которые там стоят. Статья про Route Target в MPLS, про то что никто никому не запрещается делать так как хочется. Поэтому надо фильтровать или безоговорочно переопределять. Обычно это всегда можно сделать тем или иным способом.

Но этот пример так сказать на достаточно высоком уровне. Не забываем что сам по себе IP несёт много информации, в частности DSCP и ECN. И если в вашей сети настроен QoS то стоит привести начальные условия к тем которые планировались, так как из Интернета может прилетать всё.
Обычно для QoS у всех более менее одинаково на маршрутизаторах - есть политика которая вешается на интерфейс, внутри которой определены действия для классов, которыми мы задаём трафик для обработки:

policy-map pClear-input
class class-default
set ip dscp default

interface Gi1/0/1
service-policy input pClear-input

Для коммутаторов и того проще, скорее всего, на порту надо определить метку которой трафик будет в дальнейшем принадлежать. Но если в сети уже распланирован QoS то здесь не должно возникать сложностей, просто стоит об этом помнить.

Когда твоя домашняя лаба, выглядит как серверная не самого мелкого провайдера.

А у нас нет фальшпола и фальшпотолка нет. Зато есть холодный и теплый коридоры. И вообще, я чертовски давно в серверной не был, но это хорошо даже :).
Вот эти вот кабели - основа всего, никакие админы не нужны будут если вот тут ничего не будет. А выглядит это примерно у всех одинаково.

$ whoami
ubuntu

$ whereami
In a Docker container. Inside a Kubernetes cluster. Running in a VM. On top of a Hypervisor. In someone else's datacenter.

$ howdidigethere
No. Fucking. Clue.