Патчкорд

https://www.ietf.org/id/draft-schoen-intarea-unicast-127-00.html - ох… Впрочем, это только драфт, каких их только не бывает. Два года прошло и никого это не спасёт, а организует кучу проблем - читайте очень обширную секцию Security в этом же документе. А ещё лучше потратьте время на IPv6, в любом случае это придётся сделать.

Виртуальные лабы на academy.apnic.net, если ещё не видели не проходите мимо. Нужна регистрация: почта, пароль и короткая анкетка. Ничего кроме браузера не требуется, разные темы, разные устройства, доступ в консоль и пошаговые инструкции. Плюс ссылки на курсы по теме, там же на academy.apnic.net.

​​IPv6 в следующие 10 лет, прогнозы с NANOG83.

Просто напоминание что нужно делать резервные копии и проверять их тоже нужно даже если это занимает почти 6 дней.

Ужасы PAM - просто мысли разработчика, почти без деталей по мотивам написания собственного модуля. И сразу глубокое погружение в аутентификацию BSD, где деталей хватает.

Хорошая вводная в понимание iptables, без лишних упрощений, но и не перегибая палку погружения в детали.

Замечательный доклад представленный на ENOG18 теперь можно почитать на Habr - про циклы маршрутизации в Интернет. Помимо теории, особенна хороша последняя часть про различные "необъяснимые" странности, которые вот прямо сейчас присутствуют в Интернет.

Если нужно скопировать что-то с одного сервера на другой, которые между собой на взаимодействуют, но при этом доступны с третьего. Вот способ с rsync, не самый простой - присутствуют socat и ssh туннели.

В блоге VyOS появилась статья про настройку динамического VPN, который позволяет избежать spoke-to-spoke маршрутизации через хаб, это раз. И два, новые лучи будут добавляться по щелчку пальцев. Слава DMVPN и BGP. https://blog.vyos.io/using-dmvpn-and-bgp-to-interconnect-multiple-sites

Правила жизни операторов ресурсов поддержки RPKI от MANRS. В приложении табличка как этим правилам соответствуют ARIN, APNIC, LACNIC, AFRINIC и RIPE, по пунктам. Про то же самое, но языком попроще в блоге, плюс немного мотивации и предпосылок.

Почти наверняка на собеседовании на любую должность связанную с сетями, а может и не только, вас спросят про семиуровневую модель OSI. Это настолько въедается и постоянно незримо присутствует вокруг в профессии с повсеместно используемыми терминами L2 и L3 в любой языковой среде, что не надо никому ничего объяснять и доказывать что они значат. При этом любимое занятие убить несколько часов это поспорить про: "OSI не нужна, TCP/IP наше всё", "На каком уровне работает ICMP", ещё можно про близкую тему "маршрутизация против коммутация" и "что за зверь L2+ коммутатор?" В любом случае в статье, наверное, вы вряд ли найдёте что-то новое для себя, за исключением мнемоник для запоминания порядков уровней от седьмого к первому: - All People Seem To Need Data Processing - All Pros Search Top Notch Donut Places - A Penguin Said That Nobody Drinks Pepsi - A Priest Saw Two Nuns Doing Pushups и от первого к седьмому: - Please Do Not Throw Sausage Pizza Away - Pew! Dead Ninja Turtles Smell Particularly Awful - People Don’t Need To See Paula Abdul - Pete Doesn’t Need To Sell Pickles Anymore Но я уверен, многие и так это прекрасно помнят.

Мне коллеги напоминают про обязательную внимательность и аккуратность, за что им большое спасибо и что я должен напомнить всем нам. Трижды, а лучше семь раз убедитесь что вы представляете что произойдёт после применения любых команд, особенно команд которые что-то фильтруют, особенно uRPF, которая помимо блокировки трафика может ещё и CPU ваш нагрузить так, что останетесь без доступа к устройству. Проверки, проверки и проверки - на столе, в виртуальной лабе, тестовой среде и только потом на прод. У Juniper, не забывайте, есть commit confirm. Ваша сеть и ваши абоненты не должны генерировать трафик, который им не принадлежит, будьте к этому строги, способов этого достигнуть много и проще всего это сделать в точке подключения, иногда это единственное место, так что всё в наших руках.

Никогда не поздно включить uRPF на Juniper или Cisco, тем более что не так давно по этому поводу обновились Best Current Practice 84 / RFC8704, что, скорее, говорит о печальном состоянии в плане спуфинга, что заставляет применять что-то новое и напоминать об этом.

Выступление Torbjörn Eklöv про проблемы внедрения IPv6 в отдельно взятой Швеции, с конференции Netnod Tech Meeting 2021. 30 минут видео, 10 из которых дискуссия в зале. По уровню внедрения Швеция и Россия, судя по статистике Google, на одном уровне окoло 10%. Причины, как в основном следует из последовавшей дискуссии, такие же как и вероятно везде: - нет запроса от конечного пользователя, который не видит преимущества нового протокола - нет экономической и бизнес целесообразности, как минимум её не видит руководство компаний - недостаточность ресурсов для перехода на IPv6, так как пока есть более срочные и важные задачи, как у больших так и у маленьких операторов. В самом выступлении много списывается на характерную двухуровневую организацию доступа к Интернет в стране и невозможность договориться между участниками этого взаимодействия, а также отсутствие включенного IPv6 по умолчанию на конечном оборудовании пользователя. А пока работаем через CGNAT, вопрос только как ещё долго.

Общий архитектурный взгляд на различные применяемые механизмы отказоустойчивости на уровне устройства: BFD, Graceful Restart, Non-Stop Forwarding, Non-Stop Routing, Stateful SwitchOver - в ответ на серию статей с поднятыми проблемами, которую тоже стоит почитать, ссылки в конце поста. Чем меньше сложности, в том числе скрытой, там надёжнее - всегда.

lldpd vs. openlldp - побеждает lldpd от ISC сейчас уже версии 1.0.12. В статье сравнение по нескольким параметрам: живости, функционалу - в конце табличка. Несмотря ни на что документация на первом месте и протоколы обнаружения помогут её создать автоматически при первом включении устройства, в том числе и LLDP. Если, конечно, вы управляете своей сетью автоматически, если нет, то лучше с портами определиться и жёстко привязать их заранее. В каждодневной эксплуатации LLDP, CDP и компания - это про сервисы и совместимость устройств, например, IP телефонов и коммутаторов с voice vlan. Собственно статья как раз от разработчиков встраиваемых систем. За последнее время серверы, всё-таки, пришлось поискать, правда с CDP и виртуальные, хорошо VMware поддерживает.

BBR против CUBIC, а если точнее то BBR плюс CUBIC через теорию игр, конкретно Равновесие Нэша, того самого из "Игр Разума". Исследуются ситуации при различных комбинациях потоков через ограниченную полосу, когда выбор алгоритма BBR или CUBIC для конкретного потока не решает ничего. Это получается, в том числе, из-за нелинейной функции средней пропускной способности каждого потока при использовании только алгоритма BBR - меньшее количество потоков имеют большую среднюю пропускную способность. Итого, пока есть разнообразие, то в каждом конкретном месте и в каждый конкретный момент оптимальное решение может отличаться, или как показывает эта работа, быть безразличным чтобы мы не выбрали. Хороший "ленивый" вариант которым многие пользуются.

Ещё немного особенностей Juniper теперь с OSPF. Отвечаем на вопрос что делает ABR ABRом, практически. Присутствует сравнение с Cisco, правда не подкреплённое испытаниями. Любителям стандартов и их реализаций будет интересно, потому что про Cisco и IBM есть целый отдельный RFC3509, как раз про то о чём говорится в статье.

IS-IS теперь и видимо надолго пришёл в локальные сети вместе с Cisco SD-Access как рекомендуемый протокол для базовой сети. Предполагается что его там не будет много - включил и забыл, а остальное сделает DNAC, но незнание основ не освобождает от ответственности. Поэтому дружно смотрим в сторону SP треков, где IS-IS много, но мало официальных Cisco изданий. А ещё читаем недавно обновлённые статьи Chris'а Parker'а про дивный мир родного OSI стека, хоть и для Juniper и как он уживается с повсеместным IP.