Патчкорд

А теперь, как замена двух коммутаторов выглядит в реальных красках. Утащено у автора Заметок сетевого архитектора.

Страшно, очень страшно - меняем на горячую одну пару vPC L2 коммутаторов на другую. Совсем страшно немного другое, если всё сделать аккуратно и правильно то связность восстановится и даже может и не пропадёт, но конечным хостам в этом домене может всё равно поплохеть. Вариантов как это всё пройдёт от слоя к слою до высокоуровневых протоколов очень много, с неожиданно истёкшими таймерами, заново формируемыми таблицами коммутациями, внезапно сменившимися идентификаторами. Поэтому заложите в работы простой, так будет спокойнее.

Конечно, битовая природа CRC имеет смысл, потому что компьютеры обрабатывают далеко не только байты, особенно при их передаче. На мой взгляд не совсем понятен заход со стороны математики, а не практики, но может быть это только мне. А ещё, бит чётности - это CRC1.

Красивая шпаргалка по основным моментам BGP, но это если не придираться к деталям, которые показывают насколько глубоко вы в BGP погружены.

В коллекцию говорящих PTR в трассировке, не буду приводить полностью, просто один шаг: 6 34 ms 34 ms 35 ms tspu-6364.no-hope.msk-m9-cr5.ae666-3002.rascom.as20764.net [80.64.97.55] Но надежда, что Telegram вернется к жизни ещё остаётся.

Балансировка нагрузки сетевого UDP приложения средствами сетевого стека Linux: SO_REUSEPORT и SO_ATTACH_REUSEPORT_CBPF в двух частях. Все грабли и суть во второй части вместе с очень простым примером программы на BPF и способом его компиляции, а также кодом самого сервера на разных этапах по ссылкам на Github.

Обширное дополнение про перехват в механизме выпуска сертификатов от автора RFC8657 и много чего ещё Hugo Landau. Плюсы, минусы, дыры, что произошло и что ещё может произойти, как защищаться или как минимум усложнить жизнь атакующей стороне.

Поразмышлять перед сном. Лично мне не хватает BNG/BRAS, не вообще, а одного конкретного, но его уже никто не заменит. А в текущих потребностях нормального корпоративного маршрутизатора где всего понемножку: с туннелями, NAT'ом, файрволлом с кластеризацией и асимметрией, SD-что-то пусть тоже там будет.

Geoff Huston на тему TCP vs. QUIC на APNIC 56 проходившей в начале сентября, и презентация. Процитирую последний слайд: What can a Network Operator Do? When all customer traffic is completely obscured and encrypted? - Traffic Shaping? - Regulatory Requirements for traffic interception? - Load Balancing / ECMP А сейчас с QUIC всё очень даже неплохо.

Убедитесь что своей инфраструктурой управляете вы и только вы, или будьте готовы делиться не только ответственностью и сложностью, но и проблемами. История про Aruba, ZeroTouch и облака, в которой администраторов с доступом больше чем вы видите. Частная история, но не новая, Ruckus тоже так умеет.

VPP и виланы, теория и конкретные примеры настройки в конкретных задачах.

Устройство сети в VK Cloud - всё виртуальное и программно-определяемое. Про не виртуальные сети почти не говорится, зато про остальное достаточно подробно. История собственной разработки, было/стало.

Поведение различных устройств/систем при попытке установки соединений BGP от неизвестных соседей - сессия не устанавливается, но мы знаем что BGP это прикладной протокол, поэтому TCP SYN может проходить и добираться до демона BGP, хотя и не для всех. Это может быть проблемой, поэтому добавьте фильтров на сетевой интерфейс, не надейтесь на поведение по умолчанию.

Шпаргалка по бинарной арифметике и логике и чуть больше. Мне нравится тем что охвачено сразу много, включая числа с плавающей точкой и, особенно, то что есть конкретные примеры работы с битами в нижней части схемы. Мне не хватает примеров составления логических функций по таблицам истинности и их упрощения, хотя базовые элементы этого присутствуют. С отрицательными числами на мой взгляд вообще мимо в плане восприятия. Для тех кто помнил, но забыл.

Приколитесь: немцы снифали и расшифровывали зашифрованный трафик на серверах jabber.ru в датацентре Hetzner. Выпустили отдельный SSL сертификат и проксировали коннекты к TCP:5222. Ого! Вскрылось случайно из-за ошибки их админов. Если бы не эта ошибка, скорее всего, так никто бы и не заметил. Скорее всего это правительственная атака и хостеров просто обязали накручивать эти редиректы. Интересно сколько таких джаббер серверов прослушивается в данный момент. Ведь кулхацкеры скамеры чаще всего используют именно джаббер. Еще один эпизод оправдывающий параною красноглазых криптоманьяков. Мораль: 1. Проверяйте фингерпринты сертификатов даже если лень. 2. Безопаснее E2E шифрования ничего не придумали, но и там всем лень проверять отпечатки ключей. Лично мне больше все нравится подход Телеграм с 4 эмоджи в качестве отпечатка ключа, это не сложно сверить при звонке. Пост на HN: https://news.ycombinator.com/item?id=37955264 Само расследование https://notes.valdikss.org.ru/jabber.ru-mitm/

Итоги на мой взгляд ожидаемые. Смешно, но я забыл термин dial-up, может быть, потому что мой первый Интернет был через EDGE, а проводной через DSL, а компьютер без Интернет был в общем-то нормой. Ещё я вас обогащу термином AON - это оптика до вашего домашнего роутера, но не PON, где A - Active. И пока мы посматриваем не взять ли себе домой гигабитное подключение, некоторые наши подписчики, спасибо им большое за комментарии, живут в абсолютном будущем и могут позволить себе 25Гбит/c чистого незамутнённого Интернета оптикой прямо в порт не PONом!, который у нас становится всё популярнее.

Большая лаба по BGP на разные аспекты управления трафиком, о чём же ещё. И прямая ссылка на Google drive PDF: начальный конфиг, задача, проверка, изменения, финальный конфиг, проверка - всего 155 страниц.

Если вдруг давно не заходили на Looking glass MSK-IX, то там теперь доступна возможность графически увидеть маршруты от IX до заданного префикса, естественно, если он каким-то образом там присутствует. Кнопка называется "Нарисовать схему" и появляется она после выполнения какой-либо из основных команд по просмотру префиксов или соседств. Сам узнал, что называется, из первых рук и поэтому всей команде MSK-IX большой привет. А для личного общения и инсайдов уже скоро пиринговый форум, регистрация на который открыта.

He calls it “Stable Connection” и это надо слушать.