Патчкорд

У любой строчки конфигурации есть какой-то смысл или был в тех обстоятельствах когда её применяли, поэтому не спешите ругать предыдущего настройщика, а когда копируете чужие настройки себе, соотносите это с вашими потребностями. Смотрю на настроенный Cisco port-channel и думаю, почему не LACP, а безаговорочно собранная агрегация? Ладно, EtherChannel на ASR не завезли, но вот прямо чтобы без всего. Включаю для другой инсталляции LACP и

#show policy-map interface po1.100 Port-channel1.100 Service-policy output: SHAPING Service policy SHAPING is in suspended mode

теперь ясно почему - с LACP не включишь балансировку по виланам:

(config)#int po1 (config-if)#load-balancing vlan % FEC: Remove lacp mode configuration on the member links of Port-channel1

Что ж, хорошо что линк прямой, медный и короткий, на портах которого сложно поймать одностороннюю связность.

Основы проектирования безопасных сетей, когда "безопасность" куда более широкий термин чем "защита от злоумышленников" - это и надёжность, и производительность, и способ самим же не обжечься. Многое из перечисленного не попадает в поле видимости типичной службы ИБ, хорошей попадает. Конечно, сегментация, шифры, пароли и файрволы - часть этой общей безопасности, но далёко не всё что она в себя включает, и об этом заботиться может только сетевой инженер.

Обзор способов и протоколов телеметрии трафика, в двух частях. Присутствуют Netflow 5 и 9, IPFIX, sFLow5 и зеркалирование трафика.

Великий Китайский Файрвол стал фильтровать QUIC по TLS SNI, до этого, как отмечают авторы, этим занимались только "Russian TSPU devices".

Подробный разбор инцидента от 30 марта в Яндекс Облаке

Что случилось?

В период с 30.03.2025 12:25 по 31.03.2025 00:00 (МСК) сервисы Yandex Cloud, расположенные в зоне ru-central1-b, были недоступны. Инцидент был вызван двойным отказом по питанию из-за сбоя на городской высоковольтной подстанции, питающей ряд областных и промышленных объектов, включая дата-центр Яндекса.
. . .
Предотвращение

Корневая причина инцидента – потеря напряжения на двух независимых источниках питания одновременно. Команда Yandex Cloud анализирует возможные варианты предотвращения этого риска (включая вариант добавления третьего независимого источника питания). Об итоговом решении мы сообщим дополнительно.

Резюме по инциденту https://status.yandex.cloud/ru/incidents/1129

Внутри облаков - серверы. А ниже сетевого уровня 1, есть ещё уровни без которых сети не работают, электричество только один из них.

Майкрософт сегодня исполнилось 50 лет. По этому поводу в блоге у Билла Гейтса интересно оформленный ASCII-артом пост с воспоминаниями как первое, что они запили в MS, был интерпретатор бейсика для персонального компьютера Altair 8800. Майкрософт начиналась как компания аферистов (ну, тут никто не удивлен). Они пришли к создателю Altair и сказали, что у них уже есть бейсик для этого компа. Дядька говорит, отлично, давайте сюда. Те в ответ: щасвернемся. И два месяца кодили круглосуточно, чтобы сделать то, что сказали уже есть. Причем у них даже этого Altair не было по факту, они имитировали его работу программно на университетском мейнфрейме для тестов. Гейтс говорит, что этот код самое крутое, что он писал в жизни. Короче, интересно почитать, плюс исходники выложили. На фото юный Гейтс красуется на фоне логарифмов.

Докладчики решили никого не щадить 😄 сети значит сети. Михаил Членов из POWERNET расскажет про VXLAN, Марина Карпова из УНИКО расскажет как жить с двумя автономками на одном устройстве. Пример графика из моей презентации про НСДИ на картинке. А ещё, я надеюсь, мы услышим что можно выжать из домашнего роутера имея прямые руки и паяльник, а не только меняя прошивки. Встречаемся на Patchcord connect в Субботу 12 апреля в 14 часов, г. Волгоград, ул. 10-й Дивизии НКВД 5A, креативное бизнес-пространство ЛОФТ1890. А ещё мы позвали фотографа, чтобы запечатлеть момент. Бот регистрация/напоминалка/информация - @PatchcordConnectBot, всех-всех-всех очень сильно жду.

Я знаю чего ожидать от Linux на десктопе. Объективно с каждым годом становится лучше, но всё равно надо аккуратно выбирать дистрибутив, вплоть до версии, залазить ручками в файлы настройки (чем аккуратнее выбран дистрибутив тем меньше), а интерфейс всё ещё остаётся угловатым. Но вот одна вещь недавно меня прямо впечатлила. В целом, я думаю вы представляете как выглядит добавление нового принтера в Windows. Сетевое МФУ HP, которое в Windows 10 взлетело с тонной скачанных драйверов, а в Windows 7 не взлетело даже с этим, хотя поддержка заявлена. В Linux, в момент его включения, выскочило окошко в трее в котором было написано, что вот у вас доступен принтер, пользуйтесь - всё. И это всё работало сразу, я подумал что сканер не взлетит, но нет и сканер тоже заработал сразу. Можно было бы сказать ещё и про SAMBA, но там я таки залез в конфиг поправить как мне нужно. Linux Mint (22.1 Xia) с Cinnamon окружением - можно пользоваться. Ununtu тоже респект, как минимум за ту базу на которой строятся многие десктоп Linux дистрибутивы.

Маршрут и роутер по-умолчанию в терминах IPv4, CLNP и IPv6. История от Ивана Пепельняка: как, что и откуда взялось, кто за кем подсматривал, какие проблемы решались, и где мы сейчас.

Как бы вы не решали проблему резервного копирования - с помощью ИИ, или более традиционными способами, которые есть у многих да и выглядят попроще, главное её решайте, чтобы завтра не оказаться в дураках. Сохраняйтесь! С днём бэкапа.

Path MTU Discovery в дампах с описанием для IPv6 и IPv4. В этом примере даже работает.

Последние несколько недель вожусь с Huawei и каждая моя итерация взаимодействия с ним, примерно, раз в 5-7 лет заставляет обращать внимание на другие вещи, что естественно в новом окружении. В этой итерации это display security risk:

Risk Level : high Feature Name : INFO Risk Type : insecure-configuration Risk Information : The log host configuration does not use SSL-encrypted transport mode. Repair Action : Use the SSL-encrypted transport mode. Risk Level : high Feature Name : NTP Risk Type : insecure-configuration Risk Information : There is no or MD5 authentication configured Repair Action : Configure NTP HMAC-SHA256 or AES-CMAC authentication Risk Level : high Feature Name : SNMP Risk Type : insecure-configuration Risk Information : SNMP V3 group with noauthNopriv/authNopriv exists Repair Action : Remove the group with noauthNopriv/authNopriv and configure group with authpriv

Ничего такого, в основном очевидные, базовые понятия из инструкций про безопасную настройку, в том числе и из стандартной инструкции самого Huawei. По умолчанию, ничего из этого не включено, хотя могло бы, но это не значит что стало бы удобнее и безопаснее. А так, напоминалочка, что где-то можно подкрутить, на радость службе ИБ. В остальном же, единственное неудобство когда у тебя не только Huawei, это сломанная привычка ввода команды display вместо show.

Настройка NAT64 на Juniper SRX, если под рукой нет Juniper, да и вообще ничего нет, но есть IPv6 сеть, то можно использовать nat64.net который который сделает DNS64 и NAT64 за вас, я туда Twitter заворачиваю.

А заметили же что https://portal.noc.gov.ru/ дизайн сменил, вроде ничего не пропало, но надо понаживать клавиши чтобы или спуститься на экран вниз или в меню справа в нужный раздел попасть.

Про основу DNS - корневые серверы, от которых многое, если не всё сейчас зависит. Нагрузка на них растёт и с этим надо что-то будет делать в ближайшее время, потому что одно только кеширование не спасает. И один из выходов, хранить данные корневой зоны поближе к конечным потребителям. Собственно это можно делать и сейчас, при желании, вопрос в доверии и в том чтобы так делало большинство.

Данные по распространению Starlink в мире, есть интерактивная карта, динамика изменения адресов, история адресов. Из заметных расширений Марта - Киев и Киншаса.

Каждый хочет сломать Великий Китайский Файрвол - кто-то в том смысле, чтобы пройти сквозь него (меры и контрмеры в pdf), кто-то в смысле, чтобы заглянуть внутрь. Для обычного российского туриста на курортном острове, приехавшем на море, вопрос о сломе, в любом смысле, вообще не стоит. Просто с телефона, конечно, ничего внешнего не работает, но за разумную плату в отеле вам дадут коробочку с Wi-Fi, которая позволит получить привычное. Спрос опять родил предложение, а мы продолжаем наблюдать за борьбой меча и щита.

Про ECMP изнутри и до чего можно дойти. Снаружи ECMP вроде как прост если про него знать, но дело, как всегда, в нюансах. В Juniper, например, per-packet - это per-flow - (the term per-packet load balancing in Junos is equivalent to what other vendors may call per-flow load balancing) и настраивается это по Juniper'овски многословно. По умолчанию, когда я делал это раньше, было per-prefix, что часто вообще не подходило, особенно при больших агрегированных префиксах где-то в центре сети. А у Cisco на нечётном количестве линков, размазывалось лучше чем на чётном.

Пока доклады пишутся и презентации рисуются, напечатал ачивки участникам нашего сетевого митапа. Всех ждём 12 апреля в Волгограде в ЛОФТ1890 в 14:00, чтобы, я надеюсь, не скучно провести Субботу. Регистрация @PatchcordConnectBot.