Патчкорд

Великолепный способ и пример разделения окружений свой/чужой и возможность избежать статического маршрута при подъёме туннеля с динамической маршрутизацией в блоге Networking with FISH. Не бойтесь VRF и берите на вооружение.

FreeRADIUS может всё, если хотите Cisco SD-Access, надо только правильные атрибуты навесить. SGT метки это ещё, точнее из Cisco TrustSec, так что если очень хочется именно FreeRADIUS - мы, в тебе не сомневались.

Nick Russo подготовил новый обширный документ по дизайну сети, в этот раз удалённый доступ - VPN - IPv6 - защищённый контур/второй VPN. Подробно про среднюю часть "gray net", почему IPv6 и как сделать красиво. Что-то обязательно можно будет почерпнуть, даже если целиком дизайн не про вас. Забрать в PDF и не только это.

Разбор недавнего падения Linx от Ripe Labs, с попыткой выяснить как такие косяки влияют на окружающих в современном мире. И, кажется, сетевики таки научились в резервирование и теперь падение даже такого крупного IXP не приводит к выходу из строя половины интернета. Горд за профессию. https://labs.ripe.net/author/emileaben/does-the-internet-route-around-damage-edition-2021/

Пирингов мало не бывает.

#rememberthetelegram

Генератор XDP программы из правил FlowSpec, если вам это действительно нужно или надо с чего-то начать. По сути это законченное решение, не забываем что нужен будет ещё C компилятор, предлагается использовать clang, со всеми нужными зависимостями. Поставщик flowspec - вывод birdc.

Ещё один инструмент агрегатор - bgp.tools, в котором собрана информация по ASn и префиксам. Может whois, карту отношений upstreams/downstreams, статусы RPKI, членство в IX. Если данных хватит, то и скриншот с заглавной странички сайта владельца покажет.

Yandex.Cloud сделали иконочки для своих сервисов. А почитать на какой сети это всё построено, можно в свежей статье на Habr, больше про путь, нежели технические детали.

​Получил сегодня почтовую рассылку и даже не знаю как прокомментировать, но очень хочется поделиться с вами той заботой которую мне предлагает mail.ru. Рекомендацией я, конечно, не воспользуюсь. Сторонние приложения это: "Например, Microsoft Outlook, Spark, стандартная почта на iOS или Android и другие." Чтобы защититься, тут конечно я выдернул только начало абзаца, но совет и в таком виде 100% рабочий: "Главное — откройте настройки почтового приложения и отключите там аккаунт Mail.ru."

И если мы уж недавно вспоминали про PMTU discovery, давайте погрузимся чуть глубже и посмотрим как это работает на хостах, для IPv6 это ещё более важно. Немного теории и что можно проверить на Windows/Linux и при необходимости подкрутить на Linux.

​SSH через QUIC, пока в виде прокси.

Если пропустили большую драму, а может трагикомедию на этой неделе CVE-2021-28918 - читайте на opennet или тут и по ссылочкам из статей пройтись можно. А суть в неверном толковании представления IPv4 адресов. Ну никак сегодня не воспринимается, что '0177' это число в восмеричной системе счисления, потому что об этом говорит '0' в самом начале. Когда-то, это было очевидно всем (лет 20-30 назад), даже если не очевидно, то почти все пользовались как минимум одной и той же libc. Сейчас это искусственная вещь, настолько искусственная что приводит как раз к таким драмам. Классический пример водораздела "старого" и "нового".

#security #authentication

Если пропустили для себя ERSPAN, то обязательно поищите такую возможность на своих устройствах, есть не везде. Идеально заменяет RSPAN без возни с виланами, позволяя отправлять трафик поверх IP сети упаковывая его в GRE. Можно прямо в нужный сервер отдавать или на снифер. Но можно поймать на удалённом поддерживаемом устройстве и перенаправить в нужный порт убрав лишние заголовки. Только будьте внимательны при настройке destination session, где source address - это не адрес соседнего хоста источника, а ваш собственный локальный адрес на который приходит трафик с удалённого хоста, он должен совпадать с тем что настроен для source session.

Мы недавно писали про настройку VyOS с нуля, может даже не один раз. Не могу скрыть своего интереса к данной системе, которая используется у меня в качестве домашнего роутера. Тем кто знаком с сетями и настройками каких-либо других сетевых устройств, разобраться труда не составит - всё должно быть знакомо и понятно. Но на всякий случай ещё одна серия статей про настройку.

Если вы настраиваете настоящий stateful firewall, что я например делал совсем не часто, сейчас чаще, то обязательно озаботьтесь параметрами жизни сессий и всеми граничными значениями. С NAT я в своё время набил достаточно шишек, чтобы времена жизни трансляций выкручивать в очень агрессивной манере, а с Juniper SRX попался на очень долгие заданные по умолчанию времена жизни сессий. Не пропускайте этот момент и добавьте также early-ageout, если место под сессии кончится, это позволит выжить.

Те кто делает резервные копии каждый день или раз в неделю - те молодцы. Те кто проверяет свои копии восстанавливая их - красавцы. Сегодня надо делать как всегда, потому что сегодня День резервного копирования. Те кто про свои бэкапы вспоминает только в этот день - не надо так. Это всё ещё не просто, это всё ещё требует усилий, но это именно та возможность которую не стоит упускать.

OSPFv3 и IPv6 соответственно, в базовой настройке с объяснениями от маршрутизации до хостов. Затрагивается довольно много специфичных моментов дизайна, но в то же время не привязанных к вендору, несмотря на то что сеть строится на Aruba. Но в целом, ещё раз повторюсь, это пример с базовыми настройками.