Обложка канала

Патчкорд. Страница 18

1403 @patchcord

Блог сетевого инженера. Новости телеком, IT и околоIT.

  • Патчкорд

    Правильный подход к поиску проблем, в целом касается не только сети, но тут про сети, с примерами. Системный подход всегда лучше "экспертного", в бывшем треке Design от Cisco про это было много и подробно, собственно это основополагающий принцип и вендоры, кто этим озаботился, про это рассказывают. При этом очень важно знать свою систему и иметь к ней базовые параметры поведения и оказаться в нужном месте в нужное время, чтобы собрать всё что можно собрать. Также приведены несколько чек-листов по конкретным проблемам, вроде, "сеть тормозит".
  • Патчкорд

    Не забывайте обновлять не только BGP спикеры, но и инструменты для анализа. Каким бы стабильным и основательным это всё не казалось, изменения происходят постоянно. Речь про RFC7911 и возможность анонсировать одинаковые маршруты и связанный с ним RFC8050 описывающий формат MRT.
    RFC 7911 - Advertisement of Multiple Paths in BGP

    Advertisement of Multiple Paths in BGP (RFC 7911)

    datatracker.ietf.org
  • Патчкорд

    Alex

    If your going to have Palo Alto Firewalls in your network, you better have this diagram somewhere close by. Just saying...

    Twitter
  • Реклама

  • Патчкорд

    Configuring IPSec Site-to-Site VPN’s using IOS-XE as a CA Server

    In this post, we’re going to configure an IPSec site-to-site VPN with two CSR1000v routers. The authentication between the two routers will be performed using digital certificates issued from…

    Network Wizkids Technical Knowledge Base
  • Патчкорд

    How to create Netem distribution tables

    The Netem and Dummynet emulators are widely used in networking research to achieve emulated network environments that can be used to evalu...

    Blogspot
  • Патчкорд

    Наткнулся на свежую статью про завершающую точку в конце доменного имени с которой всё просто в DNS где все имена начинаются от корня, той самой точки. Если она явно не присутствует её за вас поставит локальный резолвер, предварительно пройдясь по списку доменов заданных в системе и пробуя подставить каждый из них поочередно. А вот в HTTP(S) и всё что вокруг веба про её смысл как-то забыли и фактически имя в вашей строке браузера является не тем же самым именем которое фигурирует в DNS - это две параллельные системы. И, конечно, так как браузером непосредственно пользуются куда больше людей, то чем дальше тем больше с этой точкой проблем. Про представление IP адресов тоже все уже давно забыли, и это тоже периодически порождает проблемы.
  • Патчкорд

    Пишут что дефицит на сетевиков в мире, если не брать в расчёт безопасность (первое место) и облака (четвёртое), то даже на базовые операции поиска и устранения проблем и мониторинга нету квалифицированных кандидатов, да и автоматизация сама себя не сделает. Причиной называют пандемию, сократившую возможность перемещения. Но если посмотреть мой круг знакомств, где за последний год двое ушли в DevOps'ы, то дело видимо не в ней, кстати, пару лет назад уходили в чистые программисты. В статье предлагают брать умных людей, без навыков но с желанием, но тут-то скорее всего и кроется проблема.
    How to deal with network-operations brain drain

    If you can’t find qualified candidates for NetOps jobs, automate what you can, and hire someone smart and willing to learn who can train for the job you need filled.

    Network World
  • Патчкорд

    У Juniper и IOS-XR есть commit confirm , а у Cisco IOS есть config revert. Предварительно придётся настроить archive на локальный носитель иначе весь смысл теряется, но в любом случае это должно быть лучше чем reload in. Для меня открытие, теперь буду читать что там ещё есть кроме configure terminal.
  • Патчкорд

    Спускайтесь иногда к своему конечному потребителю и тех.поддержка, формально, к этому ближе всего. Ещё лучше это неформальные разговоры и общение, когда это возможно, если потребители ваши коллеги, не забывайте с ними общаться. Автора статьи отправили в тех.поддержку и она кое-чему научилась, многие начинают с тех.поддержки и все эти истины потом забывают.
    What I learned by doing tech support

    She never wanted to do product support, but she is glad she did. Here are five important lessons for enterprise developers from the experience.

    Cisco Blogs
  • Патчкорд

    Интересный открытый вопрос про современные сети: "Почему, во многом, они работают по старинке?" У нас есть относительная гибкость внутри облака, мы этим можем управлять наравне со всем остальным в едином процессе CI/CD. Но сложности возникают когда надо пропустить трафик через реальный мир и тут, на мой взгляд, мы упираемся в технологии (это вторая опция предложенная автором). В облаке мы имеем конечный ресурс который кратно превышает наши потребности, и этот ресурс мы можем делить между большим количеством задач, попутно решая их с некоторым перерасходом ресурсов, как плату за гибкость. Когда ресурс кончается мы можем добавить ещё мощностей - добавить серверов и устроить миграцию части сервисов. Это выглядит и обслуживается как единое целое, но в итоге живёт на одном сервере с большим запасом по мощности. А что в сетях, за пределами внутриоблачных систем? У нас есть API, у нас есть верхнеуровневые гибкие архитектуры вроде SD-WAN и SD-LAN, но под этим всем лежат всем нам знакомые технологии и протоколы, в которых нет ничего такого, что нельзя было сделать руками, сложность только в объёмах абстракций чтобы создать 100500 VRF, виланов и маршрутов. По сути, всё что нам предлагают не новый подход, а вендорская оркестрация старого. И тут мы упираемся в то чего мы не имеем - кратного запаса ресурсов. Сколько угодно можно делить физическую магистраль добавляя оверлеев, но там где нужны 10 портов, нужно 10 портов и миграция не заключается в копировании настроек и данных, надо менять топологию. Мы видим запас по мощности в ДЦ с повсеместным CLOS, где мы также видим и наибольшую гибкость в сети как основу облаков и всех сетевых абстракций, пусть и не универсальную как того хочется автору. Но весь запас тут же улетучивается если вы не можете строить свои магистрали с кратным запасом между ДЦ, как раз отсюда и растут проблемы отсутствия универсального API между вендорами. В конечном итоге, мы можем автоматизировать настройки правил доступа и маршрутизации, то что нам предлагают системы оркестрации или то что мы можем написать сами, которые добавляют новый сетевой сервис по запросу в CI/CD стиле, и этим непременно надо заниматься. Но, чем дальше мы находимся от среды с запасом ресурсов, тем больше задача поиска ресурсов и тонкой оптимизации под конкретное место будет превалировать перед универсальными и общеупотребимыми автоматическими подходами. Ещё раз приведу пример который я иногда упоминал - автоматизация в интернет провайдерах была всегда, с самого первого моего рабочего дня и очень многие из моих коллег там умеют писать код. Такая автоматизация в первую очередь касалась настройки подключения нового абонента, потому что эта задача частая и лежит в области с большим запасом ресурсов - свободных портах на коммутаторах доступа. Поэтому, в большинстве случаев переместить абонента из одного места сети в другое, или подключение нового не составляло никаких проблем и не отвлекало никого внимания сетевого администратора, часто вообще не отвлекало ничьё внимание, достаточно было физически переместить патчкорд.
    Networking in the Cloud needs to evolve

    Cloud and DevOps helped us evolve the way we build our apps and our systems. Network seems to be the missing piece. How exactly do we need the Cloud Networking to evolve?

    Mats Cloud
  • Патчкорд

    Процесс поиска и устранения проблемы отсутствующего атрибута адреса при отправке пакетов RADIUS accounting. В конечном итоге здесь тоже всплыла проблема времени и согласованности нескольких процессов. Проблема очень общая и вероятно может проявляться и в других устройствах, а не только тех что администрирует автор.
    RADIUS accounting messages from Ruckus networks missing device IP address

    What can you do when the RADIUS accounting message doesn’t contain the device IP address? I share my pain with you so maybe you don’t have such a hard time with this problem.

    I Don't Know Squat About Networking
  • Патчкорд

    Почему самый первый ping в Cisco IOS терпит неудачу - сначала, все базовые принципы обмена данными в Ethernet/IP сетях, которые всегда полезно освежить в памяти тем кто про них знал. А потом, попытка найти причины этому - почему сделали именно так, а не иначе, с минуткой исторического экскурса. Интересный момент который упоминается, но не затронут сам по себе, то что вся процедура по всем уровням занимает очень много времени, больше 2 секунд. Это плата за работу центрального процессора, который должен сформировать пакеты с одной стороны, понять и сформировать ответ с другой стороны, а потом принять и понять ответ. И, в общем случае, его работа непредсказуема. Но первый запрос теряется далеко не везде.
    Illustrating Why the First ICMP Ping is Lost

    Whether you are learning about computer networking through practice labs or are a veteran network administrator, you may have noticed that occasionally, when you test reachability to a specific device with the ping command, the first packet is lost.

    Christopher Hart
  • Патчкорд

    И ещё немного технологий из прошлого. Я вскользь коснулся нескольких, многие что перечислены не вызывают у меня чувства ностальгии, конечно, исключая семиуровневую модель OSI, которая непонятно что в этом списке делает, и Novell NetWare. Но кому-то может будет больше знакомо, это к вопросу о том как много разных вещей происходит и изобретается каждодневно и как мало может быть известно отдельному человеку. Конечно, многое что было изобретено не исчезает бесследно, а становится частью чего-то другого, в виде идеи или даже реализации.
    10 Networking Technologies That You Probably Aren’t Using

    Because we don’t know how to stop doing lists of obscure or forgotten technology, here’s another one on dated networking tech. Apologies in advance.

    Tedium: The Dull Side of the Internet.
  • Патчкорд

    Накануне дня радио, статья про коммерческое коротковолновое радио, что с ним стало и почему оно всё ещё может быть интересно на взгляд европейских вещателей. Старые вещи и технологии не значит плохие, они проще и там где нужна простота и дешевизна про них вспоминают. К сожалению, DRM не стал повсеместно распространённым, а греть воздух без мгновенной отдачи и непонятным кругом охвата, слишком большим для целевой рекламы, мало кому нужно. Поэтому, скорее всего никакого ренессанса на коротких волнах коммерческого радио мы не увидим и это чем дальше тем больше будет оставаться в кругу любителей, но тут можно со мной поспорить.
    Shortwave radio proves simple, powerful — and necessary

    RedTech • Technology publication and platform created by multicultural professionals especially for the international radio broadcast and digital audio industries.

    RedTech
  • Патчкорд

    Никогда не поздно заняться безопасностью, тем более имея пошаговую инструкцию от NSA для Cisco. Там, на самом деле, ничего нового, то что все знают, но от этого важность этих вещей меньше не становится. Сделайте себе SNMPv3 - это не сложно, мы используем. Включите аутентификацию на BGP, а вот с этим почему-то проблемы, например, PSK для IPSec никого не смущает согласовывать, в котором кстати не следует использовать старые протоколы шифрования, а по поводу BGP делают удивлённые глаза. Выключение неиспользуемых портов и виланов, пальцы должны автоматом набирать, как и многое другое, что надо сделать чтобы хоть немного быть уверенным в своей сети.
    AlexRedSec

    АНБ выпустило руководство по безопасности сетевой инфраструктуры, содержащее описание современных методов обеспечения безопасности сети и сетевых устройств, приведены примеры настроек|команд для устройств Cisco.

    Telegram
  • Реклама

  • Патчкорд

    IPv4 vs. IPv6 FAQ

    This article attempts to resolve some of the most common misconceptions around IPv6.

    Tailscale
  • Патчкорд

    Как всегда, наиподробнейший обзор от Geoff Huston итогов 2021 года в IPv6 Интернете. Статья начинается с самого начала, с 1992 года, на случай если вдруг читатели совсем ничего не слышали про IPv6. Для всех остальных, возможность сверить часы до момента полного перехода на "новый" протокол.
    Another year of the transition to IPv6 | APNIC Blog

    Is there an end in sight for the protracted IPv6 transition?

    APNIC Blog
  • Патчкорд

    У нас часто появляются новости о внедрении RPKI и ROV, однако вот это мы пропустили - доля покрытых подписями прификсов в регионе RIPE превысила 50% и в IPv6 то же, и это случилось ещё в прошлом году. Оригинальный график взят из rpki-monitor.antd.nist.gov. Помимо него там ещё куча всякой статистики, по которой RIPE достаточно сильно обгоняет все другие RIR. Разбивки по странам нет, мы знаем что есть страны со 100% покрытием, зато есть TOP25 по AS куда попал Ростелеком AS12389. Ещё один интересный момент - Kentik, используя предоставленные данные своих клиентов, посчитал что большая часть трафика приходится на подписанные валидные префиксы, а доля трафика которая могла бы быть запрещена при включении фильтрации по недействительным префиксам составляет сотую долю процента. В статье с описанием результатов есть предыстория вопроса, а также ссылки на предыдущие замеры, показывающие другую картину.
    Юрий in РАНР

    #RPKI В RIPE регионе кол-во сетей со статусом VALID превысило 50%. Подробнее (Russian) Подробнее (English) Подпишите свои сети создав ROA в LIR портале Ripe https://my.ripe.net/ и защитите свои сети от перехвата.

    Telegram