Что происходит в IRR исследование RIPE Labs. Сравнили пересечения между разными реестрами, пересечения с реальными маршрутами, всё это с привязкой к времени жизни объектов, а так же как часто объекты меняются. Никаких особенных выводов, кроме того что IRR от RIR более правдивы.

Про nexthop в Juniper с полным погружением и путешествием по RIB, FIB и другим таблицам разных протоколов маршрутизации и MPLS.

Предпятничное, попало прямо в настроение, когда чувствуешь себя немного Ричмондом.

Зачищаю остатки в ACL и наткнулся на такие правила:

130 permit tcp 192.0.2.0 0.0.0.255 host 198.51.100.10 eq 80
140 permit tcp 192.0.2.0 0.0.0.255 host 198.51.100.10 eq 443
....
290 permit tcp 192.0.2.0 0.0.0.255 198.51.100.0 0.0.0.31
....
410 permit tcp host 192.0.2.15 host 198.51.100.10 eq 443
...
470 permit object-group WEB_SERVICES 192.0.2.0 0.0.0.255 198.51.100.0 0.0.0.31

И это типичная ситуация в больших проектах, когда изменения принимаются ситуативно. К такому приходишь почти всегда, даже тогда когда первоначально есть идеально проработанный план, а исполнителем и архитектором является всего один человек. Вопрос только в степени.

Это не решается автоматизацией, автоматизация поможет держать в одинаковом состоянии 1000 устройств, но это можно сделать и вручную, если изменения происходят не так часто. Это не решается и централизованным управлением a'la Cisco ISE или SD-Access, наличием source of truth. Как только груз накопившегося переваливает за возможность одному человеку охватить это за приемлемое время, изменения будут вноситься по факту, чтобы заработало здесь и сейчас без анализа всего предыдущего.

Чем больше людей вовлечено в этот процесс, тем система быстрее придёт к этому состоянию, потому что это не вопрос архитектуры и возможности вносить изменения, даже если всё это заложено изначально, то почти невозможно донести это понимание до каждого кто что-то меняет. С одним человеком степень этого будет меньше, но тут вопрос времени и частоты изменений тоже важен. Через год даже сам автор системы с трудом вспомнит заложенную в неё концепцию, не потратив на это достаточное время, но это надо захотеть сделать и потратить.

Добавим сюда фактор наименьшего необходимого в ИБ, когда каждому даётся ровно минимум требуемых для работы прав и линейный исполнитель может вообще не видеть конфигурацию целиком. Ведущий специалист не видеть то что делается в соседней команде и команды в целом не знать замыслов архитектуры, оставаясь только в рамках своих обязанностей. В этом случае мы буквально своими руками убиваем возможность не повторятся.

Рано или поздно, всё скатывается к мгновенным изменениям здесь и сейчас, чтобы работало, без оглядки на фундамент. Можно было бы вспомнить про Waterfall и Аgile и мир основанный на правилах "чистого кода" без запаха. Но не забываем, что даже в этом мире, нужен регулярный рефакторинг, включённый в эту концепцию. Но как и регулярный аудит, он мало помогает, фактически каждый раз приходится осознавать, считай проектировать, систему заново, что тоже в итоге приходит к ситуативным исправлениям.

Выход, заморозить систему и наслаждаться красотой построенного ничего не меняя, так мы сейчас смотрим на код первого Doom. Представьте, что все последующие версии были бы изменениями, а не новыми системами. Ещё можно жёстко ограничить вариативность, т.е. не давать внести изменения если что-то похожее уже было раньше, реализуемо, но тут у нас качество основанное на форме контроля, мы запрещаем себе помимо прочего делать улучшения вне заданных рамках, фактически заморозив систему.
Можно исключить человека, совсем, в некоторой степени это в том числе и разные графические интерфейсы того же SD-Access, когда накидываются высокоуровневые условия, реализуемые потом конфигурациями устройств, но тут уже мы имеем ситуативность в этих высокоуровневых правилах. Шаг который все хотят думать что заработает, как минимум, на него переключились маркетологи это ИИ, который сменил собой предыдущую маркетинговую штуку - автоматизацию. Делегируем и больше не смотрим что получается, своего рода страусиный подход, но вполне рабочий, думать о системе как о чёрном ящике с ИИ командной строкой. Признание того что все предыдущие методы не возымели успех.

Впрочем также можно поступать и без ИИ, не обращать на строчки приведённые в самом начале никакого внимания. Так работает эволюция в природе, каждое новое изменение делается не обращая внимание на то что уже было. Главное работает и даже не плохо, реальность слева больше похожа на хаос, чем на порядок справа.

Cloudflare накинули новый функционал на свои сервисы, но интересно другое "Secure the session by MD5 authentication to prevent misconfigurations." - таковы реалии BGP в которых мы живём 30 лет не сильно что-то поменяв. Большинство и MD5 не используют для своих пирингов, что впрочем не сильно сказывается на чём-то.

Пример настройки VXLAN/EVPN в корпоративной среде. Когда технология получается, то зачем ограничивать себя рамками и условностями, что это только для ДЦ или только для провайдеров. Провайдеры в этом смысле вообще всеядные, вбирают в себя всё что можно вобрать, конечно обладая рядом специфических технологий. Главное, чтобы дёшево масштабировалось на тысячи и тысячи устройств и VXLAN в этом плане, внезапно, интереснее чем MPLS, как минимум в рамках города, о чём мы говорили на Patchcord connect в прошлом году.

Любую информацию можно использовать, чтобы узнать чуть больше про вас и вашу сеть, не забываем про это. Геолокация по BGP комьюнити, работает с точностью 70км, если вообще такая информация кодируется в комьюнити. В публикации, чуть подробнее.

Увлекательные истории из не такого далекого прошлого, про Commodore AmigaOS и IBM OS/2, когда каждый был в силах написать свой собственный язык программирования и операционную систему. А то что всё это похоже, так идеи общие, летают в воздухе, повод пересмотреть "Пираты силиконовой долины".

Вспоминаем что падало в 2025. Если не выключаете VPN, то можно и оригинал почитать.

Как пользоваться инструментами командной строки ss и nstat, с объяснением куда смотреть и что это значит, на примере отладки TCP.

В конце концов это доберётся до прода - среда передачи как способ хранения данных, вот и John Carmack уже это озвучивает в приложении к нейронным сетям. А мы, смахиваем слезу и вспоминаем про pingfs, и DNSFS, и роутер без памяти.

Пока у нас всё ещё фаза новизны LLM, когда новые решения и применения возникают быстрее чем успевают уйти старые, фаза когда мы плывём вперёд не думая что у нас не хватит сил вернуться, да и возвращаться никто не собирается, фаза когда существуют только абсолютные, полярные мнения.
Одно из них, что LLM нам всё решит, это возможность обнулиться, избавиться от технического долга, переписать всё заново, стать лучше чем сейчас. И второе, чтобы сломать много ума не надо, давайте не будем ломать то что уже построили. В общем случае, мнение подростка и мнение побитого жизнью человека.
Статья про LLM в разработке ПО из второй категории, мысли на тему с указанием на сложности переломного момента, когда хочется быть тем самым подростком, но жизненный опыт просто так на свалку не выкинешь.

Сетевые тренды 2026 года, составителям было явно сложно найти что-то кроме ИИ, но в общем выкрутились: Wi-Fi 7, SONiC, безопасность и высококлассные сетевые специалисты.

Тем временем уже 1% процент автономных систем имеет ASPA-запись.

https://bgp.he.net/report/rpki_and_aspa

Спасибо за наводку @serverX

Второй день торможение загрузки/выгрузки файлов ТГ стало запредельным. Трафик сервиса еще есть, но надолго ли?

Мотивация таких действий по намекам депутатов и других инфоактивистов, не имеющих прямого отношения к принятию решений по ограничению - медленное реогирование ТГ на борьбу с преступниками.

Но с такой мотивировкой любой производитель или распространитель контента, сервисов, товаров может быть заторможен и ограничен. Любой.

А официально никто ничего никому не сообщает. И не отчитывается, что же и как улучшилось от очередных ухудшений.

Вместо контента - ИИ котики. Вместо информации - фейки и флуд. Вместо анализа намеки и умный вид. Вместо сервисов - робот-зануда и колцентр, который на конкретные вопросы не отвечает…

Здравствуй цифровой мир будущего. Как мне научиться любить тебя?

https://www.rbc.ru/technology_and_media/10/02/2026/698afe729a79470c08a17b91?from=from_main_1

А вы включаете аутентификацию для своих протоколов маршрутизации? Конечно, каждый вендор какую-то особенность да добавит, например, Palo Alto значения SPI для OSPFv3 принимает в шестнадцатиричном формате.

Whois через DNS в представлении Geoff Huston - ipasn.net. Принадлежность, Origin, RPKI, IPv4 и IPv6, есть вывод в JSON и запрос по доменному имени.

$ dig +short TXT ::1.ipasn.net

"::1|IPv6|UNADVERTISED|ZZ|Unassigned|iana|::/8|ietf|1996-08-01"

Состояние RDAP, который на замену Whois. Интересно, что рост, фактическое замещение, началось когда требование к регистраторам и операторам доменов первого уровня по поддержке Whois было снятно с января 2025 и сервис стали сворачивать, оставив доступ только по RDAP.

У Eltex есть совершенно замечательный

eltEsrBgp4V2PeerDescription - 1.3.6.1.4.1.35265.1.147.2.4.1.3.1.1.13

чтобы делать красивые триггеры и подписи в системах мониторинга с именем провайдера или любым другим, сама строчка описание задаётся в настройках соседства в конфигурации. Конечно, это вендорская ветка, поэтому шаблоны придётся написать самим, но тут не сложно и не надо ничего городить как в Juniper и Cisco. В Huawei тоже можно задать описание соседа, но нужного OID нет. А в Palo Alto вообще нет мониторинга BGP по SNMP, там приходится городить гораздо больше.