Вот такой Juniper. Большой.
Но какая бы ни была железка тестовое окружение везде одинаково, и провисающие патчи - норма :)

Кто-то ещё пользуется ifconfig в Linux который как минимум лет 10 не актуален. Два путеводителя по миру администрирования Linux сети от Bert Hubert и Martin A. Brown.
Второй значительно подробнее, но оба хороши. Жаль что не встретились мне в то время, хотя конечно тогда я был другим увлечён. С другой стороны RHEL (Centos) 6 ещё в строю, а там ядро 2.6.

У меня иногда (а это уже часто, раньше такого не было) спрашивают сколько стоят IPv4 адреса. Вот тут цены c марта этого года. Цена за один адрес - купить навсегда, не аренда. Это аукционная стоимость, т.е. она несколько завышена по сравнению с прямыми договорённостями, но картину отражает.
Но эта цена когда адреса есть, а они ещё есть, цена когда их не будет или устремится в космос или к 0 (из-за IPv6). Вот где рискованные инвестиции.

Всё, Google включил DNS over TLS на 8.8.8.8. kdig это dig в версии Knot DNS, пакет называется knot-dnsutils, надо последних версий. Ещё в Android Pie можно переключить настройки DNS в приватный режим. Или по простому сделать telnet на 853 порт и получить бинарный ответ, убедившись что нужный порт на DNS сервере открыт.
Вклинится и подменить запрос/ответ уже невозможно. Я думаю остальные подтянуться быстро, главное чтобы клиенты ещё подтянулись. С Andoid понятно всё, кто его делает, но осталось ещё много помимо него.

Ко вчерашней новости про DoT статья на хабр нашего подписчика, как настроить на MacOS. Но в общем универсальный подход: делаем обычный (без TLS) локальный резолвер, а уже он сам использует DoT.

​Значки для сетевых диаграмм, есть для Visio и svg. Автор пишет что делал в современном стиле, а ни как из 80-х.

Новая карта всего Интернета не стену за 2018 год. Всего 250 долларов. Но можно посмотреть онлайн https://global-internet-map-2018.telegeography.com - ёмкость, цены, ведущие провайдеры, абоненты, прогнозы.

​Проект для обкатки IPv6 DNS экосистемы. Можно подключиться в качестве одного из root серверов или использовать эти серверы для повседневной работы. Соответствующие инструкции есть на сайте.
Для истинных энтузиастов, которых, судя по статистике совсем немного.

Вот ещё крутая презентация с RIPE77 про атаку на VXLAN. И видео.

Так как протокол сам по себе не поддерживает встроенные механизмы безопасности, т.е. отдаёт это на транспортный уровень (и это касается очень многих протоколов и, вообще, это unixway) то становится возможным делать очень интересные вещи, по сути внутри L2 сети, но из Интернета. Потому что транспортный уровень у нас стек TCP/IP и вот всё что возможно с ним сделать, в первую очередь спуфинг, можно сделать и внутри VXLAN (L2).
Итого для параноиков, сначала защищаем весь трафик внутри VXLAN от L2 до L7, а потом делаем то же для сети по которой VXLAN бежит - VXLAN in TLS over IP.

​HTTP/2 используется уже достаточно широко, а вот Server Push не очень. Механизм Server Push позволяет отправить данные до того момента как их запросит клиент, например, отправить файл CSS или графику в момент запроса index.html обходясь без самого момента запроса конкретного ресурса, экономя время.
Но вопрос экономит ли это на самом деле время и что надо сделать чтобы экономить - увеличить скорость загрузки страницы. Большая статья по этому поводу c исследованиями в лабораторной среде и на живом Интернете. И ситуация 50 на 50, всё очень сильно зависит от ресурса, его структуры и выбранного содержимого которое отправляется в Push. Например, Wikipedia удаётся значительно увеличить время загрузки страницы, а CNN наоборот при использовании Push его снижает.
Иными словами просто так включить не получится, придётся экспериментировать или думать. Но инструмент есть, осталось научиться его использовать.

Peter Welcher про дизайн сети, в основном в рамках подхода Cisco ACI. Несколько принципов и объяснение позиции. Самые дискуссионные: не маршрутизируйте на серверах, виланы полезны - но там написано почему такой дизайн имеет место быть. Будьте проще.
Про документирование очень хорошо написано. Специалисту (инженеру) часто свойственно зарываться в детали, итогом получается что общая картина (если не поддерживать адекватный уровень документирования) теряется, что в итоге приводит к умножению деталей и усложнению всей структуры. А если вы не можете понятно описать дизайн сети, то вероятно он не такой хороший.

Сходите ещё на Design Zone Cisco, где много документов описывающих как надо проектировать сети: диаграммы и парадигмы на разные случаи. Ссылки или на документы или на другие статьи на Cisco.com.

Набор вариантов отпечатков ответов HTTP различных систем с открытым доступом и доступом по умолчанию для nmap. Стандартная поставка nmap включает подобный файл на 50 отпечатков, но здесь расширенная версия на 319 вариантов.
Как запускать есть в описании, если что-то найдётся при сканировании, то на выходе будет соответствующая подпись.
Собраны известные и не очень (мне) сервисы и устройства. Однако никто не запрещает добавлять своё, и не запрещал, поэтому данный вариант и появился. Способ проверить свою сеть на забывчивых админов и клиентов.

Биткоину 10 лет вчера было. Страаашшшннно?

Немного информации о том, как положить циску:
https://xakep.ru/2018/11/01/asa-ftd-flaw/

Материалы многих и очень многих конференций по безопасности в одном месте. Я мельком слышал только о некоторых, но их гораздо больше. Ссылка ведёт на веб каталог, внутри в основном видео.

Щёлкнул вчера по ссылке на linkedin.com и понял - что-то сломалось. Конечно сломалось уже давно, когда сайт попал в чёрные списки РКН. Но IPv6 работал, а недавно (не такой я частый гость Linkedin) перестал потому что:

$ curl.exe --head linkedin.com
HTTP/1.1 302 Moved Temporarily
Location: http://lawfilter.ertelecom.ru

$ host lawfilter.ertelecom.ru
lawfilter.ertelecom.ru has IPv6 address 2a02:2698:a002:1::3:17

ДОМ.RU включил фильтрацию на IPv6. Не знаю только в моём регионе или везде, но судя потому что на другом PPPoE концентраторе фильтрация не включена, то пока это тесты. Сам фильтр стоит где-то сбоку (может не только), потому что реальный ответ от Linkedin всё равно приходит, но не успевает:

15:06:38.519901 IP6 (hlim 126, next-header TCP (6) payload length: 249) linkedin.http ertelecom.9657: Flags [P.], cksum 0x9e5c (correct), seq 1:230, ack 78, win 65534, length 229: HTTP, length: 229
HTTP/1.1 302 Moved Temporarily
Location: http://lawfilter.ertelecom.ru

15:06:39.088585 IP6 (class 0x70, hlim 56, next-header TCP (6) payload length: 149) linkedin.http ertelecom.9657: Flags [P.], cksum 0x7fea (correct), seq 1:130, ack 79, win 16, length 129: HTTP, length: 129
HTTP/1.1 301 Moved Permanently
Location: https://www.linkedin.com/

И знаете, это на самом деле хорошая новость. Чёрт с ней с фильтрацией, IPv6 с этим проще потому что все адреса публичные и можно строить красивые асимметричные каналы практически без потери качества, так как в подавляющем большинстве случаев фильтруются только исходящие запросы. Или пошаманить с локальными фильтрами, или... кто ищет тот всегда найдёт.

Это значит, что большая инженерная задача и головная боль в нашей действительности решена или почти решена. А-а-а-а-а, ещё СОРМ :-(. И для включения IPv6 рядовому предприятию перед менеджером больше не стоит барьер в виде админа за спиной, над которым висит Дамоклов меч штрафа за пропущенные ссылки от РКН (не знаю висит ли он в ДОМ.RU). Всё перемещается в рамки договорных отношений - количество сетей, цена и другие вопросы - просто бизнес. Может быть слишком оптимистично, может быть... может быть... но почему-то мне кажется что это именно так.

TCP/IP 45 лет. Прикоснуться к живой истории можно вот тут. На первой странице есть точная дата - когда получен, кто заказал и кто разрабатывал, но эту историю сложно не знать.

Пока RPKI не совсем рабочий инструмент фильтры надо строить самим. В пиринговых отношениях или когда подключаем клиента, без фильтров - опасно. Было бы желание.

Пример того как это можно сделать на Микротик. Используется готовая утилита IRRPT (нужен PHP), которая из публичной базы данных Интернет ресурсов (по умолчанию radb.net) получает нужные сведения. Не забываем про вопрос актуальности этих баз, на это надо обязательно делать скидку.
Для Микротика нет готового формата вывода, но есть для многих других устройств: cisco, ciscoxr, extreme, foundry, force10, juniper, edgeos, huawei. В статье, как раз, приводится нужный скрипт генерирующий требуемые фильтры.

Для генерации фильтров есть ещё bgpq, если вы не успели написать что-то своё или не строите фильтры вручную.

В конце прошлой недели проходила ACM Internet Measurement Conference 2018. Очень серьёзное мероприятие. На labs.ripe.net текстовый репортаж со ссылками на работы. Часть ссылок не открывается, поэтому ищем прямо на сайте sigcomm.org. Каждая работа большое исследование, поэтому читать и вникать придётся много. Кое-что я себе в закладки положил.

Скрипт от сетевика (от программистов никакой помощи), всё в духе автоматизации всего.

Задаём свою ASn и ASn с кем хотим установить пиринговые отношения. По базе PeeringDB происходит поиск точек присутствия обоих операторов (конечно если они их обозначили). После чего можно выбрать для каких точек сделать шаблонный конфиг. Поддерживается формат Cisco IOS или XR, IPv6.

$ python peerpal.py -l 12389 -p 6939

The following are the locations where Rostelecom and Hurricane Electric have common IPv4 presence:
(IPs for Hurricane Electric are displayed)
1: DE-CIX Frankfurt - 80.81.192.172
2: LINX LON1 - 195.66.224.21
3: AMS-IX - 80.249.209.150
4: Netnod Stockholm - 194.68.123.187
5: NL-ix - 193.239.116.14
6: Equinix Tokyo - 203.190.230.40
7: BBIX Tokyo - 218.100.6.74
8: Exchange_Number_1322 - 103.203.158.51
9: Equinix Hong Kong - 119.27.63.8
10: DE-CIX New York - 206.130.10.8
11: HKIX - 123.255.91.158

Бонусом получаем список IX где присутствуют оба оператора. В примере для Ростелекома и HE.
Почти все параметры задаются в файле конфигурации, их не много но без них практически никуда. Поэтому внимательно читаем README на GitHub. Написано на Python и получилось действительно полезно и просто, можно менять под свои нужды.