Bird 2.0 подоспел, налетай!

Наглядная схема про что к чему в Zone Based Firewall на densemode.com. Сам по себе механизм решает много проблем, так как использует stateful механизмы при анализе трафика.

BGPMon опять увидел некорректные анонсы в BGP - трафик Microsoft, Twitch, Facebook и других развернулся в сторону одного из дальневосточных операторов. Не аккуратное поведение, отсутствие опыта, плохое планирование часто приводит к катаклизмам в сетях с разными протоколами, просто BGP глобально и это сразу становится заметно всем.

Достаточно любой мелочи, вот как у нас например, route-map который фильтрует анонсы по префикс листу во внешний мир:

route-map RM2OUT-Upstream2 permit 10
match ip address prefix-list AS64511-PUBLIC

если захотеть добавить препенд и написать:

route-map RM2OUT-Upstream2 permit
set as-path prepend 64511

То все маршруты из BGP, не только все наши, но и все полученные от других соседей выльются наружу - организовали route leak. Фильтр не сработает, так как результат получился вот такой:

route-map RM2OUT-Upstream2 permit 10
match ip address prefix-list AS64511-PUBLIC
route-map RM2OUT-Upstream2 permit 20
set as-path prepend 64511

А всего-то забыли во втором случае написать 10, после permit.
Ситуацию исправил явный route-map RM2OUT-Upstream2 deny 1000 в конце, что справедливо не только для route-map, но и для prefix-list и acl, т.е. если даже забыли написать номер правила то оно вставится после deny и не будет играть никакой роли.

C BGP hikacking (анонсы чужих префиксов от своей AS) как это увидел BGPMon, не сильно сложнее, где-то сломали редистрибьюцию по такому же принципу и всё.

Поэтому быть невнимательным не стоит, не стоит надеяться на фильтры у вышестоящих операторов, не стоит спешить и тогда ваши клиенты и вы сами останетесь довольны, а таких новостей будет поменьше.

Про Интернет который меняется в блогах на APNIC.net. Неожиданно, даже про Сноудена есть.

Про QinQ по делу. Если используете то надо увеличить MTU, не забыть вытащить служебные протоколы наружу. Иногда, ether-type потюнить, но в целом решение рабочее и полезно, главное не запутаться в схемах. В минимальном виде на Cisco, примерно так:

interface GigabitEthernet1/0/9
switchport access vlan 319
switchport mode dot1q-tunnel
l2protocol-tunnel vtp
l2protocol-tunnel stp

Всё упакуется в 319 вилан. С другой стороны магистрали можно всё распаковать или приземлить на роутер:

interface GigabitEthernet0/1.319
encapsulation dot1Q 319 second-dot1q 21-89

Шпаргалка по IPv6 - утилиты, ресурсы, основы. Обновлена 7 месяцев назад, принципиально за это время ничего не поменялось.
С IPv6 уже не возможно не столкнуться, поэтому его надо просто взять и использовать.

​Тестируем зону для домена с zonemaster.net. Много результатов, даже очень много, включая проверку синтаксиса, SOA параметров, проверку принадлежности мастер серверов одной ASn. Можно выбирать разные профили для теста, русскоязычный интерфейс есть ;)
Единственное, иногда случаются глюки - тесты не добираются до конца с первого раза, но со второго добираются.

Вот тут пресcрелиз, про то что Эльбрус обзавёлся настоящей операционной системой, которую будут поддерживать и обслуживать - ОС АЛЬТ. Не нашёл у них на сайте подтверждений, но в прошлом году на конференции немного было рассказано про процесс и продолжение уже в этом году.

В какой-то момент в процессе эксплуатации сети встаёт вопрос: "А сколько трафика мы потребляем?". Часто прямого ответа нет, поэтому приходиться снимать flow на коллектор, или данные с интерфейсов, или RADIUS, пропустить через DPI...
Но один простой вариант доступен прямо из консоли Cisco маршрутизатора и называется он ip accounting:

Router# show ip accounting

Source Destination Packets Bytes
172.16.19.40 192.168.67.20 7 306
172.16.13.55 192.168.67.20 67 2749
172.16.2.50 192.168.33.51 17 1111
172.16.2.50 172.31.2.1 5 319

Можно видеть узлы источника и назначения и количество переданных пакетов и байтов. Предварительно надо включить на интерфейсе и всё будет сваливаться в одну табличку, поэтому надо включать аккуратно, чтобы трафик дважды не посчитался.
Бонусом можно видеть трафик с привязкой не по IP, а по MAC адресам. В общем, когда привыкаешь, уже сложно отказаться.

На Радио-Т сегодня про OpenSSH в Windows говорили вроде. Сам не слушал, но в темах есть, ссылаются на блог STH от 1 декабря. Microsoft 15 опубликовала.
Полез проверять - действительно, можно поставить: есть клиент и сервер. Поставилось в System32\openssh, полный набор.

PS C:\Windows\system32\openssh> .\ssh.exe -V
OpenSSH_7.5p1, without OpenSSL
PS C:\Windows\system32\openssh> dir

Каталог: C:\Windows\system32\openssh

LastWriteTime Length Name
—---------— —---- ——
17.12.2017 23:37 Logs
28.09.2017 15:49 322048 scp.exe
28.09.2017 15:49 390656 sftp.exe
28.09.2017 15:49 521728 ssh-add.exe
28.09.2017 15:49 612352 ssh-agent.exe
28.09.2017 15:49 599552 ssh-keygen.exe
28.09.2017 15:49 851456 ssh.exe
28.09.2017 15:49 3520 sshd_config

От Putty отказываться не будем, но теперь если что, инструмент всегда под рукой есть.

Кто-то сделал выгодную покупку или с другой стороны кто-то выгодно продал IPv4 адресов. Последние два месяца по статистике RIPE очень выделяющийся пик, по передаче адресов между LIR или от LIR абонентам - около 183 сетей по /16.
Рынок дорос до массового спроса? Признак настоящего конца адресов? Или их на биткоины меняют?

​Вау! шпаргалки на packetfilter.net. Периодически делаю и печатаю по маскам подсетей, теперь буду отсюда брать. Есть ещё много по разным протоколам и технологиям, забрать можно сразу архивом или скачать понравившиеся.

В копилку общедоступных сервисов проверок https://pulse.turbobytes.com. Можно выполнить DNS запрос, HTTP или трассировку. Примечателен тем, что позволяет выполнять запрос сразу со всех узлов в своей сети одновременно, сейчас 64 узла по всему миру.
Также, проекту можно помочь и поставить узел в своей сети.

Для сбора netflow можно не думать и поставить Nfdump, можно что-то поискать ещё, главное определить цели. Обзор некоторых коллекторов можно найти в статье на Forwarding Plane, но в итоге читателя знакомят с решением от Manito Networks для сбора и анализа Netflow v5 и v9, IPFIX и sFlow.
В нашей сети Netflow, это в первую очередь механизм сбора соответствий cgNAT трансляций для BRAS. И Nfdump (совсем не оригинально) только интерфейс из которого уже всё попадает в базу по которой строится весь анализ. Система живёт и здравствует усилиями одного разработчика, за что мы ему постоянно выражаем благодарность :) что, тоже наверное, совсем не оригинально иметь собственные инструменты для анализа netflow.

Медитативная новогодняя инсталляция. Посылаешь IPv6 пинг, а в ответ вместо reply лампочка загорается. В прошлом году 100Мбит/c канал был в полку, в этом до 1Гбит/c.
Пинговать надо адрес в формате 2001:6a8:2880:2018::RR:GG:BB

DHCP бывают разные :)

"Evolving" технологии в рамках CCIE курса - самописный конспект порядка 100 страниц, можно качать и использовать без ограничений. Не знаю прямо доберусь ли разобрать внимательно, но в закладках оставил.

10 лет назад я был категорически против универсальных *nix решений в качестве части ядра сети. Хотя именно в то время в том месте где я работал полисер для более чем 20000 абонентов онлайн и бордер как раз работали на FreeBSD и Linux соответственно. А у нас был очень, очень толковый *nix админ.
Теперь мне нравится универсальность, да и знаний с опытом поднакопилось, чтобы такие решения понимать и обслуживать, поэтому я готов пробовать что-то на универсальных процессорах и операционных системах. Если конечно к тому времени всю нужную мне гибкость производители сами не встроят в своё оборудование - вот так на лету можно патчить Catalyst 9300 - долой перезагрузки! Даёшь проверку и закачку обновлений прямо с сайта!

Видно же когда лето, а когда оно само охлаждается. И это юг России. Что там в Калифорниях происходит со счетами на электричество, страшно представить.

Понятным английским языком про то как начинает работу IKE - буквально обзор первых четырёх пакетов. Подробности обещают потом, надеюсь не слишком усложняя в сути, чтобы наконец-то разобраться поглубже.