Тест вашего DNS по доменному имени на предмет актуальности и безопасности: открытые резолверы, DNSSEC, IPv6, TTL, служебные записи.

Спутники это вам не наземные сети. Фактор движения и постоянное перемещение между наземными станциями сильно портит всю логику работы существующих механизмов контроля перегрузок. Для решения проблемы, как всегда, предлагается новый механизм, осведомлённый об этих особеностях спутниковой сети.

У меня был чёткий момент когда я понял что такое интеграл, вот прямо понял, а не делал формальные заученные действия по преобразованию. И этот момент, когда у нас началась вычислительная математика и, собственно, методы прямоугольников для вычислений определённых интегралов. А уже потом, это распространилось и на общее абстрактное понимание. Я не делал это на JavaScript, но там тоже можно, плюс ещё оценка ошибки и необходимые поправочки.

После того как мы построили корпоративную сеть как провайдера на границе с Интернет, можно поговорить и про защиту от DDoS. Самостоятельно, без внешней анти DDoS услуги скорее всего ничего не получится, надо было бы стать очень большим провайдером, но родные механизмы Интернет внедрёные в сети, мониторинг и постоянная готовность к атаке должны помочь пережить её с меньшими последствиями. Blackholing вещь несомненно рабочая, но разве не этого добивается атакующий?

Методов сканирование IPv6 уже достаточно много и даже вполне успешных. Про сканирование адресов подсетей, вроде, уже обсуждали. Способ рабочий, потому что роутеры на эти адреса могут отвечать, получать запросы, так уж точно RFC1884:

The "subnet prefix" in an anycast address is the prefix which identifies a specific link. This anycast address is syntactically the same as a unicast address for an interface on the link with the interface identifier set to zero.

Packets sent to the Subnet-Router anycast address will be delivered to one router on the subnet. All routers are required to support the Subnet-Router anycast addresses for the subnets which they have interfaces.

Осталось только подсети подобрать, зная человеческую природу стремления к красоте и пролистывая BGP маршруты.

Если принять что программное обеспечения никогда не даёт сбоев и делает ровно то, что в нём было запрограммировано - значит признать, что все сбои уже были заложены на этапе проектирования. А вот как быть с этим признанием и поможет ли оно сделать программное обеспечение более надёжным, вопрос открытый.

Как на Juniper SRX подгружать списки IP адресов в правила файрвола с веб сервера: примеры и тесты.

Балансировка по портам это ещё не всё, за ней стоит собственно аппаратное решение. На картинке то, как выглядит балансировка между процессорами на Eltex ESR.

CPU0 - это контрол плейн, BGP, и вот это вот всё. Дальше трафик среди которых выделяется CPU17. Туда попал туннель GRE про который не знает маршрутизатор, для него это просто трафик между двумя хостами, в котором даже порты не меняются. Одна из неприятных особенностей туннелей. В Eltex можно посмотреть кто же самый жирный потребитель процессора по трафику командой show cpu network-load.

Микрословарик акронимов от ARIN, помимо общеупотребимых, есть и специфические внутренние.

Настройка EVPN c VXLAN для Cisco Catalyst, во второй части в режиме c резервированием. Как мы поняли из нашей весенней встречи - VXLAN интереснее чем MPLS, железок с поддержкой больше и они доступнее по цене.

VXLAN VXLAN'ом, а как насчёт чистой L3 маршрутизации без лишней L2 прослойки. Ловим ARP или NDP и превращаем в BGP маршрут. В статье только концепт в ручном режиме, но нужные инструменты названы.

Заворачиваем исходящий трафик в XDP, через veth, только не забываем сделать то что должно было сделать ядро, если бы мы его не пропустили мимо.

Про Ansible, Open source и всё-всё-всё, главное в комментариях.

Ежегодный отчёт Cloudflare Radar. Общий трафик вырос на 19%, у Starlink тоже вырос, Android победил iOS, десктоп победил мобилу, боты побеждают человека и больше всего их в США, Go победил Python в качестве API backend, HTTP/2 половина, а HTTP/1.x больше HTTP/3, IPv6 есть, а в TLS1.3 победило постквантовое шифрование, DDoS растёт, 6% писем могут быть вредоносными. Это глобальные тренды, но можно посмотреть и по странам, где всё может быть совсем не так.

Вдогонку, тесты и статистика IPv6 - ipv6.army. Новый сайт, иногда не работает.

Любая сфера обслуживания нацелена на среднего потребителя, типичного. Не важно что это за сфера и насколько широкий её охват, от банков и Интернет провайдеров до производства штучных лакшери вещей. 80% запросов будут однотипные, 15% вообще мимо, оставшиеся 5% сложные, цифры из личного мироощущения, не цепляйтесь к ним сильно. Под эти 80% настраиваются процессы, подбирается команда специалистов способных решать средние запросы. Индивидуальный подход, если у вас нет личного пожизненного закреплённого за вами менеджера, который больше партнёр чем менеджер - это быстро распознать те 5% нетипичных запросов и свернуть с проторенного пути в сторону их решения. Но так делают хорошие компании, подавляющее большинство компаний - средние. Они проходят весь путь типичных запросов и потом, может быть, выйдут на путь отработки уникальных, а может и нет.

Как это выглядит на практике. Вы же помните что у меня ДОМ.РУ. Сломался Интернет, я этого не заметил, потому что сломался он в виде 300Мбит/c вход, 3Мбит/c выход. Для моих нужд хватает, но в случае заливки картинок, например, в мессенджер, заметно тормозит. Когда я на это обратил внимание через несколько месяцев, естественно, пролез всё что мог пролезть: смена устройств, смена роутеров, Wi-Fi, кабель, разные бразуеры, не браузеры, попробовал менять скорость подключения 10/100/1000 Full/Half, настолько мне не хотелось звонить провайдеру - везде одно и то же, на вход отлично, на выход никак.
Шаг второй, пишем провайдеру в ЛК (там, по прежнему, приглашалка годичной давности). Конечно, робот, который пытается решить 80% средних проблем, ему это не удаётся.
Шаг третий, робот зовёт человека, который тоже хочет решить 80% средних проблем, и я уже в третий раз, перезагружаю роутер, тестирую скорость, меняю браузеры. ДОМ.РУ сделал программу-тестилку, которую меня попросили скачать и запустить, но она работала так долго, что оператор ничего не спрашивая сказал, что слишком долго от меня нет ответа, как будет вернитесь в чат, а я отключаюсь.
Шаг четвёртый, возвращаемся в чат и попадаем на робота, что возвращает нас к первому шагу, проходим всё по кругу четвертый раз.
Шаг пятый, робот не может позвать человека, потому что нет свободных операторов, повторяем Шаг четвёртый, до момента когда такой оператор таки появился.
Шаг шестой, оператор, решая средние проблемы, смотрит в диагностику, которую прислала программа-тестилка и мы ещё раз проходимся по настройкам сетевого стека, в частности, смотрим скорость и дуплекс, которые, видимо, программа-тестилка собрать не смогла.
После 2 часов, серьёзно, наконец, мы добираемся до ситуации что это не средняя проблема пользователя, это всё-таки проблема на стороне оператора и нужен выезд техника. Тут надо отдать должное, что выезд был назначен в тот же день, буквально через 3 часа.
Шаг седьмой, конечно, теперь техник, решая среднюю проблему, проделал ровно то, что было проделано уже 5 раз до этого: менял браузеры, оборудование, роутеры, скорости, потому что средняя проблема в провайдере это проблема на стороне абонента и в среднем делать по другому выйдет дольше. В итоге, пошаманив в ящике с оборудованием, всё стало работать как надо.

Вот такой средний мир, наверное через чур уж средний, выделится на фоне которого не так уж и сложно, надо иметь, действительно, чуть более индивидульный подход, который не только на словах. Ещё один момент, помните про QoE и всякие привентивные меры, когда провайдеры рекламировали, что заранее узнают о проблемах абонента и чинят до того как абонент к ним обратился. Ни намёка на эту тему, учитывая сколько диагностики пришлось собрать. А проблема, наверняка, была бы видна в таких системах, уж очень заметный перекос между направлениями трафика, скорее всего и окошки TCP поплыли, и повторные передачи и ошибки. Но нет. Возможно, таких проблем действительгно очень много, а ресурса чинить всем, наоборот, не много, поэтому ждут пока абонент сам прибежит, или не прибежит.

З.Ы. Я этот текст хотел написать в ЛК после разговора с оператором, но поле для ввода оценки уж очень короткое, тоже заточенное под средний ответ, наверное, матерный.

Какой BGP демон лучший по разным показателям, подробный обзор с NANOG95. Большое спасибо за наводку нашему подписчику. Представлены: Bird, FRR, RustyBGP, holo-routing, OpenBGPD, GoBGP, ExaBGP.

Настоящей классики вам, вечной.

Пришла зима, жди беды. 😢