SETI приостанавливает свою работу, новость начала марта, но стоит того чтобы к ней вернуться. 20 лет работы, невероятная цель и возможность участвовать каждому желающему. Всегда, где-то на границе моего сознания и памяти было ощущение грандиозности проекта, я не помню когда я о нём услышал, но точно не позже 3 или 4 года существования и даже поучаствовал чуть-чуть. Я знал что SETI работает, а значит есть кто-то, кто верит в мечту и ты можешь верить вместе с ними. И почему-то казалось, что это есть и будет всегда, ведь мечту нельзя остановить. Наверное, сейчас другие мечты - пишут что все данные посчитаны, надо провести анализ и написать статьи, а есть ли внеземной разум или нет, науке про это неизвестно.

​Вряд ли те кто использует Routinator 3000 никак его не мониторили, но вот тут официальный дашборд для Grafana выложили. Так что можно использовать, сначала поставить Routinator, конечно, если ещё не поставили. Его использовать важнее - от проверки RPKI уже никуда не уйти.

Статья про то, что DHCPv6 не нужен (стащил ссылку у linkmeup). И в Google так считают.

В основном, написано про то как собирать и отслеживать уже существующую информацию, про Radius accounting, логирование, про безопасность и авторизацию, которая реализуется NAC. Что правильно, но как эти данные назначить и передать хосту? За пределами назначения DNS полномочия IPv6 SLAAC кончаются, да даже DNS является дискуссионной опцией.

DHCP не обеспечивает синхронность состояний, конечный хост может произвольно поменять или игнорировать любые параметры от DHCP, но DHCP позволяет централизованно осуществить рассылку нужных хосту параметров и это уже далеко шагнуло за границы IP как такового. Упомянутый в статье NTP это как торчащие ушки большой проблемы централизованного управления большим набором конечных устройств.

Конечно, для этого есть AD или TR-069, или если уж на то пошло SD-* решения. Поэтому, ни капли не защищая DHCP - он не обеспечит ни безопасность. ни контроль состояний, ни гарантию применения параметров - не используйте его в этих целях. Но, DHCP рабочее решение прямо сейчас, которое поддерживается подавляющим большинством устройств и позволяет как минимум попытаться определить границы и передать те начальные значения в которых устройство должно работать. А уже потом можно включиться и взрослым ребятам с аккаунтингом и мониторингом и автоматизацией и авторизацией по сертификатам, чтобы контролировать эти границы, которые для начала должны быть обозначены. И пускать этот процесс на самотёк так себе идея.

Другой вариант как передать адрес сервера начальной настройки или другого сервиса без DHCP - DNS и сказать что это лучше, никак нельзя. Сколько уже разных вариантов service discovery туда прикрутили и сколько из них хотя бы минимально совместимы между собой? DNS ещё более резиновый.
Или, размазать выдачу адресов конечным хостам на сотни разных сетевых устройств, для каждого из которых придётся менять настройки, вместо централизованного управления DHCP. Это не проблема в эпоху тотальной автоматизации можно управлять и 10 000 устройствами одновременно, но всё сразу ломается когда это будет хотя бы 100 разных версий одного вендора, не говоря о 100 разных вендорах - типичная ситуация с абонентскими подключениями в провайдере, где каждый абонент сам по себе.

DHCP удачно объединяет в себе многие функции. В статье эти функции по отдельности расписаны и для реализации которых надо поднимать несколько разных систем вместо одной, пусть плохой, но рабочей. Рано его ещё хоронить, светлое будущее непосредственного управление каждым устройством в сети конечно наступит, но не прямо сейчас. Но не стоит забывать что всему своё место и решать задачи надо теми инструментами которые для них предназначены, у DHCP такие задачи всё ещё есть.

Бесплатный доступ к онлайн-курсам вузов России

Министерство науки и высшего образования (Минобрнауки) подготовило перечень бесплатных онлайн-курсов от основных российских вузов. Перечень включает свыше 600 курсов от МГУ, СПбПУ, МИСиС, УрФУ и других университетов и институтов.

https://minobrnauki.gov.ru/ru/press-center/card/?id_4=2473

Список курсов - https://minobrnauki.gov.ru/common/upload/library/2020/03/Spisok_onlayn-kursov_20200316-03.pdf

MSK-IX предлагает порты в тест на 3 месяца, я думаю не стоит отказываться у кого есть такая возможность. У нас есть потребность, но возможность не очень есть.

Честно, я не увидел сильных аномалий на графике MSK-IX, разве что IPv6 трафик вырос, но его в принципе меньше, т.е. просто на глаз рост заметнее. Однако, многие другие рапортуют что интернет трафик значительно вырос ввиду перераспределения рабочих мест из-за карантинных мер.
У нас скорее сезонный спад, без аномалий и пусть он таким и остаётся. При этом, обычная картина в будние дни это явно выраженный пик в вечерние часы и мало трафика в среднем за сутки. В выходные дни, когда все дома, много трафика в среднем в течение всего дня, но не максимально много и пик вечером меньше.

Подавляющее большинство трафика это онлайн видео, в частности Youtube, и я не думаю что он у многих является рабочим инструментом, если не филонить. Наверное, мы не превысим пики потребления даже в случае если все кто могут станут работать удалённо, при том что средние значения, вероятно, поднимутся. Загадывать сложно, как минимум максимальное потребление в вечерние часы не совпадает с рабочими часами. Но мы оператор последней мили преимущественно только для домашних абонентов, у IX и CDN ситуация уже другая, с каждого по капельке вот и наводнение получилось.

В любом случае, к этому надо быть готовым и даже в обычных условиях иметь полосу про запас. Значительный рост потребления трафика иногда случается просто из-за резкого ухудшения погоды, как одного из основного фактора влияющего на загрузку наших магистралей.

Самое главное при поиске проблемы - это системность этого поиска, в статье совсем краткий обзор нескольких подходов, на cisco.com чуть более развёрнуто.
По сути даже не очень важен метод, важнее его дотошно придерживаться. В противном случае, через какое-то время будет не отличить начальную проблему от той которую привнесли в ходе решения. Экспертный подход - исключение, которое часто, очень часто заводит в такие дебри, где уже и двум экспертам не разобраться.

​В блоге APNIC большая статья, других  Geoff Huston не пишет, про проблему отзыва сертификатов - как это работает и где не работает. Мало того что сайт предоставляет вам действительный подписанный сертификат, он уже может быть скомпрометирован и узнать это можно только проверив его в центре авторизации.
Для этого существуют различные способы, которые влияют, в том числе, и на скорость работы сайта, если вообще браузер их использует. Но от этого даже можно отказаться сделав время жизни сертификатов короче, может быть сильно короче, или использовать DNS, он всё стерпит.

FTP в браузерах похоже всё - по соображениям безопасности. Браузер, наверное, не самый лучший способ использовать FTP, но иногда удобный из доступных. С другой стороны, и в самом деле ему там не место.

13 каждодневных инструментов командной строки, это не ликбез, это просто перечисление с одним или двумя примерами. Каждодневных совсем не преувеличение, из всего вышеперечисленного лично я не использую awk, вот вообще, и наверное fold, для которого я не вспомнил ни одной реальной стоящей передо мной задачи в консоли, всё остальное постоянно.
Последнее время я много заменяю sed усложняя его команды, вместо использования простых утилит. Но каждая из них сама по себе достойна того чтобы как минимум прочитать man, так как они интереснее и мощнее чем кажутся на первый взгляд. Например, tail - не просто вывод последних N строк, но и вывод всех строк кроме N первых, а всего-то надо поменять минус на плюс. И всё это описано на одной-двух страничках руководства и реализуется не большим количеством страниц на Си.

​Как подобрать забытый пароль от Cisco. В двух простейших случаях ничего подбирать не придётся, про password 7 все знают - это всё равно что ничего не зашифровано. С secret сложнее и зависит от типа использованного шифрования, но даже перебором современное железо с некоторыми может справиться быстро.

Про причины подбирать пароль а не сбрасывать не буду рассказывать, расскажу про один недавний случай:

Cisco(config)#username admin secret 5 admin
ERROR: The secret you entered is not a valid encrypted secret.
To enter an UNENCRYPTED secret, do not specify type 5 encryption.
When you properly enter an UNENCRYPTED secret, it will be encrypted.

Что происходит: мы пытаемся задать пароль, когда должны были задать его хеш и Cisco нас подстраховала (потом отыгралась на switchport trunk allowed vlan). Если бы нет, то мы никогда бы не смогли зайти под пользователем admin, потому что не знаем какой пароль на самом деле скрывается за хешем "admin". И это вполне реальная ситуация, потому что системы резервного копирования тоже подстраховываются и могут заменить хеш, например, звёздочками:

username admin secret 5 ***

Если просто взять эту копию конфигурации и залить на железку, то может получиться не очень.

Так страхует Cisco, но есть же и другие вендоры. Попадает ко мне устройство с тестов с комментариями: "Невозможно зайти в консоль, не подходит пароль":

administrator admin encrypted 1 admin1253

Но это я, конечно, увидел уже после того как прошёл процедуру восстановления пароля.

Netflix снижает качество "вещания" своего контента на Европу - чтобы даже у маленьких европейских провайдеров хватало канала и пользователи могли круглосуточно продолжать смотреть свои сериалы. В принципе это все что вам надо знать об эффективности массовой работы из дома https://www.bbc.com/news/technology-51968302

Отличное, пусть и не новое, описание и сравнение команда в команду для ifconfig и ip.

ifconfig вряд ли выпилят. Максимум спрячут в отдельный пакет который надо будет ставить или сделают обёртку поверх ip с привычным синтаксисом, потому что выпиливать не принято, но в man очень грозно предупреждают:

IFCONFIG(8) Linux Programmer’s Manual

NAME
  ifconfig - configure a network interface

SYNOPSIS
  ifconfig [interface]
  ifconfig interface [aftype] options | address ...

NOTE
  This program is obsolete! For replacement check ip addr and ip link. For statistics use ip -s link.

Ещё раз про сетевую гигиену, не только про маршрутизацию, про DNS и про фильтры и самые общие подходы ко всему.
Конкретно про RPKI (PDF), от начала и почти до конца. Упущен момент настройки RPKI валидатора, но зато есть все настройки для Cisco и Juniper с выводом результатов. Документ представлен, в том числе, точкой обмена трафика NAMEX в Риме - вот у них трафик подрос очень серьёзно, почти в два раза, по среднему годовому потреблению.

В связи с ростом внимания к VPN вспомнили и про Cisco ASA, дружеские отношения с которой у меня так и не сложились. Несколько коротких видео с базовыми операциями по настройке от Katherine McNamara: интерфейсы, доступ, NAT(PAT) и VPN, бонусом ISE. Примеры для ASDM и обычной консоли.

IPv6 PTR DNS выглядит "смешно" в Windows DNS

В шапке группы ссылка на подключение. Не упускайте момент.

Компания Cisco проводит марафон "Корпоративные сети - Все по порядку".

Ежедневно в 10-00 до 12-00 проходит лекция эксперта Cisco по технологиям для корпоративных сетей. В конце каждой лекции предусмотрена сессия вопросов и ответов. Дополнительные вопросы экспертам можно задавать в группе в течение всего марафона.
Материалы лекции, а также дополнительные материалы для самостоятельного изучения публикуются в группе в тот же день после лекции.
Домашнее задание публикуется в группе в тот же день после лекции.
Обсуждение домашнего задания и ответов в группе допускается и приветствуется.
Разбор домашнего задания проводится экспертом в начале лекции следующего дня.
По окончанию марафона наиболее активные участники получают памятные подарки.

Официальная группа марафона @CiscoENmarathon

Не могу пройти мимо. На Хекслет перевод заметки Дейкстры 1982 года, про то почему нумеровать с 0 правильно. Сколько шуток и холиваров по этому поводу прошло мимо меня в студенческие годы, а тут оказывается можно под это подвести какую-никакую, но математическую основу. Главное не переусердствовать, чтобы не превратиться в героя многих анекдотов про программиста.

Facebook запустили сервер точного времени  - time.facebook.com, говорят самый точный из известных публичных. Почитать что там под капотом и почему chrony можно в статье на engineering.fb.com.

Листаю книжку по VMware, а там забавный костыль для vSwitch - чтобы сделать порт транковым надо назначить туда вилан 4095. Я даже удивился, зачем сэкономили на галочке хотя бы, при том что в Distributed Switch всё есть, не говоря уже про другие решения. Это не имеет значения сейчас, но может аукнуться потом, когда вдруг все решат использовать 4095 для чего-то другого, как, например, с адресом 1.1.1.1. Я конечно утрирую, но прямо бросается в глаза.
А так, сеть как сеть, ничего сильно необычного что вполне можно было бы придумать в виртуальной среде нет. Это логично, сохранять привычные интерфейсы и механизмы взаимодействия, но тогда 100% этим должен заниматься не условный админ серверов, а админ сети и будет всем счастье. Может быть когда-то это всё спрячется так глубоко что уже и не откопаешь, но пока не так.