Чтобы добавлять сообщения и комментарии, .

@gothicsquash:
gothicsquash

Решение для #2821553 приехало. SRX210HE2-POE, удалось урвать новый всего за $250. Guess who's gonna get laid tonight? ;)

@gothicsquash:
gothicsquash

Похоже, решение для #2821553 найдено. Это Juniper SRX210.

@gothicsquash:
gothicsquash

Коллеги, я уже третий год как не в теме продуктовых линеек сетевого железа. И тут захотелось вот чего. Нужен девайс со следующими характеристиками:
1) десктоп (не rack-mount). чем компактнее, тем лучше.
2) полноценный маршрутизатор. с BGP там, с IPv6, хорошим NAT/PAT, желательно cisco-like.
3) полноценный управляемый коммутатор. как минимум с 802.1q
4) порты должны быть гигабитными
5) плюшки типа WiFi и Voice — приветствуются, но не обязательны.

Хочется всё это видеть в одном устройстве. Такое нынче вообще бывает, или тема закончилась на ISR 871W и UC 540?

Набор барахла прошу не предлагать. Да, я могу всё это поиметь на ISR 1921 c войсовым модулем + какой-нибудь WS-C2960G-8TC-L (или даже WS-C3560CG) + точка Aironet. Но хотелось бы обойтись одним устройством, если это возможно, не отказываясь при этом от привычного функционала. Прошу совета.

@pLuto:
pLuto

Коллеги, а чем сейчас на линуксе (убунте, желательно) модно разбирать L7? Задача сродни фильтрации по блеклистам (т.е. вычленять из трафика http реквесты и матчить по части url), дальше выполнять всякие развлечения с этим трафиком. iptables с матчингом как-то мутновато работает, l7-filter заброшен с 2013 года, какие есть еще варианты?

@pLuto:
pLuto

Вот и для сетевиков нашелся источник гифок :)
honestnetworker.wordpress.com

@pLuto:
pLuto

Давненько не заглядывал в область эмуляции сетевых топологий, а там, оказывается, весьма неплохое развитие. Продукт Unified Networking Lab.
unetlab.com
habrahabr.ru
Что особенно приятно — реализован как виртуальная машина (.ova), запускаемая в ESXi в том числе. Т.е. больше не надо гонять GNS локально, на домашнем сервере развернул и пользуешься.
Для подготовки к экзаменам — прекрасно.

@pLuto:
pLuto

Сегодня опять услышал аргумент про большую пользу возможности агрегирования PA-префиксов для уменьшения FV. Не могу понять, откуда он берется у людей в головах. Однако, не исключаю, что чего-то не понимаю я сам.

Получение AS и, соответственно, PA имеет смысл только в случае нескольких стыков с внешними операторами — иначе смысла в собственной AS никакого. Но как только появляется второй стык — оператор должен анонсировать в него свой специфик, а значит и выделивший PA лир тоже должен принимать от этого оператора и транслировать наружу этот специфик. В противном случае присоединение оператора к лиру будет работать в лучшем случае для сетей этого самого лира.

Как следствие — для реальных ситуаций агрегирование префиксов не работает, PA-префикс всё равно должен будет появляться в FV, причем, в том числе, и от лира, который его типа мог бы агрегировать.
Единственный синтетически-реальный кейс, который мне видится — если лир не предоставляет оператору транзита. Но в реальности — часто ли это встречается? Я вот в своей практике не встречал.

Если я не прав — объясните, в чем.

@pLuto:
pLuto

Коллеги, у кого хороший опыт общения с Mikrotik-оборудованием? Оно доело мне мозг.

Коммутатор CRS226, банальная задача — получить через etherchannel eth1-eth4 тэгированный vlan 66 и отдать его в sfp-1 так же, тегированным. Всё настраивал по мануалу wiki.mikrotik.com , живой конфиг лежит вот тут — pastebin.ru

По какой-то причине жестянка создает неизменяемые ingress-vlan-translation pastebin.ru , по которым весь приходящий трафик в любом вилане ремаркируется в vlan 4091 и 4095 (в зависимости от порта). Т.е. в FDB маки появляются не в нужных vlan, а в этих автоматически созданных. Правила трансляций не отключаются и не изменяются, можно только добавить.

Очень хочу увидеть маки в предназначенных для этого vlan.
Если у кого-то есть опыт борьбы — поделитесь. Любой доп.вывод покажу.

@pLuto:
pLuto

Истощивши мозг, обращаюсь к коллективному разуму — мало ли, может у кого опыт есть.
Вот есть компания DLink, а у нее есть линейка коммутаторов DGS-3420. Хорошие коммутаторы, особенно по цене — чуть больше тысячи долларов за 24SFP/4SFP+, еще и умеющие стекироваться до 12 штук в кольцо — это прям операторское счастье. И фичами обвешан весьма активно, как обычно для китая.

Но иногда ставит в тупик. Вот есть в природе простейшая фича, блокирующая unknown unicast flood в конкретные порты. У cisco это называется switchport block unicast, у младших DLink там что-то было типа block unknown unicast. В этой модели впрямую такой команды нет, но есть множество других расширений безопасности. И я очень надеюсь, что это просто я туплю и нужного поведения на нем добиться всё же можно, но через другие фичи, просто я не понимаю, через какие.

Если у кого-нибудь есть опыт укрощения DLink'ов близких моделей в этом отношении — поделитесь, пожалуйста.

@pLuto:
pLuto

Мигрировал домашний route server с квагги на VyOS (бесплатный форк бывшей vyatta). Пока нравится, никаких серьезных нареканий.

6 очень разных пиров (ios, ios xr, junos, quagga) поднялись без каких-либо затачиваний напильником (btw, с кваггой для взаимодействия с xr что-то раньше приходилось неочевидное тюнить — правда, уже не помню что за давностью лет).

Как и ранее у vyatta, логика интерфейса замешана где-то между IOS и JunOS, вполне прозрачная, во всяком случае почти всё, что мне потребовалось для настройки bgp, нашел через CLI без чтения документации.

Из нюансов — косметика (например, счетчик в sh ip bgp nei <ip> received-routes, похоже, считает строки вывода, а не префиксы — поэтому показывает существенно большее число, чем префиксов есть на самом деле). Также, как и у vyatta ранее, в VyOS из важного для SOHO нет PBR и PPTP/L2TP клиента (терминировать туннели на себе — умеет). Как я понял, умельцы накатывают их внешними патчами — линукс же — но пока в релиз официально не включат, надо считать, что нет.

Конечно, эта инсталляция скорее для поиграться — в продакшне у меня для RS стоят bird'ы. Но в целом впечатление от платформы положительное и для SOHO, чьи задачи не решаются бытовым раутером типа asus ac66u, буду рекомендовать использовать.

@pLuto:
pLuto

Реинкарнация DOCSIS — версия 3.1. Обеспечивает даунстрим до 10Gbps, апстрим до 1Gbps. Встроенная приоритезация, позволяющая уменьшить латентность для чувствительных приложений. Весьма интересное развитие для кабельных операторов.
cablelabs.com

@gothicsquash:
gothicsquash

Простейшее, и в то же время сподручное решение. Некоторые приложения позволяют запустить HTTP или FTP сервак, подключившись к которому можно напрямую заливать файлы и каталоги без itunes. Удобно, доволен.

К itunes все никак не привыкну. Он мне напоминает историю с беспроводной точкой доступа D-Link DAP 1150. Мне её притащили по-быстрому настроить на одной из предыдущих работ. Думал, пары минут хватит, я ж ого-го каким железом ворочаю, что мне эта мыльница. Подключаю к рабочей машине (на которой линукс разумеется), тыкаюсь — её management IP нигде нет. Роюсь в инструкции — нифига. Как быть? Забил на сетевой интерфейс адреса из RFC1918 с соответствующими масками, прочесал nmap'ом диапазоны, и нашел-таки чёртов адрес. Но должно было быть другое решение, т.к. железяка явно не рассчитана на такое обращение. Оказалось, у неё есть netbios-имя, которое виндой подхватилось бы на ура, если бы я воткнул её в винду.

С itunes такая же история. Нихрена не понятно, хотя должно быть интуитивно. Приходится гуглить и смотреть ролики на ютубе, чтобы выполнить простейшие действия. Вместо кнопки "назад" или "отмена" или ещё что — надо жать backspace, который откидывает не совсем назад. навигация в целом для альтернативно размышляющих. Тьфу.

@qnikst:
qnikst

А udp "соединение" (в смысле передача пакетов в одну сторону и обратно) может проходить через nat?

@GotF:
GotF

Я понимаю, что вопрос идиотский, но я смогу использовать VPN, если во внешний мир у меня PPP (c NAT)?

@gothicsquash:
gothicsquash

Одна история изумительнее другой: news.mail.ru
Речь идет о фильтрации контента на всех уровнях сетей передачи данных, невозможности размещения DNS-серверов доменов.RU и.РФ за пределами России и запрете на присоединение региональных и местных сетей передачи данных к зарубежным интернет-сетям.
... сделать предметом лицензирования сети связи и деятельность по переводу URL-адресов в IP-адреса и обратно.
Государство получит неограниченные возможности для цензуры в интернете, опасаются эксперты и операторы связи.

Лицензия на DNS :D Как вам такое, м?
Подозреваю, что события с вконтактом и Дуровым, в частности vk.com и vk.com , имеют здесь не последнюю роль.

@pLuto:
pLuto

В продолжение истории с DNS-атаками из #2686972 и #2689548.
Сегодня плотно взялись за поиски источника — в двух подтвержденных случаях атака идет с обычной домашней CPEшки, D-Link DIR-120 или DIR-300. Видимо, хакнуты по известному алгоритму.
Перепрошивка свежей версией с сайта вендора решает проблему.

Поэтому те, у кого D-Link (любая модель) — убедитесь, что версия прошивки свежая. Иначе вы потенциальный (а некоторые — уже активный) участник ботнета.

@pLuto:
pLuto

Коллеги, если кто встречал — подскажите фриварную утилиту, которая в автоматическом режиме сможет снять статистику по использованию трафика процессами Windows (с раскладкой по процессам, IP адресам и портам, а еще лучше — с возможностью фильтра по адресам и портам) и сохранить ее в файл. Ну или, хотя бы, не автоматически, а действиями пользователя, но простыми.

Цель — создание алгоритма вылавливания работающих на стороне абонента приложений, порождающих определенные виды сетевого трафика (DNS flood, в частности), при условии отсутствии квалификации этого пользователя. Т.е. буквально "скачал-запустил-отправил", а мы уже тут посмотрели результаты и поняли, в чем дело.

Достаточно близко к этому NBMonitor, но в фриварной версии он не умеет сохранять результаты в файл. Покупать же его на всех абонентов нашей сети как-то не хочется.

@pLuto:
pLuto

По итогам #2686972 запилили сервис для автоматического блокирования подобных DNS-запросов на всех наших DNS-серверах. Кто-то спрашивал, как воспользоваться нашим стоп-листом — доступен на dnsbl.nts.su , там же и инструкции по подключению к BIND и Unbound. Список пополняется при появлении новых зон, несколько раз в сутки.
По нашей практике использование этого стоп-листа разгружает процессор DNS-сервера более чем в два раза.

@pLuto:
pLuto

Коллеги, решил тут поанализировать паразитный трафик в нашей сети оказания услуг. Накопал поток dns A-запросов на записи 4 уровня в небольшой группе зон. Визуально выглядит как ip-over-dns инкапсуляция, льется с небольшого в процентном отношении, но значимого в абсолютном количества абонентов.

Список зон, которые пока удалось выловить:
xy.169go.com.
user.net0319.com.
www.zz85.com.
www.jb176.com.
biantaivnl.in-red.com.
www.cs58888.com.
www.08673.cn.
a.7le7le.com.
hnh315.cngoldenway.com.
wvw.bocheng8880.com.
lst.zc176.com.
www.phxtrade.com.

Т.е. запрос выглядит, например, как gpkfqxqhypcpwbsb.www.phxtrade.com.

Предполагаю, что это управляющий трафик какого-то ботнета, но уверенности нет. В известные мне списки типа malwaredomains или hosts-file.net эти зоны не входят. Гугление не помогает.
Пока заблокировал резолвинг в этих зонах от греха, но хочется большей ясности.
В связи с этим вопросы:
1) Не знает ли кто более конкретно, что это за трафик?
2) Есть ли более полный список таких зон? Именно таких, используемых для ботнетов (если это они).
3) Нет ли какого-то плагина для unbound (предпочтительно) или для bind (менее предпочтительно), позволяющего вычислять такие запросы автоматически?

@gothicsquash:
gothicsquash

Коллеги, посоветуйте, пожалуйста, две сетевых железяки:
— проводную (коммутатор)
— беспроводную (точка доступа/маршрутизатор)

Требования к обоим:
1) Полноценная поддержка IPv4 и IPv6
2) Полноценная поддержка бытия DHCP-релеем (опция 82 для v4, опция 37 для v6)
3) Полноценная поддержка AAA через RADIUS
4) Очень желательно, чтобы не SOHO-мыльница с внезапными ограничениями в базовых вещах.

Консольный порт желателен. Мощность и портовая ёмкость минимальная, железо требуется для проведения функционального тестирования поведения софта. Можно EoL/EoS, поищем где взять.

@gothicsquash:
gothicsquash

И в убунте и в лубунте, версии 13.10, 32- и 64-битных вариациях, что-то наворотили с инструментами конфигурирования сети. network manager прикидывается декорацией. /etc/init.d/networking ссылается на то, что им пользоваться теперь не по понятиям, и предлагает обратиться к service networking. последний, в свою очередь, при выполнении рестарта сети обрушает гуй. что юнити, что lxde. конфигурирование беспроводной сети вручную оставило давно забытое, подёрнутое нафталином послевкусие.

@snakehoney:
snakehoney

Мой почтовый индекс 127055, я всякий раз смотрю на него и думаю, он же из лупбэк-диапазона, это же неправильно.

@snakehoney:
snakehoney

Проебал шанс заплатить $25 за early access к GNS3 с поддержкой свитчей. Теперь early access стоит $40, это слишком дохуя для меня.

@green:
green

Что за мудак придумал фтп? Уёбищнее него может быть только smtp.

@green:
green

Догоняя тред Фолекса #2596608 хотелось бы сделать точно такой же реквест только по виртуализации и нетворкингу. Спасибо.

@green:
green

Если к тебе подходит программист или аналитик и говорит, что проблема с сетью -> ЗНАЙ! проблема может быть в чём угодно, кроме сети.

@snakehoney:
snakehoney

Всегда угорал с людей с людей в майках "There's no place like 127.0.0.1", ведь таких мест помимо этого ещё 4194301.

@Dant:
Dant

DHCP Snooping & PXE Boot как-то очень не созданы друг для друга... Выбери лишнее, что называетцо : ))

social.technet.microsoft.com
supportforums.cisco.com

@Annoynimous:
Annoynimous

Чем измерить rtt до хоста, если админ — долбоёб и дропает ICMP echo request? В общем случае есть открытый tcp-порт.

@snakehoney:
snakehoney

Никогда не нужно создавать вручную AD–домены, заканчивающиеся на.local.
И соответственно в DNS не должно быть таких зон.
Потому что имена хостов вида *.local зарезервированы в протоколе mDNS. И другими хостами, поддерживающими протокол mDNS, эти имена будут разрешаются не юникастовыми запросами к DNS–серверу, а мультикастовыми запросами к другим узлам сети по децинтрализованному мультикастовому протоколу разрешения имён mDNS.

@snakehoney:
snakehoney

Тут одному типу задали вопрос, что будет, если у него отнять его SOHO-роутер и дать вместо него свитч, как сделать, чтобы работал интернет. У меня есть варианты, я выложу их подкот, скажите, до чего я не догадался.

@adept-:
adept-

Кто-нибудь может подсказать, как посмотреть, какой из veth* интерфейсов в системе принадлежит какому контейнеру? lxc-list и lxc-ls не кажут

@gothicsquash:
gothicsquash

Пополнение в домашнем зоопарке :) Это AIR-AP1242AG. Теперь к ним надо будет поднять виртуальный контроллер.

@Dant:
Dant

Есть некий управляемый свич. Пишу ему:

sw# show interface configuration
Port State FlowCtrl Negotiation Description
---- ----- -------- ----------- -----------
Gi1/0/1 Enable Disable Auto GW-LAN
---
Gi1/0/18 Disable Disable 1000F N/A

Спрошу глупый вопрос: что означают первые 2-е цифры в нотации Gi1/0/18 ? Gi — гигабитный интерфейс, 18 — номер порта, а что такое 1/0 в общефилософском смысле этого слова? : ))

@Dant:
Dant

Types of IP network DoS attacks: alimov.net

@pLuto:
pLuto

Выступление Скотта Шенкера (фактически носителя идеологии) по концепции OpenFlow/SDN доступно в сети.
ee380.stanford.edu
Учитывая потенциальную нашевсюшность SDN, могу уверенно рекомендовать к ознакомлению :)

@Banderlog:
Banderlog

Очередной филиал, очередной коллапс (чит. вики), очередное выгребание Авгиев конюшен. Как они меня все...

Диалог:
— (Ваш покорный слуга пока со скрываемым раздражением, продергивая очередной кабелёк) Почему патч-панель валяется внутри, почему не прикручена, почему тут валяется организатор?
— Не знаю. Это ещёдо меня было сделано.
— А сколько ты тут работаешь?
— Три года?
— (с нескрыааемым) Три года?! Три!?! И ты за три года ничего не сделал с этой стойкой?
(выходит из серверной, не дождавшись ответа)

За один вечер перебрал полстойки. Вывел оптику отдельно от меди. А то вообще было страшно что-то трогать. А сколько ещё...

@gothicsquash:
gothicsquash

Раньше, глядя на красивые иностранные топологии с несколькими ASA в пределах небольшой сетки, лишь ухмылялся. Мол, с жиру они там бесятся все. Но вот сегодня меня впервые посетило иное ощущение. Невозможность использовать асу одновременно в transparent и routed режимах позволяет в некоторых случаях не только изрядно потрахаться и повспоминать всякую редко используемую всячину, но и подталкивает к желанию заиметь дополнительную асу.

@gothicsquash:
gothicsquash

В кои-то веки меня подосили :D Хосты из *.localstrike.com.ar (Аргентина) решили заклевать мои NS. Развеяли скуку и предсонную аппатию, ништяк!

@toxin:
toxin

Появилось время расковырять нашего ветерана networking-а Nortel Passport-1612G twitpic.com