to post messages and comments.

ну чо за херь? почему в NPS нельзя завести собственное сопоставление имени поставщика и кода поставщика (ака Vendor Code)? Я бы хотел один раз определить что 2636 это Juniper и далее оперировать уже названием вендора.

Модель ситуации — есть железяка, через нее идет транзитом QinQ для клиента, на этой же железяке висит некий IP. Клиенту выдана подсеть, где этот IP — шлюз. Оборудование клиента в свой порт получает канал в эту подсеть, заворачивает его в отдельный влан и отдает в транковый порт, где его принимает пров и через QinQ-канал отправляет.... далеко. То есть вот эта гипотетическая железяка в какой-то момент на своем порту, куда льется QinQ, радостно обнаруживает пакет со своим собственным src-MACом. Что она сделает с этим пакетом, если это arp-reply и железка скорее всего циска?

Телеком сказочка.
Приходит контора "Я" к оператору "О".
Я: У нас есть конкуренты всякие ("G", "М" и другие), у тебя всё равно злой DPI на сети, можешь выдирать из http поисковые запросы (GET) твоих клиентов к сервисам наших конкурентов, и зеркалировать нам в отдельный интерфейс? Мы тех, кто к нам пришёл "видим хорошо", хотелось бы ещё понимать кто, чем, зачем и почему ходит к конкурентам.
О: Безпроблем "Я", с тебя XXX денег.
Сказочке конец. Скоро "сказочку" запилим в продакшн.
Такие дела человечки, большие братья теперь хотят вас всех.

В русской wikipedia отсутствуют статьи про Identifier/Locator Network Protocol и про Locator/Identifier Separation Protocol (LISP). Никто не хочет восполнить пробел? Ребята из Google, Facebook, NTT, Level3, InTouch N.V., Internet Systems Consortium уже с этим давно играются в лабах. Функционал очень интересный, самые красивые пункты:
BGP-free multihoming in active-active configuration
Inbound traffic engineering
Customer driven VPN provisioning replacing MPLS-VPN
Customer operated encrypted VPN based on LISP/GETVPN replacing IPsec scalability problems
High availability for seamless communication sessions through (constraint-based) multihoming

котаны, у меня был крутой конспект по сетям, но он как и все конспекты времен универа куда-то потерялся. есть что-то хорошее почитать для того чтобы иметь представление про то как сети работают? ну там, модель OSI, протоколы, маршрутизация, etc
а то я нашел на хабре "сети для самых маленьких", так там вот вам циска, вланы, подключайте. отличная шутка ящитаю.

0-day exploit. Junos: Crafted TCP packet can lead to kernel crash
Products Affected This issue can affect any router running Junos OS 7.6R1 or later configured with open TCP ports (eg. telnet, SSH, BGP, etc.) allowing incoming TCP connections to reach the RE.
Platforms Affected: JUNOS 12.x; Security; JUNOS 11.x; JUNOS 10.x
SIRT Security Advisory, Revision Number 1, Issue Date 2013-01-30
Тот, кто знает как правильно сформировать этот самый TCP пакет, может выключить около 65% всего интернета (и наложенных сетей). JTAC подробностей пока не даёт. Софт будет меняться постепенно, возможно мы увидим нехилые обвалы связности у ВСЕХ

Вот что жуек, есть крутые вакансии. На руководящие должности (~4-7 человек подчинённых в команде). В проект Сочи-2014 очень крупного оператора связи. Денег платят нормально. Все вакансии предполагают переезд в Сочи. По каждой вакансии могу написать отдельно если будет интерес. Сейчас общая информация. Направление — сети связи.
Нужно строить (проектировать, развивать, эксплуатировать):
1. транспорт — ВОЛС, активка DWDM/PDH/SDH
2. IP/MPLS со всей помойкой IP сервисов
3. voice в различных его ипостасях
4. безпроводка (WiFi)
5. инженерка — климатика, электрика, пожарка
Что нужно — очень хорошая компетенция в соответствующий области, english, опыт, много опыта.
На те вопросы, на которые смогу, отвечу здесь. Если кому интересно — давайте ссылку на свой CV, я дам контакт HRа.
На hh.ru ещё не отдали, но уже скоро.

В linux ядре на так давно появились l2tp псевдопровода и OpenVSwitch. Вот бы кто запилил нормальный full (partial) mesh vpn. Провода можно бриджевать. Связность может жить через какой-нибудь DHT. Ну и PKI конечно. Если нормально надизайнить, вообще конфетка получится. Установленные соединения не будут рваться даже при падении сервиса потому как тунельная часть в kernel space. Дарю идею. А вообще такую штуку можно и на нетграфе сделать, то тогда это за пределы платформы не пойдёт.

RFC 3021 describes using 31-bit prefixes for point-to-point links. Линукс вполне позволяет повесить адрес с маской /31 на интерфейс. Кто нибудь запускал в боевую сервисы в таком дизайне? Есть "подводные камни"?

Juniper легализовал "оливку". Назвал её VJX1000. Внутри — J серия на KVM-e, что понятно и ожидаемо; понимает до 16 ge портов.
Если будут продавать отдельно от Junospace, то младшие ISRы конкурента будут иметь очень бледный вид.
Производительность общают до 50mpbs, но думаю что это не предел.
Продукт получился больше этерпрайзный чем сервиспровайдерский.
Наши точно купят, будем делать большую лабу.

ололо, кажется начали "скрести по сусекам". RFC3330 больше не актуален, ICANN начал раздавать последние ipv4 блоки согласно RFC5735.
Вот такие — 128.0.0.0.16 191.255.0.0/16 223.255.255.0/24. Майл.ру уже оторвали себе /21 Корректируйте блекхолы своих "марсиан".

В тред приглашаются владельцы openwrt based домашних маршрутизаторов.
Расскажите мне про ImageBuilder для ar7xx trunk, где он растёт и почему он broken уже два года ?

вопрос про линукс и про сети VLAN
хочу перевести сеть на виланы, но постепенно.
насколько я понимаю, по умолчанию, на оборудовании поддерживающем эту технологию — используется vlan с тегов 0. скорее всего в этом поле пакета вообще ничего нет.
исходя из этого — правильно ли я понимаю, если создам на линуксе vlan0 то все будет работать как работало. потом создам vlan10 пропишу его на оборудовании, и уже часть компов будет ходить по новому вилану.
вобщем как то так в моих грезах.
вопрос, как обстоят дела в реальности?

Есть вакансия. "инженер IP/MPLS сети".
Сеть большая. Денег — средняя ЗП по рынку труда.
Задач дофига. Собеседование с JNCIE.
Не срочно. В HR заявку дадут примерно через месяц.
Задавай свои вопросы жуек

кхм, жуйкач. а почему у меня вайфай роутер превращается в тыкву? помоему через два дня работы. не выдает больше 1 мегабита, а если включить торенты, вобще пииздец.
// asus rt-n12. купил три дня назад, сегодня обновил прошивку, посмотрим что дальше будет)

ipv4 в глобальном пуле — всё. в RIRах ещё есть, но никому уже не дают, держат в резервах,
до домашнего юзера последствия нехватки адресов докатятся через год примерно.
как это будет?
1. Будут давать rfc1918 адреса.
2. Будет CGNAT, а это вам не домашняя натилка в которую кучу helper'ов насовали, ALG там похоже будет только для ftp, а если всё это будет на BRASах и выполняться на asiс'ах, тогда вообще не ждите никаких ALG.
Автоматического управления через upnp или другую фигню не будет, возможно будет кнопка (форма) в личном кабинете — заказать диапазон портов (это в самом лучшем случае).
Про L4 — всё что не tcp и не udp работать скорее всего не будет.
Такую услугу нельзя будет называть — "доступ в интернет", фактически это будет услуга — "просмотр web страниц", хотя конечно же никто не будет название менять.
Появится новая услуга — динамический внешний адрес.
Постоянный внешний адрес будет стоить столько же денег, сколько стоит тарифный план.
3. 6RD и DS-Lite похоже тухлятина, будет Dual Stack.
4. Есть отличная идея — отзывать адрес, без разрыва сессии, но чтобы это заработало нужно вечно "болтающие" приложения переместить в ipv6), ожидаются что они сами понемногу перепозут когда будет связность.
Это вопрос нескольких лет. стандарт же на протокол отзыва адреса пока не полностью готов, а жаль, эта штука могла бы спасти всех от NATа
5. Как будут давать ipv6, тоже пока неясно (какими сетями), если согласно rfc, то получается что homeuser получает адресов столько, сколько сейчас во всём ipv4 пространство, не понятно зачем это нужно.
(Если кто включён ipv6 native — расскажите, какого размера префикс дал вам провайдер).
6. Большая обвязка сопутствующих протоколов на участке PE-CE (prefix delegation и прочая фигня), control plane производители пока не научились толком защищать, будут ломать, хачить, досить.
7. Включать новых абонентов так будут сначала там, где мало конкурентов или они слабые, в больших городах будут тянуть до последнего.
8. Старые ОС с различными уязвимостями не будут больше спрятаны за домашним NATом, поголовье ботнетов сильно выростет.
9. Следующие лето-осень рубеж, адреса просто закончатся, готовьтесь.

yota нахуй послала, саппорт отказался помогать,
сказали что нет у них говнософта yotaaccess для ОС winxp pro 64.
А суть его — лишь конфиги для ppp.
Было бы для себя нужно, нашёл бы выход, а так... неохота даже заморачиваться
Потеряли клиента — девушка взяла опцию БИТ у МТС.

Оборудование DPI должно поддерживать следующее воздействие на трафик анализируемых соединений:
— Разрешить/Запретить
— Перенаправить (http трафик — на портал, любой трафик — на новый IP адрес)
— Собирать статистику (суммарную, по каждому протоколу, по каждому подписчику, по каждому протоколу каждого подписчика)
— Ограничить число сессий
— Ограничить полосу (отбросить превышающий, внести задержку)
— Перемаркировать биты приоритезации
— Установить атрибут подписчика
— Сбросить TCP сессию
— Копировать (зеркалировать) трафик
— Установить приоритет очереди на исходящем интерфейсе
— Установить квотирование по определенному протоколу для каждого подписчика
Поддержка базы профилей подписчиков.
Оборудование DPI должно обеспечивать возможность ведения базы профилей подписчиков. Профиль подписчика должен содержать
— Имя и идентификатор
— IP адрес
— Не менее 30 атрибутов
Оборудование DPI должно обеспечивать возможность автоматической статической или динамической привязки анализируемого трафика к тому или иному подписчику (персонификацию) на основе значений IP адресов.
Динамическая привязка трафика к определенному подписчику на основе IP адреса должна реализовываться как минимум следующими способами:
— С помощью анализа служебного трафика RADIUS или DHCP
— С помощью внешних систем используя API оборудования DPI
Оборудование DPI должно обеспечивать возможность создания атрибутов подписчиков и присвоения им значений, статически или динамически. Атрибут подписчика должен иметь задаваемый временной период активности.
Динамическое заполнение атрибутов подписчиков должно реализовываться как минимум следующими способами:
— заполнение атрибутов подписчиков значениями RADIUS VSA анализируемых при авторизации данного подписчика в сети оператора.
— с помощью внешних систем используя API оборудования DPI
Это вам на подумать кусок проекта (требования) по DPI. Фотки стоек постить не стоит наверное.
Ну вы сами всё поняли да, телевизор большАя часть неселения уже давно не хавает, "большой брат" очень правильно идёт в СЕТЬ.
И все вы получите именно такую сеть, какую вам ДАДУТ, а не какую вы пожелаете.
Предлагаю постить в тред "лекарства" (например RetroShare), а то как революцию то делать будем все же под "колпаком"?

Господа, есть просьба — отсоветуйте, пожалуйста, вменяемый, более-менее современный роутер в пределах трех тысяч российских рублей. Асус приветствуется, линки на конкретные айтемы — также. Спасибо.

Закулисные игры достали бля вообще. Каждый МРК хочет быть "центром компетенции" по всему чему только возможно. Ростелеком хочет их растворить в себе. Сейчас меряемся перед разными боссами железками и людьми, у кого круче роутеры (а у нас тут бля — CRS, а у нас — T1600, а я брата позову — он боксёр и прочее гавно) и больше сертификатов. Все дрожат за свои драгоценные рабочие места.

Три года обещали, но всё таки сделали. Junipеr релизнул коробку специально для core. Предлагают использовать её как P router. Линейка называется PTX. Теперь в ядро можно не ставить MX и Т серии. Масштабирование обещают гигантское. Видимо наши будут брать. Летом посмотрю в живую этого зверька.