Англоязычные товарищи любят такое называть словом Demystifying ибо вижу префиксы, машинально окукливаюсь.
Ну что же, тут на пальцах беседуют про ACI L3Out. Жестковато для выходного дня, но может вам тоже хочется уединиться от всех и почитать нечто умное.

https://unofficialaciguide.com/2019/11/08/understanding-scope-of-prefixes-in-l3-out-external-epg-in-aci/

Берём попкорн и читаем кул стори о том, как светлый Juniper спас от DDoS'ного ада аж в целый терабит скромного ветерана провайдинга Linode.
Ради правда скажем сразу, что им ещё помогали пацаны из Corero.

https://www.juniper.net/us/en/company/case-studies-customer-success/linode/

Битва двух йокодзун. Бесплатно, без регистрации и смс.

https://networklore.com/ansible-nornir-speed/

Старые как мир и основательно подзабытые многими SYN-ACK флуд атаки снова на арене.
Ничего кардинально нового, просто ещё один аргумент почему надо не глядя блекхолить трафик от AS, где не фильтруется сорс роут.

https://blog.radware.com/security/2019/11/threat-alert-tcp-reflection-attacks/

Кстати, если выдумаете, что таких AS ничтожно мало, то вот вам постоянно обновляемый список AS, через которые можно спуфить.


https://spoofer.caida.org/as_stats.php

Спите?
Хорошо вам.
А я вот подкасты монтирую. Впереди 7 шотов, но это наживное, а вот выпуск про MikroTik это важно. И важно, что он готов.
И в связи с этим радостным событием, отвечу сразу на главный вопрос в чате: Когда можно будет послушать?
1. Телеком выпуски выкладываются 25 числа текущего месяца. Всегда. Так исторически сложилось и нам это нравится. Начинать делать так, как нам не нравится, смысла не видим.
2. До наступления этой прекрасной даты выпуски лежат на патреоне. Это такая наша благодарность тем, кто поддерживает нашу активную деятельность свои трудовым рублём\долларом\евро etc
3. Патреон, это такое место, где можно выразить свою благодарность людям делающим нечто полезное на ваш взгляд, в натуральной форме т.е. в виде денег.
4. Количество денег определяется в строго добровольном режиме. Мы не расылаем сиськофото Марат всем, кто задонатил больше 100$. Мы рады и благодарны всем одинаково.
5. Выпуски поуехавших, сисадминов, шоты, ирл и прочая и прочая выкладываются в строгом соответствии с потолочно-пальцевым методом от лучших smm стратегов. Это тоже так исторически сложилось, нам это нравится и менять мы это тоже не собираемся.
6. Да, все они тоже проходят через патреон.
7. Но важное правило - в конечном итоге всё всегда оказывается в свободном доступе. Мы ж для души.

На этом всё, можете послушать долгожданный выпуск про MikroTik из первых рук. Получилось больше двух часов. Гость еле вырвался, но обещал вернуться.

https://www.patreon.com/posts/31491810

​Когда начальник решил помочь.

Check My DNS научили проверять, включена-ли на резолвере RPKI валидация.
cmdns-cli -checks trans_rpkiv4 и всё
Вообще, мне кажется это очень позитивный тренд вкорячивать проверку RPKI везде, куда руки дотягиваются. Главное, чтобы это не стало дефолтом.

https://medium.com/@dnsoarc/rpki-origin-validation-for-resolvers-c4463f1cb9a6

Не знаю, это уже хайлоад, или уже банальщина, но тут делятся опытом, как пришлось переконфигируть 12000 интерфейсов не имея в первый момент никакого представления о текущем конфиге.
Своё решение они нашли в норнире и получилось вполне красиво.

https://neillkillgore.com/reconfiguring-12000-interfaces-nornir/

После абстрактных пассов руками о планировании и вполне конкретных жизнеописаниях цодовский сетей, Марат-таки переходит к практике и уже проектирует дизайн вполне себе серьёзной сети.
Совсем мальчик взрослый стал....

https://linkmeup.ru/blog/479.html

Кстати, если вы не знали, то у нас не только Марат клавиатурным рукоблудством занимается. Вон Мамонт на досуге запилил статью про объектные хранилища.
https://habr.com/ru/company/veeam/blog/474746/

RIPE NCC запустили для всех желающих новый сервис - RIS Live. Кому красивая игрушка, кому два килограмма пользы, но он позволяет отслеживать BGP сообщения в режиме реального времени. Прям сиди на горшке, да читай кто кому и что рассылает.
https://labs.ripe.net/Members/chris_amin/ris-live-is-live

Дошли руки до шотов c RIPE GM 79. И без лишних предисловий, первым же номером идёт Евгения Линькова - сетевик из Google, co-chair RIPE IPv6 working group и просто один из тех людей, кому надо сказать спасибо за IPv6.

https://www.patreon.com/posts/31531423

Про RIPE поговорили, переходим к APNIC. Эти товарищи углубились в философию о бренности NTP, о зависимости всего мира от него и никакущей защищённости от подмены.
но на самом деле по ссылке довольно глубокий разбор полётов.


https://blog.apnic.net/2019/11/08/network-time-security-new-ntp-authentication-mechanism/

В новом выпуске поуехавших — Марина Широчкина из страны, давшей миру The Cranberries, U2 и кельтские танцы.
- Ирландия — это не только IT. Или феномен Кельтского Тигра
- Приют для FAANG и ещё 140 разных букв.
- Сетевики нужны, достаточно уметь в tcpdump
- Но с навыками «автоматизации второго-третьего уровня» нужнее
- Парацетамол и 7Up — с чего начинается медицина
- В школу с 4 лет.
- Море — 12° — всё, что нужно знать о климате.

https://linkmeup.ru/blog/497.html

Любите VoWLAN, но не любите его настраивать и разбираться куда пакет потерялся? Так для вас составили набор советов, от очевидных до не очень, по его настройке.


https://www.cisco.com/c/en/us/support/docs/collaboration-endpoints/wireless-ip-phone-8821/214215-how-to-get-your-8821-792x-wireless-phone.html

Рубрика "Нам (ну почти) пишут"

TL;DR: Жил да был один провайдер по защите от DDoS,   но внезапно оказалось, что его сеть можно положить попингуями. Теперь им очень стыдно.

Сегодня в нашей сети произошел серьезный сбой. В этом письме я объясню ситуацию - что произошло, почему и какие меры были приняты.

У нас обширная инфраструктура фильтрации - 5 точек присутствия в 6 датацентрах по всему миру. У каждой точки присутствия имеется отказоустойчивость в пределах нее самой, а также все точки присутствия поддерживают друг друга в случае падения. Если быть точным, каждый наш сайт снабжен как минимум 2-мя высокопроизводительными коммутаторами Cisco Nexus (объединенных в кластеры VPC), которые используются в качестве фабрики для соединения нашего оборудования.

Все работало штатно, пока в 16:44 по МСК все коммутаторы Cisco Nexus во всех наших датацентрах не начали циклично перезагружаться. После проведения диагностики, выяснилось что это произошло из-за недавно обнаруженной ошибки в софте Cisco (что также относится к новым версиям NX-OS) - https://quickview.cloudapps.cisco.com/quickview/bug/CSCvj95682

Наша команда использовала SNMP для мониторинга сетевых устройств в течение многих лет, и пару недель назад мы настроили улучшенный мониторинг сети, чтобы упростить поиск проблем и ускорить устранение неисправностей. Это привело к более высокой частоте сообщений SNMP, что спровоцировало баг на коммутаторах. К сожалению, эта ошибка не оставляет следов в логах устройств - они просто перезагружаются, как будто происходит сбой питания, работают в течение 5-10 минут и снова перезагружаются - поэтому для диагностики потребовалось так много времени.

В 19:50 по МСК нам, в конце концов, удалось восстановить услуги защиты веб-сайтов, IP и сетей, а еще спустя немного времени нам удалось восстановить VPS во Франкфурте, что на самом деле является большим простоем.

Проблема была совершенно неожиданной, абсолютно непредсказуемой и чрезвычайно трудной для диагностики. Нам очень жаль, что это привело к прерыванию ваших услуг. На данный момент мы применили workaround, чтобы предотвратить повторение проблемы и сейчас сеть работает стабильно.

А тем временем стартовал BMM4.
Го смотреть :)
https://www.youtube.com/watch?v=C2zdG9yxDfk&feature=youtu.be

​Тут у общественности возник вопрос к ARIN - а что такое происходит-то?
Получили ответ: We don't allow direct distribution of our tal via the RPA.
Когда ты весь такой модный и спасаешь мир, но тут появляются юристы и причины...

Кстати, буквально на днях перевалило за 800 000 IPv4 префиксов. Видимо ура! https://twitter.com/bgp4_table/status/1194359476410888192