В базе многие вендоры предлагают похожие вещи. Но вся суть в мелочах конечно-же. Когда начинаешь использовать PBR уже сложно оторваться, хотя во многом это компенсация не всегда удачного дизайна и я больше привык опираться на таблицу маршрутизации.

Почти у всех есть PBR где можно установить произвольный next-hop или несколько. И в случае если один из них становится недоступен (не обязательно из-за упавшего порта) то трафик бежит на второй и так далее.
Но что делать если преимущественно трафик должен бегать в соответствии с таблицей маршрутизации и только в некоторых случаях маршрутизироваться по политике. Надо построить правила ACL, иногда сложные, часто очень сложные или многоуровневые. Что делать если надо балансировать трафик - это придётся делать вручную, работая за таблицу маршрутизации.

В части ситуаций некоторые моменты  можно решить set ip default next-hop который есть у Cisco. Работает как маршрут по умолчанию, т.е. редирект происходит только в случае, если адреса назначения нету в активной таблице маршрутизации. Очень удачное решение для пограничных устройств, сокращает кучу правил-исключений для локальных адресов. А если ещё и ip sla обмазать сверху... Но на нашем железе - нет ни того ни другого.

Куча статистики по исследованию технической стороны интернета у Center of Applied Internet Data Analysis.
Например, спуфигну адресов - очень подробно, всё кликабельно, есть отчёты в сыром виде. Детектируется в том числе NAT и не NAT сети. Используют для этого специальный софт-пробник внутри сетей.


The system uptime is 1491 days 7 hours 55 minutes 5 seconds

На одном из магистральных узлов. Как правило это означает, что 4 года система не проходила ТО, у неё нет резерва, про неё забыли.
Конечно это может говорить о её надёжности, что всё построено на hotswap модулях, а обновления софта проходят без перезагрузки. Но в данном случае всё же первый вариант.

У Cisco есть вики, тоже. Где можно посмотреть, например, конфигурации на разные случаи жизни.. На cisco.com конечно больше, но здесь как-то приятнее пользоваться.

Несколько лет назад мы тестировали решение A10 networks для cgNAT и не только. Скорее эта платформа даже не столько для NAT как для всего остального. Был у нас железный вариант, потом вернулись ещё раз к ней и попробовали виртуальный вариант. По большей части нам тогда понравилось.

Так вот, на основе своего анти DDoS сервиса они рисуют вот такую карту https://threats.a10networks.com где считаются и отображаются места откуда происходит атака и какого она типа. DNS, SNMP, SSDP, все ботнеты попали под один тип, из нового memcached есть. Нарисовано красиво, атак много, можно пить кофе и грустить.

Не знаю как сейчас, раньше была популярна спутниковая рыбалка. Сигнал для всех, шифрования нет, файл может принять любой, даже тот кто его не запрашивал.
Вот утилитка которая может вытаскивать файлы из дампов трафика. Помимо файлов ещё и пароли всякие и много другой интересной информации. Конечно, найти не https сайт скоро будет совсем трудно, но другие протоколы пока никто не отменял.
Если отвлечься от этого, то в целях администрирования очень удобно получать сетевую активность устройств сразу в читабельном виде. Для чего вполне хватает бесплатного варианта.

Хотел написать про мультикаст RPF, но чёт коротко не получается. Вообще не получается ни у кого коротко.
Проблема в том что современный PIM использует таблицу маршрутизации общую, а древний DVMRP строил свою. И если надо чтобы мультикаст приходил только с определённого интерфейса, а второй был резервный, то в DVMRP можно было накинуть cost на нужный интерфейс. А для PIM - крутить маршруты из общей таблицы.

show ip mroute 239.0.0.1
(192.0.2.1, 239.0.0.1), 1d03h/00:02:55, flags: T
 Incoming interface: Vlan2, RPF nbr 192.0.2.129

show ip route 192.0.2.1
Routing entry for 192.0.2.0/25
 Known via "static", distance 1, metric 0
 Routing Descriptor Blocks:
 * 192.0.2.129
     Route metric is 0, traffic share count is 1

Вот откуда адрес 192.0.2.1 к нам прилетает, оттуда мультикаст и побежит, при условии что на интерфейсах всё нужное для PIM включено.

Новый туннельный брокер IPv6 http://ipv6.ip4market.ru/ наверное единственный публичный в России, больше что-то я не припомню. На мировом уровне с https://tunnelbroker.net уже никто не сравнится, хотя вот мне кажется они уже давно там ничего не крутят.
6to4 не всегда хорошо заходит, кто-то фильтрует точку входа, да и серверы прыгают по миру - когда в Москве подключишься, когда в Бразилии. Хотя 6to4 удобнее в плане настройки и доступности внутри 2002::/16

В мировом масштабе это всё уже давно не актуально, но вот для России может быть... может быть...  Оригинальная новость от автора в тематическом чатике https://t.me/ru_ipv6/8431

IPv6 уже внедрили, теперь время за IoT. Специфическая тема в плане физики из-за большого количества потерь при передаче и одновременно большого количества устройств. И всё это требует новых протоколов, У IETF есть цела рабочая группа ROLL, которая сделала протокол маршрутизации RPL (distance-vector, source-routing). Маршруты формируются исходя из объективных физических факторов, всё работает в IPv6 (только).

Интересно почитать, может даже разобраться. В своё время для меня было совершенным открытием как элегантно и просто работают CAN сети. Зацикливание на одном не только работу в рутину превращает, но и лишает возможности использовать красивые решения пусть и придуманные не в твоём окружении.

26-27 апреля где-то под Москвой прошла конференция Мультисервис 2018. Давно не был, но в своё время данное мероприятие (ещё под Екатеринбургом) произвело на меня впечатление горой подарков от телеканалов :)
Собственно с моей колокольни эта конференция про операторов связи с уклоном в телевидение и орг.вопросы вокруг этого, но всякие вопросы касаемо работы интернет само собой затрагиваются, потому что чистых кабельных ТВ операторов наверное уже и нет. И часто это выглядит как давно известные откровения. Но на злободневные темы бывают интересные разговоры, как и на любой другой конференции где собираются живые люди.
Текстовый репортаж на Кабельщике, можно читать пропустив нулевой день и в целом он даёт хорошее представление о происходящем.

Никогда не забывайте о файрволе. Включаем и с чистой совестью отправляемся на выходные.

Коммуникационные навыки которые необходимы каждому IT профессионалу, свежий обзор от CIO.com. Очевидно что когда делаешь что-то для людей и среди людей, то надо как-то с этими людьми общаться. Некоторые правда читерят и сразу становятся гуманитариями :) но навыки вполне себе правильные.

Часто случается что некоторые из них перегибают делая официальными, скажем заставляя впрямую свою техническую идею продавать неподготовленным людям, которым от неё ни тепло ни холодно. Или с тем же жаргоном, который по факту является терминологией, которая и существует для того чтобы однозначно и точно описывать конкретную ситуацию.

Но в общем, да, если наладить эффективную и понятную коммуникацию внутри компании или с клиентом и вывести это всё на неформальный уровень, то становится сильно проще работать. Но на это надо тратить усилия, несомненно.

Whitebox это значит надо потратиться и на аппаратное и на программное обеспечение, а ещё и на тех.поддержку в двойном размере ;)
Когда-то давно в 1995 сделали Zebr'у, в коммерческом варианте ZebOS. Сейчас опять все смотрят на софтовые решения и поэтому сделали OcNOS, которая может MPLS, SDN, EVPN, TRILL, VxLAN, обычные вещи тоже вроде может - RIPv2. И в большой степени основана на достижениях ZebOS.

Продукт коммерческий, посмотреть что к чему можно на видео презентации 2017 года. Если вдруг решили подбирать систему под свои желания, я думаю стоит обратить внимание как на кандидата.

​DDoS большая проблема для провайдеров, не говоря уже о других игроках, даже небольших. И может быть особенно небольших. При внешних каналах 10-20Гбит/c получить DDoS на полосу даже 5Гбит/c (что обыденность), чаще 10-15Гбит/c - большая проблема. В зависимости от года и времени года такие всплески могут повторяться каждый день, по несколько часов.
При этом не всегда DDoS именно в этом выражается. Перебор адресов в динамическом пуле NAT, при не совсем аккуратной настройке этого самого NAT, может спровоцировать исчерпание пула - адреса удерживаются даже если абоненту фактически они не нужны. На такую атаку (хотя скорее это побочный эффект) не требуется много ресурсов и она может продолжаться сутками.

Понятно, что постоянно ведётся работа по борьбе как минимум с проявлениями подобных атак. У многих магистральных провайдеров есть blackhole BGP community. Уже есть, так как совсем недавно даже этого не было.

Одна из проблем это, как и во многих других случаях, оповещение и взаимодействие между получателем DDoS и тем кто этот DDoS может отразить или как-то на него повлиять. Различные технические механизмы, впринципе существуют, например, BGP Flowspec, как дополнение к просто community. Но это не говорит о том что эти механизмы используются и запрещается придумывать новые механизмы, формировать способы взаимодействия, определять участников и системы, сценарии применения - как в черновике стандарта DDoS Open Threat Signaling.

Сегодня вроде как день рождения спама, 40 лет. Менеджер DEC решивший сэкономить на рекламе, использовал Arpanet для отправки этого самого спама 400 получателям или 393 по другим источникам.  

Никакой вменяемой сегодняшней ссылки не нашлось (хотелось почитать что же там всё таки было в том письме), поэтому вот так - на wired.com немного подробностей из прошлого во всех смыслах, то же на русском у securitylab.ru.

Как таковой спам в классическом понимании лично меня не сильно мучает, фильтры сервера потом Thunderbird почти всё срезают. А вот всякие abuse с автоматическими реакциями в основном на копирайт в торрент сетях с IP наших клиентов, в день по 100 сообщений приходит.

Наглядно, что быстрее скачать один файл в 100 мегабайт или 100 файлов по мегабайту. Ответ тот который сразу напрашивается, а разница в этом тесте почти ровно в 2 раза.

Ну вот как мимо такого пройти? KDE 5 тоже появится в портах FreeBSD. Теперь с мемом беда, ждём следующей версии.

Windows commands reference - всё в одном флаконе на 948 страниц. Стиль как во встроенном help.

​Мегаполезная табличка с типами NAT.
Сначала привыкаешь к терминологии вендоров железа, а потом тебя кто-то спрашивает что такое Symmetric NAT, а ответить нечего - откуда Wikipedia эти термины взяла я так и не понял.
По ссылке стоит обязательно сходить - там серия статей про NAT с подробными и понятными объяснениями.

Сегодня День Радио, тот самый праздник настоящих связистов олдфагов, ну и всякие теле- радиоведущие тоже отмечают зачем-то.

Для интернет связистов, так-то свой праздник есть - 17 мая Всемирный день электросвязи и информационного сообщества.

С праздником!