It

Daniel Dib zapytał ostatnio na Twitterze o czas konwergencji światowego BGP. dwie godziny, które uzyskał od swojego znajomego w odpowiedzi wydawały mi się nieco podejrzane. sam ostatnio pomagałem uruchomić zupełnie nowy ASN z zupełnie nowym prefiksem IPv4 (no dobrze, zarówno ASN jak i prefiks z drugiej ręki, ale jednak) i czas propagacji do najdalszych zakątków świata do których mogłem dotrzeć był zdecydowanie krótszy. więc zacząłem kopać. znalazłem ciekawe opracowanie z 2007 roku, które wspominało o czasach typu 15-30 minut, oraz inne z 2019, które wspomina już o czasie konwergencji rzędu czterech minut. ma to sens, ponieważ przez ostatnie parę lat ilość ścieżek pomiędzy ASNami się zwiększyła, zwiększyły się również moce przerobowe routerów BGP a sam protokół został nieco podkręcony - m.in. przez efektywne wyłączenie zabezpieczeń typu MRAI (Minimum Route Advertisement Interval). ...

WD został całkiem niedawno przyłapany na próbie wciskania klientom dysków w technologii SMR bez informowania o tym (a tak naprawdę, aktywnie wprowadzając w błąd i próbując dodatkowo sprawę wyciszać - co skończyło się pozwem). bo co prawda, przyłapano na tym innych, ale inni mieli tyle przyzwoitości, że szybko zrezygnowali z próby opowiadania że “białe jest czarne”. technologia jest niesamowita. pisałem już o tym. temat rzetelności WD właśnie wrócił i to dosyć z niespodziewanej strony - przez test mikrofonem. okazuje się bowiem, że dyski WD sprzedawane jako kręcące się z prędkością 5400rpm (obrotów na minutę) i tak raportujące swoje parametry pracy przez interfejs S.M.A.R.T. - kręcą się tak naprawdę z prędkością 7200rpm. mgliste tłumaczenia rzecznika prasowego WD tylko pogarszają sprawę. ...

jedną z ciekawych, a rzadko spotykanych konfiguracji jest możliwość zestawienia tunelu z interfejsu należącego do grupy HSRP. pozwala to np. w sytuacji gdy macie dwa routery brzegowe, zestawić jeden tunel do Hurricane Electric aby zapewnić sobie możliwość transmisji IPv6 (tunelowanej, ale jednak). tunel będzie aktywny tylko z routera który jest aktualnie domyślną bramką - i to już. przykład poniżej zawiera zatem konfigurację tunelu IPv6 ponad IPv4, ale tak naprawdę rodzaj tunelu nie ma znaczenia. ...

ostatnio podczas przeglądania logów na kontrolerze WLAN, zauważyłem, że od czasu do czasu nie widać odpowiedzi do stacji z serwera DHCP. trochę się zdziwiłem, bo domownicy nie narzekają - a narzekaliby od razu. postanowiłem sprawę sprawdzić po kolei na wszystkich elementach sieci. pierwsze podejrzenie padło na przełączniki. dlaczego? skoro generalnie wszystko działa, nikt nie narzeka (a narzekają bardzo szybko) prawdopodobnie chodzi o dropy na interfejsach. komunikaty wskazywały bowiem na bardzo rzadkie występowanie problemu. konfiguracja QoS na przełącznikach Cisco Catalyst i Nexus nie jest prosta - to trzeba sobie powiedzieć od razu. w porównaniu jednak do sprzętu innych producentów… właściwie nie ma co porównywać. da się tu z jednej strony zrobić wszystko, z drugiej strony ktoś nieostrożny może sobie strzelić w głowę na tyle wymyślnych sposobów, że jeśli nie spędziłeś z QoSem tygodni na labowaniu - załóż, że lepiej po prostu nic nie rekonfigurować. wykorzystaj zatem albo dedykowane GUI pozwalające między innymi sprawnie wdrożyć politykę QoS na całej sieci - Cisco DNA Center, albo ogranicz się do dwóch podstawowych stanów - QoS włączony (mls qos) albo wyłączony no mls qos. zanim cokolwiek zaczniesz robić, rozważ sprawdzenie tych dwóch najprostszych stanów. ...

o ile wielokrotnie wspominałem już, że routing dynamiczny na firewallu jest proszeniem się o kłopoty, czasami nie ma innego wyjścia. w Cisco nie rekomendujemy używania ASA czy FTD do routing BGP z pełną tablicą. nie dlatego, że się do tego nie nadają, a dlatego, że nie jest to po prostu dobra praktyka w budowaniu, wymiarowaniu i prawidłowej inżynierii sieciowej. poniżej przykłada z testowania w domowym labie klastra składającego się z pary ASA 5516-X, pracujących z oprogramowaniem. klaster dwóch takich ASA otrzymuje sesje BGP z pełnym widokiem światowym z mojego routera brzegowego - ASRa 1001X: ...

w związku z epidemią COVID-19, zostaliśmy dosłownie zalani prośbami o pomoc we wdrożeniu połączeń RA VPN. u niektórych naszych Klientów, ilość zdalnych pracowników w ciągu tygodnia podskoczyła z 0 do 7000. inni świadczą już dzisiaj usługi dla ponad 30,000 użytkowników. a w Cisco pracujemy dzisiaj prawie wszyscy zdalnie - to ponad 100,000 użytkowników na całym świecie skupionych wokół paru wysoko dostępnych i wysokowydajnych koncentratorów VPN. dzięki bardzo szybkiej mobilizacji, napisaliśmy i opublikowaliśmy wraz z inżynierami i specjalistami z wielu różnych organizacji poniże poradniki, opisy wdrożeń - w oparciu zarówno o rozwiązania sprzętowe i wirtualne: ...

całkiem niedawno dzięki Robertowi Pająkowi miałem okazję wystąpić na listopadowej edycji Akamai Affinity. ponieważ z natury rzeczy miało być ‘sieciowo’ - było. tak naprawdę nie do końca całkiem niedawno - w listopadzie zeszłego roku. całkiem niedawno premierę miał nasz przełącznik z portami 400Gbit/s a na kończącym się właśnie Cisco Live! w Barcelonie mieliśmy okazję pokazać światu architekturę ACI Anywhere - rozwiązanie tworzące most między rozwiązaniami łączącymi sprzęt i oprogramowanie z czystym oprogramowaniem na ‘komputerach do wynajęcia’ (czyli w chmurze). ...

…gdy wszyscy się na Ciebie czają. parę tygodni temu odświeżyłem FreeBSD na którym stoi mój prywatny serwer pocztowy. od pewnego czasu ilość spamu po prostu rosła. stary spamassassin nieco nie dawał już sobie rady z poprawnym markowaniem. enter spamd z projektu OpenBSD. uaktualniony postfix ma wbudowany serwer realizujący greylisting działający dosyć dobrze. osobiście delikatnie go dopasowałem zwiększając znacznie czas, który musi upłynąć od ostatniej próby dostarczenia maila (1200 sekund, czyli 20 minut): ...

w trakcie dyskusji z jednym z naszych Klientów, miałem ostatnio okazję porozmawiać trochę o wykorzystaniu anycastu oraz skalowaniu treści przez CDN. ponieważ jednak coraz więcej reklam serwowanych nawet na popularnych stronach to tak naprawdę oprogramowanie złośliwe (ang. malware), w tym minery różnych kryptowalut, powstaje naturalne pytanie - jak mam się przed tym zabezpieczyć? skorzystanie z renomowanego CDNu to dobry pierwszy krok. innym ciekawym, o którym nie wiedziałem (choć gdyby się nad tematem zastanowić, wydaje się jednym z prostszych do wdrożenia) jest sprawdzanie skrótów kryptograficznych dołączanych zasobów. ten obrazek zamienił się w inny albo JavaScript został ‘zmodyfikowany’? sprawdź go. ...

zastanawialiście się ostatnio, jak bardzo przeciążone są akronimy, którymi porozumiewamy się w światku IT codziennie? spędziłem dzisiaj dzień słuchając o VPC, ale nie było to vPC ani nawet VPC - chodziło o Virtual Private Cloud w usługach AWS, a nie virtual Private Channel, ani nie o Virtual Path Connection ani tym bardziej nie o Virtual Packet Core. i muszę powiedzieć, że mi się podobało. spędziłem cały dzień na szkoleniu Mirka Burnejko poświęconego chmurom. tak jak już jakiś czas temu Robert Ślaski mówił na PLNOGu w sesji ‘jak nie zostać bezrobotnym sieciowcem’ - dzisiaj każdy szanujący się inżynier sieciowy musi znać Pythona, rozumieć jak inaczej pojmuje się budowanie sieci w chmurze AWS czy Azure, czy w końcu znać - choćby ogólnie - bardzo bogatą i szybko rozwijającą się ofertę wiodących operatorów chmury. tak dzisiaj wygląda po prostu świat IT jak i OT. czym lepiej i efektywniej posługujemy się tego typu konstrukcjami, rozumiemy gdzie pasują i w jaki sposób można ich użyć - tym lepiej potrafimy odnaleźć się w skomplikowanym świecie dzisiejszych nowych technologii, nie mówiąc już o doradzaniu użytkownikom. ...