dawno, dawno temu pisałem o tym jak uwierzytelniać się kluczami przez SSH do urządzeń pracujących pod kontrolą IOS XE oraz do ASA/FTD. ponieważ duzi chłopcy z reguły pracują z IOS XR, poniżej szybki przewodnik jak zaimportować klucze do tego systemu w wersjach 7.0+. OpenSSH i format PEM pierwszym krokiem jest przerobienie formatu używanego przez OpenSSH na format PEM. można to zrobić za pomocą ssh-keygen: .ssh % ssh-keygen -f id_rsa.pub -m pem -e > id_rsa....
krótka obserwacja z labowania - jeśli chcesz logować informacje (choćby via Syslog), a interfejs zarządzający umieściłeś w osobnym VRFie (dobry pomysł), konfiguracja VRFu odbywa się w dwóch, a właściwie trzech (jeśli policzyć definicję VRFu) miejscach. jeśli zapomnisz o którymś, logowanie nie zadziała. po pierwsze, stwórzmy definicję VRFu zarządzającego i skonfigurujmy prawidłowo interfejs zarządzający: ! vrf definition MGMNT rd 444:444 ! opcjonalne, ale dla porządku dodaję ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family !...
od czasu pierwszych nieśmiałych prób optymalizacji stosu TCP we FreeBSD 4.x, przeglądam od czasem do czasem aktualne standardowe ustawienia w /etc/sysctl.conf i lubię je trochę podrasować. w międzyczasie, wiele z nich zdążyło się poważnie zmienić, zmieniły się też (we FreeBSD wręcz zostały modularne) całe algorytmy zarządzania stosem TCP/IP, ale bazujący na kodzie FreeBSD MacOSX jest troszkę bardziej konserwatywny. na swoich MacOSach mój /etc/sysctl.conf wygląda zatem tak: net.inet.tcp.mssdflt=1460 net.inet.tcp.minmss=536 net.inet.tcp.win_scale_factor=5 net.inet.tcp.randomize_ports=1 net....
BGP Blackholing wrócił - małymi kroczkami (‘better done than perfect’). zapraszam na stronę z aktualną “instrukcją obsługi”. miłego blackholowania!
miłym dodatkiem do ostatnich wersji obrazów IOS-XE jest wartość maksymalna ilości przefiksów rozgłoszonych w procesie BGP: rtr-edge#sh bgp ipv4 unicast summary [...] 6807 received paths for inbound soft reconfiguration BGP activity 1126906/107856 prefixes, 1337822/171863 paths, scan interval 60 secs 878960 networks peaked at 15:02:09 Jan 29 2022 CET (22:53:01.065 ago) [...] rtr-edge#sh bgp ipv6 unicast summary [...] BGP using 102467162 total bytes of memory BGP activity 1126898/107856 prefixes, 1337806/171843 paths, scan interval 60 secs 140720 networks peaked at 05:46:19 Jan 29 2022 CET (1d08h ago) [....
jedna ze starych (ale przydatnych) sztuczek, która została nawet swego czasu udokumentowana to zasymulowanie kombinacji CTRL+BREAK na nowych PeCetach (i Macach) żeby dostać się do ROMMONu. zamiast walczyć z SecureCRT na MacOSie, miałem okazję przypomnieć ją sobie wczoraj, starając się wyzerować szybko router. generalnie, cała procedura polega na tym, że: rozłączasz terminal od urządzenia wyłączasz urządzenie ustawiasz terminal na 1200 (tak, tysiąc dwieście) baud, 8N1 i brak kontroli przepływu (ang. flow control) włączasz urządzenie naciskasz SPACJĘ przez jakieś 10-15 sekund (zwykle do momentu, aż terminal wyrzuci na ekran jakieś śmieci) przekonfigurujesz sobie terminal na 9600 8N1 i… jesteś w ROMMONie tak, jestem stary....
jeśli nie przywykłeś do czytania tzw. release notes do kolejnych wydań oprogramowania do swojej ulubionej platformy sieciowej (w tym wypadku - Nexus NX-OS), zapewne przegapiłeś, że od wersji 10.1(2) w NX-OS pojawił się system wprowadzania konfiguracji dokładnie taki jak w IOS XRze - dwustopniowy. co to oznacza? że wykonując zmiany w parserze, możesz pracować na całym bloku konfiguracji. dopiero po jego zatwierdzeniu jest on wprowadzany w życie. na przykład dla zmiany adresu IP na interfejsie (zawsze drażliwy moment, w szczególności gdy urządzenie znajduje się 300km od Ciebie), przykład konfiguracji wyglądać może tak:...
człowiek się starzeje i chyba powoli przestaje przetwarzać sygnały. moje logi trąbiły o tym od dawna, koledzy zwracali uwagę… i nic. po przesiadce na hugo, mimo wbudowanego wsparcia do tworzenia automatycznie strumienia RSS… zapomniałem o tym. wystarczyło dodać wzorzec do strony i… już działa. więc już. to wszystko. działa RSS. hurra.
jeden z prostszych problemów do rozwiązania w momencie gdy pracujecie z FreeBSD zainstalowanym kiedyś na za małym dysku, jest rekompilowanie systemu. chodzi oczywiście o przestrzeń dyskową. w moim przypadku starusieński system który zaczął jeszcze jako i386 w okolicach chyba wersji 6 na dysku 20GB w którymś momencie doszedł do ściany i w okolicach 11 dalej się tak nie dało. w międzyczasie maszyna fizyczna zamieniła się w wirtualną, więc dodanie dysku nie stanowi już problemu....
od czasu zrezygnowania ze szpiegującego Google Analytics, w zasadzie mało co zaglądam na statystyki tego blogu. widzę, że czytacie - i to mi wystarcza :) zauważyłem jednak, że z jakiegoś przedziwnego powodu mój bardzo stary artykuł o łączeniu przełączników ciągle zbiera po 30-50 ściągnięć co miesiąc, w niektóre miesiące znacznie więcej (wygląda na to, że to nie boty). to mile łechce moje ego, ale ciągle zastanawiam się co tam takiego odkrywczego napisałem :)...
FreeBSD zmigrował właśnie do git i o ile podręcznik jest jeszcze poprawiany, możesz wykonać migrację źródeł na swoją rękę. po pierwsze, przesuń oryginalne źródła (jeśli je masz), do osobnego katalogu. jeśli używasz też własnej konfiguracji jądra - je trzeba będzie też gdzieś przechować. mv /usr/src /usr/src.old kolejnym krokiem jest doinstalowanie git - domyślnie nie jest jeszcze częścią systemu: pkg install git ostatnim krokiem jest sklonowanie repozytorium. ja osobiście śledzę aktualne drzewo -STABLE....
jeśli zdarzy wam się sytuacja, w której posiadacie więcej niż jedno łącze do internetu i mają one inne użyteczne przepustowości - co dzisiaj przestało być rzadkością - pojawia się ciekawy element związany z projektowaniem sieci. jak wykorzystać te łącza optymalnie? muszę przyznać, że do napisania tego cyklu postów sprowokował mnie Marcin Ślęczek, prezes firmy networkers.pl swoim postem na forum ccie.pl. miałem co prawda już w głowie coś na kształt rozwiązania problemu z którym sam borykałem się w swojej sieci domowej, ale niemożność rozwiązania problemu Marcina od ręki sprowokowała mnie do opisania problemu i potencjalnych rozwiązań od podszewki....
przychodzące samodzielnie lub w firmowym opakowaniu Raspberry Pi 4 może przyprawić o ból głowy. ten swoją drogą genialny komputer (nie pytajcie ile mam… ;) ), w wersji czwartej ma naprawdę szybki procesor Broadcoma BCM2711, zawierający cztery rdzenie ARM Cortex A72 taktowane zegarem do 1.5GHz oraz dedykowany procesor GPU. problemy ludzie raportują jednak dosyć poważne problemy z przegrzewaniem się oraz brakiem możliwości uzyskania stabilnego wyjścia 4k przy 60Hz (pamiętajcie - są dwa wejścia, ale 60Hz daje tylko ten bliżej zasilania USB-C)....
…ale narzędzi należy używać odpowiedzialnie. po pierwsze, niech wolno mi będzie złożyć pewne oświadczenie - dla tych, którzy mnie nie znają, żeby uniknąć nieporozumień, które może zrodzić pobieżna lektura tego postu: jestem wielkim fanem dyskusji o zaletach technologii. wierzę głęboko, że możliwość tworzenia sieci, rozwiązań które naprawdę pozwalają ludziom zbliżyć się do siebie i komunikować na odległość to coś co robię i mogę robić przez resztę życia z całym zaangażowaniem...
jak pewnie można było zauważyć miałem ostatnio okazję pobawić się ponownie paczkami routingu dynamicznego w ogólnodostępnych OSach. z perspektywy znajomości CLI trzymałem się FRRouting, który jest ewolucją pakietu Quagga, która z kolei jest ewolucją pakietu Zebra. a składnia poleceń i cały interfejs linii poleceń (CLI) przypomina Cisco IOS. FRRouting podziękowania dla Joba Snijdersa za korektę - ten projekt już nie nazywa się OpenFRR tylko FRRouting. przepraszam! :) niestety, o ile FRRouting sprawdza się doskonale w mojej sieci, w trakcie wdrożenia AS112 trafiłem na niemiłą niespodziankę....
po ostatnim wpisie dotyczącym pomysłu podzielenia się pełną tablicą BGP IPv4, dostałem dużo ciekawych maili. w części z nich wspominacie o IPv6 - postanowiłem zatem nieco “zmodyfikować” projekt. oświadczenie robisz to na WŁASNĄ RĘKĘ. nie odpowiadam za nic - za przeładowanie Twojego routera, zmianę ruchu w Twojej sieci oraz dowolne inne efekty uboczne. innymi słowy - wszystko jest w Twoich rękach. mogę również zakończyć życie tej usługi albo zmienić ją i nie muszę się z tego tłumaczyć....
jedną z ciekawych, a rzadko spotykanych konfiguracji jest możliwość zestawienia tunelu z interfejsu należącego do grupy HSRP. pozwala to np. w sytuacji gdy macie dwa routery brzegowe, zestawić jeden tunel do Hurricane Electric aby zapewnić sobie możliwość transmisji IPv6 (tunelowanej, ale jednak). tunel będzie aktywny tylko z routera który jest aktualnie domyślną bramką - i to już. przykład poniżej zawiera zatem konfigurację tunelu IPv6 ponad IPv4, ale tak naprawdę rodzaj tunelu nie ma znaczenia....
ostatnio podczas przeglądania logów na kontrolerze WLAN, zauważyłem, że od czasu do czasu nie widać odpowiedzi do stacji z serwera DHCP. trochę się zdziwiłem, bo domownicy nie narzekają - a narzekaliby od razu. postanowiłem sprawę sprawdzić po kolei na wszystkich elementach sieci. pierwsze podejrzenie padło na przełączniki. dlaczego? skoro generalnie wszystko działa, nikt nie narzeka (a narzekają bardzo szybko) prawdopodobnie chodzi o dropy na interfejsach. komunikaty wskazywały bowiem na bardzo rzadkie występowanie problemu....
aktualizacja projekt nadal żyje i jest aktywny, ale rezyduje obecnie pod innym adresem IP. przejdź proszę do tego, nowszego posta. poniżej STARY post jeden z ostanich wątków na liście nanog@ spowodował, że wróciłem myślami do projektu, który zamierzałem uruchomić lata temu. a ponieważ miałem dzisiaj dużo “czasu”, odpaliłem darmową usługę “załaduj-swój-router-pełną-prawdziwą-tablicą-bgp” :) jeśli jesteś zainteresowany skorzystaniem z projektu, przejdź od razu tutaj oświadczenie robisz to na WŁASNĄ RĘKĘ. nie odpowiadam za nic - za przeładowanie Twojego routera, zmianę ruchu w Twojej sieci oraz dowolne inne efekty uboczne....
mój ostatni wpis o konstrukcji domowej sieci spowodował, że otrzymałem parę ciekawych maili. mniejsza o większość - doceniam głosy pochwały i chylę czoła przed głosami krytyki :) krótki opis (odsyłam do powyższego linku) jak co jest połączone zakończony, zajmijmy się zatem usługami. podstawową jest oczywiście rozwiązywanie nazw, czyli DNS. “bo to zawsze jest DNS” jak mówi jedna z mądrości sieciowych. ponieważ korzystam z UPSów (dziękujemy Ci, PGE…) mam to szczęście, że większość infrastruktury nawet w przypadku utraty zasilania, będzie działać....
o ile wielokrotnie wspominałem już, że routing dynamiczny na firewallu jest proszeniem się o kłopoty, czasami nie ma innego wyjścia. w Cisco nie rekomendujemy używania ASA czy FTD do routing BGP z pełną tablicą. nie dlatego, że się do tego nie nadają, a dlatego, że nie jest to po prostu dobra praktyka w budowaniu, wymiarowaniu i prawidłowej inżynierii sieciowej. poniżej przykłada z testowania w domowym labie klastra składającego się z pary ASA 5516-X, pracujących z oprogramowaniem....
jak zapewne nietrudno zauważyć, jestem sieciowym geekiem. swoją domową sieć budowałem od razu z myślą o “dłubaniu” - da się ją zrealizować prościej i “nie zajmować się tematem”, ale mi właśnie chodzi o to, żeby maksymalnie dużo rzeczy dało się jednak sprawdzić “u siebie” zanim opowie się o tym znajomym, Partnerom i Klientom. pierwszym założeniem było zatem to, że musi być szybko - cała instalacja na obu piętrach zrealizowana jest w oparciu o światłowody....
mój 256GB dysk SSD w Macu Pro 2013 zaczął się ostatnio niebezpiecznie często zapełniać. wyruszyłem zatem na krótką podróż w Google jak najlepiej rozbudować sobie pamięć masową poza oczywiście korzystaniem z NASów wszelakich (tych akurat parę mam ;) ). okazało się, że dobrzy ludzie w internecie znaleźli najlepsze rozwiązanie z możliwych - dzięki magicznej przejściówce dla interfejsu firmowego Apple’a, można umieścić bezpośrednio w obudowie dysk NVMe. i tak stałem się szczęśliwym posiadaczem dysku 1TB - o ile oryginaly dysk z włączonym szyfrowaniem poruszał się w okolicach 500MB/s odczytu i 380MB/s zapisu, Samsung umieszczony w przelotce i z włączonym szyfrowaniem raportuje 1....
…gdy wszyscy się na Ciebie czają. parę tygodni temu odświeżyłem FreeBSD na którym stoi mój prywatny serwer pocztowy. od pewnego czasu ilość spamu po prostu rosła. stary spamassassin nieco nie dawał już sobie rady z poprawnym markowaniem. enter spamd z projektu OpenBSD. uaktualniony postfix ma wbudowany serwer realizujący greylisting działający dosyć dobrze. osobiście delikatnie go dopasowałem zwiększając znacznie czas, który musi upłynąć od ostatniej próby dostarczenia maila (1200 sekund, czyli 20 minut):...
moja stara biedna karta 9211-8i w serwerze na którym trzymam NAS cache jednak postanowiła odejść. wsadzona ’na szybko’ karta 9261-8i nie chciała mi nawet FreeNASa zbootować… i nie mogłem dojść czemu. kręciłem się wokół problemów przy bootowaniu: mfi0: COMMAND 0xfffffe000150dc08 TIMEOUT AFTER 59 SECONDS mfi0: COMMAND 0xfffffe000150dc90 TIMEOUT AFTER 59 SECONDS mfi0: COMMAND 0xfffffe000150dc18 TIMEOUT AFTER 59 SECONDS run_interrupt_driven_hooks: still waiting after 60 seconds for xpt_config fora pokazują abstrakcyjne rozwiązania (‘wyłącz kontroler Firewire’, albo ‘w ogóle kontroler ATA!...
w ciągu ostatnich 30 lat prędkość pracy procesorów zwiększyła się z milionów cykli do miliardów - zwielokrotnionych przez wielordzeniowość i specjalne mechanizmy zwiększające efektywność pracy z “nudzącymi” się rdzeniami. procesor Pentium 66 z 1993 zawierał 3.2 miliona tranzystorów, co i tak jest wartością kosmiczną biorąc pod uwagę upakowanie ich w niewielkiej przestrzeni wielkości czterech kostek do gry - i zawierał jedną jednostkę główną. dostępny dzisiaj Xeon E5-2699v4 ma 22 rdzenie pracujące z nominalną częstotliwością zegara 2....
FreeNAS to specjalna edycja mocno stuningowanego FreeBSD (niekoniecznie najnowszego), z dodatkowym interfejsem WWW do świadczenia usług typowych dla NAS. musiałem ostatnio w pośpiechu migrować swojego NASa Synology 1815+, który po prostu pewnego dnia powiedział ’nie’. na nic zdały się resety, magiczne zabiegi oraz fora w internecie. ku mojemu zdziwieniu, na nic również zdał się kontakt z serwisem - ponieważ sprzęt został kupiony trzy lata temu, serwis w zasadzie wysłał mnie na drzewo....
co dwa (lub trzy, jeśli dopuścimy wejście w stan ‘zawieszony’) lata, w życiu każdego CCIE i CCDE pojawia się ten straszny moment zwany ‘recertyfikacją’. panika jest zwykle krótkotrwała i kończy się ‘popchnięciem’ - z użyciem różnych technik, ale jednak do przodu. miałem okazję trafić właśnie ostatnio na konieczność ‘recerta’ - i sprawdza się mądrość ludowa, że ludzie, którzy na bieżąco przestają mieć do czynienia z sieciami, mają z tym problemy....
zdarzyło się tak, że dopadł mnie weekend na wsi :) router Cisco 887VAGW+7-E-K9, mała konfiguracja (jak poniżej) i jest dobrze. ! chat-script gsm "" "AT!SCACT=1,1" TIMEOUT 15 "OK" ! interface Cellular0 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation slip load-interval 30 dialer in-band dialer idle-timeout 300 dialer string gsm dialer-group 1 async mode interactive ! ip nat translation timeout 60 ip route 0.0.0.0 0.0.0.0 Cellular0 ! dialer-list 1 protocol ip permit !...
temat stary jak świat, ale właśnie musiałem zrobić trochę porządków i trafiłem na problem z kluczami… 4096 bitowymi. bardziej dla własnej informacji, ale być może komuś to zebrane w jednym miejscu się przyda. klucze do Cisco IOS importuje się bez specjalnego problemu: router#conf t Enter configuration commands, one per line. End with CNTL/Z. router(config)#ip ssh pubkey-chain router(conf-ssh-pubkey)#username TEST router(conf-ssh-pubkey-user)#key-string router(conf-ssh-pubkey-data)#AAAAB3NzaC1yc2EAAAADAQABAAACAQDCiLBaopUwsFb9YJNhGqVYqBajlrH S/zwD6/yR6N8VcRzrpqMMNCFXe1q5GMGM[...]ANWInd9GHBjTzbJWVwavxy1ooQewii8ErofZuv1l/SXSdXLzfL p0zMoZ0L+BNPS0j4XBS0N3t8Vl8oVixqIeG2BNTCNaDDt6hx2Q== lukasz@bromirski.net router(conf-ssh-pubkey-user)#exit router(conf-ssh-pubkey)#exit dla Cisco ASA klucze powyżej 2048 bitów trzeba zaimportować używając formatu pkf - ponieważ linia poleceń ma ograniczenie do 512 bajtów....