Nexus i ECMP dla DNS

jeśli mieliście okazję przeczytać post o budowie mojej sieci domowej, wiecie, że szkieletowym przełącznikiem jest Nexus 93180YC-EX. taki… domowy przełącznik. anycastowe adresy usług tak czy inaczej, w sieci tej mam różną ilość serwerów DNS (i DHCP), które serwują anycastowy adres 192.168.168.168 oraz 2001:470:xx:a6::168. niezależnie od ilości działających serwerów DNS, zawsze przynajmniej jeden powinien odpowiedzieć. obecnie w “klastrze” mam dwie VMki oraz dwa fizycznie Raspberry Pi 4B+. wszystkie pracują pod kontrolą FreeBSD 14....

stycznia 29, 2024 · Łukasz Bromirski

FreeBSD na Raspberry Pi 5

jeśli podobnie jak ja, chciałbyś skorzystać z Raspberry 5 i FreeBSD jednocześnie, samo przegranie obrazu 13.2/14.0 na kartę SD nie wystarczy. oprócz znanego już: $ xz -dc FreeBSD-14.0-RELEASE-arm64-aarch64-RPI.img.xz | sudo dd of=/dev/rdiskX status=progress bs=64M 5368709120 bytes (5369 MB, 5120 MiB) transferred 261.187s, 21 MB/s 320+0 records in 320+0 records out 5368709120 bytes transferred in 261.198115 secs (20554165 bytes/sec) (gdzie rdiskX zawiera identyfikator Twojej karty SD/klucza USB - uwaga na “przypadkowe” nadpisanie sobie dysku systemowego albo innego dysku z danymi)...

stycznia 16, 2024 · Łukasz Bromirski

Uwierzytelnianie kluczami w IOS XR

dawno, dawno temu pisałem o tym jak uwierzytelniać się kluczami przez SSH do urządzeń pracujących pod kontrolą IOS XE oraz do ASA/FTD. ponieważ duzi chłopcy z reguły pracują z IOS XR, poniżej szybki przewodnik jak zaimportować klucze do tego systemu w wersjach 7.0+. OpenSSH i format PEM pierwszym krokiem jest przerobienie formatu używanego przez OpenSSH na format PEM. można to zrobić za pomocą ssh-keygen: .ssh % ssh-keygen -f id_rsa.pub -m pem -e > id_rsa....

lipca 30, 2023 · Łukasz Bromirski

logowanie w VRFie

krótka obserwacja z labowania - jeśli chcesz logować informacje (choćby via Syslog), a interfejs zarządzający umieściłeś w osobnym VRFie (dobry pomysł), konfiguracja VRFu odbywa się w dwóch, a właściwie trzech (jeśli policzyć definicję VRFu) miejscach. jeśli zapomnisz o którymś, logowanie nie zadziała. po pierwsze, stwórzmy definicję VRFu zarządzającego i skonfigurujmy prawidłowo interfejs zarządzający: ! vrf definition MGMNT rd 444:444 ! opcjonalne, ale dla porządku dodaję ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family !...

października 9, 2022 · Łukasz Bromirski

lekki tuning stosu TCP MacOSa

od czasu pierwszych nieśmiałych prób optymalizacji stosu TCP we FreeBSD 4.x, przeglądam od czasem do czasem aktualne standardowe ustawienia w /etc/sysctl.conf i lubię je trochę podrasować. w międzyczasie, wiele z nich zdążyło się poważnie zmienić, zmieniły się też (we FreeBSD wręcz zostały modularne) całe algorytmy zarządzania stosem TCP/IP, ale bazujący na kodzie FreeBSD MacOSX jest troszkę bardziej konserwatywny. na swoich MacOSach mój /etc/sysctl.conf wygląda zatem tak: net.inet.tcp.mssdflt=1460 net.inet.tcp.minmss=536 net.inet.tcp.win_scale_factor=5 net.inet.tcp.randomize_ports=1 net....

września 3, 2022 · Łukasz Bromirski

bgp blackholing wrócił

BGP Blackholing wrócił - małymi kroczkami (‘better done than perfect’). zapraszam na stronę z aktualną “instrukcją obsługi”. miłego blackholowania!

lutego 28, 2022 · Łukasz Bromirski

wygodne podsumowanie maksimum prefiksów w widoku BGP

miłym dodatkiem do ostatnich wersji obrazów IOS-XE jest wartość maksymalna ilości przefiksów rozgłoszonych w procesie BGP: rtr-edge#sh bgp ipv4 unicast summary [...] 6807 received paths for inbound soft reconfiguration BGP activity 1126906/107856 prefixes, 1337822/171863 paths, scan interval 60 secs 878960 networks peaked at 15:02:09 Jan 29 2022 CET (22:53:01.065 ago) [...] rtr-edge#sh bgp ipv6 unicast summary [...] BGP using 102467162 total bytes of memory BGP activity 1126898/107856 prefixes, 1337806/171843 paths, scan interval 60 secs 140720 networks peaked at 05:46:19 Jan 29 2022 CET (1d08h ago) [....

lutego 3, 2022 · Łukasz Bromirski

ctrl-break na nowy (stary) sposób

jedna ze starych (ale przydatnych) sztuczek, która została nawet swego czasu udokumentowana to zasymulowanie kombinacji CTRL+BREAK na nowych PeCetach (i Macach) żeby dostać się do ROMMONu. zamiast walczyć z SecureCRT na MacOSie, miałem okazję przypomnieć ją sobie wczoraj, starając się wyzerować szybko router. generalnie, cała procedura polega na tym, że: rozłączasz terminal od urządzenia wyłączasz urządzenie ustawiasz terminal na 1200 (tak, tysiąc dwieście) baud, 8N1 i brak kontroli przepływu (ang. flow control) włączasz urządzenie naciskasz SPACJĘ przez jakieś 10-15 sekund (zwykle do momentu, aż terminal wyrzuci na ekran jakieś śmieci) przekonfigurujesz sobie terminal na 9600 8N1 i… jesteś w ROMMONie tak, jestem stary....

stycznia 20, 2022 · Łukasz Bromirski

dwu-etapowy system konfiguracji dla NX-OS

jeśli nie przywykłeś do czytania tzw. release notes do kolejnych wydań oprogramowania do swojej ulubionej platformy sieciowej (w tym wypadku - Nexus NX-OS), zapewne przegapiłeś, że od wersji 10.1(2) w NX-OS pojawił się system wprowadzania konfiguracji dokładnie taki jak w IOS XRze - dwustopniowy. co to oznacza? że wykonując zmiany w parserze, możesz pracować na całym bloku konfiguracji. dopiero po jego zatwierdzeniu jest on wprowadzany w życie. na przykład dla zmiany adresu IP na interfejsie (zawsze drażliwy moment, w szczególności gdy urządzenie znajduje się 300km od Ciebie), przykład konfiguracji wyglądać może tak:...

lipca 15, 2021 · Łukasz Bromirski

działający rss

człowiek się starzeje i chyba powoli przestaje przetwarzać sygnały. moje logi trąbiły o tym od dawna, koledzy zwracali uwagę… i nic. po przesiadce na hugo, mimo wbudowanego wsparcia do tworzenia automatycznie strumienia RSS… zapomniałem o tym. wystarczyło dodać wzorzec do strony i… już działa. więc już. to wszystko. działa RSS. hurra.

maja 6, 2021 · Łukasz Bromirski

freebsd i rekompilacja

jeden z prostszych problemów do rozwiązania w momencie gdy pracujecie z FreeBSD zainstalowanym kiedyś na za małym dysku, jest rekompilowanie systemu. chodzi oczywiście o przestrzeń dyskową. w moim przypadku starusieński system który zaczął jeszcze jako i386 w okolicach chyba wersji 6 na dysku 20GB w którymś momencie doszedł do ściany i w okolicach 11 dalej się tak nie dało. w międzyczasie maszyna fizyczna zamieniła się w wirtualną, więc dodanie dysku nie stanowi już problemu....

lutego 4, 2021 · Łukasz Bromirski

techniki łączenia przełączników

od czasu zrezygnowania ze szpiegującego Google Analytics, w zasadzie mało co zaglądam na statystyki tego blogu. widzę, że czytacie - i to mi wystarcza :) zauważyłem jednak, że z jakiegoś przedziwnego powodu mój bardzo stary artykuł o łączeniu przełączników ciągle zbiera po 30-50 ściągnięć co miesiąc, w niektóre miesiące znacznie więcej (wygląda na to, że to nie boty). to mile łechce moje ego, ale ciągle zastanawiam się co tam takiego odkrywczego napisałem :)...

stycznia 22, 2021 · Łukasz Bromirski

freebsd i git

FreeBSD zmigrował właśnie do git i o ile podręcznik jest jeszcze poprawiany, możesz wykonać migrację źródeł na swoją rękę. po pierwsze, przesuń oryginalne źródła (jeśli je masz), do osobnego katalogu. jeśli używasz też własnej konfiguracji jądra - je trzeba będzie też gdzieś przechować. mv /usr/src /usr/src.old kolejnym krokiem jest doinstalowanie git - domyślnie nie jest jeszcze częścią systemu: pkg install git ostatnim krokiem jest sklonowanie repozytorium. ja osobiście śledzę aktualne drzewo -STABLE....

stycznia 20, 2021 · Łukasz Bromirski

rozkładanie ruchu, część pierwsza

jeśli zdarzy wam się sytuacja, w której posiadacie więcej niż jedno łącze do internetu i mają one inne użyteczne przepustowości - co dzisiaj przestało być rzadkością - pojawia się ciekawy element związany z projektowaniem sieci. jak wykorzystać te łącza optymalnie? muszę przyznać, że do napisania tego cyklu postów sprowokował mnie Marcin Ślęczek, prezes firmy networkers.pl swoim postem na forum ccie.pl. miałem co prawda już w głowie coś na kształt rozwiązania problemu z którym sam borykałem się w swojej sieci domowej, ale niemożność rozwiązania problemu Marcina od ręki sprowokowała mnie do opisania problemu i potencjalnych rozwiązań od podszewki....

stycznia 7, 2021 · Łukasz Bromirski

Raspberry Pi 4 i chłodzenie

przychodzące samodzielnie lub w firmowym opakowaniu Raspberry Pi 4 może przyprawić o ból głowy. ten swoją drogą genialny komputer (nie pytajcie ile mam… ;) ), w wersji czwartej ma naprawdę szybki procesor Broadcoma BCM2711, zawierający cztery rdzenie ARM Cortex A72 taktowane zegarem do 1.5GHz oraz dedykowany procesor GPU. problemy ludzie raportują jednak dosyć poważne problemy z przegrzewaniem się oraz brakiem możliwości uzyskania stabilnego wyjścia 4k przy 60Hz (pamiętajcie - są dwa wejścia, ale 60Hz daje tylko ten bliżej zasilania USB-C)....

grudnia 30, 2020 · Łukasz Bromirski

technologia jest jedynie narzędziem...

…ale narzędzi należy używać odpowiedzialnie. po pierwsze, niech wolno mi będzie złożyć pewne oświadczenie - dla tych, którzy mnie nie znają, żeby uniknąć nieporozumień, które może zrodzić pobieżna lektura tego postu: jestem wielkim fanem dyskusji o zaletach technologii. wierzę głęboko, że możliwość tworzenia sieci, rozwiązań które naprawdę pozwalają ludziom zbliżyć się do siebie i komunikować na odległość to coś co robię i mogę robić przez resztę życia z całym zaangażowaniem...

grudnia 28, 2020 · Łukasz Bromirski

FRRouting, OpenBGPd i BIRD

jak pewnie można było zauważyć miałem ostatnio okazję pobawić się ponownie paczkami routingu dynamicznego w ogólnodostępnych OSach. z perspektywy znajomości CLI trzymałem się FRRouting, który jest ewolucją pakietu Quagga, która z kolei jest ewolucją pakietu Zebra. a składnia poleceń i cały interfejs linii poleceń (CLI) przypomina Cisco IOS. FRRouting podziękowania dla Joba Snijdersa za korektę - ten projekt już nie nazywa się OpenFRR tylko FRRouting. przepraszam! :) niestety, o ile FRRouting sprawdza się doskonale w mojej sieci, w trakcie wdrożenia AS112 trafiłem na niemiłą niespodziankę....

października 22, 2020 · Łukasz Bromirski

bgp w labie #3

po ostatnim wpisie dotyczącym pomysłu podzielenia się pełną tablicą BGP IPv4, dostałem dużo ciekawych maili. w części z nich wspominacie o IPv6 - postanowiłem zatem nieco “zmodyfikować” projekt. oświadczenie robisz to na WŁASNĄ RĘKĘ. nie odpowiadam za nic - za przeładowanie Twojego routera, zmianę ruchu w Twojej sieci oraz dowolne inne efekty uboczne. innymi słowy - wszystko jest w Twoich rękach. mogę również zakończyć życie tej usługi albo zmienić ją i nie muszę się z tego tłumaczyć....

października 7, 2020 · Łukasz Bromirski

redundantny tunel IPv6 od HE z HSRP

jedną z ciekawych, a rzadko spotykanych konfiguracji jest możliwość zestawienia tunelu z interfejsu należącego do grupy HSRP. pozwala to np. w sytuacji gdy macie dwa routery brzegowe, zestawić jeden tunel do Hurricane Electric aby zapewnić sobie możliwość transmisji IPv6 (tunelowanej, ale jednak). tunel będzie aktywny tylko z routera który jest aktualnie domyślną bramką - i to już. przykład poniżej zawiera zatem konfigurację tunelu IPv6 ponad IPv4, ale tak naprawdę rodzaj tunelu nie ma znaczenia....

sierpnia 31, 2020 · Łukasz Bromirski

ISC DHCP, FreeBSD i VMWare ESXi

ostatnio podczas przeglądania logów na kontrolerze WLAN, zauważyłem, że od czasu do czasu nie widać odpowiedzi do stacji z serwera DHCP. trochę się zdziwiłem, bo domownicy nie narzekają - a narzekaliby od razu. postanowiłem sprawę sprawdzić po kolei na wszystkich elementach sieci. pierwsze podejrzenie padło na przełączniki. dlaczego? skoro generalnie wszystko działa, nikt nie narzeka (a narzekają bardzo szybko) prawdopodobnie chodzi o dropy na interfejsach. komunikaty wskazywały bowiem na bardzo rzadkie występowanie problemu....

sierpnia 29, 2020 · Łukasz Bromirski

bgp w labie #2

aktualizacja projekt nadal żyje i jest aktywny, ale rezyduje obecnie pod innym adresem IP. przejdź proszę do tego, nowszego posta. poniżej STARY post jeden z ostanich wątków na liście nanog@ spowodował, że wróciłem myślami do projektu, który zamierzałem uruchomić lata temu. a ponieważ miałem dzisiaj dużo “czasu”, odpaliłem darmową usługę “załaduj-swój-router-pełną-prawdziwą-tablicą-bgp” :) jeśli jesteś zainteresowany skorzystaniem z projektu, przejdź od razu tutaj oświadczenie robisz to na WŁASNĄ RĘKĘ. nie odpowiadam za nic - za przeładowanie Twojego routera, zmianę ruchu w Twojej sieci oraz dowolne inne efekty uboczne....

sierpnia 5, 2020 · Łukasz Bromirski

moja sieć domowa #2

mój ostatni wpis o konstrukcji domowej sieci spowodował, że otrzymałem parę ciekawych maili. mniejsza o większość - doceniam głosy pochwały i chylę czoła przed głosami krytyki :) krótki opis (odsyłam do powyższego linku) jak co jest połączone zakończony, zajmijmy się zatem usługami. podstawową jest oczywiście rozwiązywanie nazw, czyli DNS. “bo to zawsze jest DNS” jak mówi jedna z mądrości sieciowych. ponieważ korzystam z UPSów (dziękujemy Ci, PGE…) mam to szczęście, że większość infrastruktury nawet w przypadku utraty zasilania, będzie działać....

lipca 27, 2020 · Łukasz Bromirski

ASA i pełne tablice BGP

o ile wielokrotnie wspominałem już, że routing dynamiczny na firewallu jest proszeniem się o kłopoty, czasami nie ma innego wyjścia. w Cisco nie rekomendujemy używania ASA czy FTD do routing BGP z pełną tablicą. nie dlatego, że się do tego nie nadają, a dlatego, że nie jest to po prostu dobra praktyka w budowaniu, wymiarowaniu i prawidłowej inżynierii sieciowej. poniżej przykłada z testowania w domowym labie klastra składającego się z pary ASA 5516-X, pracujących z oprogramowaniem....

marca 21, 2020 · Łukasz Bromirski

moja sieć domowa #1

jak zapewne nietrudno zauważyć, jestem sieciowym geekiem. swoją domową sieć budowałem od razu z myślą o “dłubaniu” - da się ją zrealizować prościej i “nie zajmować się tematem”, ale mi właśnie chodzi o to, żeby maksymalnie dużo rzeczy dało się jednak sprawdzić “u siebie” zanim opowie się o tym znajomym, Partnerom i Klientom. pierwszym założeniem było zatem to, że musi być szybko - cała instalacja na obu piętrach zrealizowana jest w oparciu o światłowody....

kwietnia 22, 2018 · Łukasz Bromirski

miejsca i prędkości nigdy nie za wiele

mój 256GB dysk SSD w Macu Pro 2013 zaczął się ostatnio niebezpiecznie często zapełniać. wyruszyłem zatem na krótką podróż w Google jak najlepiej rozbudować sobie pamięć masową poza oczywiście korzystaniem z NASów wszelakich (tych akurat parę mam ;) ). okazało się, że dobrzy ludzie w internecie znaleźli najlepsze rozwiązanie z możliwych - dzięki magicznej przejściówce dla interfejsu firmowego Apple’a, można umieścić bezpośrednio w obudowie dysk NVMe. i tak stałem się szczęśliwym posiadaczem dysku 1TB - o ile oryginaly dysk z włączonym szyfrowaniem poruszał się w okolicach 500MB/s odczytu i 380MB/s zapisu, Samsung umieszczony w przelotce i z włączonym szyfrowaniem raportuje 1....

marca 12, 2018 · Łukasz Bromirski

ciężko być spamerem

…gdy wszyscy się na Ciebie czają. parę tygodni temu odświeżyłem FreeBSD na którym stoi mój prywatny serwer pocztowy. od pewnego czasu ilość spamu po prostu rosła. stary spamassassin nieco nie dawał już sobie rady z poprawnym markowaniem. enter spamd z projektu OpenBSD. uaktualniony postfix ma wbudowany serwer realizujący greylisting działający dosyć dobrze. osobiście delikatnie go dopasowałem zwiększając znacznie czas, który musi upłynąć od ostatniej próby dostarczenia maila (1200 sekund, czyli 20 minut):...

marca 5, 2018 · Łukasz Bromirski

freenas i lsi

moja stara biedna karta 9211-8i w serwerze na którym trzymam NAS cache jednak postanowiła odejść. wsadzona ’na szybko’ karta 9261-8i nie chciała mi nawet FreeNASa zbootować… i nie mogłem dojść czemu. kręciłem się wokół problemów przy bootowaniu: mfi0: COMMAND 0xfffffe000150dc08 TIMEOUT AFTER 59 SECONDS mfi0: COMMAND 0xfffffe000150dc90 TIMEOUT AFTER 59 SECONDS mfi0: COMMAND 0xfffffe000150dc18 TIMEOUT AFTER 59 SECONDS run_interrupt_driven_hooks: still waiting after 60 seconds for xpt_config fora pokazują abstrakcyjne rozwiązania (‘wyłącz kontroler Firewire’, albo ‘w ogóle kontroler ATA!...

kwietnia 17, 2017 · Łukasz Bromirski

proszę taktownie zegarować!

w ciągu ostatnich 30 lat prędkość pracy procesorów zwiększyła się z milionów cykli do miliardów - zwielokrotnionych przez wielordzeniowość i specjalne mechanizmy zwiększające efektywność pracy z “nudzącymi” się rdzeniami. procesor Pentium 66 z 1993 zawierał 3.2 miliona tranzystorów, co i tak jest wartością kosmiczną biorąc pod uwagę upakowanie ich w niewielkiej przestrzeni wielkości czterech kostek do gry - i zawierał jedną jednostkę główną. dostępny dzisiaj Xeon E5-2699v4 ma 22 rdzenie pracujące z nominalną częstotliwością zegara 2....

lutego 8, 2017 · Łukasz Bromirski

FreeNAS i Samba - sprawa MacOS

FreeNAS to specjalna edycja mocno stuningowanego FreeBSD (niekoniecznie najnowszego), z dodatkowym interfejsem WWW do świadczenia usług typowych dla NAS. musiałem ostatnio w pośpiechu migrować swojego NASa Synology 1815+, który po prostu pewnego dnia powiedział ’nie’. na nic zdały się resety, magiczne zabiegi oraz fora w internecie. ku mojemu zdziwieniu, na nic również zdał się kontakt z serwisem - ponieważ sprzęt został kupiony trzy lata temu, serwis w zasadzie wysłał mnie na drzewo....

stycznia 6, 2017 · Łukasz Bromirski

recertyfikacja

co dwa (lub trzy, jeśli dopuścimy wejście w stan ‘zawieszony’) lata, w życiu każdego CCIE i CCDE pojawia się ten straszny moment zwany ‘recertyfikacją’. panika jest zwykle krótkotrwała i kończy się ‘popchnięciem’ - z użyciem różnych technik, ale jednak do przodu. miałem okazję trafić właśnie ostatnio na konieczność ‘recerta’ - i sprawdza się mądrość ludowa, że ludzie, którzy na bieżąco przestają mieć do czynienia z sieciami, mają z tym problemy....

października 3, 2015 · Łukasz Bromirski