jak pewnie można było zauważyć miałem ostatnio okazję pobawić się ponownie paczkami routingu dynamicznego w ogólnodostępnych OSach. z perspektywy znajomości CLI trzymałem się FRRouting, który jest ewolucją pakietu Quagga, która z kolei jest ewolucją pakietu Zebra. a składnia poleceń i cały interfejs linii poleceń (CLI) przypomina Cisco IOS. ...
po ostatnim wpisie dotyczącym pomysłu podzielenia się pełną tablicą BGP IPv4, dostałem dużo ciekawych maili. w części z nich wspominacie o IPv6 - postanowiłem zatem nieco “zmodyfikować” projekt. oświadczenie robisz to na WŁASNĄ RĘKĘ. nie odpowiadam za nic - za przeładowanie Twojego routera, zmianę ruchu w Twojej sieci oraz dowolne inne efekty uboczne. innymi słowy - wszystko jest w Twoich rękach. mogę również zakończyć życie tej usługi albo zmienić ją i nie muszę się z tego tłumaczyć. nie zakładaj zatem, że będzie wieczna :) ...
jedną z ciekawych, a rzadko spotykanych konfiguracji jest możliwość zestawienia tunelu z interfejsu należącego do grupy HSRP. pozwala to np. w sytuacji gdy macie dwa routery brzegowe, zestawić jeden tunel do Hurricane Electric aby zapewnić sobie możliwość transmisji IPv6 (tunelowanej, ale jednak). tunel będzie aktywny tylko z routera który jest aktualnie domyślną bramką - i to już. przykład poniżej zawiera zatem konfigurację tunelu IPv6 ponad IPv4, ale tak naprawdę rodzaj tunelu nie ma znaczenia. ...
ostatnio podczas przeglądania logów na kontrolerze WLAN, zauważyłem, że od czasu do czasu nie widać odpowiedzi do stacji z serwera DHCP. trochę się zdziwiłem, bo domownicy nie narzekają - a narzekaliby od razu. postanowiłem sprawę sprawdzić po kolei na wszystkich elementach sieci. pierwsze podejrzenie padło na przełączniki. dlaczego? skoro generalnie wszystko działa, nikt nie narzeka (a narzekają bardzo szybko) prawdopodobnie chodzi o dropy na interfejsach. komunikaty wskazywały bowiem na bardzo rzadkie występowanie problemu. konfiguracja QoS na przełącznikach Cisco Catalyst i Nexus nie jest prosta - to trzeba sobie powiedzieć od razu. w porównaniu jednak do sprzętu innych producentów… właściwie nie ma co porównywać. da się tu z jednej strony zrobić wszystko, z drugiej strony ktoś nieostrożny może sobie strzelić w głowę na tyle wymyślnych sposobów, że jeśli nie spędziłeś z QoSem tygodni na labowaniu - załóż, że lepiej po prostu nic nie rekonfigurować. wykorzystaj zatem albo dedykowane GUI pozwalające między innymi sprawnie wdrożyć politykę QoS na całej sieci - Cisco DNA Center, albo ogranicz się do dwóch podstawowych stanów - QoS włączony (mls qos) albo wyłączony no mls qos. zanim cokolwiek zaczniesz robić, rozważ sprawdzenie tych dwóch najprostszych stanów. ...
aktualizacja projekt nadal żyje i jest aktywny, ale rezyduje obecnie pod innym adresem IP. przejdź proszę do tego, nowszego posta. poniżej STARY post jeden z ostanich wątków na liście nanog@ spowodował, że wróciłem myślami do projektu, który zamierzałem uruchomić lata temu. a ponieważ miałem dzisiaj dużo “czasu”, odpaliłem darmową usługę “załaduj-swój-router-pełną-prawdziwą-tablicą-bgp” :) jeśli jesteś zainteresowany skorzystaniem z projektu, przejdź od razu tutaj oświadczenie robisz to na WŁASNĄ RĘKĘ. nie odpowiadam za nic - za przeładowanie Twojego routera, zmianę ruchu w Twojej sieci oraz dowolne inne efekty uboczne. innymi słowy - wszystko jest w Twoich rękach. ...
mój ostatni wpis o konstrukcji domowej sieci spowodował, że otrzymałem parę ciekawych maili. mniejsza o większość - doceniam głosy pochwały i chylę czoła przed głosami krytyki :) krótki opis (odsyłam do powyższego linku) jak co jest połączone zakończony, zajmijmy się zatem usługami. podstawową jest oczywiście rozwiązywanie nazw, czyli DNS. “bo to zawsze jest DNS” jak mówi jedna z mądrości sieciowych. ponieważ korzystam z UPSów (dziękujemy Ci, PGE…) mam to szczęście, że większość infrastruktury nawet w przypadku utraty zasilania, będzie działać. czasem jednak trzeba coś uaktualnić, zatrzymać, przenieść - i dobrze byłoby, gdyby usługi nadal działały. w szczególności, gdy Twoje własne dzieci wymuszają SLA sieci powyżej sześciu dziewiątek… ;) ...
o ile wielokrotnie wspominałem już, że routing dynamiczny na firewallu jest proszeniem się o kłopoty, czasami nie ma innego wyjścia. w Cisco nie rekomendujemy używania ASA czy FTD do routing BGP z pełną tablicą. nie dlatego, że się do tego nie nadają, a dlatego, że nie jest to po prostu dobra praktyka w budowaniu, wymiarowaniu i prawidłowej inżynierii sieciowej. poniżej przykłada z testowania w domowym labie klastra składającego się z pary ASA 5516-X, pracujących z oprogramowaniem. klaster dwóch takich ASA otrzymuje sesje BGP z pełnym widokiem światowym z mojego routera brzegowego - ASRa 1001X: ...
jak zapewne nietrudno zauważyć, jestem sieciowym geekiem. swoją domową sieć budowałem od razu z myślą o “dłubaniu” - da się ją zrealizować prościej i “nie zajmować się tematem”, ale mi właśnie chodzi o to, żeby maksymalnie dużo rzeczy dało się jednak sprawdzić “u siebie” zanim opowie się o tym znajomym, Partnerom i Klientom. pierwszym założeniem było zatem to, że musi być szybko - cała instalacja na obu piętrach zrealizowana jest w oparciu o światłowody. założyłem (jak pokazał czas - słusznie), że większość mediów dochodzić będzie gdzieś w okolicach drzwi wejściowych i tzw. “gazowni” - tam gdzie znajduje się piec i niewielka garderoba. umieszczenie tam całej szafy ze sprzętem byłoby optymalne, ale miejsca jest bardzo niewiele a i szum nieakceptowalny przez domowników. ...
mój 256GB dysk SSD w Macu Pro 2013 zaczął się ostatnio niebezpiecznie często zapełniać. wyruszyłem zatem na krótką podróż w Google jak najlepiej rozbudować sobie pamięć masową poza oczywiście korzystaniem z NASów wszelakich (tych akurat parę mam ;) ). okazało się, że dobrzy ludzie w internecie znaleźli najlepsze rozwiązanie z możliwych - dzięki magicznej przejściówce dla interfejsu firmowego Apple’a, można umieścić bezpośrednio w obudowie dysk NVMe. i tak stałem się szczęśliwym posiadaczem dysku 1TB - o ile oryginaly dysk z włączonym szyfrowaniem poruszał się w okolicach 500MB/s odczytu i 380MB/s zapisu, Samsung umieszczony w przelotce i z włączonym szyfrowaniem raportuje 1.3GB/s odczytu i tyleż zapisu. ...
…gdy wszyscy się na Ciebie czają. parę tygodni temu odświeżyłem FreeBSD na którym stoi mój prywatny serwer pocztowy. od pewnego czasu ilość spamu po prostu rosła. stary spamassassin nieco nie dawał już sobie rady z poprawnym markowaniem. enter spamd z projektu OpenBSD. uaktualniony postfix ma wbudowany serwer realizujący greylisting działający dosyć dobrze. osobiście delikatnie go dopasowałem zwiększając znacznie czas, który musi upłynąć od ostatniej próby dostarczenia maila (1200 sekund, czyli 20 minut): ...