Posts

dostawanie się do zdalnych Windowsów przez Remote Desktop jest w momencie pracy na konsoli lub na łączu które nie oferuje radości posiadania jakiejkolwiek przepustowości po prostu męką. tak się złożyło, że parę takich maszyn stoi w różnych miejscach - i fajnie byłoby mieć do nich zdalny dostęp. na pomoc przychodzi cygwin (jest jeszcze VanDyke’owy V-Shell, ale troszkę drogi do zastosowań niebiznesowych), który pozwala zastosować prawdziwe OpenSSH i wszelkie korzyści z tym związane (SCP/etc)....

jak co roku zespół inżynierów Cisco opiekuje się kwestiami związanymi z zabezpieczeniem dostępu sieciowego dla całej infrastruktury Wielkiej Orkiestry Świątecznej Pomocy. w tym roku postanowiliśmy eksperymentalnie uruchomić również dostęp po IPv6 - niestety nie udało się przenieść całości rozwiązania na IPv6 (w przyszłym roku powinno to być już możliwe), ale wszyscy dysponujący dostępem do IPv6 mogą oglądać strony Orkiestry za pomocą adresu ipv6.wosp.org.pl. całość jak widać poniżej pracuje na reverse proxy realizowanym na Apache, FreeBSD i serwerze MCS Cisco :)...

zbliża się koniec roku - wszystkich którzy wykorzystują (jak ja) FreeBSD wszędzie tam gdzie potrzebna jest niezawodność, wydajność, bezpieczeństwo i skalowalność, sugeruję udać się na stronę fundacji i wesprzeć kolejne projekty swoimi pieniędzmi. http://www.freebsdfoundation.org/donate/

CONFidence 2010 właśnie się kończy, w imprezie znacząco nazwanej ‘game over’. miałem przyjemność uczestniczyć i nawet opowiedzieć o bezpieczeństwie IPv6 (prezentacja znajduje się w dziale prezentacje). małe podsumowanie sesji na których byłem:

dawno dawno temu, zabawa z BGP (samo nieco ironiczne tłumaczenie tego akronimu jako Bardzo Groźny Protokół zdaje się zdradzać w którą stronę podąża ten akapit) była zdecydowanie zarezerwowana dla wtajemniczonych tego świata, którzy nieco jak Lemowski Trurl i Klapaucjusz naśmiewali się z niewiedzy, ale z drugiej strony sami tą wiedzą się nie dzielili. potem zmieniło się wiele, opary w jaskiniach wiedzy nieco się rozrzedziły, pojawiły się kursy, certyfikacje, elitarne a potem masowe kursy - i nagle BGP ma w domu każda gospodyni domowa, gdyż bez niego nie wrzuci sobie via bluetooth nowego kontaktu do komórki....

na najbliższej edycji konferencji CONFidence, która odywać się będzie wyjątkowo w Pradze, opowiem troszkę ale ze szczegółami o bezpieczeństwie i niebezpieczeństwie związanym z tym jak obecnie IPv6 wdraża się w sieciach i co to dla nas, przeciętnych zjadaczy chleba, oznacza. będzie to swoją drogą również podsumowanie doświadczeń z paru konferencji na których uruchamialiśmy IPv6. do zobaczenia w Pradze!

zauważyłem dzisiaj na niebezpieczniku genialny artykuł o tym jak straż miejska dba dzielnie o bezpieczeństwo nas wszystkich rozstawiając fotoradary tam gdzie można łatwo zarobić, a nie tam gdzie kierowca widząc tego typu sprzęt - po prostu zwolni. polecam przejrzenie wszystkich filmów z serii straż biznesowo-miejska - szczególnie cenne są zarówno zachowania samych strażników jak i ich tłumaczenia, komentarze i groźby. rewelacyjny jest również strażnik miejski o mniej więcej mojej posturze, który przyjmuje zgłoszenie o parkowaniu przez swojego “kierowcę” na trawniku, a także kreatywne zabawy w ukrywanie fotoradarów pod plandekami....

uparłem się - a choć wiało w oczy i pierwszego dnia infrastruktura dała nam w kość, udało mi się odpalić w trakcie PLNOGa routery xTR dla LISP. nie, nie chodzi o programowanie routerów Cisco za pomocą tego języka programowania, a o Location/ID Split, czyli koncepcje zmiany podejścia do obsługi ruchu w Internecie. w skrócie - obsługujemy ruch jak do tej pory, ale poszczególnym lokalizacjom (firmom, użytkownikom) przydzielamy adresy IPv4 i IPv6 z nowej puli - dla której ruch obsługujemy w sposób specjalny....

wszystkim którzy spędzili te parę godzin na sesjach oraz w drodze na i z wykładów bardzo dziękuje za przybycie. moje prezentacje znajdują się tradycyjnie na stronie z prezentacjami.

dostaje bardzo dużo maili (nadal!) z propozycjami tematów którymi mógłbym się zająć - strasznie tego dużo co cieszy, wiele jest też rzeczy o których niestety nie mam pojęcia choć chętnie bym się nimi zainteresował dużo bliżej gdyby nie krótka doba. 19’ego na pewno nie powtórzę numeru z młotkiem i 2500, nie przewidywaliśmy tego typu konkursu. ponieważ widzę, że jesteście gotowi na wiele wyrzeczeń żeby dotrzeć do Krakowa, obiecuje że jak zresztą zawsze pozostanę na miejscu (jeśli będzie to fizycznie możliwe i Andrzejowi uda się to załatwić), odpowiadając na wszystkie możliwe pytania i chętnie podyskutuje o różnego rodzaju pomysłach czy przemyśleniach jakie macie - do upadłego jeśli będzie taka chęć z Waszej strony....

…rusza. zaraz po PLNOGu (w jego trakcie zapewne braknie czasu) ustalimy rzeczy związane z zakresem bieżącej opieki NOCy PLIXowej nad projektem - tak aby nie trzeba było czekać długo na dołączenie do projektu oraz aby z bieżacego monitoringu tego co i jak rozgłaszacie coś wynikało. strona zmigrowała do nowej domeny (jeszcze nie kompletnie - wrzucamy rzeczy na bieżąco), zmieniły się również maile - jeszcze w trakcie PLNOGa można będzie otrzymać pierwsze sesje, wszystkich którzy odezwą się jeszcze przed nim proszę o cierpliwość - jesteśmy teraz de facto wszyscy w drodze i zajęci samą konferencją....

po paru zmianach, w tym czasowych, agenda wtorkowa prezentuje się następująco:

w odpowiedzi na poprzedni post otrzymałem dosyć dużo maili - i rozstrzał tematów jest ogromny :) proponujecie tematy tak ogólne jak ‘IPv6’ oraz tak szczegółowe jak ’troubleshooting kart ACE w środowisku z wieloma różnymi usługami’. ponieważ Piotr jednak będzie zajęty w tym czasie prowadzonymi warsztatami, biorę na barki coś po środku proponowanych tematów. zatem na Cisco Day moja sesja będzie zatem podzielona na dwa 1,5h bloki, jak to się skończy w praktyce zobaczymy....

19’ego października w Krakowie odbędzie się organizowany przez Akademię Cisco Andrzeja Targosza Cisco Day. zupełnie nie wiem co się tam będzie działo, ale pojawię się tam z Piotrem Jabłońskim i poprowadzimy sesje/spotkanie z Wami - studentami. otwarty konkurs polega na tym, żeby zaproponować temat prelekcji - jestem więcej niż chętny do zrezygnowania ze slajdów, ale szukamy ciekawych tematów, które mogą Was interesować. za wymyślenie tematów (dwóch!) które wybierzemy, ufundujemy dwie książki wydawnictwa CiscoPress - czym prędzej zdecydujecie się zaproponować, tym większa szansa, że dowieziemy to co Was będzie interesowało :)...

podczas nadchodzącego PLNOGa opowiem o dwóch relatywnie nowych funkcjach dostępnych na sprzęcie Cisco. LISP, czyli Locator/ID SPlit to pierwszy, wdrożony, dostępny na komercyjnych (i nie tylko!) urządzeniach mechanizm pozwalający wyskalować sieć Internet bez ciągłego rozbudowywania węzłów szkieletowych, dodatkowo wprowadzający mechanizmy zaawansowanej inżynierii ruchowej do internetu. LISP od początku tworzony jest przez pracowników Cisco Systems zatrudnionych w różnych działach zajmujących się badaniami i rozwojem, ale architektura którą wprowadza jest otwarta i dokładnie udokumentowana....

taką prezentację poprowadzę w trakcie trwania piątej edycji konferencji dla operatorów PLNOG. Andrzej i jego zespół dopina ostatnie guziki konferencyjne przed opublikowaniem agendy i na pewno po raz kolejny będziecie zadowoleni. opowiem o magicznych 50ms, skąd się wzięło i o co tak naprawdę chodzi, o BFD, o tuningu protokołów routingu, a także o pewnych architekturach dających możliwość realizacji redundancji na poziomie logicznym a nie samej sieci transportowej. jeśli starczy czasu, wspomnę pewnie również o szybkiej konwergencji sieci MPLS a także o rzeczach zupełnie prozaicznych - czyli redundacji sprzętu i oprogramowania....

kwestia dokładnego nadzoru ruchu wymienianego pomiędzy systemami autonomicznymi w dobie peerowania się ze wszystkimi we wszystkich dostępnych IXach stała się kluczowa do możliwości utrzymania realnej przewidywalności prowadzonego biznesu, optymalizacji wykupionych usług oraz oczywiście - optymalnej inżynierii ruchu w sieci. dosyć popularnym, otwartym oprogramowaniem do prostego zliczania i wizualizacji ruchu wymienianego z poszczególnymi ASami oraz obciążenia połączeń z rozbiciem na poszczególne ASy jest pakiet AS-Stats - bardzo prosty, wydajny i dający szybko wgląd w to co się dzieje na routerze....

na oficjalnym forum Cisco trwa właśnie (do 23 września) sesja zapytaj eksperta ze mną odpowiadającym na pytania dotyczące routingu (w tym IPv6), switchingu i architektur naszych produktów. zachęcam wszystkich którzy chcą się dowiedzieć czegoś w detalach na wyżej wymienione tematy o zadawanie pytań - jak na razie wydaje się że całkiem dobrze się rozgrzałem, ale myślę że prawdziwe wyzwania jeszcze gdzieś tam czekają :)

wygląda na to, że coraz więcej ciekawych rzeczy pojawia się ‘pod strzechami’. parę osób skupionych wokół projektu nTop we współpracy z Intelem stworzyło implementację sterownika dla linuksa pozwalającą na stworzenie do 32 tysięcy reguł filtrujących realizowanych sprzętowo przez kartę sieciową - kartę 10GE Intel X520. 32 tysiące reguł to trochę mało żeby obsłużyć router z duża ilością użytkowników i sesji, ale prawdopodobnie wystarczająco żeby zaprojektować ‘sprzętowy’ firewall dla serwera czy stacji roboczej....

21-22 października odbędzie się piąta edycja konferencji PLNOG. tym razem pierwszą, wprowadzającą prezentację poprowadzi Merike Kaeo a tematem który poruszy będzie bezpieczeństwo (niespodzianka, prawda? :P). jak można się domyślić, trwa ustalanie agendy i już niebawem powinna zostać ogłoszona. tym niemniej przekroczyliśmy już jakiś czas temu 200 osób zgłoszonych na konferencję, co jest rewelacyjnym wynikiem przy jej braku :) jak zawsze staramy się aby czas spędzony na PLNOGu był możliwie dobrze wykorzystany - aby tradycji stało się zadość, poprowadzimy warsztaty dotyczące technologii sieciowych....

pisałem o tym już kiedyś, wygląda na to że koncept przeniesienia kosztownego procesu przekazywania ruchu na GPU ma jakiś sens - wystarczy rzucić okiem na stronę projektu packetshader. nadal jednak konfiguracja sprzętowa umożliwiająca na uzyskanie pokazywanych wydajności jest nieco droga w porównaniu do rozwiązań z półki, jednak pokazuje to kolejny ciekawy po NetFPGA pomysł ‘co zrobić z tą mocą obliczeniową’. istotnym problemem jest brak wsparcia/przetestowania w scenariuszu ruchowym bardziej realnym - z ACLkami i QoSem lub z MPLSem choć to niewątpliwie da się potem dopisać/rozbudować....

wszyscy mówią o IPv6 a nadal mało kto się tym zajmuje na poważnie. na polskiej liście poświęconej wdrażaniu ipv6 pojawiają się kolejne prefiksy ipv6, ale nadal osiągalność realnych serwisów po ipv6 jest dramatycznie słaba. w ramach ćwiczenia domowego i przygotowując parę ciekawych rzeczy na nadchodzący PLNOG, uruchomiłem właśnie kompletny zestaw sieciowy (Cisco 7200VXR z NPE-G1, ASA 5500, Catalyst 3750) oraz serwerowy (FreeBSD) pracujące w modelu z dwoma aktywnymi stosami sieciowymi. ipv6 powinno być wykorzystywane pierwsze i choć jest masa zabawy z tak dziwnymi rozwiązaniami jakie zastosowano np....

…to już dawno przeżytek. teraz można jeszcze lepiej. restartuje się po prostu cały internet z pomocą strażników kluczy z sekretnego zakonu: Karty, które widzicie na zdjęciu, to klucze do globalnej sieci internetowej. Jest ich siedem i razem mogą posłużyć do restartowania Internetu w wypadku, “gdyby Ziemię dotknął kataklizm”. Tak, trzeba się przygotować na każdą ewentualność. Gdyby świat dotknął wielki kataklizm, uszkodzeniu mógłby ulec DNSSEC, system bezpieczeństwa nazw domen. Nie moglibyśmy sprawdzić, czy URL faktycznie prowadzi do strony, którą chcemy odwiedzić, więc świat pogrąży się w chaosie i bezprawiu....

kiedyś było to regułą, dzisiaj to rzadki luksus - usiąść w fotelu z książką nie będącą pozycją związaną z sieciami i zagłębić się w lekturze na wiele godzin. wróciłem do prawie całego księgozbioru Lema, udało mi się przeczytać dwie duże monografie bitwy o Berlin i Stalingrad autorstwa Antony Beevora, czeka na mnie jeszcze Powstanie ‘44 Normana Daviesa (aż wstyd przyznać, ale nie, nie czytałem) oraz gdzieś w połowie przegryzione już Metro 2033....

jednym z tematów które zwykle powodują ożywienie na listach usenetowych jest dyskusja o tym, jak dużą udało się zbudować sieć z wykorzystaniem przełączników. jedną z częstych, choć mylnych konkluzji tych dyskusji jest to, że na ograniczenia co do 7 przełączników w domenie Spanning Tree powinni uważać tylko sieciowi puryści. matematykę i pewne żelazne reguły jednak trudno pokonać, a ich nie przestrzeganie kosztuje czasami dużo. o tym jak taki problem potrafi wpłynąć na działanie sieci, oraz o innych rzeczach które dzieją się ‘przy okazji’ - błędy w oprogramowaniu i element ludzki, piszą ciekawie tutaj....

…nie musi być banalna. z uwagi na wielokrotnie większą wydajność (300kpps, miało tyle stare NPE300 do 7200!) zmieniłem właśnie router 1803w na 1941w właśnie. niestety, CCO lekko zaniemogło z wyprodukowaniem przykładowej, sensownej konfiguracji, w związku z tym wziąłem sprawy w swoje ręce - ARTG czyli organizacja odpowiedzialna za te routery ma niebawem na CCO coś opublikować, a w międzyczasie można skorzystać z gotowca tutaj.

część z zaglądających do mnie na stronę zauważyła, że przez jakiś czas strona była niedostępna. złożyła się na to awaria RAIDu 5’ego w moim serwerze na którym stoi strona WWW. niezawodne FreeBSD bardzo starało się kontynuować pracę po awarii pierwszego dysku ale w ciągu 30 minut (!!!) padł drugi dysk. temperatura bardzo odpowiednia dla pracy całości, najwyraźniej po prostu 5 lat ciągłej pracy w końcu je wykończyły (jeśli kogoś to interesuje, były to identyczne dyski Seagate’a)....

…znajduje się zwyczajowo w dziale prezentacje. ponieważ temat był bardzo ciekawy, wywołał wiele pytań - dłuższa i bardziej detaliczna wersja tej prezentacji pojawi się na najbliższym PLNOGu.

w następną środę, 28’ego kwietnia będę miał okazję poprowadzić zaległe warsztaty z konfiguracji IPv6 na routerach Cisco. szkolenie jest częścią warsztatów organizowanych na PLNOG, a zatem we wszelkich sprawach organizacyjnych należy kontaktować się z Andrzejem Targoszem. agenda szkolenia znajduje się na stronie PLNOG: http://plnog.pl/warsztaty-2010/ipv6

kończę właśnie testy nowych (i nieco ulepszonych) konfiguracji w ramach projektu BGP blackholing. dobra informacja jest taka, że dzisiaj już bardzo wielu dostawców usług w Polsce używa dobrodziejstw między innymi tej techniki, zła - że w projekcie jest zawsze za mało uczestników :) prawdopodobnie już do najbliższego weekendu ruszymy znowu ‘produkcyjnie’ - sesja będzie mogła być i po IPv4 i po IPv6, rozgłaszać będziemy IPv4 (dokładnie tak jak do tej pory) ale dodamy do tego prefiksy IPv6 - oczywiście tam gdzie będziecie chcieli....