lukasz.bromirski.net

aviate, navigate, communicate

zmiana pasów

po ponad 13 latach spędzonych w Cisco Systems Poland na pracy “w polu”, zdecydowałem że najwyższy już czas zacząć robić coś nowego. coś, co ma szansę stać się nową przygodą. przez te lata miałem okazję pracować ze wspaniałymi ludźmi i wiele się nauczyć. przeszedłem też całą “ścieżkę” w organizacji krajowej, awansując od “prostego” inżyniera systemowego (Systems Engineer), do lidera architektury (IP NGN, tak kiedyś się mówiło na sieci operatorskie nowej generacji), dyrektora technicznego (Systems Engineer Manager), w końcu Dyrektora Sprzedaży (i odpowiedzialności za 2⁄3 kwoty krajowej operacji), by wrócić na pozycję dyrektora technicznego i krajowego CTO. czytaj dalej →

kluczami, nie hasłami

temat stary jak świat, ale właśnie musiałem zrobić trochę porządków i trafiłem na problem z kluczami… 4096 bitowymi. bardziej dla własnej informacji, ale być może komuś to zebrane w jednym miejscu się przyda. klucze do Cisco IOS importuje się bez specjalnego problemu: router#conf t Enter configuration commands, one per line. End with CNTL/Z. router(config)#ip ssh pubkey-chain router(conf-ssh-pubkey)#username TEST router(conf-ssh-pubkey-user)#key-string router(conf-ssh-pubkey-data)#AAAAB3NzaC1yc2EAAAADAQABAAACAQDCiLBaopUwsFb9YJNhGqVYqBajlrH S/zwD6/yR6N8VcRzrpqMMNCFXe1q5GMGM[...]ANWInd9GHBjTzbJWVwavxy1ooQewii8ErofZuv1l/SXSdXLzfL p0zMoZ0L+BNPS0j4XBS0N3t8Vl8oVixqIeG2BNTCNaDDt6hx2Q== lukasz@bromirski.net router(conf-ssh-pubkey-user)#exit router(conf-ssh-pubkey)#exit dla Cisco ASA klucze powyżej 2048 bitów trzeba zaimportować używając formatu 'pkf' - ponieważ linia poleceń ma ograniczenie do 512 bajtów. czytaj dalej →

ASA 9.2(1)

…wspiera BGP. właśnie wyszła. lubicie BGP na swoich firewallach? ja nie. czy warto mieć takie narzędzie w ręce? przyznaje, czasem warto. ale wracając do pierwotnego pytania - lubicie BGP na swoich firewallach? czytaj dalej →

Aegis na UW

Maciej Broniarz zaprosił nas do uczestnictwa w nowej konferencji poświęconej bezpieczeństwu sieciowemu. Aegis (tak jak system pola walki dla krążowników rakietowych :P) odbędzie się 2⁄3 lipca na UW i mam nadzieję, że biorąc pod uwagę agendę, ściągnie wiele z Was na miejsce. razem z Maćkiem mamy również ambicję poprowadzić drugiego dnia panel o DDoSach oraz potem wspólną prezentację nawiązującą nieco do prowadzonych przeze mnie kiedyś na CONFidence serii sesji pt. “Bezpieczeństwo za pomocą taśmy klejącej” . czytaj dalej →

“jak nie rozumiem, to chociaż skrytykuje”…

właśnie trafiłem na krótki artykuł Michaela Leonarda z firmy Juniper, który postanowił doczepić się LISPa. nazywam takie dyskusje o niczym ‘nie rozumiem, ale i tak coś napiszę’ - i do tego cały ten artykuł się sprowadza. w momencie, gdy toczymy ciekawe dyskusje z inżynierami i architektami z firmy Juniper i w wielu obszarach współpracujemy - co ciekawe o czym najwyraźniej autor nie wie również w obszarze LISPa - aż przykro patrzeć, jak ludzie sterowani złymi pobudkami postanawiają “zaistnieć”, wychodząc przed szereg i szkalując dobre imię firmy, w której pracują. czytaj dalej →

CCDE 2012::17

nic dodać, nic ująć. dużo frustracji po drodze, ale z drugiej strony, wiele się nauczyłem. może nie o technologii jako takiej, ale o mądrych sposobach jej wykorzystywania. o CCDE będzie można zapewne posłuchać na najbliższym Cisco Forum w marcu 2013. o zdawaniu CCDE pisałem już tutaj, a o swoim ostatnim podejściu tutaj - chyba niewiele jest do dodania, poza tym, że v2 egzaminu jest naprawdę dużo prostsza i po prostu lepiej dopracowana. czytaj dalej →

IOS shell

jeśli do tej pory nie mieliście okazji zauważyć, w linii 15M wprowadzony został shell IOS. uruchomienie tej funkcjonalności sprowadza się do banalnego: C2#conf t C2(config)#shell processing full teraz dodatkowe polecenia i możliwości stoją przed Wami otworem. działają typowe dla systemów unixowych polecenia oraz rozszerzenia poleceń, w tym zagnieżdżony grep :) C2#sh running-config | wc -l 163 C2#sh running-config | grep ip | grep 2001 ipv6 address 2001:DB8:10::10:254/64 ipv6 route ::/0 2001:DB8:10::10:1 dla wszystkich, którzy przyzwyczaili się pod IOS-XR do obsługi dodatkowych poleceń, to zapewne miła wiadomość :) czytaj dalej →

Cisco SECURE - 2223 listopada

wracamy do organizacji jesiennej konferencji poświęconej rozwiązaniom Cisco związanym z bezpieczeństwem. jak łatwo możecie się przekonać, będziemy się starali opowiedzieć o całościowym podejściu Cisco do kwestii bezpieczeństwa, a całość dwudniowej konferencji przepleść dużą ilością praktycznych prezentacji, pokazów i dem. agenda już w zasadzie zbudowana, co ciekawe będę miał przyjemność z Gawłem poopowiadać trochę na żywo o bezpieczeństwie w chmurze i Centrach Przetwarzania Danych - dotkniemy (i pokażemy!) takie rzeczy jak CSR 1000v, ASA 1000v i różne inne ciekawostki - zrobimy to na koniec, ponieważ przed nami koledzy będą pokazywać dużo więcej i to zapewne dużo ciekawszych rzeczy. czytaj dalej →

15.2(3)T wyszedł, IOS-XE 3.6S również

…a w nim masa nowości dostępnych bądź po raz pierwszy w ogóle (MediaTrace 2.0, IPv6 dla danych w GETVPN, nowe rozszerzenia IPv6 dla IP SLA, dalsze rozszerzenia dla LISPa), bądź po raz pierwszy na platformach “programowych” Cisco - takich jak ISRy G2 (BGP PIC Edge i Core, BGP route-server, Multicast Live-Live). całość znajdziecie tutaj. w tym samym czasie pojawił się IOS-XE 3.6S, w którym również pojawia się wiele “wyrównań” funkcjonalności jeśli chodzi o IPv6, w tym funkcjonalność CGN - Carrier Grade NAT. czytaj dalej →

ccde w końcu tak jak powinno być :)

dzisiaj miałem okazję podejść po raz kolejny do CCDE w Londynie. w towarzystwie dwóch kolegów z biura i jednego inżyniera pracującego u Partnera Cisco zmierzyliśmy się z nową wersją egzaminu. jest zdecydowanie lepiej - widać, że feedback zadziałał. z 6 scenariuszy zostały 4, choć dziwnie na sztywno podzielone na dwa przed i dwa po obiedzie. pytania są konkretniejsze, zawierają więcej zrozumiałych w kontekście scenariusza odpowiedzi, widać mniej niedociągnięć (zdecydowanie mniej). egzamin zawiera jednak duży miks technologiczny - i o pomyłki w miejscach czasem oczywistych, a czasem nie - nie trudno. czytaj dalej →

world IPv6 day…

rok temu na jeden dzień przeprowadzaliśmy na szeroką skalę testy IPv6. w tym roku koncepcja jest taka, żeby po prostu włączyć już IPv6 - w urządzeniach, na portalach - i nie wyłączać. warto poczytać ale co ważniejsze - przyłączyć się. cisco jest częścią inicjatywy i ponownie pierwszym producentem, który przyłączył się do pomysłu. czytaj dalej →

ccde #2

właśnie przed chwilą wróciłem z praktycznego egzaminu CCDE i choć po raz drugi “trudno powiedzieć” jak poszło, silnie podejrzewam, że nie poszło dobrze, dokładnie jak za pierwszym razem. tym razem spędziłem 7 a nie 5 godzin na teście, ale i tak większość czasu zajęła mi próba odpowiadania na pytania dysponując zbyt małym zestawem informacji. ponownie mam silne wrażenie, że wielokrotnie odpowiedzenie na pytanie było nie do końca możliwe przy dostępnym zestawie informacji, nie wspominając o efekcie, który Russ White nazywa “będziesz ciągle zmieszany”. czytaj dalej →

we, 2001:420:80:1:c:15c0:d06:f00d

“Cisco eats in own dog food”, albo inaczej mówiąc, c15c0 d06 f00d - jako pierwszy z producentów sprzętu sieciowego Cisco zgłosiło się do organizowanego przez ISOC IPv6 day. część naszej infrastruktury obsługuje dzisiaj IPv6 natywnie, jest to doskonała okazja do przetestowania dziesiątek produktów, oprogramowania oraz setek systemów, których używamy my i nasi klienci. testujemy dzisiaj między innymi AnyConnecta 3.0 z natywnym wsparciem dla IPv6 do normalnej, zdalnej pracy (publicznie oprogramowanie to będzie dostępne w ciągu najbliższych miesięcy), karty ACE 3. czytaj dalej →

CCDE, czyli jak zaprojektować sieć… a nawet 6

miałem dzisiaj okazję zmierzyć się w Londynie z CCDE, nowym egzaminem poziomu Expert skoncentrowanym na projektowaniu i przeprojektowywaniu sieci w zgodzie z wymaganiami wirtualnych klientów. po lekturze sesji z Networkers o CCDE, autorstwa jednego z autorów certyfikatu - Russ’a White’a trudno spodziewać się czegoś innego - jest dokładnie tak jak mówią. egzamin bardzo mocno skonentrowany jest na tym “dlaczego”, a nie “jak konkretnie”, choć trochę “jak, ale tak ogólnie” też się pojawia. czytaj dalej →

ipv6 dla WOŚP - podsumowanie

eksperyment pokazał że się da, efekty były jednak dosyć skromne :) w ciągu całego 9’ego, odsiewając boty z Uniwersytetu w Pensylwanii (pozdrawiamy!) oraz Chin (bardzo ciekawe zapytania) mieliśmy 20 unikalnych odwiedzających i 1145 osobnych wizyt. w nocy po Finale pojawiło się łącznie 80 unikalnych odwiedzających i licznik wizyt skoczył do ponad 4500. widać informacja o IPv6 była słabo rozpropagowana, lub wielbiciele IPv6 znajdowali się w ciągu dnia z daleka od Internetu :) czytaj dalej →

bgp w labie

dawno dawno temu, zabawa z BGP (samo nieco ironiczne tłumaczenie tego akronimu jako Bardzo Groźny Protokół zdaje się zdradzać w którą stronę podąża ten akapit) była zdecydowanie zarezerwowana dla wtajemniczonych tego świata, którzy nieco jak Lemowski Trurl i Klapaucjusz naśmiewali się z niewiedzy, ale z drugiej strony sami tą wiedzą się nie dzielili. potem zmieniło się wiele, opary w jaskiniach wiedzy nieco się rozrzedziły, pojawiły się kursy, certyfikacje, elitarne a potem masowe kursy - i nagle BGP ma w domu każda gospodyni domowa, gdyż bez niego nie wrzuci sobie via bluetooth nowego kontaktu do komórki. czytaj dalej →

1941w i jego konfiguracja

…nie musi być banalna. z uwagi na wielokrotnie większą wydajność (300kpps, miało tyle stare NPE300 do 7200!) zmieniłem właśnie router 1803w na 1941w właśnie. niestety, CCO lekko zaniemogło z wyprodukowaniem przykładowej, sensownej konfiguracji, w związku z tym wziąłem sprawy w swoje ręce - ARTG czyli organizacja odpowiedzialna za te routery ma niebawem na CCO coś opublikować, a w międzyczasie można skorzystać z gotowca tutaj. czytaj dalej →

po plnog #4

plnog, plnog i po plnogu. wygląda na to, że faktycznie wyrosła nam najpoważniejsza i największa niezależna konferencja dedykowana dla ludzi zajmujących się sieciami w Polsce - choć nie zamierzam walczyć z kimkolwiek na liczbę uczestników, te dodatkowe 100 osób na każdej kolejnej edycji PLNOGa (w tej doliczyliśmy się 395 uczestników!) mówi samo za siebie. do tego stopnia że wiele osób widziałem po raz pierwszy w życiu :) prezentacje staramy się selekcjonować przed pokazaniem, choć nadal nie jest tak dobrze jak byśmy chcieli - wkradający się marketing denerwuje i powoduje zgrzytanie zębów, ale mamy nadzieję, że tym razem było jeszcze lepiej niż poprzednio - czym mniej będziecie wpuszczać nas, producentów, a więcej opowiadać i dyskutować o swoich rozwiązaniach tym będzie lepiej. czytaj dalej →

ip sla i shell scripting

miałem wczoraj problem - na szybko potrzebowałem wygenerować minimum paręnaście pakietów na sekundę pomiędzy dwoma urządzeniami (konkretnie - przełącznikiem 3550 i 4900M), a oba stały sobie daleko od różnych przyjaznych serwerów z hpingiem, pingiem z opcją milisekundowego zalewania ruchem, etc. zadanie nie było banalne, bo ten ruch miał trwać parę godzin, więc ping z linii poleceń nie jest szczególnie przydatny. rozwiązanie było w miarę oczywiste - ip sla. ponieważ to 4900M miał być testowany, na 3550 wygenerowałem dwa VRFy: ip vrf TEST100 rd 100:100 czytaj dalej →