Sieci

na swojej stronie nie używam żadnych wspaniałych skryptów mierzących Waszą “responsywność”, albo zachęcających do zapisania do listów z nowinkami (ze staropolskiego - njusletterów). odwołuję się tylko (albo aż) do plików czcionek i w zasadzie to tyle. sprawdzam natomiast co miesiąc skąd przychodzicie, czym przychodzicie i jak przychodzicie za pomocą skryptu goaccess, dzięki temu nie korci mnie by Was jakoś profilować, prezentować wam specjalnie spreparowane (ponownie, ze staropolskiego - skastomizowane) treści i tym podobne atrakcje. ...

dawno, dawno temu pisałem o tym jak uwierzytelniać się kluczami przez SSH do urządzeń pracujących pod kontrolą IOS XE oraz do ASA/FTD. ponieważ duzi chłopcy z reguły pracują z IOS XR, poniżej szybki przewodnik jak zaimportować klucze do tego systemu w wersjach 7.0+. OpenSSH i format PEM pierwszym krokiem jest przerobienie formatu używanego przez OpenSSH na format PEM. można to zrobić za pomocą ssh-keygen: .ssh % ssh-keygen -f id_rsa.pub -m pem -e > id_rsa.pub.pem .ssh % more id_rsa.pub.pem -----BEGIN RSA PUBLIC KEY----- MIICCgKCAgEAwoiwWqKVMLBW/WCTYRqlWKgWo5ax8JveTdRcnOCr6uHu9tE5hYQu [...] Vy83y6dMzKGdC/gTT0tI+FwUtDd7fFZfKFYsaiHhtv7KTsKQHyp4cdkCAwEAAQ== -----END RSA PUBLIC KEY----- import klucza do IOS XR drugim krokiem jest wklejenie tekstu z pliku PEM przez konsolę do IOS XR, choć można również plik PEM przetransportować na dysk urządzenia i wskazać go do importu. dla użytkownika test1 import przez konsolę będzie wyglądał tak: ...

krótka obserwacja z labowania - jeśli chcesz logować informacje (choćby via Syslog), a interfejs zarządzający umieściłeś w osobnym VRFie (dobry pomysł), konfiguracja VRFu odbywa się w dwóch, a właściwie trzech (jeśli policzyć definicję VRFu) miejscach. jeśli zapomnisz o którymś, logowanie nie zadziała. po pierwsze, stwórzmy definicję VRFu zarządzającego i skonfigurujmy prawidłowo interfejs zarządzający: ! vrf definition MGMNT rd 444:444 ! opcjonalne, ale dla porządku dodaję ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! ..teraz interfejs: ...

od czasu pierwszych nieśmiałych prób optymalizacji stosu TCP we FreeBSD 4.x, przeglądam od czasem do czasem aktualne standardowe ustawienia w /etc/sysctl.conf i lubię je trochę podrasować. w międzyczasie, wiele z nich zdążyło się poważnie zmienić, zmieniły się też (we FreeBSD wręcz zostały modularne) całe algorytmy zarządzania stosem TCP/IP, ale bazujący na kodzie FreeBSD MacOSX jest troszkę bardziej konserwatywny. na swoich MacOSach mój /etc/sysctl.conf wygląda zatem tak: net.inet.tcp.mssdflt=1460 net.inet.tcp.minmss=536 net.inet.tcp.win_scale_factor=5 net.inet.tcp.randomize_ports=1 net.inet.tcp.blackhole=2 net.inet.tcp.icmp_may_rst=0 net.inet.udp.blackhole=1 net.inet.ip.redirect=0 nie ma tu żadnej magii, być może pomoże Ci to trochę lepiej wykorzystać swoje łącze. w zasadzie są to zmiany dosyć bezpieczne, ale warto zawsze skonsultować znaczenie poszczególnych wartości zanim się je zastosuje. ...

Mirek Maj zaprosił mnie dzisiaj do podcastu fundacji bezpieczna cyberprzestrzeń aby skomentować ostatni “komunikat pełnomocnika rządu ds. cyberbezpieczeństwa”. pozwolę sobie to oświadczenie przytoczyć w całości bo nie jest długie: W związku z rosnącym zagrożeniem atakami typu DDoS (niedostępność usługi) CSIRT GOV przekazał na przełomie lutego i marca bieżącego roku wytyczne dotyczące działań wyprzedzających mających na celu minimalizację skutków ewentualnego cyberataku. W związku z kolejnymi informacjami, które wpłynęły do instytucji odpowiedzialnych za cyberbezpieczeństwo, w dniu 23 marca do instytucji administracji państwowej i operatorów infrastruktury krytycznej została przekazana rekomendacja dotycząca wdrożenia ww. wytycznych, tj. zablokowania ruchu z wybranych krajów. Blokada powinna obowiązywać do 27 marca, przy czym, jeżeli zaistnieją ku temu przesłanki, może zostać wydłużona. ...

BGP Blackholing wrócił - małymi kroczkami (‘better done than perfect’). zapraszam na stronę z aktualną “instrukcją obsługi”. miłego blackholowania!

miłym dodatkiem do ostatnich wersji obrazów IOS-XE jest wartość maksymalna ilości przefiksów rozgłoszonych w procesie BGP: rtr-edge#sh bgp ipv4 unicast summary [...] 6807 received paths for inbound soft reconfiguration BGP activity 1126906/107856 prefixes, 1337822/171863 paths, scan interval 60 secs 878960 networks peaked at 15:02:09 Jan 29 2022 CET (22:53:01.065 ago) [...] rtr-edge#sh bgp ipv6 unicast summary [...] BGP using 102467162 total bytes of memory BGP activity 1126898/107856 prefixes, 1337806/171843 paths, scan interval 60 secs 140720 networks peaked at 05:46:19 Jan 29 2022 CET (1d08h ago) [...] będąc zalogowanym przez CLI nie przeoczysz teraz różnego rodzaju anomalii… bo w systemach monitoringu, którymi oczywiście obserwujesz swój router, te informacje już masz, prawda? ...

jedna ze starych (ale przydatnych) sztuczek, która została nawet swego czasu udokumentowana to zasymulowanie kombinacji CTRL+BREAK na nowych PeCetach (i Macach) żeby dostać się do ROMMONu. zamiast walczyć z SecureCRT na MacOSie, miałem okazję przypomnieć ją sobie wczoraj, starając się wyzerować szybko router. generalnie, cała procedura polega na tym, że: rozłączasz terminal od urządzenia wyłączasz urządzenie ustawiasz terminal na 1200 (tak, tysiąc dwieście) baud, 8N1 i brak kontroli przepływu (ang. flow control) włączasz urządzenie naciskasz SPACJĘ przez jakieś 10-15 sekund (zwykle do momentu, aż terminal wyrzuci na ekran jakieś śmieci) przekonfigurujesz sobie terminal na 9600 8N1 i… jesteś w ROMMONie tak, jestem stary. ...

jeśli nie przywykłeś do czytania tzw. release notes do kolejnych wydań oprogramowania do swojej ulubionej platformy sieciowej (w tym wypadku - Nexus NX-OS), zapewne przegapiłeś, że od wersji 10.1(2) w NX-OS pojawił się system wprowadzania konfiguracji dokładnie taki jak w IOS XRze - dwustopniowy. co to oznacza? że wykonując zmiany w parserze, możesz pracować na całym bloku konfiguracji. dopiero po jego zatwierdzeniu jest on wprowadzany w życie. na przykład dla zmiany adresu IP na interfejsie (zawsze drażliwy moment, w szczególności gdy urządzenie znajduje się 300km od Ciebie), przykład konfiguracji wyglądać może tak: ...

jedną z zalet posiadania (i oswojenia) IPv6 jest to, że jest to zupełnie osobny protokół w stosunku do IPv4. pozwolę Wam rozważyć to zdanie w myślach przez chwilę. zwróćcię uwagę na słowa zupełnie osobny protokół. w razie wątpliwości, przeczytajcie powyższe zdanie jeszcze raz, tym razem wolniej. można robić mądre miny lub zapisać sobie to zdanie i użyć go podczas najbliższego panelu dla dyrektorów i prezesów, wymawiając poszczególne słowa z głębokim namaszczeniem. ...