dawno, dawno temu pisałem o tym jak uwierzytelniać się kluczami przez SSH do urządzeń pracujących pod kontrolą IOS XE oraz do ASA/FTD. ponieważ duzi chłopcy z reguły pracują z IOS XR, poniżej szybki przewodnik jak zaimportować klucze do tego systemu w wersjach 7.0+. OpenSSH i format PEM pierwszym krokiem jest przerobienie formatu używanego przez OpenSSH na format PEM. można to zrobić za pomocą ssh-keygen: .ssh % ssh-keygen -f id_rsa.pub -m pem -e > id_rsa....
krótka obserwacja z labowania - jeśli chcesz logować informacje (choćby via Syslog), a interfejs zarządzający umieściłeś w osobnym VRFie (dobry pomysł), konfiguracja VRFu odbywa się w dwóch, a właściwie trzech (jeśli policzyć definicję VRFu) miejscach. jeśli zapomnisz o którymś, logowanie nie zadziała. po pierwsze, stwórzmy definicję VRFu zarządzającego i skonfigurujmy prawidłowo interfejs zarządzający: ! vrf definition MGMNT rd 444:444 ! opcjonalne, ale dla porządku dodaję ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family !...
od czasu pierwszych nieśmiałych prób optymalizacji stosu TCP we FreeBSD 4.x, przeglądam od czasem do czasem aktualne standardowe ustawienia w /etc/sysctl.conf i lubię je trochę podrasować. w międzyczasie, wiele z nich zdążyło się poważnie zmienić, zmieniły się też (we FreeBSD wręcz zostały modularne) całe algorytmy zarządzania stosem TCP/IP, ale bazujący na kodzie FreeBSD MacOSX jest troszkę bardziej konserwatywny. na swoich MacOSach mój /etc/sysctl.conf wygląda zatem tak: net.inet.tcp.mssdflt=1460 net.inet.tcp.minmss=536 net.inet.tcp.win_scale_factor=5 net.inet.tcp.randomize_ports=1 net....
Mirek Maj zaprosił mnie dzisiaj do podcastu fundacji bezpieczna cyberprzestrzeń aby skomentować ostatni “komunikat pełnomocnika rządu ds. cyberbezpieczeństwa”. pozwolę sobie to oświadczenie przytoczyć w całości bo nie jest długie: W związku z rosnącym zagrożeniem atakami typu DDoS (niedostępność usługi) CSIRT GOV przekazał na przełomie lutego i marca bieżącego roku wytyczne dotyczące działań wyprzedzających mających na celu minimalizację skutków ewentualnego cyberataku. W związku z kolejnymi informacjami, które wpłynęły do instytucji odpowiedzialnych za cyberbezpieczeństwo, w dniu 23 marca do instytucji administracji państwowej i operatorów infrastruktury krytycznej została przekazana rekomendacja dotycząca wdrożenia ww....
BGP Blackholing wrócił - małymi kroczkami (‘better done than perfect’). zapraszam na stronę z aktualną “instrukcją obsługi”. miłego blackholowania!
miłym dodatkiem do ostatnich wersji obrazów IOS-XE jest wartość maksymalna ilości przefiksów rozgłoszonych w procesie BGP: rtr-edge#sh bgp ipv4 unicast summary [...] 6807 received paths for inbound soft reconfiguration BGP activity 1126906/107856 prefixes, 1337822/171863 paths, scan interval 60 secs 878960 networks peaked at 15:02:09 Jan 29 2022 CET (22:53:01.065 ago) [...] rtr-edge#sh bgp ipv6 unicast summary [...] BGP using 102467162 total bytes of memory BGP activity 1126898/107856 prefixes, 1337806/171843 paths, scan interval 60 secs 140720 networks peaked at 05:46:19 Jan 29 2022 CET (1d08h ago) [....
jedna ze starych (ale przydatnych) sztuczek, która została nawet swego czasu udokumentowana to zasymulowanie kombinacji CTRL+BREAK na nowych PeCetach (i Macach) żeby dostać się do ROMMONu. zamiast walczyć z SecureCRT na MacOSie, miałem okazję przypomnieć ją sobie wczoraj, starając się wyzerować szybko router. generalnie, cała procedura polega na tym, że: rozłączasz terminal od urządzenia wyłączasz urządzenie ustawiasz terminal na 1200 (tak, tysiąc dwieście) baud, 8N1 i brak kontroli przepływu (ang. flow control) włączasz urządzenie naciskasz SPACJĘ przez jakieś 10-15 sekund (zwykle do momentu, aż terminal wyrzuci na ekran jakieś śmieci) przekonfigurujesz sobie terminal na 9600 8N1 i… jesteś w ROMMONie tak, jestem stary....
jeśli nie przywykłeś do czytania tzw. release notes do kolejnych wydań oprogramowania do swojej ulubionej platformy sieciowej (w tym wypadku - Nexus NX-OS), zapewne przegapiłeś, że od wersji 10.1(2) w NX-OS pojawił się system wprowadzania konfiguracji dokładnie taki jak w IOS XRze - dwustopniowy. co to oznacza? że wykonując zmiany w parserze, możesz pracować na całym bloku konfiguracji. dopiero po jego zatwierdzeniu jest on wprowadzany w życie. na przykład dla zmiany adresu IP na interfejsie (zawsze drażliwy moment, w szczególności gdy urządzenie znajduje się 300km od Ciebie), przykład konfiguracji wyglądać może tak:...
jedną z zalet posiadania (i oswojenia) IPv6 jest to, że jest to zupełnie osobny protokół w stosunku do IPv4. pozwolę Wam rozważyć to zdanie w myślach przez chwilę. zwróćcię uwagę na słowa zupełnie osobny protokół. w razie wątpliwości, przeczytajcie powyższe zdanie jeszcze raz, tym razem wolniej. można robić mądre miny lub zapisać sobie to zdanie i użyć go podczas najbliższego panelu dla dyrektorów i prezesów, wymawiając poszczególne słowa z głębokim namaszczeniem....
od czasu zrezygnowania ze szpiegującego Google Analytics, w zasadzie mało co zaglądam na statystyki tego blogu. widzę, że czytacie - i to mi wystarcza :) zauważyłem jednak, że z jakiegoś przedziwnego powodu mój bardzo stary artykuł o łączeniu przełączników ciągle zbiera po 30-50 ściągnięć co miesiąc, w niektóre miesiące znacznie więcej (wygląda na to, że to nie boty). to mile łechce moje ego, ale ciągle zastanawiam się co tam takiego odkrywczego napisałem :)...
jeśli zdarzy wam się sytuacja, w której posiadacie więcej niż jedno łącze do internetu i mają one inne użyteczne przepustowości - co dzisiaj przestało być rzadkością - pojawia się ciekawy element związany z projektowaniem sieci. jak wykorzystać te łącza optymalnie? muszę przyznać, że do napisania tego cyklu postów sprowokował mnie Marcin Ślęczek, prezes firmy networkers.pl swoim postem na forum ccie.pl. miałem co prawda już w głowie coś na kształt rozwiązania problemu z którym sam borykałem się w swojej sieci domowej, ale niemożność rozwiązania problemu Marcina od ręki sprowokowała mnie do opisania problemu i potencjalnych rozwiązań od podszewki....
…ale narzędzi należy używać odpowiedzialnie. po pierwsze, niech wolno mi będzie złożyć pewne oświadczenie - dla tych, którzy mnie nie znają, żeby uniknąć nieporozumień, które może zrodzić pobieżna lektura tego postu: jestem wielkim fanem dyskusji o zaletach technologii. wierzę głęboko, że możliwość tworzenia sieci, rozwiązań które naprawdę pozwalają ludziom zbliżyć się do siebie i komunikować na odległość to coś co robię i mogę robić przez resztę życia z całym zaangażowaniem...
jak pewnie można było zauważyć miałem ostatnio okazję pobawić się ponownie paczkami routingu dynamicznego w ogólnodostępnych OSach. z perspektywy znajomości CLI trzymałem się FRRouting, który jest ewolucją pakietu Quagga, która z kolei jest ewolucją pakietu Zebra. a składnia poleceń i cały interfejs linii poleceń (CLI) przypomina Cisco IOS. FRRouting podziękowania dla Joba Snijdersa za korektę - ten projekt już nie nazywa się OpenFRR tylko FRRouting. przepraszam! :) niestety, o ile FRRouting sprawdza się doskonale w mojej sieci, w trakcie wdrożenia AS112 trafiłem na niemiłą niespodziankę....
po ostatnim wpisie dotyczącym pomysłu podzielenia się pełną tablicą BGP IPv4, dostałem dużo ciekawych maili. w części z nich wspominacie o IPv6 - postanowiłem zatem nieco “zmodyfikować” projekt. oświadczenie robisz to na WŁASNĄ RĘKĘ. nie odpowiadam za nic - za przeładowanie Twojego routera, zmianę ruchu w Twojej sieci oraz dowolne inne efekty uboczne. innymi słowy - wszystko jest w Twoich rękach. mogę również zakończyć życie tej usługi albo zmienić ją i nie muszę się z tego tłumaczyć....
uruchomiłem właśnie dzięki inspiracji od Roberta Woźnego, dwie osobne instancje AS112 w Polsce. stało się to możliwe dzięki wspaniałym ludziom dobrej woli w ATMAN: Sebastian Olejnik i Damian Nowacki …oraz w EPIX: Krzysztof Czuszek i Paweł Staszewski o co w ogóle w tym AS112 chodzi? as112 AS112 to międzynarodowy projekt który lokalnie obsługuje zapytania przychodzące ze źle skonfigurowanych lub źle działających klientów DNS (to może oznaczać Twojego domowego PeCeta ale także komputer w firmie)....
już od jutra zaczyna się 25. edycja konferencji PLNOG. jak zawsze - gorąco zapraszam. z Piotrem Jabłońskim będę miał okazję poprowadzić sesję o Segment Routingu - we wtorek, o 16:15. ponieważ temat był już omawiany, skupimy się na praktyce wdrożenia w istniejącej sieci operatorskiej - a wyżej podpisany będzie dodatkowo pokazywał część zagadnień na żywo. do zobaczenia/usłyszenia.
Daniel Dib zapytał ostatnio na Twitterze o czas konwergencji światowego BGP. dwie godziny, które uzyskał od swojego znajomego w odpowiedzi wydawały mi się nieco podejrzane. sam ostatnio pomagałem uruchomić zupełnie nowy ASN z zupełnie nowym prefiksem IPv4 (no dobrze, zarówno ASN jak i prefiks z drugiej ręki, ale jednak) i czas propagacji do najdalszych zakątków świata do których mogłem dotrzeć był zdecydowanie krótszy. więc zacząłem kopać. znalazłem ciekawe opracowanie z 2007 roku, które wspominało o czasach typu 15-30 minut, oraz inne z 2019, które wspomina już o czasie konwergencji rzędu czterech minut....
jedną z ciekawych, a rzadko spotykanych konfiguracji jest możliwość zestawienia tunelu z interfejsu należącego do grupy HSRP. pozwala to np. w sytuacji gdy macie dwa routery brzegowe, zestawić jeden tunel do Hurricane Electric aby zapewnić sobie możliwość transmisji IPv6 (tunelowanej, ale jednak). tunel będzie aktywny tylko z routera który jest aktualnie domyślną bramką - i to już. przykład poniżej zawiera zatem konfigurację tunelu IPv6 ponad IPv4, ale tak naprawdę rodzaj tunelu nie ma znaczenia....
ostatnio podczas przeglądania logów na kontrolerze WLAN, zauważyłem, że od czasu do czasu nie widać odpowiedzi do stacji z serwera DHCP. trochę się zdziwiłem, bo domownicy nie narzekają - a narzekaliby od razu. postanowiłem sprawę sprawdzić po kolei na wszystkich elementach sieci. pierwsze podejrzenie padło na przełączniki. dlaczego? skoro generalnie wszystko działa, nikt nie narzeka (a narzekają bardzo szybko) prawdopodobnie chodzi o dropy na interfejsach. komunikaty wskazywały bowiem na bardzo rzadkie występowanie problemu....
aktualizacja projekt nadal żyje i jest aktywny, ale rezyduje obecnie pod innym adresem IP. przejdź proszę do tego, nowszego posta. poniżej STARY post jeden z ostanich wątków na liście nanog@ spowodował, że wróciłem myślami do projektu, który zamierzałem uruchomić lata temu. a ponieważ miałem dzisiaj dużo “czasu”, odpaliłem darmową usługę “załaduj-swój-router-pełną-prawdziwą-tablicą-bgp” :) jeśli jesteś zainteresowany skorzystaniem z projektu, przejdź od razu tutaj oświadczenie robisz to na WŁASNĄ RĘKĘ. nie odpowiadam za nic - za przeładowanie Twojego routera, zmianę ruchu w Twojej sieci oraz dowolne inne efekty uboczne....
o ile wielokrotnie wspominałem już, że routing dynamiczny na firewallu jest proszeniem się o kłopoty, czasami nie ma innego wyjścia. w Cisco nie rekomendujemy używania ASA czy FTD do routing BGP z pełną tablicą. nie dlatego, że się do tego nie nadają, a dlatego, że nie jest to po prostu dobra praktyka w budowaniu, wymiarowaniu i prawidłowej inżynierii sieciowej. poniżej przykłada z testowania w domowym labie klastra składającego się z pary ASA 5516-X, pracujących z oprogramowaniem....
w związku z epidemią COVID-19, zostaliśmy dosłownie zalani prośbami o pomoc we wdrożeniu połączeń RA VPN. u niektórych naszych Klientów, ilość zdalnych pracowników w ciągu tygodnia podskoczyła z 0 do 7000. inni świadczą już dzisiaj usługi dla ponad 30,000 użytkowników. a w Cisco pracujemy dzisiaj prawie wszyscy zdalnie - to ponad 100,000 użytkowników na całym świecie skupionych wokół paru wysoko dostępnych i wysokowydajnych koncentratorów VPN. dzięki bardzo szybkiej mobilizacji, napisaliśmy i opublikowaliśmy wraz z inżynierami i specjalistami z wielu różnych organizacji poniże poradniki, opisy wdrożeń - w oparciu zarówno o rozwiązania sprzętowe i wirtualne:...
całkiem niedawno dzięki Robertowi Pająkowi miałem okazję wystąpić na listopadowej edycji Akamai Affinity. ponieważ z natury rzeczy miało być ‘sieciowo’ - było. tak naprawdę nie do końca całkiem niedawno - w listopadzie zeszłego roku. całkiem niedawno premierę miał nasz przełącznik z portami 400Gbit/s a na kończącym się właśnie Cisco Live! w Barcelonie mieliśmy okazję pokazać światu architekturę ACI Anywhere - rozwiązanie tworzące most między rozwiązaniami łączącymi sprzęt i oprogramowanie z czystym oprogramowaniem na ‘komputerach do wynajęcia’ (czyli w chmurze)....
plnog, plnog i… po plnogu. dwudziestym. jak ten czas… bywało ciężko, jak przy pierwszej edycji. ‘będzie 60!’. przyszło 124… nie pamiętam już tego. a przecież to tylko 10 lat! pamiętam tylko, że nie wszyscy zmieścili się w głównej sali oddanej nam na użytek przez zarządców budynku biurowego na terenie krakowskiego Wawelu. krążyłem lekko zdenerwowany sytuacją i rozmawiałem z Andrzejem, który mnie wtedy uspokajał. bywało wesoło, jak podczas ostatnich zdjęć z różowymi koszulkami (jakimi - well, jeśli nie potrafisz ich znaleźć, nie jesteś ich godzien!...
NASA spędziła ostatnio wiele wysiłku (i jak sądzę - pieniędzy) na poszukiwania biegłego w kodzie programistry Fortrana do przepisania kodu pracującego do dzisiaj na Voyagerze - idealny kandydat znaleziony został w końcu w samej NASA, niemniej jednak stawia to ciekawe pytanie - ile możesz zrobić w Fortranie, mając do dyspozycji 64kB i mniej więcej 3W mocy? to znacząco inne zadanie niż dzisiejsze komputery, ich moc obliczeniowa i niechlujność na jaką pozwalają - i jakiej uczą dzisiejszych programistów....
OpenSSH 7 przyniósł między innymi wycofanie dla wsparcia mechanizmu wymiany kluczy za pomocą grupy 1 Diffie-Hellmana diffie-hellman-group1-sha1 (można ją zaatakować za pomocą Logjam). wszystko dobrze, do czasu próby dostania się potem do urządzeń, które domyślnie (lub w ogóle) obsługują tylko wymianę grupy 1. w drugim wypadku czeka nas uaktualnienie oprogramowania, w pierwszym - rekonfiguracja. na urządzeniach Cisco ASA należy dopisać do konfiguracji: ssh key-exchange group dh-group14-sha1 na urządzeniach z Cisco IOS/IOS-XE należy ustawić minimalną długość kluczy - IOS domyślnie iteruje z listy dostępnych mechanizmów i pominie (jako serwer) te, które nie spełniają tego wymogu:...
zdarzyło się tak, że dopadł mnie weekend na wsi :) router Cisco 887VAGW+7-E-K9, mała konfiguracja (jak poniżej) i jest dobrze. ! chat-script gsm "" "AT!SCACT=1,1" TIMEOUT 15 "OK" ! interface Cellular0 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation slip load-interval 30 dialer in-band dialer idle-timeout 300 dialer string gsm dialer-group 1 async mode interactive ! ip nat translation timeout 60 ip route 0.0.0.0 0.0.0.0 Cellular0 ! dialer-list 1 protocol ip permit !...
warto rzucić okiem. a potem ze zdziwienia otworzyć oczy szerzej. bardzo szacowne sieci (i hosty) się na mapkach pojawiają: SenderBase malware SenderBase spam ogólne raporty z SenderBase, największej rozproszonej sieci zbierającej dane o zagrożeniach: SenderBase
przeglądając notki z ostatniego spotkania IETF natrafiłem na ciekawy pomysł - możliwość podzielenia obszaru zerowego OSPF na obszary, bezprzerwowo, w ramach procesu migracji. ciekawa sprawa. z drugiej strony, tak jak spodziewałem się od samego początku, ktoś zaproponował właśnie rozszerzenie FlowSpec na IGP - w tym przypadku OSPF. brawo… z ciekawszych informacji, postępują prace nad próbą ustandaryzowania wirtualnych sieci nakładkowych - zarówno z punktu widzenia architektury jak i bezpieczeństwa. ciekawe, jak to długo jeszcze potrwa....
…dotyczące wydajności wirtualizacji stosu sieciowego u różnych dostawców chmury. plus, parę ciekawych danych, slajdów oraz trochę spekulacji o tym, jak sieciowo zbudowany jest AWS.