Sieci

aktualizacja projekt nadal żyje i jest aktywny, ale rezyduje obecnie pod innym adresem IP. przejdź proszę do tego, nowszego posta. poniżej STARY post jeden z ostanich wątków na liście nanog@ spowodował, że wróciłem myślami do projektu, który zamierzałem uruchomić lata temu. a ponieważ miałem dzisiaj dużo “czasu”, odpaliłem darmową usługę “załaduj-swój-router-pełną-prawdziwą-tablicą-bgp” :) jeśli jesteś zainteresowany skorzystaniem z projektu, przejdź od razu tutaj oświadczenie robisz to na WŁASNĄ RĘKĘ. nie odpowiadam za nic - za przeładowanie Twojego routera, zmianę ruchu w Twojej sieci oraz dowolne inne efekty uboczne. innymi słowy - wszystko jest w Twoich rękach. ...

o ile wielokrotnie wspominałem już, że routing dynamiczny na firewallu jest proszeniem się o kłopoty, czasami nie ma innego wyjścia. w Cisco nie rekomendujemy używania ASA czy FTD do routing BGP z pełną tablicą. nie dlatego, że się do tego nie nadają, a dlatego, że nie jest to po prostu dobra praktyka w budowaniu, wymiarowaniu i prawidłowej inżynierii sieciowej. poniżej przykłada z testowania w domowym labie klastra składającego się z pary ASA 5516-X, pracujących z oprogramowaniem. klaster dwóch takich ASA otrzymuje sesje BGP z pełnym widokiem światowym z mojego routera brzegowego - ASRa 1001X: ...

w związku z epidemią COVID-19, zostaliśmy dosłownie zalani prośbami o pomoc we wdrożeniu połączeń RA VPN. u niektórych naszych Klientów, ilość zdalnych pracowników w ciągu tygodnia podskoczyła z 0 do 7000. inni świadczą już dzisiaj usługi dla ponad 30,000 użytkowników. a w Cisco pracujemy dzisiaj prawie wszyscy zdalnie - to ponad 100,000 użytkowników na całym świecie skupionych wokół paru wysoko dostępnych i wysokowydajnych koncentratorów VPN. dzięki bardzo szybkiej mobilizacji, napisaliśmy i opublikowaliśmy wraz z inżynierami i specjalistami z wielu różnych organizacji poniże poradniki, opisy wdrożeń - w oparciu zarówno o rozwiązania sprzętowe i wirtualne: ...

całkiem niedawno dzięki Robertowi Pająkowi miałem okazję wystąpić na listopadowej edycji Akamai Affinity. ponieważ z natury rzeczy miało być ‘sieciowo’ - było. tak naprawdę nie do końca całkiem niedawno - w listopadzie zeszłego roku. całkiem niedawno premierę miał nasz przełącznik z portami 400Gbit/s a na kończącym się właśnie Cisco Live! w Barcelonie mieliśmy okazję pokazać światu architekturę ACI Anywhere - rozwiązanie tworzące most między rozwiązaniami łączącymi sprzęt i oprogramowanie z czystym oprogramowaniem na ‘komputerach do wynajęcia’ (czyli w chmurze). ...

plnog, plnog i… po plnogu. dwudziestym. jak ten czas… bywało ciężko, jak przy pierwszej edycji. ‘będzie 60!’. przyszło 124… nie pamiętam już tego. a przecież to tylko 10 lat! pamiętam tylko, że nie wszyscy zmieścili się w głównej sali oddanej nam na użytek przez zarządców budynku biurowego na terenie krakowskiego Wawelu. krążyłem lekko zdenerwowany sytuacją i rozmawiałem z Andrzejem, który mnie wtedy uspokajał. bywało wesoło, jak podczas ostatnich zdjęć z różowymi koszulkami (jakimi - well, jeśli nie potrafisz ich znaleźć, nie jesteś ich godzien! ;) ). ale tak naprawdę większość pierwszych PLNOGów było nerwówką zespołu PROIDEA oraz wielu godzin dyskusji per spotkanie w podgrupach i na mailach. jaka agenda? czemu nie ma zgłoszeń na sesję? komu możemy pomóc? ile ścieżek? kto wystąpi? czy oni naprawdę przyjadą? czemu nie dosłali do swoich materiałów właściwej czcionki? chcą ankiety na stoisku? naprawdę? biorąc pod uwagę ile trudnych decyzji trzeba było podejmować na początku i jak dzięki temu wiele wspaniałych osób poznaliśmy - nawet nie chcę próbować wyobrażać sobie jak wiele spraw, kłopotów i problemów miał zespół Andrzeja, a potem Jakuba a ostatnio Moniki. ...

NASA spędziła ostatnio wiele wysiłku (i jak sądzę - pieniędzy) na poszukiwania biegłego w kodzie programistry Fortrana do przepisania kodu pracującego do dzisiaj na Voyagerze - idealny kandydat znaleziony został w końcu w samej NASA, niemniej jednak stawia to ciekawe pytanie - ile możesz zrobić w Fortranie, mając do dyspozycji 64kB i mniej więcej 3W mocy? to znacząco inne zadanie niż dzisiejsze komputery, ich moc obliczeniowa i niechlujność na jaką pozwalają - i jakiej uczą dzisiejszych programistów. ...

OpenSSH 7 przyniósł między innymi wycofanie dla wsparcia mechanizmu wymiany kluczy za pomocą grupy 1 Diffie-Hellmana diffie-hellman-group1-sha1 (można ją zaatakować za pomocą Logjam). wszystko dobrze, do czasu próby dostania się potem do urządzeń, które domyślnie (lub w ogóle) obsługują tylko wymianę grupy 1. w drugim wypadku czeka nas uaktualnienie oprogramowania, w pierwszym - rekonfiguracja. na urządzeniach Cisco ASA należy dopisać do konfiguracji: ssh key-exchange group dh-group14-sha1 na urządzeniach z Cisco IOS/IOS-XE należy ustawić minimalną długość kluczy - IOS domyślnie iteruje z listy dostępnych mechanizmów i pominie (jako serwer) te, które nie spełniają tego wymogu: ...

zdarzyło się tak, że dopadł mnie weekend na wsi :) router Cisco 887VAGW+7-E-K9, mała konfiguracja (jak poniżej) i jest dobrze. ! chat-script gsm "" "AT!SCACT=1,1" TIMEOUT 15 "OK" ! interface Cellular0 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation slip load-interval 30 dialer in-band dialer idle-timeout 300 dialer string gsm dialer-group 1 async mode interactive ! ip nat translation timeout 60 ip route 0.0.0.0 0.0.0.0 Cellular0 ! dialer-list 1 protocol ip permit ! line 3 exec-timeout 0 0 script dialer gsm modem InOut …i dodatkowo konfiguracja profilu. ponieważ nie miałem karty, a wcześniej miałem tzw. “fatalne” wrażenia po zakupieniu karty do internetu z Orange, postanowiłem skorzystać z oferty Plusa, który na szczeście miał stoisko w pobliskim miasteczku. ...

warto rzucić okiem. a potem ze zdziwienia otworzyć oczy szerzej. bardzo szacowne sieci (i hosty) się na mapkach pojawiają: SenderBase malware SenderBase spam ogólne raporty z SenderBase, największej rozproszonej sieci zbierającej dane o zagrożeniach: SenderBase

przeglądając notki z ostatniego spotkania IETF natrafiłem na ciekawy pomysł - możliwość podzielenia obszaru zerowego OSPF na obszary, bezprzerwowo, w ramach procesu migracji. ciekawa sprawa. z drugiej strony, tak jak spodziewałem się od samego początku, ktoś zaproponował właśnie rozszerzenie FlowSpec na IGP - w tym przypadku OSPF. brawo… z ciekawszych informacji, postępują prace nad próbą ustandaryzowania wirtualnych sieci nakładkowych - zarówno z punktu widzenia architektury jak i bezpieczeństwa. ciekawe, jak to długo jeszcze potrwa. ...