MACsec: a different solution to encrypt network traffic
Про MACsec в Linux. С описанием и примером настройки
https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic/
Про MACsec в Linux. С описанием и примером настройки
https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic/
Red Hat Developer
MACsec: a different solution to encrypt network traffic | Red Hat Developer
MACsec is an IEEE standard for security in wired ethernet LANs. This blog , will give an overview of what MACsec is, how it differs from other security standards, and present some ideas about how it
На правах рекламы.
От нечего делать запилил простейший сервис на go, который позволяет узнать ваш белый IP адрес. Мне по работе это часто нужно, а сервисы типа
http://ntwrk.cf
Как пользоваться:
Исходники:
https://github.com/mxssl/ntwrk.cf
От нечего делать запилил простейший сервис на go, который позволяет узнать ваш белый IP адрес. Мне по работе это часто нужно, а сервисы типа
ifconfig.me
бывает или вообще не отвечают или тормозят.http://ntwrk.cf
Как пользоваться:
curl ntwrk.cfМожет кому-то еще пригодится :)
Исходники:
https://github.com/mxssl/ntwrk.cf
Forwarded from Curious notes
Ещё немного про то, как IOS/IOS-XE и Junos работают как ASBR для Option B. В прошлый раз я писал, что Junos немного упрощает работу с настройкой маршрутизатора в этой роли, в этот раз хотелось бы отметить, как расходуется пространство меток при получении и отправке анонсов. В Junos пограничный маршрутизатор выделяет новую метку на каждую уникальную пару next-hop/label, то есть количество расходуемых меток на нём сильно зависит от настроек соседей. Например, если PE использует режим
В IOS/IOS-XE режим создания меток по умолчанию
Существует также lifehack, позволяющий экономить пространство меток, пожертвовав количеством хранимых префиксов в RIB/FIB. Для этого на ASBR создаётся VRF, в который импортируются префиксы определённого L3VPN, а также настраивается режим
Помимо этого Junos позволяет для определённых префиксов делать транзит только силами MPLS, а для оставшихся — силами промежуточной IP-сортировки. Для этого в контексте на ASBR используется политика, позволяющая делать своеобразный leaking префиксов с отличной от общей меткой. Удобно. https://www.juniper.net/documentation/en_US/junos/topics/usage-guidelines/vpns-configuring-label-allocation-and-substitution-policy.html
vrf-table-label
, то ASBR также будет выделять одну метку для всех анонсов со стороны этого PE в рамках конкретного контекста L3VPN. Для другого контекста этого же PE по очевидным причинам будет выделяться новая метка. Если же Juniper получит уникальную метку для каждого префикса, ничего другого, кроме как тоже выделять уникальную метку, ему не останется.В IOS/IOS-XE режим создания меток по умолчанию
per-prefix
, однако если для ситуаций, когда маршрутизатор играет роль PE, это поведение можно изменить, то для ASBR таких механизмов обнаружено не было (если знаете, как это делается, поделитесь). Даже если для нескольких префиксов Cisco получит одну метку, для каждого из них маршрутизатор создаст новую. И это печально.Существует также lifehack, позволяющий экономить пространство меток, пожертвовав количеством хранимых префиксов в RIB/FIB. Для этого на ASBR создаётся VRF, в который импортируются префиксы определённого L3VPN, а также настраивается режим
vrf-table-label
. В такой схеме маршрутизатор будет агрегировать все метки, тратя одну на контекст, анонсируя её пирам для всех префиксов. А возможно это благодаря дополнительному IP lookup, который позволяет найти нужную сервисную метку для трафика, в этом контексте. Вот только работает такой способ только в Junos, IOS/IOS-XE научить снова не удалось.Помимо этого Junos позволяет для определённых префиксов делать транзит только силами MPLS, а для оставшихся — силами промежуточной IP-сортировки. Для этого в контексте на ASBR используется политика, позволяющая делать своеобразный leaking префиксов с отличной от общей меткой. Удобно. https://www.juniper.net/documentation/en_US/junos/topics/usage-guidelines/vpns-configuring-label-allocation-and-substitution-policy.html
The New Illustrated TLS Connection
Every byte explained and reproduced
A revised edition in which we dissect the new manner of secure and authenticated data exchange, the TLS 1.3 cryptographic protocol.
https://tls13.ulfheim.net/
Every byte explained and reproduced
A revised edition in which we dissect the new manner of secure and authenticated data exchange, the TLS 1.3 cryptographic protocol.
https://tls13.ulfheim.net/
tls13.xargs.org
The Illustrated TLS 1.3 Connection
Every byte of a TLS connection explained and reproduced
Тут говорят, что HTTP-over-QUIC будет называться HTTP/3. Как вам будущее интернета без TCP, c транспортным протоколом, который на данный момент реализован только в userspace и все еще разрабатывается "по полному agile" ?
https://daniel.haxx.se/blog/2018/11/11/http-3/
https://daniel.haxx.se/blog/2018/11/11/http-3/
An Internet-Scale Feasibility Study of BGP Poisoning as a Security Primitive
https://arxiv.org/pdf/1811.03716.pdf
The security of the routing infrastructure as a set of protocols and routing process has underpinned much of the past two decades of distributed systems security research. However, the converse is becoming increasingly true. Routing and path decisions are now important for the security properties of systems built on top of the Internet. In particular, BGP poisoning leverages the de facto routing protocol between Autonomous Systems (ASes) to maneuver the return paths of upstream networks onto previously unusable, new paths. These new paths can be used to avoid congestion, censors, geo-political boundaries, or any feature of the topology which can be expressed at an AS-level. Given the increase in use of BGP poisoning as a security primitive for security systems, we set out to evaluate the feasibility of poisoning in practice, going beyond simulation.
To that end, using a novel multi-country and multi-router Internet-scale measurement infrastructure, we capture and an- alyze over 1,400 instances of BGP poisoning across thousands of ASes as a mechanism to maneuver return paths of traffic. We additionally analyze filtering of BGP poisoning, connectivity concerns when poisoning, the presence of ASes that completely ignore poisoned providers, and finally an exhaustive measurement of a first-of-its-kind upper bound on the maximum path length of the Internet.
https://arxiv.org/pdf/1811.03716.pdf
Cloudflare про современные тренды в ремесле DDоS-атак
https://blog.cloudflare.com/the-rise-of-multivector-amplifications/
These kind of SYN floods, reaching 600-650 Gbps, we consider a normal part of operating in the internet.
https://blog.cloudflare.com/the-rise-of-multivector-amplifications/
The Cloudflare Blog
The rise of multivector DDoS attacks
It's been a while since we last wrote about Layer 3/4 DDoS attacks on this blog. This is a good news - we've been quietly handling the daily onslaught of DDoS attacks. Since our last write-up, a handful of interesting L3/4 attacks have happened. Let's review…
Network Warrior
Тут говорят, что HTTP-over-QUIC будет называться HTTP/3. Как вам будущее интернета без TCP, c транспортным протоколом, который на данный момент реализован только в userspace и все еще разрабатывается "по полному agile" ? https://daniel.haxx.se/blog/2018/11/11/http…
QUIC: Developing and Deploying a TCP Replacement for the Web
Если в будущем от QUIC никуда не деться - нужно знать больше. Jana Iyengar (Fastly) и Ian Swett (Google) делают обзор и рассказывают про текущую имплементацию на Linux и как они собираются улучшить производительность.
Видео: https://www.youtube.com/watch?v=LZipPUJELlM
Презентация :
https://www.files.netdevconf.org/d/4821d19eac8640039d15/
Если в будущем от QUIC никуда не деться - нужно знать больше. Jana Iyengar (Fastly) и Ian Swett (Google) делают обзор и рассказывают про текущую имплементацию на Linux и как они собираются улучшить производительность.
Видео: https://www.youtube.com/watch?v=LZipPUJELlM
Презентация :
https://www.files.netdevconf.org/d/4821d19eac8640039d15/
YouTube
Netdev 0x12 - QUIC: Developing and Deploying a TCP Replacement for the Web
Is TCP - at 44 - too old, slow, and have bad habits that can't be fixed?Does shaving a few milliseconds of latency on a web transaction matter that much to c...
JNCIE-SP-12.a_SG_.pdf
21.2 MB
JNCIE Service Provider Bootcamp
12.a
Student Guide
2015
12.a
Student Guide
2015
JNCIE-SP-12.a_LD_.pdf
482.4 KB
JNCIE Service Provider Bootcamp
12.a
Lab Diagrams
2015
12.a
Lab Diagrams
2015
JNCIE-SP-12.a_LG_v1_.pdf
1.9 MB
JNCIE Service Provider Bootcamp
12.a
Lab Guide Volume 1
2015
12.a
Lab Guide Volume 1
2015
JNCIE-SP-12.a_LG_v2_.pdf
1.3 MB
JNCIE Service Provider Bootcamp
12.a
Lab Guide Volume 2
2015
12.a
Lab Guide Volume 2
2015
Рубрика «Подписчики пишут». Несколько занятных RFC по требованиям к CE/CPE в контексте IPv6.
https://tools.ietf.org/html/rfc4864#section-4.2
https://tools.ietf.org/html/rfc6092
https://tools.ietf.org/html/rfc7084
И ещё один весьма интересный документ по проблемам реализации IPv6-only MPLS сетей.
https://tools.ietf.org/html/rfc7439
https://tools.ietf.org/html/rfc4864#section-4.2
https://tools.ietf.org/html/rfc6092
https://tools.ietf.org/html/rfc7084
И ещё один весьма интересный документ по проблемам реализации IPv6-only MPLS сетей.
https://tools.ietf.org/html/rfc7439
Неплохая подборка draft/RFC по технологии EVPN в контексте DC сетей от нашего соотечественника Alexander Grigorenko. http://jncie.tech/2018/01/27/list-of-evpn-and-dc-related-rfcs/
Почитайте также пост Ivan Pepelnjak
Почитайте также пост Ivan Pepelnjak
BGP in EVPN-Based Data Center Fabrics
, особенно комментарии, в которых Alex достаточно неплохо отстаивает своё видение, увлекательная дискуссия. https://blog.ipspace.net/2018/01/bgp-in-evpn-based-data-center-fabrics.htmlЗапись траснляции конференции about:cloud от Яндекс. А интересно это нам потому, что ребята не забыли рассказать про сетевую инфраструктуру :
- mpls фабрика
- bgp-lu c хоста к TOR
- Tungsten Fabric (OpenContrail) в качестве SDN-контроллера. Contrail vRouter на хосте.
- CloudGate (GW, NAT, Firewall) на VPP + GoBGP
https://www.youtube.com/watch?v=Kr6WIYPts8I
- mpls фабрика
- bgp-lu c хоста к TOR
- Tungsten Fabric (OpenContrail) в качестве SDN-контроллера. Contrail vRouter на хосте.
- CloudGate (GW, NAT, Firewall) на VPP + GoBGP
https://www.youtube.com/watch?v=Kr6WIYPts8I
Cisco принесли Viptela SD-WAN в IOS XE : ASR1k, ISR1k, ISR4k, ISRv
https://sdwan-docs.cisco.com/Product_Documentation/Getting_Started/Release_Notes/01Release_Notes_for_XE_SD-WAN_Release_16.9.1_and_SD-WAN_Release_18.3
https://sdwan-docs.cisco.com/Product_Documentation/Getting_Started/Release_Notes/01Release_Notes_for_XE_SD-WAN_Release_16.9.1_and_SD-WAN_Release_18.3
Network Warrior
Cisco принесли Viptela SD-WAN в IOS XE : ASR1k, ISR1k, ISR4k, ISRv https://sdwan-docs.cisco.com/Product_Documentation/Getting_Started/Release_Notes/01Release_Notes_for_XE_SD-WAN_Release_16.9.1_and_SD-WAN_Release_18.3
YouTube
Deep dive into Cisco’s latest SD-WAN announcements and innovations
Get an inside look at how we’ve integrated Viptela architecture on IOS-XE and learn what we’re doing to ease the burden of keeping users and data secure across the enterprise data center and cloud environment.
Subscribe to Cisco's YouTube channel: http…
Subscribe to Cisco's YouTube channel: http…
В секции Cisco Validated Design (CVD) впервые стали доступны полноценные руководства по дизайну и внедрению решения Cisco SD-WAN (Viptela).
https://www.cisco.com/c/en/us/solutions/design-zone/networking-design-guides/branch-wan-edge.html#~stickynav=1
https://www.cisco.com/c/en/us/solutions/design-zone/networking-design-guides/branch-wan-edge.html#~stickynav=1
Cisco
Design Zone - Branch, WAN, and Internet Edge
Visit Cisco’s Design Zone for Branch, WAN, and the Internet Edge. Get design guides, deployment guides, and technical white papers for branches and remote sites.