Блохи в свитере деда Сергеича

Послушал вчера конференцию Yandex NextHop-2021.

Четыре доклада из десяти мне даже понравились. То есть примерно одна треть этой конференции оказалась для меня полезной. Вполне неплохой выхлоп.

Что касается остальных докладов. Мне эти-то сведения на практике точно никогда не применить. А уж остальные-то и подавно. Не так много в мире компаний масштабов рылокниги или тындекса, где вот реально нужны все эти spine-leaf, top-of-rack, 400-гигабитные линки и прочие непотребства. Но вообще всегда интересно чего новенького успели напридумать яйцеголовые, особенно если кто-нибудь умеет доступным языком рассказать. Но, к сожалению, с последним пукнтом почти всегда возникают проблемы.

Насчет этого вашего Yandex.Cloud, я искренне не понимаю кому и зачем он хотя бы теоретически может быть нужен. Да, они там внедрили хренову тонну каких-то инновационных решений, но на хрена козе баян?

Оратор из Juniper-а — это вообще позорище ходячее. Сочинил один раз какой-то весьма посредственный доклад про квантовые ключи и торгует с ним хлебалом на каждой более-менее подходящей по тематике конференции.

Про то, как в гугле пять лет тому назад вообще упразднили отдел мониторинга сети, и как там у них автоматически создаются тикеты на RMA (замену неисправных деталей) в случае выхода из строя железок, конечно, занятно послушать. Но это не стоило размусоливать на 45 минут. Кинули бы просто понты за 5...10 минут, да и ушли под аплодисменты.

Про ZTP и Segment Routing Policy я вообще не осилил. Уснул.

SwitchDEV — это всё, конечно, хорошо и замечательно. Но кому он реально нужен помимо FAANG, непонятно.

Собственно, и всё остальное примерно в том же духе. Наверное, действительно полезной была только инфа про различные форматы / стандарты SFP-модулей и про проблемы их (не)совместимости с чипами / шинами коммутаторов. А-ля ликбез. Но опять же, лично мне такие SFPшки, про которые шла речь, вряд ли когда-либо доведется хотя бы просто в руках подержать.

Правда, по результатам пары докладов меня таки посетили интересные мысли, ближе к философским рассуждениям.

... Когда-то далеко в начале 2000-ых, возможно году в 2005...2007 (точнее уже не вспомню) я на NAG-е (nag.ru) читал статью о том, как один небольшой украинский ISP забубенил себе маршрутизатор ядра сети на amd64. Они тогда хвастались, что сами пропатчили драйвера Intel-евых сетевух дабы раскидать их очереди по 24 ядрам процессоров, чтобы добиться приемлемых показателей pps (packets-per-second). А наградой за их труды стало очень-очень быстрое схождение Full View BGP на скольких-то там не занятых под транзит трафика оставшихся ядрах.

С тех пор проходит больше десяти лет, и что мы видим? Яндекс строит пограничный (!) FireWall на... та-да-а-а-ам... Linux + Intel X86_64 ! Правда, с тех пор много воды утекло. Появилась магия в виде eBPF и DPDK. Но сам факт. Как поёт группа "Пикник", "Маятник качнётся, всё опять начнётся". Ну да, ну да... от чего уходили, к тому и вернулись. ASIC-и, уясики, это всё не то. Хочешь настоящей гибкости и настоящей вычислительной мощности — при всём богатстве выбора другой альтернативы нет. © Только x86_64, только хардкор.

... А другой доклад мне очень сильно напомнил метания между тем, как же распределить обязанности между различными компонентами той или иной системы. Например, Intel встраивает графику в ядро CPU. А NVidia наоборот, предлагает ускорять всё на свете на мощностях видеоадаптера. Вроде бы они заняли каждый свою нишу. Но!

Теперь NVidia всерьёз полезла на рынок телекома и всего что с ним связано. Они предлагают вместо "традиционного" сетевого интерфейса совать в сервер ещё один сервер, только маленький. ARM-based SoC (System on Chip). Они называют это "DPU": "Data Processing Unit". Который уже и кофеварка, и кофемолка, и кофевозделывательная плантация. От привычного сетевого интерфейса там остались разве что шина PCI-Express да частично принципы взаимодействия с ядром операционной системы.

Как всегда обещают углубить, улучшить, расширить, ускорить и всё в этом духе. Мол, теперь ваша сетевая карточка — это прям вот полноценный L3, может прокачивать через себя какие-то лютые PPS и не подавиться. А вам уже не нужно ничего знать, только кнопочки нажимать: опытные сетевые инженеры всё настроят централизованно вместо вас. И вам уже не нужны дорогущие TOR-свитчи (Top-of-Rack) для превращения L2 в L3, типа экономия. При том, что вы можете мутить MPLS, eVPN и прочие оверлейные сети прямо на адаптере, воткнутом в ваш сервер.

По мне так, "ну кому нужен бильярдный шар с растущими на нём волосами"? © Но не знаю. Может и правда взлетит. Народ жы ж сходит с ума по облакам. Ждём ответа от Intel, где сетевая карточка будет встроена в CPU, использовать штатную оперативную память, уметь писать прямо в процесс внутри виртуальной машины, а выводы будут разведены прямо с ножек процессора в разъём RJ-45... Зачем? А хрен знает. Но прикольно же!

... Сначала рылокнига героически делает крутейшее централизованное управление сетью. Потом так же централизованно её валит на шесть часов. Красота! "Может не надо, Шурик? Надо, Федя. Надо." ©

Ох уж этот новый дивный мир.

Мы живём в мире тотальной лжи.

Пример. Допустим, к условной Прасковье Федотовне приходит некто по имени Марк и предлагает каждый месяц башлять, скажем, пять тысяч рублей на развитие высоких технологий и интернета. Куда Прасковья его пошлёт? Есть варианты, но в целом адрес известен.

Но Марк поступает хитрее. Он создаёт в интернете социальную сеть. Которая зарабатывает на том, что продает рекламу и персональные данные. Рекламодатели с удовольствием несут Марку денюжку. Но откуда они её берут? Правильно, повышают цену на продаваемые ими товары и услуги. Ведь без расходов на рекламу они были бы дешевле. Которые, в свою очередь приобретает Прасковья Федотовна.

Часть заработанных денег Марк относит программистам, производителям серверов, сетевого оборудования. Те делятся с разработчиками микроэлектроники, и так далее.

Вот и получается, что в конечном итоге Прасковья Федотовна таки заплатила налог на развитие высоких технологий. Только она об этом не догадывается, а потому спит спокойно.

Вот и получается, что в современном мире наиболее успешен тот, кто сумел обложить данью наибольшее количество рыл максимально незаметно для них самих.

Одно радует. В отличие от "официальных" налогов, вот эти закамуфлированные таки достигают цели. То есть, на эти деньги действительно развиваются технологии, а не покупаются золотые унитазы. Наверное, так и должно быть.

Когда меня вдруг приспичивает поработать вне дома или офиса, то схема весьма стандартна. Из рюкзака достается ноутбук, к нему шнурком цепляется Android-телефон, на последнем активируется режим USB-модема. Далее "ifup xfrm0", устанавливается ipsec-соединение до Juniper SRX в датацентре, и давай вjobывать.

И тут я напоролся на странный глюк. Вроде пока ехал в электричке, всё было нормально. А добрался до места, ноль эмоций. Соединение есть, данных нет. Хотя ничего не менялось, сигнал сотовой сети устойчивый, интернет есть. Но пакетики через тоннель не летают.

При ближайшем рассмотрении выяснилось следующее. Когда я цепляю телефон к ноутбуку, виртуальному USB-адаптеру последнего по DHCP назначается адрес из сети "192.168.X.Y/24". Где X и Y — случайные числа от 1 до 254. И при очередном подключении смартфона число X случайно совпало с нумерацией моей домашней сети, до которой у Juniper-а уже есть другой маршрут через другой интерфейс. Вот оно и отвалилось. Перезагрузка телефона помогла, но каждый раз проверять выданный адрес и шаманить тоже как-то не очень хочется.

Теперь я задумался над двумя вопросами.

1. Можно ли в не-рутованном андроиде (MIUI) каким-то образом зафиксировать номер "X" в нумерации подсети, заранее назначив его в какое-то наперед заданное удобное значение, которое гарантирвоанно не пересечется у меня ни с чем другим.


2. Можно ли не вкорячивая Tasker вывести на рабочий стол смартфона кнопку "включить USB-модем". По умолчанию он всегда выключен. А штатная функция активация запрятана где-то очень глубоко в настройках, где я её постоянно ищу.

А ещё блин, когда ты пробуждаешь подключенный к компу телефон из спячки, он тебе каждый раз снова показывает диалог как использовать подключение: "только зарядка", "передача файлов", "передача фото". И если в этом диалоге выбрать любой пункт, то модем тут же отваливается. Похоже на баг в MIUI.

Понятно, что можно завести под это дело отдельный модем. Но во-первых, телефон всегда с собой, не забудешь взять. Во-вторых еще одну симку оплачивать / выгуливать как-то тоже не греет, особенно учитывая, что в телефоне у меня и так безлимитный интернет с возможностью раздачи.

Техника несовершенна.

Ваши мысли по поводу всячески приветствуются.

Мне кажется, или это у вас светофор какой-то х**вый?

Нерезиновск, недалеко от метро "Медведково". К работе самого светофора претензий нет. И да, вот эти красные "ободки" лично я как водитель всячески одобряю. С ними в темноте хорошо понятно, что там дополнительная секция есть.

... Мама пожаловалась, что дома "не работает интернет". Приехал. Действительно не работает. Но что совсем интересно, клиентские железки по DHCP почему-то получили адреса не из того VLAN-а. Хотел было разобраться детальнее, но ровно по той же причине не смог подцепиться к роутеру. Пришлось решить проблему по принципу "семь бед — один reset". После перезагрузки роутера всё тут же завелось.

И тут я смутно вспомнил, что на этом самом Mikrotik 951G еще до того, как перешил его в OpenWRT, уже ранее наблюдал эффект, когда при определённых условиях его встроенный свитч "переполняется" и начинает "подтекать". То есть, кадры из одного VLANа попадали в другой "мимо" маршрутизации. Специально сидел и ловил Wireshark-ом почему провайдер блокирует доступ в интернет (а там не с теми MAC-адресами ему кадры прилетали).

Но тогда я всё списал на глюкавость прошивки. Похоже, что таки не [только] прошивки. Видать, само железо тоже оставляет желать лучшего. А самое поганое, что у этого 951G нет "полностью независимых" логически портов, как у того же Mi Router и иже с ними. Оно всё по второму уровню идет через этот встроенный свитч. Роутер я, конечно, заменю. Но сам факт.

Теперь вот неспешно думаю, какой бы взять небольшой управляемый гигабитный коммутатор портов на 16. Чтобы без вентилятора, не шумный, и не сильно жручий электричество. И крайне желательно чтобы с L3. А то в Mi 3G портов всего три. Маловато будет.

... Раз уж вспомнил про коммутаторы. У меня прямо сейчас есть несколько Zyxel-ей. Да-да, именно Zyxel-ей, и именно коммутаторов. Оба проcтенькие совсем, но управляемые. Один с PoE, второй без. Так вот, какой же у них у**ищный интерфейс настройки! Это просто ахтунг какой-то. В веб-морде куча каких-то совершенно непонятных терминов. Какие-то менюшки. Просто сделать router-on-the-stick с ним превращается в увлекательнейший квест. Ни разу не понятно что делает та или иная "галка". Разные настройки VLANа рассованы по разным страницам. Вроде и железка ничего так, но этот отстойнейший интерфейс всё портит. Вот и чего они не сделают cisco-like cli? Непонятно. Тем более, что библиотеки для этого давным-давно есть и даже GNUтые.

... "Безопасники" в очередной раз отмочили. Поставили какой-то там "Nessus" и заявили, что 7-Zip из дистрибутива (Centos 7, ага) весь из себя "уязвимый" (ну да, архиватору жы ж жизненно необходимо быть неуязвимым со всех сторон). Поэтому мы его (7-zip) отовсюду снесём и пользоваться им не будем. А бэкапы будем паковать обычным ZIP-ом.

В очередной раз убеждаюсь, что вся эта "информационная безопасность" есть суть суходрочка для выбивания бабла из руководства / учредителей / акционеров / подведомственных организаций (нужное подчеркнуть). А мне теперь новая головная боль приехала: выбрать "правильный" архиватор для компрессии логов и бэкапов. Надо чтобы нормально паковал, имел шифрование с паролем из коробки, нормально скриптовался / автоматизировался. И чтобы, значит, всякие ихние Nessus и OpenVAS на него не ругались. Ну не на GZIP же идти. И не только выбрать, но и переписать все свои скрипты для создания и тестирования бэкапов. Сцуки.

... Чувствую, при слове "безопасность" я такими темпами скоро начну давать в рыло сразу, не разбираясь.

... Странные новости приходят. То якобы приостановили производство "Ковивака", то опровергли, мол, технологические линии переоборудуют. Ничего не понятно. Так будут его клепать или таки похоронили?

... 6 октября стартует очередной NextHop. Сам собираюсь послушать из дома. Ехать никуда не хочу.

... 29 сентября состоится вебинар по Tableau. Уж не знаю сколько оттуда я пойму, но поучаствовать тоже собираюсь. Чисто для общего развития.

Всем интересных событий и неуязвимых архиваторов.

Вот и закончился этот цЫрк с конями, по какому-то недоразумению называемый "выборами". Про их честность и прозрачность даже не буду и пытаться ничего писать. Всё и так понятно. Sapienti sat.

Мне интересно другое. Не "как", а "зачем". Зачем вообще устраивать это шапито? Практика одной соседней братской республики наглядно продемонстрировала, что подход "да, мы ***ели, ну и что?" тоже вполне себе канает. Внесли бы просто очередные поправки в конституцию из серии "вот царь, он правит вечно", пипл бы спокойно схавал. А тех, кто не схавал, разогнали вы водомётами. Всего-то делов. Дёшево и сердито.

На зарубежную публику работают? Дык им-то вообще нет никакой разницы как называется альфа-самец, с которым нужно договариваться об обмене айфонов и тесл на нефть и лес: "вождь", "султан", "эмир", "царь", "канцлер", "генсек", "президент", "верховный шаман". Главное, чтобы гарантировал выполнение своими подчиненными отданных им приказов и не пытался на***ть. Остальное как-то до фени.

Кто является целевой аудиторией всех этих ритуальных плясок? И что именно до неё этим чудны́м спектаклем пытаются донести? Не понимаю.

А так вообще, в очередной раз убедился, что либо у нас народ беспросветно тупой, и не может связать уже много лет продолжающееся падение уровня жизни и способ управления страной. Либо не понимает, что живет в г..не и нищете, потому что не с чем сравнить. Либо им и так норм. Потому что только из моего первого социального круга двое совершенно добровольно проголосовали за ПЖиВ. Оба пенсионеры, один из них военный (полковник в отставке). Правда, и тот и другой не страдают наличием головного мозга, но это уже второстепенные детали. Главное, сам факт.

Понятно, что при текущем положении вещей одни кормятся за счет других. Собственно, так было всегда. Но что-то странно, если вдруг выяснится, что кормящихся (в штуках) больше, чем их кормовой базы. Как тогда вся эта конструкция вообще держится? Впрочем, в этом мире возможно всё, что не противоречит законам физики.

Забавный парадокс получается. Демократия может эффективно работать только при высоком уровне образованности / интеллекта населения. Вместе с тем, власть имущим обучать холопов совершенно невыгодно, так как ими становится труднее управлять. Да и самим холопам в общем случае учиться тоже не особо-то и хочется / нужно. То есть, система отклоняется в сторону "монархия + быдло". Но при этом падает общая производительность труда, падает ВВП: продукцию высоких переделов может выдавать только высокотехнологичное производство, для которого требуются квалифицированные кадры.

А дальше есть два варианта. Первый: "элите" не нравится, что она живёт хуже соседей, и она начинает пушить образование плебса. Второй: "элита" играет в царя горы и обменивает у соседей ништяки на какие-нибудь ресурсы, а на смердов всем наплевать. Но реально демократия всё равно не работает ни в том, ни в другом случае.

И в заключение небольшой улыбатор. Автор неизвестен (можете кинуть в меня ссылкой).

Случай 1.

Строим очередной IPSec-тоннель с одним из контрагентов. Первая фаза поднялась, вторая — нет. Списались в телеграме, сверяем параметры. Попросил его кусок конфига. И вижу, что в конфиге у него включен PFS (Perfect Forwarding Secrecy), а в карточке-опроснике (формальная процедура по согласованию характеристик будущего тоннеля) про это ничего не сказано. Поэтому я PFS и не включал.

Спрашиваю, собственно, какого. И натыкаюсь на стену полного непонимания. То есть, инженер с той стороны совершенно не осознает, что вот эта строчка в конфиге — это включение PFS. И даже близко не понимает что это такое. Дальше начинаются забавные аргументы типа "ну вот с другими операторами строили, там работает".

В конце концов я просто спросил: делаем как у тебя в конфиге или как в опроснике? Мне-то всё равно. В итоге я включил у себя PFS и всё тут же взлетело. Но сам факт. Человек что-то настраивает, но при этом вообще не в теме что именно.

Случай 2.

Собеседую очередного кандидата на вакансию сисадмина (Opensource + Телеком). Резюме небохатое, но похоже что честное. Думаю, чего бы спросить из того, что там заявлено. Вижу строчку "настройка IPSec". Отлично!

— Какие есть способы взаимной аутентификации сторон при установлении IPSec-соединения?
— PSK (Pre-Shared Key) и сертификат.
— Правильно. А что такое сертификат? Что он из себя представляет?

Всё, аллес капут. Приплыли. Человек не знает. Я ему, конечно, объяснил на пальцах. Но идти к нам в компанию он отказался сам. Мол, "трудно вливаться в новый коллектив". Ну да, ну да... я так и понял.

И это ещё далеко не самый запущенный случай. Хотя бы семь типов файлов в Linux-е он перечислить смог. Но вот про контекст процесса и расходы вычислительных ресурсов на его переключение ничего путного сказать уже не смог. При этом просит на руки больше 100 килорублей в месяц, на минуточку.

Случай 3.

Один коллега вообще отжёг напалмом. Про его должность и амбиции рассказывать ничего не буду. Просто зацените эпичность проблемы. Цитирую диалог "как есть".

— Стас, привет еще раз. А как ты делал в рсислоге, чтоб вместо IP адресов были хостнэймы? Чот у меня ни**я не выходит по этому поводу
— В прямой и обратный DNS их прописать.
— хм про обратный я и не подумал. спасибо

** FACEPALM.JPG **

... Вчера кто-то разместил ссылку на мой предыдущий псто в телеграм-канале "ЗаТелеком" (кстати, рекомендую). Нет, это был не я. Даже не знаю откуда про меня узнала редакция канала. В связи с этим произошел небольшой рост посещаемости этого ЖЖ.

На всякий случай уточняю. Я не настоящий телеком, просто где-то Juniper SRX нашел. Точнее не нашел, а получил по наследству. И ненавижу их примерно столь же люто, как и микротики по причине неисчерпаемого изобилия багов, которые никто не исправляет десятилетиями.

... Впрочем, не уверен, что Cisco будут принципиально лучше. Сегодня вот скачал свеженькую прошивку для коммутатора Catalyst 9200L. Весит примерно полгигабайта (!). Прошивка. Для коммутатора (!). Чего они туда насовали?!? Анимированных фотообоев в веб-интерфейс что ли?

... Пользуясь моментом, хочу передать привет всем, кто тоже пользуется "моментом", напоминаю, что мы по-прежнему ищем себе сисадмина-инфраструктурщика по направлениям OpenSource и телеком. Вдруг, кто-то прочтёт это объявление из тех, кто раньше в мой ЖЖ не заходил. Есличо, готовы учить. Но нужно чтобы был прочный фундамент из понимания основополагающих принципов работы вычислительной техники и операционных систем, на который можно надстраивать всё остальное. Пишите деду Сергеичу на s@staser.ru .

Всем посещаемости и вылизанных прошивок.

... Сегодня получил письмо от очередного РосАбстрактНадзора под названием "ЦМУ ССОП" (попробуйте расшифровать, не загугливаясь). Цитирую "как есть".

Добрый день.

Нам не удается установить с вами BGP сессию. Вам необходимо связаться с оператором ЦМУ ССОП. Телефон для связи 8-495-123-31-04 доб. 77-5-76

На текущий момент мы рекомендуем использовать IP-адрес 185.224.228.193 и AS65211

Проверьте, что с вашей стороны выполнено следующее:

- открыт доступ к 179 TCP порту маршрутизатора с любых портов IP-адреса ЦМУ

- сконфигурирован параметр BGP Multihop (количество хопов определить трейсом до IP-адреса 185.224.228.1 + 2 про запас или указать заведомо достаточное количество хопов, например 100 или max-255)

- переключена сессию в passive

- настроена подача full view или конкретный маршрут (default rote).

С уважением, ЦМУ ССОП

В этом письме прекрасно вообще всё.

1. Нет названия организации, кому оно адресовано. "На деревню дедушке".


2. Невозможно достоверно установить, что письмо действительно от "ЦМУ ССОП". Вроде бы есть DKIM для домена "noc.gov.ru", но при попытке зайти туда браузером там нет даже веб-заглушки.


3. Не указано по какой именно из площадок возникла претензия. У меня их вообще-то несколько.


4. Не хотят переписываться по электронной почте, как все нормальные люди. Обязательно зачем-то требуют живого общения голосом. А если я на Дальнем Востоке нахожусь?


5. "На текущий момент"... а что, потом этот адрес поменяется что ли?


6. "с любых портов IP-адреса ЦМУ"... а где вообще указан этот IP-адрес? В предыдущем абзаце написано только "мы рекомендуем использовать". Лично для меня неочевидно, что именно этот же адрес нужно разрешать в правилах фильтрации. Может, у них есть ещё какие-то адреса. Тем более, что ниже по тексту указан ещё какой-то IPшник.


7. "количество хопов определить трейсом" ... а ничего, что трейсы "туда" и "обратно", вообще говоря, могут быть совершенно разными?


8. "настроена подача full view или конкретный маршрут (default rote)". Вот это вообще ржака. Во-первых, слово "rote", а не "route". Во-вторых, с каких это пор "конкретный" стал переводиться как "default"? И что вообще такое "конкретный маршрут"? Чисто-чисто, конкретный-конкретный? В-третьих, какой смысл просить Full View у не-транзитного оператора? Да, большая ценность узнать уйдет ли связность через eth0 или через eth1.

Но я туда всё-таки позвонил. Ответила грустная уставшая тётенька, которая по ощущениям и ответам на мои вопросы разбирается в телекомах чуть более, чем совсем никак. Объяснила мне, что примерно месяц тому назад у них был другой IP-адрес, типа "пилотный": "77.95.132.140". А потом он изменился. Мы это типа должны были где-то увидеть в каком-то там личном кабинете (вообще не имею понятия где он находится, т.к. этим занимаются другие сотрудники). Как только я прописал "правильный" адрес, они героически увидели единственную отдаваемую мной внаружу подсеть класса C. Браво!

Вообще, всю эту же инфу можно взять из совершенно публичной базы данных RIPE или снять с собственного пограничного шлюза. Ну ладно, уговорили, для большей лучшести можно припрячь наиболее крупных транзитников. Остальные-то им на хрена сдались? Боятся, как бы мы секретный канал в омерику через центр Земли не прокопали?

... QRator якобы расследовал последнюю якобы крупную якобы DDoS-атаку (ссылка). Говорят, завелся какой-то очередной ни**ических размеров ботнет. Шосукахарактерно, на микротиках. Вообще говоря, я чё-то сильно скептически ко всему этому отношусь. Но время покажет. Может, оно и взаправду так. В любом случае, микротики — зло. Гыгыгы!

Но вы всё равно на всякий случай проверьте, не открыты ли у вас порты 2000 и 5678.