Linux: перезагрузка/отключение системы (reboot, shutdown, halt, poweroff)

Отключение

Soft-отключение системы прямо сейчас.

shutdown now

Soft-отключение системы через 60 минут.

shutdown -h +60 "Shutting down in 60 minutes. Be a dear and log out before then."

Hard-отключение системы прямо сейчас.

halt
poweroff

Перезагрузка

Перезагрузка прямо сейчас. Команды reboot/shutdown перезагружают систему по разному.

Читать дальше

Network: IPv4, IPv6 протоколы (фрагментация, флаги, nat, вопросы)

У любого статического маршрута метрика 0 по умолчанию (Cisco)
IP unnumbered позволяет обрабатывать пакеты без настройки IP-адреса на интерфейсе. Это работает путем “заимствования” IР-адреса у другого интерфейса.
RIPE рекомендовал не принимать анонсы больше /24, большинство операторов придерживаются этого правила. Если хочется анонсировать префиксы большего размера (напр.

Cisco разное (ааа, logs, cli, etc)

Cisco остается лидером по многим сетевым направлениям
Я вспоминаю как Cisco вечно пытались отжать поставку связываясь напрямую с заказчиком.
Reload in не модно, сейчас модно/правильно использовать функционал revert timer

configure terminal revert timer 5

configure terminal revert timer idle 5

configure revert now

configure confirm

Настройка native vlan на роутере Cisco

В топологии Router-on-a-Stick мы можем настроить Native vlan на sub-интерфейсе:
Router(config-if)#interface GigabitEthernet 0/0.12 Router(config-subif)#encapsulation dot1Q 12 native

Сбор объемного вывода.

Network: multicast (igmp, pim, rpf)

– 233.33.210.176 источник или получатель?

Получатель

Для предотвращения петель мультикастовый маршрутизатор использует два механизма:

Мультикастовый трафик не отправляется через интерфейс, откуда он был получен.
Использование проверки RPF (Reverse Path Forwarding). Маршрутизатор проверяет маршрут до сети источника мультикастового трафика. Если маршрут до источника через приходящий интерфейс отсутствует, то полученный мультикастовый трафик на этом интерфейсе отбрасывается.

Network: BFD, UDLD, CCM

Seamless BFD (RFC 7880) – легковесная альтернатива классическому BFD, в частности за счёт исключения необходимости в первичном согласовании параметров между конечными точками. Для IS-IS/OSPF уже есть расширения, позволяющие передавать данные о S-BFD discriminators всем устройствам, на которых этот протокол активирован.

ERPS CCM (Continuity Check Message) выполняет задачу обнаружения сбоя L2 канала при наличии линка.

Читать дальше

MySQL: разное

Установка mysql на Centos 7 подробно описана тут.
.mysql_history – в этом файле в домашней директории хранится история команд, введенных в консоли mysql.
Ошибка “ERROR 1114 (HY000) at line 1192: The table ‘<name>’ is full” может говорить не о достижения предела таблицы mysql или базы, а о том, что закончилось место на диске.

Linux: user & group management

userldel – delete user, delete user home directory (user -r)
chage / passwd – managing password aging
- chage -l user10 – lists password aging attributes for user
  - # chage -l user10
    Last password change : May 24, 2021
    Password expires : never
    Password inactive : never
    Account expires : never
    Minimum number of days between password change : 0
    Maximum number of days between password change : 99999
    Number of days of warning before password expires : 7
- chage -E 2024-12-31 user10 – deactivate user user10 at 2024-12-31
- chage -d 0 user60 – force to change the password at next login (аналог sudo passwd -e weril)
- passwd -n 7 -x 15 -w 3 user5 – configures password aging for user5 with mindays (–n) set to 7, maxdays (–x) to 16, and warndays (–w) to 3 using the passwd
- The chage command changes the number of days between password changes and the date of the last password change.

Hardware: ASIC, FPGA (ПЛИС), SoC

Fpga = плис = Программи́руемая логи́ческая интегра́льная схе́ма (на печатной плате)
Есть Китайские ПЛИС, есть даже Воронежские (для специальных задач)
”CPU и FPGA – микросхемы общего применения, туда спецзакладку для сети запихивать накладно, а вот в специализированный сетевой чип, который примерно весь Blackbox со своими закрытыми процами внутри – святое дело)” (c)
Язык Verilog/VHDL.

Network, Linux: link aggregation, LAG, portchannel, lacp, aggregated ethernet, MLAG, VPC, teaming, bonding

Энтропия hash в зависимости от адресной информации – важный вопрос при распределении трафика. Подробнее в RSS.
У Juniper есть mixed rates aggregated ethernet, который позволяет объединить в LAG порты с разной сокрости, причем используя по максимуму пропускную способность каждого порта, пересчитывая соответственно hash.

Network, Security: DoS/DDoS

Самые мощные атаки относительно нк мощные: 150 гбит / 1.5 терабит ; 15 MPPS / 150 MPPS ; сутки / трое в 2023 / 2024 соответственно

Неплохой базовый мануал (часть инфы ниже оттуда) что такое DoS от CISA / FBI и крупных компаних в IT (Akamai, Cloudflare, Google) с меткой TLP:clear на безграничное распространение: Understanding and Responding to Distributed Denial-of-Service Attacks_508c

The Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and the Multi-State Information Sharing and Analysis Center (MS-ISAC) are releasing this joint distributed denial-of-service (DDoS) attack guidance

Очень хороший мануал от Juniper с описанием атак и методов защиты от них в JunOS
БИФИТ Mitigator – Российское решение на базе стандартных серверов
Статья по тюнингу параметров ядра Linux для большей устойчивости в DoS/DDoS сценариях (настройки серверные)
Некоторое саммари:
- сценариев DoS атак не мало, даже в крупных провайдерах регулярно происходят инциденты, связанные с падением каких-то сервисов из-за DoS (BRAS – от внешнего флуда, от внутреннего флуда/запросов)
- для базы защиты можно и самому fastnetmon поднять, а от target атаки за много $$$ и radware/arbor не спасет, только центры очистки или свой cdn грамотный (и то не всегда)
- линк с чисткой может легко стоить х10 и х100 от обычного

DOS/DDOS теория

DOS/DDOS (dns lookup, half-open attacks like syn flood; ddos = dos + botnet => flood guard) – отправляем большое количество каких-либо пакетов/запросов/ответов для отказа в обслуживании сервиса из-за нехватки ресурсов (процессинговых, памяти, сетевых и проч).

Читать дальше