weril – Page 7

Linux: ssh (конфигурация, 2FA, туннели, примеры подключения, автологин, удаление сессий, radius, скрипты, туннелирование, проксирование)

SSH3 (seclab) – протокол по функционалу близкий к ssh поверх QUIC (есть реализаци клиента и сервера), название скорее неудачное, но в целом проект интересный – напр. маскировка под HTTPS, скорость за счет ускорения handshake, проброс не только TCP, но и UDP портов; встроенный в quic “mobile IP”, «вести себя как web сервер пока не получим нужный id», нативная поддержка oauth, поддержка сертификатов x.509.

Linux: packet flow, обработка в ядре пакетов, фильтрация, connection tracking, statistics: iptables, ipset, ipfw, nftables, bpfilter, firewalld, conntrack, BPF, packetfilter, netstat, iptraf, jool, tc

Про фильтрацию/NAT на базе TC (TC NAT, TC BLOCK) в отдельной статье

Фильтрация на базе DPDK

О ОБРАБОТКЕ ПАКЕТА В ЯДРЕ LINUX

Разное из интересного про сетевые карты из презентации google о BIG TCP (сама преза по ссылке):
- Часть функционала, который поддерживается loopback драйвером не поддерживается реальными аппаратными NIC.

Hostname show

hostname – позволяет узнать текущее имя хоста и IP адрес, в том числе реальный IP на VDS (полезно)

root@weril:~$ hostname -I | awk '{print $1}'
62.109.23.138

hostnamectl – смотрим Hostname и hardware компоненты (тип ПК – vp/laptop, тип ОС Linux – Ubuntu, CentOS, RHEL, версию Linux ядра, архитектуру)

redkin.p@govnoserver:~$

Network: BGP общее, реализации (QUAGGA, BIRD, FRRouting); iWAN/PfR in Global Routing ; IP BGP anycast + ECMP + BGP community балансировка

Summary видео
- OMG 🙂 Белый дом решил заняться BGP Biden-⁠Harris Administration Releases Roadmap to Enhance Internet Routing Security
- BGP изначально построен по принципу доверия инженеру, настраивающему его
- Множество аварий связанных с BGP, включая утечки маршрутов
  - в 2008 падал youtube
  - в 2018 amazon S3 dns трафик перенаправлен ; вопровство денег из криптокошельков
  - в 2021 падал facebook/insta
- ответом в том числе по мнению белого дома является использование RPKI для валидации коррекности принимаемой информации; при этом он плохо применяется в USA (30%) в сравнении с Европой (70%)

CheatSheet
Полезные ссылки – построение графов, список соседей по пирингу, префиксы и проч
- bgp.he.net

iperf

Official page

(linkmeup) Если хочется, чтобы всё как в iperf, но красивенько, то вполне можно заглянуть в xfr. Можно сказать, что это то же самое, просто с ёжиком, красивыми отчётами, отдачей метрик в мониторинг и встроенным диффом.

- Live TUI with real-time throughput graphs and per-stream stats
- Server dashboard – xfr serve --tui for monitoring active tests
- Multi-client server – handle multiple simultaneous tests
- TCP, UDP, and QUIC with configurable bitrate pacing and parallel streams
- Firewall-friendly – single-port TCP, QUIC multiplexing, and --cport for pinning UDP/QUIC source ports
- Bidirectional testing – measure upload and download simultaneously
- Multiple output formats – plain text, JSON, JSON streaming, CSV
- Result comparison – xfr diff to detect performance regressions
- LAN discovery – find xfr servers with mDNS (xfr discover)
- Prometheus metrics – export stats for monitoring dashboards
- Config file – save defaults in ~/.config/xfr/config.toml

Hardware: работа с устройствами в Linux (udev, uname, lspci, lscpu, lsusb, sensors; drivers-modules insmod/rmmod, lsmod, depmod, modprobe, modinfo)

udev / block-character dev

Немного теории.

udev - это демон, который отвечает за виртуальную файловую систему /dev.
/etc/udev/ - каталог настроек демона.
/etc/udev/rules.d/ - каталог с правилами, по которым udev создаёт файлы устройств в /dev.
70-persistent-net.rules - правило для создания сетевых интерфейсов.

Network: HTML, HTTP, browsers разные хинты

HTTP

http QUERY

<стартовая строка>: method, URI, http version
<заголовки>
<тело запроса>

В заголовке в поле Host передается адрес сервера (fqdn/ip), что позволяет напр. на web сервере с множеством сайтом определить какой сайт отдавать
Клиент и сервер могут использовать разные версии протокола НТТР, при этом все будет работать корректно.

Network: эволюция производительности сетевых устройств и трансиверов (100G, 200G, 400G, 800G, 1600G)

Тренды по развитию скоростных портов в зависимости от сферы применения (data center, AI frontend, AI backend) – BRKOPT-2699.pdf

С точки зрения физики (про оценку см. глазковые диаграммы)
- 25G достаточно «нежный» интерфейс в сравнении с 10G
- 50G еще более
- 100G – это четыре 25G (4x25G lines), причем может отваливаться один из lane независимо от других (подробнее так же в глазковые диаграммы)
- 50G – это восемь 50G (8x50G)
Про новые модули до 800G (про 1600G / 1.6T выше) в отдельной статье SFP: НОВЫЕ МОДУЛИ SFP28 (25G), QSFP28/CFP2-4 (100G), QSFP-DD (400G-800G), OSFP (400G-800G)
(новая информация выше) Сервера по линкам в 2021 (данные Ethernet Networking Division Intel на основе предсказания Dell):
- 50% – 10G
- 50% – over 10G
- 25G – 20%
- 50G – 20%
- 100G – 10%
- 400G NIC
  - Nvidia/Mellanox ConnectX-7 (CX7)
  - Broadcom Thor2
  - AMD Ultra Ethernet — Pensando Pollara 400GbE
- 100G NIC
  - Mellanox/NVIDIA ConnectX5, ConnectX6,
  - Intel E810 (Q)SFP28
Ростелеком активно закупает 100G магистральное оборудование (напр.

Основы тестирования (Quality Assurance)

Tests can make good code great!

Статья о IXIA
Бажат все, даже такие ведущие вендоры как Cisco (особенно Firepower :D). Важно насколько сырой продукт в текущем состоянии и как быстро исправляют проблемы.

из чатика:
на 65 залипает или вообще не работает вплс, на а1к перестают анонситься маршруты, нцс просто тупо сырые.

Linux: работа с сетью (маршрутизация, arp, performance, etc)

Работа с интерфейсами – отдельная статья
Работа с туннелями – отдельная статья
COMPARING NET-TOOLS VS. IPROUTE PACKAGE COMMANDS

Общее

Общая концепция – “net-tools deprecated, use iproute2” из-за ряда проблем с net-tools. Из крутого iproute2 позволяет с помощью netns делать в Linux полноценные vrf.