Сообщения

SSL connection from GNS3 Docker through a corporate security

Изображение
 Corporate security has become very restrictive. A joke is that even Pearson VUE connection test is failing from my corp laptop. One of the recent issue I had when started Practical Python Cisco Network Automation chapter from INE CCNP learning path. The built in Docker network automation container in GNS3 wasn't connecting, returning "failed to verify certificate: x509: certificate: certificate signed by unknown authority."  in the logs. First help came from here  https://forums.docker.com/t/tls-failed-to-verify-certificate-x509/137486  with two commands checking connection and showing certificate chain.  curl -vvvv https://registry-1.docker.io openssl s_client -showcerts -connect registry- 1 .docker.io: 443 </dev/null | more Those clearly indicated that there is a issue with certificate and there is something in the chain shouldn't be there: Cloud Services Root CA by a BlueCoat Systems. The solution came from here:  https://johnpfield.wordpress.com/2015/03/18/

Juniper software. Part 1

Изображение
 Intro The Great Juniper Firewall is welcoming visitors Over the last decades I was mostly working with routing and switching stack and corresponding protocols and techniques. OSPF, BGP, STP and MPLS were my best friends keeping me busy and feeding my family. What I am spending most of my time nowadays though are different pieces of software. When technologies seems to be stable, management, provisioning, orchestrating, and monitoring systems are booming around.   This is an attempt to wade through what Juniper offers in this regards, particularly for Juniper SRX firewalls. List is probably not complete:  J-WEB Junos Space Security Director Cloud ATP cloud Sky Enterprise Apstra Contrail Mist Being heavily involved in this project   Juniper & CTC  I'm familiar with Mist only and had to search about the rest. Some of those above came from the Juniper Open Learning training, which by the way is a brilliant initiative. Some are used by my clients. Again the following is a very firs

This year and a New Year's resolution

Изображение
The last time I wrote something in my blog was a year ago! This is not what conscious people should do. Apart of my laziness, there was a reason for that – it was a tough time.  First, Veon to whom I devoted 7 years and me are no longer together. Veon decided to outsource all its technology staff, broke all organization structures, and laid off all IT management (three "alls" in a row, eh 😁). I reached my ceiling as an engineer and during last several months mostly worked as a field manager trying to plug holes. Me and Bi.Zone In spring, I went to Moscow and have been working as network security specialist at Bi.Zone for the half a year. It was an amazing time. Good office, young and brilliant colleagues, trips to Kazakhstan. What is more, I passed this little one, which took me 3 month of learning and practicing.  Bi.Zone I miss you and I appreciate that intensive experience in data centers, Juniper, Palo Alto, virtualization, automation, and

Python for network engineers

Изображение
Осталось три темы и я закончу воркшоп "Питон для сетевых инженеров" от Наташи Самойленко . Курс шел с сентября по ноябрь, 13 недель.  Я как всегда отжег: оплатил, ничего не делал и начал заниматься, когда группа прошла половину. Однако, начав, уже не смог оторваться и топлю до финала. Наташа, если вдруг не знаете, написала чуть меньше чем весь сетевой раздел  XGU.ru  , автоматизировала проект CCIE за год  и написала для него первую "большую лабу". Послушать ее чарующий голос можно в клубе 256-TTL В курсе сам Python, базы SQL, форматы YAML, JSON, шаблоны Jinja2 и, конечно, Ansible. 50 часов видео и 114 заданий для самостоятельной работы. Почему этот курс? Во-первых, он продуман и оснащен всем необходимым инструментарием. Книга, лекции, записи лекций, домашние задания, тесты на повторение, графики "кто сдал а кто еще ЛОЛ" и конечно чатик, где всегда помогут а Наташа не спит вовсе. Во-вторых, это атмосфера. Шутки-прибаутки на лекциях

It's all about the DCI. Do-do-doo.

Изображение
After listening to this brilliant podcast about Alex's thrilling adventures around connecting three DC together I've unexpectedly found that I have a serious gap in data center interconnect technologies. What's more, all involved protocols such as VXLAN, MPLS, GRE, VPLS are pretty clear for me. Well, there always is a room for improvement. See the table below putting all of them under the same roof (actually it's a note for myself rather than article). The main question is a control protocol for MAC addresses exchange. I don't mean one for underlay network. Without any we should flood our packets and lose an isolation.  Having one we can switch off BUM packets and use only ARP with cashing. The exception is TRILL-like Fabric Path which doesn't inhibit flood.

Getting IP via IPCP. DHCP, option 82, Piglet and Kanga.

Изображение
Здесь будут все дичайшие верования, слепые заблуждения и вдохновляющая история обретения человечеством IP адреса. Через IPCP к звездам В целом на серийных линках нельзя так просто взять и включить DHCP клиент. Нет Ethernetа и бродкаста. Однако адрес можно получить в рамках IPCP, когда обе стороны сообщают свой адрес и добавляют его с 32 маской в RIB. С тем же успехом можно выделять адрес друг другу.  Возьмем два роутера с серийным линком Серверу предлагаются следующие способы для передачи IP адреса клиенту через команду  peer default ip address {ip-address | dhcp-pool | dhcp | pool [pool-name]} ip-address Specific IP address to be assigned to a remote peer dialing in to the interface. To prevent duplicate IP addresses from being assigned on more than one interface, this argument cannot be applied to a dialer rotary group nor to an ISDN interface. dhcp-pool Retrieves an IP address from an on-demand address pool. This option only supports remote acces

Cisco Policing and Shaping.

Изображение
Общая идея механизмов известна: установить контрактную скорость, считать пакеты, при превышении скорости полисер дропает лишние пакеты а шейпер копит в буфере.  Немного терминов. CIR – committed information rate. Контрактная скорость. Не надо забывать, что механизмы не от хорошей жизни. Их назначение в том, что при покупке полосы у провайдера вы должны отправлять пакеты максимум на этой полосе. Иначе они будут справедливо дропаться.  PIR – peak information rate. Переподписка! Провайдер вам продал полосу, но готов пропускать больше трафика (пока суммарно канал не загружен). Вероятность дропа как бы выше, для этого пакеты с рейтом выше CIR но ниже PIR часто помечают худшим маркером. Tc – time interval (measurement interval) . Фактически это время усреднения, интервал на котором будет отправлено пакетов столько, чтоб не превысить CIR. Bc – committed burst. Пакеты отправляются на физической скорости интерфейса. Так как за время Tc мы должны получить среднюю скор