Продолжаем рассказывать вам про нишевые конференции, про которые не кричат на каждом углу.
Smile Expo проводит конференцию про ИИ. linkmeup, вроде бы, напрямую к этому не относится (да и не напрямую). Но чего ни сделаешь, ради того, чтобы роботы сохранили тебе в будущем жизнь.

19 апреля 2018 года в Москве пройдет вторая международная конференция по применению искусственного интеллекта в бизнесе – AI Conference.

В этот раз строго платно. Хотя если кто-то очень сильно захочет пойти от linkmeup, мы обсудим.
http://linkmeup.ru/blog/345.html

У кого-то этой новостью закончится воскресенье, а у кого начнётся понедельник.
Закончилась официальная часть самого внезапного проекта linkmeup. Это было подведение итогов Собес'а.
Будет ещё или нет, и в каком виде - вопрос открытый.
http://linkmeup.ru/blog/346.html

Вот опять случилось, что не понятно как реагировать, поэтому судите сами.
Компания Valve (это которые Half-Life, Dota, Counter-Strike и т.д.) опубликовала библиотеку GameNetworkingSockets реализующую передачу сообщений поверх UDP, но на манер TCP т.е. с установкой соединения, но ориентированный на передачу сообщений, а не потоков. При том, передающиеся через сформированный канал сообщения могут передаваться как в режиме гарантированной доставки, так и в режиме ненадёжной передачи. Фрагментация, пересборка, прогнозирование, шифрование и ограничение полосы пропускания тоже имеются.
В общем, кто умеет в С++ посмотрите, говорят занятно. А кто не умеет, просто знайте, что бывает и так…
https://github.com/ValveSoftware/GameNetworkingSockets

Авитаминоз что ли весенний догнал? Два дня ничего в канале не происходит и даже не стыдно.
Но довольно овощить, давайте сделаем что-то прекрасное. Весна же, в конце-то концов.
Поэтому объявляем конкурс!
Разыгрывать будем сертификат на сдачу любого письменного экзамена Juniper, коме экспертных (Associate, Specialist, Professional). JNCIA*, JNCIS*, JNCIP*
В субботу, в 12-00 по Москве на канале будет опубликовано задание из разряда “Траблшутим по жизни”. Без надуманных ситуаций, довольно близко к суровой реальности, но без гладиолусов. Как ни странно, будет оно про Juniper и без сурового матана. Победителем назначим того, кто раньше всех пришлёт на info@linkmeup.ru правильный ответ. Идеальный ответ должен состоять из двух предложений и пары строчек конфига ибо мы за лаконичность.
За главный приз восхваляем хорошего человека, отличного специалиста и давнего любителя джунов: @Sk1f3r

Что-то совсем забыл похвастаться. Опять нет повода не выпить...

Если кого-то ещё не утомил Клиппер и очень хочется обсудить его английский, то у Packet Pushers вышел выпуск с его участием.
Он и компания ещё трёх товарищей с умным лицами обсуждают всякие насущные проблемы по принципу У кого что болит, тот о том и говорит. Болело шифрование, что делать инженеру после 40, как сетевику научиться писать адекватный код и прочее по мелочи.
А конце обещают приятную пасхалку.
Придется слушать...
http://packetpushers.net/podcast/podcasts/pq-144-engineer-roundtable-encryption-code-style-tech-40/

Примерно год (11 месяцев) прошло с момента, как на GeekPwn 2017 Hong-Kong была показана критическая уязвимость CVE-2018-0171 коммутаторов Cisco поддерживающих SMI. Уязвимость пустяковая, всего-то позволяет сбросить пароль enable и выполнять всё что хочешь в EXEC.
Проблема настолько незначительна, что патч выложен в свободный доступ и доступен не только имеющим подписку. Правда, видимо на всякий случай, его пометили как Critical. Вероятно стоит обновиться. В ближайшие полгода-год.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

А теперь давайте немного разберёмся, что же на самом деле происходит.
Итак, с год назад один ловкий парень заметил, что ежели собрать хитрый пакет и заслать его на порт 4786, то в коде Smart Install Client случается переполнение буфера, отчего целая серия девайсов под управлением Cisco IOS и Cisco IOS XE сдаётся без боя, отдаваясь любому желающему целиком и полностью.
Как заведено у ловких парней, он поделился данным наблюдением с не менее ловкими парнями на не самом безызвестном мероприятии. Коллеги по цеху оценили и даже выдали приз, и дальше начинается интересное. По условия мероприятия, общаться с вендором забота (и право) исключительно организаторов смотра юных талантов. Свято блюдя это право, они рассказали всю правду Cisco через каких-то жалких 4 месяца. Видимо никак не могли презентацию покрасивей нарисовать.
Ответственные товарищи в Cisco призадумались и очень попросили не публиковать деталей до 28 марта сего года.
И вот вся информация опубликована, и со всех сторон пошли репорты, что похоже следы использования этой прелести стали находить у себя и провайдеры всех мастей, и просто владельцы интересных инфраструктур.
Беда в том, что порт 4786 открыт по умолчанию и мало кто его закрывает специально. По первым прикидкам в сети около 8,5 миллионов устройств с торчащим 4786 наружу, из которых 250 тысяч имеют подтверждённую уязвимость.
Хочешь проверить насколько ты можешь спать спокойно? Забрось в сеть нечто вроде:
nmap -p T:4786 192.168.1.0/24
Сканирование удел лентяев? Тогда спроси у железа:
switch>show vstack config
   Role: Client
   Oper Mode: Enabled или Role: Client (SmartInstall enabled)
Ну а если хочешь сразу и наверняка, то скажи просто заклинание no vstack  или чтобы наверняка, руби с плеча
ip access-list extended SMI_HARDENING_LIST
       permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
       deny tcp any any eq 4786
       permit ip any any`
https://www.youtube.com/watch?v=CE7KNK6UJuk

Как ночь прошла?  Спали или из тех кто считает critical апдейты происками рептилоидов?
Гуляла сегодня вся наша телеком деревня. Даже у РТ каналы падали, если кто не заметил. А на М9 были очереди к стойкам и 80 пропусков на руках в час ночи.
Ладно, пока вы там отходите, наше внутреннее ОТК разрешило влиться вам в уши братьям нашим меньшим из подкаста Сисадминс. И чтобы поехидничать, послушайте сначала их философские умоизложения про Mikrotik, его роль в этом мире и как его готовить.
P.S. Ребята молоды и юны в своей подкастерской деятельности. Поэтому не стесняйтесь в выдавании фидбека.
P.P.S. Конкурс в 12 никто не отменял. Никакой пощады.

https://linkmeup.ru/blog/349.html

Рабочее утро было скучным.
Решив хоть немного попричинять пользу, Максимка принял стратегическое решение создать новое ef правило на нежно любимом фаерволе.
Получилось вот так:
set class-of-service {
classifier dscp ef-voip {
import default

show {  class-of-service{  interface ge-0/0/0 unit 0{  classifier dscp ef-voip
Будучи мальчиком прилежным и аккуратным, он не забыл применить его на интерфейс. Благодарный интерфейс ответил ему что-то вроде:
Unit 0 {
family inet {
filter { input ef;
}
Ну и чтобы уж точно нигде не болело, он спросил у консоли:
Show firewall filter ef
Консоль ответила ему уверенно растущим счетчиком. Любимым счётчиком. Счётчиком переданных пакетов. Он рос быстрее чем головастики в дворовой луже, а значит другие и не нужны.
Довольно крякнув, Максимка накинул куртку и уверенным шагом удалился в сторону кофепойни в ближайшем доме, где уже которую неделю практиковался в красноречии с миловидной баристой. Или бариста? Кстати надо у неё и уточнить…
Оставшаяся за главного, практикантка Наташенька была погружена в свои практикантские мысли, но была грубо выдернута из них гневным звонком из Самого Важного Отдела.  Единственный из бухгалтеров, кто не боялся звонить айтишникам, неуверенно сообщила, что у них всё не работает. Вот совсем всё. Применив все доступные знания в социальной инженерии пополам с угрозами, ей всё же удалось вытащить из звонившей, что телефония отказывается работать как положено, дозвониться удаётся через раз, а когда удаётся, то половина слов пропадает.
Понимая всю важность похода в кофейню, Наташечка решает не отвлекать старшего товарища от попыток научиться говорить с маглами, поджигает благовония и спрашивает самую главную консоль:
Show interface ge-0/0/0 extensive  | find “Queue counters”
На что консоль сообщает, что всё работает как и просили: в новом классе пакеты активно дропаются, ну и совсем чуть-чуть, так и быть, пропускаются на волю.

Нас не интересует судьба всех участников этой ужаснейшей драммы, кто и что подумал про умственные способности коллег и вкусный ли был кофе. Нам интересно только откуда взялись дропы и чего делать-то???

Что же, давайте подводить итоги нашего незатейливого конкурса.
Начнём с конца. Приз зрительских симпатий получает наиболее часто присланный вариант:
Rollback 1
Commit
Вариант, конечно, отличный, но правильное его название “Если закрыть на проблему глаза, я перестану её видеть, а значит она не существует”. Настоящие инженеры так не делают.
Следующий ответ, а вернее целая пачка ответов, идёт под грифом “Фамилия моя Торопыжка, поэтому я сам себе злобный Буратина”. Коллеги, всегда читайте условия/формулировки до конца. Приславших абсолютно верное описание проблемы много и это нас радует. Но есть одно но: теоретическое объяснение отвечает только на “откуда взялись дропы” часть задания, и полностью игнорирует “чего делать-то” часть. А для сомневающихся, в описании конкурса было чётко написано: “Идеальный ответ должен состоять из двух предложений и пары строчек конфига ибо мы за лаконичность.”
Поэтому, главный приз достаётся приславшему просто идеальный ответ:
по дефолту есть только 2 шедулера
нужно прописать порядки для всех типов
set class-of-service schedulers be-scheduler priority low buffer-size percent 40
set class-of-service schedulers be-scheduler transmit-rate remainder 40
set class-of-service schedulers ef-scheduler priority high buffer-size percent 10
set class-of-service schedulers ef-scheduler transmit-rate remainder 50
set class-of-service schedulers af-scheduler priority high buffer-size percent 45
set class-of-service schedulers af-scheduler transmit-rate percent 45
set class-of-service schedulers af-scheduler drop-profile-map loss-priority low protocol any drop-profile af-normal
set class-of-service schedulers af-scheduler drop-profile-map loss-priority high protocol any drop-profile af-with-PLP
set class-of-service schedulers nc-scheduler priority low buffer-size percent 5
set class-of-service schedulers nc-scheduler transmit-rate percent 5
И даже ссылки на документацию не поленился приложить:
https://www.juniper.net/documentation/en_US/junos/topics/concept/schedulers-default-cos-config-guide.html
https://juniper.tw/documentation/en_US/junos/topics/example/cos-scheduler-security-configuring.html
Победителя поздравляем, носим на руках и всячески желаем успехов в сдаче!

Но это ещё не всё!
Хочется сказать огромное спасибо Сергею Казанцеву, без которого не было-бы ни задания, ни споров вокруг ответа.
И пока суть да дело, Сергей постановил вручить приз его личных симпатий за вариант:
Вроде как назначить ef в очередь на джуне надо, + назначить приоритет для очередей. Типа того
set class-of-service forwarding-classes class ef queue-num 0
set class-of-service scheduler-maps EF forwarding-class ef scheduler EF
set class-of-service schedulers EF transmit-rate percent 10
set class-of-service schedulers EF buffer-size percent 10
set class-of-service schedulers EF priority strict-high
Ибо видно, что человек думал и изобрёл нечто такое, что придётся это даже в лабе проверить т.к. очереди менять идея интересная, но излишне смелая. Так что за изобретение 5, а за экзамен ваучер не выше уровня JNCIS.

P.S. Кто не знает, что за Сергей Казанцев, срочно идёт переслушивать нашу с ним беседу про превращение рядового сетевика в настоящего JNCIE.
http://linkmeup.ru/blog/327.html

Нас иногда спрашивают, как начать делать свой подкаст?
А мы каждый раз отвечаем: берете рот, применяете его на микрофон и начинаете посильно изливать. А дальше дело практики.
Без практики у вас может получиться пилот пилота сисадминского подкаста.
Изначально парни просто собрались на кухне и под пивасик записали свои размышления на тему возросшей до абсолюта роли IT в наше неспокойное время. Послушайте, поспорьте.
http://linkmeup.ru/blog/348.html

А выводы каждый делает для себя сам.
P.S. в Курганской области явно происходит что-то интересное
https://smartinstallscan.shadowserver.org/stats/smartinstall_ru.html

Иногда безопасники рассказывают нам как жить, иногда мы им, а иногда мы все вместе делаем вид, что одно дело делаем.
Всеобщая истерия NFV уже давно утихла, превратившись в рябь на луже, уступив место практическим решениям.
Заходивший к нам в гости почти 3 года назад Виталий Антоненко из Центра Прикладного Исследования Компьютерных Сетей (да-да-да, мы любим длинные заумные названия) наглядно показывает, как работают современные NFV решения.
P.S. Тогда (во время 25-го выпуска) Марат пяткой в грудь себя бил, что SDN и NFV от лукавого и через полгодика скончается на задворках истории. Интересно узнать его мнение сейчас…
https://www.youtube.com/watch?v=ar2nZZ2OHE0

Основательно перегревшись на весеннем солнышке, мы решили А почему-бы и нет, и призвали к ответу не кого-то там, а могучую VMWare. Пора уже по-честному поговорить про NSX.
Товарищи удивились такой наглости, но ответ держать согласились, поэтому в субботу 14.04 , с утра пораньше в 11-00 (ага, субботний сон придумали слабаки)  мы планируем основательно поговорить про историю NSX, про то во что выросла идея скромной компании Nicira и почему OpenStack нам не товарищ, а если и товарищ, то как уживаться вместе.
http://linkmeup.ru/blog/350.html

И, конечно-же, если хочешь послушать интересный подкаст, не забывай прислать нам свой вопрос.
https://goo.gl/HWL8qf

Всё, заканчиваем прощать сисадминсам детские болезни и лупим за все косяки по-взрослому.
Первый боевой выпуск было решено посвятить такой не молодой уже, но всё ещё полутайной, штуке как Software Defined Storage. Сокращённо SDS.
Если вы что-то там слышали про vSan, CEPH и подобное, но категорически ничего не поняли, то этот выпуск для вас. Люди с опытом боевого применения рассказывают всю правду о.
http://linkmeup.ru/blog/351.html

Как многие знают, относительно недавно EVE-NG был разделён на две (ну да, даже на три) версии. Бесплатная Community и терпимо платная PRO.
Оставим за рамками этого поста обсуждение кто прав, а кто предал опенсорс и посмотрим на интересный пост от Улдиса (одного из сооснователей EVE-NG). Вернее, на лабу для запуска которой нужна PRO версия.
Дабы не махать руками в воздухе, вот просто список технологий из неё:
-  FirePower High Availability virtual FTD v6.2.3
-  FP FTD v 6.2.3
-  Anyconnect VPN to HA set
-  NXOS 9000v vPC and LACP tuning
-  MS Server NIC teaming dual homed LACP to NXOSv 9000
-  IOL SW LACP dual homed to NXOSv 9000
-  EVE-PRO Cloud interface as management
-  EVE-PRO integrated docker station Chromium as management host
Startup/Final конфиги имеются. Сколько это потребило ресурсов не указано, что печалька конечно, но интереса не убавляет. Ссылка на лабу приложена.

https://www.linkedin.com/pulse/firepower-ftd-623-nxosv-9000-lacp-eve-pro-lab-uldis-dzerkals/

Давайте теперь для баланса силы вспомним и про GNS3.
Сейчас активно готовится программа их собственной сертификации GNS3 Certified Associate и идёт набор желающих помочь данному начинанию через подачу заявлений на вступление в группу допущенных. Что там внутри - мне тайна неведома.
https://t.co/GbBMBXGGrk