Jun 282015
 

След като на 20.06 дооправихме monitoring-а и наслагахме да се следят всички интерфейси и IPv4 BGP peer-и, на последната сбирка (27.06) пуснахме IPv6 в цялата мрежа. Новата картинка на BGP сесиите може да се види тук, като на ISP-то съм заделил 2001:67c:21bc:8000::/49 (от новата мрежа, която ни раздадоха от RIPE).

Този път използваме initLab като един uplink, и тунел до marla като втори, което дава интересни възможности за announce-ване, балансиране на трафик и други такива забавления (и дава възможност да се види лесно как влияе ASPATH-а на route-овете, един ден като пуснем looking glass, ще може да се види). Също така isp-то играе като резервна връзка на initLab за IPv6, т.е. праща се пълна таблица и в двете посоки.

Може да се гледа nagios-а на курса вече, с user/pass guest/guest.

Част от резултата може да се види тук, или като се trace-не по v6 alpha.client.isp.initlab.org. Също така wifi мрежатa “nineties” има v6 свързаност.

(една забелязана странност – PPP протокола поне под linux изобщо не могат да му се задават адреси, може само локалната част и отгоре трябва да се търкаля Router Advertisement, та направихме hack с един скрипт при вдигането на интерфейса да му се слагат адреси).

Понеже няма да имаме сбирка следващата седмица (тогава е BurgasConf), има дадено домашно, всеки да си пусне един тунел и да използва ISP-то поне за v6 свързаност.

 Posted by at 17:16
Jun 142015
 

Курсът се развива добре. Времето все не стига, но се получават интересни неща :)

Започнахме със съвсем базови неща – инсталирахме си един сървър (старата ми alpha), един core switch и някаква management мрежа. Uplink-а ни в началото беше едно ppp по telebit 8840 модеми, бавно, мъчително, и забавно за настройка. Като за начало си подкарахме един cisco catalyst 3000 за switch, но бързо го сменихме с един от extreme summit 24-ките, понеже не поддържаше vlan-и.

Сравнително бързо минахме uplink-а на ethernet (че иначе не се траеше), и освободения сериен порт на alpha-та отиде за първия клиент (едно cisco 2600, кръстено client-router). Зад клиентския router сложихме един switch, и с един soekris направих wifi мрежа, която кръстих “nineties”, да пробват хората internet като от 90-те.

Подкарахме си DNS за правите и обратни зони (и по-долу се подразбира, че сме го update-вали през цялото време).

Следващата стъпка беше да мигрираме alpha-та до beta – един малък 1u сървър с celeron на 1ghz и цели 512mb ram, който определено много забърза нещата (защото alpha-та видимо се успиваше, когато всеки си логнеше по 2-3 конзоли по ssh, чак не смеехме да си пуснем web сървър).

Имайки един клиент по ppp (минахме на директна null modem връзка от cisco-до то beta), пуснахме BGP и пълен routing – от beta направихме два тунела (прекарани през двата internet доставчика на initLab) до marla, и от там получихме от delta.bg една пълна таблица. PacketScale ни услужиха с една неизползвана /24 мрежа, която да си announce-ваме и да сме си съвсем като истински.
(все още се announce-ваме от ASN на delta, тия дни ще минем към прясно-регистрираната на initLab)

За да си поиграем по-подробно с routing-а, си инсталирахме втори router – едно cisco 3620 (кръстено access-router), на което вързахме клиента (в началото по aux портовете, сега финално по 2mbps back-to-back сериен кабел). Така дадохме на клиента подсигурена свързаност, и вързахме и него по BGP, с отделна негова си (private) автономна система, и направихме приоритизация (local preference) да предпочита пътищата през 2mbps link-а си пред малкото ppp до централния ни router (beta). Така когато access-router падне (което доста му се случваше, я от прегряване, я от нещо друго), клиентът си има връзка, иначе има достатъчно бърза свързаност.

Понеже beta изнемогваше (оказва се, че quagga+zebra в общи линии изяждаха прилична част от малкото му памет и ставаше трудно да се логваме), извадихме още една такава машина, кръстихме я gamma, и пренесохме на нея monitoring-а и каквито разни работи имахме. Update-нахме monitoring-а да следи link-ове и всякакви други неща, като планът е да следи и bgp peer-ите и каквото можем да наслагаме в него.

Сложихме си и RPF (т.е. реализирахме BCP38), така че да не може да ни се spoof-ва от мрежата. В името на спокойствието и наслагахме acl-и на router-ите откъде да пускат telnet (щото текущите image-и нямат ssh и не знам дали ще намеря такъв с ipv6 и ssh едновременно).

Очаквам един от участниците да си свърши с рисуването на схеми (това е едната текуща), за да ги публикуваме, също така ще пуснем публично monitoring-а да се вижда (може да е интересен на хората).

Плановете за бъдещето са:
– да довършим monitoring-а
– да пуснем ipv6 и на клиентите
– като клиенти да пуснем тунели от нашата мрежа и да им даваме от реалните ни ip адреси на разни желаещи (които не правят глупости :) )

Като цяло още даже не сме си преполвили графика, чудя се дали следващия такъв курс да не е на принципа bootcamp – две седмици да се скрием в гората с цялата тая техника и да пускаме net на дърветата…

 Posted by at 01:09