Сетевое оборудование

Когда мы говорим об инфраструктурной сети, важно понимать, что это не просто сеть для сотрудников. Инфраструктурная сеть в Яндексе решает задачу, без которой невозможно функционирование компании: обеспечить связанность сотрудников и сервисов, независимо от того, где они находятся. Сегодня у Яндекса более сотни офисов по всему миру, и в каждом из них нужно обеспечить стабильный доступ к интернету и к внутренним корпоративным ресурсам.

Меня зовут Дмитрий Литовченко, я сетевой инженер группы офисных и инфраструктурных сетей в Yandex Infrastructure. В этой статье я расскажу историю, как эволюционировали отношения нашей инфраструктурной сети и сети дата‑центров: наш полученный опыт за несколько лет, декаплинг сетей, планы развития.

Несмотря на то что многие из нас пользуются арендными роутерами от провайдера за 10 рублей в месяц и не знают бед, чаще всего это далеко не лучший вариант из возможных. Да, дешевый, но все-таки не лучший. Такие устройства редко обладают выдающимися характеристиками, а их функциональность обычно ограничивается простой раздачей интернета. Да, многим большего и не нужно. Но если хочется нормального покрытия по всей квартире и стабильной работы с десятками устройств одновременно, провайдерской коробочки может оказаться недостаточно. Поэтому мы собрали 10 роутеров, которые умеют все вышеперечисленное и даже больше, а стоят в пределах 5000 рублей.

Раньше, в эпоху аналога, людям хватало терпения даже на то, чтобы вручную менять слайды в проекторе. Сегодня, когда все в цифре, «картинки» просто обязаны меняться плавно, без лишних телодвижений с нашей стороны. Однако мир не совершенен, и без помощи все равно не обойтись. Уточняем, чего это стоит, и кто помощники.

Я занимаюсь технической поддержкой и сопровождением в компании «Онланта». Сегодня в блоге ЛАНИТ я расскажу о решении реального кейса по замене ОЗУ (оперативной памяти) в СХД Huawei.    

Согласно рекомендациям и техническим руководствам вендоров, когда в контроллере возникают неисправности, рекомендуется выполнять его замену, оставляя без изменений установленные внутри компоненты. Такой подход помогает минимизировать время простоя оборудования, а также снизить риски некорректной диагностики.

Однако на практике при детальной диагностике зачастую можно выявить конкретный неисправный компонент — например, модуль оперативной памяти (ОЗУ) — и заменить только его. Это позволяет значительно сократить затраты по сравнению с заменой всего контроллера, стоимость которого может быть в разы выше стоимости отдельных комплектующих.

Когда мобильная связь подводит, особенно важно оставаться на связи с близкими. Почему бы тогда не организовать собственную телефонную сеть на основе VoIP? Меня зовут Дима Абакумов, и под катом расскажу, как я решал эту задачу и с какими трудностями столкнулся

Есть один любопытный феномен, который регулярно всплывает в обсуждениях. Стоит только упомянуть, что какая-то часть элементов устройства делается в Китае, — и моментально появляется комментарий формата:
Ну если элементы у вас китайские, то компания у вас тоже, наверное, китайская?

Меня такая логика поначалу удивляла, но потом понял, откуда она берётся. Люди, далёкие от инженерии, искренне думают, что раз деталь произведена в определённой стране — значит и продукт должен быть оттуда. Как будто компонент несёт в себе национальность, как паспорт.

Разбираемся как всё устроено в российской электронике от лица инженера.

Последние громкие кибератаки показали: для безопасности корпоративной инфраструктуры требуется комплексный подход. Всё большую роль играют системы поведенческого анализа трафика, такие как NTA/NDR, которые позволяют выявлять обход средств защиты периметра и угрозы в сети на ранних стадиях.

В статье разбираем, почему эффективность NTA/NDR напрямую зависит от качества данных на входе и почему брокер сетевых пакетов с нужным функционалом становится ключевым фактором успешного внедрения.

Кажется, совсем не так давно, а для кого-то, может быть, еще в прошлую пятницу, золотым стандартом технологического стека сетей хранения данных был Fibre Channel: SCSI, FCP, FC. Неудивительно: Fibre Channel разрабатывался целенаправленно для хранения данных. Но уже к середине 2000-х на сцене появляется новый стандарт — протокол iSCSI, реализованный поверх TCP/IP и Ethernet. Почему? Fibre Channel был всем хорош, кроме своей цены и зависимости от нескольких производителей сетевого оборудования.

C появлением новых высокопроизводительных компонент хранения данных и исчерпания масштабирования производительности традиционных интерфейсов, в том числе SAS, рождается стандарт NVMe — протокол, который работает поверх PCIe. NVMe, повторяя путь SCSI на заре эры SAN, реализуют в сетях хранения как набор стандартов NVME-oF (Over Fabric) для различных транспортных протоколов: FC, RDMA, TCP. Начиная с версии 3.2 в TATLIN.UNIFIED реализована поддержка NVMe over TCP наравне с Fibre Channel и iSCSI.

Меня зовут Александр Пищулин, я инженер в отделе оптимизации быстродействия СХД в YADRO. В статье я постараюсь дать представление о реализации NVMe over TCP в системах, построенных на базе ядра Linux, c фокусом на производительность. Также поделюсь результатами тестирования протокола в TATLIN.UNIFIED GEN2.

Всем привет, это Тимур. Сейчас в YADRO я разрабатываю сетевую операционную систему для коммутаторов KORNFELD. В ходе этого проекта летом я получил сложную задачу: реализовать установку опции PROTO_DOWN для Ethernet-интерфейсов в ядре Linux. «Из коробки» ядро поддерживает эту опцию только для vxlan и macvlan-интерфейсов, а для Ethernet поддержка определяется драйвером сетевого устройства.

В статье я подробно расскажу о той части задачи, что касается непосредственно ядра Linux. На реализацию требования я потратил много сил, времени и хочу, чтобы мой опыт остался в сообществе. Постараюсь максимально подробно объяснить каждый шаг, чтобы вы смогли построить собственный процесс разработки на этой основе, даже если никогда не занимались разработкой для ядра. Статья будет полезна не только программистам, но и любителям Linux, так как в большей степени она посвящена тонкостям работы с этой ОС, а не программированию.

Зайдите в сервернуюна Тайване и вас довольно часто будет ждать сюрприз: между рядами серверов, на них, да и просто на любом критически важном оборудовании будет лежать зеленая пачка чипсов Kuai Kuai со вкусом кокоса. Причем это не чья‑то забывчивость после обеда — тайваньские IT‑шники верят, что для стабильной работы серверов важны не только чипы, но и чипсы.

Звучит как странная шутка, но это довольно распространенное явление. Такие же пачки лежат в лабораториях главного научного института страны Academia Sinica, их клеят на аппараты ИВЛ в больницах, раскладывают у макетов ракет перед запуском спутников. Экс-премьер, доктор наук в области инженерии одного из университетов Лиги плюща, объявлял о президентской кампании со словами «Kuai Kuai хочет, чтобы я баллотировался». У феномена даже есть статья в Википедии - «Kuai Kuai culture». При этом сама компания-производитель понятия не имеет, как это началось — гендиректору пришлось гуглить, когда журналисты стали его расспрашивать.

Привет Хабр! Меня зовут Алексей и я занимаюсь беспроводными технологиями. Не так давно я рассказывал, как собрать прошивку OpenWRT без image builder. В этой статье мы повысим планку и попробуем собрать и прошивку, и image builder для модели роутера с частичной поддержкой OpenWRT. Под частичной поддержкой я понимаю то, что для данной конкретной модели роутера поддержки нет, но она есть для платформы. Экспериментировать я буду с реальным устройством - это Wi-Fi 7 роутер, полученный от китайского производителя. Вместе с роутером производитель предоставил нам необходимую документацию и DTS файл. Заранее хочу предупредить, что производитель просил не раскрывать название модели и не тиражировать его DTS файл. Поэтому часть информации на скриншотах я заблюрирую.

В крупных компаниях — особенно в банках, телекомах и государственных организациях — корпоративная сеть устроена так, что весь трафик проходит через периметр безопасности. Это означает:

«Запад тоже следит!» - главный аргумент сторонников установки отечественных сертификатов

Сегодня я на пальцах докажу, почему это сравнение некорректно. Сравним два вектора MITM-атаки:

Глобальный (АНБ): Требует взлома математики или сговора с публичным CA, который тут же спалится через логи CT

Локальный (Минцифры): Требует... просто вашего согласия на установку сертификата.

Как браузеры (Chromium-based) молча отключают строгие проверки для «ручных» сертификатов и почему Саша из Минска не нужен Трампу, но очень интересен товарищу майору.

Сетевой протокол канального уровня Spanning Tree достаточно широко распространен в современных сетях. Его используют для борьбы с закольцовыванием сетевой топологии. Однако, STP не позволяет полностью использовать каналы, к которым подключены несколько линков. Плюс к этому у STP относительно большое время сходимости и необходимость передавать трафик через корневой коммутатор, то есть единая точка отказа.

В качестве одной из альтернатив Spanning Tree можно воспользоваться MLAG. Multi-Chassis Link Aggregation (MLAG) — технология, обеспечивающая балансировку нагрузки и надежность каналов. В этой статье рассматриваются значение, важность и потенциальные варианты использования MC-LAG на различных уровнях сети.

Всем привет, меня зовут Володя. Я работаю в Yandex Infrastructure и занимаюсь развитием систем балансировки нагрузки. В статье расскажу, как развивалась наша новая система управления конфигураций с момента её создания в 2018 году, а ещё о том, как мы переходили на новый Data Plane балансировки и какие новые интересные вызовы это породило с точки зрения массовости задач и управления ресурсами. 

Опишу новые проблемы и особенности, в том числе планирование ресурсов для большого динамичного парка клиентов. Также обсудим, какие бывают долговременные негативные последствия у слишком удобных систем балансировки нагрузки и что мы планируем с этим делать.

В предыдущей моей статье разбиралась реализация подключения мобильного интернета от удаленной на 7 км не заглушенной вышки в условиях его ограничений и практически тотальной блокировки. Спустя несколько месяцев пользования оборудованием возникло естественное желание улучшить ситуацию со стабильностью интернет‑подключения.

Привет, Хабр, как уже знаете, или нет, меня зовут Сергей, я инженер-разработчик в Краснодарской компании, которая проектирует и производит камеры видеонаблюдения в России.

За годы работы я хорошо увидел, как на самом деле устроен бюджетный сегмент видеонаблюдения. И важно понимать: камеры из этого сегмента не выходят из строя «случайно» вскоре после окончания гарантии. Их проектируют так, чтобы они дожили до момента продажи и немного дольше, не больше.

Давайте разберём, почему это происходит технически, и почему, когда речь идёт о видеонаблюдении, «дешево» почти всегда оборачивается «дорого».

Привет, Хабр! Меня зовут Анна Курина, я старший инженер по тестированию в отделе бокс-тестирования базовой станции LTE в YADRO. Сегодня я расскажу, как мы проходили сертификацию базовой станции: проверяли соответствие российскому законодательству и спецификациям 3GPP. А еще мы разберемся с малознакомым для широкой аудитории QA-инженеров видом тестирования: тестированием на соответствие (conformance testing). Оно позволяет тестировщику окунуться в реальную эксплуатацию оборудования, а не просто провести тесты и забыть о «железе».

UDS (ISO 14229) (Unified Diagnostic Services) это бинарный протокол.

Обычно этот протокол гоняют поверх протокола ISO-TP в CAN шине между ECU. Подробно протокол описан в стандарте ISO 14229.

Это диалоговый протокол, то есть работает по принципу запрос-ответ. Получается что тут есть master и slave узлы. Ещё говорят клиент сервер. Где клиент - это тестировочное оборудование, а сервер - автомобильный ECU.

В этом тексте я произвел поверхностный обзор протокола UDS.

Истории из реальных аудитов, где всё пошло «чуть‑чуть не так».

Мы бываем в десятках компаний в год — от заводов и банков до IT‑стартапов. Кто‑то зовёт нас «для галочки», кто‑то «перед проверкой Роскомнадзора», кто‑то просто «посмотреть, всё ли у нас нормально».

И каждый раз мы приезжаем в уверенную, стабильную, «защищённую» компанию. Админы показывают аккуратные схемы сети, SIEM светится зелёным, политики паролей лежат в папке "ИБ_утверждено.pdf".

Но чем глубже смотришь - сервера, забытые VPN, бэкапы, которые съедают прод, и принтеры, через которые можно войти в почту директора.

И самое поразительное - почти никогда нет злого умысла. Только спешка, удобство и уверенность, что «оно же работает, зачем трогать».

Мы собрали несколько историй, которые особенно запомнились. Все они реальные, из аудитов последних месяцев. Ошибки — неочевидные, но каждая могла обернуться катастрофой.

1. История про Wi-Fi, который слышал всё

Обычный корпоративный Wi-Fi. Для сотрудников — одна сеть, для гостей — другая, через VLAN. На бумаге всё идеально.

Но когда мы посмотрели arp -a, внезапно появился контроллер домена.

Трассировка показала, что гостевая сеть идёт тем же маршрутом, что и внутренняя. А DNS-запросы обслуживает корпоративный DNS с SRV-записями Kerberos.

Любой гость с ноутом в переговорке мог поднять responder, перехватить NTLM-хэши и начать брутить офлайн.