Сетевое оборудование

Есть один любопытный феномен, который регулярно всплывает в обсуждениях. Стоит только упомянуть, что какая-то часть элементов устройства делается в Китае, — и моментально появляется комментарий формата:
Ну если элементы у вас китайские, то компания у вас тоже, наверное, китайская?

Меня такая логика поначалу удивляла, но потом понял, откуда она берётся. Люди, далёкие от инженерии, искренне думают, что раз деталь произведена в определённой стране — значит и продукт должен быть оттуда. Как будто компонент несёт в себе национальность, как паспорт.

Разбираемся как всё устроено в российской электронике от лица инженера.

Последние громкие кибератаки показали: для безопасности корпоративной инфраструктуры требуется комплексный подход. Всё большую роль играют системы поведенческого анализа трафика, такие как NTA/NDR, которые позволяют выявлять обход средств защиты периметра и угрозы в сети на ранних стадиях.

В статье разбираем, почему эффективность NTA/NDR напрямую зависит от качества данных на входе и почему брокер сетевых пакетов с нужным функционалом становится ключевым фактором успешного внедрения.

Кажется, совсем не так давно, а для кого-то, может быть, еще в прошлую пятницу, золотым стандартом технологического стека сетей хранения данных был Fibre Channel: SCSI, FCP, FC. Неудивительно: Fibre Channel разрабатывался целенаправленно для хранения данных. Но уже к середине 2000-х на сцене появляется новый стандарт — протокол iSCSI, реализованный поверх TCP/IP и Ethernet. Почему? Fibre Channel был всем хорош, кроме своей цены и зависимости от нескольких производителей сетевого оборудования.

C появлением новых высокопроизводительных компонент хранения данных и исчерпания масштабирования производительности традиционных интерфейсов, в том числе SAS, рождается стандарт NVMe — протокол, который работает поверх PCIe. NVMe, повторяя путь SCSI на заре эры SAN, реализуют в сетях хранения как набор стандартов NVME-oF (Over Fabric) для различных транспортных протоколов: FC, RDMA, TCP. Начиная с версии 3.2 в TATLIN.UNIFIED реализована поддержка NVMe over TCP наравне с Fibre Channel и iSCSI.

Меня зовут Александр Пищулин, я инженер в отделе оптимизации быстродействия СХД в YADRO. В статье я постараюсь дать представление о реализации NVMe over TCP в системах, построенных на базе ядра Linux, c фокусом на производительность. Также поделюсь результатами тестирования протокола в TATLIN.UNIFIED GEN2.

Всем привет, это Тимур. Сейчас в YADRO я разрабатываю сетевую операционную систему для коммутаторов KORNFELD. В ходе этого проекта летом я получил сложную задачу: реализовать установку опции PROTO_DOWN для Ethernet-интерфейсов в ядре Linux. «Из коробки» ядро поддерживает эту опцию только для vxlan и macvlan-интерфейсов, а для Ethernet поддержка определяется драйвером сетевого устройства.

В статье я подробно расскажу о той части задачи, что касается непосредственно ядра Linux. На реализацию требования я потратил много сил, времени и хочу, чтобы мой опыт остался в сообществе. Постараюсь максимально подробно объяснить каждый шаг, чтобы вы смогли построить собственный процесс разработки на этой основе, даже если никогда не занимались разработкой для ядра. Статья будет полезна не только программистам, но и любителям Linux, так как в большей степени она посвящена тонкостям работы с этой ОС, а не программированию.

Зайдите в сервернуюна Тайване и вас довольно часто будет ждать сюрприз: между рядами серверов, на них, да и просто на любом критически важном оборудовании будет лежать зеленая пачка чипсов Kuai Kuai со вкусом кокоса. Причем это не чья‑то забывчивость после обеда — тайваньские IT‑шники верят, что для стабильной работы серверов важны не только чипы, но и чипсы.

Звучит как странная шутка, но это довольно распространенное явление. Такие же пачки лежат в лабораториях главного научного института страны Academia Sinica, их клеят на аппараты ИВЛ в больницах, раскладывают у макетов ракет перед запуском спутников. Экс-премьер, доктор наук в области инженерии одного из университетов Лиги плюща, объявлял о президентской кампании со словами «Kuai Kuai хочет, чтобы я баллотировался». У феномена даже есть статья в Википедии - «Kuai Kuai culture». При этом сама компания-производитель понятия не имеет, как это началось — гендиректору пришлось гуглить, когда журналисты стали его расспрашивать.

Привет Хабр! Меня зовут Алексей и я занимаюсь беспроводными технологиями. Не так давно я рассказывал, как собрать прошивку OpenWRT без image builder. В этой статье мы повысим планку и попробуем собрать и прошивку, и image builder для модели роутера с частичной поддержкой OpenWRT. Под частичной поддержкой я понимаю то, что для данной конкретной модели роутера поддержки нет, но она есть для платформы. Экспериментировать я буду с реальным устройством - это Wi-Fi 7 роутер, полученный от китайского производителя. Вместе с роутером производитель предоставил нам необходимую документацию и DTS файл. Заранее хочу предупредить, что производитель просил не раскрывать название модели и не тиражировать его DTS файл. Поэтому часть информации на скриншотах я заблюрирую.

В крупных компаниях — особенно в банках, телекомах и государственных организациях — корпоративная сеть устроена так, что весь трафик проходит через периметр безопасности. Это означает:

«Запад тоже следит!» - главный аргумент сторонников установки отечественных сертификатов

Сегодня я на пальцах докажу, почему это сравнение некорректно. Сравним два вектора MITM-атаки:

Глобальный (АНБ): Требует взлома математики или сговора с публичным CA, который тут же спалится через логи CT

Локальный (Минцифры): Требует... просто вашего согласия на установку сертификата.

Как браузеры (Chromium-based) молча отключают строгие проверки для «ручных» сертификатов и почему Саша из Минска не нужен Трампу, но очень интересен товарищу майору.

Сетевой протокол канального уровня Spanning Tree достаточно широко распространен в современных сетях. Его используют для борьбы с закольцовыванием сетевой топологии. Однако, STP не позволяет полностью использовать каналы, к которым подключены несколько линков. Плюс к этому у STP относительно большое время сходимости и необходимость передавать трафик через корневой коммутатор, то есть единая точка отказа.

В качестве одной из альтернатив Spanning Tree можно воспользоваться MLAG. Multi-Chassis Link Aggregation (MLAG) — технология, обеспечивающая балансировку нагрузки и надежность каналов. В этой статье рассматриваются значение, важность и потенциальные варианты использования MC-LAG на различных уровнях сети.

Всем привет, меня зовут Володя. Я работаю в Yandex Infrastructure и занимаюсь развитием систем балансировки нагрузки. В статье расскажу, как развивалась наша новая система управления конфигураций с момента её создания в 2018 году, а ещё о том, как мы переходили на новый Data Plane балансировки и какие новые интересные вызовы это породило с точки зрения массовости задач и управления ресурсами. 

Опишу новые проблемы и особенности, в том числе планирование ресурсов для большого динамичного парка клиентов. Также обсудим, какие бывают долговременные негативные последствия у слишком удобных систем балансировки нагрузки и что мы планируем с этим делать.

В предыдущей моей статье разбиралась реализация подключения мобильного интернета от удаленной на 7 км не заглушенной вышки в условиях его ограничений и практически тотальной блокировки. Спустя несколько месяцев пользования оборудованием возникло естественное желание улучшить ситуацию со стабильностью интернет‑подключения.

Привет, Хабр, как уже знаете, или нет, меня зовут Сергей, я инженер-разработчик в Краснодарской компании, которая проектирует и производит камеры видеонаблюдения в России.

За годы работы я хорошо увидел, как на самом деле устроен бюджетный сегмент видеонаблюдения. И важно понимать: камеры из этого сегмента не выходят из строя «случайно» вскоре после окончания гарантии. Их проектируют так, чтобы они дожили до момента продажи и немного дольше, не больше.

Давайте разберём, почему это происходит технически, и почему, когда речь идёт о видеонаблюдении, «дешево» почти всегда оборачивается «дорого».

Привет, Хабр! Меня зовут Анна Курина, я старший инженер по тестированию в отделе бокс-тестирования базовой станции LTE в YADRO. Сегодня я расскажу, как мы проходили сертификацию базовой станции: проверяли соответствие российскому законодательству и спецификациям 3GPP. А еще мы разберемся с малознакомым для широкой аудитории QA-инженеров видом тестирования: тестированием на соответствие (conformance testing). Оно позволяет тестировщику окунуться в реальную эксплуатацию оборудования, а не просто провести тесты и забыть о «железе».

UDS (ISO 14229) (Unified Diagnostic Services) это бинарный протокол.

Обычно этот протокол гоняют поверх протокола ISO-TP в CAN шине между ECU. Подробно протокол описан в стандарте ISO 14229.

Это диалоговый протокол, то есть работает по принципу запрос-ответ. Получается что тут есть master и slave узлы. Ещё говорят клиент сервер. Где клиент - это тестировочное оборудование, а сервер - автомобильный ECU.

В этом тексте я произвел поверхностный обзор протокола UDS.

Истории из реальных аудитов, где всё пошло «чуть‑чуть не так».

Мы бываем в десятках компаний в год — от заводов и банков до IT‑стартапов. Кто‑то зовёт нас «для галочки», кто‑то «перед проверкой Роскомнадзора», кто‑то просто «посмотреть, всё ли у нас нормально».

И каждый раз мы приезжаем в уверенную, стабильную, «защищённую» компанию. Админы показывают аккуратные схемы сети, SIEM светится зелёным, политики паролей лежат в папке "ИБ_утверждено.pdf".

Но чем глубже смотришь - сервера, забытые VPN, бэкапы, которые съедают прод, и принтеры, через которые можно войти в почту директора.

И самое поразительное - почти никогда нет злого умысла. Только спешка, удобство и уверенность, что «оно же работает, зачем трогать».

Мы собрали несколько историй, которые особенно запомнились. Все они реальные, из аудитов последних месяцев. Ошибки — неочевидные, но каждая могла обернуться катастрофой.

1. История про Wi-Fi, который слышал всё

Обычный корпоративный Wi-Fi. Для сотрудников — одна сеть, для гостей — другая, через VLAN. На бумаге всё идеально.

Но когда мы посмотрели arp -a, внезапно появился контроллер домена.

Трассировка показала, что гостевая сеть идёт тем же маршрутом, что и внутренняя. А DNS-запросы обслуживает корпоративный DNS с SRV-записями Kerberos.

Любой гость с ноутом в переговорке мог поднять responder, перехватить NTLM-хэши и начать брутить офлайн.

Когда разговор заходит о безопасности на уровне сети, то все обычно в первую очередь вспоминают о защите периметра, ведь именно из Интернета в локальную сеть ломятся всевозможные вредоносы. Затем вспоминают про защиту конечных узлов: серверов и пользовательских машин. При этом, многие забывают о том, что злоумышленники могут эксплуатировать уязвимости в настройках сетевого оборудования. В этой статье мы хотим вспомнить про канальный уровень и поговорить об атаках и мерах защиты, которые можно использовать на коммутаторах.

Моя работа связана с телефонией. Однажды на известной торговой площадке я наткнулся на объявление о продаже бесплатно! телефонного аппарата Cisco SPA504g (на самом деле — aka Linksys/Sipura). Цена была обусловлена одной «досадной» мелочью — аппарат был «запаролен» оператором, который предоставляет услуги телефонии, отдавались они на запчасти. Аппаратов было много, прямо несколько десятков, для обучения даже такие бы пригодились. Поскольку таких аппаратов мне встречалось не мало, опыт сброса/разблокировки и даже «раскирпичивания» был, я с радостью согласился. Даже, на худой конец, на запчасти. Бородач, который выкатил тележку с горой аппаратов, без сожаления отдал её со словами типа «не охота паять». Но я то считал себя спецом! Что с этого вышло — ниже.

Аппарат, как уже отмечалось, имеет корни от Linksys (весьма важное замечание, о котором не все догадываются), которые\ ранее были вообще Sipura. На заре своего погружения в VOIP я их даже путал.

В наших текущих реалиях требования к роутеру могут быть очень высокими, недостаточно просто «выпускать устройства в интернет». Я хотел выделить сервера в отдельную подсеть, поднять VPN для доступа к устройствам за пределами дома, срезать рекламу на обделенных адблоком устройствах, а дальше хотелки только росли.

Примерно оценив количество хотелок, прикинув количество ресурсов с учетом запаса на будущее и моей недальновидности, а также увидев цены на MikroTik hAP ax³, я подумал: «а почему бы не взять пассивный мини‑пк за ту же сумму и получить в разы более мощное железо?», а следующая мысль была «а чего это железо такое мощное будет пустовать? Пусть еще виртуальную мелочевку на себе тащит, ресурсов хватит».

Приветствую, коллеги! Это снова @ProstoKirReal. В прошлой статье я с вами обсуждал историю развития SFP модулей, их типы и иерархию скоростей, а также из чего они состоят.

В данной статье хотел бы с вами обсудить все, что касается оптических кабелей. От основ их устройства до практических рекомендаций по выбору.

Asus представила ROG Rapture GT-BE19000AI — первый роутер в геймерской линейке со встроенным искусственным интеллектом. Стоит он как хороший ноутбук — $899. За эти деньги пользователь получает систему, внутри которой четырехъядерный процессор на 2,6 ГГц, 4 ГБ оперативной памяти и 32 ГБ хранилища.

Девайс раздает Wi-Fi 7 на 19 Гбит/с суммарно и поддерживает контейнеры Docker, чтобы запускать приложения вроде Home Assistant без дополнительного оборудования. Когда дома множество устройств — от консолей до датчиков — такая модель избавляет от лишних коробок и ручной настройки, делая сеть стабильной и удобной. В общем, много всего интересного! Давайте попробуем разобраться.