Сетевые технологии *

Привет, Хабр! Я Павел Михайлик, архитектор в центре сетевых решений «Инфосистемы Джет». Сегодня я расскажу о балансировке в сети и почему она важна при наблюдении за манулами. 

«Балансирование нагрузки», «ADC», «GSLB», anycast, ECMP, — много разных терминов и ещё больше разных сценариев реализации, как в постановке задачи, так и в методах и механике реализации. Итак, давайте попробуем для начала наметить основные критерии, по которым можно разделить разные типы балансирования нагрузки.

eBPF давно перестал быть узкоспециализированной игрушкой для kernel-энтузиастов и исследователей внутренностей Linux. Сегодня с ним, так или иначе, сталкиваются не только SRE, но вообще все, кто разрабатывает системы, близкие к сети, производительности или безопасности: от авторов сетевых плагинов (CNI) и прокси, до разработчиков кастомных агентских решений, observability-инструментов и low-level инфраструктурных компонентов. Даже если вы никогда не писали eBPF-код руками, есть хороший шанс, что он уже работает в вашей системе — тихо, незаметно и с довольно широкими полномочиями.

Чаще всего eBPF проявляется через удобные CLI, библиотеки и дашборды: установили агент, включили, и внезапно система знает о происходящем больше, чем strace, tcpdump и половина метрик вместе взятых. Но за этим комфортом скрывается нетривиальный механизм исполнения пользовательского кода прямо внутри ядра Linux — с жёсткими правилами валидации, ограниченной моделью исполнения и целым набором архитектурных компромиссов, о которых обычно не принято говорить в маркетинговых описаниях.

Сейчас уже практически нельзя встретить радиолюбителя, не знакомого с SDR-приемниками. От простых USB-брелоков RTL-SDR до премиальных трансиверов FlexRadio — программно-определяемое радио стало обыденностью. Но это сейчас у нас есть устройства на любой запрос и кошелек. А если оглянуться на 15 лет назад, то увидим, что эта технология активно развивалась и множество независимых компаний пробовали силы в создании SDR.

Сегодня я расскажу о своем недавнем пополнении в парке радиолюбительских устройств — довольно старом, но крутом SDR-приемнике Quicksilver QS1R с установленной платой QS1E, реализующей возможность передачи данных и превращающей его почти в SDR-трансивер. Посмотрим на программные решения того времени и заглянем внутрь девайса. Наливайте кофейку — и добро пожаловать под кат. 

Для пользователя может показаться, что переход с HTTP/2 на HTTP/3 — это просто замена TCP на UDP в конфиге. Но для серверного ПО с многопроцессной архитектурой этот шаг превращается в настоящую «головную боль». Классическая схема с accept(), на которой годами строилась работа с TCP‑соединениями, в мире QUIC попросту не существует. Пакеты летят в UDP‑порт, и ядро ОС больше не знает, какому именно рабочему процессу их отдать.

В оригинальном nginx это привело к тому, что поддержка HTTP/3 уже долгое время остается «экспериментальной» и ограниченной: она страдает от проблем с обрывами сессий и деградации сервиса при обновлении конфигурации. Для многих это стало стоп‑фактором для внедрения протокола в реальный продакшен.

В этой статье мы расскажем, как в Angie 1.11 нам удалось устранить эти фундаментальные недостатки. Мы не просто добавили поддержку протокола, а пересмотрели механику взаимодействия с ядром. Путь от простых хешей до создания полноценного аналога accept() для QUIC с помощью BPF‑программ позволил нам заявить: реализация HTTP/3 в Angie закончена, лишена «детских болезней» nginx и полностью готова к эксплуатации в высоконагруженных средах.

Добро пожаловать под капот современного транспорта данных.

Привет, Хабр! Сейчас вокруг SASE в индустрии идут активные обсуждения, и может показаться, будто все традиционные решения безопасности вот-вот отправятся на свалку истории. На этом фоне всё чаще звучат вопросы о роли NGFW в современной архитектуре. Меня зовут Дмитрий Квашнин, я ведущий инженер-эксперт в компании Innostage. И в этой статье я хотел бы поделиться собственным взглядом на этот счёт.

SASE и NGFW не конкуренты. Это скорее эволюционные ступени одной большой архитектуры. NGFW никуда не уходит. Он просто передает часть своих полномочий, превращаясь в ключевой элемент гибридной модели Zero Trust для защиты самого ценного. А SASE в это время решает задачи новой эпохи, где все распределено: удаленные сотрудники, филиалы и облачные сервисы.

Мониторинг и управление качеством мобильного интернета на Mikrotik

В данной статье автор делится своим опытом мониторинга и повышения качества мобильного интернета для частного дома в условиях слабого и плохого мобильного сигнала на роутерах микротик.

Статья будет полезна тем, кто интересуется микротиками и сетевыми технологиями, программирует микротики.

ЦОДы для ИИ уже несколько лет упираются в ограничения межсоединений. Ускорители становятся мощнее, кластеры разрастаются до сотен тысяч чипов, а передача данных между ними все чаще начинает тормозить масштабирование. Медь и оптика все еще работают, но по мере роста ИИ-кластеров становится ясно, что масштабировать такие решения все сложнее и дороже.

На этом фоне активные радиокабели (ARC) выглядят как более практичный вариант. Компании Point2 Technology и AttoTude предлагают передавать данные радиоволнами через пластиковые волноводы, а в отрасли все чаще говорят о copper cliff — моменте, когда медь перестает справляться с терабитными скоростями в плотных ИИ-стойках. Давайте разберемся, какие проблемы с межсоединениями накопились к 2026 году и почему радиочастотные решения на пластиковых волноводах начали привлекать внимание отрасли. 

Привет, Хабр! Меня зовут Алексей, я участвую в в разработке операционной системы для линейки коммутаторов KORNFELD в YADRO. Ранее я писал об организации L2-связности — она покрывает только часть потребностей, и рано или поздно требуется связать VXLAN-сегменты между собой или с внешними сетями. В этой статье рассмотрим варианты решения такой задачи. Все примеры беру из практики работы с KORNFELD, так как логика настройки и синтаксис схожи с популярными вендорами.

Сетевые блокировки на рабочих ПК порой раздражают (во всяком случае, меня).
Поэтому я сделал, что смог, и готов поделиться с вами.
Исключительно в рамках эксперимента, конечно же.

Однажды передо мной встала задача: на произвольном роутере локальной сети выделить интернет-трафик пользователей и перенаправить его по другому маршруту, не трогая при этом локальный трафик.

В принципе банальщина, решить которую можно множеством способов. Например, для локального трафика задать статические маршруты, а шлюзом по умолчанию сделать роутер, куда нужно перенаправить трафик. Схема рабочая, но трудоёмкая. Ведь для каждого роутера придётся вручную корректировать таблицы маршрутизации.

Хотелось сделать универсальный скрипт, с помощью которого можно было бы легко и быстро управлять трафиком. Идея в том, что можно задавать статические маршруты не для локального трафика, а для внешнего, и при этом не трогать шлюз по умолчанию. Дело осталось за малым — получить перечень всех внешних IP-подсетей, чтобы на их основе строить маршруты.

Ну и как в жизни бывает, автоматизация работы привела к гораздо большим трудозатратам, нежели явная работа руками. Проблема оказалась там, где не ждали — готового перечня внешних IP-подсетей найти не удалось. А раз нет, значит придется делать самому.

IoT-устройства почти всегда появляются в инфраструктуре незаметно. Их не заводят через архитектурный комитет, не обсуждают на дизайн-ревью и не включают в модель угроз. Камеры, умные розетки, системы контроля доступа, датчики климата, принтеры, телевизоры в переговорках, панели управления лифтами или вентиляцией просто ставят и подключают к сети. Потому что так удобнее, потому что так сделал подрядчик, потому что «это же не сервер». В итоге в корпоративной или даже домашней сети появляются десятки устройств, которые живут своей жизнью и почти никем не контролируются.

Все слышали новости и прекрасно понимают к чему идет дело мы наблюдаем переход к Туркменскому сценарию. РКН фактически запретил облачным провайдерам (VK Cloud, Yandex Cloud) сдавать серверы в аренду под VPN, закрыв лазейку с поимкой "белого" IP. Теперь недостаточно просто поднять прокси нужно воевать с DPI и капризами транспорта XHTTP.

Расскажу что смог нащупать, какие сервисы что сейчас из себя представляют, а так же исправим самые популярные баги которые часто встречаются при настройке.

Привет Хабр! Меня зовут Алексей и я занимаюсь беспроводными технологиями. В этой статье я расскажу, как собрал прототип своей собственной умной колонки, объединённой в одном устройстве вместе с Wi-Fi mesh-роутером. Начну издалека и поразмышляю о том, какие плюсы может принести такое устройство как для качественного Wi-Fi в квартире, так и для производителей умных колонок. Проанализирую уже существующие на рынке решения и попробую собрать собственное устройство из USB-аудиокарты, роутера и обычной Bluetooth-колонки.

Я наконец-то разобрался, как реализовать гигабитный Ethernet по телефонным проводам.

Powerline-адаптер и огорчения

В последние годы я по большей мере пользовался адаптерами Интернета через электропроводку (powerline-адаптерами). Некоторые работали неплохо, другие нет. Тот, которым я пользовался долго, обеспечивал мне стабильные 30 Мбит/с: маловато, но этого было вполне достаточно для меня на то время. Мне важнее всего стабильно низкие задержки в играх, а не пропускная способность.

Вернёмся в настоящее: серьёзной проблемой было то, что powerline-адаптер регулярно терял соединение. Я купил новые, поддерживающие последний и самый лучший стандарт G.hn 2400 (можно купить несколько и вернуть те, которые не подойдут). Окончательно выбранный вариант обеспечивал скорость примерно 180 Мбит/с до моего домашнего офиса (с большим разбросом от 120 до 280 Мбит/с) и примерно 80 Мбит/с до верхнего этажа. Достаточно, чтобы смотреть YouTube/телевизор, но далеко неидеально.

Любопытная деталь: Интернет-провайдеры Великобритании не предлагают гигабитный Интернет. Они продают диапазоны скоростей наподобие 30 Мбит/с – 75 Мбит/с – 150 Мбит/с – 300 Мбит/с – 500 Мбит/с – 900 Мбит/с, каждый из которых стоит на несколько фунтов в месяц дороже предыдущего. Из-за этого Великобритания одновременно страна и с одним из самых дешёвых, и самых дорогих тарифов Интернета в мире.

Прошло время, я сменил место жительства, «железо», тариф, и теперь Интернет работает на скорости 500 Мбит/с.

Каждый апдейт Helldivers 2 на 50 ГБ (потому что эти идиоты выпускают один и тот же контент с пятикратным дублированием) становится мучительным напоминанием о том, что система работает не в полную силу.

Задача: как доставить 500 Мбит/с до моей комнаты?

Полгода назад, в очередной раз поднимая упавший VPN, я поймал себя на ощущении дежавю. Сценарий повторялся: ещё один сервис перестал работать, ещё один «надёжный» метод оказался временным, ещё несколько часов ушли не на работу, а на борьбу за саму возможность в неё вернуться.

В какой-то момент пришло неприятное, но трезвое осознание: дальше стабильных способов обхода ограничений будет становиться только меньше. Бесконечно чинить VPN — это уже не стратегия. И если тенденция сохранится, работающих способов будет становиться всё меньше.

Именно в этот момент я впервые задумался не о новом сервисе или очередной конфигурации, а о более радикальном подходе — о смене самой точки входа в сеть. О Starlink я задумывался уже давно, учитывая, что он работает буквально во множестве соседних стран.

За последние пару лет Starlink стал практически синонимом «интернета там, где его нет». Спутниковая связь, минимальная инфраструктура, высокая скорость, быстрая установка — выглядит как идеальное решение для удалённых территорий, экспедиций, резервных каналов связи и нестандартных задач таких как обход цензуры, Иран тому пример.

Но есть один нюанс: официально Starlink в России не работает.

И дальше началась история, которая довольно быстро показала: формулировка «невозможно» здесь не совсем точная. Скорее ...

Среди множества инструментов для обеспечения сетевой безопасности Wireshark выделяется своей способностью захватывать и отображать пакеты в реальном времени, что особенно полезно для диагностики и анализа сети.

Wireshark прост в использовании и является отличным вариантом для новичков, но при этом достаточно мощный для профессионалов, которым нужны детализированные данные о сетевом трафике.

В этом руководстве объясняется, как установить Wireshark и использовать его для выявления проблем с подключением, обнаружения подозрительной активности и анализа производительности сети.

Привет, Хабр! На днях AdGuard выложил в открытый доступ свой VPN-протокол, который назвал TrustTunnel. В статье разберемся, чем он отличается от того же VLESS и как устроен на самом деле.

Интро

Это история о том, как «кривой» роутер научил меня смотреть на память браузера иначе. Есть вкладка с ИИ-чатом, есть WebSocket/Streaming, есть обычный i5. И есть момент, когда все это превращается в кирпич: вкладка раздувается до гигабайтов, процессор залипает, страница оживает только на пару минут после перезагрузки.

Лид

Проблема оказалась не в нейросетях и не в JS. Виновник — старый домашний роутер, который не вывозил IPv6 и фрагментацию. Итог — застрявшие пакеты, нарастающий буфер в браузере и тысячи незавершенных async/await-машин в памяти.

TL;DR

- Вкладка с WebSocket раздувается из-за сетевых затыков.
- Роутер ломает MTU/IPv6, пакеты зависают, bufferedAmount растет.
- Асинхронные цепочки не завершаются и копятся в Heap.
- Фикс: MTU 1400 + отключение IPv6.
- В коде: мониторинг bufferedAmount, таймауты и AbortController.

Симптом

- Вкладка с ИИ-чатом пухнет до 1–2.5 ГБ.
- CPU уходит в 100%, интерфейс замирает.
- Перезагрузка помогает на 5 минут, дальше все повторяется.

В первой части мы разобрались как заставить работать GNS3 под MacOS. Ну а в этой мы пройдем путь от создания простейшей сети до построения сегментированной инфраструктуры с политиками безопасности. Вы освоите не только базу, но и понимать логику построения безопасных и масштабируемых сетевых решений. Ну и в конце мы должны получить вот такую схемку.

Когда чиновники из испанской Генеральной дирекции дорожного движения придумывали обязательные "умные" маячки V16, они явно представляли себе будущее в духе умного города: водитель попал в аварию, нажал кнопку, и вся инфраструктура мгновенно узнала о проблеме. Дорожные табло предупреждают других участников движения, навигаторы прокладывают объезд, службы спасения уже в пути. Красиво, да? 

Вот только никто не учел, что первыми на место происшествия начнут приезжать не полицейские или дорожные службы, а предприимчивые ребята с эвакуаторами, украшенными липовыми логотипами страховых компаний. Под катом нас ожидает увлекательная поездка в мир, где обязательная IoT-безопасность превратилась в аналог меню для грабителей с доступом по API.