BGP には古くからMRAI (Minimum Route Advertisement Interval) という機能がある． イマイチ理解していなかったが，動作を確認しておく必要があり いくつかの実装を調査した． ざっくり言うと vSRX IOS-XRv Quagga 新しいprefix の追加時 MRAI 待つ MRAI 待…

flowspec は forwarding に関するルールをルーター間で伝え合うプロトコルで，「他者から受け取ったルールを適用する前にvalidation しなさい」と仕様で決まっている． では，validation するのはいつだろう？ flowspec route を受け取ったとき flowspec rou…

Facebook が公開しているPull Request (PR) レビュー支援ツール． PR を作ったとき，最適なレビューアーを見つけてきてPR 上でメンションしてくれる． github.com 試したけど，うまくいかなかった． ざっくり言うと セキュリティ上の懸念があって断念した． …

最近 netflow コレクターをさわる機会が多く「コレクターをベンチマークしたい」と思っている． 「netflow v5 なら何 flow/s まで受けられる」「v9 ならこのくらい」など，性能限界を知っておきたい． 2016/02/20 追記: NetFlow-Generator 戦略 いくつか考え…

junoser というRuby gem をメンテしている． これはJUNOS Config のPEG パーサーで，標準入力やファイルを JUNOS Config として構文解析できる．解析後，文法チェックやスタイルの変換もできる． たとえば， 構文チェック．display | set 形式とデフォルトの…

NetOpsCoding Advent Calendar 2015 18日目のエントリーです． ハードウェア製品を使ったネットワーキングの話． さまざまなコンポーネントについて YANG Model の標準化が進み，NETCONF 使える気運が高まっています．さらにRESTCONF も待っていて，ハードウ…

NetOpsCoding Advent Calendar 2015 3日目のエントリーです． 最近はネットワーク運用をラクにすることに興味があります． たとえば RESTCONF のようなI-D が標準され，進化すれば ネットワークへの自動デプロイが実現できると思いますが，それはネットワー…

rancid というツールがある．ネットワーク運用するにあたって，もはや手放せなくなっている．rancid のなにが便利かについては別エントリで書こうと思うが，本来の目的よりも付随する xlogin スクリプト (clogin, jlogin, …) を気に入って使っている． xlogi…

El Capitan (OSX 10.11) でもSCR3310-NTTCom が使えた． やることはYosemite のときと同じだが，El Capitan 用のスマートカードドライバーを選べばよい． codeout.hatenablog.com

ネットワーク運用をしていると，ホストアドレスから経路をルックアップしたいことが結構ある． たとえばDDoS を受けたとき．いろいろな対処が考えられるが，網内のルーターでパケットフィルターする際に「src address → src prefix の変換をしてからガバッと…

iOS9 に上げたiphone でimaps できなくなったため，Client Hello が送るcipher suite を調べた． iOS8.4.1 iOS9.0 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 × ○ TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 × ○ TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 ○ ○ …

ネットワーク運用がどんどん便利になって「手軽にメトリック監視できる」「ネットワークリソース管理がほら簡単」みたいな話はけっこう聞く．ところが，本丸であるネットワーク本体への変更については「慎重に人手で」という運用をしているところが多いと思…

Gitlab + Jenkins があまりグッとこなかったので，Gitlab + Gitlab CI をためしてみた．結論から言えば，Gitlab + Jenkins より良いと思う． Docker 上に準備 やることは Gitlab コンテナを動かす Gitlab CI コンテナを動かす Gitlab Runner コンテナを動か…

「どの程度お手軽にフルルートを注入できるか？」の続編です． 2015/08/12 追記 : gobgp の不具合，修正されました codeout.hatenablog.com 今回 gobgp のコミッターさんから「mrt 実装しましたー，もしお時間あったら試してみてください！」と連絡もらった…

ネットワーク運用のなかに「手順書を書く」という業務がある．事業者によっては 書く レビュー 直す レビュー 直す … みたいな比較的コスト高い作業になる． ネットワークは事前にテストしづらく「壊れるとヤバい」という側面から，日本では手作業による温か…

昨年12月に会社勤めをやめ，個人事業主になった．5ヶ月たって やっと退職関連の手続きが終わったので，なんでこんな面倒なことになったのかメモっておく． はー長かった… 企業年金の移換に時間がかかった 会社員だと 企業年金や厚生年金基金の積立をしている…

BGP ルーターには，Flowspec という機能があります．2009年にRFC5575 として標準化されたもので，ざっくり言えば「遠くのルーターでパケットフィルターを発動させる」機能． 最近 注目されているこのFlowspec のうち，とくにバリデーションについて調べまし…

Cisco IOS-XRv は ハイパーバイザーが開くTTY にコンソールを接続してくれないので，自分で設定する必要がある． たとえばVMWare Fusion はコンソールをPTY に繋ぐ機能があるので簡単だが，VirtualBox は面倒． コンソールをドメインソケットとして出す 下の…

リーン・スタートアップと言ってもいい．Web 界隈ではあたりまえの開発手法を ネットワークの開発に使うのはむずかしい． 自分はインターネットが得意で (ネットワークとしてのインターネットね！) たかだかIP と上下レイヤーくらいしか分からないんだけど，…

After @exabgp thankfully gave me an advice on my previous post, I carried out performance tests of bgpsimple and exabgp again. @codeout Great blog entry: http://t.co/FHKPp9DXN6 . It would be great if you could check how much faster our API…

tcpdump やtshark などでキャプチャーしたパケットを，ruby で読むためのライブラリがあります． The Ruby Toolbox などで検索すると山のように出てきますが，いくつか良さそうなのを紹介します． PacketFu 例: IP パケットのsource address だけを抽出した…

お手軽フルルート環境に興味が出て，どの程度お手軽にできるのか試しました． Bird Quagga BGPFeeder bgp4r bgpsimple eggpg gobgp pybgp announcer exabgp (参考: Other OSS BGP implementations · Exa-Networks/exabgp Wiki · GitHub) をざっと見て MRT か…

Read in English HipChat は無料プランでもゲストを招待できて便利だけど，招待された側は履歴をたどれなくて不便． 自分がオフラインだった期間の履歴は読めない 前回ゲストとして発言した自分の履歴も読めない タブを閉じたり，リロードしても消える 毎回…

昔からのメールが溜まってて，検索できる状態で置いときたい． 26GB 85万通 Maildir 形式 IMAP サービスするのはアリ (dovecot が動いてる) どんな検索エンジンを使うのがいいかを検討した． ざっくり言うと Xapian をバックエンドとするmu でインデックスし…

JANOG35 に行ってきた (Day2) に引き続き，JANOG35 レポート． ほぼ毎回行ってるイベントで，インターネットに関するネットワーク寄りの知見を得られる．参加者はネットワークエンジニア中心． 気になったセッションをいくつか紹介しようと思う． JANOG35会…

先日，JANOG35 というネットワーク系イベントに行ってきた．Day1 は参加してない． ほぼ毎回行ってるイベントで，インターネットに関するネットワーク寄りの知見を得られる．参加者はネットワークエンジニア中心． 気になったセッションをいくつか紹介しよう…

著者の山本さん から頂きました．ありがとうございます． この本は，平和酒造 という酒蔵が抱えていた組織的な問題をどうやって解決したか，蔵元の視点で書かれている．斜陽の日本酒業界にあって，昔はうまくいっていた 蔵(職人たち) が酒を造り，蔵元(経営…

スパムフィルターをSpamAssassin に変えてから，DNS クエリーが増えた． 「なにこれ」と思ってだいぶ放置してたんだけど，あらためて何をしているか調べた． ざっくり言うと SpamAssassin は多数の外部ブラックリストサービスに依存しており，DNS クエリーを…

e-Tax などでおなじみの公的個人認証サービス(JPKI) に必要なICカードリーダーのうち，鉄板だという「SCR3310-NTTCom」が生産終了になるらしい ので1つ買ってみた． ざっくり言うと OSX10.10 (Yosemite) で使うには メーカー製のドライバーには触れるな 必要…

知ったかぶりしない NETCONF に続く, NETCONF エントリーです. 今回はNETCONF の実装をいくつか試す. A Ruby gem for NETCONF Netopeer 前のエントリーでは「NETCONF 便利そうだけど, データモデル*1 が共通じゃないので使うのつらそう. 特にいろんな種類の…