Сделал тесты, я не знаю почему но он всегда выпускает клиента с тем же IP адресом для определенного source, если пакет приходит снаружи клиентского интерфейса. С самого роутера идет шафл.
Не могу объяснить почему. По логике ECMP действительно должен был произойти шафл, но он происходит только с разными source IP. Может быть по дефолту на тестовой системе стоит ecmp per destination. Это единственное объяснение которое у меня пока есть. Так что все ок.
Тестировалось на следующем софте:
7200 Software (C7200-ADVENTERPRISEK9-M), Version 15.3(3)XB12, RELEASE SOFTWARE (fc2)
Сделал тесты, я не знаю почему но он всегда выпускает клиента с тем же IP адресом для определенного source, если пакет приходит снаружи клиентского интерфейса. С самого роутера идет шафл.
Не могу объяснить почему. По логике ECMP действительно должен был произойти шафл, но он происходит только с разными source IP. Может быть по дефолту на тестовой системе стоит ecmp per destination. Это единственное объяснение которое у меня пока есть. Так что все ок.
Тестировалось на следующем софте:
7200 Software (C7200-ADVENTERPRISEK9-M), Version 15.3(3)XB12, RELEASE SOFTWARE (fc2)
ну, официальный гайд говорит следующее о TCP сессиях:
When port translation is configured .. .. TCP translations time out after 24 hours, unless a RST or FIN is seen on the stream, in which case it times out in 1 minute.
Но давайте предположим что провайдер выдал сетку вам 50.0.0.0/29,
и вы настроили PAT на все доступные вам адреса 50.0.0.2 — 50.0.0.6,
тот же эффект что и при дуал нате.
Скорее работает как обычный PAT, только в пуле неупорядоченные адреса из некоторого диапазона.
Часто разъяренные пользователи приходят ругаться на обычный PAT?
И раз уж вы тут, чтобы НАТ начал работать реально одновременно через два провайдера, автоматически через BGP балансируя трафик,
надо:
— убрать метрики с дефолтных маршрутов
— дописать в bgp в разделе address-family ipv4 vrf lan
строчку maximum-paths 2
тогда потом трейс traceroute vrf lan 8.8.8.8 source 192.168.1.1 покажет что два НАТА начали работать одновременно
Да, действительно, эталонная проверочная балалайка на сайте (при использовании всех символов),
при попытке поиска строки «a*b», при входных значениях «a*b» и «abb» естесственно отбирает оба.
Так как "*" является абсолютно легитимным символом для адреса по условию задачи.
Так что вы определили неисправность в их алгоритме и проверочной балалайке.
похоже грядет апдейт по возможным символам в адресе до формы вида [.-@0-9a-zA-Z]
'jack@example.com' ?jack@example.com not match
'jack@example.com' *jack@example.com match
'jack@example.com' ?ack@example.com match
'jack@example.com' *?k@example.com match
'jack@example.com' *a*@example.com match
'jack@example.com' *a*a* match
Пожалуйста подскажите если позволяют правила,
какие минимальные параметры теста нужно использовать при отладке,
количество messages, количество rules, максимальное время выполнения при таких условиях,
чтобы, так сказать, чувствовать где планка.
определение живости по sla я опустил в статье.
моменты могут быть вы правы
Не могу объяснить почему. По логике ECMP действительно должен был произойти шафл, но он происходит только с разными source IP. Может быть по дефолту на тестовой системе стоит ecmp per destination. Это единственное объяснение которое у меня пока есть. Так что все ок.
Тестировалось на следующем софте:
7200 Software (C7200-ADVENTERPRISEK9-M), Version 15.3(3)XB12, RELEASE SOFTWARE (fc2)
Не могу объяснить почему. По логике ECMP действительно должен был произойти шафл, но он происходит только с разными source IP. Может быть по дефолту на тестовой системе стоит ecmp per destination. Это единственное объяснение которое у меня пока есть. Так что все ок.
Тестировалось на следующем софте:
7200 Software (C7200-ADVENTERPRISEK9-M), Version 15.3(3)XB12, RELEASE SOFTWARE (fc2)
через per-destination а не per-packet
When port translation is configured .. .. TCP translations time out after 24 hours, unless a RST or FIN is seen on the stream, in which case it times out in 1 minute.
Но давайте предположим что провайдер выдал сетку вам 50.0.0.0/29,
и вы настроили PAT на все доступные вам адреса 50.0.0.2 — 50.0.0.6,
тот же эффект что и при дуал нате.
Часто разъяренные пользователи приходят ругаться на обычный PAT?
надо:
— убрать метрики с дефолтных маршрутов
— дописать в bgp в разделе address-family ipv4 vrf lan
строчку maximum-paths 2
тогда потом трейс traceroute vrf lan 8.8.8.8 source 192.168.1.1 покажет что два НАТА начали работать одновременно
для того чтобы в vrf lan появились дефолтные маршруты этого кода недостаточно
требуется или там же дописать
redistribute static
или
дописывать ip route vrf lan 0.0.0.0 0.0.0.0 1.1.1.2 и ip route vrf lan 0.0.0.0 0.0.0.0 2.2.2.2
Пожалуйста, прежде чем оспаривать это сделайте лабу.
при попытке поиска строки «a*b», при входных значениях «a*b» и «abb» естесственно отбирает оба.
Так как "*" является абсолютно легитимным символом для адреса по условию задачи.
Так что вы определили неисправность в их алгоритме и проверочной балалайке.
похоже грядет апдейт по возможным символам в адресе до формы вида [.-@0-9a-zA-Z]
все время получаю ошибку
: ( простите за нубский вопрос
какие минимальные параметры теста нужно использовать при отладке,
количество messages, количество rules, максимальное время выполнения при таких условиях,
чтобы, так сказать, чувствовать где планка.
Спасибо.