Вывод: просто снимите верхнюю одежду, окей? Вот поверьте на слово — просто снимите.
Ну уж нет. Не поверю. Обойдетесь.
Я вас первый раз вижу и понятия не имею, что тут у вас за коллектив, как все устроено, кто мимо вешалок ходит и кто на стульях рядом сидит. Может там вообще табунами посторонние посетители тусят, а у меня карманы полны бесценного барахла, паспортов, карт всех мастей и талисманов на удачу из далекого 1997 года. Где я это все буду потом искать, если что пропадет? «Администрация ответственности [...] не несет», так ведь?
Изначально, «просто так» доверия к вам не будет, вы — «еще один офис», со своими тараканами и крысами. Так что нечего требовать кредита доверия от того, кто вас в первый и, возможно, последний раз в жизни видит, тем более таким тоном.
Эти костыли, как мне кажется — следсвия полного отсутствия в BGP механизмов работы с sub/super-netting, вопреки его разрекламированной направленности на «policy-preferred routing».
Можно много чего разрулить при помощи localpref, и MED, еще больше — при помощи community (которые, в принципе, точно так же манипулируют localpref и MED), но вот против ломаспецификов нет приема.
Хочешь положить болт на все предпочтения окружающих — плодишь специфик в нужную тебе сторону, и все — никакие обычные средства других АС его не обойдут, только еще более твердый лом в виде явных префикс-листов.
В итоге и появляются такие автоматические костылезаторы.
Виноватых тут все трое:
— безусловно главный виновник торжества Verizon, который добродушно принял все прилетевшее от кастомера с одним-единствнный законным префиксом, да еще и со скоростью реакции мертвой черепахи; Какая халатность…
— тот самый сталепрокатный завод, который принял префиксы от одного аплинка и спокойно передал другому (зачем вообще отправлять аплинку что-либо кроме себя? Рухтер — купил, АС — купил, настроить — не купил?);
— ну и в последнюю очередь второй аплинк DQE со своими странными оптимизаторами. Оно, конечно, очень некрасиво плодить фейковые специфики, а даже если решились на такую подлость, то хотя бы с no-export отдавали бы кастомерам, но, все же, это на совести такого провайдера.
По легендам, часто они грызут кабель, когда монтажники после обедов/перекусов руки недостаточно хорошо отмывают, а потом этими же руками кабель трогают, чего становится достаточно для запаха, привлекающего грызунов.
Затем же, зачем продают Juniper vSRX и vMX, и Cisco CSR 1000v и ISRv, и HPE VSR, и еще множество, множество других: перенос всей инфраструктуры в «облака», включая привычное сетевое окружение.
Практически любой сетевой вендор сейчас предоставляет свои решения в виртуализированном виде (при чем, во многих случаях, НЕ дешевле аналогичного по х-кам железного устройства).
К примеру, те же корпоративные VPN, завязанные на внутренние каталоги юзеров. Далеко не всегда эту часть взять и перенести на то, что предоставляется провайдером облака.
Чтоб понять отношение Амазона к копирастии, достаточно взглянуть на то, что они делают с Twitch: на записях полностью вырезаются все участки звука, содержавшие «защищенный контент». Пока что это выглядит еще «более-менее», но это только начало запускания щупалец: изменения EULA и, следовательно, баланса отношений «генератор контента-сервис-владельцы авторства» в ближайшем будущем предвидится и без экстрасенсорных способностей.
Так что не стоит надеятья на иные отношения в других их сервисах.
Все это уже проходили с Jabber/XMPP. Там вам и открытость (серверов, клиентов, протокола), и децентрализация (хочешь — поднимаешь свой сервер, и даже не теряешь связи с остальными), и простой и расширяемый стандарт (что там кроме простых текстовых сообщений умеет XMPP? примерно ничего, все остальное каждый допиливал как хотел, на своем велосипеде и со своим количеством углов в колесах), и гейты в другие сети, и e2e шифрование, и файлообмены, и интеграции с чем_угодно.
Вот только открытость и простота и не дали толком формату жить: каждый клиент, по сути, оказывался собственным мессенджером, изолированным от остальных по практически всему, кроме простых смс.
Видео-файлы, в теории, тоже никто не запускает на исполнение, их читают и обрабатывают. Но, тем не менее, code execution эксплойты в медиа-библиотеках периодически всплывают.
Но ведь и Айфоны и последние Андроиды рандомизируют МАС, с которого рассылают опросы.
(Если подключатся к сети — то уже другой разговор, но это еще надо заставить всех подключиться...)
Это проблема любого т.н. софт-роутера без сильного разделения data и control. Даже правила INPUT цепочки вполне себе доходят до ядра и обрабатываются теми же механизмами, что и транзитные.
Старшие хардварные братья имеют вполне себе защиту контрол-плейна, вроде COPP/LPTS, ddos-protection или аналогов. Да даже более-менее серьезные виртуальные роутеры вроде J vMX, C CSR1000v или HP VSR имеют более сильное разделение, и обработка фаервола/полиси происходит не в том же самом месте, где обработка control-plane сервисов, а сильно раньше и с большей эффективностью
>нет возможности задать DNS и шлюз
Шлюз через Router Advert прекрасно анонсируется (Микротик это умеет).
Даже DHCPv6 предполагает использование RA для определения шлюза.
DNS, в принципе, также можно анонсировать в RA (Галочка Advertise DNS в настройках ND), но вот этого Win не понимает.
А еще есть специальный anycast адрес т.н. «subnet-router», только о нем мало кто слышал…
Если просто бриджинг — то номер и не надо для carrier-style, но он нужен если там же еще и л3 интерфейс есть.
У Экстримов, емнип, внутри в любом случае потребляется номер влана, даже если его явно не назначать. У Comware, вроде бы, тоже все вокруг номеров вланов вращается.
RecordRoute пользуюсь иногда.
Это удобно, когда нет возможности посмотреть обратную трассировку, а хост назначения недалеко (всякие IX-ы, пиринги).
А еще иногда тразитные роутеры не репортуют о закончившемся TTL (и не видны в mtr/traceroute), зато радостно ставят себя в RR.
Для Timestamp мне сложно придумать юзкейс.
Routing-опции в принципе у всех выпилено и правильно сделано.
Не подскажете, а элегантных решений для QinQ в ELS-софте не придумали?
А то раньше либо qinq с carrier-style транк-портами («очень» удобно при большом количестве вланов, да еще и шанс упереться в лимит IFL), либо enterprise и никакого куинку.
К сожалению, у iproute2 есть огромный минус — актуальная документация на многие возможности только в виде «см. исходный код».
Кроме того, к примеру, ip neighbour не может показать все, что может показать arp (proxy записи например)
А почему VXLAN не приживается в качестве l2vpn?
Достаточно стройно выглядит, принципы работы простые как доска. Что в мультикастовом, что в evpn виде.
С железом вот проблема — только датацентровые свичи его и умеют.
Купите у того же Godaddy DNS хостинг на 1 месяц, стоит копейки, и ЕМНИП на тех же ДНС-серверах.
Заведите нужные записи и пусть работает до окончания переноса.
Ну уж нет. Не поверю. Обойдетесь.
Я вас первый раз вижу и понятия не имею, что тут у вас за коллектив, как все устроено, кто мимо вешалок ходит и кто на стульях рядом сидит. Может там вообще табунами посторонние посетители тусят, а у меня карманы полны бесценного барахла, паспортов, карт всех мастей и талисманов на удачу из далекого 1997 года. Где я это все буду потом искать, если что пропадет? «Администрация ответственности [...] не несет», так ведь?
Изначально, «просто так» доверия к вам не будет, вы — «еще один офис», со своими тараканами и крысами. Так что нечего требовать кредита доверия от того, кто вас в первый и, возможно, последний раз в жизни видит, тем более таким тоном.
Можно много чего разрулить при помощи localpref, и MED, еще больше — при помощи community (которые, в принципе, точно так же манипулируют localpref и MED), но вот против
ломаспецификов нет приема.Хочешь положить болт на все предпочтения окружающих — плодишь специфик в нужную тебе сторону, и все — никакие обычные средства других АС его не обойдут, только еще более твердый лом в виде явных префикс-листов.
В итоге и появляются такие автоматические костылезаторы.
— безусловно главный виновник торжества Verizon, который добродушно принял все прилетевшее от кастомера с одним-единствнный законным префиксом, да еще и со скоростью реакции мертвой черепахи; Какая халатность…
— тот самый сталепрокатный завод, который принял префиксы от одного аплинка и спокойно передал другому (зачем вообще отправлять аплинку что-либо кроме себя? Рухтер — купил, АС — купил, настроить — не купил?);
— ну и в последнюю очередь второй аплинк DQE со своими странными оптимизаторами. Оно, конечно, очень некрасиво плодить фейковые специфики, а даже если решились на такую подлость, то хотя бы с no-export отдавали бы кастомерам, но, все же, это на совести такого провайдера.
Практически любой сетевой вендор сейчас предоставляет свои решения в виртуализированном виде (при чем, во многих случаях, НЕ дешевле аналогичного по х-кам железного устройства).
К примеру, те же корпоративные VPN, завязанные на внутренние каталоги юзеров. Далеко не всегда эту часть взять и перенести на то, что предоставляется провайдером облака.
Так что не стоит надеятья на иные отношения в других их сервисах.
Вот только открытость и простота и не дали толком формату жить: каждый клиент, по сути, оказывался собственным мессенджером, изолированным от остальных по практически всему, кроме простых смс.
(Если подключатся к сети — то уже другой разговор, но это еще надо заставить всех подключиться...)
Разве нет?
Старшие хардварные братья имеют вполне себе защиту контрол-плейна, вроде COPP/LPTS, ddos-protection или аналогов. Да даже более-менее серьезные виртуальные роутеры вроде J vMX, C CSR1000v или HP VSR имеют более сильное разделение, и обработка фаервола/полиси происходит не в том же самом месте, где обработка control-plane сервисов, а сильно раньше и с большей эффективностью
Шлюз через Router Advert прекрасно анонсируется (Микротик это умеет).
Даже DHCPv6 предполагает использование RA для определения шлюза.
DNS, в принципе, также можно анонсировать в RA (Галочка Advertise DNS в настройках ND), но вот этого Win не понимает.
А еще есть специальный anycast адрес т.н. «subnet-router», только о нем мало кто слышал…
У Экстримов, емнип, внутри в любом случае потребляется номер влана, даже если его явно не назначать. У Comware, вроде бы, тоже все вокруг номеров вланов вращается.
Это удобно, когда нет возможности посмотреть обратную трассировку, а хост назначения недалеко (всякие IX-ы, пиринги).
А еще иногда тразитные роутеры не репортуют о закончившемся TTL (и не видны в mtr/traceroute), зато радостно ставят себя в RR.
Для Timestamp мне сложно придумать юзкейс.
Routing-опции в принципе у всех выпилено и правильно сделано.
А то раньше либо qinq с carrier-style транк-портами («очень» удобно при большом количестве вланов, да еще и шанс упереться в лимит IFL), либо enterprise и никакого куинку.
Кроме того, к примеру, ip neighbour не может показать все, что может показать arp (proxy записи например)
venet всегда был костылем, потому и не место ему в ванилле.
Достаточно стройно выглядит, принципы работы простые как доска. Что в мультикастовом, что в evpn виде.
С железом вот проблема — только датацентровые свичи его и умеют.
Заведите нужные записи и пусть работает до окончания переноса.