> провайдеру всего лишь надо направить трафик до подсети сервиса через другой канал.
Не ДО подсети, а ОТ, и не «всего лишь», а придумать, как же заставить ИХ сделать это или городить собственные костыли в анонсах так, чтоб не сломать попутно ничего другого и не получить 150мс от соседнего оператора через США.
Хорошо, когда с той стороны понимающие люди, готовые перебалансировать исходящий трафик для удобства клиентов. А иногда «там» сидит какой-нибудь большой гугол или местный «принципиальный», и говорит, что «нет, для этого назначения приоритетным направлением является такой-то IX», и посылает.
Квалифицированный сапорт стоит ОЧЕНЬ дорого для любой организации. И вообще с ним множество проблем.
Когда, например, инженер пусть даже второй линии становится достаточно грамотным и опытным, очень высока вероятность, что ему надоест сидеть на телефоне и решать однообразные проблемы юзеров. И, в таком случае, он с радостью уйдет в смежные области даже за меньшие деньги. Работа в сапорте вообще сильно выматывает, и если человек не сапорт «в душе», то никакими деньгами и прочими плюшками его не удержать. Не знаю, как в других областях, но в том же телекоме/ISP долго в техподдержке не сидит практически никто. А те, кто все же сидит, «застывают» на некотором среднем уровне.
Ох, сколько же их таких, у которых «РАБОТА СТОИТ, МЫ ТЕРЯЕМ ДЕСЯТКИ ТЫСЯЧ В ЧАС» на «домашнем» тарифе за $5.
Самая большая проблема в том, что даже если там есть «мальчик/погромист/адменистратр», то даже ему сложно доказать, что, если у вас РАБОТА СТОИТ, то надо организовывать резервные линии по другим маршрутам/технологиям, оплачивать серьезные SLA, в конце концов использовать нормальное оборудование, а не DIR-100, за которым 4 ноунейм неуправляемых коммутатора в цепочку под потолком.
С директорами всяких «рога и копыта», снизошедшими до звонка в техподдержку, тоже, как правило, общаться в принципе бессмысленно.
По моему опыту, наиболее адекватными вариантами являются секретарши либо просто не-айтишные работники, которым руководством было поставлено задание «починить интернет». Такие не будут вставлять свое важное мнение как «телефониста с 80летним стажем» о сечении жилы в кат5е, не будут жаловаться на 100% потерь в трассировке на промежуточном узле, за которым следующий же идет с 0, не будут рассказывать о том, что у них же «CISCO, А ОНА НЕ СБОИТ НИКОГДА».
С другой стороны, такие товарищи всегда выполнят четко сформулированную просьбу перезагрузить такое-то оборудование, или перевоткнуть такой-то кабель, или выполнить такую-то комаду, и дословно продиктуют результат. Они же без вопросов свяжутся с телефонной компанией, если надо, оставят все нужные заявки и сделают все остальное для быстрого решения проблемы.
Искренне благодарен таким людям и желаю им всего хорошего :)
>Каким образом броадкаст пакет из одной подсети (10.100.10.0/24) попадает в другую (10.100.11.0/24)?
Никаким, в ip route можно жестко указать маршрут на connected сеть через интерфейс, даже не имея собственного адреса в этой сети. Маршрут есть — этого достаточно. ARP система сгенерит сама, если nexthop=интерфейс.
>Как обратится к по MAC в другую IP-подсеть?
Никак, на MAC-уровне нет подсетей.
Так судя по всему флуд на коммутаторы доступа прилетал из ядра сети (одмины же, имеют возможность), то есть с аплинкового порта. Включать шторм-контрол на аплинке — не лучшая идея.
Ему все-же надо этот самый endpoint independent, а у многих тазики на линуксах с обычным iptables -j SNAT, который по факту symmetric.
А так да, в случае шифрованного сообщения вообще наплевать на транспорт, главное чтоб шифрование было end2end
Это никак не поможет сотням тысяч пользователей, сидящих за провайдерским натом, и далеко не у всех из этих провайдеров реализован полноценный endpoint independent CGNAT.
Нормально он с абонентами работает, в топ5 по абон-базе.
У их AS очень много префиксов во владении, больше чем Киевстара, УТК и Воли вместе взятых. Потому они и стоят тут так высоко.
Судя по всему, «критичность» определялась количеством префиксов, анонсируемых провайдером. Триолан имеет в несколько раз больше префиксов, чем ДГ и прочие магистральщики.
Да-да, очень часто такой фразой объясняют сотни часов, проводимых в копировании от руки бНОПНИ в рефераты по никому не нужным темам, устаревшие на 30 лет программы по техническим дисциплинам, ну и, безусловно, крайне важный навык «кручения-верчения по жизни» в плане «на этих лекциях надо сидеть, потому что присутствие отмечают, а вон у того препода обязательно показать конспект от руки, перепишу у старших курсов. А тут лабы надо сделать для допуска, куплю у %нейм% с 4 курса, он их делает недорого.»
В итоге 90% учатся чему угодно, кроме, собственно обучения (я даже не говорю о преподаваемом материале), а оставшиеся 10% либо прилежные отличники, со школьной скамьи приученные все делать по совести, либо одаренные и без вузов умники, которым вуз дает примерно ничего кроме диплома. Который, впрочем, другие такие же требуют при приеме на работу, как подтверждение умения делать много бессмысленной и непонятной работы «под галочку».
Так и живем: у большинства есть дипломы, но никто ничего не умеет, кроме как создавать видимость деятельности.
Это и есть обвязка к iptables. Аналогично и shorewall, и firewalld.
Далеко не всегда на серверах нужны «кучи плюшек», во многих случаях хватает открыть четыре порта и related,established на вход.
Не ДО подсети, а ОТ, и не «всего лишь», а придумать, как же заставить ИХ сделать это или городить собственные костыли в анонсах так, чтоб не сломать попутно ничего другого и не получить 150мс от соседнего оператора через США.
Хорошо, когда с той стороны понимающие люди, готовые перебалансировать исходящий трафик для удобства клиентов. А иногда «там» сидит какой-нибудь большой гугол или местный «принципиальный», и говорит, что «нет, для этого назначения приоритетным направлением является такой-то IX», и посылает.
Когда, например, инженер пусть даже второй линии становится достаточно грамотным и опытным, очень высока вероятность, что ему надоест сидеть на телефоне и решать однообразные проблемы юзеров. И, в таком случае, он с радостью уйдет в смежные области даже за меньшие деньги. Работа в сапорте вообще сильно выматывает, и если человек не сапорт «в душе», то никакими деньгами и прочими плюшками его не удержать. Не знаю, как в других областях, но в том же телекоме/ISP долго в техподдержке не сидит практически никто. А те, кто все же сидит, «застывают» на некотором среднем уровне.
Самая большая проблема в том, что даже если там есть «мальчик/погромист/адменистратр», то даже ему сложно доказать, что, если у вас РАБОТА СТОИТ, то надо организовывать резервные линии по другим маршрутам/технологиям, оплачивать серьезные SLA, в конце концов использовать нормальное оборудование, а не DIR-100, за которым 4 ноунейм неуправляемых коммутатора в цепочку под потолком.
С директорами всяких «рога и копыта», снизошедшими до звонка в техподдержку, тоже, как правило, общаться в принципе бессмысленно.
По моему опыту, наиболее адекватными вариантами являются секретарши либо просто не-айтишные работники, которым руководством было поставлено задание «починить интернет». Такие не будут вставлять свое важное мнение как «телефониста с 80летним стажем» о сечении жилы в кат5е, не будут жаловаться на 100% потерь в трассировке на промежуточном узле, за которым следующий же идет с 0, не будут рассказывать о том, что у них же «CISCO, А ОНА НЕ СБОИТ НИКОГДА».
С другой стороны, такие товарищи всегда выполнят четко сформулированную просьбу перезагрузить такое-то оборудование, или перевоткнуть такой-то кабель, или выполнить такую-то комаду, и дословно продиктуют результат. Они же без вопросов свяжутся с телефонной компанией, если надо, оставят все нужные заявки и сделают все остальное для быстрого решения проблемы.
Искренне благодарен таким людям и желаю им всего хорошего :)
Никаким, в ip route можно жестко указать маршрут на connected сеть через интерфейс, даже не имея собственного адреса в этой сети. Маршрут есть — этого достаточно. ARP система сгенерит сама, если nexthop=интерфейс.
>Как обратится к по MAC в другую IP-подсеть?
Никак, на MAC-уровне нет подсетей.
А так да, в случае шифрованного сообщения вообще наплевать на транспорт, главное чтоб шифрование было end2end
У их AS очень много префиксов во владении, больше чем Киевстара, УТК и Воли вместе взятых. Потому они и стоят тут так высоко.
http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=54167
В итоге 90% учатся чему угодно, кроме, собственно обучения (я даже не говорю о преподаваемом материале), а оставшиеся 10% либо прилежные отличники, со школьной скамьи приученные все делать по совести, либо одаренные и без вузов умники, которым вуз дает примерно ничего кроме диплома. Который, впрочем, другие такие же требуют при приеме на работу, как подтверждение умения делать много бессмысленной и непонятной работы «под галочку».
Так и живем: у большинства есть дипломы, но никто ничего не умеет, кроме как создавать видимость деятельности.
Далеко не всегда на серверах нужны «кучи плюшек», во многих случаях хватает открыть четыре порта и related,established на вход.