Ну почему же, вполне бывают такие кейсы, когда необходим NAT для IPv6.
Например, есть туннель до некоего VPS, нужный трафик заворачивается в этот туннель. И конечно, можно выпустить v6-трафик с этого VPS не подменяя Src-IP, но тогда обратный трафик пойдет напрямую, а не через этот VPS. Так что, тут просто необходим NAT66.
Да, к сожалению, такие до сих пор встречаются. Но надеюсь, все меньше и меньше )))
Но если с таким сталкиваешься, то спасает просто выставить на интерфейсе, смотрящего в провайдера, выставить MTU в ту цифру, которую нашли опытным путем (mturoute.exe или tracepath). Ваш-то роутер позволит нормально отработать PMTUD для клиентов. Но согласись, выставлять руками на всех своих клиентах MTU - это как минимум контрпродуктивно )
По хорошему вам надо выставить MTU=1492 на оконечных устройствах
Ни в коем случае. За это отвечает механизм Path MTU Discovery. Роутер, видя, что не может отправить в интерфейс пакет с флагом DF из-за превышающего размера, должен этот пакет отбросить и сгенерировать клиенту ICMP Type 3 Code 4 с указанием MTU. На основе этого сообщения, клиент формирует новый пакет, не превышающий указанный размер.
Возможно, в данном случае, автор выключил этот механизм на роутере, или зафильтровал данное сообщение.
Вот, думаю, достаточное освещение данной темы от самих микротиков
Изучайте ROS, полезно и для развития, и для упрощения вашей схемы подключения. Не берусь лезть в холивар mikrotik vs openwrt, но он точно может полностью заменить собой ваш роутер. Хотя вайфай, конечно, у него такой себе...
Еще по теме топика могу подсказать, что микротик умеет менеджмент через MAC-telnet, т.е. находясь в одном L2-домене к нему можно подключиться без IP-адреса. И даже создать цепочку подключений (в цепочке должны быть также микроты) чтобы была возможность подключиться к удаленной железке без IP-адреса.
В данной статье вообще не обращается внимание на работу собственно самих списков. Поэтому же BLOCK OF RULES тут указано с точки зрения именно "блока правил". Никаких более смысловых нагрузок оно не несет :)
Но есть один вопрос. Каким образом можно преобразовать макросы, собираемые в процессе дискаверинга?
Например: есть discovery[{#PONDX},dot3adAggPortActorOperKey,{#IFALIAS},ifAlias,{#IFNAME},ifName]
Т.к. некое оборудование, не будем тыкать в него пальцами, почему-то в snmp отдает значения OID dot3adAggPortActorOperKey уменьшенными на единицу, тонеобходимо инкрементировать значение макроса {#PONDX}, не трогая при этом остальные. Возможно ли это и как?
Марат, спасибо тебе за твой труд!
Помнится, году так в 2004-5м у нас начался взрывной рост трафика в нашей корпоративной сети, а соответственно и бум проблем: квакающий голос, рвущиеся факсы, отпадывающие сессии и т.п.
Наш главадмин, мой гуру и вообще, сказал мне тогда эти три заветные буквы «QoS», дал типовой конфиг, и подсказал направления раскопок. После недели запоя изучения и тестов наконец-то залил конфиг на роутеры в продакшн и, О чудо!, все стало летать, голос просто пел, видео лилось ручьем, факсы порхали как птички, сессии хоть и подтормаживали иногда, но все равно стабильно работали «без единого разрыва». В общем начался некий цифровой коммунизм.
Далее, начал рыть L2 QoS, познакомился с «технологией для домохозяек» auto qos, в общем горизонтально расширял DS-Domain… Далее, когда пришли роутеры Huawei, и начал переносить политику QoS на них, оказалось, что, благодаря стараниям инженеров Cisco и их «технологиям для домохозяек», я знаю только самые верхушки предмета, а для продукции Уаувей нужны более глубокие знания…
В общем, процесс продолжается, и благодаря тебе и твоему труду такие как я получают новые векторы изучения и мотивацию. Спасибо тебе еще раз и продолжай в том же духе!
Далее хочется уже увидеть более подробные реализации на примере некой гетерогенной сети, причем начиная «с низов», т.е. с оконечного оборудования, L2-сегмента, перетекающего на MLS и далее на роутинг… В общем, полный цикл…
Ну почему же, вполне бывают такие кейсы, когда необходим NAT для IPv6.
Например, есть туннель до некоего VPS, нужный трафик заворачивается в этот туннель. И конечно, можно выпустить v6-трафик с этого VPS не подменяя Src-IP, но тогда обратный трафик пойдет напрямую, а не через этот VPS. Так что, тут просто необходим NAT66.
А если QUIC или любой другой протокол, базирующийся на UDP не проходит, тогда как? ))
Да, к сожалению, такие до сих пор встречаются. Но надеюсь, все меньше и меньше )))
Но если с таким сталкиваешься, то спасает просто выставить на интерфейсе, смотрящего в провайдера, выставить MTU в ту цифру, которую нашли опытным путем (mturoute.exe или tracepath). Ваш-то роутер позволит нормально отработать PMTUD для клиентов. Но согласись, выставлять руками на всех своих клиентах MTU - это как минимум контрпродуктивно )
Ни в коем случае. За это отвечает механизм Path MTU Discovery. Роутер, видя, что не может отправить в интерфейс пакет с флагом DF из-за превышающего размера, должен этот пакет отбросить и сгенерировать клиенту ICMP Type 3 Code 4 с указанием MTU. На основе этого сообщения, клиент формирует новый пакет, не превышающий указанный размер.
Возможно, в данном случае, автор выключил этот механизм на роутере, или зафильтровал данное сообщение.
Вот, думаю, достаточное освещение данной темы от самих микротиков
https://mum.mikrotik.com/presentations/RU18M/presentation_5659_1538438877.pdf
А это скажи эпплам спасибо, за то, что не могут отдать выбор приоритета пользователю, а сами решили, что звонки через мобильную сеть более приоритетны :)
https://www.reddit.com/r/ios/comments/p4fymd/is_there_any_way_to_prioritize_wifi_over_cellular/
Изучайте ROS, полезно и для развития, и для упрощения вашей схемы подключения.
Не берусь лезть в холивар mikrotik vs openwrt, но он точно может полностью заменить собой ваш роутер. Хотя вайфай, конечно, у него такой себе...
Еще по теме топика могу подсказать, что микротик умеет менеджмент через MAC-telnet, т.е. находясь в одном L2-домене к нему можно подключиться без IP-адреса. И даже создать цепочку подключений (в цепочке должны быть также микроты) чтобы была возможность подключиться к удаленной железке без IP-адреса.
Забрал в закладки! С нетерпением жду статьи о разборе собранного материала.
Да, с асами боль :) У нас впнщики даже придумали конфигуратор специальный, который делает конфиг синхронно на всех асах )
И в нексусах с ремарками все прекрасно ))
В данной статье вообще не обращается внимание на работу собственно самих списков. Поэтому же BLOCK OF RULES тут указано с точки зрения именно "блока правил". Никаких более смысловых нагрузок оно не несет :)
.
Какое извращение! ФУ!!! Продолжайте! :)))
Спасибо Вам за вдохновение и подсказки!
Сделал вот такой JS
На что Zabbix сругнулся вот такими нехорошими словами:
Подскажите, плиз, что не так? Или где можно посмотреть ключи вывода? В wiki Zabbix.com не нашел такого…
Отличная статья, спасибо!
Но есть один вопрос. Каким образом можно преобразовать макросы, собираемые в процессе дискаверинга?
Например: есть discovery[{#PONDX},dot3adAggPortActorOperKey,{#IFALIAS},ifAlias,{#IFNAME},ifName]
Т.к. некое оборудование, не будем тыкать в него пальцами, почему-то в snmp отдает значения OID dot3adAggPortActorOperKey уменьшенными на единицу, то необходимо инкрементировать значение макроса {#PONDX}, не трогая при этом остальные. Возможно ли это и как?
Помнится, году так в 2004-5м у нас начался взрывной рост трафика в нашей корпоративной сети, а соответственно и бум проблем: квакающий голос, рвущиеся факсы, отпадывающие сессии и т.п.
Наш главадмин, мой гуру и вообще, сказал мне тогда эти три заветные буквы «QoS», дал типовой конфиг, и подсказал направления раскопок. После недели
запояизучения и тестов наконец-то залил конфиг на роутеры в продакшн и, О чудо!, все стало летать, голос просто пел, видео лилось ручьем, факсы порхали как птички, сессии хоть и подтормаживали иногда, но все равно стабильно работали «без единого разрыва». В общем начался некий цифровой коммунизм.Далее, начал рыть L2 QoS, познакомился с «технологией для домохозяек» auto qos, в общем горизонтально расширял DS-Domain… Далее, когда пришли роутеры Huawei, и начал переносить политику QoS на них, оказалось, что, благодаря стараниям инженеров Cisco и их «технологиям для домохозяек», я знаю только самые верхушки предмета, а для продукции Уаувей нужны более глубокие знания…
В общем, процесс продолжается, и благодаря тебе и твоему труду такие как я получают новые векторы изучения и мотивацию. Спасибо тебе еще раз и продолжай в том же духе!
Далее хочется уже увидеть более подробные реализации на примере некой гетерогенной сети, причем начиная «с низов», т.е. с оконечного оборудования, L2-сегмента, перетекающего на MLS и далее на роутинг… В общем, полный цикл…
Можно же на самом коммутаторе дать команду show mac address-table [interface fa0/X] и посмотреть.