Сказал человек, свято верующий в сверкающие перспективы прекрасного и великого СССР, нарисованные в отчётах и прокламациях правящей верхушки.
Я подозреваю, что вы, Илья, родились и жили в городе высшей категории снабжения, плюс к тому имели полезных родственников и знакомых родственников: заведующую магазином, или базой снабжения, или столовой. С таким набором исходных условий вы, действительно, провели свои молодые годы в самом настоящем бескомпромиссном коммунизме, когда всё имели по потребностям.
То есть в ВУЗе вы не учились, а бывали по желанию.
Или вы один из суперменов, которые по молодости отлично сочетали блестящую учёбу, работу на почти полной ставке, пьянки-гулянки, научные проекты, два-три хобби, спорт и активный отдых?
Вам не кажется, что особо квалифицированные специалисты, способные в одно лицо и в кратчайшие сроки перевести целое предприятие на принципиально другой стек ПО, поступают разумно и дальновидно, когда предпочитают не "напрягаться, если можно уйти в девопс и зарабатывать больше"?
И напротив, одинокие герои, тянущие на своих плечах колоссальный объём работы, наносят вред: во-первых, жёстко демпингуют на рынке интеллектуального труда (ведь зачем владельцу бизнеса направлять свои финансы на ИТ, если один бородатый Вася за зарплату всё сделает в ажуре?); во-вторых, подставляют этот же самый бизнес, за который так радеют, под тяжёлую зависимость всей ИТ-инфраструктуры от личности одного человека (этого Васи).
Это я видел. Осталось понять, куда прописать эту опцию на коммутаторе, на который я желаю посредством SCP передать файл, находящийся на хосте с OpenSSH сервером.
Я лишь недавно попробовал добавить OpenSSH на машину с Windows 7 ради серверной функции и столкнулся с тем, что свежая версия OpenSSH перестала поддерживать SCP. Теперь вместо него работает протокол SFTP.
Это не очень удобно мне, учитывая, что ряд администрируемых сетевых устройств, напротив, работают только с SCP вместо SFTP.
Тестировали ли вы взаимодействие MLAG с процессом STP той или иной разновидности? Например, если у нижестоящих двух коммутаторов окажется собственная связь, образующая петлю трафика, то MLAG пара детектирует петлю и что-нибудь отрубит? Или забота о разрыве петли лежит только на "клиентах" MLAG?
«А потом подожди два года, пока пройдут закупочные процедуры через головную контору в Москве. Может быть, и не пройдут. Но чтоб все системы работали бесперебойно и любые внезапные хотелки начальства и аварийные нужды удовлетворялись за три дня. И нет, про запас кучу всего заказать тоже нельзя, поскольку твёрдого обоснования со ссылками на бумаги с печатями и подписями нет».
Предупрежу, что не использовал MLAG в работе, только интересовался.
Есть вопрос по картинке №4 на последней схеме. Раньше мне казалось, что peer-link резервируется исключительно под передачу трафика агрегированных каналов, явным образом объявленных в качестве членов групп MLAG/VPC. А на деле же нижестоящее устройство может быть подключено одиночным линком?
Второй вопрос: часто ли встречается у коммутаторов разных прозводителей ограничение в виде возможности одновременно либо использовать стек, либо MLAG, но не то и другое сразу?
Возможно, ROS7 более vrf-aware, чем ROS6, и поэтому DNS-запрос, направленный в таблицу VPN, не найдя в ней указанный адрес назначения, перенаправляется по умолчательному маршруту наружу (соответственно, в цепочку forward). Хотя этот адрес принадлежит самому микротику в таблице main.
Если так, то это даже радует. VRF на ROS6 дюже дырявый.
Если в результате dst-nat цепочки prerouting пакет перенаправляется на интерфейс микротика, то затем должна быть цепочка input. Если вместо этого пакет идёт по цепочке forward, значит, что-то здесь не так и надо искать причину.
Не получится, чтобы выбрать !dst-port нужно выбрать протокол, а мне нужно для всех протоколов.
В этом случае можно продублировать правило mangle цепочки prerouting, разместить его первым и выбрать в нём действие accept, чтобы пакет не проходил через другие правила mangle той же цепочки. В этом новом правиле следует указать дополнительное условие: протокол/порт UDP/53. Тогда пакет не получит маркировку маршрута.
При необходимости можно создать аналогично правило для запросов TCP/53.
Если есть необходимость убрать NAT из DNS-трафика через VPN, то правило dst-nat позволяет выбрать условие !routing-mark. Это позволит исключить часть пакетов из dst-nat.
Если есть необходимость убрать DNS-трафик из VPN, то правило mangle prerouting позволяет выбрать условие dst-port. Это позволит исключить часть пакетов из таблицы to_vpn.
Это так же, как разница опыта пользователей мышек и клавиатур Logitech, на качестве которых производитель тоже любит жёстко экономить: одним заменяют всё безо всяких документов, по первой просьбе, спустя годы и максимально оперативно, других почему-то сурово игнорят спустя полгода после покупки, несмотря на полный комплект квитанций и чеков. Из-за чего первые уверены в сказочно лояльном сервисе, а вторые уверены во вранье первых. Если что, я из вторых.
Обыкновенный распил денег на закупках по завышенной стоимости. В государственных и полугосударственных конторах явление обычное и вошедшее в норму.
Не в Белой ли Холунице? Вроде там с предреволюционных времён что-то оставалось.
Сказал человек, свято верующий в сверкающие перспективы прекрасного и великого СССР, нарисованные в отчётах и прокламациях правящей верхушки.
Я подозреваю, что вы, Илья, родились и жили в городе высшей категории снабжения, плюс к тому имели полезных родственников и знакомых родственников: заведующую магазином, или базой снабжения, или столовой. С таким набором исходных условий вы, действительно, провели свои молодые годы в самом настоящем бескомпромиссном коммунизме, когда всё имели по потребностям.
То есть в ВУЗе вы не учились, а бывали по желанию.
Или вы один из суперменов, которые по молодости отлично сочетали блестящую учёбу, работу на почти полной ставке, пьянки-гулянки, научные проекты, два-три хобби, спорт и активный отдых?
«Не понаехавшие» в Калининграде не те ли, которые понаехали после 1945 года?
Вам не кажется, что особо квалифицированные специалисты, способные в одно лицо и в кратчайшие сроки перевести целое предприятие на принципиально другой стек ПО, поступают разумно и дальновидно, когда предпочитают не "напрягаться, если можно уйти в девопс и зарабатывать больше"?
И напротив, одинокие герои, тянущие на своих плечах колоссальный объём работы, наносят вред: во-первых, жёстко демпингуют на рынке интеллектуального труда (ведь зачем владельцу бизнеса направлять свои финансы на ИТ, если один бородатый Вася за зарплату всё сделает в ажуре?); во-вторых, подставляют этот же самый бизнес, за который так радеют, под тяжёлую зависимость всей ИТ-инфраструктуры от личности одного человека (этого Васи).
Хорошая картинка для телеграм-группы «Всратый монтаж». На чём глаз не остановится, всё радует.
Это я видел. Осталось понять, куда прописать эту опцию на коммутаторе, на который я желаю посредством SCP передать файл, находящийся на хосте с OpenSSH сервером.
Я лишь недавно попробовал добавить OpenSSH на машину с Windows 7 ради серверной функции и столкнулся с тем, что свежая версия OpenSSH перестала поддерживать SCP. Теперь вместо него работает протокол SFTP.
Это не очень удобно мне, учитывая, что ряд администрируемых сетевых устройств, напротив, работают только с SCP вместо SFTP.
Тестировали ли вы взаимодействие MLAG с процессом STP той или иной разновидности? Например, если у нижестоящих двух коммутаторов окажется собственная связь, образующая петлю трафика, то MLAG пара детектирует петлю и что-нибудь отрубит? Или забота о разрыве петли лежит только на "клиентах" MLAG?
Да. Иногда может быть удобно собрать в стек пару коммутаторов: один с медными портами, второй с оптическими — и эти пары объединять в группы MLAG.
У некоторых производителей стекирование и MLAG взаимоисключают друг друга (например, это коммутаторы серии 23xx, 33xx Eltex).
«А потом подожди два года, пока пройдут закупочные процедуры через головную контору в Москве. Может быть, и не пройдут. Но чтоб все системы работали бесперебойно и любые внезапные хотелки начальства и аварийные нужды удовлетворялись за три дня. И нет, про запас кучу всего заказать тоже нельзя, поскольку твёрдого обоснования со ссылками на бумаги с печатями и подписями нет».
Предупрежу, что не использовал MLAG в работе, только интересовался.
Есть вопрос по картинке №4 на последней схеме. Раньше мне казалось, что peer-link резервируется исключительно под передачу трафика агрегированных каналов, явным образом объявленных в качестве членов групп MLAG/VPC. А на деле же нижестоящее устройство может быть подключено одиночным линком?
Второй вопрос: часто ли встречается у коммутаторов разных прозводителей ограничение в виде возможности одновременно либо использовать стек, либо MLAG, но не то и другое сразу?
Возможно, ROS7 более vrf-aware, чем ROS6, и поэтому DNS-запрос, направленный в таблицу VPN, не найдя в ней указанный адрес назначения, перенаправляется по умолчательному маршруту наружу (соответственно, в цепочку forward). Хотя этот адрес принадлежит самому микротику в таблице main.
Если так, то это даже радует. VRF на ROS6 дюже дырявый.
Если в результате dst-nat цепочки prerouting пакет перенаправляется на интерфейс микротика, то затем должна быть цепочка input. Если вместо этого пакет идёт по цепочке forward, значит, что-то здесь не так и надо искать причину.
В этом случае можно продублировать правило mangle цепочки prerouting, разместить его первым и выбрать в нём действие accept, чтобы пакет не проходил через другие правила mangle той же цепочки. В этом новом правиле следует указать дополнительное условие: протокол/порт UDP/53. Тогда пакет не получит маркировку маршрута.
При необходимости можно создать аналогично правило для запросов TCP/53.
Если есть необходимость убрать NAT из DNS-трафика через VPN, то правило dst-nat позволяет выбрать условие !routing-mark. Это позволит исключить часть пакетов из dst-nat.
Если есть необходимость убрать DNS-трафик из VPN, то правило mangle prerouting позволяет выбрать условие dst-port. Это позволит исключить часть пакетов из таблицы to_vpn.
Очевидно, в правиле dst-nat следует ограничить интерфейс и/или маркировку маршрута, в зависимости от желаемого результата.
Это так же, как разница опыта пользователей мышек и клавиатур Logitech, на качестве которых производитель тоже любит жёстко экономить: одним заменяют всё безо всяких документов, по первой просьбе, спустя годы и максимально оперативно, других почему-то сурово игнорят спустя полгода после покупки, несмотря на полный комплект квитанций и чеков.
Из-за чего первые уверены в сказочно лояльном сервисе, а вторые уверены во вранье первых.
Если что, я из вторых.
В Кирове. Это далековато как от Новосибирска, так и от Москвы. Про хороших местных хирургов-парадонтологов как-то не слышал.
Опыт операции в Москве методом "наезда" у меня уже был, не понравилось.
Остаётся надежда, что из-за отсутствия половины дёсен зубы раньше времени не вывалятся :)