Caster . MikroTik Nightmare 

Доброго дня. Андрей, сетевой инженер MikroTik. Хотел бы осветить несколько интересных нюансов. 1. В случае с EoIP - при создании туннеля имеет смысл выставить на нём MTU принудительно в размер 1500. Почему так: MTU бриджа принимает значение, равное наименьшему значению MTU среди всех включённых в этот бридж интерфейсов. Соответственно по умолчанию EoIP имеет MTU 1458 (это если без дополнительных оверхедов), то при добавлении его в бридж мы получим неприятные сюрпризы в работе сети, и очень быстро себя скомпрометируем таким образом. 2. Если мне нужно быстро поднять L2 в сторону сети, где нет белого адреса внешнего, то я обычно поднимаю L2TP (причём с MRRU 1800, или любым другим существенно больше 1500, чтобы перекрыть все оверхеды), и в него уже закидываю EoIP (т.к. у нас уже есть адреса на обеих концах L2TP, между которыми можно кидать EoIP). Решение не слишком красивое с точки зрения количества инкапсуляций, но для многих задач, требующих временного или быстрого решения, очень удобное. А благодаря использованию в L2TP значения MRRU 1800 нам не придётся принудительно менять MTU на EoIP, потому как у него теперь и так MTU будет сильно больше 1500, потому он не повлияет на MTU бриджа. К тому же L2TP с использованием MRRU 1800 благодаря MLP (по сути создание нескольких виртуальных саб-туннелей, невидимых пользователю, из которых потом собирается один туннель с нужным нам завышенным MTU) увеличивает MTU существенно дешевле с точки зрения ресурсов, чем это делает EoIP через пересборку пакетов. 3. Лицензии. CHR в free версии изначально имеет ограничение скорости в 1 Мбит/с. Можно активировать триальную версию, она на два месяца даст полную скорость, соответствующую выбранной лицензии (1 Гбит/с, 10 Гбит/с либо анлим). А после двух месяцев... можно будет продолжать использовать, просто будут ограничения на обновления версии RouterOS, не более. (Кстати, можно трижды сбросить software id и трижды активировать триал, таким образом растягивая удовольствие на полгода, при этом продолжая обновлять RouterOS, если требуется; а после - создаём новую виртуалку с CHR и импортируем туда конфиг со старой - снова на полгода). А вот версия x86 (которую кстати тоже можно ставить на виртуалку, но уже через инсталлер ISO) имеет другие ограничения. Строго 24 часа аптайма (которые можно использовать хоть по 5 минут в день, не важно), при этом без каких-либо ограничений вообще. И для версии x86 за эти 24 часа можно активировать лицензию DEMO (L1), которая будет иметь ограничения на количество туннелей - по одному виртуальному интерфейсу каждой масти - один vlan, один vxlan, один EoIP и так далее. Но не будет иметь ограничений по скорости. В отличие от CHR, лицензия на которые привязывается к личному кабинету, у x86 лицензия привязывается к накопителю, виртуальному или железному - не важно. Потому после активации лицензии менять размер накопителя нельзя, иначе лицензия слетит и виртуалка не запустится (а может включится счётчик в 24 часа аптайма, этого не помню сейчас).

Reply-only не равно статической арп таблице, туда всё ещё могут попадать динамические записи. Изучите вопрос глубже. По поводу RA guard - это концепция а не просто галка. Что мешает реализовать дроп таких пакетов на свичах? DP abuse - то же самое, кроме того nd на RouterOS отключается за пару кликов в винбоксе. Перехват VRRP - для воспроизведения придется оказаться в том же л2 сегменте где члены VRRP обмениваются данными, чего в важных сетях не допускают

это мой муж ясно

От вернама

GRE Sniffing придумали лет 20 назад... в АНБ. ага, америку открыл