nocproject.org

dvolodin, а закончи мысль про main.prefixtable это чего и как оно будет использоваться ?

оно уже есть :)

я переделываю его на extjs

очень странное приложение

я не понял зачем оно

zi_rus у тебя есть ES+ карты на цисках ?

да

и нормально нок интерфейсы дискаверит, которые с сервис-инстансами/EVC ?

нет

у меня падает

в трейс

ufir, ты отстал от жизни, уже есть issue

дя..

мой причем

дай линк

ufir, NOC-965

дык он unresolved

ufir, я ими активно еще не пользуюсь, допиши там как их из консоли выдернуть

конечно еще не релодвед, я его создал неделю как

я тоже...

пока типа

interface TenGigabitEthernet8/4

service instance 77 ethernet

encapsulation dot1q 77

rewrite ingress tag pop 1 symmetric

и т.д.

это sh run

нужно что-то проще

ну да

sho ethernet service instance

ufir, вот это то что надо

отпиши вывод в issue

только лучше

sh ether serv inst detail

там больше данных

Encapsulation: dot1q 100 vlan protocol type 0x8100

например пригодится

отписал

ufir, в {code}{code} оберни

ага

ufir, теперь надо пиннать

zi_rus: чем оно странное?

по ним активаторы авторизуются

и stomp будет

какой-то аксес-лист

zi_rus: не только

NOC уже часто используют и для генерации ACL.

только делается это сторонними скриптами, SQL и REST запросами

а можно отдавать штатным функционалом

dvolodin: видел заявку по поводу линков?

видел

странная она

я же известный наркоман

что тебя смущает?

постоянное перестроение топологии для флапающих линков

Дык я же написал, что есть варианты.

плюс ко всему - перестраивать только для линков с определенным профилем

если у тебя он тупо флапает из-за физики или трансивера - это лучше починить

по мне, так discovery важен на начальном этапе

человеки ненадежны. Всегда будут косяки в топологии из-за того, что кого-то отвелки или он просто положил хуй на инструкцию

У меня есть два типа линков - автоматически надйенные и вручную пробитые. Я бы автоматически найденные разрешил переделывать.

да я сто раз так делал

пробитые вручную...

хз

нет скорее

dvolodin, что значит начальный этап, сеть не может перестраиваться что ли

после обнаружения нарушений виновника следует подвергнуть каре

не поможет. Его отвлекли на аварию или еще что случилось

zi_rus: перестройка сети - контролируемый процесс

и регламентируемый вообще-то

как бы да, но ты предлагаешь кроме настройки сети еще и в базе руками все вести

понятно, что лучше быть богатым и здоровым, чем бедным и больным. К дисциплине стремиться надо. Только эффективная работа подразумевает недостаток кадров

ошибок будет в сто раз больше чем если это сделает автоматика

должна работать машина

поддерживаю предыдущего оратора

не знаю

регламентные работы никто не отменял

в противном случае будут разборки "кто бросил валенок на пульт"

не валенок на пульт, а открыл пиво об красную конпку

кнопку

dvolodin, ну регламентные, что регламентные? как ты себе это видишь?

есть регламент поднятия линка

там есть пункт - добавить линк в базу

я вижу что если мы что-то делаем, то потом на схеме в визио я это правлю, предлагаешь удвоить работу, сначала визио потом нок?

забил на регламент - забили на зарплату

я не про удвоение

и к чему тогда нужна эта хренова автоматика если все руками прибивать

а про то, что не может быть работа брошена на пол-пути

разговор про переписывание линка в базе, если он изменился

если что-то может быт автоматизировано - оно должно быть автоматизировано

так вот - почему он изменился?

старый вынули, новый воткнули

так?

руками работали?

да, руками.

и ногами

свич далеко

и не один

придется свой патч рисовать похоже :)

zi_rus, автоматизация _не отменяет_ работу человека. она делает ее проще.

+1, потом поделишься

freee, она заменяет

изредко.

zi_rus: дык если автоматика не может сама предложить переписать линк - нахуй она нужна?

рутину, которую может делать машина

вкропчем dvolodin не прав.

извините за французский

и не тому еще написал

mikevlz, чаще всего что бы все было автоматизировано, нужто что бы было автоматизированно все. звучит как тафталогия но тем не менее.

пока к полной автоматизации идет нужны регламенты. :)

ну да. Регламент объясняет порядок работ.

не объясняет, а определяет его

приехали, позвонили, выдернули старое, воткнули новое, позвонили, дождались разрешения свалить. - Это регламент тех, кто физически делает все.

думаю мнение dvolodin связанно с нежеланием пока связываться с удалением старых линков. это не очень тривиальная задача :)

freee, это самая очевидная задача которая идет вместе с базой хранения линков, если ее не учитывать, потом будет хуже

получили звонок, убедились, что все выдернули правильно, убедились, что все воткнули правильно, убедились, что старое не сломано, новое работает без ошибок, отпустили людей. Перерисовали в схемах, поменяли мониторинг, что-то еще, закрыли тикет

вот если тут на этапе после "отпустили" до "закрыли тике" будет автоматика, хотя бы в виде "обновить линки этого устройства" - будет уже хорошо

ну а перепись линков где тут?

zi_rus, думаю удаление в данном случае должно выглядеть как "архивация"

это излишне

mikevlz, по линк ап может быть запущен триггер поиска нового линка, если изменение произошло его надо отразить, а не ждать пинка от человека

триггеры это события по которым система должна понимать об изменениях

а я что, против что-ли?

mikevlz, это не значит что падение линка надо приравнивать к удалению

если на сети проводились регламентные работы, системе не надо говорить о них, это ручная работа, должен сработать триггер, который по определенным признакам поймет, что производились работы и надо обновить информацию

да ты говоришь как заббикс

видимо там пользовались здравым смыслом, не понимаю почему в нем надо тут убеждать

по какому событию начинать искать новый линк?

линк ап

получили link up, дальше что?

запустили дискавери на железке откуда пришел

типичный пример

ставится новый свитч

если там был линк в базе - надо проверить, что сосед физический и сосед в базе совпадают

если линка не было - проверить, не новый ли это линк

причем совпадение соседа должно быть не только по id соседа, но и по интерфейсу.

если появился новый свитч, то на нем автоматом в первый раз выполнятся все виды дискавери

сначала нужно проверить, разрешен ли discovery для интерфейса

и по линк ап выполнить дискавери на том кто прислал линк ап

или достаточно ignore link events?

Если коллизий нет - то добавить линк в базу, как обычно. Если есть коллизии(линк с уже занятым интерфейсом, например, или сосед изменился) то тут простор для вариантов

у меня в теории возможна ситуация когда порт впомечен как клиентский, но в определенных случаях туда могут воткнуть сетевую железку

просто потому что нет автоматики для ведения профилей интерфейсов

а руками никто этого делать не будет

есть автоматика...

есть пируля и интерфейс для нее

только ты пирулей боишься

=)

именно поэтому я в своем сниппете, прописываю профиль для интерфейса вместе в настройками

mikevlz, это не автоматика, это дикость

должен быть встроенный механизм чтобы хотя бы для сетевых линков правильно устанавливал профиль

правило элементарнейшее

это встроенный механизм

напиши, как тебе надо.

дискавери просто нужно, когда прописывает линк в базу, установить соответствующий профиль для портов с обоих концов линка

это не сложно

У меня если порт нетегирован и устройство - DxS - это 99.9% абонентский порт.

и нужно всем

а у кого-то это не DxS, или порт может с тегами быть

у меня на DGS не тегированый порт это аплинк, потому что там L3 интерфейс

вот, значит универсального классификатора нет

есть

если найден линк

значит это линк между двумя железками под твоим управлением

сначит это сетевой линк

значит порты сетевые а не клиентские

значит правильный профиль

надо ставить

"моя логика неоспорима"

не, просто спорить лень

так бывает когда аргументы закончились

> у меня на DGS не тегированый порт это аплинк, потому что там L3 интерфейс

не теггированный ??????????

это длинки

они такие

там нет роутед портов

приходится делать влан

без тега, на одном порту

и int vlan с ip адресом

вот меня подмывает свалить этот алгоритм куда-нибудь на workflow

и пусть каждый сам себе рисует в меру своего разумения

dvolodin, тебе не кажется что альтернативное мнение тут только у тебя

на этот счет может быть два мнения - мое и неправильное ©

йоптить zi_rus у меня не тегированные порты в сторону клиента.

в ядре всегда только тег

а то и дабл тег

местечковые оптимизации нафиг убъют нок как универсальную систему

Что накодил крокодил? Сколько патчей накатил? Что он за ночь закоммитил, сколько багов наплодил? ±

freee, это если ты л2 гоняешь, а если только л3, то роутед порты

а с роутед у длинков беда

у меня на цисках тоже везде транки

zi_rus: буквально сейчас такую же схему на Huawei 5328 поднимаю - никто не мешеает отдать на аплинк влан в тегированном виде

дело вкуса уже, наверное

посмотрел я на конфиг ES+ ваш

у MX'ов аналогичные манипуляции с тегами

причем давно уже

можно, конечно, на них расширить интерфейс

еще обещали дать поиграться с ARISTA

хохохо http://lenta.ru/news/2013/03/26/neutral/

запретить ввоз линейных карт с возможностью классификации, шейпинга и полисинга трафика

:)

а как же реестр?

А всех иностранцев, въезжающих в страну, кастрировать в аэропорту

для профилактики изнасилований и борьбы с секс-туризмом

По их логике - LTE тоже нужно запретить, за необоснованный приоритет голосу

lexus-omsk, это уже начинается изврат, например если у меня дальше будет линк в кору где циска, которая умеет роутед порты делать, то что теперь различные конфиги делать или на циске влан разбирать

dvolodin, не забудь, на ASR9k нет service instance, там все тоже самое делается на обычных классических сабах, но bridge-domain там тоже есть

а в чем там принципиальная разница-то ? бридждомайн, как я понял, это типа глобально на всю коробку

zi_rus, а так и приходится делать - создавать сабы на циске, потому как на Huawei есть подобие vrf-lite и на циске vrf настроены

ufir, с bridge-domain вопросов нет, а вот с с самими интерфейсами есть, на ES+ они настраиваются как service instance, на ASR как сабинтерфейс, но когда дискаверишь такой саб, можешь обнаружить то чего там раньше никогда не было

zi_rus: а на juniper'ах помимо bridge domain есть learning domain'ы

и там можно такого вывернуть, что без грибов потом не разберешь

не сказал бы что это хорошо

как с перлом

иногда полезно

нахерачишь такого, что без поллитра не разберешься

но, накрайняк, есть enterprise-style vlan's

которые настраиваются в лоб как на обычных свичах

dvolodin, ты эта, давай это в нок

по логике вещей -- у нас в интерфейсе необходимо на сабах типа bridge предусмотреть описание правил манипуляции с vlan'ами

dvolodin: Привет. Сделай скрипт, конвертирующий старую тушенку в новую.

Что я тут пропустиЛ? Почему нельзя удалять старые линки?

У меня кучка райнов, и во многих апргрйды и расширения узлов путем добавления новых коммутаторов в существуещее кольцо процесс постоянный и не контролируеммый. Как быть?

Цитирую ушедшего: Замена/обновление - это регламентные работы, значит надо это все делается руками по инструкции. Вывод - надо включить в инструкцию ручное удаление линков

короче, все должно быть сделано руками, в письменном виде, в трех экземплярах, и зхаверено в трех отделах

zi_rus, в трех то мало... :)

у насо согласование на 14 отделов. согласованного плана работ за неделю :)

у нас пытаются это навязать, но мы делаем так, если никто не заметит что мы что-то переключаем, то никому не говорим

до первой волны увольнений.

в жопу эту бюрократию

неделю согласовываешь и час работы

большавя не согласованная авари во время чемпионата мира какого нить

и масштабные увольнения...

я и говорю, если все забекаплено, то никто не заметит

n+1 как правило оооочень дорого

и технически сложно...

кольцо не дорого и должно быть нормой

ну поменяй линеки на брасе :)

если брас не один, выводишь из-под трафика и делаешь что хочешь

хотя я спорю чисто от скуки :)

выводишь ид под траифка это значит что у тя есть возможность сделать более чем n+1

нет

либо у тя брасом называется 2801

если брасы в полку не грузишь всегда есть возможность вывести

тут нет н+1

достаточно н

они сами себя бекапят

нет такой возможности обычно :)

а согласования и у нас эпические

на моей памяти тока ттк жжет. там 2 недели согласование работ

dvolodin, то есть ты хочешь реализовать небольшой совок в рамках нока?

я просто не пойму, нахера что-то делать руками если машина сама может автоматом

она и сделает тебе автоматом

мда, нахер руками что то делать

после того, как настроишь под себя

мне буракратии и ручной работы на работе выше кришы, еще и линки переписывать?

ss_, видимо да, это ты на компьютеры работаешь, а не они на тебя

ну я то все делаю чтоб они сами работали а я только чай пил и посматривал чтоб 3 мировую они под носом не замутили ;)

ip настроил, в ipam внес, в inventory l3 интерфейс прописал

в биллинг занес

в заявке отписал

позвонил, подключальщикам сообщил

все руками, да

а как иначе

zi_rus: твое счастье называется ESB

:)

что за счастье

ну может быть

только повлиять на это не могу

у нас идет война двух исторически сложившихся систем

бедненько

то что спускают сверху и то что было здесь

у нас систем четыре

то что спускают это пипец какой геморрой

все руками

абонента надо заблокировать за неуплату - тебе кидают его идентификатор, по нему ищешь ip, по ip - порт, и его блочишь

вс еруками

вообще все

и наше местное в виде нока и еще пары систем

где мы можем облегчить себе жизнь

у меня руки дойдут

я идентификаторы в нок залью

и буду просто ему скармливать, а он сам находить и блокировать

а то каждый месяц в определенный день как свалится несколько десятков блокировок, так и груснеешь

жаль все на поток не поставишь

я найду время, пирулек штук несколько может быть заеб...

:)

вам еще дают местное держать, вы счастливые люди

да, повезло, несколько серверов выпросили, на закате уже

3 в дело пошли

еще в запасе остались

я хотел виртуалки замутить, тогда у меня вообще руки были бы развязаны

но толи руки у меня не оттуда, толи на бесплатных решениях такого не соорудить, но не получилось

для виртуалок памяти надо побольше

да и для того же ESXi на трех хостах уже нужно делать shared storage

dvolodin, если в сниппете в результате работы будет сказано не выполнять на железке ни одной команды, что будет делать нок

ничего не делать

логин будет только по первой команде

то есть если {{cmd}} = ""

то он не будет даже логиниться туда?

это хорошая новость

не должен

dvolodin: два хоста - ESXi, один винтами набить и iscsi target?

мда

:)

вот так точно делать не надо

,uuuu

бггг

либо storage appliance от vmware

либо уж NFS нормальный

ага. vsa

мы так жили, ща вот два NAS начальных у нас дохнут заказали две вундервафли

с 10Г портами

чтоб виртуализационный PE620 работать начал, а не ржаветь

подскажите где ограничить конекты к радиусу

esxi, хихик

чем тебе этот монстрик не нравится ? =))

`kk: неподдержкой апстримных фич

каких?

тупо интересно. может упрусь в это...