nocproject.org

ппц, новый запрос от уполномоченных: "Проводилось ли изменение настроек модема и с какого IP адреса?"... Придется весь netflow лопатить :(

А модем логи свои не ведет?

Netflow то за что?

модемы обычно после ребута память чистят

Syslog...

нехер мне делать сислоги тысяч модемов клиентских собирать

Я бы послал. :)

вот и я думаю как бы красиво послать...

вот думаю вырезать трафик этого чёрта за 2-3 месяца из netflow

наверняка пару гигов получится

и передать им. Пусть сами пошевелят задом

я им должен предоставить информацию -- предоставил

Возникли у нас тут проблемы с Каталистом 6509 с IOS 12.2. Никто не сталкивался. Основной затык - интерфейсы не собирает

У меня с 6506 собирается без проблем.

Попробуй вручную дискавери запустить, посмотри чего он тебе скажет.

дебаг надо запускать и смотреть

работает скрипт

или нет

hi всем

Ставлю сейчас на сервак Proxmox

есть у кого под него noc?

так же как и под VirtualBox ?

Izya12, он проде ova должен хавать

я м.б. отстал, но Proxmox не на CentOS?

Насчет 6509 дискавери вручную запускается. get_interfaces не отрабатыват. Материт, с выводом у меня пока проблемы не разбирался. Но векто понятен )

Так вот самое интересное на что матерится.

У меня вот на Нексусах тоже get_interfaces не отрабатывает, но мне проще, там этого скрипта вообще нету. :)

MinskSNV: ну что ты как ребенок

dvolodin: ?

распечатываешь весь netflow для данного адреса за указанный срок и шлешь им факсом

:)

:)

так они с год назад из какого-то райцентра следак так и просил

говорил а как я к делу подошью?

возьмет и подошьет

вы мне распечатайте весь трафик "Пупкина" за пол года

ну и распечатай

а я подошью :)

пусть пупкин сидит в сизо и читает

блин, такие тугие (

нет

просто у них извилины в мозгу под прямым углом поворачивают

У нас вот например СБУ просило серийные номера ДВД болванок, на которые мы видео им писали, для регистрации сих болванок в качестве доказательств.

почему бы и нет

Dionys: ну в принципе нормальный запрос, только ко мне со своими приезжают

и оформляют протокол изъятия

если дело завели уже, то реально примазаться только что на процессуальных нарушениях можно

у нас раз арестовали компы из копмьютерного клуба

только забыли посмотреть, какие ip адреса на них были и к какому провайдеру вообще был клуб подключен

:)

ай, не будем о грустном

мне в прошлом месяце запрос приходил, спрашивали кому выделялтся IP адрес из пула голандского провайдера...

А ты разве не знаешь кому он выделялся?

Dionys: конечно знаю, сетевому устройству :)

голландские провайдеры такие проваййдеры

да я уверен что это IP какого нить датацентра

где есть поломаный сайт/сервак

да бесполезно всё это. Пока не будет международного сотрудничества на низжиш уровнях никто никого не найдет

ну почему

по вконтактику давно уже ищут всяких уклонистов от армии и должников судебным приставам

у нас в питере за прошлый год 90% запросов с адресами вк было

а учитывая что оно на втором месте после торрентов...

для нексусов кстати профиль попилю скоро

я говорил о взломах через ломаные дедики

дые там никто никого и не будет ловить

они задом шевелят только если это гос-сервера, или сбербанк какой нить

ну или "обожэ экстримизмъ"

на остальное - посрать

_4ePTeHok: Это будет превосходно, а то мне никак не дают до них добраться, а без них карта сети никак не получается.

можно выругаться?

кто безпитоновые сниппеты ваял? киньте в меня докой на разные команды для разных хостов, а?

а то гугель на сайтике не находит

какие какие сниппеты

безпонтовые

в сниппетах есть возможность на джанговых шаблонах логику строить. Без питона. Потому и безпитоновые

Был пример, когда для джуна и кошки писался один сниппет для пинга. С железки пинговать какой-то адрес. Там была подстройка под разные профили - разные команды

ща пример этот найти не могу

так тебе django'вские шаблоны просто нужны

ping {{ip}}

не

Смотри, у меня есть кеши на анбаунде и мастер на бинде. Надо сбрасывать кеш у всех серверов. Но для анбаундов это одна команда, для бинда другая

dvolodin: почини НАМ отстование АЛЯРМОВ!!!! а то я счас бд почищу и прийдётся ждать ещё пару дней пока наберётся говна в бд

логика у меня примерно такая: если managed_object.name==ns-master, то rndc flush. Иначе unbound-control бла-бла-бла

e_zombie: лаг какой в логах пишет?

рррррррррр

я тебе скрины зачем присылал все.

про лаг в логах не присылал

и на мои вопросы ответы - тоже

http://i60.fastpic.ru/big/2014/0114/e5/25d0c2584f6a863e1609e8a40ed3dfe5.png

http://i57.fastpic.ru/big/2014/0114/9a/9f0a3eb58b0304ce13f10d1adf058f9a.png

таки да

:)

dvolodin, как-то это неправильно

что неправильно?

точки честно взяты из inventory

ты выбрал конкретный узел, а у тебя на экране карта города и несколько отметок

это я сам уже сдвинул

а так мне нравится такой стиль мтки

лучше чем у гугла

http://i57.fastpic.ru/big/2014/0114/0e/33566483011c9654c7f2c10bcfc0aa0e.png

вот так оно по клику

dvolodin, а что в инвентори ты указываешь?

адрес? или координаты?

потому что сам понимаешь, никто координаты домов в городе не знает

ты можешь посмотреть координаты на карте гугла

и указать их

порнография просто клиническая

e_zombie, это пол дела, потом схему оптики накидать и будет кул

ставишь на кочку, ебашишь по ней камнем

zi_rus: уй. чуваки которые занимаются оптикой не умеют использовать компьютер.

=)

схемы разварки оптики рисуют карандашом на ватмане?

в визио

без компьютера?

хуй знает.

возможно, у них есть специально обученный мужык ©

и оно будет по карте считать длинну оптики?

наврядли

но инвентори кабельное было в планах

а там уже можно и длинну

а как быть с тем что по карте оно не будет совпадать с тем что в реале

рефлектюком замерить)

к каждой линии должны быть прикреплены данные с рефлюка

ага. а как ты будешь на карте рисовать моток кабеля?

если их вводить руками - тьо это всё туфта

зачем мотки

Отслеживание бригады кабелеукладчиков в реальном времени с использованием GPS маяков...

Dionys, боюсь это будет склоее отражать путь монтеров по ларькам в поисках водки, нежели чем реальный путь кабеля.)

про данные рефлюка к каждой линии плюсую

тогда легко будет заметить деградацию в сравнении

например сравботает алярм по событию от DOM

отправил на промер - сравнил, заменил волокно.

e_zombie, у тебя в инвентори будут объекты, где оптика разварена. между ними рисуешь отрезки, делов то.

длинна отрезка по рефлюку, при сдаче линии

при количестве муфт стремящемся к бесконечности, длина отрезка на карте будет стремиться к реальной длине кабеля

как быть с моментом смены железки и новым инвентори. линки на карте идут лесом?

а там большой вопрос - привязывать ли оптический инвентори к железкам)

ну кабельный всмысле

у тебя же оптика либо в муфту идет, либо в кросс разварена

а оно не меняется от железки

так что скорее оптика будет крепится к муфтам-кроссам

и железки крепятся к портам на кроссе

И систему трехмерного отображения кабельной разводки по зданию с отрисовкой повреждений кабелей... :)

в нормальных inventory есть такая вещь, как "запас кабеля"

а фактическая длина для оптики берется по рефам

dvolodin, а у тебя нормальный инвентори? :)

абсолютно

есть какие-то сомнения в этом? ;)

да

я его не вижу

сомневаюсь в его существовании

:)

закоммитил модельки для узлов

параллелепипеды?

dvolodin, ты так и не ответил, как нок находит где рисовать точку

http://i58.fastpic.ru/big/2014/0114/bc/cfbd40b79028607b2cdc40af9ea30abc.png

пока так

на самом деле, в любом случае будет так

ты же понимаешь что пользоваться этим невозможно

реально сделать сдвигание на карте метки мышкой?

с автоматической сменой координат в инв.

ммм... сомневаюсь что для этого есть юзкейс

тебе как, по адресу гадать лучше?

в любом случае адрес указывать

значит пусть сам по нему ищет

адрес штука веселая

зато он есть на руках

не говоря уже про то, что про поъезд оно не скажет

координаты моно проставить абсолютно любым сервисом

я пока в google earth смотрел

там яблоко + shift + c копирует текущие координаты мышки

аккурат в WGS84

NOC-1266 добавил недостающее

https://vk.com/wall-32331179_334238 саратов-стайл

Сам вмноват. Зачем же он по дороге ехал то?

саратов стайл, это где факел по бортику среди луж тащат

dvolodin, http://pastie.org/8632315 фикс ранкомманд для хуавея

закинь ?

это когда он в промпте пишет #hostname-config#

?

это когда при давании команды типа acl 2070 меняет промт на csw01-kursk-acl-basic-2070

может не (-\S+)?

а (-[a-z0-9])*

(-[a-z0-9]+)*

ну можно. а в чем разница ?

под \S подпадет и # и $

ну и точки-запятые

ага

привет всем!

ПРивет

ни кто не помнит - на коммутаторах DLink можно как-то резать скорость на вилане?

на втором уровне.

наверное, надо Dmitry1 звать 4)

можно

смотри в сторону flow_meter и egress_flow_meter

Dmitry1, на 3100 тоже можно? Что-то не вижу там таких команд в настройках :( сща поищу тогда мануалы

DGS-3100 не умеет

Он на мотороловском упоротом чипсете. Это первая и последняя попытка D-Link сделать свич на чипсете motorola

Dmitry1, да я везунчик! :) У меня 3100 стоит.. есть еще 3120. но я так понимаю - там вся серия такая?

3120 как раз умеет

он на броадкомовском чипсете

flow_meter и egress_flow_meter ограничивают пакетики с шагом в 64 килобит

fow_meter - приходящие пакеты с порта

egress_flow_meter - уходящие пакеты на порт

уже хорошо. а 3028? и 3200?

это порт.

а вилан?

а то у меня порт транковый

там три вилана. надо порезать их

Управлять ими с помощью access_profile и egress_access_profile

на access_profile вместо accept или deny "вешаешь" flow_meter

отлично. спасибо :)

3028 и 3200 умеют обрабатывать пакетики только приходящие на порт

эх. плохо. ну хоть что-то.

Но зато умеют перемаркировать 802.1p, tos, dscp

3200 умеет перемаркировать vlan

для "резания" трафика на порту есть команда "bandwidth_control"

кстати, может управляться даже через 802.1x

зато у 3100 есть аппаратная функция блокировки DLF пакетов, чего на остальных свичах нету

Dmitry1, а что это за пакеты? и зачем их блокировать?

destination lookup fail

т.е. пакеты, mac адрес назначения которых отсутсвует в таблице FIB

И что? коммутатор начинает штормить?

не коммутатор, а всю сеть

как-то не встерчал таких пакетов в своей практике :) их специально генерировать надо?

так как по логике ethernet, коммутатор пытается послать пакет с неизвестным MAC адресом сначала на свой CPU (вдруг это мультикаст или еще что-нибудь), а потом во все порты (вдруг это чей-то MAC адрес)

Как хорошо что я D-linkи ненавижу...

это не по логике eth, это по логике идиотизма

MindGames: Как два пальца. Ставишь на роутере arp timeout в 3 часа, подключаешься torrent клиентом к сотре пиров и выключаешь из роезетки уомп. И в изумлении видишь, как еще пару часов на твой MAC адрес будут идти пакетики от torrent пиров.

zi_rus: ты не поверишь, но так все свичи работают :)

это ты не поверишь, на циске такой проблемы нету

на проц НЕ идет трафик который ему не предназначен

zi_rus: там просто кристалл на CPU стоит как 52-х портовый гигабитный свич D-Link

нет, там просто свич устроен правильно

на cpu пойдет только то что предназначено cpu

zi_rus: На проц идет ВЕСЬ трафик, MAC адрес назначения которого не найден в таблице FIB

у длинка

циска такой херней не знанимается

ага. и мультикаст у нее мимо проца идет

а куда циска отправляет трафик, мак адрес которого не найден в таблице? по-идее, в транковые порты.

мультикаст идет куда надо, это мультикаст, там свои заморочки

и ospf+stp у нее аппаратно в asic, обслуживающих порты реализован :)

и PIM + DVMRP тоже :)

если в этом влане она слушает оспф, то трафик пойдет на проц, если не слушает то не пойджет

че ты мне хаха, у меня десятки гигабит трафика по сети ходят, если бы циска такой хуней занималась, сеть бы лежала неподнимаясь

zi_rus: Аналогично

Из википедии: The IANA owns the OUI MAC address 01:00:5e, therefore multicast packets are delivered by using the Ethernet MAC address range 01:00:5e:00:00:00 - 01:00:5e:7f:ff:ff.

и че

По русски: MAC адресов в диапазоне с 01:00:5e:00:00:00 по 01:00:5e:7f:ff:ff не бывает в таблице FIB

и че

Как бы OSPF, PIM, DVMRP, BPDU, IGMP

Dmitry1, если у меня в 54 влане включен оспф, а в 53 нет, то оспф в 54 пойдет на проц, а в 53 нет

точка

так работают нормальные свичи

от нормальных производителей

длинк к таким не относится

zi_rus: насчет мультикастов и RSP720 я бы не был так категоричен

Хм. В циске ты не видишь, какие пакетики куда бегают. Потому как цисковцы не видят смысла экономить ресурсы

source lookup failure улетают таки на CPU

В d-link, из-за слабости их процов, трясутся над каждым лишним процентиком нагрузки

потом, у мультикаста в MAC-адресе устанавливается соотвествющий бит

dvolodin, там отдельная история, я знаю, но это мультикаст

Поэтому там различают access_profile и cpu_access_profile

ну так ты и про мультикаст

А мне длинки нравятся. в своей среде они работают отлично. по крайней мере модели последних лет 3х.

нет, мы тут про служебный мультикаст

ну а так, да, свой же CPU честно должен лежать в FIB'ах ASIC'а

dvolodin, стоп, о чем мы говорим, на чистом л2 ничего на проц не пойдет

на чистом l2 не пойдет

Command: show cpu_filter l3_control_pkt ports

Port IGMP Query DVMRP PIM OSPF RIP VRRP

---- ---------- -------- -------- -------- -------- --------

1 Disabled Disabled Disabled Disabled Disabled Disabled

pim, ospf и тд этэ л3 в чистом виде

zi_rus: Муа-ха-ха

Туолько у них MAC адреса назначения почему-то из диапазона мультикаста

Какой L3 на свиче 2-го уровня?

магия прям, маки мультикастовые у мультикастовых пакетов, никогда бы не подумал

а вот для L3

DGS-3627G:admin#show cpu port

Command: show cpu port

Type PPS Total Drop

------------------- ---------- ----------- -----------

OSPFv2 0 202535 202535

OSPFv3 0 0 0

RIP 0 15564 15564

IGMP 0 141848 141848

MLD 0 0 0

PIM IPv4 0 176359 176359

PIM IPv6 0 0 0

А вот и остальной мультикаст:

Reserved IPv4 IPMC 0 1229338 1229338

ну и чего

zi_rus: так вот, DGS-3100 умеет запрещать посылать DLF пакеты на CPU

Software Counters:

Class-map: class-default (match-any)

28361192 packets, 50253247607 bytes

5 minute offered rate 119000 bps, drop rate 0000 bps

Match: any

police:

cir 1000000 bps, bc 31250 bytes, be 31250 bytes

conformed 28359221 packets, 50248517370 bytes; actions:

transmit

exceeded 2020 packets, 4818560 bytes; actions:

drop

violated 0 packets, 0 bytes; actions:

drop

conformed 119000 bps, exceed 0000 bps, violate 0000 bps

ну и где здесь гигабит iptv который идет по моей сети?

Ты первую строчку того, чего запостил читал?

Спалился :)

Hardware Counters:

class-map: class-default (match-any)

Match: any

police :

1000000 bps 31000 limit 31000 extended limit

Earl in slot 1 :

20206033 bytes

5 minute offered rate 40 bps

aggregate-forwarded 20206033 bytes action: transmit

exceeded 0 bytes action: drop

aggregate-forward 0 bps exceed 0 bps

если так хочешь

по остальным слотам такая же картина

catalyst1#show controllers cpu-interface

cpu-queue-frames retrieved dropped invalid hol-block stray

----------------- ---------- ---------- ---------- ---------- ----------

dvolodin, да, если в железе не прошито, то побежит на проц, но это редкая ситуация (кстати, на наге обсуждали это буквально недавно), но в остальных случаях на проц ничего левого не отправляется. а нам тут заявляют что ВСЕ чего нет в мак таблице, идет на проц

, ну это же бред и мрак

sw forwarding 182060983 0 0 0 0

igmp snooping 872064056 0 0 1 0

zi_rus: Это зависит от настроек по умолчанию. Например, на D-link igmp выключен по умолчанию, а на циске - включен

catalyst1#show running-config | i igmp

ip igmp querier-timeout 150

ip igmp query-interval 30

ip igmp query-interval 30

вроде наделал узлов разного уровня на карте

catalyst1#show ip igmp filter

IGMP filter enabled

немножно подрихтую ввод координат и можно будет коммитить

вот вам девочек, для позитива в конце дня

https://pp.vk.me/c313925/v313925151/8454/-yAGcc_oNQ4.jpg

https://pp.vk.me/c313925/v313925151/8471/2GZ8zZp1myY.jpg

Ребят, поскажите. я поставил на отдельный сервер новую версию нока. релиз 0.8. установил одной командой. Что надо сделать, чтобы последние обновы получать? там про 0.9 релиз что-то писали на сайте уже

правь файл

upgrade.conf

update.conf и там выбери develop а не релихз

а после этого ./scripts/upgrade

окей. сейчас накачу, пока установка новая. дабы потом ни чего не сломать ;)

ОЯШ: http://4.bp.blogspot.com/-hfvfWOmSjjM/T1mmKzLyEsI/AAAAAAAABlU/ksSHHKIfjXo/s1600/%5Bsage%5D_Daily_Lives_of_High_School_Boys_-_09_%5B720p%5D%5B10bit%5D%5B7773298E%5D.mkv_snapshot_15.34_%5B2012.03.09_12.36.27%5D.jpg

ДАААА

буду рисовать ее при неверном логине

;)

ЫЫЫЫЫЫЫЫЫЫЫЫЫ

палим анимофагов

Оригинал: http://primera-subs.blogspot.com/2012/03/8-9.html

в общем, что-то зависает у меня апгрейд :(

- Migrating forwards to 0078_managedobjectprofile_asset_discovery.

> sa:0077_drop_repo_path

DEBUG:south:south execute "ALTER TABLE "sa_managedobject" DROP COLUMN "is_configuration_managed" CASCADE;" with params "[]"

вот на этом

перезагрузился - проезало обновляться

нок это парадоск, самые глючные и неставбильные это релизы

обновился. завтра буду разбираться, что в файлах конфигов править надо и в настройках. вижу, новые группы появились.. Workflow, Project Management... :)

просто их вылизыванием никто не занимается

это два самых бесполезные разделы

хаха :))

идет сплошной девелоп, который в опеределенный момент отпочковывается в релиз

в общем, надо мне переучиваться на программера. и буду вылизывать релизы ;) ибо ну очень классная эта система - NOC :)

а я говорил, надо срезы девелопа релизить минорными версиями

еще бы узнать, как новый GIS юзать. Володин сегодня ж писал, что там закоммитить что-то решил ;) наверное, еще не закоммитил

завтра обещад

а юзать там просто

забить координаты объекту

В SA? вроде, там не было таких полей. я раньше думал, что там надо точный адрес писать по определенному шаблону как раз для такого дела

в инвентори

ээ.. что за нафиг? зашел в SA > MO.. и не вижу ни где кнопочки ADD :((

как добавить новый объект то??

перелогиньтесь, мистер

точнее не так. "а ну ка вышел и зашел снова как полагается!"

уфф!! так то лучше :)

блин.. старый интерфейс мне как-то больше нравился.. или это я не привык просто еще.

старый шустрее

_4ePTeHok: "#$%ть мой трёхметровый коредамп!"

зайди в редактирование объекта

там кнопочки клевые есть)

консолька например

лучше рассказывайте, куда CM переехал

туда же

там есть конфиг

но никто так и не объяснил, почему надо лезть в редактирование

потому что так удобнее

=)

ага, кнопочки вижу ;) правда, пока не могу их использовать. нет ни одного сетевого объекта - голая инсталляция. завтра занесу что-нить и опробую

чем выделить и по менюшкам ползать, а результат во всплывающих объектах смотреть

+окошках

там тоже окошко всплывает

там не окошко, там саб-таб

да похер

и там можно сабтаб сделать

в гриде ты таб не сделаешь

значит это хреновый extjs

ну перепиши)

но так точно неудобно

я тут думал про автодискавери по заданным правилам..

мнэ...

забиваешь диапазон сети, дефолтовые snmp-коммюнити и пару логин-пароль

Так, коллеги. я вас покину :)) а то жена уже мне навставляла :( попробую в пятницу вечерком поковыряться, новшества поизучать. Мне еще всю систему надо переносить на новую инсталляцию ;)

список версий конфига есть, но ни одна не отображается

скрипт пингует, находит живое, дергает снмп - платформу

ЧЯДНТ?

перелогинивался?

MindGames, навставляй ей и возвращайся

может прав нехватило

офк

оно по дефолту последнюю должно выдавать

суперузер, ожнако

zi_home, %)))))))

там бывают траблы с раскрашивалкой

если символы типа <> gjgflencz

попадутся

_4ePTeHok, это epic fail раскрашивалки, если она на таком валится

я Диме давно говорил

некому дебажить js

хм

дифф показывает

_4ePTeHok: Какие такие кнопочки клевые?

закоммитил гисовские наброски

теперь, кстати, из просмотра JSON в веб-морде можно сразу добавить JSON в коллекции

� ���� �����

������

sharon_dead: UTF8 please

� ���� ����� ������������� �����

что

вот теперь видно