nocproject.org

привет всем :)

снова возвращаюсь к вопросу отображения интерфейсов, на которых висят виланы в VC.

вчера писали, что надо повесить селектор в VC Domains. Селектор, под который попадает железка.

у меня в Селекторе ниспадающий список и он пустой. Где создается этот селектор то? В SA я не нашел.

Ктото может мне ответить на мегическую переменную "remote_port_subtype" в get_lldp_neighbors, зачем она нужна и почему для обычных портов DLink её ставят равной 7???

Это при том что для определения топологии оно должна равнятся 5!!!

MindGames: Service Activation -> Managed Object Selectors

gnu-linux: спасибо! походу, я невнимательный :(

Вернее Service Activation -> Setup -> Object Selectors

перечитываю логи вчерашние. по поводу написания документации - поставьте просто сервис Wiki на сайт. и народ заполнит понемногу.

о вики говори dvolodin... Оно дествительно надо! Блоги и форум это совсем нето...

угу.. вот к примеру, что в этом селекторе настраивать ;))

какие параметры обязательные и для чего.. не понятно. я методом тыка сща поставил. буду проверять.

после этого можно было бы в вики написать статью. потом другой по ней настроил бы и может. что-то свое добавил бы. потом разработчик пришел бы и удалил то, что ошибочное.. ну в общем, вики это рулез ;)

заработало! увидел количество интерфейсов и какие они.

спасибо, gnu-linux

круто блин! все порты вижу. мне уже начинает очень нравиться NOC :)

MindGames, это пока портов и вланов мало мало

у меня в среднем по полсотни портов на влан, из них 27 дает одна железка через которую и проходит большинство каналов

есть вланы с 810 и 560 портами

MindGames у меня заработало и теперь я нещаслив

там же караул сколько

лелею надежду, что когда-нибудь нок сможет разумно работать с топологией

а не мыслить одной железкой

о да

я топологию сканю используя nedi

но очень долго это, часа два

что за nedi и что она выдает? :)

что случилось с 3745 ? http://pastebin.com/pDrYEbc8

MindGames http://www.nedi.ch/

сначала мне показалось что это неплохая система, но увидел это:

Size # of Devices

small 1-2

medium 3-9

large 10-19

very large 20+

ога. на поиграться сойдет

21 устройство - это very large

ентерпразу сойдет, ЦОД или ISP посмеется только

о да... у меня щас ~2k девайсов. и это я еще всякий вайфайный хлам и UMG/NGN не щщитал

21 устройство - это размер "города" - так что может и нормально будет. а можно увидеть какая топология от nedi получается на большой сети ?

In order to do that, NeDi needs a certain format in the SNMP location string (separator can be set in nedi.conf with locsep): Region;City;Building;Floor;[Room;][Place within room;][Whatever additional info you want]

Here’s an example: Switzerland;Zurich;Main Station;5;DC;Rack 17;7-8

а вот меня location - не совсем интересно )

эгегей, почините 3745 ;(

dvolodin посмотри плиз если время будет. [10:01] <ufir> что случилось с cisco 3745 ? http://pastebin.com/pDrYEbc8

BaZZiliO, они извращаются, а тут делают гис

show vlans brief пусть попробуют вписпть

core-sw1#show vlans brief

^

% Invalid input detected at '^' marker.

7609

core-sw1# sho vlans ?

<1-4094> Display configuration for a particular vLAN ID.

dot1q IEEE 802.1Q VLAN information

tokenring Token Ring Vlans on the RSM

tr-isl Tokenring ISL Vlans

| Output modifiers

<cr>

на 7301 тоже не работает

и на 6509

на 7600 работает

и на 3400 и 4900

у меня не

core-sw-2#sh vlans brief

^

% Invalid input detected at '^' marker.

только vlan, a не vlans

а, так работает

bb>sh vlan ?

all-ports VLAN information for both trunk and access ports

brief VTP all VLAN status in brief

counters VLAN traffic counters for all VLANs

dot1q Display dot1q parameters

free all free vlans in the system

zi_rus где пофиксить ?

смотри в скрипте нужном

sh vlan br работает, да

/opt/noc/sa/profles/Cisco/IOS

понял. только вот неохота руками в чужой код лазить

я себе в гет_конф сдeлал sh conf вместо sh run, теперь хоть с 76-х конфиги собираются

там кода только команду нужную указать

подстраиваешь под свое оборудование, пока тольок так

что-то я в скриптах не могу найти этой команды

а, вру

там в самом конце

vlans = self.cli("show vlan brief")

я запутался. тут суть в чем - 3745:

crt01-kil-ltc#sh vlan ?

% Ambiguous command: "sh vlan "

crt01-kil-ltc#sh vlans ?

<1-4094> Display configuration for a particular vLAN ID.

dot1q IEEE 802.1Q VLAN information

tokenring Token Ring Vlans

| Output modifiers

<cr>

с этим сложнее

как видишь, там различные модули для разных железок

можно свой дописать, но это не так тривиально

как-бы тогда их выкосить, чтобы их не "дискаверило" ?

никак

я говорил dvolodin, что надо привязку к селектору делать

пока ничего не менялось

zi_rus: NOC-400 заработал?

так точно

portchannel корректно отрезолвило?

не смотрел

момент

nterfaces': [{'admin_status': True,

'aggregated_interface': 'Po 2',

'description': '3G RNC',

'is_lacp': True,

'mac': '44:D3:CA:81:2D:B4',

'name': 'Gi 1/1',

'oper_status': True,

'subinterfaces': [{'admin_status': True,

'description': '3G RNC',

'mac': '44:D3:CA:81:2D:B4',

'name': 'Gi 1/1',

'oper_status': True}],

'type': 'physical'},

а members его?

ищи aggregated: Po 2

dvolodin, нашел, вижу, Po1, который Down мемберов не определил, он я это уже говорил

хм... а у меня определил {'interface': 'Po 3', 'members': ['Gi 9/21', 'Gi 9/22'], 'type': 'L'}]

ufir: да, так и надо

Gi 9/21 покажи

оно привязало его к Po 3

?

{'admin_status': True,

'aggregated_interface': 'Po 3',

'is_lacp': True,

'mac': '00:1D:70:82:3D:00',

'name': 'Gi 9/21',

'oper_status': True,

'subinterfaces': [{'admin_status': True,

'mac': '00:1D:70:82:3D:00',

'name': 'Gi 9/21',

'oper_status': True}],

'type': 'physical'},

да

народ, не подскажите какой-нибудь коммутатор, чтобы было 4 SFP гиговых аплинка. плюс мендые порты гиговые. и при этом был хотя бы один 10-гиговый аплинк оптический.

такие сущесвуют вообще? я слышал только про 2 гиговых + 1 10-гиговый аплинк (3750х серия).

force10 S25N/S50N

сща посмотрю ;) но почему-то мне кажется - это дорогой модульный коммутатор. да? :)

а нет

1 RU даже :) сща буду читать характеристики

нет, он не дорогой

дешевле 3750

в него два XFP можно забить

У S50N CAM в 2 раза больше

я так понял, у •S25N есть 24 медных гиговых порта и 4 оптических гиговых порта SFP

плюс можно запихнуть два XFP модуля на 10 гиг.

наверное. сзади где-то? на картинке просто не вижу дырки под эти модули ):

а нет

блин

не пойму.

4 SFP порта у него. в него можно воткнуть обычные гиговые SFP-шки, или же 10 гиговый XFP

Так: то есть я могу получить в итоге 3 гига + 10 гиг?

что значит ◦2 line-rate ports 10 Gigabit Ethernet XFP?

то есть максимум 2 XFP можно воткнуть в один коммутатор?

там модуль вставляется

либо стековый, либо две десятки

24/48 10/100/1000 медные + 4SFP

версия с POE- S*V

есть еще S25P -- две десятки + 24SFP

а хуавея есть 53серия, с модулями - любо две десятки либо 4sfp

чисто субъективно - FTOS мне нравится больше, чем VRP

понятно. в общем. получается либо либо :) а мне надо И :) т.е. 4 SFP и 1 10гиг.

:)

ни разу не видал force10 железяк

посмотри еще juniper ex4200

ufir: лучшая железка та - с которой умеешь работать

я так понял, форс10 подойдет ближе вего в плане того, что можно подключить 4 1-гиговых и 1 10-гиговую? :)

MindGames: смотри еще на размер CAM

и на нужные фишки

могут засады быть

от чего надо отталкиваться? какая минимальная значение размер таблицы?

force10 больше молотилки для ДЦ делает

dvolodin а не брокад разве ?

там они - один из основных игроков, вместе с brocade и arista

brocade выигрывают по сервисам, аналога MLX у f10 нет

вообще, force10 это чей бренд? или это и есть бренд? просто ни разу не видел такие и слышу впервые :)

но f10 рвет всех в клочья по энергопотреблению и плотности портов

Force10 networks, нынче Dell уже

понял ;) делл выкупил? :)

недавно

да

у меня была E600i

у них на сайте даже лейбл видно

понял. буду иметь в виду в будущих проектов

40 десяток, 180 медных гигов

кстати, про фичи, я тут увидел вспоминали TRILL, а оно реализовано в железе, кто-нибудь его поддерживает?

60 portchannel на железке ;)

Z9000

брокад ТРИЛЛ поддерживает

у циски свой стандарт, называется по другому. но функционал схожий

фабрикпат ?

у циски на нексусах он работает

ага

киска ни по полотности портов ни по цене не влезает

а жунепер ? ;)

EX8200?

ну к примеру

у него плотность портов пониже и жрет процентов на 30 больше

а так - хорошая железка

а попроще - например ex3200 ?

но старая уже :)

что вы подразумеваете под "плотность портов"?

портов на юнит

наверное

у E-series года 3 как есть карты с 10x10

non-blocking wire rate

это у force10

125G на слот

думаю нет :) на уните 48 абонентских ни у кого больше не быет :)

это предыдущее поколение

у циски

3750 ;)

на них же карты 90x1G

сейчас на Z-series есть карты 10x40G

кстати про медные порты, учтите, что при плотности больше 60 портов на unit обычно используется mRJ21

dvolodin, это wirespeed ?

да

Если нужен второй уровень - то D-Link-3420 серия, если 3-й, то 3620

DGS-3420-28TC - Управляемый стекируемый коммутатор уровня 2+ с 20 портами 10/100/1000BASE-T, 4 комбо-портами 10/100/1000Base-T/SFP и 4 портами SFP+

DGS-3620-28TC - Управляемый коммутатор уровня 3 серии xStack с 20 портами 10/100/1000BASE-T + 4 комбо-портами 10/100/1000Base-T/SFP и 4 портами SFP+

DGS-3650 - Управляемый коммутатор уровня 3 серии xStack с 44 портами 10/100/1000Base-T + 4 комбо-портами 1000Base-T/Mini GBIC (SFP) + 2 слотами расширения

Dmitry1, говорят у них начинка один в один

н наверное можно как нить перепрошить :)

В 3420 нет BGP, PIM, DVMRP и подобных фичей

Плюс там отуствует OSPFv3, DHCPv6, PIMv6

Из маршрутизации - только RIPng

У меня DGS-36xx серия и PIM умеет, и BGP сессии поддерживает,

Dmitry1, а реально BGP на 36 работает ?

Ну у меня же работает.

а на full view?-)

а чег опринимаешь ?

мелочевку или фулл

Правда fullview та в него не загрузишь :(

а четвертак ?

У меня 36xx серия стоит как агрегация - т.е. наверх передает маршруты сетей, к ним подключенных

Хотя умеет PBR, route_map и т.п.

А смысл на DGS-36xx серию принимать fullview ? Для этого у D-Link есть DGS-3610 серия

Вот она заточена именно под L3. Там даже CLI похожий на Cisco

DGS-3610-50P - Управляемый коммутатор уровня 3 серии xStack с 44 портами 10/100/1000 Base-T PoE + 4 комбо-портами 1000Base-X/SFP + 2 слотами расширения

DGS-3610-26G - Управляемый коммутатор уровня 3+ серии xStack с 12 портами SFP Gigabit Ethernet + 12 комбо-портами 10/100/1000Base-T/Mini GBIC (SFP) + 2 слотами расширения

Есть 1G медь, 1G SFP, 2 слота расширения

ненавижу cli похожий на Cisco

уж либо Циска, либо свое

Тогда DGS-36xx или DGS-3620 наше все

У DGS-3627G три слота расширения. Больше, чем на 35xx и 37xx серии CIsco

У нас уже лет пять работают DGS-3627G и DGS-3612G. Никаких нареканий нет.

Кстати. Использовал наравне с DGS-3627G циску C3560. Оба работали в качестве dhcp_relay на кучу сетей и абонентов. Так циска загнулась раньше. Начала кричать, что ей TCAM не хватает для IP и MAC

Скорее всего дело в том, сто из-за дешевизны оборудования, D-Link старается выжать из своего ASIC все, что можно. А Сisco перекладывает много задач на CPU

а что сподвигло использовать вместе? цена, характеристики, размер, число портов?

В разных стойках стояли. Оптика заходила в каждую отдельно. Объединили стойки где-то год назад. Все переключили на DGS-3627G. Циска теперь используется только как L2 свич.

Плюс, на 3560 серии всего 4 SFP порта. Поэтому в стойке с циской жило еще и шасси медиаконверторов.

т.е. тебе не нравится что железка которую ты купил не подходит под твом требования?

На то время у D-Link'а не было таких моделей, которые бы нас устраивали.

Они только года 3-4 назад стали делать вменяемые свичи. До этого у них был в основном рынок SOHO

Самый первый свич, который мы купили, был DES-3226S. Он, кстати, до сих пор работает.

так может некорректно сравнивать даже не 4-х летнюю циску с современным оборудованием

Потом мы метались в сторону AlliedTelesyn, Linksys.

Сейчас у нас устаканилось, и сделано, как у большинства провайдеров. Уровень ядра - циски, уровень аггрегации - D-Link DGS-36xx серия, уровень доступа - D-Link DES серия

Маршрутизаторы естественно тоже циски.

В качестве BRAS'ов используется FreeBSD

на сколько юзеров сколько брасов?

по какому протоколу?

Один сервак тянет 1000-1500 PPTP сессий

PPTP был выбран исторически потому, что вначале становления нашей компании Windows не умела PPPoE из-коробки

Dmitry1: спасибо за наводку на счет d-linka

буду иметь в виду

MindGames: Если тебя интересует какие-то специфический функционал - говори

у кого-нибудь, кстати, есть работающая схема с раздачей адресов клиенту по DHCP с 82й опцией?

Dmitry1: спасибо ;) буду обращаться ежели что ;)

MindGames: Статикой в isc-dhcp прописано

Просто некоторые вещи на D-Link'е решаются дешевле и проще, чем на Cisco

То же стекирование, например.

Например, для стекирования DGS-3100 серии достаточно HDMI кабеля :)

да, д-линки по своему хороши, конечно ;)

хотя я долгое время относился к ним пренебрежительно

но у них есть серьезные решения за небольшие деньги.

те же коммутаторы со встроенным контроллером вай-фай, например

DGS-3420-28TC - он поддерживает ОДНОВРЕМЕННУЮ работу 4х SFP модулей гиговых и плюс один 10 Гиг?

или при втыкании 10 гиговоро модуля, количество гиговых портов станет ограниченным?

Ты имеешь ввиду свичи DWS серии, которые позволяют "рулить" несколькими точками доступа?

ага, про них

такой функционал той же циски стоит на порядок дороже

DGS-3420-28TC - да

так, ребята, сорри, я на обед ;)

Слот расширения - это дополнительный порт

Dmitry1: спасибо за ответ.. при стоимости этого свитча около 50 тыр.. думаю, возьмем его

а что за функционал нужен?

Кстати, ты можешь спокойно взять "на потестировать" в ближайшем представительстве D-Link

нам надо будет собрать просто гиговые каналы от 3-5 провайдеров разных (интернет, КСПД) и засунуть все это в трубу в 10 гиг и отдать это на бордерный роутер (76я циска).

думаю, д-линк справится?

там надо будет чисто виланы пробрасывать в транк и все.

суммарный траффик, думаю. вряд ли будет превышать 5 гигов в ближайщие года три..

ну потестировать можно.

просто нам прийдется тогда стенд собирать как-то.. не в продакшен его же на время тестов ставить :)

блин. коллеги тянут на обед. не могу сопротивляться. соррри :) буду скоро

что-то code.nocproject.org тупит... таймауты периодически вываливаются

уже второй раз

а ещё сейчас подметил такую вещь: есть выведенные из эксплуатации устройства (сняты крыжики is_managed и is_configuration_managed) - а noc пытается на них дискаверить интерфейсы - как-то странно

а с чего ты взял что эти галочки влияют на дискавери

если железо в базе есть и скрипт для профиля существует, он его отдискаверит

ну как бы логично, если не managed, то и нечего к нему лезть с любыми скриптами... я так думал

может быть, когда-нибудь

чего-то и багтрекер не фурычит

lexus-omsk у меня есть устройства которые воще команды дискавери не понимаю - а выключить их из дискавери нельзя ;)

вот и трейсят мне в логи

у меня вроде не трейсят,а просто говорят "invalid script"

dvolodin & Dmity1 Кто-то может мне ответить на магическую переменную "remote_port_subtype" в get_lldp_neighbors, зачем она нужна и почему для обычных ("локальных") портов DLink её ставят равной 7???

Это при том что для определения топологии оно должна равнятся 5!!!

посмотри LLDP-шный MIB

это формат, в котором приходит описание порта

там может быть ifindex, mac, ip, имя

В Длинк:

elif remote_port_subtype.lower() == "local":

n["remote_port_subtype"] = 7

Вот это "local" и n["remote_port_subtype"] = 7 портит всю жизнь!

как только вместо 7 написать 5 сразу все линки определяются!

Где баг? в реализации LLDP или в скрипте get_lldp_neighbors для DLink???

скорее всего в реализации

хотя, может и скрипт тип криво определяет

Dmitry1 замени в get_lldp_neighbors n["remote_port_subtype"] = 7 на n["remote_port_subtype"] = 5 и будет всем хорошо....

я бы не стал

local означает, что там может быть что угодно

Что угодно но в Длинк это именно номер/имя порта. И его надо учитывать в топологии...

dvolodin, можно ли задать, состояние карты когда открываешь таб гиса

в смысле по-умолчанию

зум, центр

Выложил последнюю версию модуля staticvlan http://forum.nocproject.org/index.php?action=dlattach;topic=31.0;attach=31

Всё настраивается теперь через 4 конфига.

При установки в /opt/noc вообще ничего не надо править в скриптах!

а удаляется?

к базе ведомой самим ноком привязку не делал?

Оно должно было и тогда удалятся.. в etc/noc.conf коментиш и запускаешь ./noc sync-perm

таблички с линками надо в постгре отдельно грохнуть руками...

Ну и выйти - зайти в нок, чтобы меню изменилось...

dvolodin staticvlan причесал PEP8 вылезал может в нок добавить его?

gnu-linux, чем отличается get_staticvlan, от get_vlans который ноковский

get_staticvlan нечем не отличается от get_switchport

Но!!! get_switchport лучше :)

gnu-linux, ну, ты понимаешь что я хочу сказать

get_staticvlan нужен только для Check Static Vlans всё остальное можно заменить get_switchport за полчаса..

а get_switchport не может сделать тоже самое?

может будет лучше подпилить get_switchport и убрать лишний скрипт

Есть такая фирма DLink называется. Коммутаторы выпускает. Так вот в её коммутаторах на один порт можно повесить пару нетегированых VLAN!!!!

это мы уже обсуждали

А в get_switchport untagged не есть списком :)

это поправимо

для всех устройств это будет список из 1 элемента

Вот надо в get_switchport untagged зделать списком.. И тогда можно убрать "лишний" get_staticvlan

Но!!! Я get_staticvlan всё равно не уберу :) Ибо у меня 90% хорошых DLink для которых get_switchport через CLI, пока, написать невозможно, а get_staticvlan можно! )))

Со всех сил пытаюсь обойти эту проблему через SNMP..

а у меня везде циски, для них нормальный get_switchport, а в staticvlan вообще они не поддерживаются

Но!!! Опять упёрся в то что хорошие DLink через SNMP пока с ноком странно работают:

Если дергать пару десятков устройств результат есть, а дёрнуть пару сотен - результата нет!!!

Так что у меня get_staticvlan пока никак не выкидывается...

!!!

:)

подсобите люди добрые

def execute(self, vlan_id, name, tagged_ports):

with self.configure():

self.cli("interface lan 0/0\n vlan %d common\n exit\n" % (vlan_id))

это для добавления влана

110120015_Kan-Elevator(config)#interface lan 0/0

110120015_Kan-Elevator(config-LAN-0/0)#vlan 11 common

Add VLAN successfully, VLANID = 11.

это на консоле

где ошибся?

как передать паузу после interface lan 0/0

разными вызовами self.cli

dvolodin, ога уже допетрил)

dvolodin, еще вопрос можно ли в скрипет add_vlan передавать больше данных?

т.е. влан + port + vpi + vci

Возможно в будущем и можно будет.

было бы очень хорошо

NOC пока не умеет Q-in-Q и подобные извраты

Run script Huawei.VRP3.add_vlan on 110120015_Kan-Elevator (Huawei.VRP3)

tagged_ports:

vlan_id:

name:

еще бы полей в вебморде добавить

где поискать?

это все поля, которые пока используются

а добавит?

перепишу для себя сделаю nbrtn

тикет

где смотреть хоть?

Пока все только в планах

уж больно заманчиво научить его прописывать вланы на железки кликами а не лазаньем по консолькам

железки=дсламы

dvolodin: что с web серваком? Постоянно 504 ошибку выдает

ss_: По ходу NOC сам прописывает. Но только текированные

Dmitry1, подскажешь где глянусть исхдники вебморды именно этого скрпта

Dmitry1, не только, можно научит что угодно как скрипт напишешь так и будет

Погодь пока с vlan'ами. Они будут потом привязаны к Inventory. Пока нет Inventory, всякие манипуляции с портами/модулями/слотами не доступны

Не так не интеренсо

инветори все никак не пашет а работать хочется

инвентори к 0,8 заработет

вопрос

найдите пару программистов на интерфейс - и будет inventory

Dmitry1, у меня тут длинки генерят подозрительно много IP Spoofing detected. не слышал про такую проблему?

http://pastebin.com/fTsDeWyS

как передать порт 0/1/1 например

pvc adsl 0035lan0/0101disable1483boffoff11 видно что вместо [0/1/1] он передал только первый -

0

или пойти на "хак" порт передавать в имени влана?

zi_rus: Петля где-то

не настолько много

zi_rus: она самая

Как вариант - где-то порт битый, поэтому на самом порту не определяется петля.

что показывает счетчик ошибок на порту?

на L3 аплинке ошибок нет, а спуфинг есть

уже месяц сыпется

значит ошибки должны быть на L2

что за железяка на L2 стоит?

как передать порт 0/1/1 например

Dmitry1, там комбинация интересная, Алкатель - Длинк 3627

ss_: так и пиши 0/1/1

порт с одним untag вланом

zi_rus: С алькателом не помогу

zi_rus: никак

хотя рекомендации могу дать общего характера

Dmitry1, пишу так но шлет не прально

лог выложил

ss_: кинь пример скрипта

http://pastebin.com/Wb7fCSma

лог [2012-03-02 15:26:06] >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

pvc adsl 0 0 35 lan 0/0 11 1 disable 1483b off off 1 1

слеш и все что после него ушло

Dmitry1, тут сложно все, есть один инцидент, спуфинг обнаружился на аплинке, а есть другой, в 3627 включены кольцами 3200, периодически возникают подобные алармы, при том количестве фишек безопасности включенных на 3200, я не считаю что это реальная атака, но чт

о это? черт побери

а интерфейс должен быть lan 0/0/11 ?

pvc adsl 0/1/1 0 35 lan 0/0 12 1 disable 1483b off off 1 1

[2012-03-02 15:29:50] <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

Add PVC successfully, CID = 49.

это я переда в переменной name

Dmitry1, правильная строка pvc adsl 0/1/1 0 35 lan 0/0 12 1 disable 1483b off off 1 1

т.е 0/1/1 оно заменяет на 0 ?

да

понятно

часто интерфейсы пишутся не как у длинка не одной цифрой

а несколькими

через слеш

zi_rus: Рекомендации на DES-3200

1. Включи VLAN-Based LoopDetect

2. Включи STP Loopdetect

3. Включи STP или ERPS

4. Если не используешь STP, включи BPDU_Guard

5. Пропиши статикой MAC адрес 3627 на всех свичах, привязав его к аплинку

6. На клиентских портах запрети пакеты с MAC адресом 3627

китайские поисковики срубил

уроды

6. Включи mac_notification

2-3 есть. как я макпропишу на 2х аплинках?

может быть всем дружно пора отдавать им вксб /dev/urandom на любой запрос?

6 - немасштабируемо, на 3000 аксесов прописать 100 маков - это несерьезно

7. Включи gratuitous_arp и arp_spoofing_prevention

8. На абонентских портах включи Port Security и IMPB

9. Включи dhcp_screening

8 на длинке port_sec не работает с другой технологией которую мы пользуем

if ($http_user_agent ~* (Baiduspider|Sogou|AhrefsBot|bingbot) ) {

return 405;

}

всех настроек-то

zi_rus: а что за технология?

чтоб я помнил

802.1x ?

IMPB ?

Других я не знаю

arp_inspection

на 3200 ?

rf;bcm

кажись

сейчас конфиг найду

enable address_binding arp_inspection

Dmitry1, да на 3200

3200-26 tckb ,snm njxysv

А где это там?

в конфиге

что значит где?

Отстал я от жизни :)

Кольца по STP или ERPS ?

rstp

На абонентских портах включи bpdu_guard

И, я сейчас не помню, есть ли на 3200, STP LBD

config stp ports 1-24 restricted_role true

config stp ports 1-24 restricted_tcn true

config bpdu_protection

config stp lbd enable

и выключи tcn

config stp ports 1 lbd enable

config bpdu_protection ports 1-26 mode shutdown

config stp fbpdu в зависимости от нужды

есть еще такое: config stp lbd_recover_timer

bpdu_protection посмотрю

обычный lbd включен?

что показывает show flood_fdb ?

На huawei.vrp3 седелал add vlan и remove vlan

что показывает show lldp в значении LLDP Forward Status

ss_: кидай на pastebin

правда имя порта на адд черех имя влана передавать

что показывает show filter dhcp_server

172.19.40.182:5#show filter dhcp_server

Command: show filter dhcp_server

Enabled ports : 1-24

Trap State : Enabled

Log State : Disabled

Illegal_Server_Log_Suppress_Duration : 1 Minute

а трапы получаешь?

нет, я на 3200 syslog server пока не прописывал

Log State - будет писать в локальные логи

Заодно при show loopdetect посмотри, вулючены ли логи

изучу это дело

если ловишь трапы, то посмотри, включены ли они в shtorm_control

ок

заодно логи включаются у safeguard_engine, gratuitous_arp и т.п.

zi_rus: Плюс уровень логирования поставь information или debug

дебаг - это перебор

zi_rus: посмотри r5832

с ним, по идее, список vc должен гораздо быстрее рисоваться

ну вот, вроде мануал в свободной форме по установке под убунту накатал ;)

надо выложить? куда? На форум?

или может, Wiki поднимите? :)

там мануал каждый по желанию править сможет

confluence чем не wiki?

imho лучший из всех, что вообще есть

dvolodin: Ну так дай доступ для MindGames на confluence

он всегда может сделать свой space

оттуда перенесем нужное

начал обдумывать как выглядит правильный scheduler

ээ... нефига не понял что где создать ;) но полажу по сайту. поищу :) уже наверное, в понедельник

чтобы и таски выполнял и услугами можно было по таймеру рулить, и discovery

кстати, сейчас попытался выполнить дискавери топологии и получил трейсбек.

вот его начало:

UNHANDLED EXCEPTION (2012-03-02 17:34:53.602539)

Working directory: /opt/noc

<class 'cPickle.PicklingError'>

Can't pickle <class 'noc.sa.models.ScriptsProxy'>: attribute lookup noc.sa.models.ScriptsProxy failed

START OF TRACEBACK

наверное, нужен полный трейсбек..

падает в трейсбек get_mac_address_table на еджкорах =\

а остальное работает?

причем в конце работы

да

MindGames: Зарегистрируйся на сайте. У тебя/ появится свой space. В нем ты сможешь рисовать что-угодно

я зарегистрирован там уже :)

посмотрю ;) спасибо

да, и что за topo.dot файл? куда топология вроде как пишетс?

2012-03-02 17:41:47,590 [script-10.12.70.9-EdgeCore.ES.get_mac_address_table] Script traceback:

<type 'exceptions.KeyError'>

'learned-psec'

вот тут вроде че то про dot написано

https://code.djangoproject.com/wiki/DjangoGraphviz

причем в консоли видно, что маков он насобирал

эт чото в последних ревизиях накрутили

у меня еще работает

там какой-то тип мака новый вылез

что команда выдает

хана короче моим 300 ежам в MO ;)

прикольно.. топологию построенную dot преобразовал в PNGшку.. вот только как бы эту картинку в самой NOC отображать ;)

MindGames: Такая возможность будет. Для этого и переводим все на ExtJS. Там есть возможности по рисованию на канвасе.

_4ePTeHok у тебя какая ревизия работает ?

круто ;)

ну пока я небольшой скриптик на шелле напишу, чтобы в картинки конвертить

в общем, если дискаверить топологию, то трейс валится, если стоит галочка Save topology data..

походу, куда-то сохранить пытается, а там прав доступа нет..

всем пока :)

блин. опять сайт подвис

504 Gateway Time-out

nginx/0.8.53