nocproject.org

родилась у меня поутру бредовая идея - вынести обнаружение, к какому объекту относится событие с SAE на активатор

все равно туда выгружаются фильтры адресов

я думаю, здесь это никто не оценит

вполне себе оценит. :)

пока нет redunduncy на sae. скинуть разбор на активаторы вполне себе идея

думаю активтаоры давно пора переименовать в worker-ы

оценит

сейчас на каждое входящее событие SAE делает lookup по sa_managedobject причем по полю trap_source

отсюда и требования на уникальность trap source

и постоянная тряска sa_managedobject

а так - появится возможность идентифицировать объект по нескольким ip

и в разных vrf нормально должно работать

может лукап пора уже делать по IPAM ?

по привязаным адресам.

это будет гибче

да и интеграция выше будет между модулями, что всегда плюс

зачем по IPAM

в перспективе - уедут адреса с интерфейсов

да и в IPAM их тоже надо светить

там, по идее, вообще можно убрать привязку адреса к managed object

это уже дальше пойдем

в принципе сделал

заодно подумал, что в Alert'е Invalid Event Source можно попробовать делать lookup по интерфейсу

и писать, какой объект криво настроекн

потестить надо, что события нормально собираются

dvolodin, что там с vc?

все хорошо

но коммита нет

Народ, объясните мне, плиз, что такое perfixlistbuilder и зачем он нужен?

он билдит префикслисты

Что это такое и с чем его едят? Возможно я их и использую, но просто об этом не знаю.

это было бы забавно

У меня внутренняя автономная система с несколькими десятками AS

Как-то не сталкивался до сих пор с нуждой создавать каки-нибудь префикс-листы. Объясните, плиз.

потому что внутренняя

Внешняя тоже есть. Даже две было когда-то. там тоже префикслисты не используются.

оно нужно для фильтрации маршрутов от внешних пиров

Да я понимаю. Но вот вопрос: откуда приложение prefixlistbuilder знает, какие у меня маршруты?

Dmitry1, они тоже не использовали фильтры http://uvivu.ru/2012/02/26/%D0%B2-%D0%B0%D0%B2%D1%81%D1%82%D1%80%D0%B0%D0%BB%D0%B8%D0%B8-%D0%B1%D0%BE%D0%BB%D1%8C%D1%88%D0%B8%D0%B5-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%8B-%D1%81-%D0%B2%D1%8B%D1%85%D0%BE%D0%B4%D0%BE/

из базы он знает

Да знаю я это. Где в NOC прописываются сети и маршруты, которые анонсируют пиры?

в базе райпа они прописаны, а нок берет у райпа

Тем более, что эти сети могут меняться хоть каждую минуту?

из бд ripe

Понятно. Тогда NOC нам не помощник.

руками вести префикс листы - это не путь джедая

если один аплинк смысла ноль)

тем более если он анонсирует только дефолт

и никаких ix нет

если ничего нет, то, естественно, ничего делать не надо ни руками ни ногами

а вот если несколько апов, или точки обмена есть..

или пиринги..

или все вместе

У нас как раз IX и есть.

а еще если ты Tier-1 с кучей бордеров то...

UA-IX называется.

ага. Задолбал тут один пир, у них внутри маршрутизация меняется как то периодически, и трафик перестает бегать на одну подсеть

а нас клиентосы начинают долбить

В UA-IX так же само. О том, входит ли провайдер в UA-IX или нет, RIPE ничего не знает.

а это и не надо. важно какие сети реальников есть у пиров - и к какой ас принадлежат. А это в райпе есть

дааа, у нас была такая хрень, у пира (РТ) были проблемы, а клиенты пишут/звонят нам и говорят что их не бодает что проблема не у нас

с серыми пирами проблемней..

zi_rus, юзаешь peering managment?

только как билдер

он не умеет провизионинг для цисок

я хотел переписать с жуперовского профиля, но понял что не понимаю, что значат команды в жуне

хм..а вот в add peers, там Import filter/Export filter - подразумеваются prefix-list на кошке?)

обязательные поля..

на любой железке

просто надо вписать что ты принимаешь/отдаешь на этом соединении

если пох, то пиши ANY ANY

не, ну там поле filter. а фильтровать то можно по разному

на экспорт у меня везде ANY

конечно можно (на Циске) роут-мап или аксес-лист

но нок работает по префикс-листу

что у жуна, не знаю

или тут имеется ввиду фильтр в терминалогии ripe

если в этом смысле, то да

типа mport: from AS31500 action pref=100; accept ANY

+i

если только AS31500 аплинк, иначе лучше accept AS31500 или его ас-сет

эт дефолтовый ап ага..

Dmitry1: вы просто не сталкивались с клиентами, которые пытаются отдать вам full view или дефолт :)

Возможно. Внутренними автономками рулю я, поэтому, конечно не пытаюсь сам себе отдать default. Хотелось бы как-то применить prefixlistbuilder к внутренним автономкам.

Чтобы была возможность выдирать сети не только из RIPE, а и из железяк, которыми я управляю.

Dmitry1: теоретически можно, если научить NOC хавать локальный RPSL

Возможно для этого нужно будет добавить несколько интерфейсов SA

чтобы он во whois cache попадал

Интерфейс, который бы "хавал" что-то типа такого:

6509_core_switch#show ip bgp summary

BGP router identifier 10.110.0.110, local AS number 65000

бла-бла

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd

10.110.0.52 4 65002 5940366 32669570 8940 0 0 4w2d 3

10.110.0.53 4 65015 5925598 32581410 8940 0 0 4w6d 1

10.110.0.55 4 65001 5942506 32687241 8940 0 0 15w0d 1

10.110.0.56 4 65003 5946172 32700872 8940 0 0 2d00h 1

10.110.0.57 4 65014 5948578 32720072 8940 0 0 42w5d 1

10.110.0.58 4 65005 5948485 32719767 8940 0 0 5w3d 2

10.110.0.59 4 65012 5939326 32677626 8940 0 0 1d08h 1

10.110.0.60 4 65004 5943115 32685024 8940 0 0 1w0d 2

10.110.0.61 4 65010 5943294 32699638 8940 0 0 3w0d 1

10.110.0.62 4 65008 5945409 32687845 8940 0 0 4w6d 4

10.110.0.63 4 65007 5944127 32690969 8940 0 0 6w1d 1

10.110.0.65 4 65016 5956489 32720007 8940 0 0 16w5d 1

и т.п. Там еще с десятка два пиров

Для заполнения "Peering Management" -> "Setup" -> "Peering Points"

Для сравнения, тот же D-Link выдает

DGS-3627G:admin#show bgp summary

Command: show bgp summary

BGP Router Identifier : 172.20.30.100

Local AS Number : 65008

бла-бла

Neighbor Ver AS MsgRcvd MsgSent Up/Down State/PfxRcd

------------ --- --- ------- ------- ------- ------------

10.110.0.110 4 65000 14238097 2590399 04w6d16h 0

Т.е. мы видим список практически идентичный.

список сетей берется отсюдова:

Дим, в BGP еще и MPLS-ная сигнализация

для ipv4 все просто

DGS-3627G:admin#show bgp network

Command: show bgp network

Network Address Route Map

----------------------------------------------

10.109.0.0/22 -

10.109.4.0/22 -

10.109.36.0/22 -

10.109.160.0/22 -

Total Network Number: 4

Если просто, то почему не реализовать? Мону на форуме наброски интерфейсов SA сделать

кстати, может нам для SubInterface ввести поле типа effective_vpn

Опять же список IP адресов пиров есть. Проходимся по базе Inventory и смотрим, есть ли этот IP в списке интерфейсов.

где будет прописан реальный VRF для L3 интерфейсов или реальный VLL/VPLS для L2 ?

Аналогично строятся сети по RIP и OSPF

для случаев, если железка не в курсе, что реально она в VPLS/VRF торчит?

Дим, это семейство get_<protocol>_neighbors или adjacency

Согласен. Но это можно и в PM использовать.

Нажал кнопку, и все пиры появились сразу.

Не думаю, что у меня одного сеть так построена.

Для чего-то ведь писался noc-discovery? Пусть теперь и послужит на благо общества.

он уже служит вовсю

Ну так я и предлагаю, сделать SA интерфейс для BGP, которые бы выдирал IP и AS пиров, находить эти IP в базе noc-descovery, связывать их с объектами SA и добавлять в базу Peering Points

Все данные для этого есть.

Нужно только приложение SA, парсящее вывод команды show ip bgp summary (для циско) или show bgp summary (для D-Link)

Я думаю, что другие железки выдают аналогичные данные

дискавери это круто

нашел сегодня пересекающийся влан

один номер на 2 клиента

по одной трассе

куча недоудаленных вланов по всей сети понаходил

dvolodin: Смотри, у меня для управления железками используется один IP, а для связи между ними - другой. Поэтому в PM я не могу добавить свои железки.

zi_rus: проникся?

еще как

С появлением noc-discovery это стало возможным, хотя бы на нескольких железках (на D-Link'ах пока не предвидится)

ты в VC management отловил?

жду нормальный vc management

lf

да

ну да, для этого и делал

по идее периодический диагностический отчет еще нужен

типа такие-то VLAN'ы в VC domain не используются

жду NOC-340

без него плохо

и чтобы нок научился понимать НЕ ВЛАН vc

я уже думал

это что-то вроде VC path

вопрос терминологии непринципиален

составной VC

Научите меня, как узнать какие VLAN не используются? Где смотреть?

у меня отдельным файлом ведется список mpls vc id

в базе vc есть, ни на одном интерфейсе в домене не светится

zi_rus: можно попробовать в refbook

не могу от него избавиться, нок не поймет

а что там не так с ними?

dvolodin, нужна привязка id и влан

Замечательно. У меня 99% оборудования - D-Link. Так что мне это не грозит.

это только для кисок

У меня штук 10 цисок, и несколько тысяч D-Link.

они не умеют в одном VC скидывать разные VLAN'ы с концов

Может по SNMP пока DLink'и?

не получается у меня зацепить их пейджер

dvolodin: Не получится по SNMP. В профиле DxS есть поддержка моделей, у которых ну никак на вытащить по SNMP некоторые параметры. Те же DES-3526, DES-3226, DES-3326, DGS-3312 и т.п.

Закоммитил r5924 с offload' ом lookup'а объектов для событий с SAE на активатор

поаккуратнее с ним, смотрите внимательно

там изменения в протоколе SAE-Activator

В более последних моделях свичей как-то стараются унифицировать SNMP, но на старых моделях делали каждый MIB практически "с нуля"

что касается MPLS vc id, точнее LDP'шных ID

может VCType под них отдельный завести?

и храни их спокойно в VC management

Я предлагаю добавить SSID как VLAN

он не нумерованный

Знаю. Можно подумать, как его туда впихнуть

я бы радио отдельно вынес

а напомните, почему может при прилете Configuration changed с кошки автоматом конфиг новый не засасывается в cosfiguration managment? Раньше вроде работало

там же еще частоты

_4ePTeHok: должен засасываться

Возможно нужно добавить текстовое поле в базу vc_vctype

зачем в тип-то?

В принципе, в базе vc_vc в поле есть поле Name. Его и можно как SSID использовать

а l1/l2?

не номер же канала?

:)

dvolodin, MPLS vc id - VCType - это было бы логичное решение

Типичная ситуация: на Ethernet интерфейс точки доступа пришло несколько 802.1q VLAN. Точка поддерживает MSSID. Внутри точки доступа каждый 802.1q vlan преобразовывается в какой-нибудь SSID, путешествует по воздуху на несколько километров, и в какой-нибудь другой точк�

zi_rus: так забей сам

ты же можешь задавать свои типы

только он должен понимать чем отличается один тайп от другого

они не hardcoded

я знаю

я к другому

ты сказал, что VCType ничего не значит

как я понял это тупо строка

int

а понимает он только влан

нет

vc - это некая сущность с одной или двумя метками

vc type задает, сколько меток должно быть и их диапазоны

Кстати о метках. А 802.1p будут учитываться?

Для последней мили это очень критично.

dvolodin, какие интерфейсы он мне покажет если я создам ВСдомен с ВСтипом новым и привяжу селектор?

например vc id 2

я тебя понял

пока - все

нужна еще привязка между типом SubInterface и vc type

вот, он понимает только влан

такой тип как влан

например, bridge для .1Q и Q-in-Q

а остальное для него за гранью

скажем так - пока он не делает разницы

посомтри, что падает в SubInterface

навреное там еще надо разделение сделать

dvolodin, где посмотреть? он все интерфейсы с xconnect считает как L3 просто без ip, хотя в принципе на ний иногда может и адрес быть иногда

надо посмотреть, как xconnect обрабатывать

вот это может поможет

bb#sh mpls l2t vc

Local intf Local circuit Dest address VC ID Status

------------- -------------------------- --------------- ---------- ----------

и дальше идут vc

некоторые так

VFI huawei VFI

точнее

VFI isams VFI х.х.х.х 10 UP

или так

Vl550 Eth VLAN 550 х.х.х.х 363 UP

думаю вывод этой команды достаточно распарсить и все

с xconnect проще чем vfi

vfi может строиться динамически (у нас как раз так)

но пространство номеров у них общее

vc id это не только цискинское

l2vpn стандартизован

ты не путай

для l2vpn есть два способа сигнализации

по LDP и по BGP

метки раздает лдп

бгп для других целей

для тех же

juniper'ам LDP не нужен

хоть и поддерживается

этоизвраты жунипера

это как раз нормально

LDP - это извраты киски :)

Мартини работает в киске, Компелла - в джуне

:)

это ненормально. в rfc 6074 от января 2011 года сказано что для сигнализации используется LDP, а BGP только auto-discovery

через BGP передаются id, через LDP - метки

это один из вариантов

это rfc

каждый поступает по-своему, а циска поступила по rfc

Всем добрый день. А никто не сталкивался, свежая установка noc, когда выбираю VC Bind Filters открывается вкладка VC Bind Filters, но там пусто?

Версия 0.7(3)r5924

ошибка [15:46:12.681] c is not a constructor @ http://noc/static/js/ext-all.js:15

dvolodin, VC Bind Filters поломал

Печально

поправят..

Ну никто же и не сомневался:)

у меня vc bind filter работает

а

закоммитил недостающее

ему новый vc.vcfilter нужен был, я его на время придержал, там тестирования фильтра еще нет

Благодарю, сейчас потестим:)

допилил еще vc.vcfilter

теперь можно вводить номер vlan'а и он автоматом покажет, какие фильтры его накрывают

добрый день

у нас джуниперы, BGP+LDP как раз

вот думаю от LDP отказаться

БЖП удобно

было бы хорошо, если б в IPAM с префиксами можно было работать групповым выделением. Хотя бы одну операцию - удаление.

а то импортнул тут...