nocproject.org

привет!

есть хотелка одна... Чтобы в аларм логах при падении порта выводилось чей это порт, какого клиента..

данные брать можно из дескрипшена

циска вроде, выдает дескрипшен

а вот длинк нет.

или может, описания портов закинуть в инвентори, как дополнительное поле. либо ID клиента вбивать туда, либо просто имя

правда, инвентори не работает не фига. только на цисках дискаверит интерфейсы. и то не на всех :(

все спят чтоли? пятниццо.. :)

точно. вчера был день вдв

ждем. когда dvolodin допилит CLI

а он его пилит? :)

чепта меня выкинуло

а ipam только у меня не работает?

NOC-619

наверное удалил AS0 ?

нет, просто обновился вечером

я знаю про АС0, удалял уже раньше :)

ага. у меня тоже самое

но, это ни разу не минорный приоритет. с ipam постоянная работа

согласен, не применял просто

я расчитывал пнуть Володина здесь по этому вопросу, а он прячется

теперь у меня две проблемы... ipam и get_interfaces для huawei... не считая неподдержку chrome в новых приложениях extjs. Но последнее не столь критично, можно и самому по мере сил поразбираться

то есть лучше не обновляться?

продакшн лучше не обновлять

пока нет, баги ловим

zi_rus: IPAM поправил

ура

ок

подтверждаю, работает

Господа саксаулы...

есть те, кто подключает не по PPPoE? чот меню дико напрягает сейчас isc-dhcpd...

основной конфиг 16Кбайт, конфиг с классами клиентов 10Мбайт, подсети на 1.5МБайта, пулов еще 5.5Мбайт - уныло оно со всем этим взлетает... Вот смотрю в две стороны - omshell или менять его

если менять - то на что?

подсети на 1.5МБайта - на каждую /30 что ли?

mikevlz: у нас радиус не использует dhcpd

сделано хранимыми процедурами на mysql

пользуемся опцией 82 во все поля. На абонентский порт даем 6 адресов. Из-за всяких глюкобагов у амин и маг-ов приходится под приставки отдельные пулы держать.

а есть еще требование держать это все в актуальном состоянии, так что если конфиг поменялся за 2 минуты - сервак тестирует новый конфиг, потом с ним перезапускается.

что собственно и раздражает, т.к. из дохуядерного Core i7 используется только одно ядро.

freeradius + mysql

лично я бы предпочел как подложку mongodb

mikevlz: а на железные решения не смотрите?

Juniper C2000 ? :)

с SRC-PE

это надо будет провести еще мастер-класс нашим погроммистам на похапе, чтоб рассказать, что это такое.

ну или Ericsson SE600 или SE1200

У нас схема работы такая, что на свич выделена сеть /23. Четный предпоследний октет - все работает, нечетный - режется все, кроме личного кабинета. в пике 8 адресов на порт с разделением на компы и приставки, нужна возможность также прибить гвоздями опре

деленные адреса из этого пула.

это можно увеличением времени лиза делать

смартедже есть, работает натилкой. Большего от него не требуется. Да и не поможет он. Опять у радиуса спрашивать будет? проще freeradius2 тогда, что уж там...

не, мы именно хотим гарантировать выдачу одного и того же серого адреса конкретной железяке.

для чего в ЛК есть кнопка "Назначить фиксированый адрес этому компу"

ладно, фрирадиус так фрирадиус. Есть способы изобразить для него нагрузочное тестирование?

ну да, пусть SE у радиуса спрашивает, а радиус ему заодно и адрес клиента выдает

у нас так же на аликах сделано

для клиента - dhcp

Dmitry1: какую информацию нужно предоставить чтобы написали Classification Rules? raw_vars достаточно?

да. и, если не трудно, то описание, что это за ивент

А то к некоторым ивентам трудно подобрать класс

это-то как раз самое сложное... Тут событие вроде простое, но суть его мне до конца не ясна... Могу только копипаст из документации добавить

прпосто, если ситуация какая-то проблемная, то надо аларм подднимать, если нет, то достаточно просто ивентов

dvolodin: Когда же мы дождемся работы с curesed-based CLI ?

когда же мы дождемся topology discovery

новый ФМ

и рисование графиков ноком

ээ. полегче. тут ignored_interfaces похерили, до сих пор не могу в себя придти... )

эти три меня волнуют больше всего, без первого нет второго, а без второго, второй мне не интересен, вернее не пригоден к рекомендации к использованию

а третье очень можно привязать к первому и вообще, очень приятная штука может выйти

veng: это почему это

./scripts.migrate-ignored-interfaces.py

более 1000шт huawei, get_interfaces.py обещают только на следующей неделе...

D-Link ! D-Link !

=)

Dmitry1: создал NOC-620

dvolodin, а ты когда к ипаму начинал делать апи уже чегото доделал ?

veng: так ты сразу сделай event и пришли json

глянь на мои issues

чуть выше

у тебя какие хуавеи? у меня 2326 5238

http://kb.nocproject.org/display/SITE/Creating+FM+Rules

вдруг там переменные какие нужно заводить... все же discarding может быть корнем каких-либо других проблем... в этом я пока не разобрался

погляди там видео

5328 наверное?

5328 это гигабитные

dvolodin, в репорте Block summary, если не указать vrf, валится трейс

ну у меня 2308, 2316, 2326, 2352, 5328, 332x, 2403, 930x...

а есть такие, у которых список вланов на порту показывается через ж... ?

через sa->tasks->switchports?

ты лучше спроси как он показывается на каждой из моделей

и в какой из версий софта

потому как у меня есть 5.3 и 5.7 а уже вышел 5.9

ппц

ответил в NOC-620

у меня выдавало "instance 0,MSTP", у тебя "instance 0, MSTP"

у меня прошивки 5.7 везде

Dmitry1, я к тебе снова про длинки) посоветуй что из перечисленного "лучше") 3028 3526 3200 ))

Dmitry1: принципиально отличаются только 2403. остальные показывают примерно одинакого... что 23, что 33, что 53 серия...

_4ePTeHok, смотря как ты эти длинки будешь использовать.

доступ

видео?

что такое 2403 ?

т.е иптв будет?

igmp only

про хеш у 3028 уже знаешь?

на дом ставить?

_4ePTeHok, flood_fdb

вот хочется не натыкаться на это

3028 1228 оба страдают как я понял

Dmitry1: Huawei Quidway S2403TP-EA

если не натыкаться, то ставь DGS-3420 и т.п.

_4ePTeHok, 35xx не страдают.

а 3200?

У 3500 сильно высокий порог срабатывания по штормам, плюс сильно кастрированные ACL, плюс отсутствует DoS prevention, и куча всего

страдает

Dmitry1, ага

ну вот блин

мы делали так:

Говорят, что 3200 rev C1 страдает гораздо меньше

Из плюсов на них, по сравнению с 3028 и 35xx серией

1. DoS prevention

3200, от него на 4 3028. это не идеально, но работает

2. Дофига памяти под ACL

3. ERPS

4. Ethernet OAM и CFM

по сути нам ацль там только на нетбиос

5. Возможность видеть счетчики в ACL

ну пппое и бдпу это не в ацль реализовано вроде

можно и к 3526 подключать 3028

6. Возможность управлять пропускной способностью некоего трафика через ACL

7. dhcp_snooping в IPMB

главное чтобы 3028 были последними в цепочке!

`kk, не не, у нас плоские кольца

по 4-6 коммутатора

тогда брать 3200 rev C1, заливать маки (мультикаст тоже!) и тестировать

8. bpdu_protection

9. gratuitous_arp

дима разашёлся )

10. Возможность создания еще одного ipif для управления (не участвует в маршрутизации)

11. sflow

Dmitry1, ещё ACL там по новому работает -)

еще один ipif уже есть в ревизиях А1 и В1

э. а чего на 35хх нет bpdu protect?

Хотя с sflow я поторопился

и теста кабеля?)

остальное как бы не очень принципиально

bpdu можно acl порезать

Точно не уверен. Возможно в последних прошивках и есть

тест еть

Не-не.

bpdu_guard громко кричит в логи и вырубает порт, с которого пришел bpdu пакет

Dmitry1: точно есть, пользовались

А не дорогая эта железка?

veng: мы ее на тест с трудом выпросили

Раза в полтора дороже, чем 3028 и 3526

Кроме того, в DES-3200 rev C1 есть встроенная защита портов

мы к 1-му 32хх-ому ставили 4 3028.

не сильно по карману било

чото запутали

есть в 35хх тест портов или нет?

как я помню - да

ну вот я смотрю прайс... существенно дороже хуавея при тех же возможностях в беглой прикидке. а хочется наоборот... )

veng|2, а почем хуавей?

ну... где-то 8000

veng: Выходи на регионального представителя D-Link. Возможно договоришься о скидках

ага. мы тоже не розничной цене покупали -)

Dmitry1: а почем такой d-link можно взять?

Откуда я знаю? Все зависит от количества покупаемых железок.

вот ответ от одного крупного прова про 3200 rev C1: "По снмп определяется как другая ветка, сцуко"

и снова снмп -))

эта песня никогда не закончится)

пока есть китайцы

куда ни ткнись везде с чем-то да косяки...

и если ты хочешь сказать что снмп не нужен, то боюсь тебя разочаровать, десятки различных программ успешно используют стандартные оиды определения состояния оборудования и вместо того, чтобы тратить кучу сил на поддержку cli различных вендоров, реа

лизуют возможности самой программы

Ждем, когда под него MIB'ы нормальные сделают.

тут ключевое слово "стандартные оиды определения состояния оборудования", что не применимо к D-Link

Dmitry1, ты забыл мой вопрос? какой длинк не поддерживает - IF-MIB::ifAdminStatus?

ну вы опять...

Тот, в котором откдючено SNMP по причине того, что при SNMP запросах загрузка проца поднимается до 100%

то, что выше - подтверждаю, было

Dmitry1, `kk, баг в длинк отправляли?

Да. Если хочешь, найду ту ветку форума.

на форуме где-то было.

а результат был?

на тот момент - нет, кроме как перепрошивать на бету

хотя могу ошибаться

http://forum.dlink.ru/viewtopic.php?f=2&t=113262

Вот ветка форума на 5 страниц.

этапы обсуждения:

1. Сейчас занимаемся с тем, что через каждые 10 минут выдергиваем SFP модуль и смотрим, прыгает ли загрузка процессора.

Остались только магистральные порты, которые трогать нельзя, но ничего не поменялось.

там какая-то лабуда про броадкаст флуд

Следующий мой пост:

Проблема вроде бы нашлась

Высокая загрузка CPU была во время опроса свича по snmp

Ответ от сотрудника D-Link

Рад слышать! Это возможно.

страница 4

Т.е. сотрудники D-Link официально подтверждают, что при опросе свича по SNMP загрузка процессора поднимается до 100%

Причем Демин Иван у них наиболее знающий и адекватный специалист.

коллега напомнил, что у 3526 была таже проблема при save config

Dmitry1: вроде не Демин

`kk, что за проблема?

100% кпу с сэйве по снмп

не, я не сейвлю конфу по снмп)

мы тоже перестали...)

тест

Достаточно запросить таблицу MAC адресов

Установили мы The Dude, и поподключали туда наши L3 свичи DGS-3612G и DGS-3627G. Поставили галочку, что эти свичи опрашивать по SNMP.

Результат - раз в пять минут на свичаз начал срабатывать Safeguard Engine

Dmitry1, дуд он злой.

он мне как то раз аварию замутил на циске.

там и так было с процом не очень.

Он просто начал вытягивать список всех MAC адресов.

а с ним вместе полный ПЭ

dvolodin, welcome back! Сниппеты поломались еще

где

давай traceback

dvolodin, http://pastebin.com/J6wVMhfU

пофиксил

присылайте новых багов

D-Link ! D-Link !

Dmitry1: d-link - это по определению вечный wontfix :)

CLI на нем доделать и все счастливы будут

не доделают

ну вот , взял и все надежды убил разом.)

dvolodin, при апдейте вывалился трейс

http://pastebin.com/mRumdUCS

пофиксил

подтверждаю оба фикса

в монолитных models.py была порочная практика

местами из них импортировались объекты из других models

по from ... import *

надо переловить такие косяки

это расход памяти ?

Народ. Кто живет в Москве? Спонсируйте dvolodin'а пивом, чтобы он написал нормальный CLI парсер для D-Link

=) я думаю пиво тут не поможет

надо чото позабористей)

проспонсируйте длинк рисом, чтобы он написал разгребаемый cli :)

dvolodin: Народ просит. Сделай, плиз. И все будут счастливы.

Dmitry1, надо ему сделать предложение, от которого он не сможет отказаться)

Вот и я думаю. Только не знаю, что ему предложить.

VSOP?)

пистолет и доброе слово

а что это такое?

гг, evyscr кровожадный какой)

Может ему железку для тестов дать?

ну хеннесси коньяк)

не думаю что железка его подкупит0

Железка для тестирования, имелось ввиду.

мало)

Ээээ... Сало, картопля, цибуля ?

"Пьёт ли dvolodin коньяк перед коммитами?"

Надо этот вопрос в FAQ занести

:)

Я вчера разгребал ошибки, когда коммитил после "Козацькой Рады"

Ощущение непроходящего удивления осталось со мной навсегда.

Ага. Помню такое. Утром просыпаюсь - написанный эмулятор avatar терминала. Экзешник работает, но код не компилиться. В коде разобраться не возможно.

а как же курсачи после акваланга с пивасом?

BTW, TGIF

По училищу ходила легенда, что когда ко мне пьяному подошли, и спросили, что за прогу я пишу, я ответил: "когда напишу - тогда узнаю"

dvolodin: Открой себе счет с пополнением по SMS - возможно народ так сможет спонсировать.

Кстати, а где прайс?

Меня вот спросили, сколько запрашивают за разработку inventory.

evyscr: прайс я высылаю заинтересованным

:)

гг

ИЧСХ, спросили серьёзно.

Народ, кто едет на КиевБСД ?

dvolodin: так что, куда писать, как foundraiser организовывать?

или kickstarter организовать?

kickstarter не надо.

Вряд ли у нас улучшится связь с Дмитрием, если он станет резидентом юэсэй ор сометхинг.

Тогда его к нам, в Украину надо. Будет работать за хлеб с салом.

А это уже - неэффективное использование ресурсов. И я не про сало. :)

Заодно и поотвыкнет от джуниперов и цисок.

Хм...

Давайте раскрутим Яндекс на семинар по интересующим нас вопросам.

накой это надо яндексу :)

ха!

примерно ради того же, ради чего параллелз ищут соседские коммунити.

так и вижу семинар - "как распарсить вывод cli dlink!" "Как унифицировать запросы SNMP на разных прошивках Dlink!"

_4ePTeHok: мелко берёшь

помнится мое первое знакомство с семинаром длинка было давно, они при всех собирали стенд воип, два часа собирали, так и не заработало)

так то длинк

хех. что характерно, я войп-стенд на длинковском оброудовании собирал примерно те же два часа с нулевыми знаниями. Заработало оно через два дня - удалось убедить войп-провайдера, что у них что-то поломано.

да ты хекер наверное

сошиал иненегр.

hi everybody, sorry for ot - but as usual I cannot find a lot of community info about edge-core products (that aren't in russian) and maybe somebody here who speaks english can help me - we have a medium sized network (about 1000 customes) in a vlan - it's mixed vdsl,coax and fibre. we experience problems with the voip of our fibre customes. the fibre customers' cpe is directly connected to an edge-core 3528m-sfp. the problems are unidirectional ...

... traffic of tcp/udp (and thus sip/rtp) from our backbone to the customer (but on the way back it leaves the cpe but does not go through the edge-core) this problem persists for about half an hour. the interesting thing is icmp is still forwarded in both directions (aka pings work)

it does not happen periodically and with different firmware versions

and even with a "dumb"-port (without any security settings configured - like mac count etc.)

does anybody here have an idea what might be happening? (the logs in the switch show nothing)

we used edge-core switches (3528M/3526XAv2)

alamar, on copper switches 3528M we runned sip to customers without any problems

do you use stp protocol on switches? Topology of your network use loop with spanning-tree?

yes spanning tree is active

we also ran sip just fine until a few weeks ago (but nothing apparent changed - no work was done on infrastructure)

the only thing that changed is that the number of customers steadily increases

sip traffic forwarded in same vlan with data?

Do you use QoS ar other prioritezation of sip traffic?

check CPU util in peak activity of customers and errors in port statistic.

if you don't really use stp = disable it on 3528.

_4ePTeHok: it is planned to move the voip stuff into another vlan - but at the moment the initial design was very bad (and only the new parts of the network are already designed in a more appropriate way) qos is used with policy maps

policy maps in 3528?

port statistic? do you mean show interfaces status?

sh int counters

ah counters yes

yes policymaps - let me confirm - just a second

if in network exist flood hardware, in err counters you will see it, and cpu util will be high, check them.

yes policymaps are used

may be..try disable policy maps, we don't use them

_4ePTeHok: I will do that in work tomorrow - I have only access to the testequipment right now (at home it's 11 in the evening)

:)

policymaps are used as the voip traffic runs within the same vlan (so downloads wont disrupt telephony)

thank you for your advices - I will check and see if we can disable spanning tree on the access switches

if I have further questions (or if we can resolve the problem) I will come back to haunt / thank you ;)

and good news...in NOC get_interfaces.py now for EdgeCore are current commited)