nocproject.org
05:17
вчера случайно вспомнил что в мире существует такая вещь как Netflow, и хочется сказать что когда уйдет в работу Performance management, то Netflow collector/analyzer
05:17
не стоит обходить стороной
05:29
а смысл?
05:29
коллекторы нетфлоу в биллинге стоят
05:30
у нас вообще нетфлоу льётся зеркально в биллинг и в flow-capture, которое аккуратно складывает всё в файлы
05:30
анализировать на предмет нештаток...
05:30
видимо
05:35
ну да, я не предлагаю встравать биллинг
05:36
а вот развнести на графике ipv4 и v6 или unicast и multicast было бы интересно
05:39
снмп для этого не годится
05:41
dvolodin, а ты что думаешь про netflow?
05:41
наверное что-то нецензурное :)
05:42
а зачем что то думать про netflow ? он как бы мертв уже. нет ?
05:43
ну и чего что жив. а есть железо которе сделает 1:1 ?
05:44
хорошее сэмплирование
05:44
последнее железо которое я видел в лучшем случае дает 1:1000
05:44
на 10M любое железо сделает 1:! :)
05:44
а смысл в 1:1? оно позиционируется не для учета же, а для статистики. А там и выборки, благо тут числа в пакетах получаются ну совсем не маленькие
05:45
ну да, juniper больше 1:1000 не рекомендует
05:45
а для статистики на предмет нещтатных трафиков нужен DPI :)
05:45
хотя, при наличии SCU/DCU и mac accounting'а flow как-то совсем не нужен
05:46
freeseacher, noc - dpi, ну ты понимаешь :)
05:46
DPI - маркетологная ересь
05:46
на что ты намекаешь?
05:46
давайте я угадаю, zi_rus не хочет банить весь гугель по новому закону Ж)
05:46
нет
05:47
чем ему поможет Netflow в вопросе бана гугеля?
05:47
dvolodin, за нас аплинк забанил, мы вообще не паримся
05:47
mikevlz|2, это он про dpi
05:48
если в NOC когда и будет dpi, то только для SIGTRAN
05:49
а чем так сильно поможет dpi? вот есть у нас SCE8k - все печально. Домен забанить можно, даже по wildcard, а вот по параметрам запроса нифига
05:49
тока если сливать на внешний сервер
05:49
трафик домена, где его обрабатывать
05:50
mikevlz|2: а это самый простой и самый правильный способ
05:51
но делается относительно несложно безо всяких SCE
05:51
достаточно, чтобы VRF'ы на сети работали
05:51
ну да
05:51
да и без этого тоже можно...
05:51
в идеале - нужен еще multi-topology routing
05:52
одна топология фильтрованая, другая - нет
05:52
хм. банилку можно сделать и без Vrf и по урлам
05:53
в фильтрованную анонсишь зеброй префиксы, которые надо перехватить и выруливаешь их на сквид
05:53
скидывать http на определенные ip в сторону сквида, Nginx или еще чего кеширующего тоже можно route-map-ом
05:53
там фильтруешь, и либо отдаешь в нефильтрованную топологию, либо выдаешь страницу блокировки
05:53
route-map'ом ты не скинешь
05:54
с тачилы с проксей анонсишь адреса по ospf по /32. там проксируешь на nginx/squid если урл не соответствует пропускаешь. если соответствует банишь
05:54
и их надо прописывать везде на выходе
05:54
а так -- анонсишь на рефлектор, что перехватить надо
05:54
на 10гигибит внешки такое решние будет на пентиум 133 работать
05:54
freeseacher: не надо OSPF
05:54
:)
05:54
BGP
05:55
точнее iBGP
05:55
да ну, так сильно проще
05:55
цепляешь зебру за рефлекторы - и аносируй /32 с перебитым next-hop
05:56
тот же BIRD в режиме route-server'а
05:56
чтобы себе эту дребедень в таблицу не писал
05:56
а рядом -- любой фильтр
05:56
хоть сквид, хоть DPI самописный
05:57
а NOC подрядить качать педеральный список депутатских ресурсов и кормить птичку и DPI
05:58
если пошаманить с линуксами, то, думаю, и десятку на лету профильтровать можно
06:00
а вместо страницы блокировки показывать клиентам прямую трансляцию заседаний госдумы
06:00
не вместо, а на странице :)
06:02
dvolodin, ну так что скажешь, может поделишься своими задумками по поводу PM, если снимать счетчики только по snmp - это не круто
06:03
zi_rus: pm пофиг, каким образом были получены счетчики
06:03
он, например, процессы NOC'а умеет мониторить
06:04
пофиг - я согласен, а какие варианты их получения ты видишь?
06:04
потому что по snmp ты увидишь только количество пакетов, а более интересная инфа пройдет мимо
06:04
snmp, cli, tl1
06:04
json
06:05
точнее - формат получения - json
06:05
а из чего он получился - без разницы
06:05
это ты так пошутил? через кли дергать счетчики по портам тучи железок?
06:05
zi_rus: некоторые счетчики можно отпарсить только через кли
06:06
ну или разные счетчики с f5
06:06
моя POpen Probe в блогах тому пример
06:06
некоторые показатели свич-фабрик у железяк тоже по snmp не дернешь
06:07
и есть полно железок, у которых нет SNMP
06:07
всякие оптические приемники для ТВ
06:08
ладно, уговорили, но я считаю, что про кли надо говорить в исключительном случае
06:08
зря считаешь
06:08
опять же -- это без разницы совсем
06:09
кли - нагрузка на железку и на нок, это очень тяжело, снмп легче и в разработке и в работе
06:09
смотря что снимать и смотря какая железка
06:10
и железка ли вообще
06:11
если комп - то проще net-snmp настроить
06:12
кстати, о счетчиках
06:12
dvolodin: Дмитрий, ты вчера проигнорировал мой вопрос...
06:12
наверное я как-то непонятно его задал
06:13
суть проблемы - Ubiquiti UniFi имеет глюк, при котором вешается контроллер вафли. Есть два сислог-сообщения, которые косвенно свидетельствуют об этом
06:14
но надо проверять по-хорошему. Проверку можно произвести с консоли точки командой stainfo -a
06:14
эта команда начинает непрерывно в цикле выводить состояние всех клиентов
06:15
прерывается по Ctrl+C
06:15
Я сделал vendor-specific event class, повесил на него триггер, который ломится на точку и ребутит ее.
06:15
тут вопросов нет.
06:16
просто эта необходимость проверки, а действительно ли зависла точка - всплыл буквально вчера.
06:17
Вопрос таков: можно ли в скрипте commands как-то отправить команду и через некоторое время ctrl+c, если при этом консоль не возвращается?
06:18
чую, ща у dvolodin-а будет какой-нить connection reset by peer или ping timeout =)
06:18
как сделать что бы после добавления в ноке зон днс автоматически все отслылалось в бинд9?
06:19
denix3: настроить синхронизацию
06:20
<mikevlz|2, а как настраивать синхронизацию?
06:22
на сервере с NOC выполнить ./scripts/clone-sync /tmp/noc-sync
06:22
после этого каталог /tmp/noc-sync перетащить на сервер с bind, разместить там, поковырять конфиги. Пример конфига есть в логах IRC этого канала :)
06:23
добиться запуска синка, после этого в профиле ДНС-сервера указать имя канала синхронизации
06:23
там доустановить придется буквально пару вещей питоновских
06:23
на сервер с биндом
06:24
у меня нок и бинд на одном сервере, а что за пара вещей?:)
06:24
если это один сервер - доустанавилвать не придется ничего
06:25
просто тогда написать конфиг для Noc-sync, запустить его демоном
06:25
а как найти пример конфигов в логах канала?
06:26
а есть пример рабочий fm ignore rules ?
06:27
06:27
там точно есть
06:31
ufir: есть
06:32
ufir: имя правила любое, галка Active стоит, LEFT RE: ^message$
06:32
Right RE: SSHD-5-VERBOSE: SSHD: child
06:32
этим я фильтрую лишний мусор от SSHD на SmartEdge 600
06:33
понял, спасибо
06:34
а пустая вкладка setup->zone profiles - это только у меня вылазит ?
06:34
логи жабаскрипта у браузера смотреть надо
06:36
вот у меня DNS->Zones пустую страницу выдает
06:37
это да, печаль
06:39
Defining NOC.dns.dnszoneprofile.Model
06:39
ext-all.js (строка 21)
06:39
06:39
404 Not Found 10ms ext-all.js (строка 15)
06:39
<html><title>404: Not Found</title><body>404: Not Found</body></html>
06:39
mikevlz|2 у меня пустую вкладку
06:39
причем их открыть можно немеряно
06:40
а что значит "подкладываешь конфиг ему
06:40
[dns/zone/ch2]№ ?
06:40
Defining NOC.core.Lookup ext-all.js (строка 22) TypeError: c is not a constructor
06:41
а что значит "подкладываешь конфиг ему [dns/zone/ch2]"?
06:42
ufir: хз, давно обновлял?
06:42
ufir: до чертенка докапывайся
06:42
mikevlz|2 вечером вчера, часов в 21
06:44
denix3: чуть бальше логи почитай, там будет как раз кусок конфига noc-sync
06:47
в конфиге будет три секции - основное, адрес noc-stomp, третья секция - описание канала. Начинается описание канала синхронизации с [имя канала]? в примере [dns/zone/ch2], дальше - параметры синхронизации этого канала. Такие как путь, куда сохранять, формат файл
06:47
а, что дергать после изменений
07:01
потыкали, блин XFP-шки...
07:07
нужно этот пример конфига дописать в /tmp/noc-sync/noc/scripts/noc-sync.py ?
07:07
нет
07:07
etc/noc-sync.conf
08:29
файлег забыли
08:29
счас подложу
08:33
ufir, mikevlz, r7215
08:34
по поводу sce кстати зря вы так
08:34
даже не касаясь особо dpi - вместо браса при ipoe запросто используется
08:35
тем более вышел софт с поддержкой v6
08:35
трафикоограничитель
08:35
именно так и используем
08:35
ну да
08:35
а речь там зашла именно о фильтрации, вроде
08:35
а если копать - то по url там тоже можно фильтровать
08:36
сервис создаешь с url-ами, вешаешь на них flavors
08:36
а дальше в тарифах играешься с ними как хочешь
08:36
мы правда не суетились
08:37
08:37
значение параметра заматчить нельзя
08:38
а значит можно убить весь ютуб, а отдельное видео с помощью SCE нельзя отрезать
08:39
ну это частный случай же) страничку можно убить)
08:39
епт) ты за блокировки
08:39
или за выполнение закона?)
08:39
08:40
z pf nj? xnj, bynthytn hf,jnfk
08:40
в списке чо прописано то и будешь блочить)
08:40
я за то, чтоб интернет работал
08:40
а то что это обходится - не наша забота
08:40
угу, вычислять по айпи и блочить
08:40
попробуй еще вычислять репосты видосов и заркала на вконтакте)
08:41
изначально говорилось, что муйню придумали
08:41
плохо, что некоторых инициативных депутатов нельзя приравнять к педофилам с хим кастрацией самого отличившегося и всех его наследников =/
08:42
на контентовыкладывателя надо давить было
08:42
а не на провайдеров
08:42
ладно, не плачем =)
08:42
у вас кстате же 2020?
08:42
как говорится - хуже дурака у власти, только инициативный дурак
08:42
о!
08:42
я для sce простенький профиль набросал вчера
08:42
но у меня только 2020
08:42
запули в пасту show ver?
08:43
эт надо обновиться =)
08:43
не, я в репо не выкладывал еще
08:43
просто с железки вывод
08:43
собственно кроме версии там шибко и нечего снимать
08:43
я для fm делал, чтобы трапы ловить с нее
08:46
_4ePTeHok слушай, теперь zone profiles открывается, только там пусто и 0 записей
08:47
_4ePTeHok вчера небыло и этого
08:47
я не про вчера
08:47
я про то, что если ты ничего не забивал - там и будет пусто
08:47
_4ePTeHok а как же педаль "ADD" ?
08:47
опять ./sync-perm не сделал?)
08:48
_4ePTeHok как я понял, этот скрипт сам вызывается при постапдейте
08:48
пермишшены синхронизируются при апгрейде
08:48
ну это если его делать)
08:48
я его вчера делал
08:48
раз 15
08:48
так все так и обновляются =)
08:48
просто надо еще перелогиниться, чтоб права в EXT уехали
08:48
ну я обычно смотрю сначала что там в апдейтах)
08:49
и если мелочи - то синкаю только что нужно
08:49
ооО_Оо... появилось
08:51
mikevlz, ох епт, какое оно разное то)
08:51
ну тут уже все по взрослому...
08:52
надо определиться что их этого нужно вообще. ну platform понятно, System version: Version 3.8.0 Build 741 - тоже
08:53
серийник чассиса наверно
09:02
во блин, а как его вытащить то, оно там повторяется несколько раз для карт разных
09:02
serial-num :
09:03
не, ну начало серийников у них разное, но хз у всех ли такое)
09:03
FOX*
09:12
че-то я не могу понять как работает синхронизация нока и днс
09:14
я в etc/noc-sync.conf добавил настройку которая в логах канала есть, но ничего не созается в днс
09:14
надо настроить ДНС-сервер в интерфейсе нок
09:14
там надо указать имя канала синхронизации
09:15
./noc-sync запустил?
09:15
ага, запускается без ошибок
09:16
в кофиге какаой каталог указан?
09:16
noc-sync имеет право записи в этойт каталог?*
09:16
[dns/zone/ch2]
09:16
type = bind/file
09:16
enabled = true
09:16
root = /tmp/autozones/
09:16
on_reload = echo rndc reload
09:16
on_reload_zone = echo rndc reload {{ zone }}
09:17
в интерфейсе НОК для ДНС канал синхронизации какой указал?
09:18
где sync channel поставил ch2
09:18
Autozones path: /tmp/autozones
09:18
в каталоге /tmp/autozones/ что-нить появляется?
09:19
в логах синка что-нить пишется?
09:19
нет :(
09:19
и в лога пусто
09:19
а синк должен в процесах висеть?
09:20
хм..а его нет в процессах
09:21
а нет, есть
09:23
в логах синка 2012-11-20 13:26:39,184 [<STOMPClientSocket(0x2b98cd0, 127.0.0.1:19705, )>] Connection refused
09:24
значит надо убедиться, что запущен STOMP-сервер, что он настроен
09:25
это noc-stomp.conf ?
09:39
root@noc2:/var/log# tail -f /var/log/noc/noc-stomp.log
09:39
2012-11-20 13:30:42,791 Running noc-stomp
09:39
2012-11-20 13:30:42,791 Setting up 'select' polling method
09:39
2012-11-20 13:30:42,792 Activating 'select' poller
09:39
2012-11-20 13:30:43,588 Authenticate: None/None
09:39
2012-11-20 13:30:43,590 Opening destination '/queue/sync/dns/zone/ch2/'
09:40
так и должно быть?
09:55
да, должно быть так
10:02
FOX в серийнике, признак того, что железка сделана foxconn :)
10:03
все, пойду плакать, наша 8к китайская подделка :)
10:03
foxconn делает железки для cisco давно
10:04
посмотри любой стековый кабель за 3750 :)
10:05
мы купили два стековых кабеля... Они тоньше витухи оказались. Стек не взлетел
10:05
ето подделка
10:05
они толстые и тяжеленные
10:06
спионерили по знакомству у других оригинальные кабели - там чувствуется мощь, но стек поднять не пробовали еще
10:06
значит нагибин барыжит подделками...
10:06
у меня работают два стека, уже пятый год как. выгорело правда разом 4 порта
10:07
как я понял, там один asic как раз на 4 гигабита
10:08
=)
10:09
dvolodin, а у нас в ивентклассах в subject_template, body_template /n не работают?
10:09
в fm-alarms так и выводит с /n
10:09
литерально всмысле
10:13
так и есть
10:14
в вебморде выводит \n литерально
11:02
dvolodin, дай права на профиля и fm/collection?
11:03
добавлю cisco.scos
11:05
у нас нет такого профиля :)
11:07
дык я добавлю ж
11:07
это cisco sce
11:57
профиль или правила?
11:57
a
11:57
и туда и туда?
11:58
Cisco.SCOS ?
11:59
так эта дребедень и называется?
12:00
sa/profiles/Cisco/SCOS/
12:01
Software package file:scos-v375-b412-sce2000-class ic-k9.pkg к примеру
12:01
на
12:02
только issue сделай и коммить под него
12:02
ок
12:03
с rpsl чего делать то будем? у меня peer.assets готово, только на выводе rpsl затык
12:09
rpsl мы в gridvcs положим
12:09
коммить as-set'ы
12:09
еще можно managedobjectselector пилить
12:10
т е убираем админэкшен с rpsl вообще из приложенийэтих
12:12
ну только помечай, где он был
12:12
да во всех peers почти
12:30
как-то ты тесты завалил
12:31
бамбучина отжаловалась
12:32
там 4 кавычки подряд
12:32
ci.nocproject.org смотри
12:33
правлю
12:35
блин, а оно реально в конфиге отдает кавычки
12:36
"Thu Sep 13 14:39:46 GMT+04:00 2012"
12:36
плюс сам конфиг обрамляют " " "
12:37
ладно, выпилю тест конфига
12:37
ты 4 кавычки замени на \""""
12:40
трейс там)
12:46
AssertionError: оно выдает на всем тексте конфига
12:46
в конфиге надо везьде кавычки крыть получается
13:05
mikevlz, можешь попробовать обновится и на sce версию попробовать снять
13:06
ну и конфиг
Share this page
Share this page: