About Forum Blogs NOC Docs Downloads KB Issues Code CI Registration

nocproject.org

#nocproject.org at irc.freenode.net log.
Back to nocproject.org Back to IRC log index
Date: 20.11.2012
zi_rus #
05:17
вчера случайно вспомнил что в мире существует такая вещь как Netflow, и хочется сказать что когда уйдет в работу Performance management, то Netflow collector/analyzer
05:17
не стоит обходить стороной
Unbeerable #
05:29
а смысл?
05:29
коллекторы нетфлоу в биллинге стоят
05:30
у нас вообще нетфлоу льётся зеркально в биллинг и в flow-capture, которое аккуратно складывает всё в файлы
mikevlz|2 #
05:30
анализировать на предмет нештаток...
05:30
видимо
zi_rus #
05:35
ну да, я не предлагаю встравать биллинг
05:36
а вот развнести на графике ipv4 и v6 или unicast и multicast было бы интересно
05:39
снмп для этого не годится
05:41
dvolodin, а ты что думаешь про netflow?
mikevlz|2 #
05:41
наверное что-то нецензурное :)
freeseacher #
05:42
а зачем что то думать про netflow ? он как бы мертв уже. нет ?
dvolodin #
05:43
sampled вполне жив
freeseacher #
05:43
ну и чего что жив. а есть железо которе сделает 1:1 ?
mikevlz|2 #
05:44
хорошее сэмплирование
freeseacher #
05:44
последнее железо которое я видел в лучшем случае дает 1:1000
dvolodin #
05:44
на 10M любое железо сделает 1:! :)
mikevlz|2 #
05:44
а смысл в 1:1? оно позиционируется не для учета же, а для статистики. А там и выборки, благо тут числа в пакетах получаются ну совсем не маленькие
dvolodin #
05:45
ну да, juniper больше 1:1000 не рекомендует
freeseacher #
05:45
а для статистики на предмет нещтатных трафиков нужен DPI :)
dvolodin #
05:45
хотя, при наличии SCU/DCU и mac accounting'а flow как-то совсем не нужен
zi_rus #
05:46
freeseacher, noc - dpi, ну ты понимаешь :)
dvolodin #
05:46
DPI - маркетологная ересь
freeseacher #
05:46
эм?
zi_rus #
05:46
на что ты намекаешь?
dvolodin #
05:46
давайте я угадаю, zi_rus не хочет банить весь гугель по новому закону Ж)
mikevlz|2 #
05:46
нет
05:47
чем ему поможет Netflow в вопросе бана гугеля?
zi_rus #
05:47
dvolodin, за нас аплинк забанил, мы вообще не паримся
05:47
mikevlz|2, это он про dpi
dvolodin #
05:48
если в NOC когда и будет dpi, то только для SIGTRAN
mikevlz|2 #
05:49
а чем так сильно поможет dpi? вот есть у нас SCE8k - все печально. Домен забанить можно, даже по wildcard, а вот по параметрам запроса нифига
05:49
тока если сливать на внешний сервер
05:49
трафик домена, где его обрабатывать
dvolodin #
05:50
mikevlz|2: а это самый простой и самый правильный способ
05:51
но делается относительно несложно безо всяких SCE
05:51
достаточно, чтобы VRF'ы на сети работали
mikevlz|2 #
05:51
ну да
05:51
да и без этого тоже можно...
dvolodin #
05:51
в идеале - нужен еще multi-topology routing
05:52
одна топология фильтрованая, другая - нет
freeseacher #
05:52
хм. банилку можно сделать и без Vrf и по урлам
dvolodin #
05:53
в фильтрованную анонсишь зеброй префиксы, которые надо перехватить и выруливаешь их на сквид
mikevlz|2 #
05:53
скидывать http на определенные ip в сторону сквида, Nginx или еще чего кеширующего тоже можно route-map-ом
dvolodin #
05:53
там фильтруешь, и либо отдаешь в нефильтрованную топологию, либо выдаешь страницу блокировки
05:53
route-map'ом ты не скинешь
freeseacher #
05:54
с тачилы с проксей анонсишь адреса по ospf по /32. там проксируешь на nginx/squid если урл не соответствует пропускаешь. если соответствует банишь
dvolodin #
05:54
и их надо прописывать везде на выходе
05:54
а так -- анонсишь на рефлектор, что перехватить надо
freeseacher #
05:54
на 10гигибит внешки такое решние будет на пентиум 133 работать
dvolodin #
05:54
freeseacher: не надо OSPF
05:54
:)
05:54
BGP
05:55
точнее iBGP
freeseacher #
05:55
ой да пофиг
dvolodin #
05:55
да ну, так сильно проще
freeseacher #
05:55
главное динамика
dvolodin #
05:55
цепляешь зебру за рефлекторы - и аносируй /32 с перебитым next-hop
freeseacher #
05:55
ога ога
dvolodin #
05:56
тот же BIRD в режиме route-server'а
05:56
чтобы себе эту дребедень в таблицу не писал
05:56
а рядом -- любой фильтр
05:56
хоть сквид, хоть DPI самописный
05:57
а NOC подрядить качать педеральный список депутатских ресурсов и кормить птичку и DPI
05:58
если пошаманить с линуксами, то, думаю, и десятку на лету профильтровать можно
06:00
а вместо страницы блокировки показывать клиентам прямую трансляцию заседаний госдумы
freeseacher #
06:00
не вместо, а на странице :)
dvolodin #
06:00
ну да
zi_rus #
06:02
dvolodin, ну так что скажешь, может поделишься своими задумками по поводу PM, если снимать счетчики только по snmp - это не круто
dvolodin #
06:03
zi_rus: pm пофиг, каким образом были получены счетчики
06:03
он, например, процессы NOC'а умеет мониторить
zi_rus #
06:04
пофиг - я согласен, а какие варианты их получения ты видишь?
06:04
потому что по snmp ты увидишь только количество пакетов, а более интересная инфа пройдет мимо
dvolodin #
06:04
snmp, cli, tl1
06:04
json
06:05
точнее - формат получения - json
06:05
а из чего он получился - без разницы
zi_rus #
06:05
это ты так пошутил? через кли дергать счетчики по портам тучи железок?
dvolodin #
06:05
PS, например
mikevlz|2 #
06:05
zi_rus: некоторые счетчики можно отпарсить только через кли
dvolodin #
06:06
ну или разные счетчики с f5
mikevlz|2 #
06:06
моя POpen Probe в блогах тому пример
06:06
некоторые показатели свич-фабрик у железяк тоже по snmp не дернешь
dvolodin #
06:07
и есть полно железок, у которых нет SNMP
06:07
всякие оптические приемники для ТВ
zi_rus #
06:08
ладно, уговорили, но я считаю, что про кли надо говорить в исключительном случае
dvolodin #
06:08
зря считаешь
06:08
опять же -- это без разницы совсем
zi_rus #
06:09
кли - нагрузка на железку и на нок, это очень тяжело, снмп легче и в разработке и в работе
dvolodin #
06:09
смотря что снимать и смотря какая железка
06:10
и железка ли вообще
mikevlz|2 #
06:11
если комп - то проще net-snmp настроить
06:12
кстати, о счетчиках
06:12
dvolodin: Дмитрий, ты вчера проигнорировал мой вопрос...
06:12
наверное я как-то непонятно его задал
06:13
суть проблемы - Ubiquiti UniFi имеет глюк, при котором вешается контроллер вафли. Есть два сислог-сообщения, которые косвенно свидетельствуют об этом
06:14
но надо проверять по-хорошему. Проверку можно произвести с консоли точки командой stainfo -a
06:14
эта команда начинает непрерывно в цикле выводить состояние всех клиентов
06:15
прерывается по Ctrl+C
06:15
Я сделал vendor-specific event class, повесил на него триггер, который ломится на точку и ребутит ее.
06:15
тут вопросов нет.
06:16
просто эта необходимость проверки, а действительно ли зависла точка - всплыл буквально вчера.
06:17
Вопрос таков: можно ли в скрипте commands как-то отправить команду и через некоторое время ctrl+c, если при этом консоль не возвращается?
06:18
чую, ща у dvolodin-а будет какой-нить connection reset by peer или ping timeout =)
denix3 #
06:18
как сделать что бы после добавления в ноке зон днс автоматически все отслылалось в бинд9?
mikevlz|2 #
06:19
denix3: настроить синхронизацию
denix3 #
06:20
<mikevlz|2, а как настраивать синхронизацию?
mikevlz|2 #
06:22
на сервере с NOC выполнить ./scripts/clone-sync /tmp/noc-sync
06:22
после этого каталог /tmp/noc-sync перетащить на сервер с bind, разместить там, поковырять конфиги. Пример конфига есть в логах IRC этого канала :)
denix3 #
06:23
оке, сенкс
mikevlz|2 #
06:23
добиться запуска синка, после этого в профиле ДНС-сервера указать имя канала синхронизации
06:23
там доустановить придется буквально пару вещей питоновских
06:23
на сервер с биндом
denix3 #
06:24
у меня нок и бинд на одном сервере, а что за пара вещей?:)
mikevlz|2 #
06:24
если это один сервер - доустанавилвать не придется ничего
06:25
просто тогда написать конфиг для Noc-sync, запустить его демоном
denix3 #
06:25
а как найти пример конфигов в логах канала?
ufir #
06:26
а есть пример рабочий fm ignore rules ?
mikevlz|2 #
06:27
denix3: http://static.nocproject.org/irclog/2012.10.12.html
06:27
там точно есть
denix3 #
06:27
ога
mikevlz|2 #
06:31
ufir: есть
06:32
ufir: имя правила любое, галка Active стоит, LEFT RE: ^message$
06:32
Right RE: SSHD-5-VERBOSE: SSHD: child
06:32
этим я фильтрую лишний мусор от SSHD на SmartEdge 600
ufir #
06:33
понял, спасибо
06:34
а пустая вкладка setup->zone profiles - это только у меня вылазит ?
mikevlz|2 #
06:34
логи жабаскрипта у браузера смотреть надо
06:36
вот у меня DNS->Zones пустую страницу выдает
06:37
это да, печаль
ufir #
06:39
Defining NOC.dns.dnszoneprofile.Model
06:39
ext-all.js (строка 21)
06:39
GET https://77.40.0.12/dns/dnsserver/js/M2MField.js?_dc=1353396535279
06:39
404 Not Found 10ms ext-all.js (строка 15)
06:39
<html><title>404: Not Found</title><body>404: Not Found</body></html>
06:39
mikevlz|2 у меня пустую вкладку
06:39
причем их открыть можно немеряно
denix3 #
06:40
а что значит "подкладываешь конфиг ему
06:40
[dns/zone/ch2]№ ?
ufir #
06:40
Defining NOC.core.Lookup ext-all.js (строка 22) TypeError: c is not a constructor
denix3 #
06:41
а что значит "подкладываешь конфиг ему [dns/zone/ch2]"?
mikevlz|2 #
06:42
ufir: хз, давно обновлял?
06:42
ufir: до чертенка докапывайся
ufir #
06:42
mikevlz|2 вечером вчера, часов в 21
mikevlz|2 #
06:44
denix3: чуть бальше логи почитай, там будет как раз кусок конфига noc-sync
06:47
в конфиге будет три секции - основное, адрес noc-stomp, третья секция - описание канала. Начинается описание канала синхронизации с [имя канала]? в примере [dns/zone/ch2], дальше - параметры синхронизации этого канала. Такие как путь, куда сохранять, формат файл
06:47
а, что дергать после изменений
mikevlz #
07:01
потыкали, блин XFP-шки...
denix3 #
07:07
нужно этот пример конфига дописать в /tmp/noc-sync/noc/scripts/noc-sync.py ?
mikevlz #
07:07
нет
07:07
etc/noc-sync.conf
_4ePTeHok #
08:29
агу..
mikevlz #
08:29
...уга
_4ePTeHok #
08:29
файлег забыли
08:29
счас подложу
08:33
ufir, mikevlz, r7215
mikevlz #
08:33
мне пока пофигу
_4ePTeHok #
08:34
по поводу sce кстати зря вы так
08:34
даже не касаясь особо dpi - вместо браса при ipoe запросто используется
08:35
тем более вышел софт с поддержкой v6
mikevlz #
08:35
трафикоограничитель
08:35
именно так и используем
_4ePTeHok #
08:35
шейпер
mikevlz #
08:35
ну да
08:35
а речь там зашла именно о фильтрации, вроде
_4ePTeHok #
08:35
а если копать - то по url там тоже можно фильтровать
08:36
сервис создаешь с url-ами, вешаешь на них flavors
08:36
а дальше в тарифах играешься с ними как хочешь
08:36
мы правда не суетились
mikevlz #
08:37
http://youtube.com/watch?v=SDGSETTGEDFVSA234534DXFSD - пример URL. SCE в нем может заматчить хост(youtube.com), страничку(/watch), имя параметра(v).
08:37
значение параметра заматчить нельзя
08:38
а значит можно убить весь ютуб, а отдельное видео с помощью SCE нельзя отрезать
_4ePTeHok #
08:39
ну это частный случай же) страничку можно убить)
mikevlz #
08:39
и то же самое видео будет доступно по другому URL: http://youtu.be/SDGSETTGEDFVSA234534DXFSD или еше как-нить
_4ePTeHok #
08:39
епт) ты за блокировки
08:39
или за выполнение закона?)
mikevlz #
08:39
угу... страничку http://youtube.com/watch
08:40
z pf nj? xnj, bynthytn hf,jnfk
_4ePTeHok #
08:40
в списке чо прописано то и будешь блочить)
mikevlz #
08:40
я за то, чтоб интернет работал
_4ePTeHok #
08:40
а то что это обходится - не наша забота
mikevlz #
08:40
угу, вычислять по айпи и блочить
_4ePTeHok #
08:40
попробуй еще вычислять репосты видосов и заркала на вконтакте)
08:41
изначально говорилось, что муйню придумали
mikevlz #
08:41
плохо, что некоторых инициативных депутатов нельзя приравнять к педофилам с хим кастрацией самого отличившегося и всех его наследников =/
_4ePTeHok #
08:42
на контентовыкладывателя надо давить было
08:42
а не на провайдеров
mikevlz #
08:42
ладно, не плачем =)
_4ePTeHok #
08:42
у вас кстате же 2020?
ufir #
08:42
как говорится - хуже дурака у власти, только инициативный дурак
mikevlz #
08:42
у нас SCE8k
_4ePTeHok #
08:42
о!
08:42
я для sce простенький профиль набросал вчера
08:42
но у меня только 2020
08:42
запули в пасту show ver?
mikevlz #
08:43
эт надо обновиться =)
_4ePTeHok #
08:43
не, я в репо не выкладывал еще
08:43
просто с железки вывод
08:43
собственно кроме версии там шибко и нечего снимать
08:43
я для fm делал, чтобы трапы ловить с нее
ufir #
08:46
_4ePTeHok слушай, теперь zone profiles открывается, только там пусто и 0 записей
_4ePTeHok #
08:46
а было ли?)
mikevlz #
08:47
http://pastebin.com/c00FrKNB
ufir #
08:47
_4ePTeHok вчера небыло и этого
_4ePTeHok #
08:47
я не про вчера
08:47
я про то, что если ты ничего не забивал - там и будет пусто
ufir #
08:47
_4ePTeHok а как же педаль "ADD" ?
mikevlz #
08:47
перелогинься
_4ePTeHok #
08:47
опять ./sync-perm не сделал?)
ufir #
08:47
понял
_4ePTeHok #
08:48
./noc *
ufir #
08:48
_4ePTeHok как я понял, этот скрипт сам вызывается при постапдейте
mikevlz #
08:48
пермишшены синхронизируются при апгрейде
_4ePTeHok #
08:48
ну это если его делать)
ufir #
08:48
я его вчера делал
08:48
раз 15
mikevlz #
08:48
так все так и обновляются =)
_4ePTeHok #
08:48
)))
mikevlz #
08:48
просто надо еще перелогиниться, чтоб права в EXT уехали
_4ePTeHok #
08:48
ну я обычно смотрю сначала что там в апдейтах)
08:49
и если мелочи - то синкаю только что нужно
ufir #
08:49
ооО_Оо... появилось
_4ePTeHok #
08:51
mikevlz, ох епт, какое оно разное то)
mikevlz #
08:51
ну тут уже все по взрослому...
_4ePTeHok #
08:52
надо определиться что их этого нужно вообще. ну platform понятно, System version: Version 3.8.0 Build 741 - тоже
08:53
серийник чассиса наверно
09:02
во блин, а как его вытащить то, оно там повторяется несколько раз для карт разных
mikevlz #
09:02
=)
_4ePTeHok #
09:02
serial-num :
09:03
не, ну начало серийников у них разное, но хз у всех ли такое)
09:03
FOX*
denix3 #
09:12
че-то я не могу понять как работает синхронизация нока и днс
09:14
я в etc/noc-sync.conf добавил настройку которая в логах канала есть, но ничего не созается в днс
mikevlz #
09:14
надо настроить ДНС-сервер в интерфейсе нок
09:14
там надо указать имя канала синхронизации
denix3 #
09:15
уже настроил
mikevlz #
09:15
./noc-sync запустил?
denix3 #
09:15
ага, запускается без ошибок
mikevlz #
09:16
в кофиге какаой каталог указан?
09:16
noc-sync имеет право записи в этойт каталог?*
denix3 #
09:16
[dns/zone/ch2]
09:16
type = bind/file
09:16
enabled = true
09:16
root = /tmp/autozones/
09:16
on_reload = echo rndc reload
09:16
on_reload_zone = echo rndc reload {{ zone }}
mikevlz #
09:17
в интерфейсе НОК для ДНС канал синхронизации какой указал?
denix3 #
09:18
где sync channel поставил ch2
09:18
Autozones path: /tmp/autozones
mikevlz #
09:18
в каталоге /tmp/autozones/ что-нить появляется?
09:19
в логах синка что-нить пишется?
denix3 #
09:19
нет :(
09:19
и в лога пусто
09:19
а синк должен в процесах висеть?
mikevlz #
09:19
должен
denix3 #
09:20
хм..а его нет в процессах
09:21
а нет, есть
09:23
в логах синка 2012-11-20 13:26:39,184 [<STOMPClientSocket(0x2b98cd0, 127.0.0.1:19705, )>] Connection refused
mikevlz #
09:24
значит надо убедиться, что запущен STOMP-сервер, что он настроен
denix3 #
09:25
это noc-stomp.conf ?
mikevlz #
09:27
угу
denix3 #
09:39
root@noc2:/var/log# tail -f /var/log/noc/noc-stomp.log
09:39
2012-11-20 13:30:42,791 Running noc-stomp
09:39
2012-11-20 13:30:42,791 Setting up 'select' polling method
09:39
2012-11-20 13:30:42,792 Activating 'select' poller
09:39
2012-11-20 13:30:43,588 Authenticate: None/None
09:39
2012-11-20 13:30:43,590 Opening destination '/queue/sync/dns/zone/ch2/'
09:40
так и должно быть?
ufir #
09:47
ну у меня кактотак
mikevlz #
09:55
да, должно быть так
dvolodin #
10:02
FOX в серийнике, признак того, что железка сделана foxconn :)
mikevlz #
10:03
все, пойду плакать, наша 8к китайская подделка :)
dvolodin #
10:03
foxconn делает железки для cisco давно
10:04
посмотри любой стековый кабель за 3750 :)
mikevlz #
10:05
мы купили два стековых кабеля... Они тоньше витухи оказались. Стек не взлетел
ufir #
10:05
ето подделка
10:05
они толстые и тяжеленные
mikevlz #
10:06
спионерили по знакомству у других оригинальные кабели - там чувствуется мощь, но стек поднять не пробовали еще
10:06
значит нагибин барыжит подделками...
ufir #
10:06
у меня работают два стека, уже пятый год как. выгорело правда разом 4 порта
10:07
как я понял, там один asic как раз на 4 гигабита
_4ePTeHok #
10:08
=)
10:09
dvolodin, а у нас в ивентклассах в subject_template, body_template /n не работают?
10:09
в fm-alarms так и выводит с /n
10:09
литерально всмысле
dvolodin #
10:13
\\n
_4ePTeHok #
10:13
так и есть
10:14
в вебморде выводит \n литерально
dvolodin #
10:23
\n попробуй
_4ePTeHok #
11:02
dvolodin, дай права на профиля и fm/collection?
11:03
добавлю cisco.scos
dvolodin #
11:05
у нас нет такого профиля :)
_4ePTeHok #
11:07
дык я добавлю ж
11:07
это cisco sce
dvolodin #
11:57
профиль или правила?
11:57
a
11:57
и туда и туда?
_4ePTeHok #
11:57
да
dvolodin #
11:58
Cisco.SCOS ?
11:59
так эта дребедень и называется?
_4ePTeHok #
12:00
sa/profiles/Cisco/SCOS/
12:01
Software package file:scos-v375-b412-sce2000-class ic-k9.pkg к примеру
dvolodin #
12:01
на
12:02
только issue сделай и коммить под него
_4ePTeHok #
12:02
ок
12:03
с rpsl чего делать то будем? у меня peer.assets готово, только на выводе rpsl затык
dvolodin #
12:09
rpsl мы в gridvcs положим
12:09
коммить as-set'ы
12:09
еще можно managedobjectselector пилить
_4ePTeHok #
12:10
т е убираем админэкшен с rpsl вообще из приложенийэтих
dvolodin #
12:12
ну только помечай, где он был
_4ePTeHok #
12:12
да во всех peers почти
dvolodin #
12:30
как-то ты тесты завалил
_4ePTeHok #
12:30
эм
dvolodin #
12:31
бамбучина отжаловалась
12:32
там 4 кавычки подряд
12:32
ci.nocproject.org смотри
_4ePTeHok #
12:33
правлю
12:35
блин, а оно реально в конфиге отдает кавычки
12:36
"Thu Sep 13 14:39:46 GMT+04:00 2012"
12:36
плюс сам конфиг обрамляют " " "
12:37
ладно, выпилю тест конфига
dvolodin #
12:37
ты 4 кавычки замени на \""""
_4ePTeHok #
12:40
трейс там)
12:46
AssertionError: оно выдает на всем тексте конфига
12:46
в конфиге надо везьде кавычки крыть получается
13:05
mikevlz, можешь попробовать обновится и на sce версию попробовать снять
13:06
ну и конфиг
Tweet
Share this page
Share this page: Tweet