nocproject.org
06:18
лови
06:19
поговорить с ним решил ?
06:19
тут столько уже было сказано, а он пропустил
06:19
не хочу чтобы он еще больше пропускал
08:42
привет
08:42
по умолчанию, при новой установке какой логин пароль на вход в NOC?
08:43
admin admin кажется
08:44
Dionys: А зачем куча VRF ? Честно говоря, у меня несколько десятков внутренних сетей, и мне ни разу VRF не понадобился
08:52
о еще одна живая жертва..
08:53
db.noc.alarms.active.remove(); еще работает или уже как-то по другому можно закрыть все одним махом ?
08:53
Dmitry1: ты в курсе ?
08:53
[11:41] teroni: после заведения Managed Objects что нужно перезапустить - чтобы СРАЗУ заработал сислог и дискавери?
08:54
Не знаю. Раньше оно само работало. Кроме того, у меня FreeBSD, а там всего один скрипт запускающий.
08:56
Я не использую discovery, так как оно не работает нормально на D-Link'ах
08:56
перезапустить громкое слово. оно само работает но через 1-15 минут.
08:56
в шедулере я не могу найти задачу которая отвечает за обновление списка МО на активаторе (или что-то подобное)
08:58
там не только дискавери, но и сислог...
08:58
Вот-вот. Ждем перевода шедулера на ExtJS
08:59
Dmitry1: зря так категорично - пусть не всё сразу и идеально, но работает.... а так, если совсем не пользоваться - кто баги будет ловить?
09:00
Я, собственно, занимаюсь NOC рази CM и FM.
09:00
Если CM хоть как-то работает, то FM - страх и ужас
09:00
Идея состоит в том, чтобы frontend FM отдать хомячкам
09:01
ну не идеально, да... но всё же легче, когда хоть полсети отдискаверится, чем всё вручную забивать
09:01
А для этого нужно анализировать причины аварии и т.п. А у нас, кроме root-cause ничего нету
09:01
шедулера на ExtJS - это как? шедулер внутренняя функция НОКа
09:02
а насчёт fm соглашусть - сколько раз пытался приучить техподдержку - не идёт процесс, один я смотрю туда
09:02
но девайсы же всеравно руками вбиваете??
09:02
я имел в виду линки дискаверить
09:02
teroni: Main -> Setup -> Scheduler. Сейчас статика. А на ExtJS можно жобавить интерактивность
09:03
lexus-omsk: Я уже год прошу Володина сделать дискавери BGP пиров
09:03
Руками принципиально не хочу вбивать
09:04
Отмазывается, что типа не отдискаверятся префиксы и VRF
09:05
к стати про линки...
09:05
какнить можно их заставить соедениться не точка-точка, а один интерфейс к нескольким девайсам и там один интерфейс.
09:05
то есть получается типа звезда
09:05
teroni: discovery не работает
09:06
в теории это заложено (где-то в дебрях нока видел), но по факту да - пока только точка-точка вроде
09:06
нашел он у меня линки и соединил
09:06
И толку в нех линках? Нафига они мне нужны?
09:06
а то у меня тунелинг меж цисками настроен методо звездец :-)
09:07
ну не знаю щас девайсов накидаю и увижу есть толк или нет
09:07
Я тебе пример приведу. В IPAM нифига из отдискаверенного не попадает
09:08
teroni: ну хотя бы схемки рисовать будет автоматом, правда там красоту руками наводить придётся
09:09
ип с интерфейса попадает но не привязывается к МО
09:09
но я пируль настроил оно потом бегает и привязывается
09:09
Схемки я и в PAINT могу нарисовать
09:09
Dmitry1: Меня собственно этот вопрос тоже мучает. :) По невнятным объяснениям чудо-строителей: дабы отделить сети (CCTV, СКД, Рабочие станции...), чтоб не перегружать таблицу МАКов на свитчах и еще кучка совсем невразумит
09:09
ельных объяснений. :)
09:09
Dionys: А про VLAN эти строители слышели?
09:10
Dmitry1: По факту похоже чтобы смотрелось круче и чтоб их "спецы" научились работать с vrf. :)
09:10
teroni: Надо, чтобы твой пируль был штатным средством NOC
09:10
Dmitry1: это типа да..
09:10
Dionys: Второе вернее. А там еще MPLS нету?
09:12
teroni: Появится Володин - накапай ему. И вообще, народ, если кто живет в Москве, спонсируйте хоть его пивом :)
09:12
:-)
09:12
где на главной странице ссылка на яндекс. деньги и мейл.деньги??
09:13
Dmitry1: А VLANы у нас тоже есть, причем VLANами это все чудо в добавок разбито на коммутационные, ядро, серверные части коммутационных, серверные части ядра и еще кучу мелких непонятных подсетей. :)
09:14
Dionys: Руки поотрывать таким проектировщикам. Почему не сделать одну большую сеть /16, а потом спомощью ACL разграничивать доступ?
09:15
Обслуживать будет в тысячу раз проще.
09:15
В крайнем случае - побить сеть на десяток VLAN
09:22
Да мы им задавали подобные вопросы, только никто из этих "чудесных" проектировщиков внятно объяснить это так и не смогли. Все делали вид типа "чего вам недоразвитым объяснять простейшие вещи идите поиграйтесь и не
09:22
мешайте взрослым дядям работать". :)
09:31
Наверное дяди из столицы? Я таким не доверяю. С умным лицом несут полнейшую чушь, потому как их начальство нифига в этом не понимает.
09:32
У нас одно предприятие заказало таким дядям из столицы провести презентацию дресс-кода. Так эти придурки сперли где-то слайды, показали их, и получили 20 штук зелени
09:34
При этом рассказывали, что женщина должна ходить в юбке, чулках и на каблуках. Когда я поинтересовался, как она в таком виде будет передвигаться в шахте или в карьере, никто не смог дать ответа.
09:35
очень просто - на антигравитационном коврике
09:35
Коврики нынче дорогие, финансовый закупку не одобрит. :)
09:36
А еще одна фирма из столицы поставила чудо-систему обработки данных, вся база которой хранится на виндовой машине. И раз в месяц, ближе к отчетному периоду, эта база летит ко всем чертям, и ее потом дня два восстанавливают
09:37
ну может это фирма мелкая, и айти у нее непрофильные
09:38
Так нефиг браться если непрофильное.
09:38
Как раз профильное. Только там на двух инженеров - десять менеджеров.
09:38
ну это правильно
09:38
на одного работающего надо минимум пять руководителей
09:39
И менеджеры рассказывают заказчику, как все оно будет замечательно работать, сами нифига не понимая в этом. А потом бедные инженеры пытаются воплотить их задумку.
09:40
- В этом смысл, в этом наша стратегия ! - Еще немного и я сойду с ума. - А я уже сошол, у меня глаз дергается (С)ДМБ
09:42
По поводу винды у нас с ними отдельный разговор был. Эти.. нехорошие люди, на блейды установили винду, на эту винду ставят какую-нибудь систему, потом поднимают на это винде еще две виртуалки в HyperV и впихивают туда
09:42
еще две винды с двумя системами. На вопрос как быть если первая винда зависнет и нужно будет передернуть ее не трогая остальные две системы, уже год чешут макушки. :)
09:43
И ведь никто им не мешал поставить ESXi на блейд. :)
09:43
Я вообще не понимаю смысл в этих виртуалках.
09:44
я как раз esxi и поставил, 5.0. правда ворованный
09:44
нужна еще одна машина - ставишь машину
09:45
ufir: Он же бесплатный. O_o
09:45
нужен еще один роутер - ставишь роутер
09:45
без всяких vmware и VRF
09:47
Расскажите мне, в чем прелесть виртуализации?
09:47
Если дохнет хост машина, то дохнут и все виртуалки на ней.
09:48
Dmitry1: Ты просто не представляешь сколько различных систем и серверов работает в аэропорту, если под каждый сервер ставить отдельное железо, то датацентр выростет до необъятных размеров.
09:48
Dionys: Все системы на винде?
09:48
Нет. К счастью не все. :)
09:49
Я вовремя успел перехватить инициативу.
09:49
На FreeBSD есть Jail+capsium. На Linux - что то подобное (названия не помню)
09:50
на linux есть много чего.
09:50
плюс виртуализации (с общей датасторой) что ты даже не знаешь что где работает :-)
09:51
Плюс у нас в хранилище хранятся суточные образы виртуалок, которые в случае чего я могу за минуты поднять на любом другом хосте с ESXi.
09:51
Dionys: Люди не слышали ничего про снэпшоты файловых систем?
09:51
xen + drbd + corosync/pacemaker - полёт норальный
09:52
esxi+vsphere+HA - полет нормальный
09:52
FreeBSD+ZFS - полет нормальный
09:52
везет когда нет винды.. :-)
09:52
Dmitry1: и как у тебя с HA?
09:53
Поподробнее. Слишком расплывчатое определение
09:53
teroni: винда есть, но внутри
09:53
у нока нет хай авалабилити
09:54
evyscr: я про Dmitry1 -- ему везет
09:54
в ксене есть винда
09:54
Что такое "хай авалабилити" ?
09:54
Dmitry1 ну вкратце - сдыхает хост/виртуалка на хосте, и сразу же поднимается на другом гипервизоре
09:54
Dmitry1, клевость виртуалки в том что можно реализовать логику одина задача как минимум один сервер
09:54
обычно не подымается а работает паралельно
09:54
у меня так и сделано - под каждую задачу своя виртуалка
09:55
Параллельно работают. Через SLB
09:55
надо тебе клиенту сделать mrtg его портов - на пожалуйста
09:55
две под зоновые днс, две под кэширующие, и т.п.
09:55
Потому как от сервака зачастую требуется 100% его ресурсов
09:55
Слышали про снэпшоты, но имхо виртуалки удобнее и быстрее. Я не привязываюсь ни к какому железу и запустить сервер в случае отказа хоста это как нажать кнопочку питания на другом сервере.
09:55
не надо довать доступ в большой и боевой. надо дать только к его портам.
09:56
Dmitry1: обычно серваки утилизируются на 20-50%
09:56
teroni, это ты хорошо еще говоришь
09:56
Dionys: Во FreeBSD пока виртуализация хромает. Поэтому использую то, что есть
09:56
Dmitry1, у меня на фряхе с полсотни джайлов было
09:57
как раз именно для один сервак одна задача
09:57
У меня в основном сеть и диск
09:57
Dmitry1: Так дело то как раз не в операционке. ESXi ставится на саму железку, а все остальное поднимается уже из под него.
09:57
Тупо не хватает пропускной способности сети или диска
09:58
у esxi есть одна жопа, под названием HCL
09:58
значит у тя скорее всего с безопасностью "не очень"
09:58
Dionys: А ESXi умеет уменьшать нагрузку по прерываниям на сетевухи ?
09:59
Dmitry1, натить надо не на фре.
09:59
У меня специфика работы такая, что любая лишняя программная прослойка только тормозит
10:00
freee: Полторы тысячи шифрованных туннелей, с шейпингом и аккаунтингом - это штатный режим работы
10:01
а чегонить из железного?
10:01
120к абонентов на 9 юнитов.
10:01
И стоит оно 120килобаксов :(
10:02
без плат.
10:02
с платами больше.
10:02
:)
10:03
ты зачем то взялся сравнивать роутер с сервером.
10:03
Мы в свое время присматривали Cisco 7200-NPE-G2. Она сливает компу с фряхой на борту.
10:03
ясен перец
10:03
7200 это же совтовый роутер
10:03
Хотя стоит раз в десять дороже.
10:04
За те же деньги я куплю несколько серваков, поставлю на них фрю, и не буду знать горя.
10:05
до определенного момента
10:05
И, если выйдет из строя один из серваков, то я просто поменяю его на другой, а если выйдет из строя железка за 120k, то останется только вешаться
10:06
думаю 480 джуник вывезет столько же если не больше. хотя надо смотреть на задачу.
10:06
ну по идее надо дежать железку в запасе :-)
10:06
teroni, в горячем.
10:06
в 50% загрузке
10:06
если по идее - то надо держать и шасси, и супервизоры/линейные карты в запасе
10:07
Расскажи, как можно за $1000 поиметь в запасе джуник?
10:07
хм. думаю такое можно сделать с микротиком
10:07
к примеру
10:07
опять же надо смотреть на задачу.
10:08
сколько надо микротиков на 1.5к тунелей?
10:09
ну попробовать бы стоило
10:09
по диапазону стоимости годиться
10:10
10:10
У них для млажших моделей роутеров внутри таблички с PPS приводились
10:10
у меня микротик и vrf-ы держал. у тунели. так что за его $ годно
10:10
10:10
Внизу табличка
10:12
какая то печальная табличка
10:12
12 гигабит ? я правильно понимаю ?
10:12
На 64 байтных пакетах при 25 IP filter rules выдает 2051.3 Mbps
10:12
Dmitry1, ты где такие пакеты то возьмешь ?
10:13
Для сравнения - FreeBSD
10:13
%netstat -w 1 -h
10:13
input (Total) output
10:13
packets errs idrops bytes packets errs bytes colls
10:13
178k 0 0 112M 200k 0 164M 0
10:13
174k 0 0 106M 196k 0 160M 0
10:13
средний размер пакетов 861 байт днем.
10:14
и 25 правил ?
10:15
господа сколько у кого правил на клиента ?
10:15
Dmitry1, у тя сколько ?
10:15
1-3 ?
10:16
где-то так
10:17
плюс шейпинг
10:17
ну это косом делается обычно
10:19
значит можно ожидать 12-13 гигабит трафика на железяку.
10:19
функционально надо тестить Qos у них ежели на wirespeed вполне годная замена фряхе для оператора
10:20
опять же ты про шифрование заикнулся.
10:20
pptp ?
10:55
и что бы клиенты не настраивали много слишком с шиврованием ?
11:05
Доброго времени суток!
11:06
Выложил обновлённые профили для некоторого оборудования:
11:07
HP 1910, 3Com 29XX BaseLine Plus, H3C 5XXX в ноке пока нет но можновзять с
NOC-853
11:08
11:10
Dmitry1: можешь добавить
NOC-950 и закрыть баг.
11:11
Посмотрю. тушенка там есть?
11:11
Тушонку завтра потушем.
11:12
11:14
guest-ru, как вам елтексы ?
11:15
Все профили имеют кроме CLI поддержку SNMP. Например get_mac_address_table, get_switchport, get_portchannel а в профиле HP.1905 даже get_interfaces написаны полностью на SNMP!
11:16
Ну мне Элтекс лучше DLink, linksys, HP
11:17
Последнее время беру только гигабитные Eltex MES-2124
11:18
Я вот о чём, SNMP оно практически "одинаково" у всех производителей и соответственно его можно почти без доработок копипастить с одного профила в другой!!!
11:19
Мне всё лучше DLink :)
11:19
Да Элтексы выпускают в Сибири и они довольно греются.. но пока не горят и грозы хорошо держат.
11:25
да элтексы с новосиба.
11:25
а как вам отечественное ТОПАЗ ?)
11:25
кто нить уже успел заценить
11:25
и чо то я про них много слышу не отрицательный отзывов
11:27
Я с отечественного, нормального, знаю только Арлан и Eltex, а топаз не слыхал, дайте ссылку.
11:27
арлан этоже вроде евреи ?
11:28
Неее Башкирцы, Уфа. 100% Россия.
11:28
круть
11:28
у нас тут под боком есть коммутаторы морион
11:28
раньше военку делали теперь коммуаторы
11:28
ггг
11:29
не могу ничего про них сказать
11:54
Ценник на Морион КАМ-4500-26Т кто-то знает? Элтекс MES-2124 (28 Гб портов) примерно 13т.р. стоит.
11:56
мне бы ваши проблемы, я все на цисках сижу
11:58
нам бы твои проблемы. я еле от еджкоров избавился
12:01
Недавно поменяли в старой сети неуправляемые свитчи на циски - начальство "ой, а что это у нас так сеть хорошо работать стала?" :)
12:03
Это после того как начальство год не хотело оплачивать нам новые свитчи, типа и так же все работает.
12:03
это всегда так.
12:04
ну работает у меня один сервак без второго блока питания и чё. все ок. а сервак дхцп для всей области на айпитиви канает
12:04
вот как сгорит нах. будем жить на одном
12:15
тут не про телнет речь
12:16
например, у последних коммутаторов доступа d-link есть такие фичи, как loopdetect, bpdu_protection, storm control, traffic_segmentation, dos prevension, arp spoofing prevension, cable diagnostic, ethernet oam и cfm
12:17
Ну может топаз на доступ и хорош, мне он не подходит, надо все 1Гб порты.
12:17
А, еще duld (аналог udld), DDM (аналог DOM), lldp, stp
12:19
Плюс куча аппаратных ACL, CPU ACL, CPU Safeguard Engine, HOL prevention
12:19
У Элтекс тоже всё это есть, а cable diagnostic, DDM даже уже в скриптах нока.
12:19
У элтекс есть loopdetect через CTP ?
12:23
Как через СТП, там стандартно как везде:
12:23
loopback-detection enable
12:23
Оно точно через CTP, а не через STP работает?
12:24
loopback-detection interval 111
12:24
interface gi1/0\1
12:25
loopback-detection enable
12:25
и всё
12:25
Как бы на цисках CTP включается, когда интерфейсу делаешь keepalive
12:25
на цисках keepalive включен поумолчанию везде
12:25
и многие о нем просто не догадываются
12:26
фишка в том что на цисках он отличается от длинков
12:26
есть такое :)
12:26
Как так отличается? Стандарт то один на всех?
12:26
Пакеты с Ethertype 0x9000
12:26
длинк сорсом ставит мак себя, а назначением, какой-то специальный, а циска и сорс и назначение ставит себя
12:27
Не помню уже. Когда-то разбирал эти пакетики, но давно уже.
12:29
может и стандарт, но в таком вопросе им можно и пренебречь, этот пакет уходит с порта и возвращается на него и железка которая его послала и должна совершить действие в ответ на получение этого пакета, а следовательно понимать что это за пакет должна
12:29
только эта железка, главное чтобы пакет был валидным и другие железки его пропустили
12:30
вот кстати нюанс, я представить не могу как поведет себя стандартный свич если получит фрейм с одинаковым маком
12:31
Да у Элтекса есть такое, но в документации ни CTP ни keepalive не нашол.
12:32
У меня хитрое кольцо с вланов было давным давно, все длинки молчали как партизаны, а элтекс слал какуюто фигню, которая в этом кольце собиралась и досила всех :)
12:38
Да, да луп детекшен на длинках был включон! Я пару недель монтажников пинал что кольцо есть, а они по крышам лазили и ничего не находили, кричали что это Элтекс меня обманывает. Но потом нашли, и сразу Элтекс перестал матерится и сеть заработала.
12:43
Может он через BPDU диагностировал петлю? На d-link надо включить bpdu protection
13:04
подключение к комут-рам проходит с учетом всех версий прошивок и самых последних??
13:05
у одного huawei в сети может быть железо с различными прошивками, а там уже отличия в командах конфига
13:06
int21h1, в скриптах есть костыли но не у всех и не для всего
13:07
int21h1, тут хуавеев ни у кого нет, так что профиль не развит, можешь приложить усилия, а заодно и для ФМ сислоги и трапы нераспознаваемые порепортить
13:08
для кармы полезно
13:09
int21h1: Ага. С написанием скриптов поможем.
13:09
типичный пример длинки, где на каждой модели железки свой набор команд в консоли, чтобы не плодить профили, обошлись костылями
13:10
И все равно там рамплодилось профилей, потому как разные модели делают на разных микрухах
13:10
Тсссс.....
13:11
e_zombie1: тут проблема в том, что как только получается более-менее рабочий профиль, тут же попадается железка, которая на этом профиле не работает. И кроме того, нужно даже пепеписывать тушенку.
13:12
ну производители железа те ещё гомосеки. особливо в азии
13:12
Собственнно говоря, нужен человек, у которого есть хотя бы с десяток разных моделей "Светлого пути". И чтобы он сам рисовал и тестировал скрипты для них
13:13
Как я в свое время занимался с D-Link'ами, пока не получился профиль, раьотающий на 99% железках
13:13
с рисованием да - херова.
13:14
e_zombie1: Это только на первый взгляд сложно
13:14
у меня из светлого два типа домовых и один брасс
13:14
а. ну и ещё дсламов 3 типа
13:14
да это то понятно .
13:14
Объединись с int21h1, и нарисуете профиль
13:14
так у меня тут вообще "в мире животных" каких тока веноров нет...а нужно чтоб процедуры подключения, настройки работали универсально)сами определяли девайс и для соот-го юзали понятные для него команды
13:15
int21h1: NOC как раз для этого и писался. Попробуй сделать на коленке пару профилей. Хотя бы только с get_version
13:17
int21h1: Помощь окажем. Тут каждый уже пытался что-то писать на python для NOC
13:18
нок он такой, пока не начнешь писать для него на питоне, пользоваться невозможно
13:21
ну у меня допустим все железо через телнет конект, что не оч удобно если честно..на сока я понимаю, при таком раскладе насока я понимаю тока райт и гет объекта скрин юзается...,??? это нужно парсить скрин на наличие "знакомых слов" и соот-нно действовать?
13:21
я пока тока начинаю разбираться и поэтому могу ошибаться
13:21
оооу(
13:21
Ничего сложного нету
13:22
int21h1, могу предложить хак, юзай snmp
13:22
под него писать проще
13:22
чтоб его юзать надо его врубить)
13:22
Берешь более-менее полный профиль, и меняешь в нем регулярные выражения
13:22
не запрещаю, врубай
13:22
а у мя в сетке тыщ 3 девайсов)
13:23
int21h1: По секрету скажу - zi_rus сторонник SNMP, а я его противник
13:23
ноком и врубишь :)
13:23
потому что я пользуюсь железками которые не враги снмп
13:23
хочу напрямую с осью девайся "общаться"
13:23
а он наоборот
13:25
int21h1, не лучший выбор. ты хочешь получить какое-то значение, по снмп ты просто его запрашиваешь и получаешь число, по консоли тебе вываливает кучу говна и ты пытаешься в нем что-то найти, это не практично
13:25
int21h1: Смотри профили DLink.DxS, Cisco.IOS, Eltex.MES дял примера
13:25
у снмп минус только в том что вендоры криво его реализуют, некоторые значения например невозможно достать
13:26
у мну Д-линк, Huawei, cisco, SNR
13:26
int21h1, ты ФМ пользуешься?
13:26
zi_rus: И не только. Бывает от версии к версии вообще ветки SNMP меняют
13:26
Dmitry1, это не проблема снмп, это проблема рукожопости прошивкописателей
13:27
13:28
фолт менеджмент
13:28
алярмы
13:28
крутая удобная штука
13:29
я уверен что в 99.999% сетей она есть, только у всех разная
13:29
я говорю про NOC FM
13:31
int21h1, просто при твоем зоопарке ты золотой человек для пополнения ФМ в ноке новыми сообщениями
Share this page
Share this page: