nocproject.org

лови

поговорить с ним решил ?

тут столько уже было сказано, а он пропустил

не хочу чтобы он еще больше пропускал

0_0 ахуеть история

где

привет

по умолчанию, при новой установке какой логин пароль на вход в NOC?

admin admin кажется

Dionys: А зачем куча VRF ? Честно говоря, у меня несколько десятков внутренних сетей, и мне ни разу VRF не понадобился

о еще одна живая жертва..

db.noc.alarms.active.remove(); еще работает или уже как-то по другому можно закрыть все одним махом ?

Dmitry1: ты в курсе ?

[11:41] teroni: после заведения Managed Objects что нужно перезапустить - чтобы СРАЗУ заработал сислог и дискавери?

Не знаю. Раньше оно само работало. Кроме того, у меня FreeBSD, а там всего один скрипт запускающий.

Я не использую discovery, так как оно не работает нормально на D-Link'ах

перезапустить громкое слово. оно само работает но через 1-15 минут.

в шедулере я не могу найти задачу которая отвечает за обновление списка МО на активаторе (или что-то подобное)

там не только дискавери, но и сислог...

Вот-вот. Ждем перевода шедулера на ExtJS

Dmitry1: зря так категорично - пусть не всё сразу и идеально, но работает.... а так, если совсем не пользоваться - кто баги будет ловить?

Я, собственно, занимаюсь NOC рази CM и FM.

Если CM хоть как-то работает, то FM - страх и ужас

Идея состоит в том, чтобы frontend FM отдать хомячкам

ну не идеально, да... но всё же легче, когда хоть полсети отдискаверится, чем всё вручную забивать

А для этого нужно анализировать причины аварии и т.п. А у нас, кроме root-cause ничего нету

шедулера на ExtJS - это как? шедулер внутренняя функция НОКа

а насчёт fm соглашусть - сколько раз пытался приучить техподдержку - не идёт процесс, один я смотрю туда

но девайсы же всеравно руками вбиваете??

я имел в виду линки дискаверить

ааа

teroni: Main -> Setup -> Scheduler. Сейчас статика. А на ExtJS можно жобавить интерактивность

понятно

lexus-omsk: Я уже год прошу Володина сделать дискавери BGP пиров

Руками принципиально не хочу вбивать

Отмазывается, что типа не отдискаверятся префиксы и VRF

к стати про линки...

какнить можно их заставить соедениться не точка-точка, а один интерфейс к нескольким девайсам и там один интерфейс.

то есть получается типа звезда

teroni: discovery не работает

работает

в теории это заложено (где-то в дебрях нока видел), но по факту да - пока только точка-точка вроде

нашел он у меня линки и соединил

И толку в нех линках? Нафига они мне нужны?

а то у меня тунелинг меж цисками настроен методо звездец :-)

ну не знаю щас девайсов накидаю и увижу есть толк или нет

Я тебе пример приведу. В IPAM нифига из отдискаверенного не попадает

teroni: ну хотя бы схемки рисовать будет автоматом, правда там красоту руками наводить придётся

ип с интерфейса попадает но не привязывается к МО

но я пируль настроил оно потом бегает и привязывается

Схемки я и в PAINT могу нарисовать

паинт жесть

Dmitry1: Меня собственно этот вопрос тоже мучает. :) По невнятным объяснениям чудо-строителей: дабы отделить сети (CCTV, СКД, Рабочие станции...), чтоб не перегружать таблицу МАКов на свитчах и еще кучка совсем невразумит

ельных объяснений. :)

Dionys: А про VLAN эти строители слышели?

Dmitry1: По факту похоже чтобы смотрелось круче и чтоб их "спецы" научились работать с vrf. :)

teroni: Надо, чтобы твой пируль был штатным средством NOC

Dmitry1: это типа да..

Dionys: Второе вернее. А там еще MPLS нету?

teroni: Появится Володин - накапай ему. И вообще, народ, если кто живет в Москве, спонсируйте хоть его пивом :)

:-)

где на главной странице ссылка на яндекс. деньги и мейл.деньги??

Dmitry1: А VLANы у нас тоже есть, причем VLANами это все чудо в добавок разбито на коммутационные, ядро, серверные части коммутационных, серверные части ядра и еще кучу мелких непонятных подсетей. :)

Dionys: Руки поотрывать таким проектировщикам. Почему не сделать одну большую сеть /16, а потом спомощью ACL разграничивать доступ?

Обслуживать будет в тысячу раз проще.

В крайнем случае - побить сеть на десяток VLAN

Да мы им задавали подобные вопросы, только никто из этих "чудесных" проектировщиков внятно объяснить это так и не смогли. Все делали вид типа "чего вам недоразвитым объяснять простейшие вещи идите поиграйтесь и не

мешайте взрослым дядям работать". :)

Наверное дяди из столицы? Я таким не доверяю. С умным лицом несут полнейшую чушь, потому как их начальство нифига в этом не понимает.

У нас одно предприятие заказало таким дядям из столицы провести презентацию дресс-кода. Так эти придурки сперли где-то слайды, показали их, и получили 20 штук зелени

При этом рассказывали, что женщина должна ходить в юбке, чулках и на каблуках. Когда я поинтересовался, как она в таком виде будет передвигаться в шахте или в карьере, никто не смог дать ответа.

очень просто - на антигравитационном коврике

Коврики нынче дорогие, финансовый закупку не одобрит. :)

А еще одна фирма из столицы поставила чудо-систему обработки данных, вся база которой хранится на виндовой машине. И раз в месяц, ближе к отчетному периоду, эта база летит ко всем чертям, и ее потом дня два восстанавливают

ну может это фирма мелкая, и айти у нее непрофильные

Так нефиг браться если непрофильное.

Как раз профильное. Только там на двух инженеров - десять менеджеров.

ну это правильно

на одного работающего надо минимум пять руководителей

И менеджеры рассказывают заказчику, как все оно будет замечательно работать, сами нифига не понимая в этом. А потом бедные инженеры пытаются воплотить их задумку.

- В этом смысл, в этом наша стратегия ! - Еще немного и я сойду с ума. - А я уже сошол, у меня глаз дергается (С)ДМБ

По поводу винды у нас с ними отдельный разговор был. Эти.. нехорошие люди, на блейды установили винду, на эту винду ставят какую-нибудь систему, потом поднимают на это винде еще две виртуалки в HyperV и впихивают туда

еще две винды с двумя системами. На вопрос как быть если первая винда зависнет и нужно будет передернуть ее не трогая остальные две системы, уже год чешут макушки. :)

И ведь никто им не мешал поставить ESXi на блейд. :)

Я вообще не понимаю смысл в этих виртуалках.

я как раз esxi и поставил, 5.0. правда ворованный

нужна еще одна машина - ставишь машину

ufir: Он же бесплатный. O_o

нужен еще один роутер - ставишь роутер

без всяких vmware и VRF

Расскажите мне, в чем прелесть виртуализации?

Если дохнет хост машина, то дохнут и все виртуалки на ней.

Dmitry1: Ты просто не представляешь сколько различных систем и серверов работает в аэропорту, если под каждый сервер ставить отдельное железо, то датацентр выростет до необъятных размеров.

Dionys: Все системы на винде?

Нет. К счастью не все. :)

Я вовремя успел перехватить инициативу.

На FreeBSD есть Jail+capsium. На Linux - что то подобное (названия не помню)

на linux есть много чего.

плюс виртуализации (с общей датасторой) что ты даже не знаешь что где работает :-)

Плюс у нас в хранилище хранятся суточные образы виртуалок, которые в случае чего я могу за минуты поднять на любом другом хосте с ESXi.

хм

у меня тоже

Dionys: Люди не слышали ничего про снэпшоты файловых систем?

снапшоты тоже есть

xen + drbd + corosync/pacemaker - полёт норальный

esxi+vsphere+HA - полет нормальный

FreeBSD+ZFS - полет нормальный

везет когда нет винды.. :-)

Dmitry1: и как у тебя с HA?

Что такое HA ?

хай авэйлебилити

Поподробнее. Слишком расплывчатое определение

teroni: винда есть, но внутри

у нока нет хай авалабилити

у виртуалки есть

evyscr: я про Dmitry1 -- ему везет

в ксене есть винда

Что такое "хай авалабилити" ?

Dmitry1 ну вкратце - сдыхает хост/виртуалка на хосте, и сразу же поднимается на другом гипервизоре

Dmitry1, клевость виртуалки в том что можно реализовать логику одина задача как минимум один сервер

да

обычно не подымается а работает паралельно

у меня так и сделано - под каждую задачу своя виртуалка

Параллельно работают. Через SLB

надо тебе клиенту сделать mrtg его портов - на пожалуйста

две под зоновые днс, две под кэширующие, и т.п.

нет не паралельно

Потому как от сервака зачастую требуется 100% его ресурсов

Слышали про снэпшоты, но имхо виртуалки удобнее и быстрее. Я не привязываюсь ни к какому железу и запустить сервер в случае отказа хоста это как нажать кнопочку питания на другом сервере.

не надо довать доступ в большой и боевой. надо дать только к его портам.

Dmitry1: обычно серваки утилизируются на 20-50%

teroni, это ты хорошо еще говоришь

Dionys: Во FreeBSD пока виртуализация хромает. Поэтому использую то, что есть

Dmitry1, у меня на фряхе с полсотни джайлов было

как раз именно для один сервак одна задача

У меня в основном сеть и диск

Dmitry1: Так дело то как раз не в операционке. ESXi ставится на саму железку, а все остальное поднимается уже из под него.

Тупо не хватает пропускной способности сети или диска

у esxi есть одна жопа, под названием HCL

значит у тя скорее всего с безопасностью "не очень"

Dionys: А ESXi умеет уменьшать нагрузку по прерываниям на сетевухи ?

Dmitry1, натить надо не на фре.

У меня специфика работы такая, что любая лишняя программная прослойка только тормозит

freee: Полторы тысячи шифрованных туннелей, с шейпингом и аккаунтингом - это штатный режим работы

на фряхе?

да

а чегонить из железного?

120к абонентов на 9 юнитов.

И стоит оно 120килобаксов :(

без плат.

с платами больше.

:)

:)

ты зачем то взялся сравнивать роутер с сервером.

Мы в свое время присматривали Cisco 7200-NPE-G2. Она сливает компу с фряхой на борту.

ясен перец

7200 это же совтовый роутер

Хотя стоит раз в десять дороже.

За те же деньги я куплю несколько серваков, поставлю на них фрю, и не буду знать горя.

до определенного момента

И, если выйдет из строя один из серваков, то я просто поменяю его на другой, а если выйдет из строя железка за 120k, то останется только вешаться

думаю 480 джуник вывезет столько же если не больше. хотя надо смотреть на задачу.

ну по идее надо дежать железку в запасе :-)

teroni, в горячем.

в 50% загрузке

если по идее - то надо держать и шасси, и супервизоры/линейные карты в запасе

Расскажи, как можно за $1000 поиметь в запасе джуник?

:-)

Или шеститонник

хм. думаю такое можно сделать с микротиком

к примеру

опять же надо смотреть на задачу.

сколько надо микротиков на 1.5к тунелей?

teroni: http://www.mikrotik.com.ua/next.html?hard&mb&ccr1036-12g-4s

выдержит?

ну попробовать бы стоило

по диапазону стоимости годиться

http://market.yandex.ru/search.xml?text=CCR1036-12G-4S&cvredirect=2

У них для млажших моделей роутеров внутри таблички с PPS приводились

у меня микротик и vrf-ы держал. у тунели. так что за его $ годно

Ага. Нашел: http://routerboard.com/CCR1036-12G-4S

Внизу табличка

какая то печальная табличка

12 гигабит ? я правильно понимаю ?

На 64 байтных пакетах при 25 IP filter rules выдает 2051.3 Mbps

Dmitry1, ты где такие пакеты то возьмешь ?

Для сравнения - FreeBSD

%netstat -w 1 -h

input (Total) output

packets errs idrops bytes packets errs bytes colls

178k 0 0 112M 200k 0 164M 0

174k 0 0 106M 196k 0 160M 0

средний размер пакетов 861 байт днем.

и 25 правил ?

господа сколько у кого правил на клиента ?

написано, что 25

Dmitry1, у тя сколько ?

1-3 ?

где-то так

плюс шейпинг

ну это косом делается обычно

значит можно ожидать 12-13 гигабит трафика на железяку.

функционально надо тестить Qos у них ежели на wirespeed вполне годная замена фряхе для оператора

опять же ты про шифрование заикнулся.

pptp ?

pptp :(

и что бы клиенты не настраивали много слишком с шиврованием ?

да

Доброго времени суток!

Выложил обновлённые профили для некоторого оборудования:

HP 1910, 3Com 29XX BaseLine Plus, H3C 5XXX в ноке пока нет но можновзять с NOC-853

HP- 1905 обновление в NOC-950

Dmitry1: можешь добавить NOC-950 и закрыть баг.

Посмотрю. тушенка там есть?

Тушонку завтра потушем.

Eltex MES много изменений в NOC-1022

guest-ru, как вам елтексы ?

Все профили имеют кроме CLI поддержку SNMP. Например get_mac_address_table, get_switchport, get_portchannel а в профиле HP.1905 даже get_interfaces написаны полностью на SNMP!

Ну мне Элтекс лучше DLink, linksys, HP

Последнее время беру только гигабитные Eltex MES-2124

Я вот о чём, SNMP оно практически "одинаково" у всех производителей и соответственно его можно почти без доработок копипастить с одного профила в другой!!!

Мне всё лучше DLink :)

оо

Да Элтексы выпускают в Сибири и они довольно греются.. но пока не горят и грозы хорошо держат.

да элтексы с новосиба.

а как вам отечественное ТОПАЗ ?)

кто нить уже успел заценить

и чо то я про них много слышу не отрицательный отзывов

Я с отечественного, нормального, знаю только Арлан и Eltex, а топаз не слыхал, дайте ссылку.

арлан этоже вроде евреи ?

Неее Башкирцы, Уфа. 100% Россия.

круть

у нас тут под боком есть коммутаторы морион

plgn.ru

раньше военку делали теперь коммуаторы

ггг

не могу ничего про них сказать

Ценник на Морион КАМ-4500-26Т кто-то знает? Элтекс MES-2124 (28 Гб портов) примерно 13т.р. стоит.

мне бы ваши проблемы, я все на цисках сижу

нам бы твои проблемы. я еле от еджкоров избавился

Недавно поменяли в старой сети неуправляемые свитчи на циски - начальство "ой, а что это у нас так сеть хорошо работать стала?" :)

смешно да

Это после того как начальство год не хотело оплачивать нам новые свитчи, типа и так же все работает.

это всегда так.

ну работает у меня один сервак без второго блока питания и чё. все ок. а сервак дхцп для всей области на айпитиви канает

вот как сгорит нах. будем жить на одном

Нащет топазов не слыхал, но взяли на пробу http://netping.ru/catalog.aspx?id=_swtch он самый дешовый с управляемых. Очень плохие.. Даже телнета нет.

тут не про телнет речь

например, у последних коммутаторов доступа d-link есть такие фичи, как loopdetect, bpdu_protection, storm control, traffic_segmentation, dos prevension, arp spoofing prevension, cable diagnostic, ethernet oam и cfm

Ну может топаз на доступ и хорош, мне он не подходит, надо все 1Гб порты.

А, еще duld (аналог udld), DDM (аналог DOM), lldp, stp

Плюс куча аппаратных ACL, CPU ACL, CPU Safeguard Engine, HOL prevention

У Элтекс тоже всё это есть, а cable diagnostic, DDM даже уже в скриптах нока.

У элтекс есть loopdetect через CTP ?

Как через СТП, там стандартно как везде:

Не STP, а CTP

loopback-detection enable

Оно точно через CTP, а не через STP работает?

loopback-detection interval 111

interface gi1/0\1

loopback-detection enable

и всё

Как бы на цисках CTP включается, когда интерфейсу делаешь keepalive

на цисках keepalive включен поумолчанию везде

и многие о нем просто не догадываются

фишка в том что на цисках он отличается от длинков

есть такое :)

Как так отличается? Стандарт то один на всех?

Пакеты с Ethertype 0x9000

длинк сорсом ставит мак себя, а назначением, какой-то специальный, а циска и сорс и назначение ставит себя

Не помню уже. Когда-то разбирал эти пакетики, но давно уже.

может и стандарт, но в таком вопросе им можно и пренебречь, этот пакет уходит с порта и возвращается на него и железка которая его послала и должна совершить действие в ответ на получение этого пакета, а следовательно понимать что это за пакет должна

только эта железка, главное чтобы пакет был валидным и другие железки его пропустили

вот кстати нюанс, я представить не могу как поведет себя стандартный свич если получит фрейм с одинаковым маком

Да у Элтекса есть такое, но в документации ни CTP ни keepalive не нашол.

*нашёл

У меня хитрое кольцо с вланов было давным давно, все длинки молчали как партизаны, а элтекс слал какуюто фигню, которая в этом кольце собиралась и досила всех :)

:)

Да, да луп детекшен на длинках был включон! Я пару недель монтажников пинал что кольцо есть, а они по крышам лазили и ничего не находили, кричали что это Элтекс меня обманывает. Но потом нашли, и сразу Элтекс перестал матерится и сеть заработала.

Может он через BPDU диагностировал петлю? На d-link надо включить bpdu protection

подключение к комут-рам проходит с учетом всех версий прошивок и самых последних??

у одного huawei в сети может быть железо с различными прошивками, а там уже отличия в командах конфига

int21h1, в скриптах есть костыли но не у всех и не для всего

int21h1, тут хуавеев ни у кого нет, так что профиль не развит, можешь приложить усилия, а заодно и для ФМ сислоги и трапы нераспознаваемые порепортить

для кармы полезно

int21h1: Ага. С написанием скриптов поможем.

типичный пример длинки, где на каждой модели железки свой набор команд в консоли, чтобы не плодить профили, обошлись костылями

И все равно там рамплодилось профилей, потому как разные модели делают на разных микрухах

кто сказал хуавеи?

Тсссс.....

e_zombie1: тут проблема в том, что как только получается более-менее рабочий профиль, тут же попадается железка, которая на этом профиле не работает. И кроме того, нужно даже пепеписывать тушенку.

ну производители железа те ещё гомосеки. особливо в азии

Собственнно говоря, нужен человек, у которого есть хотя бы с десяток разных моделей "Светлого пути". И чтобы он сам рисовал и тестировал скрипты для них

Как я в свое время занимался с D-Link'ами, пока не получился профиль, раьотающий на 99% железках

с рисованием да - херова.

e_zombie1: Это только на первый взгляд сложно

у меня из светлого два типа домовых и один брасс

а. ну и ещё дсламов 3 типа

да это то понятно .

Объединись с int21h1, и нарисуете профиль

так у меня тут вообще "в мире животных" каких тока веноров нет...а нужно чтоб процедуры подключения, настройки работали универсально)сами определяли девайс и для соот-го юзали понятные для него команды

int21h1: NOC как раз для этого и писался. Попробуй сделать на коленке пару профилей. Хотя бы только с get_version

int21h1: Помощь окажем. Тут каждый уже пытался что-то писать на python для NOC

нок он такой, пока не начнешь писать для него на питоне, пользоваться невозможно

да

ну у меня допустим все железо через телнет конект, что не оч удобно если честно..на сока я понимаю, при таком раскладе насока я понимаю тока райт и гет объекта скрин юзается...,??? это нужно парсить скрин на наличие "знакомых слов" и соот-нно действовать?

да

я пока тока начинаю разбираться и поэтому могу ошибаться

оооу(

Ничего сложного нету

int21h1, могу предложить хак, юзай snmp

под него писать проще

чтоб его юзать надо его врубить)

Берешь более-менее полный профиль, и меняешь в нем регулярные выражения

не запрещаю, врубай

а у мя в сетке тыщ 3 девайсов)

int21h1: По секрету скажу - zi_rus сторонник SNMP, а я его противник

ноком и врубишь :)

потому что я пользуюсь железками которые не враги снмп

хочу напрямую с осью девайся "общаться"

а он наоборот

int21h1, не лучший выбор. ты хочешь получить какое-то значение, по снмп ты просто его запрашиваешь и получаешь число, по консоли тебе вываливает кучу говна и ты пытаешься в нем что-то найти, это не практично

int21h1: Смотри профили DLink.DxS, Cisco.IOS, Eltex.MES дял примера

у снмп минус только в том что вендоры криво его реализуют, некоторые значения например невозможно достать

у мну Д-линк, Huawei, cisco, SNR

int21h1, ты ФМ пользуешься?

zi_rus: И не только. Бывает от версии к версии вообще ветки SNMP меняют

Dmitry1, это не проблема снмп, это проблема рукожопости прошивкописателей

ФМ?

ФМ

дешифруй

http://kb.nocproject.org/download/attachments/9371699/fm-screen.PNG?api=v2

фолт менеджмент

алярмы

крутая удобная штука

я уверен что в 99.999% сетей она есть, только у всех разная

я говорю про NOC FM

int21h1, просто при твоем зоопарке ты золотой человек для пополнения ФМ в ноке новыми сообщениями

ага