nocproject.org
06:02
nickname_man, бд мигрировать в любом случае
06:02
само обновление в нем и заключается по сути - ибо код весь новый тебе меркуриал вытянет
06:02
есть еще вариант экспорта-импорта, но там местами формат менялся
06:03
в общем совсем простого способа наверно нет)
06:30
Всем привет
06:31
Подскажите как сделать что бы нок выгружал только fdb таблицу без маков физических портов
06:44
куда выгружал
06:45
Dmitry1, ты тут?
06:47
Когда я выполняю с веб морды get_interfaces запрос отваливается с ошибкой 20, скорей всего по таймауту
06:47
попробуй дебаг запустить, посмотри сколько он выполняется
06:48
Если выполняю с консоли, скрипт выполняется примерно 5 минут и выгружает всю подноготную, но больше всего времени уходит на выгрузку вот этой херни
http://pastebin.com/k5a9eCWz
06:49
У меня на свиче почти 600 виланов и почти 17к маков
06:49
ну да, скрипт такой. а зачем он маки дергает? get_interfaces н едолжен наверное
06:51
посмотри в скрипте что там куда
06:51
/opt/noc/sa/profiles/...
07:01
Щас гляну
07:03
В get_interfaces есть выполнение скрипта fdb = self.scripts.get_mac_address_table()
07:04
Вот почему он дергает мак таблицу
07:04
ns lfkmit cvjnhb
07:04
ты дальше смотри
07:04
зачем он его дергает
07:05
затем, чтобы привязать MAC адрес к IP интерфейсу
07:05
Для тестов только что выполнил скрипт get_interfaces на свиче force10 там все отлично, только интерфейсы дернул
07:05
<Dmitry1> как с этим бороться?
07:06
что за свич?
07:06
что за прошивка ?
07:08
dgs3420-52T
07:09
Firmware Version Build 1.70.B011
07:11
07:13
father: попробуй в скриптах подобавлять таймауты
07:14
мне кажется это не решение
07:15
на моих длинках есть команда
07:15
#show fdb static
07:15
07:18
Мне кажется легче всего найти и решить проблему такого большого количества маков
07:19
проблема в том что он дергает все, вообще все маки
07:20
это неправильно для таких целей
07:20
Тогда получается есть 2 проблемы
07:21
1. Откуда у меня в свиче почти 17к маков, когда производитель заявляет что максимум влезает 16к.
07:21
2. Какого черта нок дергает то что не должен дергать
07:22
нок дергает потому что скрипт так написали
07:22
переписать и будет дергать по-другому
07:25
буквально вчера читал статью на хабре про то как админ с 30-ти летним стажем переквалифицировался в питонщика.
07:25
И автор был не рад
07:39
чето не заметил ыв статье что иму не понравилось )
07:40
сорри за текст - торопился
07:43
То к чему я стремился, я конечно получил, хотя и радовался этому не долго, — чувство «У меня получилось, я стал программистом» прогорело очень быстро, примерно за неделю, и на смену ему пришли:
07:43
Трудовые будни с дикой нагрузкой. С институтских времен я так не напрягал свой мозг. Как следствие, плохой сон, размышления о коде в свободное время, когда, например, нужно отдыхать с семьей, да и общее плохое самочувствие, хотя сейчас уж
07:44
Кстати решал проблему с большим количеством маков в fdb
07:54
Нет, чуть-чуть мистики и все готово
07:55
Между длинком и форсом есть перемычка 20g, длинк показывал что с форса приходит 6к маков в вилане 1256
07:55
А форс говорит что у меня в это вилане 17 маков
07:55
Взял потушил вилан на форсе, очистил таблицу на длинке
07:55
Включил вилан на форсе
07:55
Работает))
07:55
Щас 6к маков)
08:00
подскажите как увеличить таймаут выполнения скрипта?
08:00
Я этот сайт давно искал, хотел показать нашим кодерам
08:52
Ребят а как карту нарисовать в ноке?
09:01
карту которую
09:01
их две в ноке
09:01
гис и нетворк мэп
09:10
Хотелосб ман по 2 картам
09:11
Для начала можно начать хотя бы с нетворк мап
09:19
Dmitry1, ты тут? можем правила для фм поделать?
09:20
я здесь, но немного занят
09:20
печально
09:21
я хотел серьезно поговорить
09:21
я тут много правил накидал
09:21
и есть еще ивента по которым надо обсудить
09:24
09:24
можешь закоммитить?
09:25
я все поправил
09:25
новые connection type в начале и сама модель в последнем комменте
09:25
father, делаешь селектор на тот охват что должен быть в карте, потом этот селектор в inv-setup-network maps указываешь
09:26
если нок отдискаверил линки - в самом inv-network map при выборе карты - будут устройства с линками и портами
09:27
zi_home, попозже
09:37
<_4ePTeHok> как сделать селектор? Можно пожалуйста по подробней?
09:40
в каждом блоке(модуле) нока в меню есть раздел сетап
09:40
все настройки там
09:41
селектор относится к объектам - значит настройка в sa-setup-object selectors
09:42
Уже нашел) Спасибо) А нок умеет сам линки находить или нужно только ручками ему указывать линки?
09:44
link discovery для этого есть
09:44
надо включить методы поиска в профилях объетов
09:44
ну и чтобы на железках было включены протоколы по которым определяется линк
09:45
stp/lldp/cdp/oam/udld и т д
09:47
Протоколы я не использу, потому что у меня для ip unnumbered cisco стоит, которая подключается в d-link, который подключается в force10
09:47
Этакий зоопарк)
09:51
без протоколов нок может только в потолок потыкать, пытаясь определить линки
09:58
С network map разобрался
09:58
А как теперь быть с gis картой
10:02
лять
10:02
дока нужна
10:05
Dmitry1, ты же у нас следишь за freebsd. мне надо трафик покрасить с помощью ipfw. судя по гуглу только в 10 версии появилась эта фича. это точно?
10:05
у меня 9,2
10:05
и даже 8,3
10:05
обновляться как-то не хочется
10:06
а то придется на роутере красить
10:14
сходи в руснет на #freebsd
10:14
там тебе точно скажут
10:14
далеко идти
10:14
но направление я понял :)
10:15
ну хошь, сам спрошу
10:16
если не сложно
10:16
я чатах не особо
10:16
в этот зашел только спросить как нок устанавливать
10:16
b nen gjytckfcm Ж)
10:16
и тут понеслась :)
10:18
zi_home,
10:19
<Melifaro> и может в 10
10:19
[13:19:12] <Melifaro> я не помню уже, когда мержил
10:19
[13:20:23] <Melifaro> HaLVeR: в 10.0 есть
10:19
[13:20:29] <Melifaro> в 9 только в stable
10:19
ммм
10:19
надежда проявляется
10:19
будем копать
10:20
видишь чо нок делает)
10:20
социализирует
10:20
))
10:21
9тка очередная почти вылупилась..
10:21
)
10:22
ну да, я заметил когда копал, у меня 9,2 на паре серверов и на одном 8,4
10:22
хотел dhcp покрасить
10:23
матчить порты в класс мапе на циске мне показалось дикостью
10:23
вон для ssh dscp можно прям в настройках клиента указать
10:24
меня последнеее время вштырило кошерный qos на сети таки развернуть, вот и кручусь
10:33
злодеи вы, со своим куосом
10:34
надо просто пропускную поддерживать с запасом)
10:38
запас есть
10:38
но всякое бывает
10:38
пару раз из-за косяков забивались каналы
10:40
собственно потому что запасы везде нормальные, никто с qos и не парился, но лучше все же сделать, особенно когда через мое ядро и iptv ходит и мобила с голосом и интернетами, и обычная шпд'а
10:55
что значит покрасить?
10:57
налепить биты quos
10:58
qos*
10:58
set ToS/DSCP/Precedence
11:19
с ipfw отправляешь пакеты в netgraph, а там цепляешь ng_patch и редактируешь заголовок пакета как хочешь
11:21
ипать
11:21
записал. воспользуюсь от безысходности
11:39
подскажите плиз как мне event превратить в alarm??? Event class я создал, работает все нормально.... Как мне создать alarm class с таким же сообщением как в event class???? Поясню по другому..... хочу чтобы сообщение, которое сейчас появляется в events писалось в alarms
11:43
схема нмного другая
11:43
ивент - это событие что присылает железка(точнее нок генерирует из сообщения железки по правилас ивент-класса)
11:44
алярм - это авария, исходными данными для которой служит ивент
11:45
т е вся цепочка такова - трап от железки - > classification rule > event > alarm
11:48
в веб морде не все параметры ивент-класса выводятся
11:48
смотри по кнопке json
12:20
Dmitry1, не освободился?
12:20
пока нет
12:20
пишу сравнительную характеристику свичей
12:20
d-link, foxgate и edgecore
12:21
выкидывай длинки, пиши эжди круче всех
12:21
Dmitry1: а фоксгейты каких моделей?
12:21
s62xx
12:23
zi_home: По таблице не получается
12:24
вот поэтому я и говорю что не может заниматься развитием человек оторванный от эксплуатации
12:24
вендоры пишут всякую херню в характеристиках, а потом половина лжи всплывает
12:24
В частности, ES3528MV2 и ES3510MA не имеют защиту портов от перенапряжения, не умеют Dying Gasp и т.п.
12:25
Диагностика кабеля у них с отключением порта
12:25
100M SFP туда хрен засунешь
12:26
ну по фоксгейтам S6224-S2 не очень хорошее впечатление отсалось
12:26
нет такой функции, как DHCP Screening
12:26
у фоксгейтов тоже свои недостатки есть
12:27
нету time-based acl, нету per-flow bandwith control
12:27
time-based??? вот порно
12:27
нету защиты DLF, HOL и т.п.
12:28
перечисляет длинковские фичи и типа их нет в эджах :D
12:28
zi_home: Пример простой - запретить смотреть порнуху с 7 утра до 12 вечера
12:28
ты аксес-листом на доступе это своим абонентам делаешь?
12:29
зато в эджах и фоксгейтах человеческий cisco - like cli
12:29
у меня для вас плохие новости
12:29
кстати, а в фоксгейтах запилили луп детект?
12:30
давно уже
12:30
Но там только CTP, а не STP
12:31
эээ, а кокая прошивка нынче актуальная?
12:31
для фоксгейтов
12:31
<Dmitry1> нет такой функции, как DHCP Screening
12:31
в нормальных вендорах эта фича называется dhcp snooping
12:32
и ее не умеет только ленивый
12:33
нет
12:33
это именно оно и есть
12:33
dhcp snooping разрешает связку IP/MAC только при получении IP с DHCP сервере
12:34
а dhcp screening разрешает DHCP ответы только с определенного порта
12:34
DES-3200-52:admin#show address_binding
12:34
Command: show address_binding
12:34
Roaming state : Enabled
12:34
Trap/Log : Disabled
12:34
DHCP Snoop(IPv4) : Disabled
12:34
DHCP Snoop(IPv6) : Disabled
12:34
разрешает связку ip/mac - ip source guard
12:34
DES-3200-52:admin#show filter dhcp_server
12:34
Command: show filter dhcp_server
12:34
Enabled Ports:
12:34
Trap & Log State: Disabled
12:34
Illegal Server Log Suppress Duration:5 minutes
12:34
Permit DHCP Server/Client Table:
12:34
Server IP Address Client MAC Address Port
12:34
----------------- ------------------ --------------------
12:35
dhcp snooping именно что блокирует сервера, ну еще и до кучи заполняет базу мак/ип, но ничего не ограничивает
12:35
у d-link'а dhcp snooping - это часть IPMB - IP MAC Binding - по другому - source guard
12:36
ну и хрен ли искать длинковские заебы в чужих спеках?
12:36
это в edgecore он ничего не ограничиванет
12:36
по докам надо сравнение делать а не по табличкам
12:36
Реализация DHCP snooping на коммутаторах Edge-Core
12:36
Функция DHCP snooping позволяет коммутатору защитить сеть от нелегальных DHCP серверов или других сетевых устройств. Также, DHCP snooping используется для фильтрации пакетов, которые приходят на незащищенный порт с внешней сети.
12:37
а в d-link другое
12:38
в его address_binding я разрешаю связку на порту с zero_ip (0.0.0.0), который изначально есть у абонента
12:38
и связку ip-mac с ip, полученный по DHCP
12:38
<zi_home> лучше всего ACL
12:38
чего ацл? куда ацл?
12:39
Потому что в настройках DHCP ты прописываешь легальный DHCP а если придется сменить IP? будешь переписывать конфиги на всех свичах?
12:39
И как практика показывает dhcp snooping не корректно работает когда свичи в цепочке стоят
12:39
вот из документации d-link
12:39
father, в настрайках (нормальных) прописывается только порт откуда dhcp запрещен и откуда разрешен, вот и все
12:40
• IP-MAC-Port Binding (IMPB)
12:40
- Проверка пакетов ARP
12:40
- Проверка пакетов IP
12:40
- DHCP Snooping
12:40
дальше идет отдельными функциями
12:40
• DHCP Server Screening
12:40
• Фильтрация DHCP-клиентов
12:40
если edgecore такого не умеет - я не виноват
12:41
ну а у циски и других вендоров это разные фичи
12:41
<Dmitry1> а вот из доков того же длинка если dhcp snooping не работает как нужно
12:41
create access_profile ip udp src_port_mask 0xFFFF profile_id 1
12:41
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24 deny
12:41
dhcp snooping, arp inspection, source guard
12:41
father: src_port 67 - ха-ха
12:42
половина говнороутеров использует другой порт
12:43
это порт сервера, он не может быть другим иначе ни хрена работать не будет
12:43
<Dmitry1> ты хочешь сказать что половина роутеров наплевали на RFC 2131 и написали свое?
12:43
и что по твоему при этом происходит?
12:43
zi_home: обрати внимание, не dst_port, а src_port
12:44
я вижу
12:44
и это значит блокируется ответ от сервера
12:44
<Dmitry1> ты ошибаешся, мы в своей сети перепробовали ОГРОМНОЕ количество роутеров и все работают на 67 порту
12:44
т.е. принимает пакеты на 67-м порту, а отвечает с того, который захотела его левая пятка
12:44
чтобы ответ пошел, должен придти запрос
12:44
запрос он принимает
12:44
чтобы запрос пришел на левый порт, надо очень сильно потрахаться
12:45
в правиле выше фильтруется не запрос, а ответ.
12:45
ответ идет с того же порта что пришел запрос
12:45
А он мождет быть не с 67-го порта, как в RFC, а с того, который китайцы прописали
12:45
иначе клиент не поймет
12:45
<Dmitry1> все правильно
12:45
Закрывается 67 порт, что бы абонент не смог ответить по 67 порту
12:46
<Dmitry1> но винду китайцы не писали
12:46
zi_home: С чего это вдруг клиент не поймет? Ответ приходит клиенту на его порт, с которого он отправил запрос
12:46
67 порт выдает настройки а 68 их запрашивает
12:46
должны совпадать порты чтобы клиент мог сессию связать
12:47
По тому-же RFC запрос должен уходить с 68-го порта, на самом деле может уйти с любого
12:47
zi_home: Китайцы RFC не читают
12:48
Поэтому мы делаем так:
12:48
ладно, забей, acl это зло. снупинг нормальный должен быть и все
12:48
разрешаем dhcp запросы
12:48
<Dmitry1> даже если следовать твоей логике, как тогда установится сессия, если система работает на 67-68 портах а китайский роутер к примеру на 101-102?
12:48
разрешаем pptp сессию
12:48
блокируем все остальное
12:48
ACL+dhcdrop решают все проблемы))
12:49
Dmitry1, давай правила для ФМ поделаем
12:50
я свичами сейчас занимаюсь
13:49
Ребята, подскажите плиз! Когда алармы групируются по какому-то discriminator, то в fm--alarms время алярма это время первой аварии или последней?
16:06
dvolodin, не сильно занят? можно попросить покоммитить
18:27
ась
18:37
как discovery себя чувствует?
18:38
dvolodin, криминального ухудшения не заметил
18:38
а что значит
18:38
2014-06-12 22:39:01,307 [inv.discovery] Removing job version_inventory(222)
18:38
2014-06-12 22:39:02,313 [inv.discovery] Removing job asset_discovery(213)
18:38
2014-06-12 22:39:02,317 [inv.discovery] Removing job version_inventory(986)
18:38
отключал их в профилях?
18:38
в некоторых да
18:39
то есть ты хочешь сказать задачи создаются, потом удаляются?
18:39
это же бред
18:44
18:45
эк тебя разобрало-то
18:45
это я еще поленился 3 или 4 сделать, там где попроще и куча тех где мне с Dmitry1 надо обсуждать
18:46
dvolodin, только акуратней, в некоторых я в комментах писал актульную версию для коммита
18:47
завтра тогда посмотрю
18:47
я в риме пролетом очень удачно граппой разжился ;)
18:49
легло хорошо, но лучше коммитами не развлекаться
Share this page
Share this page: