nocproject.org

.

nickname_man, бд мигрировать в любом случае

само обновление в нем и заключается по сути - ибо код весь новый тебе меркуриал вытянет

есть еще вариант экспорта-импорта, но там местами формат менялся

в общем совсем простого способа наверно нет)

Всем привет

Подскажите как сделать что бы нок выгружал только fdb таблицу без маков физических портов

куда выгружал

Dmitry1, ты тут?

Когда я выполняю с веб морды get_interfaces запрос отваливается с ошибкой 20, скорей всего по таймауту

попробуй дебаг запустить, посмотри сколько он выполняется

Если выполняю с консоли, скрипт выполняется примерно 5 минут и выгружает всю подноготную, но больше всего времени уходит на выгрузку вот этой херни http://pastebin.com/k5a9eCWz

У меня на свиче почти 600 виланов и почти 17к маков

ну да, скрипт такой. а зачем он маки дергает? get_interfaces н едолжен наверное

Вот и я о том же

посмотри в скрипте что там куда

/opt/noc/sa/profiles/...

Щас гляну

В get_interfaces есть выполнение скрипта fdb = self.scripts.get_mac_address_table()

Вот почему он дергает мак таблицу

ns lfkmit cvjnhb

ты дальше смотри

зачем он его дергает

затем, чтобы привязать MAC адрес к IP интерфейсу

Для тестов только что выполнил скрипт get_interfaces на свиче force10 там все отлично, только интерфейсы дернул

<Dmitry1> как с этим бороться?

что за свич?

что за прошивка ?

dgs3420-52T

Firmware Version Build 1.70.B011

а как ты на нем сделал 17k маков, если в http://www.dlink.ru/ru/products/1/1472_b.html написано, что он поддерживает максимально 16k ?

father: попробуй в скриптах подобавлять таймауты

Как подправить?

мне кажется это не решение

на моих длинках есть команда

#show fdb static

http://radikal.ru/Img/ShowUploadedImg?id=a0e258f8bf7943229da23e3d250f52c2

Мне кажется легче всего найти и решить проблему такого большого количества маков

проблема в том что он дергает все, вообще все маки

это неправильно для таких целей

Тогда получается есть 2 проблемы

1. Откуда у меня в свиче почти 17к маков, когда производитель заявляет что максимум влезает 16к.

2. Какого черта нок дергает то что не должен дергать

нок дергает потому что скрипт так написали

переписать и будет дергать по-другому

Я не знаю питона

я тоже не знал

буквально вчера читал статью на хабре про то как админ с 30-ти летним стажем переквалифицировался в питонщика.

И автор был не рад

http://habrahabr.ru/post/225971/

Она самая

чето не заметил ыв статье что иму не понравилось )

сорри за текст - торопился

То к чему я стремился, я конечно получил, хотя и радовался этому не долго, — чувство «У меня получилось, я стал программистом» прогорело очень быстро, примерно за неделю, и на смену ему пришли:

Трудовые будни с дикой нагрузкой. С институтских времен я так не напрягал свой мозг. Как следствие, плохой сон, размышления о коде в свободное время, когда, например, нужно отдыхать с семьей, да и общее плохое самочувствие, хотя сейчас уж

Кстати решал проблему с большим количеством маков в fdb

перезагрузился? :)

Нет, чуть-чуть мистики и все готово

Между длинком и форсом есть перемычка 20g, длинк показывал что с форса приходит 6к маков в вилане 1256

А форс говорит что у меня в это вилане 17 маков

Взял потушил вилан на форсе, очистил таблицу на длинке

Включил вилан на форсе

Работает))

Щас 6к маков)

father, главное работает - http://developerslife.ru/10718

подскажите как увеличить таймаут выполнения скрипта?

Я этот сайт давно искал, хотел показать нашим кодерам

Ребят а как карту нарисовать в ноке?

карту которую

их две в ноке

гис и нетворк мэп

Хотелосб ман по 2 картам

Для начала можно начать хотя бы с нетворк мап

Dmitry1, ты тут? можем правила для фм поделать?

я здесь, но немного занят

печально

я хотел серьезно поговорить

я тут много правил накидал

и есть еще ивента по которым надо обсудить

_4ePTeHok, http://bt.nocproject.org/browse/INV-45

можешь закоммитить?

я все поправил

новые connection type в начале и сама модель в последнем комменте

father, делаешь селектор на тот охват что должен быть в карте, потом этот селектор в inv-setup-network maps указываешь

если нок отдискаверил линки - в самом inv-network map при выборе карты - будут устройства с линками и портами

zi_home, попозже

<_4ePTeHok> как сделать селектор? Можно пожалуйста по подробней?

в каждом блоке(модуле) нока в меню есть раздел сетап

все настройки там

селектор относится к объектам - значит настройка в sa-setup-object selectors

Уже нашел) Спасибо) А нок умеет сам линки находить или нужно только ручками ему указывать линки?

link discovery для этого есть

надо включить методы поиска в профилях объетов

ну и чтобы на железках было включены протоколы по которым определяется линк

stp/lldp/cdp/oam/udld и т д

Протоколы я не использу, потому что у меня для ip unnumbered cisco стоит, которая подключается в d-link, который подключается в force10

Этакий зоопарк)

без протоколов нок может только в потолок потыкать, пытаясь определить линки

С network map разобрался

А как теперь быть с gis картой

лять

дока нужна

Dmitry1, ты же у нас следишь за freebsd. мне надо трафик покрасить с помощью ipfw. судя по гуглу только в 10 версии появилась эта фича. это точно?

у меня 9,2

и даже 8,3

обновляться как-то не хочется

а то придется на роутере красить

красить под куос?

да

сходи в руснет на #freebsd

там тебе точно скажут

далеко идти

но направление я понял :)

ну хошь, сам спрошу

если не сложно

я чатах не особо

в этот зашел только спросить как нок устанавливать

b nen gjytckfcm Ж)

и тут понеслась :)

zi_home,

<Melifaro> и может в 10

[13:19:12] <Melifaro> я не помню уже, когда мержил

[13:20:23] <Melifaro> HaLVeR: в 10.0 есть

[13:20:29] <Melifaro> в 9 только в stable

ммм

надежда проявляется

будем копать

видишь чо нок делает)

социализирует

))

9тка очередная почти вылупилась..

)

ну да, я заметил когда копал, у меня 9,2 на паре серверов и на одном 8,4

хотел dhcp покрасить

матчить порты в класс мапе на циске мне показалось дикостью

вон для ssh dscp можно прям в настройках клиента указать

меня последнеее время вштырило кошерный qos на сети таки развернуть, вот и кручусь

злодеи вы, со своим куосом

надо просто пропускную поддерживать с запасом)

запас есть

но всякое бывает

пару раз из-за косяков забивались каналы

собственно потому что запасы везде нормальные, никто с qos и не парился, но лучше все же сделать, особенно когда через мое ядро и iptv ходит и мобила с голосом и интернетами, и обычная шпд'а

мобила это зло да

что значит покрасить?

налепить биты quos

qos*

set ToS/DSCP/Precedence

с ipfw отправляешь пакеты в netgraph, а там цепляешь ng_patch и редактируешь заголовок пакета как хочешь

ипать

записал. воспользуюсь от безысходности

только аккуратно

привет всем!

Привет

подскажите плиз как мне event превратить в alarm??? Event class я создал, работает все нормально.... Как мне создать alarm class с таким же сообщением как в event class???? Поясню по другому..... хочу чтобы сообщение, которое сейчас появляется в events писалось в alarms

схема нмного другая

ивент - это событие что присылает железка(точнее нок генерирует из сообщения железки по правилас ивент-класса)

алярм - это авария, исходными данными для которой служит ивент

т е вся цепочка такова - трап от железки - > classification rule > event > alarm

это я понял

в веб морде не все параметры ивент-класса выводятся

смотри по кнопке json

Dmitry1, не освободился?

пока нет

пишу сравнительную характеристику свичей

d-link, foxgate и edgecore

выкидывай длинки, пиши эжди круче всех

Dmitry1: а фоксгейты каких моделей?

s62xx

zi_home: По таблице не получается

вот поэтому я и говорю что не может заниматься развитием человек оторванный от эксплуатации

вендоры пишут всякую херню в характеристиках, а потом половина лжи всплывает

В частности, ES3528MV2 и ES3510MA не имеют защиту портов от перенапряжения, не умеют Dying Gasp и т.п.

Диагностика кабеля у них с отключением порта

100M SFP туда хрен засунешь

ну по фоксгейтам S6224-S2 не очень хорошее впечатление отсалось

нет такой функции, как DHCP Screening

у фоксгейтов тоже свои недостатки есть

нету time-based acl, нету per-flow bandwith control

time-based??? вот порно

нету защиты DLF, HOL и т.п.

перечисляет длинковские фичи и типа их нет в эджах :D

zi_home: Пример простой - запретить смотреть порнуху с 7 утра до 12 вечера

ты аксес-листом на доступе это своим абонентам делаешь?

только собираемся

зато в эджах и фоксгейтах человеческий cisco - like cli

у меня для вас плохие новости

кстати, а в фоксгейтах запилили луп детект?

давно уже

Но там только CTP, а не STP

эээ, а кокая прошивка нынче актуальная?

для фоксгейтов

<Dmitry1> нет такой функции, как DHCP Screening

в нормальных вендорах эта фича называется dhcp snooping

и ее не умеет только ленивый

это разные функции

нет

это именно оно и есть

dhcp snooping разрешает связку IP/MAC только при получении IP с DHCP сервере

нет

а dhcp screening разрешает DHCP ответы только с определенного порта

DES-3200-52:admin#show address_binding

Command: show address_binding

Roaming state : Enabled

Trap/Log : Disabled

DHCP Snoop(IPv4) : Disabled

DHCP Snoop(IPv6) : Disabled

разрешает связку ip/mac - ip source guard

DES-3200-52:admin#show filter dhcp_server

Command: show filter dhcp_server

Enabled Ports:

Trap & Log State: Disabled

Illegal Server Log Suppress Duration:5 minutes

Permit DHCP Server/Client Table:

Server IP Address Client MAC Address Port

----------------- ------------------ --------------------

dhcp snooping именно что блокирует сервера, ну еще и до кучи заполняет базу мак/ип, но ничего не ограничивает

у d-link'а dhcp snooping - это часть IPMB - IP MAC Binding - по другому - source guard

ну и хрен ли искать длинковские заебы в чужих спеках?

это в edgecore он ничего не ограничиванет

по докам надо сравнение делать а не по табличкам

Реализация DHCP snooping на коммутаторах Edge-Core

Функция DHCP snooping позволяет коммутатору защитить сеть от нелегальных DHCP серверов или других сетевых устройств. Также, DHCP snooping используется для фильтрации пакетов, которые приходят на незащищенный порт с внешней сети.

а в d-link другое

в его address_binding я разрешаю связку на порту с zero_ip (0.0.0.0), который изначально есть у абонента

и связку ip-mac с ip, полученный по DHCP

<zi_home> лучше всего ACL

чего ацл? куда ацл?

Потому что в настройках DHCP ты прописываешь легальный DHCP а если придется сменить IP? будешь переписывать конфиги на всех свичах?

И как практика показывает dhcp snooping не корректно работает когда свичи в цепочке стоят

вот из документации d-link

father, в настрайках (нормальных) прописывается только порт откуда dhcp запрещен и откуда разрешен, вот и все

• IP-MAC-Port Binding (IMPB)  

- Проверка пакетов ARP  

- Проверка пакетов IP  

- DHCP Snooping

дальше идет отдельными функциями

• DHCP Server Screening

• Фильтрация DHCP-клиентов

если edgecore такого не умеет - я не виноват

ну а у циски и других вендоров это разные фичи

<Dmitry1> а вот из доков того же длинка если dhcp snooping не работает как нужно

create access_profile ip udp src_port_mask 0xFFFF profile_id 1

config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24 deny

dhcp snooping, arp inspection, source guard

father: src_port 67 - ха-ха

половина говнороутеров использует другой порт

это порт сервера, он не может быть другим иначе ни хрена работать не будет

<Dmitry1> ты хочешь сказать что половина роутеров наплевали на RFC 2131 и написали свое?

да

и что по твоему при этом происходит?

zi_home: обрати внимание, не dst_port, а src_port

я вижу

и это значит блокируется ответ от сервера

<Dmitry1> ты ошибаешся, мы в своей сети перепробовали ОГРОМНОЕ количество роутеров и все работают на 67 порту

т.е. принимает пакеты на 67-м порту, а отвечает с того, который захотела его левая пятка

чтобы ответ пошел, должен придти запрос

запрос он принимает

чтобы запрос пришел на левый порт, надо очень сильно потрахаться

в правиле выше фильтруется не запрос, а ответ.

ответ идет с того же порта что пришел запрос

А он мождет быть не с 67-го порта, как в RFC, а с того, который китайцы прописали

иначе клиент не поймет

<Dmitry1> все правильно

Закрывается 67 порт, что бы абонент не смог ответить по 67 порту

<Dmitry1> но винду китайцы не писали

zi_home: С чего это вдруг клиент не поймет? Ответ приходит клиенту на его порт, с которого он отправил запрос

67 порт выдает настройки а 68 их запрашивает

должны совпадать порты чтобы клиент мог сессию связать

По тому-же RFC запрос должен уходить с 68-го порта, на самом деле может уйти с любого

zi_home: Китайцы RFC не читают

Поэтому мы делаем так:

ладно, забей, acl это зло. снупинг нормальный должен быть и все

разрешаем dhcp запросы

<Dmitry1> даже если следовать твоей логике, как тогда установится сессия, если система работает на 67-68 портах а китайский роутер к примеру на 101-102?

разрешаем pptp сессию

блокируем все остальное

ACL+dhcdrop решают все проблемы))

Dmitry1, давай правила для ФМ поделаем

я свичами сейчас занимаюсь

отвлекись

дааа...Отвлекись

Ребята, подскажите плиз! Когда алармы групируются по какому-то discriminator, то в fm--alarms время алярма это время первой аварии или последней?

dvolodin, не сильно занят? можно попросить покоммитить

ась

как discovery себя чувствует?

dvolodin, криминального ухудшения не заметил

а что значит

2014-06-12 22:39:01,307 [inv.discovery] Removing job version_inventory(222)

2014-06-12 22:39:02,313 [inv.discovery] Removing job asset_discovery(213)

2014-06-12 22:39:02,317 [inv.discovery] Removing job version_inventory(986)

отключал их в профилях?

в некоторых да

то есть ты хочешь сказать задачи создаются, потом удаляются?

это же бред

dvolodin, закоммитить хочу попросить. INV-45 INV-46 NOC-1350 NOC-1334 NOC-1335 NOC-1339 NOC-1344 NOC-1347

эк тебя разобрало-то

это я еще поленился 3 или 4 сделать, там где попроще и куча тех где мне с Dmitry1 надо обсуждать

dvolodin, только акуратней, в некоторых я в комментах писал актульную версию для коммита

завтра тогда посмотрю

я в риме пролетом очень удачно граппой разжился ;)

легло хорошо, но лучше коммитами не развлекаться