nocproject.org
05:46
dvolodin, на самом деле я подумал, я не сильно против отстутствия агрегации, вопрос в цене такого подхода, я пока что не видел примерных расходов места под данные чтобы рассчитать какое хранилище понадобится
05:48
я вообще думаю сделать generic реализацию для key-value store
05:49
и пусть уже желающие выбирают между RocksDB/InnoDB/TokuKV и прочим
05:50
а смысл?
05:51
какая между ними разница?
05:51
большой выбор отпугивает
05:51
я имею ввиду с точки зрения юзера
05:51
все три хранят данные
05:51
выберет дефолтное, если такой вопрос возникает, ему без разницы
05:52
ну а тебе три реализации в ноке таскать придется
05:54
сделаю одну дефолтную
06:25
комрады, научите диагностировать траблы с multicast-iptv
06:26
1. переключаешься на http
06:26
2. ...
06:26
3. Profit!
06:27
ты научил как избавиться от траблов, а я просил научить диагностировать
06:27
и эти люди хотят продать нам 250 каналов тв по мультикасту :)
06:28
ну зачем так обобщать :)
06:28
просто я не умею
06:32
а вы что ли не хотите покупать?
06:32
я не знаю, я ваще там с июля почти не работаю
06:33
о как, а где же трудишься?
06:33
всё никак не могу окончательно расстаться, слишком незаменим оказался
06:33
пхпбыдлокодер из дому в трусах
06:33
хорошее дело
06:34
а я прикрутил fm, увлекательное дело
06:47
Unbeerable: "в трусах" --- php-дресс-код? :)
08:07
теперь надо eval'ы, всякие cat "test test test" | perl и прочие env x='() { :;}; ...
08:20
анекдот:
08:20
я: Соответственно, если я правильно понимаю, в OID лишний 0?
08:20
длинк: Ноль не лишний, таков текущий дизайн
08:22
e_zombie: да да да
08:22
они бы еще тайлинг полновесный прикрутили :)
08:33
08:33
и у нас нок заработает
09:23
всем привет! :)
09:24
ребят, сейчас такое расскажу - я тут сижу в прострации.. вообще не догоняю, как такое может быть!! :) может, кто то из вас с таким сталкивался ):
09:24
готовы выслушать? рассказ долгий будет скорей всего :)
09:28
ты его частями выдавай
09:28
а то один пост на полэкрана это перебор
09:28
сща :)
09:28
я просто отвлекся.. момент :)
09:30
короче.. есть у меня циска 7206. она по сути является Borderом
09:31
на ней терминируются VLAN всех наших клиентов с белыми IP
09:31
а второй интерфейс (GI 0/2) смотрит в сеть ТТК - вышестоящего оператора
09:32
все бы хорошо.. да вот только с начала недели у неё процессор постоянно под 90% загружен.. выше не дает грузиться control-plane или как его там - в общем, полоса зарезервированая под нужды роутера
09:32
я посмотрел - трафик там всего 100 мб/с в обе стороны..
09:32
ну подумал, мало ли, может, торренты кто качает и грузит мелкими пакетами
09:33
но потом решил разобраться. т.к. у меня нет ни какого биллинга ни нетфлоу сервера, то я просто включил top-talkers на самой циске.
09:33
и вот что я увидел
09:33
Gi0/2 192.184.9.88 Gi0/2 188.43.44.46 11 6301 0035 2355M
09:33
Gi0/2 192.184.9.88 Gi0/2 188.43.44.45 11 6301 0035 2344M
09:33
Самое странное – трафик источник и назначение – на одном интерфейсе и оба адреса НЕ принадлежат нашей компании.. Т.е. на циске эти адреса отсутствуют и по-идее, маршрутизироваться на неё не должы!!
09:34
BGP у нас нет.. будете смеяться- но у нас обычный статик роут.
09:34
вот мне интересно - КАК???!!
09:34
в принципе, объяснение вроде напрашивается - адрес назначения принадлежит тоже сети ТТК.. но он не за нами закреплен
09:34
траффик, кстати. судя по порту назначения -53й порт - ДНС
09:35
то есть хреначит ДНС трафик немеренно
09:35
я просто повесил акцесс-лист на интерфейс на вход и заблокировал адрес 192.184.9.88. все - нагрузка сразу упала.
09:35
но кто-то может мне объяснить - ПОЧЕМУ этот трафик маршрутизировался через мой интерфейс:
09:35
настройки интерфейса такие?
09:36
статикроут ?
09:36
udp флуд ?
09:36
ттк накосячили и не тот маршрут вам залепили
09:36
коллизия хешей на коммутаторе ?
09:37
interface GigabitEthernet0/2
09:37
description INT_FROM_KTTK__TO_3560G_01_GE022
09:37
ip address 62.33.16x.1 255.255.255.248 secondary
09:37
ip address 62.33.16x.3 255.255.255.248 secondary
09:37
ip address 217.150.5x.2x9 255.255.255.252
09:37
ip access-group 100 in
09:37
не правильно изученный мак ?
09:37
no ip redirects
09:37
no ip unreachables
09:37
no ip proxy-arp
09:37
ip nat outside
09:37
ip verify unicast reverse-path
09:37
ip flow ingress
09:37
ip flow egress
09:37
ip route-cache same-interface
09:37
сознательная атака ?
09:37
ip tcp adjust-mss 1420
09:37
load-interval 30
09:37
media-type rj45
09:37
speed auto
09:37
duplex auto
09:37
no negotiation auto
09:37
ntp disable
09:37
no cdp enable
09:37
end
09:37
freeseacher, static route это у нас маршрутизация была.. был ли ЮДП флуд - ну, ДНС это ж по ЮДП.. значит, был.
09:38
zi_rus, вот я тоже склоняюсь к косяку ТТК..
09:38
freeseacher, если трафик шел к ним но на ip который им не выдавался
09:38
freeseacher, а что значит коллизия хешей на коммутаторе?
09:38
если трафик пришел к тебе то его тебе кто нить послал. :)
09:38
его послал ттк
09:38
только он мог его отмаршрутить так
09:38
с той сотроны маршрутизатор или коммутатор ?
09:39
zi_rus, трафик шел просто к нам. т.к. роутер не находил у себя этого адреса, то просто отправлял на маршрут по умолчанию
09:39
вот только почему он к нам шел.. либо ТТК так зарулил. либо тот, кто этот траффик слал - указал маршрут на 188.43.44.46 через наш роутер.
09:40
роутер влетел на цпу из-за icmp
09:40
попробуй зарезать
09:40
(config)#ip icmp rate-limit unreachable ?
09:40
<1-4294967295> Once per milliseconds
09:40
freeseacher, с той стороны не знаю что.. у нас оптика приходит в коммутатор наш и я его в роутер отправляю
09:41
а как вообще, такую ситуацию избежать? просто зарезать маршрут по умолчанию? хмм.. так не получится...
09:41
zi_rus, на роутере прописано: ip icmp rate-limit unreachable 1000
09:41
ip icmp rate-limit unreachable DF 1000
09:41
так что вроде как не из за этого взлетел
09:42
show proc cpu sorted
09:42
а из-за большого количества ЮДП запросов ДНС
09:42
там было IP input
09:42
сейчас сделаю
09:42
кстати, если ттк так накосячил, значит с их сети эти адреса были недоступны
09:43
ну раз ip input то да
09:44
09:44
ну второй адрес, который назначения - ТТК. они оба не пингуются, кажется. но мне не ясно, если у них эти адреса были недоступны, то почему трафик пошел через нас? динамическая маршрутизация у них так косякнула?
09:45
спроси у них
09:45
что они там сделали
09:45
zi_rus, снял акцесс-лист.. нагрузка выросла.. вот статистика процессора
09:45
CPU utilization for five seconds: 67%/64%; one minute: 61%; five minutes: 39%
09:45
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
09:45
89 444188400 1621223170 273 2.55% 2.24% 1.08% 0 IP Input
09:45
266 5765624 9991356 577 0.31% 0.30% 0.30% 0 Per-Second Jobs
09:45
в любом случае это им надо исправлять
09:45
2 75256 1996981 37 0.23% 0.05% 0.02% 0 Load Meter
09:45
236 328256 622081063 0 0.15% 0.12% 0.10% 0 ISG MIB jobs Man
09:45
278 248852 311309782 0 0.07% 0.07% 0.07% 0 PPP manager
09:45
88 211104 310825509 0 0.07% 0.06% 0.07% 0 IP ARP Retry Age
09:45
279 155304 311311290 0 0.07% 0.04% 0.05% 0 PPP Events
09:45
85 131168 310824169 0 0.07% 0.04% 0.02% 0 IPAM Manager
09:45
154 124476 14769089 8 0.07% 0.03% 0.02% 0 CEF: IPv4 proces
09:45
10 6343048 33126833 191 0.07% 0.06% 0.07% 0 ARP Input
09:46
ну я пока заблочил акцесс-листом и у меня все устаканилось.. если будет рецидив - то буду делать заяаку
09:46
о! интересно! А теперь у меня стало вот так:
09:46
Gi0/2 192.184.9.88 Null 188.43.44.46 11 6301 0035 280M
09:46
Gi0/2 192.184.9.88 Null 188.43.44.45 11 6301 0035 279M
09:46
то есть трафик не на GI0/2 идет а в Null
09:47
интересно, почему до этого на gi0/2 шел
09:47
show ip cef 188.43.44.46
09:47
или где тут адрес назначения
09:49
да, это и есть адрес назначения
09:49
сейчас
09:49
а зачем тебе ip verify unicast reverse-path
09:49
s247_7200#show ip cef 188.43.44.46
09:49
0.0.0.0/0
09:49
nexthop 217.150.57.210 GigabitEthernet0/2
09:49
с одним выходом и дефолтом
09:49
zi_rus, ну это ж, если не ошибаюсь, не разрешает маршрутизацию трафика чужого через этот интерфейс.. т.е. из чужой подсети
09:50
получается, как раз сейчас и не отработала эта защита ;)
09:50
нет, она проверяет источник трафика
09:50
если его нет в таблице роутинга то дропает
09:50
ну да.. и если он не принадлежит роутеру, то дропнуть должен
09:50
во во!
09:50
там еще отдельный ключик для дефолта есть
09:50
а не сработало видать
09:51
у тебя дефолт роут с одним выходом
09:51
бесполезная настройка
09:51
только роутер доп проверку вынужден делать
09:52
эмм... а в каких случаях, тогда, эта фича должна работать?
09:52
это надо на внутренний интерфейс вешать
09:52
при работающем BGB и нескольких операторах?
09:52
чтобы юзеры не спуфили адреса
09:52
на какой именно?
09:52
понял
09:53
на всех клиентских сабинтерфейсах надо повесить тогда?
09:54
(config-if)#ip verify unicast source reachable-via rx
09:54
да, на сабы
09:54
то есть если клиент подставит левый ip, этот трафик дропнется
09:55
а что даст reachable-via rx ?
09:55
проверка только получаемого трафика?
09:56
надо будет заморочиться как-нибудь )
09:56
rx Source is reachable via interface on which packet was received
09:57
any Source is reachable via any interface
11:40
кто скрестил нок с днс? подскажите чего rndc надо настроить
11:43
с консоли от юзера нока все работает
17:06
поднимите сайт -)
17:06
фрии
Share this page
Share this page:
About
Forum
Blogs
NOC Docs
Downloads
KB
Issues
Code
CI
Registration
