nocproject.org
07:05
dvolodin: таблица prefix access растет просто дуром
07:05
уже 20 записей
07:06
:)
07:06
ну нормально, постгрес справится
07:06
а я не справлюсь
07:06
их все заводить
07:07
это просто только начало
07:07
зачел одного юзера
07:07
а ему доступ на 4 префикса надо
07:07
даже на 5
07:08
дургому юзеру в другом регионе те же 5 префиксов прописывать
07:18
ну а как еще?
07:19
07:19
вообще у меня долгосрочная идея -- переделать морду и механизм прав
07:19
сделать раздельные приложения - АРМы
07:20
и давать доступ к АРМам ну и с разными ролями
07:20
оно тогда попроще будет и юзеру и админу
07:34
zi_rus: я таблицы префиксов создавала автоматом, парсингом конфигов магистральников
07:39
там не просто таблицы (prefix tables), это про доступ определённым юзерам к конкретным префиксам в ipam (prefix access)
07:41
ну а я базу райпа парсил
07:41
но это не относится к основному вопросу
07:42
dvolodin: а мо жно получить какое-нибудь решение до того как замерзнет ад?
07:45
наверное, если сможешь формализовать задачу, то можно и думать над решением
07:47
dvolodin: ну я уже говорил, упростить раздачу прав доступа на префиксы, методом уменьшения количества задаваемых элементов
07:47
смотри
07:47
сейчас каждому юзеру дается доступ на конкретный префикс
07:48
а теперь мой юз кейс
07:48
на регион выделяется большая сеть /16, которая разбивается на мелкие сетки по подсистемам
07:49
юзер должен иметь доступ только к своим сетям
07:49
вот типичный случай
07:49
у юзера должен быть доступ к 5 префиксам
07:50
а еще есть главный юзер который должен иметь доступ к префиксам данной подсистемы во всех регионах
07:51
по текущей системе я должен создать записи для доступа региональному юзеру на пять префиксов
07:51
другому регионалу еще пять префиксов
07:51
и так повторить полсотни раз
07:51
плю
07:51
с
07:51
центральный юзеры
07:51
а их несколько
07:52
например 5
07:52
каждому дать доступ на все регионы
07:52
то есть
07:52
5человек * 50 регионов * 5 префиксов = 1250 записей
07:53
+250 записей регионалов
07:53
да я утрахаюсь их создавать
07:54
dvolodin: нужно что-то типа селектора, только для префиксов
07:54
поставил тег А
07:54
zi_rus: делаешь все проще
07:54
даешь права на /16
07:54
ну так и приходится
07:54
а далее они сами в пределах региона делегируют
07:55
тогда надо держать админа в регионе который будет делегированием заниматься
07:57
ну так это же правильно?
07:57
dvolodin: ты мне рассказываешь как натянуть твою систему. а я говорю как лучше было бы сделать, чтобы было удобно пользователям, то есть мне и остальным
07:58
dvolodin: ну вот такие варианты, использовать префикс-листы, это на порядок сократит количество записей
07:58
или
07:58
как с МО
07:58
селектор
07:59
я выбираю фильтр по префиксам, например по тегу или custom_field
07:59
и даю доступ
07:59
чтобы разрешить еще один префикс, мне надо просто добавить тег
07:59
удобно и правтично
08:00
это как политики на bgp и community
08:00
ты расставляешь community на маршруты, а в нужных точках применяются политики или фильтрации или приоритета или модификации
08:02
фактически, чтобы это реализовать, не нужно много переделывать, надо просто немного расширить сбоку
08:02
сейчас у тебя префикс доступа берется из поля Prefix в разделе Prefix access
08:02
а надо брать его из результата работы фильтра
08:03
Prefix.objects.filter(tag=["AAA"])
08:06
dvolodin: ты понимаешь о чем я?
08:06
ты же права на МО не создаешь на каждый отдельный объект
08:06
у тебя доступ дается по селектору
08:07
тут нужно тоже самое
08:29
а interface link между портченнелами уже можно делать, или еще не
08:29
?
08:39
Night_Snake1: можно
08:39
его всегда можно было делать
08:39
а как?)
08:40
я в interfaces только одиночные линки могу
08:41
там да - одиночные
08:41
discovery собирает LAG
08:42
ну LAG у меня в interfaces тоже есть
08:42
только я для них не могу линки делать
08:53
правильно
08:53
хотя можно подумать над тем, что давать линковать LAG в LAG
09:06
zi_rus: могу вынести проверку прав записи в префикс в solution
09:06
будет функция -- на входе -- instance prefix'а
09:06
и юзер
09:07
на выходе -- boolean
09:07
и делай любой алгоритм, который считаешь нужным
09:14
а меня глючит или у кого-то тут ASR были?
09:16
если речь о моделях для ASR1004 - это я добавлял в
NOC-1687
09:19
здорово, народ, а баг с белым квадратом в FM не пофиксили?
09:26
lexus-omsk: ну меня не столько модели интересует сколько опыт эксплуатации
09:28
некоторый опыт есть, а что интересует?
09:28
столкнулись, что ASR-ка не отдает больше чем 7-8G через 10G линк
09:29
мы до такого пока не доросли
09:30
filonov: небось в ограничение влезли
09:30
там 10G half скорее всего
09:31
если речь действительно про asr1k
09:31
на наге были картинки про пропускаемый трафик
09:34
zi_rus: таки нет Full Duplex, 10000Mbps, link type is force-up, media type is unknown media type
09:36
c ESP все в порядке
09:36
Когда добавили пятую десятку вниз - оно справилось
09:37
хм
09:38
буфера на порту может быть
09:38
там Output drop не росли при этом?
10:32
dvolodin: вот было бы хорошо, если бы можно было линковать lag и lag
10:32
filonov: у меня есть
10:34
Night_Snake1: в 10G не упирались?
10:34
не, у нас 1G-линки
10:34
везде
10:34
в TAC не писал?
11:18
Night_Snake1: писали. пока молчат.
11:19
проблема явно не единичная потому как так себя ведут 3 (как минимум) интерфейса.
11:19
дропы/дискарды появляются?
11:19
три интерфейса в разные железки идет?
11:19
в одну
11:20
Там вообще 4 идет. а сейчас так вообще 5
11:20
просто 4й недогружен
11:21
В другую сторону транк из 3x10 в пиках выдает не более чем 21G, но там сложно сказать с чем связано - возможно действительно столько трафика идет
11:21
выраженной "полки" там нет
11:26
ну т.е. подземные стуки?
11:29
Night_Snake1: да нет, не стуки. многочисленные жалобы от клиентов. Добавили пятый линк, раскидали траффик - помогло.
11:30
аа...
11:30
а порты на разных линейках?
11:30
или на одной?
11:36
тогда тем более странно
11:36
иос?
11:37
Относительно свежий. иос-ы там вообще больная тема
11:38
ибо рукожопие цискоиндусов в реализации ната цензурными выражениями не описывается
12:32
о, я тоже цискоиндус
12:32
могу наиндусить что-ни будь
12:35
danholm_: осилишь поломать пассивный ftp при работе через NAT при работающем активном?
12:41
а АЛУ 7750 никто здесь не имеет?
13:10
zi_rus, че за зверь?
13:11
не, от французов отказались вроде. у НН может есть
13:11
жаль
13:12
хотел про фм спросить, правил классификации не завялялось
13:12
а то я понаделал, но резальтат не ахти
13:18
я чет с отделкой в квартире совсем от noc отвалился
13:18
(
13:37
zi_rus: а что с правилами
16:43
dvolodin, да просто знаешь, я наделал правил, у меня 1 правило на link down и уже четыре на link up, а аварии по падению линков продолжают накапливаться и не закрываются
16:43
давай сообщения посмотрим
16:43
может имена интерфейсов нужно нормализовывать
16:45
надо ковыряться, давай на неделе посмотрим
16:56
давай, я сейчас очень плотно буду заниматься FM и discovery
18:02
I'm getting a server error 500 on some pages.. see:
NOC-1605
18:02
django/python isn't loading templates from the django/contrib directory
18:02
I don't know how to fix it.
Share this page
Share this page:
About
Forum
Blogs
NOC Docs
Downloads
KB
Issues
Code
CI
Registration