About Forum Blogs NOC Docs Downloads KB Issues Code CI Registration

nocproject.org

#nocproject.org at irc.freenode.net log.
Back to nocproject.org Back to IRC log index
Date: 23.09.2015
Dmitry1 #
06:16
Используйте D-Link. На L3 подняты PIM, IGMP, OSPF, BGP
filonov #
06:17
И это говорит человек, который давеча жаловался что у него BGP отваливался :)
Dmitry1 #
06:34
BGP отваливается там при высокой загрузке CPU. Больше ничего на это не влияет
TSergey #
07:05
Dmitry1: привет
07:05
при каких значениях загрузки отваливается BGP?
e_zombie #
07:05
,,
Dmitry1 #
07:08
Не следил. У меня срабатывает safeguard engine, при где-то 70-70%
07:08
это сразу признак того, что на CPU льется паразитный трафик
dvolodin #
07:10
filonov: что касается ansible, поправь меня, если ошибаюсь
07:11
в /etc/ansible/hosts мы проверяем наличие хоста, группы в которых он есть и выдираем переменные, если их там задали
07:11
потом смотрим /etc/ansible/group_vars/<имя группы>
07:12
для всех групп хоста
07:12
потом смотрим /etc/ansible/host_vars/<имя хоста>
07:12
и под конец сверху накладываем свои переменные
07:12
так?
filonov #
07:13
А вот хз - надо смотреть что приоритетнее - переменные для хоста или для группы
07:13
по идее должны быть хостовые
07:13
там же часть переменных можно прямо в hosts задать
dvolodin #
07:15
да
PavelGloba #
08:10
ой не
08:10
спс
dvolodin #
08:26
filonov: а посмотри-ка такое
08:26
python
08:27
from ansible.inventory import Host
08:27
host = Host("n01")
08:27
print host.get_variables()
08:27
поставь свое имя хоста
08:27
вытянет оно тебе конфиг из глобального?
filonov #
08:30
>>> print host.get_variables()
08:30
{'inventory_hostname': 'noc-h1', 'group_names': [], 'inventory_hostname_short': 'noc-h1'}
dvolodin #
08:36
а в глобальном конфиге он у тебя есть?
filonov #
08:38
конечно
dvolodin #
08:56
то есть не подхватывает?
08:57
и не должен
filonov #
08:59
не подхватывает
dvolodin #
08:59
from ansible.inventory.ini import InventoryParser
08:59
inv = InventoryParser()
08:59
inv.get_host_variables("<hostname>")
filonov #
09:00
пусто
dvolodin #
09:02
а попробуй в InventoryParser в качестве параметра передать /etc/ansible/hosts
09:03
/etc/ansible/hosts
09:03
def get_host_variables(self, host):
09:03
return {}
09:03
:)
09:04
from ansible.inventory.dir import InventoryDirectory
09:04
inv = InventoryDirectory()
09:04
inv.get_host_variables("<hostname>")
09:04
вот так
filonov #
09:09
inv = InventoryDirectory("/etc/ansible") ругается на ansible.cfg почему-то
dvolodin #
09:10
ты без параметров попробуй
filonov #
09:13
OSError: [Errno 20] Not a directory: '/etc/ansible/hosts'
09:13
Это если без параметров
dvolodin #
09:14
попробуй покопаться в ansible/inv
09:14
ansible/inventory
tatata #
09:41
Привет. А кто нибудь подскажет путь до prefixes в vc, чтобы в noc shell выбрать префиксы принадлежащие какому либо vc
09:45
или он берет префиксы с L3 интерфейсов?
evyscr #
09:54
есть функция get_bridge_subinterfaces, попробуй её
09:55
тьфу, чёт я косномыслен сегодня
09:55
с л3 интерфейсов берёт, да
09:57
см. ткж. vc/caches.py
tatata #
10:00
спасибо попробую. Кстати может кто уже делал такое: вланы продискавереные в vc добавлять ко всем соответствующим префиксам в ipam?
evyscr #
10:08
оно не решаемо в общем случае
10:08
то есть, надо свои решения вписывать.
10:09
вот, например, есть префикс, который из-за криворучия продублирован в двух вланах
tatata #
10:14
ну это ошибка дизайна (или ещё чего)... Но когда префиксов около 1000 ручками каждому vc прописывать ой как не хочется (особенно если они все правильно собрались в vc)...
zi_home #
10:17
как в монге подропать все ивенты?
10:17
активные
10:17
новые
10:17
архивные
10:17
в общем все
evyscr #
10:41
дропай каждую коллекцию
10:41
noc.events.active, noc.events.archive и т. д.
zi_home #
10:54
а если она меня нахер шлет?
10:54
"errmsg" : "not authorized on noc to execute command { drop: \"noc.events.active\" }",
10:55
даже вот так
10:55
[root@noc iz]# su noc
10:55
[noc@noc iz]$ mongo noc
10:55
MongoDB shell version: 2.6.11
10:55
connecting to: noc
10:55
> show collections
10:55
2015-09-23T13:54:58.213+0300 error: { "$err" : "not authorized for query on noc.system.namespaces", "code" : 13 } at src/mongo/shell/query.js:131
evyscr #
10:55
первое "фи" - за su без минуса.
10:56
далее - роль админская?
zi_home #
11:32
от рута тоже не работает
11:32
я сто раз видел как люди делают су с минусом
11:32
но ни разу не видел разницы
filonov #
11:36
zi_home: а она есть
zi_home #
11:36
очевидно что есть
11:37
будь она существенная, сделали бы все по-дефолту
11:37
а мне пока и так хорошо
11:37
но таки что мне с проблемой делать
11:38
на самом деле корень проблемы в трейсе
11:38
fm > events не работает
11:38
managed object matching query doesnt exists
11:38
видимо какое-то МО удаляли
11:38
хер с ним
11:39
хочу дропнуть ивенты
11:39
делал так
11:39
>>> from noc.fm.models import *
11:39
>>>
11:39
>>> for e in ActiveEvent.objects.all():
11:39
... e.drop()
11:39
...
11:39
но оно уж больно долго висело
11:39
хочу через монгу а она на хер меня шлет
e_zombie #
11:41
ты ей не нравишься. побрейся.
zi_home #
11:43
брился на выходных, перебьется
e_zombie #
11:44
бруталл
dvolodin #
11:44
ActiveEvent._get_collection().drop()
zi_home #
11:45
это в шелле?
11:49
смотрика , как быстро все приложила
dvolodin #
11:56
куда ты денешься
11:56
у меня свои методы :)
zi_home #
12:07
но проблемы в приложениями при удалении мо как-то напрягают
12:07
через веб он ни хера не удаляет
12:07
через консоль удаляет, но периодически всякие траблы всплывают
12:08
вот с ивентами уже второй раз нарываюсь
12:08
и это только я один
12:08
и не говори пробагтрекер
12:08
два года мой issue висит
12:08
вот тебе up для него
PavelGloba #
12:12
кто знает
12:12
нормально ли клиентам закрывать по ethertype
12:13
всё кроме ipv4 и arp?
12:13
Чем это грозит? Может есть какой-то ethertype о котором я не знаю?
zi_home #
12:15
не нормально
12:15
профита нет
PavelGloba #
12:16
лишнего трафика нет
zi_home #
12:16
что значит лишнего
12:16
а сейчас есть?
12:16
вот то что есть то и сломается
PavelGloba #
12:16
pppoe discovery всякие
zi_home #
12:16
там 0,0000000000000000000001% от всего трафика
PavelGloba #
12:17
сейчас вообще ничего не запрещено
zi_home #
12:17
больше сил на реализацию чем профита
PavelGloba #
12:17
В том то и дело, что меньше. Для запрета конкретных протоколов типа discovery apple talk ipv6 надо создавать по правилу на каждый
12:17
А здесь несколько разрешающих и всё
zi_home #
12:18
потом еще на ipv6 ,eltim gtht[jlbnm b dct gthtgbcsdfnm
12:18
*будешь переходить
12:18
опять все переписывать
12:18
я тебе говорю
12:18
нет профита
12:18
сколько ты трафика насчитал*
12:18
*?
PavelGloba #
12:19
не буду, а если и буду то поменяю правила этим клиентам через скрипты в биллинге
zi_home #
12:19
еще и место для ошибки
12:19
все будет хорошо работать ровно до того момента пока не наебнется
12:20
плюс это усложнение для оборудования, непредвиденные баги вполне могут всплыть
12:20
любые хитровыдуманные комбинации это потенциальная проблема
12:20
потом на свиче tcam не хватит или еще чего
12:20
для фильтрации
dvolodin #
12:20
https://www.evernote.com/l/ADk9s4fsZxFEnISpssAkrT934SGtu43-JUg
PavelGloba #
12:20
Да вроде все так делают и ни у кого проблем нет
dvolodin #
12:20
кстати, как вам идея
PavelGloba #
12:20
наоборот
zi_home #
12:20
а профита 0,0000000000000000000001% сокращение трафика
PavelGloba #
12:21
у всех куча правил
12:21
Да мне не столько трафик сократить
12:21
сколько срань всякую убрать
12:21
если у кого-то роутер начнет глючить и срать в сеть непонятно чем
12:21
либо особо хитрый кто-нибудь найдется
zi_home #
12:21
хитрый в чем?
12:22
левый ЕТ будет ставить?
12:22
и че
12:22
ничего у него не будет работать
12:22
и все
PavelGloba #
12:22
я не в курсе как работает apple talk
12:22
я так понимаю это что-то типа cdp
12:22
только у apple
zi_home #
12:22
не
PavelGloba #
12:22
кто-нибудь зайдет на чужой роутер или типа того
e_zombie #
12:23
zero conf ?
PavelGloba #
12:23
у микротика discovery это же отдельный ethertype?
Night_Snake2 #
12:23
apple talk это из времен fddi и token ring
12:23
у микротика это cdp
PavelGloba #
12:23
вот Лёха, скажи.
zi_home #
12:23
чужой роутер это проблема его хозяина
PavelGloba #
12:24
Что будет если обычным домовым клиентам по ethertype закрыть всё кроме ipv4 и arp
12:24
это же ничем не грозит?
Night_Snake2 #
12:24
нахуа?
zi_home #
12:24
я еще понимаю когда прикрывают нетбиос, но это уже перебор
PavelGloba #
12:24
А нахуа им что-то кроме этого?
12:24
нетбиос я тоже закрою отдельно
Night_Snake2 #
12:24
ну если у тебя дофига свободного времени
PavelGloba #
12:25
Это всё не руками будет делаться
Night_Snake2 #
12:25
на выслушивание почему у клиента не работает какая-нить очень-очень важная хрень
PavelGloba #
12:25
Вот
12:25
Ты знаешь какую-нибудь хрень
12:25
которая использует другой ethertype?
Night_Snake2 #
12:25
я знаю, что не надо резать что-то, если ты точно не уверен в своих действия
PavelGloba #
12:25
поэтому я и спросил)
Night_Snake2 #
12:26
тот же netbios или dhcp-server пакеты резать можно и нужно на абонских портах
PavelGloba #
12:26
это само собой
Night_Snake2 #
12:26
ну и вот
PavelGloba #
12:27
Ладно. Порежу, посмотрю что из этого выйдет
Night_Snake2 #
12:29
отчаянный, чо
zi_home #
12:32
dvolodin, а что будет с ивентами по которым нет аларма
dvolodin #
12:45
дропнутся через ttl
evyscr #
12:51
именно дропнется?
12:52
у нас уже всё оченно хорошо с алармклассами?
zi_home #
13:00
у нас даже с ивентклассаами все плохо
dvolodin #
13:13
да, TTL index их подропает
13:13
через день по умолчанию
witus #
13:43
добрый день
13:44
подскажите, модели инвентори для ASR1k кто либо делал ?
Night_Snake2 #
16:01
Коллеги, а подскажите по прикручиванию AD к NOC:
16:01
EXCEPTION: <type 'exceptions.NameError'> global name 'ldap' is not defined
16:01
START OF TRACEBACK
16:01
это куда копать?
16:02
./bin/pip install python-ldap выдает:
16:03
http://pastebin.com/c7ef0qn5
evyscr #
16:17
ну поставь девелоперский пакет лдапа
Tweet
Share this page
Share this page: Tweet