Перейти к содержимому
Калькуляторы

Prototype-X

Пользователи
 Просмотреть профиль  Активность

  • Публикации

    13

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем Prototype-X

  1. Опубликовано · Жалоба на ответ

    Два свитча ECS-3510 и ECS4510-28F соединены двумя линками, через каналы L2 арендованые у двух разных операторов. Через одного оператора RSTP видит соседний бридж и происходит выбор ROOT, через другого оператора каждый бридж сам себе ROOT. Это если линки по одному включены в один момент времени, если оба включены петля получается.

    Вопрос как подебажить данную ситуацию? 

    Так и не нашел как посмотреть статистику по принятым переданным bpdu на порту или в режиме отладки посмотреть что прилетает на свитч.
    Оператор через которого видимо не ходят bpdu клянется что не в них дело, что они нам предоставляют SP vlan QinQ и там bpdu не дропаются.

  2. Опубликовано · Жалоба на ответ

    5 минут назад, xxxupg сказал:

     

    есть машина на линуксе (убунта) поскажите как из крнсоли правильно забрать конфиг с коммутатора или по snmp

    Сначала:

    1. sudo apt install tftpd-hpa tftp-hpa
    2. Правим настройки tftp сервера /etc/default/tftpd-hpa 
      TFTP_USERNAME="tftp" 
TFTP_ADDRESS=":69" 
TFTP_OPTIONS="--secure --create --listen --verbose"

       

    3. Перезапускаем tftp сервер service tftpd-hpa restart, можно через модную systemd: systemctl restart tftp....

    4. Из командной строки коммутатора, что то вроде: upload cfg_toTFTP ...бла...бла...бла...

    5. apt install snmp Dlink snmp get config 

  3. Опубликовано · Жалоба на ответ

    В 30.08.2017 в 15:29, Negator сказал:

    Мы пошли другим путем и написали генератор конфигов в биллинге.

    Не все могут себе такое позволить.
    Делитесь, исходники в студию :)

  4. Опубликовано · Жалоба на ответ

    11 часов назад, PRNG сказал:

    ne-vlezay80 Я так и сделал.

     

    Спасибо! Наверное, так и сделаю. Единственная проблема в том, что вроде бы Bird не умеет запускать скрипт при падении ebgp. Проверять по крону - минимальная задержка 60с, это плохо, с учетом того что на апстриме есть BFD. Разве что смотреть в сторону другого решения. В инете советуют ExaBGP. Но я не уверен, что он умеет BFD :)

    ExaBGP не умеет BFD. Можно посмотреть еще в сторону PFsense и VyOS, но там тоже нет BFD.

    BFD есть у Mikrotik CHR, но он платный и там нет синхронизация таблицы соединений, так что придется рассматривать варианты где трафик будет идти симметрично.

     

    Вместо BFD можно поиграться с интервалами BGP keepalive и hold, например keepalive = 1с, hold = 3с
    Скорее всего можно мониторить логи Bird на событие что bgp пир отвалился и дергать CARP. В общем писать свои велосипеды и костыли.

    6 часов назад, NiTr0 сказал:

    анонсировать с обеих, но резервный с более низким приоритетом в CARP - анонсить с препендами.

    использование препендов не дает никаких гарантий что трафик не будет приходить из мира на резервный роутер.

  5. Опубликовано · Жалоба на ответ

    Поднимать на каждом сервере с сервисом ibgp, это слишком. Вариант с CARP(VRRP) для внешних сервисов не рассматривали, получается тоже что и для внутренних сервисов, только без NAT. Нужны будут скрипты что бы если отвалилось ebgp одного из провайдеров, CARP(VRRP) переключил master на живого ISP. Еще один нюанс трафик из LAN -> WAN будет идти через master с активным виртуальным ip, обратно же трафик WAN -> LAN будет идти от обоих роутеров, так как Вы анонсируете сеть двум операторам, т.е. часть пакетов будет приходить в LAN не только с master роутера но и с slave, по идее синхронизация таблицы соединений поможет (pfsync) решает такую проблему.
     

    Второй вариант поднять на каждом роутере EBGP к ISP1 и ISP2 и анонсировать сеть PA /24 только с CARP master роутера, при переключении убирать анонс сети и начинать анонсировать сеть на новом master роутере. Таким образом трафик в обе стороны будет ходить симметрично, через один роутер.

     

    Третий вариант попробовать vSRX от Juniper, это будет стоить денег. Соберете кластер из двух vSRX.

  6. Опубликовано · Жалоба на ответ

    В 08.08.2017 в 10:17, alger сказал:

    rancid изначально был под cisco заточен. на сколько он будет корректно работать с d-link & mikrotik ?

    Находил на github модули к rancid для бэкапа dlink, а вообще rancid древний как говно мамонта. На смену ему давно пришел oxidized написанный смузихлебами, вейперами и хипстерами на Ruby, бесплатный с открытыми исходниками.

     

  7. Опубликовано · Изменено пользователем Prototype-X · Жалоба на ответ

    В 08.08.2017 в 08:58, alger сказал:

    Может у кого есть свои скрипты, наработки которыми не жалко поделиться?

    Функционал чем проще тем лучше (просто хотел его прицепить к забиксу чтобы две базы хостов не вести). А может есть какой-то плагин к забиксу ?

    Написал на Python свой сборщик CCND, как раз умеет d-link и mikrotik, немного cisco. Описания правда нет, поправлю, есть примеры конфигов.

    Можно сказать это бета версия. 

    Что умеет: 

    • настройки хостов и их параметров хранятся в YAML формате
    • запускается в 32 процесса, можно и больше, за счет этого бекапит сотню железок за минуту.
    • пока умеет хранить конфиги в файловой системе в виде date-time.tar.gz, в git пока не умеет
    • добавление новой железки для бекапа, делается по шаблону, нужны не большие знания python

    На счет Zabbix  интересная идея, по API можно получить всю информацию о хосте, но в Zabbix нет данных о типе подключения к хосту telnet/ssh/snmp, как забрать конфиг tftp/ftp/terminal output

  8. Опубликовано · Жалоба на ответ

    У нас ecofilter блочит.

     

    И как работает? Выплыли какие-нибудь косяки?

    На весь трафик смотрит или только на исходящий?

    Сейчас рассматриваем что-нибудь из готовых решений.

     

    Ecofilter стоит от пол ляма и выше. Если бюджет ограничен то смотрите в сторону СКАТ DPI, если только требования ркн выполнять, лицензия на софт меньше ста тысяч (Entry) + ваш сервер с intel сетевыми картами. Для эффективной блокировки DPI ставят в разрыв (DPI как L2 бридж) или зеркалируют трафик на него.

  9. Опубликовано · Изменено пользователем Prototype-X · Жалоба на ответ

    Нет.

    Я на Ubunte делал. Что в ней менять не уверен. Как я понимаю latency-performance это в CentOS...?

    Nice тоже не менял.

     

    Есть ли заготовка настроек под Ubuntu?

     

    Глянул по nice: из extfilter.service берет -5.

     

    Тут tuned-adm под Ubuntu

    https://github.com/Burstaholic/tuned-ubuntu

     

    Тут описание профилей tuned-adm: latency-performance и прочих

    https://wiki.mikejung.biz/CentOS_7

     

    Самое простое использовать ядро в Ubuntu lowlatency kernel вместо generic

    https://help.ubuntu.com/community/UbuntuStudio/RealTimeKernel

  10. Опубликовано · Изменено пользователем Prototype-X · Жалоба на ответ

    У меня как раз таки к компу с nfqfilter и подключен ревизор. как ревизором можно проверить эффективность? в личном кабинете оператора ничего не появляется. В данный момент nfqfilter блокирует по доменам, но в дампе ркн есть еще ip адреса, вот для ip адресов и хотел прикрутить кваггу, или ркн не придирается к ip? помимо этого домены еще блочит DNS.

     

    1. Логинитесь сюда https://portal.rfc-revizor.ru

    2. Проверяете что ваш агент активен: Выбираете в меню слева "Мои агенты" -> статус агента -> Активен. Последний IP: 1.1.1.1. В сети.

    3. Выбираете в меню слева "Мои отчеты по качеству блокировок" -> подать запрос -> выбираете дату отчета

    4. Идете на перекур/ковыряетесь в носу/откидываетесь в кресле.

    5. Обновляете страничку появляется ссылка на скачивание отчета

    6. Profit!

     

    Есть еще вариант с перехватом всех DNS запросов клиентов и перенаправление на свои DNS сервера, хз какой результат.

    DNSSEC сделает это бессмысленным, и скорее всего достаточно скоро.

    Следуя этой логике системы а ля tor делают всю Вашу систему фильтрации бессмысленой и уже сейчас. ;)

     

    Кстати не нужно перенаправлять DNS, ревизор использует dns провайдера.

    У меня DNS фильтрация https ссылок плюс nfqfilter даёт хороший результат.

    Хороший это как? Сколько не заблокированных URL?

  11. Опубликовано · Изменено пользователем Prototype-X · Жалоба на ответ

    Доброго времени суток всем. Юзаю в тестовом режиме nfqfilter, вроде всё норм, но без квагги. Сейчас пытаюсь прикрутить кваггу, но хз, что не так, при запуске скрипта make_files.pl, скрипт может сутки висеть, и в кваггу добавляются где то 700-900 ip адресов. Как можно посмотреть что ему не хватает, что бы всё добавить? Заметил еще, что появился еще extFilter, что лучше юзать nfqfilter или переходить на extFilter?

     

    Проверяли эффективность блокировки ревизором?

    Использовать BGP что бы заворачивать трафик по IP на nfqfilter, будет не очень эффективно, сейчас если использовать фильтрацию по IP из реестра, не заблокированными остаются сотни URL и у Роскомнадзора возникают вопросы к оператору, использование дополнительно резолвинга доменных имен повышает эффективность, но недостаточно, многие сайты используют CloudFare c их сетью CDN, ip адреса сайтов быстро меняются.

     

    Самыми эффективными способами фильтрации с точки зрения Ревизора по убыванию:

    1. Установка системы фильтрации в разрыв, где система фильтрации подключена как L2 бридж. Результат близится к 100% (наверно у nfqfilter будет аналогичный результат, если заворачивать весь трафик абонентов)

    2. Зеркалирование всего трафика на систему фильтрации, чуть менее эффективно первого варианта (extFilter)

    3. Грубая фильтрация трафика по IP с дальнейшим перенаправлением для более точной фильтрации в систему фильтрации. Результат более 95% - высокая вероятность штрафа от РКН.

     

    Есть еще вариант с перехватом всех DNS запросов клиентов и перенаправление на свои DNS сервера, хз какой результат.

  12. Опубликовано · Изменено пользователем Prototype-X · Жалоба на ответ

    А чем проверить? Только в тему стал вникать... ревизором?

     

    1. Регаешься тут: https://portal.rfc-revizor.ru "

    2. оформляешь заявку на ревизор(ы), насколько знаю аппаратные агенты уже кончились, получишь VM

    3. устанавливаешь агента

    4. в портале подаешь запрос на отчет

     

    В принципе можно не делать отчет.

    Если все плохо куратор из Роскомнадзора позвонит контактному лицу в Вашей компании, с предупреждением.