Stak

В Скартеле (Йота) в своё время так делали. Ставили региональные СОРМы на центральных узлах, сливали с ЕРС(ЛТЕ-коры) на них трафик абонентов соответствующего региона, и организовывали каналы от каждого из СОРМов до местных УФСБ.

мплс умеют 3600, 3800, 65/68 и 3750 метро. Нексусы 7К емнип, тоже. В общем - не ваш случай.

ip sla можно, если есть что-то кроме 2960(на них - только респондер есть). На Л3 свичах и почти всех роутерах есть (цисковских).

http://www.claudiokuenzler.com/blog/374/hp-proliant-snmp-oid-query-hardware-disk-drive-information-status#.VzyB2JGLTIU

Начните с того, что бы трапы попадали хотя бы в snmptrap.fallback . А ещё лучше, возьмите готовые шаблоны с трапами на падение линка (хотя бы мои :)) и допилите их под себя.

+1. Использовали отключение мак-лёнинга на спан-аггрегаторе (собирал трафик со сплиттеров между LTE-корой и транспортной сетью) вместо собственно мирроринга, кроме того - так можно ещё и фильтровать ненужный трафик с помощью VACL. (У нас несколько региональных сормов стояли в одной точке, на каждый - лился трафик только его региона).

Меняют, в специфических случаях. Можно задавать индивидуально на конкретного пира. Например - у нас с одним из аплинков ebgp связность через транзитный коммутатор, так для обеспечения нормальной сходимость при падении физического линка таймеры выкручены до 1с хелло и 3с холдтайм. Остальные не трогали. На циске, минимальные рекомендованные значения (при необходимости ускорить сходимость, без warning) - timers 7 21. Остальные таймеры обычно не трогают. П.С.: значения таймеров можно задавать только с одной стороны. Но уменьшение дефолтных значений (60 hello, 180 holdtime, емнип) лучше согласовать с аплинком, а то могут неправильно понять.

Если ещё актуально - в шаблоне "Basic Cisco SNMP with traps" есть триггер на трап о нарушении SLA. Нужно только цисковские MIB-ы подсунуть, что бы в заббикс попадали уже оттранслированные трапы (в читаемом виде, а не как OID). На самих цисках примерно так: Трапы в заббикс должны попадать примерно в таком виде:

Да вроде всё ОК:

Разные мелкие оптимизации, вроде имен хостов и интерфейсов в графиках, изменения в LLD (дискавери по нескольким параметрам), 64bit счётчики, триггеры по трапам, в т.ч на падение интерфйсов, сбор инвентори, и т.п. Ну и в том что идёт вместе с заббиксом нет специфик шаблонов под циску, джун и ибм.

Как сделал? делись с общественностью) Да всё просто. См. шаблоны по ссылке. http://forum.nag.ru/forum/index.php?showtopic=101157

Для желающих 3й версии - адаптированные шаблоны. Включает: Basic App MySQL Basic App Zabbix Agent Basic App Zabbix Proxy Basic App Zabbix Server Basic Cisco SNMP with traps Basic IBM - IMM2 SNMP Basic ICMP Network Device Basic Juniper SNMP with traps Basic OS Linux Basic SNMP Network Device Basic Virt VMware Basic Virt VMware Guest Basic Virt VMware Hypervisor ЗЫ: добавил подсчёт pps в Basic SNMP Network Device. ссылка в первом посте.

4 10.222.52.50 [MPLS: Label 4965 Exp 0] 40 msec 36 msec 10.222.43.1 [MPLS: Label 4965 Exp 0] 40 msec 5 10.222.43.22 [MPLS: Label 5354 Exp 0] 36 msec 40 msec 40 msec 6 10.222.18.142 36 msec * * 7 * * 37.29.20.110 36 msec 8 92.63.204.16 36 msec 40 msec 40 msec 9 * * * 10 * * * 11 * * * 12 * * * 13 * * * 14 * * SPE-OFF-RTR1# PS: SPE-OFF-RTR1#ping 92.63.204.254 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 92.63.204.254, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/40/44 ms SPE-OFF-RTR1# SPE-OFF-RTR1#ping 92.63.207.250 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 92.63.207.250, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/40/40 ms SPE-OFF-RTR1#

Не вы первый, не вы последний :) http://www.gossamer-threads.com/lists/cisco/nsp/121092 самое очевидное решение - использовать ЕЕМ для шутдауна нужных сессий после загрузки, и последующего подъёма (вместо того, что бы делать это вручную).

А циркуляторы никто не пробовал применить для этого ? :)

если без шейпера , а только нат - ASA отлично себя зарекомендовали.

Нормально работает. не-http трафик пролетает без анализа. А кеширование в их сквиде отключено, он используется только для фильтрации. В Йоте, когда вся эта мутотень с фильтрацией только начиналась, мы сделали похожее решение на коленке, только вместо сквида был модуль string в том же iptables. Основные плюсы те же : горизонтально масштабируется, обрабатывается только аплинк трафик на ip из списка.

Нет, фильтрует по урл. Получает списки (роскомнадзора и минюста) , резолвит в ип, через exabgp+quagga анонсит в сеть, что перенапрвляет на фильтр аплинк трафик на эти адреса. Трафик на 80й порт iptables-ом заворачивается на сквид, где и фильтруется по URL. https - блочит по ip.

Плюсик разработчикам SkyDNS Zapret Info. Поставил и забыл, и поддержка работает оперативно (недавно реестр перестал проходить проверку ЭЦП, обновление с фиксом сделали на следующий день, а пути обхода - сразу же). Основные плюсы лично для меня - интеграция в сеть по bgp, пропуск только аплинк трафика.

А isis оно умеет?

Обновил шаблоны, добавил чуть-чуть мелких оптимизаций. zbx_export_templates.xml

UPD: обновил скрипт, оказалось некоторые железки (коммутатор S2750 например) желают расширение ".zip" вместо ".cfg"

Готовые решения никто, конечно не отменял, но , например, некоторые компании, предоставляющие свои системы фильтрации, используют в них как раз-таки инъектирование маршрутов, в случае , если реализация идет без зеркалирования всего трафика на железо. А любое готовое решение стоит денег, хотя каких-либо сверхсекретных механизмов в нем нет. Отталкиваясь от этого, я считаю, весьма оправданным поиск альтернативных решений. Тем более кто гарантирует, что в готовых решениях отсутствуют подводные камни. Тазик с кваггой, прикрученный по ebgp - самый простой и легко масштабируемый вариант (тазиков можно поставить много, на каждый - отруливать часть списка, фильтруется только исходящий трафик, если тазик поломался - всё идёт мимо), когда только вводили эту обязательную фильтрацию - в Йоте мы сделали именно так. Сейчас есть и коммерческие решения, принцип отруливания трафика - аналогичный. По поводу того, кто именно из аплинков нам подгадил в побивкой префиксов - уже и не припомню, давно дело было. Вроде бы Глобалнет, но может и ошибаюсь. В любом случае, случай был единичным, а allow-as-in после этого поубирали на бордерах (перешли на рекурсивные дефолты, для того что бы абоненты одного региона могли достучаться до абонентов другого).

Что бы не плодить новые темы: Для сдачи узла под телефонию, по минимуму, нужно: сертифицированные ПО софтсвича (например, ECSS-10) и биллинга (к примеру, UTM) , план по СОРМ для голоса от местного УФСБ, и сервера с сертификатом ССС для разворачивания всего этого хозяйства? Правильно понял? Или на сервера достаточно декларации ССС? Оконечные шлюзы TDM-IP сдавать не нужно?

Читаем до просветления теорию, и понимаем, что работать будет. Но на какую дистанцию - Х.З., т.к. затухание при вводе сигнала в волокно, и на переходах мультимод-одномод будет большое.