Jump to content
Калькуляторы

Stak

VIP
  • Content Count

    1271
  • Joined

  • Last visited

Posts posted by Stak


  1. В Скартеле (Йота) в своё время так делали. Ставили региональные СОРМы на центральных узлах, сливали с ЕРС(ЛТЕ-коры) на них трафик абонентов соответствующего региона, и организовывали каналы от каждого из СОРМов до местных УФСБ.

  2. http://www.claudiokuenzler.com/blog/374/hp-proliant-snmp-oid-query-hardware-disk-drive-information-status#.VzyB2JGLTIU

     

    Here are some examples for disk/drive related lookups.

     

    Show the current HP SmartArray Firmware version:

     

    snmpwalk -v 2c -c public localhost 1.3.6.1.4.1.232.3.2.2.1.1.3

    SNMPv2-SMI::enterprises.232.3.2.2.1.1.3.1 = STRING: "5.70"

     

    Check the current status for logical drives:

     

    snmpwalk -v 2c -c public localhost 1.3.6.1.4.1.232.3.2.3.1.1.4

    SNMPv2-SMI::enterprises.232.3.2.3.1.1.4.1.1 = INTEGER: 2

    SNMPv2-SMI::enterprises.232.3.2.3.1.1.4.1.2 = INTEGER: 2

    SNMPv2-SMI::enterprises.232.3.2.3.1.1.4.1.3 = INTEGER: 2

    SNMPv2-SMI::enterprises.232.3.2.3.1.1.4.1.4 = INTEGER: 2

     

    For each logical drive a status code is returned. Refer to the following table to translate:

     

    1: other

    8: wrongDrive2: ok9: badConnect

    3: failed

    10: overheating

    4: unconfigured

    11: shutdown

    5: recovering

    12: expanding

    6: readyForRebuild13: notAvailable

    7: rebuilding14: queuedForExpansion

    Check the current status for physical drives:

     

    snmpwalk -v 2c -c public localhost 1.3.6.1.4.1.232.3.2.5.1.1.6

    SNMPv2-SMI::enterprises.232.3.2.5.1.1.6.1.8 = INTEGER: 2

    SNMPv2-SMI::enterprises.232.3.2.5.1.1.6.1.9 = INTEGER: 2

    SNMPv2-SMI::enterprises.232.3.2.5.1.1.6.1.10 = INTEGER: 2

    SNMPv2-SMI::enterprises.232.3.2.5.1.1.6.1.11 = INTEGER: 2

     

    Note that these are the physical drives. Use the following table to translate the returned number:

     

    1: other

    3: failed

    2: ok

    4: predictiveFailure

     

     

    Note: A predictiveFailure will be shown as "Smart Error" in ILO.

     

  3. важно - чтобы пропускать зеркалированный трафик, нужно на принимающем его порту отключать learning

     

    +1. Использовали отключение мак-лёнинга на спан-аггрегаторе (собирал трафик со сплиттеров между LTE-корой и транспортной сетью) вместо собственно мирроринга, кроме того - так можно ещё и фильтровать ненужный трафик с помощью VACL.

    (У нас несколько региональных сормов стояли в одной точке, на каждый - лился трафик только его региона).

  4. Речь вовсе не отом, меня дефолтные настройки вполне устраивают.

    Мне вот интересно, меняет ли их кто нибудь и если да, то на какие значения?

     

    Меняют, в специфических случаях. Можно задавать индивидуально на конкретного пира.

    Например - у нас с одним из аплинков ebgp связность через транзитный коммутатор, так для обеспечения нормальной сходимость при падении физического линка таймеры выкручены до 1с хелло и 3с холдтайм. Остальные не трогали. На циске, минимальные рекомендованные значения (при необходимости ускорить сходимость, без warning) - timers 7 21.

     

    Остальные таймеры обычно не трогают.

     

    П.С.: значения таймеров можно задавать только с одной стороны. Но уменьшение дефолтных значений (60 hello, 180 holdtime, емнип) лучше согласовать с аплинком, а то могут неправильно понять.

     

     

  5. Коллеги, а ни ку у кого нет шаблона для cisco ip sla udp-jitter ? Я думал, легко найду - а нет, под какти есть - под заббикс не нашел.

    Если ещё актуально - в шаблоне "Basic Cisco SNMP with traps" есть триггер на трап о нарушении SLA. Нужно только цисковские MIB-ы подсунуть, что бы в заббикс попадали уже оттранслированные трапы (в читаемом виде, а не как OID).

    На самих цисках примерно так:

    sla 250

    udp-jitter 10.116.250.1 30000 codec g711alaw

    tos 70

    frequency 10

    ip sla schedule 250 life forever start-time now

    ip sla reaction-configuration 250 react jitterAvg threshold-value 25 10 threshold-type immediate action-type trapOnly

    ip sla reaction-configuration 250 react packetLossSD threshold-value 25 10 threshold-type consecutive 3 action-type trapOnly

    ip sla reaction-configuration 250 react packetLossDS threshold-value 25 10 threshold-type consecutive 3 action-type trapOnly

    ip sla logging traps

    snmp-server trap link ietf

    snmp-server enable traps syslog

    snmp-server enable traps ipsla

    snmp-server host 10.17.222.245 vrf MNGM version 2c zabbix

    Трапы в заббикс должны попадать примерно в таком виде:

     

    12:31:29 2016/04/28 ZBXTRAP 10.116.61.1

    VARBINDS:

    DISMAN-EVENT-MIB::sysUpTimeInstance type=67 value=Timeticks: (354636833) 41 days, 1:06:08.33

    SNMPv2-MIB::snmpTrapOID.0 type=6 value=OID: CISCO-SYSLOG-MIB::clogMessageGenerated

    CISCO-SYSLOG-MIB::clogHistFacility.4153 type=4 value=STRING: "RTT"

    CISCO-SYSLOG-MIB::clogHistSeverity.4153 type=2 value=INTEGER: 4

    CISCO-SYSLOG-MIB::clogHistMsgName.4153 type=4 value=STRING: "IPSLATHRESHOLD"

    CISCO-SYSLOG-MIB::clogHistMsgText.4153 type=4 value=STRING: "IP SLAs(251): Threshold exceeded for packetLossSD"

    CISCO-SYSLOG-MIB::clogHistTimestamp.4153 type=67 value=Timeticks: (354636832) 41 days, 1:06:08.32

     

  6. На аггрегированых портах (проверял на cisco etherchannel) показывает неверную скорость. В консоли: 30 second input rate XXXXXXXXX bits/sec, по факту на графиках XXXXXXXXX*кол-во мемберов etherchannela.

     

    Как бы исправить?

    Да вроде всё ОК:

    RU-SPE-SW1#sh int po13 | i rate

    Queueing strategy: fifo

    5 minute input rate 1641000 bits/sec, 791 packets/sec

    5 minute output rate 1634000 bits/sec, 772 packets/sec

    gpaph-po13.JPG

     

  7. Разные мелкие оптимизации, вроде имен хостов и интерфейсов в графиках, изменения в LLD (дискавери по нескольким параметрам), 64bit счётчики, триггеры по трапам, в т.ч на падение интерфйсов, сбор инвентори, и т.п.

    Ну и в том что идёт вместе с заббиксом нет специфик шаблонов под циску, джун и ибм.

  8. Для желающих 3й версии - адаптированные шаблоны.

     

    Включает:

     

     

    Basic App MySQL

    Basic App Zabbix Agent

    Basic App Zabbix Proxy

    Basic App Zabbix Server

    Basic Cisco SNMP with traps

    Basic IBM - IMM2 SNMP

    Basic ICMP Network Device

    Basic Juniper SNMP with traps

    Basic OS Linux

    Basic SNMP Network Device

    Basic Virt VMware

    Basic Virt VMware Guest

    Basic Virt VMware Hypervisor

     

    ЗЫ: добавил подсчёт pps в Basic SNMP Network Device.

    ссылка в первом посте.

  9. Интересная особенность... если я получил адрес к примеру 92.63.207.250, то трафик не идет через бордер. А вот если я получаю адрес из 92.63.204.*/24 , то все отлично гуляет туда и обратно. Что-то в бордере надо подкрутить, но никак не соображу что.

    Сейчас мой реальный адрес 92.63.204.254. Киньте кто-то трассу от себя.

     

     

    4 10.222.52.50 [MPLS: Label 4965 Exp 0] 40 msec 36 msec

    10.222.43.1 [MPLS: Label 4965 Exp 0] 40 msec

    5 10.222.43.22 [MPLS: Label 5354 Exp 0] 36 msec 40 msec 40 msec

    6 10.222.18.142 36 msec * *

    7 * *

    37.29.20.110 36 msec

    8 92.63.204.16 36 msec 40 msec 40 msec

    9 * * *

    10 * * *

    11 * * *

    12 * * *

    13 * * *

    14 * *

    SPE-OFF-RTR1#

     

    PS:

     

    SPE-OFF-RTR1#ping 92.63.204.254

    Type escape sequence to abort.

    Sending 5, 100-byte ICMP Echos to 92.63.204.254, timeout is 2 seconds:

    !!!!!

    Success rate is 100 percent (5/5), round-trip min/avg/max = 40/40/44 ms

    SPE-OFF-RTR1#

    SPE-OFF-RTR1#ping 92.63.207.250

    Type escape sequence to abort.

    Sending 5, 100-byte ICMP Echos to 92.63.207.250, timeout is 2 seconds:

    !!!!!

    Success rate is 100 percent (5/5), round-trip min/avg/max = 40/40/40 ms

    SPE-OFF-RTR1#

  10. Не вы первый, не вы последний :)

    http://www.gossamer-threads.com/lists/cisco/nsp/121092

    самое очевидное решение - использовать ЕЕМ для шутдауна нужных сессий после загрузки, и последующего подъёма (вместо того, что бы делать это вручную).

  11. Нормально работает. не-http трафик пролетает без анализа. А кеширование в их сквиде отключено, он используется только для фильтрации.

    В Йоте, когда вся эта мутотень с фильтрацией только начиналась, мы сделали похожее решение на коленке, только вместо сквида был модуль string в том же iptables.

    Основные плюсы те же : горизонтально масштабируется, обрабатывается только аплинк трафик на ip из списка.

  12. Нет, фильтрует по урл.

    Получает списки (роскомнадзора и минюста) , резолвит в ип, через exabgp+quagga анонсит в сеть, что перенапрвляет на фильтр аплинк трафик на эти адреса. Трафик на 80й порт iptables-ом заворачивается на сквид, где и фильтруется по URL. https - блочит по ip.

  13. Плюсик разработчикам SkyDNS Zapret Info. Поставил и забыл, и поддержка работает оперативно (недавно реестр перестал проходить проверку ЭЦП, обновление с фиксом сделали на следующий день, а пути обхода - сразу же). Основные плюсы лично для меня - интеграция в сеть по bgp, пропуск только аплинк трафика.

  14. UPD: обновил скрипт, оказалось некоторые железки (коммутатор S2750 например) желают расширение ".zip" вместо ".cfg"

     

    #!/bin/sh

    # GNU GPL

    #

    # Zabbix global script for backup Huawei CFG to TFTP server

    # Usage:

    # ./hwGetConfig.sh Private 10.77.2.3 10.78.3.4 huawei-config

    # WARNING: filename MUST end with ".cfg" or ".zip", added by this script.

    # Zabbix usage:

    # Global script like this: /usr/local/bin/hwGetConfig.sh {$SNMP_WRITE} {HOST.CONN} {$TFTP_IP} {HOST.HOST} 2>&1

     

    # $1 {$SNMP_WRITE}

    # $2 {HOST.CONN}

    # $3 {$TFTP_IP}

    # $4 {HOST.HOST}

     

    /usr/bin/snmpset -v 2c -O qv -t 5 -c $1 $2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.9.100 i 6 2>&1

     

    #for devices, what require ".cfg" string

    /usr/bin/snmpset -v 2c -O qv -t 5 -c $1 $2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.2.100 i 6 .1.3.6.1.4.1.2011.6.10.1.2.4.1.3.100 i 2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.4.100 s $4-`date '+%Y%m%d_%H%M%S'`.cfg .1.3.6.1.4.1.2011.6.10.1.2.4.1.5.100 a $3 .1.3.6.1.4.1.2011.6.10.1.2.4.1.9.100 i 4 2>/dev/null

     

    #for devices, what require ".zip" string

    /usr/bin/snmpset -v 2c -O qv -t 5 -c $1 $2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.2.100 i 6 .1.3.6.1.4.1.2011.6.10.1.2.4.1.3.100 i 2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.4.100 s $4-`date '+%Y%m%d_%H%M%S'`.zip .1.3.6.1.4.1.2011.6.10.1.2.4.1.5.100 a $3 .1.3.6.1.4.1.2011.6.10.1.2.4.1.9.100 i 4 2>/dev/null

     

    #END

  15. Почему не хотите пойти по протоптанной дорожке и поставить какой-нибудь dpi (например, sce)?

    Готовые решения никто, конечно не отменял, но , например, некоторые компании, предоставляющие свои системы фильтрации, используют в них как раз-таки инъектирование маршрутов, в случае , если реализация идет без зеркалирования всего трафика на железо. А любое готовое решение стоит денег, хотя каких-либо сверхсекретных механизмов в нем нет.

    Отталкиваясь от этого, я считаю, весьма оправданным поиск альтернативных решений.

    Тем более кто гарантирует, что в готовых решениях отсутствуют подводные камни.

    Тазик с кваггой, прикрученный по ebgp - самый простой и легко масштабируемый вариант (тазиков можно поставить много, на каждый - отруливать часть списка, фильтруется только исходящий трафик, если тазик поломался - всё идёт мимо), когда только вводили эту обязательную фильтрацию - в Йоте мы сделали именно так. Сейчас есть и коммерческие решения, принцип отруливания трафика - аналогичный.

     

    По поводу того, кто именно из аплинков нам подгадил в побивкой префиксов - уже и не припомню, давно дело было. Вроде бы Глобалнет, но может и ошибаюсь. В любом случае, случай был единичным, а allow-as-in после этого поубирали на бордерах (перешли на рекурсивные дефолты, для того что бы абоненты одного региона могли достучаться до абонентов другого).

  16. Что бы не плодить новые темы:

    Для сдачи узла под телефонию, по минимуму, нужно: сертифицированные ПО софтсвича (например, ECSS-10) и биллинга (к примеру, UTM) , план по СОРМ для голоса от местного УФСБ, и сервера с сертификатом ССС для разворачивания всего этого хозяйства? Правильно понял?

    Или на сервера достаточно декларации ССС?

    Оконечные шлюзы TDM-IP сдавать не нужно?