Stak
-
Публикации
1271 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем Stak
-
-
мплс умеют 3600, 3800, 65/68 и 3750 метро.
Нексусы 7К емнип, тоже.
В общем - не ваш случай.
-
ip sla можно, если есть что-то кроме 2960(на них - только респондер есть). На Л3 свичах и почти всех роутерах есть (цисковских).
-
Here are some examples for disk/drive related lookups.
Show the current HP SmartArray Firmware version:
snmpwalk -v 2c -c public localhost 1.3.6.1.4.1.232.3.2.2.1.1.3
SNMPv2-SMI::enterprises.232.3.2.2.1.1.3.1 = STRING: "5.70"
Check the current status for logical drives:
snmpwalk -v 2c -c public localhost 1.3.6.1.4.1.232.3.2.3.1.1.4
SNMPv2-SMI::enterprises.232.3.2.3.1.1.4.1.1 = INTEGER: 2
SNMPv2-SMI::enterprises.232.3.2.3.1.1.4.1.2 = INTEGER: 2
SNMPv2-SMI::enterprises.232.3.2.3.1.1.4.1.3 = INTEGER: 2
SNMPv2-SMI::enterprises.232.3.2.3.1.1.4.1.4 = INTEGER: 2
For each logical drive a status code is returned. Refer to the following table to translate:
1: other
8: wrongDrive2: ok9: badConnect
3: failed
10: overheating
4: unconfigured
11: shutdown
5: recovering
12: expanding
6: readyForRebuild13: notAvailable
7: rebuilding14: queuedForExpansion
Check the current status for physical drives:
snmpwalk -v 2c -c public localhost 1.3.6.1.4.1.232.3.2.5.1.1.6
SNMPv2-SMI::enterprises.232.3.2.5.1.1.6.1.8 = INTEGER: 2
SNMPv2-SMI::enterprises.232.3.2.5.1.1.6.1.9 = INTEGER: 2
SNMPv2-SMI::enterprises.232.3.2.5.1.1.6.1.10 = INTEGER: 2
SNMPv2-SMI::enterprises.232.3.2.5.1.1.6.1.11 = INTEGER: 2
Note that these are the physical drives. Use the following table to translate the returned number:
1: other
3: failed
2: ok
4: predictiveFailure
Note: A predictiveFailure will be shown as "Smart Error" in ILO.
-
Начните с того, что бы трапы попадали хотя бы в snmptrap.fallback .
А ещё лучше, возьмите готовые шаблоны с трапами на падение линка (хотя бы мои :)) и допилите их под себя.
-
важно - чтобы пропускать зеркалированный трафик, нужно на принимающем его порту отключать learning
+1. Использовали отключение мак-лёнинга на спан-аггрегаторе (собирал трафик со сплиттеров между LTE-корой и транспортной сетью) вместо собственно мирроринга, кроме того - так можно ещё и фильтровать ненужный трафик с помощью VACL.
(У нас несколько региональных сормов стояли в одной точке, на каждый - лился трафик только его региона).
-
Речь вовсе не отом, меня дефолтные настройки вполне устраивают.
Мне вот интересно, меняет ли их кто нибудь и если да, то на какие значения?
Меняют, в специфических случаях. Можно задавать индивидуально на конкретного пира.
Например - у нас с одним из аплинков ebgp связность через транзитный коммутатор, так для обеспечения нормальной сходимость при падении физического линка таймеры выкручены до 1с хелло и 3с холдтайм. Остальные не трогали. На циске, минимальные рекомендованные значения (при необходимости ускорить сходимость, без warning) - timers 7 21.
Остальные таймеры обычно не трогают.
П.С.: значения таймеров можно задавать только с одной стороны. Но уменьшение дефолтных значений (60 hello, 180 holdtime, емнип) лучше согласовать с аплинком, а то могут неправильно понять.
-
Коллеги, а ни ку у кого нет шаблона для cisco ip sla udp-jitter ? Я думал, легко найду - а нет, под какти есть - под заббикс не нашел.
Если ещё актуально - в шаблоне "Basic Cisco SNMP with traps" есть триггер на трап о нарушении SLA. Нужно только цисковские MIB-ы подсунуть, что бы в заббикс попадали уже оттранслированные трапы (в читаемом виде, а не как OID).
На самих цисках примерно так:
sla 250
udp-jitter 10.116.250.1 30000 codec g711alaw
tos 70
frequency 10
ip sla schedule 250 life forever start-time now
ip sla reaction-configuration 250 react jitterAvg threshold-value 25 10 threshold-type immediate action-type trapOnly
ip sla reaction-configuration 250 react packetLossSD threshold-value 25 10 threshold-type consecutive 3 action-type trapOnly
ip sla reaction-configuration 250 react packetLossDS threshold-value 25 10 threshold-type consecutive 3 action-type trapOnly
ip sla logging traps
snmp-server trap link ietf
snmp-server enable traps syslog
snmp-server enable traps ipsla
snmp-server host 10.17.222.245 vrf MNGM version 2c zabbix
Трапы в заббикс должны попадать примерно в таком виде:
12:31:29 2016/04/28 ZBXTRAP 10.116.61.1
VARBINDS:
DISMAN-EVENT-MIB::sysUpTimeInstance type=67 value=Timeticks: (354636833) 41 days, 1:06:08.33
SNMPv2-MIB::snmpTrapOID.0 type=6 value=OID: CISCO-SYSLOG-MIB::clogMessageGenerated
CISCO-SYSLOG-MIB::clogHistFacility.4153 type=4 value=STRING: "RTT"
CISCO-SYSLOG-MIB::clogHistSeverity.4153 type=2 value=INTEGER: 4
CISCO-SYSLOG-MIB::clogHistMsgName.4153 type=4 value=STRING: "IPSLATHRESHOLD"
CISCO-SYSLOG-MIB::clogHistMsgText.4153 type=4 value=STRING: "IP SLAs(251): Threshold exceeded for packetLossSD"
CISCO-SYSLOG-MIB::clogHistTimestamp.4153 type=67 value=Timeticks: (354636832) 41 days, 1:06:08.32
-
На аггрегированых портах (проверял на cisco etherchannel) показывает неверную скорость. В консоли: 30 second input rate XXXXXXXXX bits/sec, по факту на графиках XXXXXXXXX*кол-во мемберов etherchannela.
Как бы исправить?
Да вроде всё ОК:
RU-SPE-SW1#sh int po13 | i rate
Queueing strategy: fifo
5 minute input rate 1641000 bits/sec, 791 packets/sec
5 minute output rate 1634000 bits/sec, 772 packets/sec
-
Разные мелкие оптимизации, вроде имен хостов и интерфейсов в графиках, изменения в LLD (дискавери по нескольким параметрам), 64bit счётчики, триггеры по трапам, в т.ч на падение интерфйсов, сбор инвентори, и т.п.
Ну и в том что идёт вместе с заббиксом нет специфик шаблонов под циску, джун и ибм.
-
да, уже все сделал
Как сделал? делись с общественностью)
Да всё просто. См. шаблоны по ссылке.
-
Для желающих 3й версии - адаптированные шаблоны.
Включает:
Basic App MySQL
Basic App Zabbix Agent
Basic App Zabbix Proxy
Basic App Zabbix Server
Basic Cisco SNMP with traps
Basic IBM - IMM2 SNMP
Basic ICMP Network Device
Basic Juniper SNMP with traps
Basic OS Linux
Basic SNMP Network Device
Basic Virt VMware
Basic Virt VMware Guest
Basic Virt VMware Hypervisor
ЗЫ: добавил подсчёт pps в Basic SNMP Network Device.
ссылка в первом посте.
-
Интересная особенность... если я получил адрес к примеру 92.63.207.250, то трафик не идет через бордер. А вот если я получаю адрес из 92.63.204.*/24 , то все отлично гуляет туда и обратно. Что-то в бордере надо подкрутить, но никак не соображу что.
Сейчас мой реальный адрес 92.63.204.254. Киньте кто-то трассу от себя.
4 10.222.52.50 [MPLS: Label 4965 Exp 0] 40 msec 36 msec
10.222.43.1 [MPLS: Label 4965 Exp 0] 40 msec
5 10.222.43.22 [MPLS: Label 5354 Exp 0] 36 msec 40 msec 40 msec
6 10.222.18.142 36 msec * *
7 * *
37.29.20.110 36 msec
8 92.63.204.16 36 msec 40 msec 40 msec
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * *
SPE-OFF-RTR1#
PS:
SPE-OFF-RTR1#ping 92.63.204.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 92.63.204.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/40/44 ms
SPE-OFF-RTR1#
SPE-OFF-RTR1#ping 92.63.207.250
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 92.63.207.250, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/40/40 ms
SPE-OFF-RTR1#
-
Не вы первый, не вы последний :)
http://www.gossamer-threads.com/lists/cisco/nsp/121092
самое очевидное решение - использовать ЕЕМ для шутдауна нужных сессий после загрузки, и последующего подъёма (вместо того, что бы делать это вручную).
-
А циркуляторы никто не пробовал применить для этого ? :)
-
Ну раз всё знаете, подскажите железку для NAT/shap на 5к абонов на 5-6гиг
если без шейпера , а только нат - ASA отлично себя зарекомендовали.
-
Опубликовано · Изменено пользователем Stak · Жалоба на ответ
Нормально работает. не-http трафик пролетает без анализа. А кеширование в их сквиде отключено, он используется только для фильтрации.
В Йоте, когда вся эта мутотень с фильтрацией только начиналась, мы сделали похожее решение на коленке, только вместо сквида был модуль string в том же iptables.
Основные плюсы те же : горизонтально масштабируется, обрабатывается только аплинк трафик на ip из списка.
-
Нет, фильтрует по урл.
Получает списки (роскомнадзора и минюста) , резолвит в ип, через exabgp+quagga анонсит в сеть, что перенапрвляет на фильтр аплинк трафик на эти адреса. Трафик на 80й порт iptables-ом заворачивается на сквид, где и фильтруется по URL. https - блочит по ip.
-
Плюсик разработчикам SkyDNS Zapret Info. Поставил и забыл, и поддержка работает оперативно (недавно реестр перестал проходить проверку ЭЦП, обновление с фиксом сделали на следующий день, а пути обхода - сразу же). Основные плюсы лично для меня - интеграция в сеть по bgp, пропуск только аплинк трафика.
-
-
Обновил шаблоны, добавил чуть-чуть мелких оптимизаций.
-
UPD: обновил скрипт, оказалось некоторые железки (коммутатор S2750 например) желают расширение ".zip" вместо ".cfg"
#!/bin/sh
# GNU GPL
#
# Zabbix global script for backup Huawei CFG to TFTP server
# Usage:
# ./hwGetConfig.sh Private 10.77.2.3 10.78.3.4 huawei-config
# WARNING: filename MUST end with ".cfg" or ".zip", added by this script.
# Zabbix usage:
# Global script like this: /usr/local/bin/hwGetConfig.sh {$SNMP_WRITE} {HOST.CONN} {$TFTP_IP} {HOST.HOST} 2>&1
# $1 {$SNMP_WRITE}
# $2 {HOST.CONN}
# $3 {$TFTP_IP}
# $4 {HOST.HOST}
/usr/bin/snmpset -v 2c -O qv -t 5 -c $1 $2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.9.100 i 6 2>&1
#for devices, what require ".cfg" string
/usr/bin/snmpset -v 2c -O qv -t 5 -c $1 $2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.2.100 i 6 .1.3.6.1.4.1.2011.6.10.1.2.4.1.3.100 i 2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.4.100 s $4-`date '+%Y%m%d_%H%M%S'`.cfg .1.3.6.1.4.1.2011.6.10.1.2.4.1.5.100 a $3 .1.3.6.1.4.1.2011.6.10.1.2.4.1.9.100 i 4 2>/dev/null
#for devices, what require ".zip" string
/usr/bin/snmpset -v 2c -O qv -t 5 -c $1 $2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.2.100 i 6 .1.3.6.1.4.1.2011.6.10.1.2.4.1.3.100 i 2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.4.100 s $4-`date '+%Y%m%d_%H%M%S'`.zip .1.3.6.1.4.1.2011.6.10.1.2.4.1.5.100 a $3 .1.3.6.1.4.1.2011.6.10.1.2.4.1.9.100 i 4 2>/dev/null
#END
-
Почему не хотите пойти по протоптанной дорожке и поставить какой-нибудь dpi (например, sce)?
Готовые решения никто, конечно не отменял, но , например, некоторые компании, предоставляющие свои системы фильтрации, используют в них как раз-таки инъектирование маршрутов, в случае , если реализация идет без зеркалирования всего трафика на железо. А любое готовое решение стоит денег, хотя каких-либо сверхсекретных механизмов в нем нет.
Отталкиваясь от этого, я считаю, весьма оправданным поиск альтернативных решений.
Тем более кто гарантирует, что в готовых решениях отсутствуют подводные камни.
Тазик с кваггой, прикрученный по ebgp - самый простой и легко масштабируемый вариант (тазиков можно поставить много, на каждый - отруливать часть списка, фильтруется только исходящий трафик, если тазик поломался - всё идёт мимо), когда только вводили эту обязательную фильтрацию - в Йоте мы сделали именно так. Сейчас есть и коммерческие решения, принцип отруливания трафика - аналогичный.
По поводу того, кто именно из аплинков нам подгадил в побивкой префиксов - уже и не припомню, давно дело было. Вроде бы Глобалнет, но может и ошибаюсь. В любом случае, случай был единичным, а allow-as-in после этого поубирали на бордерах (перешли на рекурсивные дефолты, для того что бы абоненты одного региона могли достучаться до абонентов другого).
-
Что бы не плодить новые темы:
Для сдачи узла под телефонию, по минимуму, нужно: сертифицированные ПО софтсвича (например, ECSS-10) и биллинга (к примеру, UTM) , план по СОРМ для голоса от местного УФСБ, и сервера с сертификатом ССС для разворачивания всего этого хозяйства? Правильно понял?
Или на сервера достаточно декларации ССС?
Оконечные шлюзы TDM-IP сдавать не нужно?
-
Читаем до просветления теорию, и понимаем, что работать будет.
Но на какую дистанцию - Х.З., т.к. затухание при вводе сигнала в волокно, и на переходах мультимод-одномод будет большое.
Узел связи на несколько регионов
в Работа с бумагами
Опубликовано · Жалоба на ответ
В Скартеле (Йота) в своё время так делали. Ставили региональные СОРМы на центральных узлах, сливали с ЕРС(ЛТЕ-коры) на них трафик абонентов соответствующего региона, и организовывали каналы от каждого из СОРМов до местных УФСБ.