Узел связи на несколько регионов

[Узел связи на несколько регионов]

В Скартеле (Йота) в своё время так делали. Ставили региональные СОРМы на центральных узлах, сливали с ЕРС(ЛТЕ-коры) на них трафик абонентов соответствующего региона, и организовывали каналы от каждого из СОРМов до местных УФСБ.

[Cisco MPLS]

мплс умеют 3600, 3800, 65/68 и 3750 метро.

Нексусы 7К емнип, тоже.

В общем - не ваш случай.

[Проверка доступности канала связи]

ip sla можно, если есть что-то кроме 2960(на них - только респондер есть). На Л3 свичах и почти всех роутерах есть (цисковских).

[Icinga Mониторинг удаленных серверов HP ProLiant]

http://www.claudiokuenzler.com/blog/374/hp-proliant-snmp-oid-query-hardware-disk-drive-information-status#.VzyB2JGLTIU

 

Here are some examples for disk/drive related lookups.

 

Show the current HP SmartArray Firmware version:

 

snmpwalk -v 2c -c public localhost 1.3.6.1.4.1.232.3.2.2.1.1.3

SNMPv2-SMI::enterprises.232.3.2.2.1.1.3.1 = STRING: "5.70"

 

Check the current status for logical drives:

 

snmpwalk -v 2c -c public localhost 1.3.6.1.4.1.232.3.2.3.1.1.4

SNMPv2-SMI::enterprises.232.3.2.3.1.1.4.1.1 = INTEGER: 2

SNMPv2-SMI::enterprises.232.3.2.3.1.1.4.1.2 = INTEGER: 2

SNMPv2-SMI::enterprises.232.3.2.3.1.1.4.1.3 = INTEGER: 2

SNMPv2-SMI::enterprises.232.3.2.3.1.1.4.1.4 = INTEGER: 2

 

For each logical drive a status code is returned. Refer to the following table to translate:

 

1: other

8: wrongDrive2: ok9: badConnect

3: failed

10: overheating

4: unconfigured

11: shutdown

5: recovering

12: expanding

6: readyForRebuild13: notAvailable

7: rebuilding14: queuedForExpansion

Check the current status for physical drives:

 

snmpwalk -v 2c -c public localhost 1.3.6.1.4.1.232.3.2.5.1.1.6

SNMPv2-SMI::enterprises.232.3.2.5.1.1.6.1.8 = INTEGER: 2

SNMPv2-SMI::enterprises.232.3.2.5.1.1.6.1.9 = INTEGER: 2

SNMPv2-SMI::enterprises.232.3.2.5.1.1.6.1.10 = INTEGER: 2

SNMPv2-SMI::enterprises.232.3.2.5.1.1.6.1.11 = INTEGER: 2

 

Note that these are the physical drives. Use the following table to translate the returned number:

 

1: other

3: failed

2: ok

4: predictiveFailure

 

 

Note: A predictiveFailure will be shown as "Smart Error" in ILO.

 

[Zabbix SNMP Traps]

Начните с того, что бы трапы попадали хотя бы в snmptrap.fallback .

А ещё лучше, возьмите готовые шаблоны с трапами на падение линка (хотя бы мои :)) и допилите их под себя.

[отзеркалировать зеркалированный трафик]

важно - чтобы пропускать зеркалированный трафик, нужно на принимающем его порту отключать learning

 

+1. Использовали отключение мак-лёнинга на спан-аггрегаторе (собирал трафик со сплиттеров между LTE-корой и транспортной сетью) вместо собственно мирроринга, кроме того - так можно ещё и фильтровать ненужный трафик с помощью VACL.

(У нас несколько региональных сормов стояли в одной точке, на каждый - лился трафик только его региона).

[разумные значения]

Речь вовсе не отом, меня дефолтные настройки вполне устраивают.

Мне вот интересно, меняет ли их кто нибудь и если да, то на какие значения?

 

Меняют, в специфических случаях. Можно задавать индивидуально на конкретного пира.

Например - у нас с одним из аплинков ebgp связность через транзитный коммутатор, так для обеспечения нормальной сходимость при падении физического линка таймеры выкручены до 1с хелло и 3с холдтайм. Остальные не трогали. На циске, минимальные рекомендованные значения (при необходимости ускорить сходимость, без warning) - timers 7 21.

 

Остальные таймеры обычно не трогают.

 

П.С.: значения таймеров можно задавать только с одной стороны. Но уменьшение дефолтных значений (60 hello, 180 holdtime, емнип) лучше согласовать с аплинком, а то могут неправильно понять.

 

 

[Zabbix 3.0 - шаблоны для SNMP LLD]

Коллеги, а ни ку у кого нет шаблона для cisco ip sla udp-jitter ? Я думал, легко найду - а нет, под какти есть - под заббикс не нашел.

Если ещё актуально - в шаблоне "Basic Cisco SNMP with traps" есть триггер на трап о нарушении SLA. Нужно только цисковские MIB-ы подсунуть, что бы в заббикс попадали уже оттранслированные трапы (в читаемом виде, а не как OID).

На самих цисках примерно так:

sla 250

udp-jitter 10.116.250.1 30000 codec g711alaw

tos 70

frequency 10

ip sla schedule 250 life forever start-time now

ip sla reaction-configuration 250 react jitterAvg threshold-value 25 10 threshold-type immediate action-type trapOnly

ip sla reaction-configuration 250 react packetLossSD threshold-value 25 10 threshold-type consecutive 3 action-type trapOnly

ip sla reaction-configuration 250 react packetLossDS threshold-value 25 10 threshold-type consecutive 3 action-type trapOnly

ip sla logging traps

snmp-server trap link ietf

snmp-server enable traps syslog

snmp-server enable traps ipsla

snmp-server host 10.17.222.245 vrf MNGM version 2c zabbix

Трапы в заббикс должны попадать примерно в таком виде:

 

12:31:29 2016/04/28 ZBXTRAP 10.116.61.1

VARBINDS:

DISMAN-EVENT-MIB::sysUpTimeInstance type=67 value=Timeticks: (354636833) 41 days, 1:06:08.33

SNMPv2-MIB::snmpTrapOID.0 type=6 value=OID: CISCO-SYSLOG-MIB::clogMessageGenerated

CISCO-SYSLOG-MIB::clogHistFacility.4153 type=4 value=STRING: "RTT"

CISCO-SYSLOG-MIB::clogHistSeverity.4153 type=2 value=INTEGER: 4

CISCO-SYSLOG-MIB::clogHistMsgName.4153 type=4 value=STRING: "IPSLATHRESHOLD"

CISCO-SYSLOG-MIB::clogHistMsgText.4153 type=4 value=STRING: "IP SLAs(251): Threshold exceeded for packetLossSD"

CISCO-SYSLOG-MIB::clogHistTimestamp.4153 type=67 value=Timeticks: (354636832) 41 days, 1:06:08.32

 

[Zabbix 3.0 - шаблоны для SNMP LLD]

На аггрегированых портах (проверял на cisco etherchannel) показывает неверную скорость. В консоли: 30 second input rate XXXXXXXXX bits/sec, по факту на графиках XXXXXXXXX*кол-во мемберов etherchannela.

 

Как бы исправить?

Да вроде всё ОК:

RU-SPE-SW1#sh int po13 | i rate

Queueing strategy: fifo

5 minute input rate 1641000 bits/sec, 791 packets/sec

5 minute output rate 1634000 bits/sec, 772 packets/sec

 

[Zabbix 3.0 - шаблоны для SNMP LLD]

Разные мелкие оптимизации, вроде имен хостов и интерфейсов в графиках, изменения в LLD (дискавери по нескольким параметрам), 64bit счётчики, триггеры по трапам, в т.ч на падение интерфйсов, сбор инвентори, и т.п.

Ну и в том что идёт вместе с заббиксом нет специфик шаблонов под циску, джун и ибм.

[Zabbix LLD description]

да, уже все сделал

Как сделал? делись с общественностью)

 

Да всё просто. См. шаблоны по ссылке.

http://forum.nag.ru/forum/index.php?showtopic=101157

[Zabbix 3.0 - шаблоны для SNMP LLD]

Для желающих 3й версии - адаптированные шаблоны.

 

Включает:

 

 

Basic App MySQL

Basic App Zabbix Agent

Basic App Zabbix Proxy

Basic App Zabbix Server

Basic Cisco SNMP with traps

Basic IBM - IMM2 SNMP

Basic ICMP Network Device

Basic Juniper SNMP with traps

Basic OS Linux

Basic SNMP Network Device

Basic Virt VMware

Basic Virt VMware Guest

Basic Virt VMware Hypervisor

 

ЗЫ: добавил подсчёт pps в Basic SNMP Network Device.

ссылка в первом посте.

[Два блока PA адресов на Cisco]

Интересная особенность... если я получил адрес к примеру 92.63.207.250, то трафик не идет через бордер. А вот если я получаю адрес из 92.63.204.*/24 , то все отлично гуляет туда и обратно. Что-то в бордере надо подкрутить, но никак не соображу что.

Сейчас мой реальный адрес 92.63.204.254. Киньте кто-то трассу от себя.

 

 

4 10.222.52.50 [MPLS: Label 4965 Exp 0] 40 msec 36 msec

10.222.43.1 [MPLS: Label 4965 Exp 0] 40 msec

5 10.222.43.22 [MPLS: Label 5354 Exp 0] 36 msec 40 msec 40 msec

6 10.222.18.142 36 msec * *

7 * *

37.29.20.110 36 msec

8 92.63.204.16 36 msec 40 msec 40 msec

9 * * *

10 * * *

11 * * *

12 * * *

13 * * *

14 * *

SPE-OFF-RTR1#

 

PS:

 

SPE-OFF-RTR1#ping 92.63.204.254

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 92.63.204.254, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 40/40/44 ms

SPE-OFF-RTR1#

SPE-OFF-RTR1#ping 92.63.207.250

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 92.63.207.250, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 40/40/40 ms

SPE-OFF-RTR1#

[управление BGP порядок поднятия сессий]

Не вы первый, не вы последний :)

http://www.gossamer-threads.com/lists/cisco/nsp/121092

самое очевидное решение - использовать ЕЕМ для шутдауна нужных сессий после загрузки, и последующего подъёма (вместо того, что бы делать это вручную).

[GPON И FTTH по одному волокну]

А циркуляторы никто не пробовал применить для этого ? :)

[МОдернизация пограничного маршрутизатора]

Ну раз всё знаете, подскажите железку для NAT/shap на 5к абонов на 5-6гиг

 

если без шейпера , а только нат - ASA отлично себя зарекомендовали.

[Реестр запрещенных сайтов: прокси и "аппаратные решения"]

Нормально работает. не-http трафик пролетает без анализа. А кеширование в их сквиде отключено, он используется только для фильтрации.

В Йоте, когда вся эта мутотень с фильтрацией только начиналась, мы сделали похожее решение на коленке, только вместо сквида был модуль string в том же iptables.

Основные плюсы те же : горизонтально масштабируется, обрабатывается только аплинк трафик на ip из списка.

[Реестр запрещенных сайтов: прокси и "аппаратные решения"]

Нет, фильтрует по урл.

Получает списки (роскомнадзора и минюста) , резолвит в ип, через exabgp+quagga анонсит в сеть, что перенапрвляет на фильтр аплинк трафик на эти адреса. Трафик на 80й порт iptables-ом заворачивается на сквид, где и фильтруется по URL. https - блочит по ip.

[Реестр запрещенных сайтов: прокси и "аппаратные решения"]

Плюсик разработчикам SkyDNS Zapret Info. Поставил и забыл, и поддержка работает оперативно (недавно реестр перестал проходить проверку ЭЦП, обновление с фиксом сделали на следующий день, а пути обхода - сразу же). Основные плюсы лично для меня - интеграция в сеть по bgp, пропуск только аплинк трафика.

[ip unnumbered - резервирование]

А isis оно умеет?

[Zabbix 3.0 - шаблоны для SNMP LLD]

Обновил шаблоны, добавил чуть-чуть мелких оптимизаций.

zbx_export_templates.xml

[Huawei s2300 s5300 snmp tftp upload]

UPD: обновил скрипт, оказалось некоторые железки (коммутатор S2750 например) желают расширение ".zip" вместо ".cfg"

 

#!/bin/sh

# GNU GPL

#

# Zabbix global script for backup Huawei CFG to TFTP server

# Usage:

# ./hwGetConfig.sh Private 10.77.2.3 10.78.3.4 huawei-config

# WARNING: filename MUST end with ".cfg" or ".zip", added by this script.

# Zabbix usage:

# Global script like this: /usr/local/bin/hwGetConfig.sh {$SNMP_WRITE} {HOST.CONN} {$TFTP_IP} {HOST.HOST} 2>&1

 

# $1 {$SNMP_WRITE}

# $2 {HOST.CONN}

# $3 {$TFTP_IP}

# $4 {HOST.HOST}

 

/usr/bin/snmpset -v 2c -O qv -t 5 -c $1 $2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.9.100 i 6 2>&1

 

#for devices, what require ".cfg" string

/usr/bin/snmpset -v 2c -O qv -t 5 -c $1 $2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.2.100 i 6 .1.3.6.1.4.1.2011.6.10.1.2.4.1.3.100 i 2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.4.100 s $4-`date '+%Y%m%d_%H%M%S'`.cfg .1.3.6.1.4.1.2011.6.10.1.2.4.1.5.100 a $3 .1.3.6.1.4.1.2011.6.10.1.2.4.1.9.100 i 4 2>/dev/null

 

#for devices, what require ".zip" string

/usr/bin/snmpset -v 2c -O qv -t 5 -c $1 $2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.2.100 i 6 .1.3.6.1.4.1.2011.6.10.1.2.4.1.3.100 i 2 .1.3.6.1.4.1.2011.6.10.1.2.4.1.4.100 s $4-`date '+%Y%m%d_%H%M%S'`.zip .1.3.6.1.4.1.2011.6.10.1.2.4.1.5.100 a $3 .1.3.6.1.4.1.2011.6.10.1.2.4.1.9.100 i 4 2>/dev/null

 

#END

[Анонсирование injected-routes внутри AS]

Почему не хотите пойти по протоптанной дорожке и поставить какой-нибудь dpi (например, sce)?

Готовые решения никто, конечно не отменял, но , например, некоторые компании, предоставляющие свои системы фильтрации, используют в них как раз-таки инъектирование маршрутов, в случае , если реализация идет без зеркалирования всего трафика на железо. А любое готовое решение стоит денег, хотя каких-либо сверхсекретных механизмов в нем нет.

Отталкиваясь от этого, я считаю, весьма оправданным поиск альтернативных решений.

Тем более кто гарантирует, что в готовых решениях отсутствуют подводные камни.

Тазик с кваггой, прикрученный по ebgp - самый простой и легко масштабируемый вариант (тазиков можно поставить много, на каждый - отруливать часть списка, фильтруется только исходящий трафик, если тазик поломался - всё идёт мимо), когда только вводили эту обязательную фильтрацию - в Йоте мы сделали именно так. Сейчас есть и коммерческие решения, принцип отруливания трафика - аналогичный.

 

По поводу того, кто именно из аплинков нам подгадил в побивкой префиксов - уже и не припомню, давно дело было. Вроде бы Глобалнет, но может и ошибаюсь. В любом случае, случай был единичным, а allow-as-in после этого поубирали на бордерах (перешли на рекурсивные дефолты, для того что бы абоненты одного региона могли достучаться до абонентов другого).

[Сдача в эксплуатацию узла связи (оборудование)]

Что бы не плодить новые темы:

Для сдачи узла под телефонию, по минимуму, нужно: сертифицированные ПО софтсвича (например, ECSS-10) и биллинга (к примеру, UTM) , план по СОРМ для голоса от местного УФСБ, и сервера с сертификатом ССС для разворачивания всего этого хозяйства? Правильно понял?

Или на сервера достаточно декларации ССС?

Оконечные шлюзы TDM-IP сдавать не нужно?

[сфп на 850 нм]

Читаем до просветления теорию, и понимаем, что работать будет.

Но на какую дистанцию - Х.З., т.к. затухание при вводе сигнала в волокно, и на переходах мультимод-одномод будет большое.