Jump to content
Калькуляторы

Stak

VIP
  • Content Count

    1271
  • Joined

  • Last visited

Everything posted by Stak


  1. Update: Выложил на Github. https://github.com/rmavrichev/zabbix Для желающих 3й версии - адаптированные шаблоны, файл zbx3_Basic_templates.xml . Включает: Basic App MySQL Basic App Zabbix Agent Basic App Zabbix Proxy Basic App Zabbix Server Basic Cisco SNMP with traps Basic IBM - IMM2 SNMP Basic ICMP Network Device Basic Juniper SNMP with traps Basic OS Linux Basic SNMP Network Device Basic Virt VMware Basic Virt VMware Guest Basic Virt VMware Hypervisor Адаптировал под себя шаблоны с низкоуровневым обнаружением (LLD) из поставки zabbix 2.2 , может кому-то ещё пригодятся. SNMP Interfaces with Traps Basic SNMP Network Device.xml Подходит для всего, что умеет IF-MIB (на циске, микротике и хуавее проверял), использует 64-бит счётчики. Теперь рисует дескрипшн интерфейса в имени графиков, discovery интерфейсов ограничен рег.выражением ^(.*Ethernet.*|Vlan.*|Tunnel.*|Port-channel.*)$[TRUE] (надо задать через меню "Администрирование", можно переопределить на уровне конкретного хоста (на Микротике по другому именуются интерфейсы, например) , ловит и складывает в кучу fallback-traps по SNMP (т.е. всё, что не попало под другие шаблоны трапов). Также умеет взводить триггеры на наличие ошибок на порту (больше 10 за период опроса суммарно для TX и RX), и перегрузку по TX или RX более 80%. Ловит SNMP трапы на IF-MIB::linkDown (падение интерфейсов) и взводит по ним триггер. Собирает инвентори через ENTITY-MIB, для всех модулей, у которых есть серийные номера. SNMP Cisco CPU and Memory with Traps Cisco SNMP with traps.xml Мониторит cpu, температуру, состав шасси, ловит циско-специфик трапы на некоторые события и взводит по ним триггеры. В общем, довесок к первому, специфичный для цисок. для трапов трансляцию oid в человеко-читаемые делал на уровне snmpd, т.е. zabbix-y отдаются уже оттранслированные трапы. Huawei SNMP with traps.xml Мониторит cpu, память, температуру и состояние алармов компонентов шасси (проверялся на NE40E), ловит трапы на некоторые события и взводит по ним триггеры. По идее, должен работать на всех хуавеях. Ещё есть полезный скриптик для пинания цисок на слив конфига на тфтп, используется как действие на триггер "изменение стартап-конфига". P.S. Обновил шаблоны до крайних версий. zabbix_trap_receiver.pl.txt (переименовать в .pl) - версия ресивера с включенной транслацией hex->ascii (спасибо французам), т.к. некоторые железки отдают ifDescr в трапах как HEX-String (cisco 3750, например). Впрочем, некоторые (Dlink DGS3620) вообще не отдают.... P.P.S: Переработал шаблоны, добавил ивентори и триггер на падение интерфесов по трапу в базовый, в специфичные - добавлен мониторинг температуры, состояния блоков питания и вентиляторов. Также добавлен скрипт для сохранения конфигов с хуавея на тфтп. zabbix_trap_receiver.pl.txt Basic SNMP Network Device.xml Cisco SNMP with traps.xml Huawei SNMP with traps.xml zbx3_Basic_templates.xml
  2. NAT на Cisco ACE никто не делал для абонентов? Есть проблема с traceroute, когда ACE в роутед режиме - при трассировке вместо каждого хопа возвращает адрес конечного хоста....<br />Может быть кто-то сталкивался?<br />
  3. В Скартеле (Йота) в своё время так делали. Ставили региональные СОРМы на центральных узлах, сливали с ЕРС(ЛТЕ-коры) на них трафик абонентов соответствующего региона, и организовывали каналы от каждого из СОРМов до местных УФСБ.
  4. мплс умеют 3600, 3800, 65/68 и 3750 метро. Нексусы 7К емнип, тоже. В общем - не ваш случай.
  5. ip sla можно, если есть что-то кроме 2960(на них - только респондер есть). На Л3 свичах и почти всех роутерах есть (цисковских).
  6. http://www.claudiokuenzler.com/blog/374/hp-proliant-snmp-oid-query-hardware-disk-drive-information-status#.VzyB2JGLTIU
  7. Начните с того, что бы трапы попадали хотя бы в snmptrap.fallback . А ещё лучше, возьмите готовые шаблоны с трапами на падение линка (хотя бы мои :)) и допилите их под себя.
  8. +1. Использовали отключение мак-лёнинга на спан-аггрегаторе (собирал трафик со сплиттеров между LTE-корой и транспортной сетью) вместо собственно мирроринга, кроме того - так можно ещё и фильтровать ненужный трафик с помощью VACL. (У нас несколько региональных сормов стояли в одной точке, на каждый - лился трафик только его региона).
  9. Меняют, в специфических случаях. Можно задавать индивидуально на конкретного пира. Например - у нас с одним из аплинков ebgp связность через транзитный коммутатор, так для обеспечения нормальной сходимость при падении физического линка таймеры выкручены до 1с хелло и 3с холдтайм. Остальные не трогали. На циске, минимальные рекомендованные значения (при необходимости ускорить сходимость, без warning) - timers 7 21. Остальные таймеры обычно не трогают. П.С.: значения таймеров можно задавать только с одной стороны. Но уменьшение дефолтных значений (60 hello, 180 holdtime, емнип) лучше согласовать с аплинком, а то могут неправильно понять.
  10. Если ещё актуально - в шаблоне "Basic Cisco SNMP with traps" есть триггер на трап о нарушении SLA. Нужно только цисковские MIB-ы подсунуть, что бы в заббикс попадали уже оттранслированные трапы (в читаемом виде, а не как OID). На самих цисках примерно так: Трапы в заббикс должны попадать примерно в таком виде:
  11. Разные мелкие оптимизации, вроде имен хостов и интерфейсов в графиках, изменения в LLD (дискавери по нескольким параметрам), 64bit счётчики, триггеры по трапам, в т.ч на падение интерфйсов, сбор инвентори, и т.п. Ну и в том что идёт вместе с заббиксом нет специфик шаблонов под циску, джун и ибм.
  12. Как сделал? делись с общественностью) Да всё просто. См. шаблоны по ссылке. http://forum.nag.ru/forum/index.php?showtopic=101157
  13. Для желающих 3й версии - адаптированные шаблоны. Включает: Basic App MySQL Basic App Zabbix Agent Basic App Zabbix Proxy Basic App Zabbix Server Basic Cisco SNMP with traps Basic IBM - IMM2 SNMP Basic ICMP Network Device Basic Juniper SNMP with traps Basic OS Linux Basic SNMP Network Device Basic Virt VMware Basic Virt VMware Guest Basic Virt VMware Hypervisor ЗЫ: добавил подсчёт pps в Basic SNMP Network Device. ссылка в первом посте.
  14. 4 10.222.52.50 [MPLS: Label 4965 Exp 0] 40 msec 36 msec 10.222.43.1 [MPLS: Label 4965 Exp 0] 40 msec 5 10.222.43.22 [MPLS: Label 5354 Exp 0] 36 msec 40 msec 40 msec 6 10.222.18.142 36 msec * * 7 * * 37.29.20.110 36 msec 8 92.63.204.16 36 msec 40 msec 40 msec 9 * * * 10 * * * 11 * * * 12 * * * 13 * * * 14 * * SPE-OFF-RTR1# PS: SPE-OFF-RTR1#ping 92.63.204.254 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 92.63.204.254, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/40/44 ms SPE-OFF-RTR1# SPE-OFF-RTR1#ping 92.63.207.250 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 92.63.207.250, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/40/40 ms SPE-OFF-RTR1#
  15. Не вы первый, не вы последний :) http://www.gossamer-threads.com/lists/cisco/nsp/121092 самое очевидное решение - использовать ЕЕМ для шутдауна нужных сессий после загрузки, и последующего подъёма (вместо того, что бы делать это вручную).
  16. А циркуляторы никто не пробовал применить для этого ? :)
  17. если без шейпера , а только нат - ASA отлично себя зарекомендовали.
  18. Нормально работает. не-http трафик пролетает без анализа. А кеширование в их сквиде отключено, он используется только для фильтрации. В Йоте, когда вся эта мутотень с фильтрацией только начиналась, мы сделали похожее решение на коленке, только вместо сквида был модуль string в том же iptables. Основные плюсы те же : горизонтально масштабируется, обрабатывается только аплинк трафик на ip из списка.
  19. Нет, фильтрует по урл. Получает списки (роскомнадзора и минюста) , резолвит в ип, через exabgp+quagga анонсит в сеть, что перенапрвляет на фильтр аплинк трафик на эти адреса. Трафик на 80й порт iptables-ом заворачивается на сквид, где и фильтруется по URL. https - блочит по ip.
  20. Плюсик разработчикам SkyDNS Zapret Info. Поставил и забыл, и поддержка работает оперативно (недавно реестр перестал проходить проверку ЭЦП, обновление с фиксом сделали на следующий день, а пути обхода - сразу же). Основные плюсы лично для меня - интеграция в сеть по bgp, пропуск только аплинк трафика.
  21. Обновил шаблоны, добавил чуть-чуть мелких оптимизаций. zbx_export_templates.xml
  22. UPD: обновил скрипт, оказалось некоторые железки (коммутатор S2750 например) желают расширение ".zip" вместо ".cfg"
  23. Готовые решения никто, конечно не отменял, но , например, некоторые компании, предоставляющие свои системы фильтрации, используют в них как раз-таки инъектирование маршрутов, в случае , если реализация идет без зеркалирования всего трафика на железо. А любое готовое решение стоит денег, хотя каких-либо сверхсекретных механизмов в нем нет. Отталкиваясь от этого, я считаю, весьма оправданным поиск альтернативных решений. Тем более кто гарантирует, что в готовых решениях отсутствуют подводные камни. Тазик с кваггой, прикрученный по ebgp - самый простой и легко масштабируемый вариант (тазиков можно поставить много, на каждый - отруливать часть списка, фильтруется только исходящий трафик, если тазик поломался - всё идёт мимо), когда только вводили эту обязательную фильтрацию - в Йоте мы сделали именно так. Сейчас есть и коммерческие решения, принцип отруливания трафика - аналогичный. По поводу того, кто именно из аплинков нам подгадил в побивкой префиксов - уже и не припомню, давно дело было. Вроде бы Глобалнет, но может и ошибаюсь. В любом случае, случай был единичным, а allow-as-in после этого поубирали на бордерах (перешли на рекурсивные дефолты, для того что бы абоненты одного региона могли достучаться до абонентов другого).