@nocproject
Aleksandr30.07.2016
15:56:47
15:56:47
параллельной с чем-то еще - это как?
Aleksandr30.07.2016
15:57:11
15:57:11
а
Google
Алексей30.07.2016
15:57:14
15:57:14
заббикс там или база данных сторонняя
Aleksandr30.07.2016
15:57:32
15:57:32
какти, да
Алексей30.07.2016
15:57:42
15:57:42
а значит муська
Aleksandr30.07.2016
15:57:50
15:57:50
забикс мне не понравился 10 лет назад, остановился на какти
а муська на другом сервере :)
ибо мактрак жрет базу
Алексей30.07.2016
15:58:12
15:58:12
железок сколько ?
Aleksandr30.07.2016
15:58:22
15:58:22
<2000
Алексей30.07.2016
15:58:35
15:58:35
зачем базу на отдельном хосте ?
Aleksandr30.07.2016
15:58:40
15:58:40
мактрак
собирает маки со всех хостов и хранит их за каждое время сканирования, т.е. можно посмотреть в какое время какой мак был на порту, если был, обнаруживаются подмены
двух недельный набор с 4х часовым интервалом весит 20гиг
обновление прилично грузит
GoogleAleksandr30.07.2016
16:02:05
16:02:05
я так понимаю macdb из noc работает проще, собирает только актуальное количество маков на момент сбора и все, без истории
Andrey30.07.2016
16:03:15
16:03:15
помоему хранит
Алексей30.07.2016
16:03:47
16:03:47
а что ты делаешь с этой историей ?
зачем решать вопрос подмены мака ?
много неуправляшек?
Aleksandr30.07.2016
16:05:29
16:05:29
неуправляшек нет, но использовать dhcp_snooping накладно, т.к. процы свичей слабоваты, т.к. много 3526 на доступе, а каждое впихивание адреса в acl - работа проца
да и в кабель могут врезаться
Алексей30.07.2016
16:06:25
16:06:25
в кабель врезаться могут.... ты с какого города ?
ручной не нужен же.
привязывай по лизе
Aleksandr30.07.2016
16:06:54
16:06:54
к тому же на bras используется opt82, а подмены ip мешают самим абонентам
про лизу я выше написал
GoogleАлексей30.07.2016
16:07:18
16:07:18
дак нет
просто по результатам выдпачи адреса
иди на свитч и привязывй ипмакпорт
телнетом или по снмп
Aleksandr30.07.2016
16:12:15
16:12:15
это называется dhcp_snooping, пришедший пакет обрабатывается релем свича и он уже следит за ip-mac и пихает эту связку в acl(вручную происходит то же самое и даже еще больше грузит проц), вот сам процесс впихивания грузит проц, свич начинает глючить со временем, в итоге из-за старой привязки абонент не может какое-то время подключиться, если он подключил что-то другое, а так у нас есть clips-сессия по opt82, мак не важен, а если абоненту надо его сменить - заходит в лк и сбрасывает аренду кнопкой и подключает нужную ему железку с новым маком и никакого перерыва... инет украсть, инет не украдут, т.к. сессия вешается на мак, а мактрак помогает отследить подмену ip... пионеры еще не перевелись
бывает забавно начать искать мак и видеть, как он гулял по всем сегментам сети...
Алексей30.07.2016
16:13:49
16:13:49
я знаю что это можно сделать в рамках снупинга
но будут сайд эффекты
чем плохо привязвапть руками я не знаю
Aleksandr30.07.2016
16:14:50
16:14:50
жесткая привязка к маку, а абоненту не объяснишь, что ему на его железке надо мак поменять
Алексей30.07.2016
16:15:02
16:15:02
жаление админа поанализировать куда ходит абонент понятно но для бизнеса бесполезно
Aleksandr30.07.2016
16:15:02
16:15:02
когда у него комп сдох или говнорутер
Алексей30.07.2016
16:15:59
16:15:59
московская область ?
Aleksandr30.07.2016
16:16:03
16:16:03
да
GoogleAleksandr30.07.2016
16:17:08
16:17:08
:) да какое мне дело как у других?
в жесткой привязке мака есть минусы
мы можем избежать это и используем это, клиенту от этого комфортнее
а нам пофиг
привязки включаем для хулиганов
а так включишь привязку на ipv4, а оттуда начинает сыпаться куча говна про 192.168 и ipv6, все логи загажены и процс свича в ахуе
вот vlanperuser и qinq решат проблему подмен в принципе
Алексей30.07.2016
16:24:36
16:24:36
понятно
Aleksandr30.07.2016
16:24:40
16:24:40
и для бизнеса хорошо, когда абонент сам может управлять привязкой, чего у многих просто нет
Алексей30.07.2016
16:24:52
16:24:52
ну тогда ясно почему я не решел такую задачу
Aleksandr30.07.2016
16:25:01
16:25:01
т.е. абонент в лк может сам указать, что вот этот адрес только на этот мак выдавать
вот пример... поставили тут парочку абонентов на мониторинг, а то сами же жалуются, что вдруг пропадает инет, а оказывается, что у них какой-нить говнотплинк пропускает dhcp-пакеты через нат без ната, как какой-нить старый длинк типа dir-300 и тот захватывает адрес.. но вот пока мониторишь, вылезает и такое: 65390 2016-07-30 18:38:28 WARN(4) Unauthenticated IP-MAC address and discarded by IMPB (IP:FE80::D0E8:F343:8422:75ED, MAC:00-26-22-CF-A4-E9, Port:22).
65389 2016-07-30 18:36:21 WARN(4) Unauthenticated IP-MAC address and discarded by IMPB (IP:FE80::D0E8:F343:8422:75ED, MAC:00-26-22-CF-A4-E9, Port:22).
65388 2016-07-30 18:34:15 WARN(4) Unauthenticated IP-MAC address and discarded by IMPB (IP:FE80::D0E8:F343:8422:75ED, MAC:00-26-22-CF-A4-E9, Port:22).
65387 2016-07-30 18:32:10 WARN(4) Unauthenticated IP-MAC address and discarded by IMPB (IP:FE80::D0E8:F343:8422:75ED, MAC:00-26-22-CF-A4-E9, Port:22).
65386 2016-07-30 18:30:05 WARN(4) Unauthenticated IP-MAC address and discarded by IMPB (IP:FE80::D0E8:F343:8422:75ED, MAC:00-26-22-CF-A4-E9, Port:22).
65385 2016-07-30 18:28:00 WARN(4) Unauthenticated IP-MAC address and discarded by IMPB (IP:FE80::D0E8:F343:8422:75ED, MAC:00-26-22-CF-A4-E9, Port:22).
и гадит и гадит...
Andrey30.07.2016
16:44:59
16:44:59
:)
в общем, нок историю вполне себе поддерживает, другое дело что база маков с историей лежит в монге...
и места занимать может не меньше:)
чем в mysql
Vasiliy30.07.2016
22:18:28
22:18:28
Привет!
А вот умеет ли noc-project понимать, что на одном сайте может быть 2 железки, у которых должны быть идентичные конфиги, только IP разные ?
Сайт - в смысле офис. Просто на части офисов стоят по одной железке, а на части - железки резервируются.
Andrey31.07.2016
04:43:16
04:43:16
@BaZZiliO Доброе утро.
В каком плане понимать? производить проверку, что это так и в случае несовпадения стучать куда следует?
Vasiliy31.07.2016
04:55:07
04:55:07
@aversant, понимать - это, наверно, уметь в интерфейсе добавить две железки.
Если еще и стучать при несовпадении конфигов - вообще супер.
Andrey31.07.2016
04:56:52
04:56:52
Если у железок разные IP, то добавить их можно. Нок просто соберёт их конфиги.
Также он может стучать при изменении конфига.
GoogleAndrey31.07.2016
04:57:13
04:57:13
а вот, сравнивать 2 конфига - тут есть над чем подумать)
Vasiliy31.07.2016
04:57:45
04:57:45
@aversant а сравнивать он их, наверняка, не умеет, так ?
Andrey31.07.2016
04:59:12
04:59:12
почему? они же лежат у него в базе. Плюс он умеет считать разницу между конфигами.
Скажу так, что из коробки не умеет. Т.е. галочки такой нет.
Но теоритически в реализации проблемя я не вижу
Надо только подумать, как это оформить:)
НОК может валидировать конфиги, на предмет разных совпадение и прочего... вопрос подойдёт ли этот механизм для данного случая
т.е., условно, надо сравнить конфиг одной железки с другой - и если не будут совпадать - то создавать аварию?
Vasiliy31.07.2016
05:03:31
05:03:31
Да, только при этой проверке часть команд (настройки IP/шлюза, может что-то еще) нужно исключать.
Но это уже мелочи.
В общем, смотреть надо и пробовать.
Andrey31.07.2016
05:03:56
05:03:56
ну, без питона тут не обойтись:)
можно глянуть про валидацию конфига
https://kb.nocproject.org/pages/viewpage.action?pageId=22970543
смысл в том, чтобы написать свой плагин
на вход ему будет передаваться имя железки
с которой надо сравнивать
Открыть в Telegram