Jäätävä A T K-räpellys (Algron28:n laitetilaprojekti)

[Algron28]

Näyttääkö komento sudo brctl show että bridgeissä yleensäkään on mitään interfacea olemassa ?
Ja noita kahta eri konetta vertamalla näyttäisi tässä dellissä olevan molemmat fyysiset interfacet enp2s0f0 ja enp2s0f1 alhaalla, kun taas toimivassa kokoonpanossa toinen fyysinen interface ens2f0 on ylhäällä.

Mac osoitteen perusteella verkkkokorit ovat Dellin tekemiä, mutta en nyt heti löytänyt muuta kun viitteitä Broadcomin piirisarjaan, voisiko olla niin, että kortit vaativat toimiakseen jonkin firmwaren.

Pitääs kattoa tuo komento kun pääsee kotia takaisin. Dellissä enp-interfacet on 10G liitäntöjä jotka tulee palveluyhteyksille kun taas emolevyn integroitu 2x1G (eno1) tulee olemaan hallinnalle. jos ei muuta niin voisi kokeilla konffata hallinan kokeeksi tuon 10G kautta mutta se menee fyysisesti tällä hetkellä sellaiseen paikkaan josta yhteys pitää kytkennällisesti viedä hallintaverkon kytkimeen.

 

[Ogeli]

Osoite on tuolla:
etc/network/interfaces
Hallinta on jossain hämärässä portissa (8006) tuolla ohje miten saa normaalin https:n (443) käyttöön:

Web Interface Via Nginx Proxy - Proxmox VE

pve.proxmox.com

luultavasti eno1 emon portti käytössä.
ja sudo ei toimi pelkkä brctl show riittää (ollaan roottina)
Mulla tällainen:

root@pve1:/etc/network# brctl show
bridge name     bridge id               STP enabled     interfaces
fwbr104i0               8000.7af528474d10       no              fwln104i0
                                                        tap104i0
vmbr0           8000.2c44fd2840d0       no              eno1
                                                        fwpr104p0
vmbr1           8000.503eaa106606       no              enp3s0
vmbr2           8000.001b213a72a7       no              enp1s0

 

[Algron28]

Helvetin helvetti, nyt oli kyllä oma moka kun luotti sokeasti totuttuun. Tässä Dell R210II palvelimessa jostain syystä emolevyn integroidut verkkokortit tunnistautuvat enp2 alkuisiksi ja PCI-E väylässä oleva 2x10G tunnistuu eno-alkuisiksi porteiksi. Eli siis juuri päin vastoin kuin yleensä ja päinvastoin toimivassa palvelimessa (joka HPE). Tuo olisi tietenkin selvinnyt ainakin lshw komennolla jota koitinkin kokeilla mutta tuo on poistettu proxmoxissa, ehkä sille on joku korvike siinä. Vaihdoin siis adapteria ja hallinta lähti toimimaan. Tämä uusi versio ei näytä listaavan jostain syystä broadcast osoitetta kuten tuo vanhempi asennus tekee.

 

[Algron28]

Sitten seuraava kohta. Tarkoitus on paukuttaa tuo uusi proxmox tuon vanhan kanssa clusteriksi. Ainoa pointti tällä on saada keskitetty hallinta molemmille. Virallinen dokumentaatio ja osa netin ohjeista painottaa että clustoroinnissa nodejen välinen verkko tulee olla riittävän suorituskykyinen ja varsinkin latenssi on kai tässä kriittisessä merkityksessä. Virallinen dokumentaatio taisi suositella jopa erillistä verkkoa tälle. Onko kokemusta kuinka tuo clusterointi on ronkkeli tuolle tilanteissa joissa sitä ei käytetä muuhun kuin hallinnan keskitykseen?

Omassa toteutuksessa on lähinnä seuraavat haasteet: Hallintaverkon kytkimessä on vain 100 megaiset portit ja proxmoxin backup liikenne hoituu myös samaista verkkoa pitkin. Tuohon HPEhen saisi toki toisen verkkokortin lisättyä vielä jolla saisi lisää fyysisiä paikkoja mutta Dell:issä ei ole vapaita portteja tai korttipaikkoja. Tuota periaatteessa voisi kokeilla toteuttaa niin että loisi tuolle clusteri liikenteelle oman VLANin ja katsoisi saako kytkimeen konffattua jonkun VLAN based QoS toimimaan. Loppupeleissä en usko että liikennemäärä nodejen välillä on valtava kun ei ole tarkoitus jakaa nodejen kesken mitään resursseja tai HAta käyttää.

 

[Algron28]

Noniin, nyt on tullut tuon proxmoxin kanssa paukuteltua.

Clusterointi onnistuu ihan näppärästi mutta alla olevia huomioita:

- Ilman HAta normaalitilanteissa verkonkäyttö on vähäistä, mutta clusteroinnin käyttämä Corosync on herkkä latenssille joten dedikoitu portti tälle ei ole ainakaan oikeassa tuotantokäytössä todellakaan huono idea. Corosyncin saa toimimaan myös proxmoxin hallintaportin yli, mutta jos tätä samaa putkea pitkin menee backup liikenne niin joissain tilanteissa voi ongelmia olla edessä jos kapasiteetti alkaa loppua.

- Käytännön syistä Corosync liikenne kannattaa laittaa omaan VLANiinsa. Jos jaksaa hifistellä, niin VLANin voi priorisoida kytkimissä. VLANista ei tarvitse olla pääsyä kuin nodeille. Kokeiluvaiheessa loin yhden linkin tuon hallintaportin päälle mutta tarkoitus on se siirtää omaan VLANiin.

- Varalinkin määritteleminen on suositeltavaa. Itsellä varalinkkinä toimii hyötyliikenteen (ei siis erillisen hallintaliikenteen) verkko jossa se kulkee omassa VLANissa. Näitä voi sitten priorisoida ja korkeimmalla prioriteetillä oleva linkki välittää aina liikennettä ja muut ovat varalla. Varalinkin voi määritellä GUIsta clusteria luodessa, mutta tämän jälkeen lisättävät linkin on naputelta suoraan corosync.conf tiedostoon.

- Vikatilanteissa joissa clusterin corosync liikenne ei toimi nodet pysyvät ylhäällä mutta menevät vika tilaan ja monet toimenpiteet lukittuvat ennenkuin clusteri on taas ehjä. Tämä ilmeisesti johtuu jostain clusterin käyttämästä quorum määritelmästä jolla tietyt muutokset on hyväksytettävä riittävän monella clusterin nodella. Joissain tilanteissa tämä johtaa myös clientien alasajoon tai käynnistämisen estämiseen. Tästä syystä se varalinkki, mielellään erillisellä kytkimellä, on kätevä sillä esim kytkintä käynnistäessä uudelleen clusteri menee vikatilaan ellei varatietä ole.

Clusterointi näyttää toimivan myös eri versioisilla nodeilla, clusteria luodessa toinen oli 6.4 ja toinen 7.0 versiossa. päivittelin tänään tuon RNS02 6.4 -> 7.0 joka yllättäen myöskin sujui ilman ongelmia.

 

[Hyrava]

Kiitoksia tiedoista! Itsekin tässä suunnittelin laittaa toisen koneen ajamaan proxmoxia kunhan kerkiää ja tuossa olikin pari hyvää pointtia jotka aion ottaa suoraan huomioon. Omissa koneissa on 2kpl gigaisia etskuportteja eli toinen kannattaa ilmeisesti suosiolla pyhittää tuolle corosyncille ja omalla kytkimellä. Tuota ennen pitää kuitenkin siivota koko räkki kun on vuosien varrella päässyt vähän muutoksien yhteydessä räjähtämään.

Mulla kun ei ole mitään oikeaa serverirautaa proxmoxille niin nykyisessä on muistin määrä tulossa vastaan joten on vähän pakko kohta laajentaa toisella koneella. Tietty olisihan se mukavaa jos olisi oikeaa serverirautaa johon saa paljon levyä ja muistia mutta tuppaavat olevan kovin äänekkäitä joten ei sovi oikein asuintiloihin. Duunissa joku aika boottailin olikohan se HP:n 2U räkkiserveriä jossa oli vissiin 8 vai 9 tuuletinta ja kyllä se käynnistyksessä kuulosti lähinnä hornetilta eikä se idlenäkään kovin hiljainen ollut.

 

[Algron28]

Itse käytän oman kotiverkon ja laitteiden monitorointiin Zabbixia. Meillä on zabbix myös töissä käytössä joten oli helppo lähteä sillä omaakin valvontaa tekemään. Nagios on omasta mielestäni hankalampi, tosin joissakin jutuissa ehkä parempi. On noita aika monta muutakin vastaavaa ilmaista mutta itse totesin Zabbixin helpoimmaksi.

Viestejä itselläni lähtee tarpeen mukaan sähköpostiin, tekstarina ja telegramina ja laitteita tosiaan on kotiverkossakin valvonnassa ihan kohtalaisesti. Muutamana esimerkkinä mainittakoon proxmox-virtualisointialusta ja sen virtuaalikoneet, pöytäkone, muutama raspberry pi, muutama kotiautomaation ESP32:sta, hallittavia kytkimiä, pari UPSia, kaapelimodeemi, muutama valvontakamera, AV-laitteita jne. Tällä hetkellä liki 100 hostia valvonnassa. Joukossa on kaikenlaisia "virtuaalilaitteitakin" kuten muutama asia mitä ihan kyselen netistä kuten käyttämieni DNS-serverien tila jne. Itse olen aika paljon tehnyt noita templateja ja omia valvontoja kun nuo vakiona olevat eivät riittäneet alkuunkaan.

Graafeja taas minulla piirtelee vasteajoista sun muista Grafana joka on kanssa aika simppeli työkalu. Verkkodokumentaatiota itse pidän OpenDCIM:ssä johon saa räkkikuvat, johdotukset sun muut kivasti. Ei paras mahdollinen mutta itselleni riittävä. Vastaavia työkaluja varmaan löytynee hakusanoilla DCIM tai IPAM.

Onko tuo OpenDCIM todella näin kämy näiden kaapelointien suhteen?

Reittejä voi hakea yksi kerrallaan näin-.

tai sitten niistä saa tälläisiä sekavia graafisia raportteja:

Nuo on molemmat tuon softan netti demosta otettu.

Se mitä näitä joitain on katsonut niin kaikissa on ihmetyttänyt se että vaikka kaikki muut ominaisuudet näyttää hienosti olevan toteutettu ja räkit saa kuvattu tarkasti niin sitten kaapeloinnin ja yhteyksien dokumentointi on joko sekavaa tai vaivalloista. Luulisi että kuitenkin muutostöitä ajatellen oikeissa datacentereissä yms olisi tärkeää tietää missä se tietty yhteys vilistää menemään ristikytkennöillä yms.

 

[Hyrava]

No, näyttäähän tuo OpenDCIM jokaisen liittimen paikan ja pätsin yhteydestä alusta loppuun eli näkee kaiken tarvittavan. Tuo graafinen raportti on kyllä aika kauhea, välillä se vetää noita viivoja ihan miten sattuu ristiinrastiin pitkin ruutua eikä niistä ota mitään tolkkua. Itse olen tykännyt tuosta reittihakujutusta, se näyttää varsin selkeästi miten yhteys on kytketty alusta loppuun. Tuossahan on tietty vielä sekin näkymä että menet kurkkaamaan jonkun laitteen tietoja niin se näyttää mihin sen portit on kytketty jopa ihan perille asti reitteineen. Noiden yhteyksien konffaaminen on vaan vähän työlästä, ainakin ennenkuin oppii miten ja missä järjestyksessä kannattaa asiat tehdä. Ja varsinkin kun itselläni on paljon laitteita mitä tuon softan kirjastoista ei löydy niin on tullut aika paljon luotua laitteita itse. Niin, ja itse "väärinkäytän" tuota sen verran että mulla näkyy noissa kaapeloinneissa kaikki RS232-yhteydet, VGA/HDMI-yhteydet, audioyhteydet sun muut kaikki samassa softassa.

Tuo OpenDCIM on tähän mennessä ollut mulle ehkä helpoin ja käytettävin softa näistä nykyisistä, vielä kun saisi jostain jotain Netvizin tapaista ilmaisversiona tai hyvin edullisesti niin pieksisi tuon kyllä ihan hands down.

Itse olen kyllä miettinyt että pitäisiköhän luopua koko DCIM:stä, pitäisi vaan keksiä joku hyvä piirtelysofta millä saisi nopeasti ja helposti päivitettyä kuvia. Aiempi librecadilla piirtely ei okein nappaisi, saisi olla vähän automaatiota niiden palikoiden ja viivojen piirtelyssä ettei tarvitsisi joka kulmaa itse piirrellä ja laatikoita (laitteita) copypastetella.

 

[Algron28]

Eikös noissa piirtelyissä ole vähän se ongelmana että ovat monesti staattisia. Jos verkko on vähänkään isompi, niin kuva tahtoo mennä sekavaksi. Pitäisi olla sellaisia dynaamisia kaavioita joissa voidaan kaaviolle hakea tiettyjä asioita joita halutaan juuri sillä hetkellä tarkastella tai muokata. Lisäksi yhteyksien hierarkisuus, esim VLANit olisi ihan kiva ominaisuus.

Muutenkin olen ihmetelly miksi noissa on yleensä keskitytty noihin eyecandy ominaisuuksiin. Mitä iloa on esim laitteiden naamakuvista räkin kalustuskuvassa. Eikö olennainen tieto ole se mitkä unittipaikat on vapaana.

 

[Hyrava]

Juu, sen takia joku netviz-tyylinen ratkaisu olisikin kiva kun siinä oli objektien linkityksiä sun muita featureita. Itselläni kotiverkko pysyy kohtalaisen stabiilina joten muutokset eivät ihan hirveästi työllistä mutta ainahan se olisi kiva että yhteydet päivittyisivät jotenkin dynaamisesti. Ja itse en yleensä edes yritä piirtää yhteen kuvaan kaikkea vaan koitan tehdä sellaisia loogisia kokonaisuuksia eli esim "Internet-yhteys ja kytkimet", "Kytkimen x perässä olevat laitteet", "VLAN x laitteet" jne jolloin on helppo paria kuvaa kurkkaamalla hahmottaa haluamansa asia.

Räkin naamakuvan laitekuvissa on oikeastaan hyöty vasta siinä vaiheessa kun kuvaa tuijottaa joku sellainen henkilö joka ei tiedä kyseisestä räkistä mitään. Voi selittää vaikka puhelimessa että "sellainen laite jossa on 16 porttia, vasemmassa laidassa lukee Cisco ja naama on vähän vihertävä väriltään". Jos tuntee suunnilleen räkin sisällön niin on ihan sama kunhan on edes joku vinkki mistä kohdasta räkkiä kyseinen laite löytyy, oli laitteet esitetty vaikka ihan vaan laatikoina.

Tai hyvä esimerkki työelämästä kun meillä on yleensä hyvä dokumentaatio laitteista: Soitto asiakkaalle (joku mymäläpäällikkö tai infon työntekijä), "löytäisitkö sellaisen laitteen missä lukee oikeassa yläkulmassa InterM ja siinä on paljon nappuloita? Hyvä, siinä alarivillä on rivi säätönuppeja, missä asennossa neljäs vasemmalta on? Hyvä, sen nupin yläpuolella on kaksi kytkintä, niistä pitäsi ylemmän olla painettuna pohjaan ja alemman ylhäällä. Jaa, nappien laittamisella oikeaan asentoon ongelma ratkesi, voisit ottaa kyseisestä laitteesta vaikka kuvan kun nyt kaikki toimii niin osaat laittaa sitten kuvan mukaan säädöt seuraavalla kerralla kohdalleen. Kiitos, hei!"

 

[Algron28]

Saanen esitellä: Köyhän "kuuma-kylmäkäytävä"

Varsinainen tarve tähän tuli siitä että räkin sisällä oli turhan lämmin ja tuulettimet huusi aina täysillä koska kuuma ilma pyöri kaapin sisällä. Nyt siis lisätty poistopuhalline joka on mallia tämä: Kanavapuhallin Vents TT Silent-M 340m3/h ø125mm - Ilmanvaihto Puhaltimessa integroitu nopeuden säätö joka on säädettävällä perusnopeudella muuten mutta lämpötilan noustessa yli tietyn arvon, nopeus kasvaa. On muuten pirun hiljainen puhallin vaikka kyllä se jaksaa myös ilmaakin liikuttaa.

Imu on siis viety kaapin sisään ajatuksella että kuuma ilma imetään kaapista heti pois ja kaappiin sitten virtaa viileämpää ilmaa raoista ja väleistä tilalle. Takaahan tuo musta kaappi on siis auki. Tässä tuon letkun kiinnitys kaapin takana.

Letkun päässä on imukartio jonka perinmäinen tarkoitus on estää putkeen imeytymästä sinne kuulumattomia asioita (siinä on siis verkko edessä). Tuohan puhallinhan parantaa myös muuten ilmastointia. Katossa oleva poistoputki on siis suora rööri katolle ja tässä rakennuksessa ei ole koneellista ilmastointia muutenkaan.

Tässä vielä kuva kaapin takapuolesta. Kaapissa siis rullat alla siirtelyä varten ja kaapeleissa löysää tätä varten.

 

[Pakana]

Onko sulla tuolle jokin termariohjaus, vai hurraako tuo 247?

 

[Algron28]

Onko sulla tuolle jokin termariohjaus, vai hurraako tuo 247?

Hurraa pienellä nopeudella 24/7. Siinä on siis integroituna termari+säädin johdolla.

 

[Algron28]

Juuh elikkäs, se mistä tuosta aikaisemmin puhuin clusteriin liittyen kävi tänään. Käynnistin toisen nodeista uudelleen kun ruuvasin yhden clientin kiintolevy ja ram kokoa ja kun client oli alhaalla niin päätin samalla päivittää noden. No, uudelleen käynnistyksen jälkeen cluster jäi alas eikä sen takia clientit startanneet. systemctl status corosync paljasti että corosync ei ymmärtänyt konffitiedostoa ja sitä kun hetken ihmettelin niin olin tehnyt itse mokan. Eli corosync.conf tiedostoa muokatessa pitää versionumeroa config_version: nostaa yhdellä koska clusteri ottaa korkeimmalla numerolla olevan konffin käyttöön. Olin epähuomiossa viimeksi mennyt hieman alempana olevan version: 2 vaihtamaan tuon config_version sijasta ja ilmeisesti vain 2 on tuettuna tuossa kohtaa. Tuo sama virhe oli kopioitunut myös toiselle nodelle tietenkin mutta koska sitä ei oltu uudelleen käynnistetty niin sen clientit pysyi ylhäällä.

Vaihtelin conffit molempiin koneisiin käsin ja kun corosyncin käynnisti uudelleen niin clusteri heräsi taas henkiin. Alla vielä spoilerissa netistä kaivettu ohje:

Spoileri: Koodia

# stop corosync and pmxcfs on all nodes
$ systemctl stop corosync pve-cluster

# start pmxcfs in local mode on all nodes
$ pmxcfs -l

# put correct corosync config into local pmxcfs and corosync config dir (make sure to bump the 'config_version' inside the config file)
$ cp correct_corosync.conf /etc/pve/corosync.conf
$ cp correct_corosync.conf /etc/corosync/corosync.conf

# kill local pmxcfs
$ killall pmxcfs

# start corosync and pmxcfs again
$ systemctl start pve-cluster corosync

# check status
$ journalctl --since '-5min' -u pve-cluster -u corosync
$ pvecm status

Toinen itseä tympäsevä asia oli että toisessa nodessa on zfs käytössä yhdellä levyllä vain koska yksi netin vaahtosuu ylisti sitä maasta taivaisiin tässä käytössä. Ei siinä muuta, mutta se vain syö oletuksena tarpeettoman paljon RAM muistia ja yhden levy SSD käytössä siitä ei varmasti ole sen ihmeempää iloa. Sitä nyt varmaan ei enää helposti saa vaihdettua.

 

[vesas]

En nyt ole zfs guru mitenkään, mutta eikös tuo yritä ottaa vakiona 50% muistista. ARC limitllä tuon saa suitsittua jos tuntuu että rammille on muutakin käyttöä kuin levydatan puskurointi.

Tämä siis muistinvaraisesti, aiheeseen tutustuin muutama vuosi sitten kun levypalvelin piti kotona pistää uusiksi. Juu, en päätynyt zfs:ään vaan ext4 oli kuitenkin se valinta.

 

[Algron28]

En nyt ole zfs guru mitenkään, mutta eikös tuo yritä ottaa vakiona 50% muistista. ARC limitllä tuon saa suitsittua jos tuntuu että rammille on muutakin käyttöä kuin levydatan puskurointi.

Tämä siis muistinvaraisesti, aiheeseen tutustuin muutama vuosi sitten kun levypalvelin piti kotona pistää uusiksi. Juu, en päätynyt zfs:ään vaan ext4 oli kuitenkin se valinta.

Näin minäkin luin ja kun tuota jotkut kyseenalaistivat että tarviiko se todella sen 50% niin kovasti siellä ammattilaiset heti väitti että ottaa suurta damagea suorituskyvyssä jos laittaa vähemmän. Pitää jossain kohtaa ruuvata pienemmälle. Käyttö ei kuitenkaan ole kirjoitus intensiivistä.

 

[Algron28]

Päivitetään vähän tätä ajankohtaisella.

Automaattisen akustotestauksen yhteydessä akuston symmetriasta tuli hälytys. Ajoin manuaalitestin ja neljän akustosta yksi akku aivan sökö. Jännite romahti jo heti testin ensiminuuteilla:

Käytössä PowerStar merkkiset 22Ah akut joita paikallinen liike suositteli varavirtakäyttöön aikanaan. Merkki ei sinäänsä tuttu. Akusto noin 3 vuotta vanha ja liike näille lupaili 3-5 vuoden käyttöikää joten sen perusteella koko akuston uusinta olisi edessä. Pitää vähän miettiä tuota akuston mitoitusta ja merkkiä. Koska nuo muut akut tuntui olevan vielä jonkinlaisessa käyttökunnossa niin päätin tähän hätää hommata liikkeestä vain samanlaisen akun tilalle joka ei tietenkään oppikirjojen mukaan välttämättä ole se optimaallisin homma enää näin vanhalle akustolle. Tällä nyt kuitenkin pärjää syksymmälle jolloin pitää ratkaista tuo akku asia virallisemmin.

Tämän lisäksi eräs ystävällinen tekkiläinen lahjoitti MX80:seen toisen powerin joten sen saa tässä kahdennetun virtalähteen taakse jahka saan toisen syötön tasasuuntaajalta vedettyä.

 

[Hyrava]

Enpä ole minäkään kuullut PowerStarista aikaisemmin. Toivottavasti ei ole samanlainen valmistaja mitä osui aikanaan duunissa kohdalle että valmistajan alihankkija oli päättänyt säästää ja itsekin kerkisin noin 40-50 paskaa akkua vaihtamaan pitkin Uuttamaata rikkareihin ja sitten parin kuukauden päästä pääsi tekemään saman rundin uusiksi kun osa akuista oli viallisia. Vialliset tosin tunsi heti painosta kun tajusi verrata kunnolliseen mutta kun kiireessä noita vaihteli niin eipä tuohon painoon silloin kiinnittänyt huomiota.

Itselläni on 2 kpl 1,5kVA wanhoja Rittalin UPSeja. Akkujen vaihtovälinä olen pitänyt noin 4v, eli joka toinen vuosi toisesta pistän akut vaihtoon. Hyvin on toiminut tuo järjestely tähän asti mutta tajusin juuri pari viikkoa sitten että nuo ovat niin vanhoja UPSeja että eivät tajua edes mitata akuston kuntoa ellei erikseen käske mittaamaan, joten pitää varmaan jossain vaiheessa rakentaa joku skripti joka sarjaportin kautta komentaa vaikka kerran kuukaudessa akkutestin.

Edellisessä akkujen vaihdossa olikin itseasiassa yksi akku porsinut ja syövyttänyt toisen johdoistaan käytännössä poikki, ei ollut kuin pari ehjää säiettä johdossa. Testissä tuo johto olisi todenäköisesti palanut poikki ja olisi ilmoittanut ongelmasta.

Itsellä alkaa kohta olemaan oma kotiverkko iskussa, vielä kun saisi jonkun 16/24-porttisen hallittavan kytkimen vähintään gigaisilla porteilla ilman tuulettimia niin saisi kaikki VLANit sun muut lopulliseen kuntoon... Fanless sen takia että tuo kytkin olisi asuintiloissa joten en välttämättä kaipaisi yhtään enempää pöhinää kämppään

 

[Satelite]

Itsellä alkaa kohta olemaan oma kotiverkko iskussa, vielä kun saisi jonkun 16/24-porttisen hallittavan kytkimen vähintään gigaisilla porteilla ilman tuulettimia niin saisi kaikki VLANit sun muut lopulliseen kuntoon... Fanless sen takia että tuo kytkin olisi asuintiloissa joten en välttämättä kaipaisi yhtään enempää pöhinää kämppään

HPE Networking Instant On 1930 24G 4SFP/SFP+ Switch - 24-porttinen kytkin 293,99

HPE Networking Instant On 1930 -tuoteperhe koostuu pienyrityksille tarkoitetuista kehittyneistä, edullisista ja helposti hallittavista kytkimistä, joita on erittäin helppo ottaa käyttöön.

www.verkkokauppa.com

Ja on fanless kunhan ei ota PoE mallina. Itsellä yksi tuossa kaapin päällä nytkin pyörittämässä verkkoa.

 

[Algron28]

Enpä ole minäkään kuullut PowerStarista aikaisemmin. Toivottavasti ei ole samanlainen valmistaja mitä osui aikanaan duunissa kohdalle että valmistajan alihankkija oli päättänyt säästää ja itsekin kerkisin noin 40-50 paskaa akkua vaihtamaan pitkin Uuttamaata rikkareihin ja sitten parin kuukauden päästä pääsi tekemään saman rundin uusiksi kun osa akuista oli viallisia. Vialliset tosin tunsi heti painosta kun tajusi verrata kunnolliseen mutta kun kiireessä noita vaihteli niin eipä tuohon painoon silloin kiinnittänyt huomiota.

Itselläni on 2 kpl 1,5kVA wanhoja Rittalin UPSeja. Akkujen vaihtovälinä olen pitänyt noin 4v, eli joka toinen vuosi toisesta pistän akut vaihtoon. Hyvin on toiminut tuo järjestely tähän asti mutta tajusin juuri pari viikkoa sitten että nuo ovat niin vanhoja UPSeja että eivät tajua edes mitata akuston kuntoa ellei erikseen käske mittaamaan, joten pitää varmaan jossain vaiheessa rakentaa joku skripti joka sarjaportin kautta komentaa vaikka kerran kuukaudessa akkutestin.

Edellisessä akkujen vaihdossa olikin itseasiassa yksi akku porsinut ja syövyttänyt toisen johdoistaan käytännössä poikki, ei ollut kuin pari ehjää säiettä johdossa. Testissä tuo johto olisi todenäköisesti palanut poikki ja olisi ilmoittanut ongelmasta.

Itsellä alkaa kohta olemaan oma kotiverkko iskussa, vielä kun saisi jonkun 16/24-porttisen hallittavan kytkimen vähintään gigaisilla porteilla ilman tuulettimia niin saisi kaikki VLANit sun muut lopulliseen kuntoon... Fanless sen takia että tuo kytkin olisi asuintiloissa joten en välttämättä kaipaisi yhtään enempää pöhinää kämppään

Tuo ajoittainen akkutesti olisi siinäkin mielessä hyvä että se parantaa akun käyttöikää kun akustolle tulee myös purkaus syklejä eikä pelkästään vuodesta toiseen kellu ylläpitölatauksessa. Kaupunkialueilla tahtoo sähkökatkot olla vähissä ja nekin mitä on ovat yleensä melko nopeita.

Olisi ihan kiva tietää millä yksisarvisten kyynelillä nuo operaattorien käyttämät akut on täytetty kun yhden sellaisen hinnalla saa 4kpl saman kokoisia perus "ups akkuja". Toki niille kalliimmille luvataan 5-10 vuoden käyttöikää.

 

[Satelite]

Tuo ajoittainen akkutesti olisi siinäkin mielessä hyvä että se parantaa akun käyttöikää kun akustolle tulee myös purkaus syklejä eikä pelkästään vuodesta toiseen kellu ylläpitölatauksessa. Kaupunkialueilla tahtoo sähkökatkot olla vähissä ja nekin mitä on ovat yleensä melko nopeita.

Olisi ihan kiva tietää millä yksisarvisten kyynelillä nuo operaattorien käyttämät akut on täytetty kun yhden sellaisen hinnalla saa 4kpl saman kokoisia perus "ups akkuja". Toki niille kalliimmille luvataan 5-10 vuoden käyttöikää.

Laatu maksaa... itse olen ollut mukana akkuja vaihtaa järjestelmään jossa niitä on 3 numeroinen määrä eli ei ihan pikkurahalla vaihdeta niitä uusiin. Pelkästään kun painoa vertaa perus halppisakun ja ammattikäyttöön tarkoitetun akun välillä niin huomaa aika rajun painoeron. Ammattiakuissa ei ole säästelty sieltä täältä kuten halvemmissa on tehty vaan laadussa ei ole säästelty. Myös se että akut on oikeasti tehty niiden speksien mukaan että toimii vähintään niillä spekseillä mitä tehdas lupaa eikä vähäsen sinneppäin tyyliin.

 

[Hyrava]

Jotain parempaa noissa operaattoreiden käyttämissä akuissa tosiaan on kun ovat melko kalliita. Tiedän tapauksia joissa niitä on varastettu tai yritetty varastaa operaattorien tukiasemakopeista. Ilmeisesti osa on ollut ihan sisäpiirikeikkojakin kun jännästi heti kun uudet akut on viety paikalleen, parin päivän päästä juuri sinne on isketty.

 

[Algron28]

Jotain parempaa noissa operaattoreiden käyttämissä akuissa tosiaan on kun ovat melko kalliita. Tiedän tapauksia joissa niitä on varastettu tai yritetty varastaa operaattorien tukiasemakopeista. Ilmeisesti osa on ollut ihan sisäpiirikeikkojakin kun jännästi heti kun uudet akut on viety paikalleen, parin päivän päästä juuri sinne on isketty.

Noille tuskin second hand kauppaa hirveästi on jos ei nyt omalle tai jonkun tutun mökille aurinkopaneeliin mutta romunakin noista maksetaan n. 500€/tn ja jos katsoo esim Enersys Powersafe 12V190 niin ne painaa 57kg kappale. Nykyään kun noissa tukiasemakopeissakin noita akkuja alkaa olla jo useampia kymmeniä akkuja joissain paikoissa.

 

[Algron28]

Huomasin että vihdoin oli tarve dokumentoida verkon looginen osuus jotenkin järkevästi ettei aina tarvi kaivaa ja muistella kun jotain pitää muutella. Käytin hommaan diagrams.net softaa (entinen drawio) Diagram Software and Flowchart Maker

Kuvassa on siis verkon looginen topologia.

Lisäksi tein vielä suunnitellun kuvan tulevista muutoksista. R02 olevat verkot pitäisi hajauttaa sillä nyt laitteessa on sekä hallinan verkkosegmenttejä että palveluiden verkkosegmenttejä ja niiden ei välttämättä tarvitsisi olla samassa laitteessa. Lisäksi nyt laitteena toimiva ER-X SFP alkaa resurssien puolesta käymään pieneksi. PTP-linkit ovat /30 aliverkon IP blokeilla tehtyjä. Nimi viittaa suoraan likin VLAN numeroon mutta on myös helpottamaan IP osoitteiden hallintaan jossa tällä hetkellä toimii ihan vain pelkkä excel. Se on riittänyt oikeastaan yllättävän hyvin siihen.

Uudet osat punaisella.

KMJ-MIPA-R01 on tulossa mökille. Lähinnä tuuli/aurinkosähkö järjestelmän valvontaan ja mahdollisesti jonkinlainen sääkamera voisi olla kiva.

 

[Algron28]

Nyt on seuraava tarve havaittu (tai oikeastaan vittuunnuttu tarpeeksi). Keskitetty käyttäjien ja salasanojen hallinta. Eli, erilaisia laitteita alkaa olla jo siihen malliin että käyttäjätunnusten ja salasanojen muistelu ja kaivelu excelistä alkoi tympäistä. Tähän on ilmeisesti pari eri yleisesti käytettyä implementaatiota eli Radius ja TACACS+ joista ensimmäinen on kait enemmän käytössä WLAN, VOIP yms hommiin ja jälkimmäinen verkkolaitteiden käyttäjähallintaan.

Freeradiusta tuossa kerkesin jo hieman ihmetellä mutta yllättäen netin ohjeet asennuksesta eivät suoraan toimineet edes puhtaalla Ubuntu server asennuksella (joskis tämä ei taas yllättänyt). Tuota pitää tässä ihmetellä lisää

Jostain syystä TACACS+ ei ainakaan minulle räätälöidyt google haut tuottaneet kauheasti hyödyllisiä tuloksia serverin suhteen.

Onko muilla minkälsidis kokemuksia kummastakaan?

 

[mikajh]

Tässä omasta mielestä paras tapa käyttää randomeja applikaatioita, kuten Freeradiusta eli Docker-image: Docker Hub
Tuo ei hajoa hallitsemattomiin päivityksiin (toki se voi hajota muulla tavoin). Oma data ja konffit vaan ja ainoastaan ulkopuolelle, jolloin päivitykset voi hoitaa riskittömästi ja helposti. Tässä Radiuksen roolissa alustan pitäisi tietysti olla rock solid ja toimia aina, muuten tulee ongelmia.
SOHO-laitteissa yleensä aina tuettu, ja ellei ole, eipä ole mikään muukaan vaihtoehto

 

[gulassi]

Yksi potentiaalinen ratkaisu myös on keskittää konsoliyhteyksien ottaminen PAM (Privileged access management) sovellukselle kuten Apache Quacamole. Tällöin tuonne Quacamoleen voi tallentaa laitteiden paikallisten käyttäjien tunnukset ja Quacamole hoitaa käyttäjien pääsynhallinnan keskitetysti. Vaatii tietenkin että laitteissa on tuki yhteysprotokollalle jota Quacamole tukee, tosin tuki on laaja: RDP, VNC, SSH, Telnet.

 

[Algron28]

Tässä omasta mielestä paras tapa käyttää randomeja applikaatioita, kuten Freeradiusta eli Docker-image: Docker Hub
Tuo ei hajoa hallitsemattomiin päivityksiin (toki se voi hajota muulla tavoin). Oma data ja konffit vaan ja ainoastaan ulkopuolelle, jolloin päivitykset voi hoitaa riskittömästi ja helposti. Tässä Radiuksen roolissa alustan pitäisi tietysti olla rock solid ja toimia aina, muuten tulee ongelmia.
SOHO-laitteissa yleensä aina tuettu, ja ellei ole, eipä ole mikään muukaan vaihtoehto

Pitääs kattoa. Docker imaget yleensä saa valmiina mutta itse olen ubuntu serveriä ajanut virtualisoituna niin on vähän enemmän ilmarakoa. Ilmeisesti oikeaoppisesti nuo pitäisi olla kahdennettuja järjestelmiä.

Yksi potentiaalinen ratkaisu myös on keskittää konsoliyhteyksien ottaminen PAM (Privileged access management) sovellukselle kuten Apache Quacamole. Tällöin tuonne Quacamoleen voi tallentaa laitteiden paikallisten käyttäjien tunnukset ja Quacamole hoitaa käyttäjien pääsynhallinnan keskitetysti. Vaatii tietenkin että laitteissa on tuki yhteysprotokollalle jota Quacamole tukee, tosin tuki on laaja: RDP, VNC, SSH, Telnet.

Tuo toimisi ainoastaan console yhteyksien + palvelimien remote desktoppien kanssa. Ei välttämättä sulje pois mutta itsellä oli mielessä hallintatavasta riippumaton tunnushallinta.

 

[starma2]

onko Vmohbu-veto pitkä? onko kerrosjakamo (vmohbu-cat3 liitos) kaukana asunnostasi?

pelle pelottomana olen Vmohbulla (ja mhs:llä) saanut 100/100mb ethernetin pystyyn vakaasti 40m jänteelle.

ihan vaan 2parikiertoa kiinni cat6-liittimeen molemmista päistä.

tollanen viritys pesee latenssissa vaan vdsl-parin satanolla.

 

[Algron28]

onko Vmohbu-veto pitkä? onko kerrosjakamo (vmohbu-cat3 liitos) kaukana asunnostasi?

pelle pelottomana olen Vmohbulla (ja mhs:llä) saanut 100/100mb ethernetin pystyyn vakaasti 40m jänteelle.

ihan vaan 2parikiertoa kiinni cat6-liittimeen molemmista päistä.

tollanen viritys pesee latenssissa vaan vdsl-parin satanolla.

Jos muistelen oikein niin Acteliksen hallinta näytti pituusarvioksi jotain 100m paikkeilla ja välissä yksi kerrosjakamo ja veto asuntoon nelikierrettä. Latenssissa ethernet pesisikin mutta näillä Acteliksillä saa sen 150Mbps läpi kahdella parilla. Pitäisi joskus vielä kattoa jos jostain löytyisi järkevät G.fast purkit tilalle.

 

[dataaja95]

Nyt on seuraava tarve havaittu (tai oikeastaan vittuunnuttu tarpeeksi). Keskitetty käyttäjien ja salasanojen hallinta. Eli, erilaisia laitteita alkaa olla jo siihen malliin että käyttäjätunnusten ja salasanojen muistelu ja kaivelu excelistä alkoi tympäistä. Tähän on ilmeisesti pari eri yleisesti käytettyä implementaatiota eli Radius ja TACACS+ joista ensimmäinen on kait enemmän käytössä WLAN, VOIP yms hommiin ja jälkimmäinen verkkolaitteiden käyttäjähallintaan.

Freeradiusta tuossa kerkesin jo hieman ihmetellä mutta yllättäen netin ohjeet asennuksesta eivät suoraan toimineet edes puhtaalla Ubuntu server asennuksella (joskis tämä ei taas yllättänyt). Tuota pitää tässä ihmetellä lisää

Jostain syystä TACACS+ ei ainakaan minulle räätälöidyt google haut tuottaneet kauheasti hyödyllisiä tuloksia serverin suhteen.

Onko muilla minkälsidis kokemuksia kummastakaan?

Kerberos ja ldap tulille, tai jos haluat helpottaa säätämistä suoraan freeipa. Itse joskus testailin freeipaa ja vaikutti ihan lupaavalta

FreeIPA - Identity, Policy, Audit — FreeIPA documentation

www.freeipa.org

 

[Algron28]

Kerberos ja ldap tulille, tai jos haluat helpottaa säätämistä suoraan freeipa. Itse joskus testailin freeipaa ja vaikutti ihan lupaavalta

FreeIPA - Identity, Policy, Audit — FreeIPA documentation

www.freeipa.org

Äkkiseltään ruokatunnilla lukastuna nuo olisi enemmän OS tason käyttäjähallintaan kun nyt siis haettaisiin ratkaisua erilaisten verkkolaitteiden kirjautumisen hallintaan.

 

[dataaja95]

Äkkiseltään ruokatunnilla lukastuna nuo olisi enemmän OS tason käyttäjähallintaan kun nyt siis haettaisiin ratkaisua erilaisten verkkolaitteiden kirjautumisen hallintaan.

AInakin sonicwallin palomuurit tukevat keskitettyä kirjautumista ldap:n kautta, mutta voipi olla hieman liian järkeä ratkaisu käyttöösi. Itse lähtisin toteuttamaan kirjautumista freeradiuksella.

 

[Algron28]

Tuo freeradius tässä oli on vähän ihmettelyn alla jo mutta tuntuu kesällä tuo aika katoavan johonkin.

 

[Algron28]

Täällä kun on ollut osaamista Juniper laitteiden osalta niin kysytääs. Ostin tekistä käytettynä Juniper EX2200 kytkimen ja sitä tässä koittanut konffia. Auttakaas tietäjät vähän mikä logiikka tässä on. Eli pitäisi ihan perus VLAN konffit ajaa sisään, Netissä ohjeistetaan tagged VLAN konffimaan näin;
set unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/1/1 unit 0 family ethernet-switching vlan members <tähän jo aikaisemmin luotu VLAN>
jolloin siitä tulee:

    ge-0/1/1 {
        unit 0 {
            family ethernet-switching {
                port-mode trunk;
                vlan {
                    members [ MGMT-OURI UNIFI ];
                }
            }
        }
    }

mutta untagged liikenteen konffauksessa on ohjeissa hajontaa, osassa ohjeita neuvotaan konffaamaan portti access moodin ja sen jälkeen VLANSin alle esim

set vlans MGMT-OURI interface ge-0/0/1.0

Jolloin siitä tulee

vlans {
    MGMT-OURI {
        vlan-id 12;
        interface {
            ge-0/0/1.0;
        }
    }

Parissa ohjeissa oli

set interfaces ge-0/0/1 unit 0 family ethernet-switching native-vlan-id <haluttu untagged VLAN>

Mutta tuo on ilmeisesti oikeasti trunkki porttiin tuleva konffi sillä access portti ei sitä huolinut (ei mennyt commit check läpi)

Kysymys siis, onko todellakin niin että untagge ja tagged pitää konffia eri paikkaan? Pitäisi taggedissä olla tuolla vlans alla nuo tagged portit tyyliin ge-0/0/1.<VLAN ID>; vai mikä tässä on logiikkana.

 

[kurkimies]

Jos muistelen oikein niin Acteliksen hallinta näytti pituusarvioksi jotain 100m paikkeilla ja välissä yksi kerrosjakamo ja veto asuntoon nelikierrettä. Latenssissa ethernet pesisikin mutta näillä Acteliksillä saa sen 150Mbps läpi kahdella parilla. Pitäisi joskus vielä kattoa jos jostain löytyisi järkevät G.fast purkit tilalle.

Telewellilta löytyisi co ja client purkit G.Fastille eli helposti pitäisi tulla satoja Mbit/s:

G.FAST modeemi (ADSL , VDSL, G.FAST -standardit) , "CO side"

Ja

G.FAST modeemi (ADSL , VDSL, G.FAST -standardit) , "client side"

 

[Algron28]

Telewellilta löytyisi co ja client purkit G.Fastille eli helposti pitäisi tulla satoja Mbit/s:

G.FAST modeemi (ADSL , VDSL, G.FAST -standardit) , "CO side"

Ja

G.FAST modeemi (ADSL , VDSL, G.FAST -standardit) , "client side"

Joo, kattelin noita jo aikaisemmin ja totesin että on ylihintaisia netsys purkkeja:

VDSL-tuotteet: Netsys G.fast 106a/212a/V35b VDSL CPE 4x 10/100/1000, 2x USB 3.0

Aattelin kuitenkin ostaa tässä kun joutavaa rahaa löytyy, toki en noita Telewellin myymiä malleja.

 

[snw]

Täällä kun on ollut osaamista Juniper laitteiden osalta niin kysytääs. Ostin tekistä käytettynä Juniper EX2200 kytkimen ja sitä tässä koittanut konffia. Auttakaas tietäjät vähän mikä logiikka tässä on. Eli pitäisi ihan perus VLAN konffit ajaa sisään, Netissä ohjeistetaan tagged VLAN konffimaan näin;
set unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/1/1 unit 0 family ethernet-switching vlan members <tähän jo aikaisemmin luotu VLAN>
jolloin siitä tulee:

    ge-0/1/1 {
        unit 0 {
            family ethernet-switching {
                port-mode trunk;
                vlan {
                    members [ MGMT-OURI UNIFI ];
                }
            }
        }
    }

mutta untagged liikenteen konffauksessa on ohjeissa hajontaa, osassa ohjeita neuvotaan konffaamaan portti access moodin ja sen jälkeen VLANSin alle esim

set vlans MGMT-OURI interface ge-0/0/1.0

Jolloin siitä tulee

vlans {
    MGMT-OURI {
        vlan-id 12;
        interface {
            ge-0/0/1.0;
        }
    }

Parissa ohjeissa oli

set interfaces ge-0/0/1 unit 0 family ethernet-switching native-vlan-id <haluttu untagged VLAN>

Mutta tuo on ilmeisesti oikeasti trunkki porttiin tuleva konffi sillä access portti ei sitä huolinut (ei mennyt commit check läpi)

Kysymys siis, onko todellakin niin että untagge ja tagged pitää konffia eri paikkaan? Pitäisi taggedissä olla tuolla vlans alla nuo tagged portit tyyliin ge-0/0/1.<VLAN ID>; vai mikä tässä on logiikkana.

Omakin Juniper osaaminen on vähän niin ja näin, mutta näin omassa kytkimessä:

    ge-0/0/15 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members inside;
                }
            }

Näyttäisi myös toimivan ilman tuota "port-mode access" -komentoa.

 

[Algron28]

Vastaus on että ilmeisesti Juniperiin pystyy konffaamaan jostain syystä kahdella eri tapaa tämän, eli joko sinne interfacen alle vlan members parametrillä tai sitten vlans alle interface parametrillä. jos portti on moodiltaan access, määritelty liikenne on untagged. Jos portti on määrittelyltään trunk niin annetut vlanit on tagattua pl. native-vlan-id määrittelyllä erikseen määritelty untagged.

Tarkoitus on siis tällä kytkimellä korvata kämpässä oleva 8-porttinen edgeswitch. Siltävaralta että jotain sattuu kiinnostamaan, niin voin postata koko konffin kun saan sen valmiiksi.

 

[Algron28]

Konffit:

root@RVN-OURI-SW1> show configuration
## Last commit: 2023-02-13 21:29:51 EET by root
version 11.4R5.7;
system {
    host-name RVN-OURI-SW1;
    time-zone Europe/Helsinki;
    root-authentication {
        encrypted-password  
    }
    services {
        ssh {
            root-login allow;
            protocol-version v2;
        }
        netconf {
            ssh;
        }
    }
    syslog {
        user * {
            any emergency;
        }
        file messages {
            any notice;
            authorization info;
        }
        file interactive-commands {
            interactive-commands any;
        }
    }
}
interfaces {
    ge-0/0/0 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members YAR;
                }
            }
        }
    }
    ge-0/0/1 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members UNIFI;
                }
            }
        }
    }
    ge-0/0/2 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members MGMT-OURI;
                }
            }
        }
    }
    ge-0/0/3 {
        unit 0 {
            family ethernet-switching {
                port-mode trunk;
                vlan {
                    members [ UNIFI IOT OFFICE ];
                }
            }
        }
    }
    ge-0/0/4 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members IOT;
                }
            }
        }
    }
    ge-0/0/5 {
        unit 0 {
            family ethernet-switching {
                port-mode trunk;
                vlan {
                    members [ OFFICE MGMT-OURI YAR ];
                }
            }
        }
    }
    ge-0/0/6 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members OFFICE;
                }
            }
        }
    }
    ge-0/0/7 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members OFFICE;
                }
            }
        }
    }
    ge-0/0/8 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members OFFICE;
                }
            }
        }
    }
    ge-0/0/9 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members OFFICE;
                }
            }
        }
    }
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/11 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/12 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/13 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/14 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/15 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/16 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/17 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/18 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/19 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/20 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/21 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/22 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/23 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/1/0 {
        unit 0 {
            family ethernet-switching {
                port-mode trunk;
                vlan {
                    members [ OFFICE IOT ];
                }
            }
        }
    }
    ge-0/1/1 {
        unit 0 {
            family ethernet-switching {
                port-mode trunk;
                vlan {
                    members [ MGMT-OURI UNIFI ];
                }
            }
        }
    }
    ge-0/1/2 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/1/3 {
        unit 0 {
            family ethernet-switching;
        }
    }
    me0 {
        unit 0 {
            family inet {
                address 10.17.31.7/27;
            }
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 next-hop 10.17.31.1;
    }
}
protocols {
    igmp-snooping {
        vlan all;
    }
    rstp;
    lldp {
        interface all;
    }
    lldp-med {
        interface all;
    }
}
ethernet-switching-options {
    storm-control {
        interface all;
    }
}
vlans {
    IOT {
        vlan-id 8;
    }
    MGMT-OURI {
        vlan-id 12;
    }
    OFFICE {
        vlan-id 2;
    }
    UNIFI {
        vlan-id 31;
    }
    YAR {
        vlan-id 42;
    }
}
poe {
    interface all {
        disable;
    }
    interface ge-0/0/5;
    interface ge-0/0/1;
    interface ge-0/0/3;
}

Pitää vielä kattoa NTP serverin asetus kun laitteen saa paikalleen.

 

[minapamina]

Samahan taitaa olla Hoopoissa, joko VLANien alle interfacet, tai interfaceihin VLANit. Vilasin kanssa noi sun verkkokuvat, onko sulla siis 10 kytkintä ja 5 reitittävää laitetta? Melkonen viritys

 

[Algron28]

Vilasin kanssa noi sun verkkokuvat, onko sulla siis 10 kytkintä ja 5 reitittävää laitetta? Melkonen viritys

Ei ole, tuo kuvaa loogista topologiaa, ei fyysistä.

 

[minapamina]

Ei ole, tuo kuvaa loogista topologiaa, ei fyysistä.

Kannattaa L3 kuvat VLANeineen piirtää esim. putkilla, nuo kytkinikonit kun implikoi uniikkeja fyysisiä laitteita. Toki kuvat on tekijänsä näkösiä, How to Draw Clear L3 Logical Network Diagrams - Packet Pushers tuossa on joku esimerkki minkä tyylisiä L3 kuvat usein on. Eli VLANit ikäänkuin "putkia". Itsekkään en ihan linkin tapaisia kuvia tee, mutta ehkä saat ajatuksesta kiinni. Tuossa on annettu L2 kuva, ja sen pohjalta ikäänkuin tehdään L3 kuva.

 

[Satelite]

Täällä kun on ollut osaamista Juniper laitteiden osalta niin kysytääs. Ostin tekistä käytettynä Juniper EX2200 kytkimen ja sitä tässä koittanut konffia. Auttakaas tietäjät vähän mikä logiikka tässä on. Eli pitäisi ihan perus VLAN konffit ajaa sisään, Netissä ohjeistetaan tagged VLAN konffimaan näin;
set unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/1/1 unit 0 family ethernet-switching vlan members <tähän jo aikaisemmin luotu VLAN>
jolloin siitä tulee:

    ge-0/1/1 {
        unit 0 {
            family ethernet-switching {
                port-mode trunk;
                vlan {
                    members [ MGMT-OURI UNIFI ];
                }
            }
        }
    }

mutta untagged liikenteen konffauksessa on ohjeissa hajontaa, osassa ohjeita neuvotaan konffaamaan portti access moodin ja sen jälkeen VLANSin alle esim

set vlans MGMT-OURI interface ge-0/0/1.0

Jolloin siitä tulee

vlans {
    MGMT-OURI {
        vlan-id 12;
        interface {
            ge-0/0/1.0;
        }
    }

Parissa ohjeissa oli

set interfaces ge-0/0/1 unit 0 family ethernet-switching native-vlan-id <haluttu untagged VLAN>

Mutta tuo on ilmeisesti oikeasti trunkki porttiin tuleva konffi sillä access portti ei sitä huolinut (ei mennyt commit check läpi)

Kysymys siis, onko todellakin niin että untagge ja tagged pitää konffia eri paikkaan? Pitäisi taggedissä olla tuolla vlans alla nuo tagged portit tyyliin ge-0/0/1.<VLAN ID>; vai mikä tässä on logiikkana.

Jos nyt oikein ymmärsin niin noinhan se menee että tagged ja untagged on mentävä erillään. untagged voit määrätä käyttämään esim täysin kuvitteellisesti vaikka VLAN10 ja toiseen porttiin sama niin silloin olet tehnyt yhden "tavallisen" kytkimen jossa on vain kaksi porttia jotka ovat vaan VLAN10 alaisuudessa mutta tuo täggäys ei siirry portista laitteille. Tagged taas tekee niin että se VLAN tunniste jatkuu kyseisestä portista eteenpäin eikä tunniste tipu kyseisen portin kohdalla pois (taggedia ei järkeä käyttää sellaisen laitteen kohdalla joka ei tue/käytä VLAN id:tä jolloin se id kulkeutuminen laitteelle asti aiheuttaisi turhaa liikennettä id:n rummuttaessa laitteen verkkokorttia vaikkei laite sillä id tiedolla mitään tekisi. untagged järkevämpi laittaa tuollaisessa tapauksessa käyttöön jolloin kytkin hoitaa tarvittaessa sen untagged liikenteen tietyn VLAN id alaisuuteen tarvittaessa.

Jos nyt oikein ymmärsin tuosta miten tuon haluaisit conffata niin luulen että oikeampi tapa tuolle hakemallasi asialle olisi tehdä trunk yhteys johon voi laittaa samaan "putkeen" menemään vaikkapa useampi tagged ja untagged liikenne. Tämä on hyvä erityisesti vaikkapa kahden kytkimen välille niin ei tarvitse vetää kytkimien välille joka virtuaaliselle verkolle omaa piuhaa vaan voi puskea kaiken menemään vain yhtä piuhaa pitkin (tai useampaa jos käyttää link aggregationia trunkille)

Itse en ymmärrä tuosta Juniperin koodaamalla tehtävästä conffauksesta yhtikäs mitään mutta itsellä Aruban 1930 sarjalainen verkon pääkytkimenä ja tehnytkin muutaman virtuaalisen verkon käyttöön ja tätä varten joutunut hieman virtuaalisten verkkojen conffausta opettelemaan. Myönnän heti kättelyssä sen että en niissäkään ole vielä mikään mestari mutta silti jo perusteet osaa. Tuosta vaan päättelin että kun kyselit että eikö taggedia ja untaggedia saa menemään saman portin kautta niin trunk on luultavasti se mikä olisi ratkaisu ongelmaasi.

Arubassa kun on ihan selainpohjainen hallinta mitäkautta itse tuota säädän.

 

[Satelite]

Jotain bugas kun nyt vasta näky muiden viestit. Mutta tuo Trunk on siis se "putki" mistä muut puhuu. Mikäli vaan nyt muiden tekstit tulkitsin oikein.

 

[Algron28]

Jos nyt oikein ymmärsin niin noinhan se menee että tagged ja untagged on mentävä erillään. untagged voit määrätä käyttämään esim täysin kuvitteellisesti vaikka VLAN10 ja toiseen porttiin sama niin silloin olet tehnyt yhden "tavallisen" kytkimen jossa on vain kaksi porttia jotka ovat vaan VLAN10 alaisuudessa mutta tuo täggäys ei siirry portista laitteille. Tagged taas tekee niin että se VLAN tunniste jatkuu kyseisestä portista eteenpäin eikä tunniste tipu kyseisen portin kohdalla pois (taggedia ei järkeä käyttää sellaisen laitteen kohdalla joka ei tue/käytä VLAN id:tä jolloin se id kulkeutuminen laitteelle asti aiheuttaisi turhaa liikennettä id:n rummuttaessa laitteen verkkokorttia vaikkei laite sillä id tiedolla mitään tekisi. untagged järkevämpi laittaa tuollaisessa tapauksessa käyttöön jolloin kytkin hoitaa tarvittaessa sen untagged liikenteen tietyn VLAN id alaisuuteen tarvittaessa.

Jos nyt oikein ymmärsin tuosta miten tuon haluaisit conffata niin luulen että oikeampi tapa tuolle hakemallasi asialle olisi tehdä trunk yhteys johon voi laittaa samaan "putkeen" menemään vaikkapa useampi tagged ja untagged liikenne. Tämä on hyvä erityisesti vaikkapa kahden kytkimen välille niin ei tarvitse vetää kytkimien välille joka virtuaaliselle verkolle omaa piuhaa vaan voi puskea kaiken menemään vain yhtä piuhaa pitkin (tai useampaa jos käyttää link aggregationia trunkille)

Itse en ymmärrä tuosta Juniperin koodaamalla tehtävästä conffauksesta yhtikäs mitään mutta itsellä Aruban 1930 sarjalainen verkon pääkytkimenä ja tehnytkin muutaman virtuaalisen verkon käyttöön ja tätä varten joutunut hieman virtuaalisten verkkojen conffausta opettelemaan. Myönnän heti kättelyssä sen että en niissäkään ole vielä mikään mestari mutta silti jo perusteet osaa. Tuosta vaan päättelin että kun kyselit että eikö taggedia ja untaggedia saa menemään saman portin kautta niin trunk on luultavasti se mikä olisi ratkaisu ongelmaasi.

Arubassa kun on ihan selainpohjainen hallinta mitäkautta itse tuota säädän.

Ei siinä sinäänsä muuta epäselvää ollut kuin että miten nuo konffitaan juuri Juniperiin kun sen konffimistyyli on..... erilainen.


Tuosta Juniperin konffista saa helposti sekavan kun asiat voi olla siellä useammassa paikassa ja lisäksi se itsellä pisti silmään että tuo ei järjestä noita esim parametrin alla olevia portteja vaan ne on siinä järjestyksessä kun ne on sinne lisätty

poe {
interface all {
disable;
}
interface ge-0/0/5;
interface ge-0/0/1;
interface ge-0/0/3;
}

Mainittakoon vielä että tuon kytkimen kanssa piti hieman säätää ennenkuin sitä pääsi konffimaan sillä kytkin boottasi backup imagelle ilmeisesti pääimagen rajun tyhjäyksen jälkeen jonka edellinen käyttäjä oli tehnyt. Onneksi backup imagesta sai tehtyä kopion.

 

[kryptonian]

Mainittakoon muuten Juniperin kytkimistä sen verrna, että ne corruptoi sen imagen hyvin helposti jos se ei oo sammunut cleanisti eli esim virtajohdon näpäisyllä se hyvin todennäköisesti onnistuu korruptoitumaan.

Itsellä käytössä EX2200 ja EX3300

 

[Algron28]

Mainittakoon muuten Juniperin kytkimistä sen verrna, että ne corruptoi sen imagen hyvin helposti jos se ei oo sammunut cleanisti eli esim virtajohdon näpäisyllä se hyvin todennäköisesti onnistuu korruptoitumaan.

Itsellä käytössä EX2200 ja EX3300

Joo, ensimmäinen kytkin jonka olen aina vaivautunut sammuttamaan hallitusti. Omasta mielestä tuo on aivan käsittämätön suunnittelun kukkanen kytkimiin. Jossain yli 10K€ reitittimessä tuon voi ymmärtääkkin kun sellaiset lähes poikkeuksetta on hyvien varmistusten takana mutta varmaan tuo on vaihtokauppa siihen että samaa softaa voidaan käyttää kummassakin. Monesti kytkimien virransyötön varmistus on mitä on.

 

[dataaja95]

Tarkoituksena olisi lähteä rakentelemaan itsekin proxmoxclusteria ja porukka näyttää jo tätä ylempänä ketjussa tehneen. Onko käytössänne aina kolme hostikonetta, proxmoxin dokumentaation mukaan kolme konetta on ehdoton minimi klusterissa, muuten tulee ongelmia jos yksi masiina sattuu putoamaan pois klusterista.

 

[Ogeli]

Tarkoituksena olisi lähteä rakentelemaan itsekin proxmoxclusteria j

Vastausta ei ole, mutta aloita uusi proxmox ketju ohjelmisto puolelle (sielä taitaa olla joku läheltä liippaava)
Aihe on mielenkiintoinen.

e: foorumilla on tällainen huonosti käyntiin lähtenyt ketju:

Virtualisointi keskustelu (KVM/QUEMU ym gpu pass-thru)

Useimmat tietävät VirtualBoxit ym, jolla saa linuxin tai windowssin testattua melko suoraan. Mutta eipä niillä yleensä mitään vähääkään 2D:tä enempää katsella, eli näytäönohjain ei tule perässä, vaikka muistia muuten saisikin lisättyä. Mitä tekee koneella jola ei voi katsoa kunnolla edes...

bbs.io-tech.fi