Есть такая функция логирования, при которой для аутентификации берется имя пользователя и пароль от входа в Windows. Если компьютер в домене, то и доменное имя будет приставлено к логину в формате "DOMAIN_NAME\user_name". Если используется протокол 802.1x, то это имя (именно в таком формате) будет перенаправлено на сервер. Возникает вопрос: если сервер аутентификации ничего не знает о домене, то может ли iMaster NCE "отсечь" доменное имя и корректно обработать такой запрос, не создавая лишней головной боли? Оказалось, что может, но есть в этом решении какая-то костыльность, и головная боль вместе с ней.

Недавно обратился заказчик, который эксплуатирует стек из S5720-52X-PWR-SI и дюжину IP телефонов Avaya и Grandstream. С Avaya проблем не было, а вот Grandstream периодически отключались, при этом отключались спонтанно и выборочно. Зависимостей не было обнаружено: в отдельные дни могло быть до 30 отключений, в другие 1-2. Некоторые аппараты отключались чаще, другие – реже. C PoE и с кабельной трассой проблем не было. Больше подозрений вызвала именно конфигурация портов в режиме hybrid...

Время от времени на Хабре выходят статьи, на тему как и что нужно писать, чтобы это было интересно и главное, полезно сообществу. Сегодня хочу поговорить на тему мотивации. Почему мы должны писать, что заставляет свои мысли и наработки выкладывать в общий доступ. Интересна именно сама механика, где проходит та грань, когда мысли превращаются в готовую статью.

NetFlow и Netstream - это инструменты для мониторинга, сбора статистики о трафике, и задачи они имеют одни и те же, но реализации имеют разные. Недавно мы рассматривали кейс, когда после интеграции нескольких железок Huawei в существующую сеть Cisco, на Huawei был настроен Netstream аналогично конфигурации NetFlow на Cisco, но трафик c Huawei считался в сто раз меньше того количества, которое ему отправлял Cisco:

----router Cisco --->100 пакетов ---> router Huawei AR6280 --->1 пакет----

Очередной случай, когда нам говорили, что "все хорошо", но в итоге ничего не работало. На этот раз речь о VPLS между роутером Huawei 40E и Nokia XRS 7950.

С двумя проблемами обычно обращаются клиенты, когда берутся за конфигурирование SSL VPN на фаерволах USG Huawei (SSL VPN = защищенный доступ к внутренним ресурсам фаервола через Интернет). Первая проблема: не проходит аутентификация при попытки залогиниться через web-браузер смартфона. Вторая: не удается ограничить доступ для определенных пользователей (полисер не распознает username). Это не вина клиентов, или программых недоработок продукта, скорее это недостаточная ясность документации.

Недавно обратилось несколько клиентов с идентичной проблемой. Клиенты развертывали leaf коммутаторы Huawei в ЦОДе. Коммутаторы функционировали как L3 шлюзы для СХД (сценарий VXLAN распределенного шлюза). Каждая пара leaf коммутаторов объединялась в стек или M-LAG группу. Задача была простая: чтобы ноды имели сетевую доступность до шлюзов. Клиент успешно развернул большую часть коммутаторов, но проблема возникла на последней паре: шлюз (vbdif интерфейс) был недоступен с ноды, сетевой связности не было, хотя ARP до ноды доходил. Конфигурация на всех коммутаторах была стандартной, единственным отличием этой последней пары коммутаторов было то, что они были другой модели - CE8850EI. Эта модель и ряд других имеют функциональную особенность.

Работа инженера технической поддержки интересна тем, что каждый раз когда обращаются с проблемой, ты заранее не можешь определить, сколько времени займёт решение проблемы. Будешь ли ты ночевать дома или на объекте, всё зависит от конкретной ситуации.

Недавно к нам обратился клиент из страны бывшего СССР. Он организовал свободный доступ к Wi-Fi на городском пляже. Были выполнены изыскания, обследована местность, смонтировано оборудование и торжественно перерезана красная ленточка, но качество сервиса оказалось неудовлетворительным: частые обрывы соединения, низкая скорость и недостаточная зона покрытия. В ходе разбирательства выяснилось, что никаких обследований местности ни до развертывания, ни после не производилось, реализация проекта основывалась только на моделировании RSSI, а все работы по факту выполнял подрядчик.

Самый нужный мультитул для IT-инженера

Свойство стандартного мультитула всегда быть наготове. Можно носить с собой на ремне в фирменном чехле, можно положить в рюкзак и не пользоваться годами, или же держать на рабочем столе на самом видном месте. Согласитесь, рано или поздно наступит момент, когда под рукой не окажется самого нужного инструмента. Предлагаю вам ознакомиться с самым простым, неочевидным и буквально маст-хэв устройством, который найдет себе место у любого инженера.

Мы уже разобрали в прошлых частях как накатить на сетевые устройства Huawei список команд из внешнего файла. И это работает, если у нас сеть состоит из одинаковых устройств. Конечно, в реальной практике такое встречается редко. В этой работе мы рассмотрим как использовать разные конфигурационные файлы для разных устройств Huawei, при этом не выходя за рамки одного скрипта. То есть у нас будет все тот же скрипт на основе Netmiko, но в зависимости от версии устройства, конфиг будет накатываться разный: один конфиг для коммутатора CloudEngine Huawei, другой конфиг для роутера AR3200 Huawei.

Как обычно, полный скрипт приведу в конце статьи, видеодемонстрация доступа по ссылке на Форуме Huawei ICT Club.

Недавно обратился клиент с проблемой на 802.11 сети: с мобильных телефонов часто не удавалось подключиться к SSID на фазе аутентификации. Со стационарных устройств таких проблем замечено не было - но именно с мобильных, как сообщал заказчик. Мы попросили клиента сообщить происходит ли это во время удаления пользователя от точки доступа или нет, но клиент не смог сообщить, так как сам не знал где физически располагаются точки доступа.

Недавно обратился заказчик, у которого в корпоративной сети несколько сотрудников регулярно жаловались на обрывы и низкую скорость беспроводного соединения. Все эти сотрудники подключались с аналогичных рабочих станций к одной и той же точке доступа Huawei AP7060DN. Других точек доступа поблизости не было. Проверка конфигурации показала, что настройка радио-параметров не производилась...

Недавно обратился клиент с вопросом почему у него при трассировке появляются звездочки. Трассировка проходила через IPsec тоннель, поэтому коротким ответом было: потому что IPsec не возвращает ICMP reply. Но у клиента также была проблема с маршрутизацией, причину которой он связывал со "звездочками". И все это происходило на фаерволе USG Huawei, с которым клиент имел дело впервые. Иными словами, коротким ответом он не удовлетворился.

Виктор Живицкий на момент описанных здесь событий имел двадцатилетний опыт в сетевой инженерии. У него была жена, дочь и рабочая виза в Таиланде. Когда в 2015 году в центре Бангкока прогремел взрыв, он потерял и жену и дочь. Он не смог вернуться к работе, начал забывать спать, есть, и стал находить себя среди незнакомых мест, дорогу к которым кветиапин и венлафаксин исправно вычёркивали из памяти. Когда и медстраховка исчерпала себя, Виктор был в том же состоянии, в которое его погрузила весть о гибели жены и дочери: он крепко отсутствовал в себе.

Жизнь не щадит слабых и сломленных. Виктор быстро скатился до бродяжничества. Иногда он появлялся у кофейни Eiah Sae 益生 на улице Phat Sai, у таицев знаменитой тем, что однажды её посетил член королевской семьи (о чём есть фотография в огромной позолоченной рамке прямо над кассой), у китайцев же известной за лучший кофе в Бангкоке. По обеим из этих причин эту кофейню посещал Д., который во время пандемии организует фонд помощи соотечественникам и поможет множеству людей, застрявшим в Таиланде. 

В один из дней Д. заметил Виктора и подошёл к нему. 

Эта встреча заронила зерно выздоровления в больную душу Виктора и тысячу бат в его карман на дорогу в буддийский монастырь. Так началось его путешествие, о котором ваш покорный слуга узнает по нескольким траблшутинг-постам на форуме Huawei. С Виктором удастся связаться, получить от него эту историю и опубликовать здесь с его согласия, не изменив ни слова. Эта история о том, как знания после десятилетий практики стали частью самого человек, и, может быть, помогли выстоять ему в трагедии, из-за которой лучшая часть его души была вырвана безвозвратно.

Мне пришлось пересечь экватор на велосипеде, чтобы стать сетевым инженером

Все начиналось в небольшом сибирском городке, где крутой чувак CCIE по всем канонам построил городскую сеть для интернет-провайдинга. Каким-то чудом меня взяли на работу в эту компанию. Помню как я сидел в кабинете, собеседовался с этим экспертом и пялился на черную табличку за его спиной. Спустя год я записался в Cisco Networking Academy, созданную им же и прошел курс R&S. Это было очень сложно, очень непонятно. Я с трудом продержался до конца 4-х месячного обучения и еле-еле сдал внутренний экзамен. Все было на английском, я тогда и двух слов связать не мог.

Прошло достаточно лет, когда я снова взялся за этот курс, чтобы найти работу в городе покрупней. Мне нужен был настоящий сертификат Cisco, а не бумажка о прохождении курса. На работе я тогда занимался всякой ерундой, даже не связанной с сетями. Компанию поглотил федеральный оператор, поэтому начался рутинный и бюрократический ад, из которого только Cisco мог меня спасти.

Цена вопроса была 325 долларов, плюс перелет до Москвы и обратно со всеми сопутствующим расходами. Я решил, что должен сделать это. Именно “должен”, а не “хочу” или “попробую”. Должен и точка.

Недавно я переехал в Москву в квартиру без письменного стола.  Это было неловким, отягчающим непростую ситуацию обстоятельством: спального места тоже не было. В общем, я позвонил в IKEA и попросил привезти мне и то и другое.

Через пару дней мебель доставили. Я распаковал первую коробку, из нее вывалилась инструкция и у меня опустились руки: в ней наверняка пятьдесят разных языков, все мелким шрифтом, как книга заклинаний из Гарри Поттера. Но приглянувшись, в ней были только рисунки: два смешных чувачочка показывали как обращаться с деталями, как их вертеть, собирать и так далее. Уф, счастье! Я подумал о JSON и XML. IKEA молодцы они использовали универсальный язык жестов и картинов, понятный всем на свете.