Tag Archives: computers

distractii cu apc

Bila alba

Prin moiembrie-decembrie 2011 am luat niste UPS-uri de la APC pentru un rack de echipamente. Instalat frumos cu extensii de baterii, dat in productie, rulat teste de calibrare si surpriza: un UPS raporta 2h45min runtime, altul 1h42min runtime. cum ambele UPS-uri sunt in configuratii identice iar diferenta de incarcare pe ele este de ~1-2% (un mediaconvertor pus pe unul din UPS-uri).

Deschis caz la APC, trimis loguri si screenshot-uri, tanti de la suport draguta mi-a facut RMA la tot setul de baterii (6 la numar). din cauza de greutate au fost trimise cu camionul din Irlanda in Romania si a durat cred ca vreo aproape mai mult de o saptamana sa ajunga la destinatie.

Montat bateriile noi, lasat UPS-ul la incarcat, scos alimentarea cu curent si lasat la descarcat si numarat cat dureaza pana se descarca complet la ~40% load cat are in sarcina: 2h42min.

Partea misto e ca UPS-urile astea au un butonas de bypass si poti schimba bateriile “on the fly” fara sa opresti echipamentele conectate la UPS. Singurul dezavantaj e ca daca se ia curentul in timpul operatiunii o sa se opreasca si echipamentele conectate la UPS.

Overall mi-a placut ca au reactionat repede, fara sa incerce tot felul de combinatii sa nu inlocuiasca ceva defect si asa mai departe; iar tipa de la suport chiar a fost de ajutor.

Partea trista la povestea asta a fost ca pack-ul de 4 baterii vine pe palet si are 100+ kg :(

Bila neagra

Echipamentele APC de le am (prize si UPS-uri) au carduri de management pe retea care suporta si HTTPS. Cum in corporatie am si un CA intern de da certificate la cam tot ce misca, am zis sa continui traditia si sa pun certificate digitale si pe Network Management Cards (NMC) de la APC. Asa ca facut ce stiam io ca e nevoie de produs un certificat digital: creat un private key, creat un CSR, semnat CSR-ul de CA, luat certificatul si private key-ul si puse intr-un fisier si uploadat pe NMC.

WRONG!

Aia de fac NMC-urile la APC au fumat ceva diferit de restul care au suport de certificate digitale pentru servere web embedded si pentru a pune certificate digitale pe cardurile lor trebuie folosit un utilitar (APC Security Wizard) care sa genereze private key (in format PKCS#15) si CSR, dupa care se ia certificatul generat de CA, se importa in APC Security Wizard, se combina cu cheia privata din care rezulta un alt fisier tot in format PKCS#15 care e de fapt certificatul pe care stie NMC-ul sa-l importe si sa-l foloseasca.

Rahatul asta de Security Wizard are niste dezavantaje:

– private key e pe 1024bit
– nu suporta subjectAlternativeName

Pe mine ma doare cel mai tare subjectAlternativeName, ca HTTPS-ul e sensibil sa fie potrivire exacta intre ce scrii tu ca adresa in brwoser si ce sceie in CN-ul certificatului pe care-l prezinta serverul web, si daca io am certificat pentru pdu0.domeniu.local si in browser scriu https://pdu0 – o sa-mi dea eroare ca certificatul nu e valid.

subjectAlternativeName are o functionalitate foarte misto, si anume poti sa-i defineste atribute de tip DNS sau IP si sa le pui in certificat astfel incat daca accesezi serverul web cu https://pdu0 / https://pdu0.domeniu.local / https://ad.re.sa.ip / https://[ad.re.sa.ip.v6] sa considere ca e valid certificatul si sa nu mai dea eroare.

Dar nu, cineva de la APC a decis ca de ce sa nu fie lucrurile usoare pentru clienti cand poa sa fie complicate pentru ca asa vor ei.

Update: se pare ca exista o versiune mai noua a utilitarului care stie si chei pe 2048bit.

troubleshooting

Troubleshooting problems is an ‘art’, not a ‘science’. Either you know how to do it, or you don’t. And, like any other “art”, you can’t teach it; you _can_ teach ‘mechanics’ that help people who have an ‘instinctive’ (for lack of a better word) grasp of the subject “do it better”. But the _ability_ has to be there in the first place.

It’s similaar to integral calculus — you have a result, and are looking for the question. (Remember how _hard_ integration was — until the ‘AHA!’ moment when, all of a sudden, it all made sense. And you were shaking your head wondering *why* you had so much trouble ‘getting it’.)

Troubleshooting is much the same. If you’ve seen “that” problem before, you have an idea of what -may- be causing it. And can start checking for the existing of each possible ‘what’ that you know about. With experience, you know _which_ “what” is most likely and to start there. Also, what additional_ things to check, to narrow down the list of ‘possibles’.

Copiat cu nerusinare dintr-un e-mail de pe NANOG, insa e cred ca cea mai buna explicatie de ce unii oameni pot sa faca troubleshooting si altii nu, si cel mai important: de ce nu poti sa inveti efectiv pe cineva sa faca troubleshooting.

cool stuff cu vmware

Acu cateva luni ma laudam ca mi-am tras setup cu VMware, SAN cu Fiber Channel, switch-uri si conexiuni redundante.

Eh, acu vreo 3 saptamani a venit vremea sa fac si io upgrade la VMware 5. Si ca orice om care nu simte neaparat sa programeze ferestre de mentenanta, am inceput upgrade-ul asa in mijlocul zilei ca sa termin pana la 4 sa ma car acasa.

Setup-ul curent e cumva de genul N+1 in sensul ca workload-ul de pe o masina poate fi mutat pe altele si poate fi oprita pentru mentenanta.

Drept urmare, m-am apucat si eu folosind VMware Update Manager sa dau update pe rand la masini, iar de partea de workload migration si toate cele s-a ocupat VMware. A mers foarte bine toata distractia, singurul catch a fost ca a trebuit sa stau pe iLO cu geana pe consola sa dau un Enter la un moment dat.

La 4 m-am tirat acasa, toate jucariile mergeau cum trebuie, fara nici o problema, iar userii n-au stiut ca lucruri importante se intampla :)

 

bfd si junos 11.1 pe ex4200 in virtual chasis

Distributed periodic packet management (PPM) of Bidirectional Forwarding Detection (BFD) protocol traffic is not supported for virtual routing instances. As a workaround, use the centralized PPM model by disabling distributed PPM with the command set routing-options ppm no-delegate-processing. [PR/580774: This is a known software limitation.]

…sau cum sa-ti futi juma de sambata intrebandu-te de ce nu merge BFD-ul intre un stack de EX-uri si doua routere, iar intre cele doua routere merge :(

wireless stuff

Saptamana asta mi-am facut update la BIOS la laptop si la driverele de la placa video (ca si summary).

Surpriza extraordinar de placuta este ca acum wireless-ul la download-uri merge cu ~100Mbps.

Testat cu wget pe windows, ajung la rate de download de 10-12MegaBytes/secunda. Este incredibil, de parca as fi pe fir.

In mod normal mai mult de 5-6MegaBytes/secunda nu sareau downloadurile.

Nu stiu exact ce-au facut oamenii de la Dell, da le multumesc pentru marirea de performante.

tmg si uag

Zilele astea cautam sa fac un reverse proxy mai enterprise asa si am zis io ca hai sa pun MS UAG ca cica pentru asta e facut. Zic bine, iau kitul de pe MSDN, pun la instalare, aflu ca asta pune si TMG acolo, stau pana ma ia plictisul la instalare c’am fost zgarcit si-am pus doar 1GB de RAM pe masina si’un procesor.

Ma uit in UAG sa vad cum se face reverse proxy, gasesc doar niste balarii de aplicatii si crapuri de portale asa ca ma bag in TMG ca stiam ca ala sigur face reverse proxy, am gasit setarile, dat click, click pe acolo si gata. Reverse proxy functional.

Si ma gandesc io asa ca daca tot am facut din TMG jucaria, hai sa dezinstalez UAG ca era item separat in “Programs and settings”, dau uninstall si se apuca asta de dezinstaleaza tot, si TMG-ul. Eh, pe langa c’a dezinstalat si TMG-ul a facut ceva si-a stricat si setarile de la placile de retea de nu mai erau prin “Network sharing center”. Am adaugat alte placi noi, nexam s-o dau la pace.

Concluzia e ca mi-am bagat oraganul in el de TMG si UAG, am trantit un CentOS 6 si apache pe post de reverse proxy si gata. Problem solved. In 512MB RAM si 8 GB de disk versus 1GB de RAM si 60GB disk.

random stuff

Ca tot n-am mai scris de-o vreme:

M-am apucat sa-mi construiesc un norisor ca la carte. L-am terminat dupa tras la greu de facut tot felul de chestii sa mearga cum trebuie.

Prima oara m-am apucat sa-mi aduc aminte de JUNOS la modul serios ca sa configurez cum trebuie switch-urile. Dupa aia sa impac switch-urile cu routerele de border si sa vorbeasca toate IS-IS pentru IGP. Care cu IS-IS inca am io dileme existentiale de ce anumite chestii se intampla intr-un anume fel.

Dupa aia facut un exercitiu (cu un coleg mester mare in Juniper) si reconfigurat cateva routere la modul adaugat doua noi, mutat trafic prin ele si alte dude fara sa afle userii din corporatie. Nu-mi plac in mod deosebit lucrarile de noapte si le evit daca pot. Acu sunt happy ca pot sa fac lucrari de mentenanta ziua si in principiu nu se simte.

Am pus IPv6 peste tot pe unde se poate, acu am dual stack. Ocazie cu care am descoperit ca Windowsii prefera IPv6 peste IPv4 unde este posibil.

Am asa o ura mica pe astia de au scris mesajele de eroare de la Exchange. Poveste funny: configurasem un smarthost pentru servere sa trimita prin el si m-am apucat de facut probe. Si dupa primu mail dat, NDR inapoi, de pe serverul de pe care faceam trimiterea cum ca “550: Relaying denied”. Zic nu e bine, si m-am pus pe sapat in serverul ala de cre’ca l-am cautat si’n cur. Si surpriza: smarthost-ul nu era configurat cum trebuie si nu facea relay. Da io de unde sa stiu ca de la ala era cand Exchange sustinea sus si tare ca eroarea a fost generata de el ? Io ce sa inteleg din “Generating server: serverul meu, message: 550: Relaying denied” ?

Io mai cowboy fiind asa am sters niste chestii de prin Active Directory de mi se pareau nefolositoare si azi am descoperit ca de fapt stricasem un cluster de Exchange. Noroc cu google si oamenii internetului de am gasit la un om un articol pas cu pas despre cum sa refac boacana. Si uite asa ca prin minune clusterul si-a revenit singur si a inceput sa faca stuff.

Dupa ce vin din vacanta o sa sap sa vad cum fac sa pun DNSSEC peste DNS-uri sa serveasca inregistrari semnate. Dupa aia sa fac si DKIM-ul sa mearga, cat si SPF-ul.

Ii urasc pe dobitocii care harcodeaza useri si parole in aplicatie si trebuie sa pierd timp sa stau cu wireshark-ul dupa ei sa vad ca rahat vor de la viata mea.

Overall a fost o luna nebuna, da acu am cloud. Ca tot e la moda sa go green. Si apropos de green, un rack de echipamente consuma doar ~ 1700W. Ceea ce e super misto.

[geek stuff] juniper VC cu 2 membri

Ca tot nu mai scrisesem nimic de ceva vreme, asa mai interesant sa zic, azi m-am apucat cu drag si spor sa crosetez la un mic norisor dupa ce saptamana trecuta am pus echipamente in rack si ajutat de un coleg de la alt departament l-am facut gigea de frumos cu cabluri trase ca la carte.

toata seara mi-am batut capul cu un setup de tip Virtual Chasis cu 2 switch-uri ethernet EX4200 de la Juniper. VC care se incapatana atunci cand restartam unul din switch-uri, ala ramas de capul lui trecea in mod Line Card (LC) si cucu forwarding. dupa vreo 2 factory reset si ceva google-fu, am ajuns la no-split-detection care se pare ca este ceva fix facut pentru atunci cand ai doar doua switch-uri intr-un VC.

Asa ca, daca exista setup in care intr-un VC sunt maxim 2 switch-uri, se activeaza frumos no-split-detection si uite asa totul merge cum trebuie cand unul din switch-uri se duce pe campii, e rebootat si alte cele chestii mai nasoale de se pot intampla.

root@sw> show configuration virtual-chassis

no-split-detection;

member 0 {

mastership-priority 255;

}

member 1 {

mastership-priority 255;

}

mastership-priority se pune pe 255 sa ne asiguram ca cele 2 switch-uri se vor uni ca un Master RE si un Backup RE si for putea face takeover cand e cazul.

cloud flare

Incercand io sa inchid catralioanele de tab-uri deschise in Chrome, m-am apucat sa le citesc pe rand sa vad daca sa le pun bookmark pentru alta data sau sa le inchid de tot si sa uit de ele. Si uite asa am dat io de un articol despre CloudFlare si ce face el si m-am gandit sa-l testez sa vad ce si cum. Asa ca m-am pus sa actualizez NS-urile pentru imacandi.net, ocazie cu care am lasat si niste bani la GoDaddy pentru un renewal.

Teoretic acu in functie de unde vin vizitatorii vor fi redirectionati la diverse proxy-uri care au continutul site-ului pe la ele si trafic direct la mine nu prea o sa ajunga. Sa vedem cum merge, ca suna foarte bine pentru un site business sa ai un fel de CDN si WAF pentru $20/luna.

android stuff

De cateva zile Google a dat drumul la cumparat aplicatii de pe Market si din Romania, asa ca am simtit nevoia incontrolabila e a sparge $10-15 pentru a vedea cum e. Acum am aplicatii al caror nume se termina in “pro” sau “premium” =))

Pe de alta parte, noul meu telefon crapa cam o data de doua ori pe saptamana. face un bzzzrrr si reboot. Am raportat la HTC broblemul, astept sa vad in cate luni scot si ei un fix. Cel mai probabil o sa bazai la Vodafone sa-mi dea alt telefon, o avea asta ceva defect hardware.