Spanning Tree

"Spanning Tree Protocol (STP) es un protocolo de red de la segunda capa OSI, (nivel de enlace de datos). Su función es la de gestionar la presencia de bucles en topologías de red debido a la existencia de enlaces redundantes (necesarios en muchos casos para garantizar la disponibilidad de las conexiones). El protocolo permite a los dispositivos de interconexión activar o desactivar automáticamente los enlaces de conexión, de forma que se garantice que la topología está libre de lazos. STP es transparente a las estaciones de usuario. Cuando hay lazos en la topología de red, los dispositivos de interconexión de nivel de enlace reenvían indefinidamente las tramas Broadcast y multicast, al no existir ningún campo TTL (Time To Live, Tiempo de Vida) en la Capa 2, tal y como ocurre en la Capa 3. Se consume entonces una gran cantidad de ancho de banda, y en muchos caso la red queda inutilizada." WIKIPEDIA


Bueno, una vez leída la matraca os expongo la situación:
El martes pasado nos disponíamos a conectar los witches de los Blades (tiene 2 switches Gigabit HP de tecnología e ILO Nortel), y claro debían de ir dos latiguillos en etherchannel en cada switch de la enclosure hasta el SWICO02 (nombre del Cisco del CSUB). Pues resultó que el Spanning Tree estaba malamente configurado en uno de los puertos del Switch1 de los Blades y durante unos 2 minutos (tiempo que tardamos en percatarnos de la situación) "absorvimos" todo el trafico del troncal y las subredes del ICO, del CSUB y otras instituciones que comparten la infaestructura principal. El resultado fueron varios armarios caídos (de disponibilidad crítica en su mayoría) y tener al jefe de infraestructura de red del CSUB como un mandril... No es para menos teniendo en cuenta que cayeron el 40% de los switches de toda la red de la ciudad sanitaria (los que se encontraban justo por encima y por debajo de la rama del arbol).
Fue una experiencia... entretenida.

"La historia horripilante" o "Como hacer BackUp y no morir en el intento"

Todo empezó hace casi medio año en un lugar muy lejano (en el piso de abajo) del reino de ICO existia un CPD gobernado por un Administrador de Sistemas muy malvado que tenía atemorizados a todos los Servidores Proliant porque jamás se habían hecho copias de seguridad. Y cuando nada podía ir peor los habitantes del CPD descubrieron que Veritas BackUp Exec no tenía la licencia del segundo drive LTO! El gobernador en un acto de cobardía huyó cual Técnico de Campo de primer año, dejando indefenso y vulnerable el reino de ICO. La situación era crítica cuando llegó un caballero a lomos de un precioso corcel llamado "InfoGroup", el caballero habló "No temais buenas gentes del CPD, pues yo os liberaré del yugo y la opresión, mas conseguire que ambos drives escriban simultaneamente, reparticionaré la librería y reharé todos los jobs". Y así lo hizo, tras unas semanas de dura batalla logró que todos los días se hiciera BackUp de los agentes SQL, SharePoint, Oracle, Unix y del Active Directory y los sistemas de los DC.
Así los servidores fueron felices y comieron perdices.

Colorín colorado, este cuento se ha acabado.

El Blade

Bueno, le he sacao un par de fotillos más a los servidores Blade para explicar con más detalle su conexionado, rack y sistema de funcionamiento.Esto es el frontal del rack, y en el se pueden ver: en la parte de abajo la pantalla de "status" de los sistemas de la enclosure y los baldes, y los módulos de disipación y refrigeración (6 en total). el resto son Blades, (hay 6 instalados y restan 4 bahías convertibles). Lo de convertibles es porque dependiendo del tipo de Blades ocupan 1 o 2 bahías verticales. Retomando el tema, como se puede observar, cada Blade dispone 2 discos iSCSI de 72Gb para albergar el sistema operativo de cada server (no obstante se efectuan "snapshots" de los sitemas hacia la "Eva" cada cierto tiempo para que en caso de "fallecimiento" de un Blade el tiempo de restauración sea mínimo), mientras que el almacenamiento (datos, DDBB, "Virtual Disk", etc) se deposita en la "Eva", el rendimiento no se resiente en absoluto dado que están unidos por fibra a 4Gb/seg y todo redundado, velocidad más que suficiente para nodos de alta disponibilidad.Aquí la trasera (Que limpita, ehh!! Nada que ver con otros racks...), con sus 10 unidades de disipación y refrigeración (5 arriba y 5 abajo con forma de cruceta y una presilla morada) y los switches de fibra y ethernet, como se observa tan solo se encuentran conectados cables de fibra (color naranja, más delgados que los UTP y siendo 2 por cada interface), que en el caso de ICO comunican los Blades con la "Eva", la libreria de cintas MSL, el DC primario y el Sun M5000.
Y esta es la "Eva". Como se observa los discos no están a tope, aún tiene capacidad para 8 discos más (y si son de 500Gb como los que hay instalados pues dan casi 4 Teras...)

Blade & Eva

No, no estoy hablando de la nueva palícula de Wesley Snipes con aguna tia jamona, sino de los servidores Blade y de la SAN de HP StorageWorks "Eva" que han instalado en el CPD del ICO.
Iré por partes (como dijo Jack el destripador), los servidores Blade se componen de una caja (enclosure) que consta de: fuentes redundadas, sistema de refrigeración, switch de fibra óptica y switch ethernet. A dicha enclosure se le "pinchan" los Blades (también llamados "servidores tontos") que son servidores de perfil plano que incluyen todo a excepción de los elementos compartidos del enclosure, es decir que cada uno se compone de: placa base, memorias RAM, procesadores, discos duros iSCSI para el OS y conexiones para la enclosure. Y los elementos de networking, alimentación, administración y refrigeración (situados en la enclosure) son compartidos por todos los Blades.
Así en caso de "muerte" de uno de los Blades es mucho más sencillo y económico substituirlo que no si se tratara de un server de "U" normal completo.
Y la eva, es una SAN de almacenamiento con capacidad para unos 12 Tb y pico aproximadamente (también lo llaman "cabina de discos") y se redundan los datos en un RAID5 a todos los discos optimizando al máximo la disponibilidad y seguridad de los datos almacenados.
Pues todo el conjunto de Blades, Eva, resto de máquinas y la Sun M5000 (que también están instalando hoy) van interconectados por switches (también redundados) de fibra óptica, es decir, que cada elemento de red dispone de 2 controladoras de fibra por los que salir simultáneamente a 4Gb/seg.
En los Blade van ha instalar 6 ESX Server (uno por cada Blade) para virtualizar todas las máquinas que hay ahora virtualizadas en los 2 servers ESX (se migrarán todos los discos virtuales a la nueva SAN) y las nuevas máquinas que irán siendo necesarias crear.

Aquí el amigo Alfredo, el técnico de HP instalando los parches del Command View de la EVA y actualizando el firmware de los controladores de fibra. En el rack de la izquierda arriba se ve la enclosure (con su pantallita de diagnostico) y los 6 Blades (en disposición vertical).

Pa' cagarse!

Primeramente, echarle un ojo a este link: Linux = Cáncer

No se realmente si esto es una broma o es verídico pero desde luego, sea lo que sea, refleja a la perfección ese puto espiritu pro-americano que tanto me toca los cojones.
Parece mentira que exista gente que crea esto de verdad... Parece mentira que siga habíendo esa creencia de que [Si algo es caro significa que es muy bueno y por contra algo barato (o incluso gratuito) es sistematicamente una mierda que solo va a dar problemas].
Son ya algunos años los que llevo en el "gremio" y si algo he aprendido es que [Jamás se debe pagar por algo que puedes conseguir de forma gratuita], y esto no implica necesariamente robar o estafar, simplemente ser "espavilado". A nivel empresarial la cosa es diferente, pero no tiene porque ser cara, me explico: A nivel de "business", es necesario un soporte que pueda solventar ciertas incidencias, ello implica una plataforma de helpdesk que vale $ o € y casi siempre se encarga de todo ello una empresa privada, aunque su producto no tiene porque ser caro o incluso de pago. Es el caso de Red Hat, Suse o algunas distribuciones privadas. Son "baratas" frente a soluciones totalmente cerradas como pueden ser Windows o Mac.
Por eso me ponen enfermo afirmaciones tan tajantes en cuanto a valía de un producto cerrado o GPL. (.....Parece mentira que yo sea administrador de soluciones Microsoft.....)

Estructura de red

Lo prometido es deuda, así que aquí teneis el esquema básico de la estructura de red del ICO.

El esquema lo he hecho yo partiendo de los que hay por aquí, pero a todo esto hay que tener en cuenta que el switch principal está conectado a la red de Bellvitge y pese a que no compartimos bosque, es posible que más adelante se fusionen ambos.
Se puede observar que hay dos redes, una para producción y la otra utilizada para el sistema de BackUp en cintas, ambas Gigabit.
Bueno, dentro de poco expondré mis primeras experiencias con el antiguo MOM y con Compute Cluster Server (queda pendiente el WSUS).

El CPD más cojonudo que jamás he visto

Bueno, nenes/as estoy empezando a documentar un poco el temita informatico del ICO, más que nada en plan instructivo (jamás revelaré información que permita o facilite el acceso a los sistemas ni a sus datos, más que nada por política de empresa, legalidad y ética profesional).

Empezamos: Como ya comenté un poco por encima en anteriores post, en el sistema hay servidores de virtualización (ESX Infraestructure), concretamente 2 en cluster.

En la imagen no se aprecia muy bien, pero es la consola de administración del ESX, donde se pueden gestionar las máquinas virtuales, balancearlas de un host a otro, crear nuevas máquinas utilizando el espacio de la SAN, etc.
Pues bien, los hosts (en el caso del ICO son 2 servidores Opteron Quad de 2,8 y 15Gb de RAM, no está mal...)
Bueno, en la imagen superior están los dos ESX (justo encima de la librería de cintas HP), en las U superiores se encuentran el router Cisco y el servidor de archivos (muy cuco él con una pantallita de autodiagnostico...)
La libreria de cintas es molona que te cagas. Tiene capacidad para 28 cintas (de 400/800 Gb) y dos drives Ultrium, gestión integrada del "Magazine" con interfaz táctil, y configurada en BackUp Exec hace auténticas virguerias. Anda que no mola ver el brazo robótico moviendose, metiendo y sacando cintas!!

Además, entre este mes y el que viene entra en servicio la SAN EVA de HP (StorageWorks) de 7,5Tb... No está nada mal, ehhh, y la Sun Solaris M5000, que vaya monstruo también (rack de la derecha abajo del todo)...

Y por hoy esto es todo, mañana colgaré un esquema de red (formato Visio que queda muy mono) y haré una pequeña explicación de como montar como dios manda la WSUS.

Si chiquito levantara la cabeza...

Bueno, tras mi primer contacto (2 días) en el ICO, he aprendido un huevo de varias cosas, y he flipado otro huevo con el dineral que se deja la administración pública en sistemas informaticos. 1+1=2 huevos de experiencias en 2 días, no está mal a día por huevo...
El lunes colgaré algo de información de infraestructuras (en general, sin información confidencial, porfavor, ¡solo falta que ahora me acusen de espionaje industrial o algo peor!) para el que le interese hacerse una idea de la configuracion de la estructura de red "extensa", con su red dedicada a Back Up, sus zonas DMZ, clustering, etc...

Por lo pronto, me he enterado que la cosa ha llegado a este punto gracias a un tal Raúl noseque, que era el antiguo técnico que llevaba el rollito del ICO (todos los servidores...), pero dicho técnico un día decidió desaparecer (creo que dijo que salía a comprar tabaco...) y no existió traspaso de conocimiento alguno... claro la cosa fue cada vez a peor... y el pobre Steve Renart se encontró el pastel, que más tarde pasó a Bruno Lecuriex, y ahora Bruno me lo pasa a mi. El tal Bruno es un tipo muy majo, que controla bastante de Unix y sistemas Microsoft así en general, un buen tío.
También estuvo por aquí un tal Isidre, consultor de nivel 5 (eso es como ser el Yoda de los Maestros Jedai) que le echó un ojo a los Jobs del Veritas y reparticionó toda la librería de cintas como le salió de los huevos (sin retenciones en los medios ni posibilidad de scratch... madre mia...)
y ahora Juan Pedro, el boss de Sistemas de ICO, se está cagando en la puta vida de la mascota de Raúl... pobre "Chiquito"...

Siempre tienen que pagar justos por pecadores... Pero bueno, por suerte, yo no tengo cobaya.

ICO y de cómo flipé con la sanidad catalana

Ayer por la tarde, sobre las 18:30 aproximadamente, me reuní con el "responsable" de IT de ICO, en l'Hospitalet, me explicó en que situación se encontraban los sitemas del hospital y bueno, saqué mis propias conclusiones: la red a ido degenerando paulatinamente a un estado de práctico caos en los sistemas de BackUp, permisos de Active Directory, cuotas de discos, etc...
El entorno es el siguiente: (todos son sistemas 2003 Server) 2 servidores en cluster con Exchange 2003 (uno físico y otro virtualizado), 2 servidores en cluster con SharePoint (uno físico y otro virtualizado), 2 servidores de ficheros en cluster (uno físico y otro virtualizado), 2 servidores SQL Server 2005 en cluster (uno físico y otro virtualizado) y 3 servidores Unix con el ERP. Bueno tras este vistazo en general expongo los fallos: BackUp Exec de Veritas (los jobs fallan por todas partes) hay que planificar desde cero todos los sistemas de copia; Ative Directory no está estructurado como debería y hay que establecer políticas de grupo; Cuotas de disco sin establecer en el servidor de ficheros; SharePoint tiene problemas de conectividad; dos de los 3 servidores Unix no disponen de conectividad con BackUp Exec, posiblemente haya que reinstalar el daemon; existe una plicación corriendo para supervisión de los sistemas, pero tampoco funciona, luego no se está eefctuando ningún tipo de tarea de monitorización y/o reporting de errores. Bueno, cuando le inque el diente a los sistemas iré ampliando información.

Experiencias religiosas con McAfee

Apreciados "friki-monsters" (lo admito, veo "Yo soy Bea"), os explico un poquito lo que me ha ocurrido y la solución que he encontrado.
En la compañía tenían instaldo VirusScan de McAfee de forma local en cada estación, pero se me ocurrió la brillante idea de instalar ProtectionPilot para gestionar todas las máquinas del dominio y así aprovechar el potencial de reporting en infecciones y repositorios de actualizaciones, además de poder distribuir nuevas aplicaciones y versiones del motor de analisis sin tener que ir pasando por todos los PCs de la empresa. ¡Dios mio que horror!
Lo primero fue instalar el Protection Pilot 1.1 en uno de los controladores de dominio (en mi caso el de menos carga, que no maneja ni el SQL 2005 ni el ERP MS Dyn. NAV), la instalación fué bien hasta que tube que abrir puertos de comunicación para las actualizaciones, las amenazas de seguridad y la comunicacion con McAfee. Bueno, esto fue relativamente sencillo (creé nuevas reglas en el firewall y listo), pero el problema surge al distribuir las actualizaciones y el propio antivirus en las máquinas que sí detecta ProtectionPilot en el dominio. Me ha distribuido el producto AntiSpiware McAfee en varios PCs pero no veo por ninguna parte comunicacion con ProtectionPilot, y lo que es más extraño todavía, no actualiza...
Bueno, voy a ponerme en contacto con Soporte técnico para que le echen un ojo...

BoRr@sS y el copyleft "destrangis"

Bueno, esta biene a ser la primera entrada del blog en si misma, mismamente. Pues que mejor que abrir el tema de la piratería (de la cual soy firme defensor).
Muchos de los que visiteis el blog conocereis-usareis (por lo menos habreis oido hablar) los Todo en 1. Son esos DVDs bootables que tienen todo lo que hace falta para dejar un PC de fábrica funcionan do al 100% (sistemas operativos Windows cliente y servidor, office, utilidades de sistema, software de grabación de CD/DVD, actualizaciones importantes, software dieverso muy útil, y todo con sus correspondientes "medicinas" y seriales) son rematadamente cojonudos y los he utilizado desde su version 3 en el 2003 hasta la 8 del 2007, cuando trincaron a su creador en el llamado "mayor golpe contra la piratería en España".
Murió www.darketernal.net, el alma mater del proyecto, el meeting point de todos sus colaboradores y simpatizantes. Y BoRr@sS, el master, pasó unos días a la sombra... Nació www.ayudaborras.com con el único fin de difundir la verdad, tergiversada por el ministerio y los medios. Al parecer la denuncía venía de EEUU, y ya hacía más de 1 año que iniciaron las operaciones de investigación.
Pasaron meses y tras numerosas muestras de apoyo y gracias a los colaboradores el proyecto resurgió cual ave fenix de sus cenizas ahora bajo el irónico dominio www.darkreloaded.com y así poco a poco los Todo en 1 volverán a la scene en su gloriosa versión 9!!







Visita www.darkreloaded.com

Si utilizamos el "efecto fuenteovejuna" nadie podrá con nosotros, no pueden encarcelar a cientos de miles de piratillas desperdigados por toda la geografía. Piratea y cópia, distribuye y que el fluir de conociminento no cese, pero eso si, jamás te lucres, pues será tu perdición.