1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 27, 2025 08:18

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 3
  [ Сообщений: 43 ]  На страницу 1, 2, 3  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
KovAl59
СообщениеДобавлено: Пт ноя 26, 2010 19:53 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
В разделе FAQ есть примеры загрузки конфига по snmp для коммутаторов серий 30ХХ, 35, 36 ,38 , а для DGS-3100 отсутствует.
Соотв. вопрос - такая возможность отсутствует в серии 31ХХ, или просто нет документации?
Вернуться наверх
 Профиль  
 
UpbIrb
СообщениеДобавлено: Пн ноя 29, 2010 11:14 
Не в сети

Зарегистрирован: Вт янв 13, 2009 10:34
Сообщений: 80
Если мне не изменяет память, то попробуйте такие OID'ы:

Upload config file to PC
# snmpset -v2c -c private 10.90.90.91 1.3.6.1.4.1.171.10.94.89.89.87.2.1.3.1 i 1 1.3.6.1.4.1.171.10.94.89.89.87.2.1.4.1 a 10.90.90.91 1.3.6.1.4.1.171.10.94.89.89.87.2.1.5.1 i 1 1.3.6.1.4.1.171.10.94.89.89.87.2.1.6.1 s startupConfig 1.3.6.1.4.1.171.10.94.89.89.87.2.1.7.1 i 3 1.3.6.1.4.1.171.10.94.89.89.87.2.1.8.1 i 3 1.3.6.1.4.1.171.10.94.89.89.87.2.1.9.1 a 10.90.90.100 1.3.6.1.4.1.171.10.94.89.89.87.2.1.10.1 i 1 1.3.6.1.4.1.171.10.94.89.89.87.2.1.11.1 s dgs-3100-config 1.3.6.1.4.1.171.10.94.89.89.87.2.1.12.1 i 3 1.3.6.1.4.1.171.10.94.89.89.87.2.1.17.1 i 4

1.- local
3.- startupConfig
3.- tftp
4.- createAndGo


это для загрузки конфига со свитча на тфтп
и для загрузки конфига на свитч


Download config file to PC
# snmpset -v2c -c private 10.90.90.90 1.3.6.1.4.1.171.10.94.89.89.87.2.1.3.1 i 3 1.3.6.1.4.1.171.10.94.89.89.87.2.1.4.1 a 10.90.90.100 1.3.6.1.4.1.171.10.94.89.89.87.2.1.5.1 i 1 1.3.6.1.4.1.171.10.94.89.89.87.2.1.6.1 s dgs-3100-config 1.3.6.1.4.1.171.10.94.89.89.87.2.1.7.1 i 3 1.3.6.1.4.1.171.10.94.89.89.87.2.1.8.1 i 1 1.3.6.1.4.1.171.10.94.89.89.87.2.1.9.1 a 10.90.90.90 1.3.6.1.4.1.171.10.94.89.89.87.2.1.10.1 i 1 1.3.6.1.4.1.171.10.94.89.89.87.2.1.11.1 s startupConfig 1.3.6.1.4.1.171.10.94.89.89.87.2.1.12.1 i 3 1.3.6.1.4.1.171.10.94.89.89.87.2.1.17.1 i 4

3.- tftp
3.- startupConfig
1.- local
4.- createAndGo

_________________
LanCom/PowerNet
Вернуться наверх
 Профиль  
 
KovAl59
СообщениеДобавлено: Пн ноя 29, 2010 11:50 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
UpbIrb писал(а):
Если мне не изменяет память, то попробуйте такие OID'ы:

Upload config file to PC
# snmpset -v2c -c private 10.90.90.91 1.3.6.1.4.1.171.10.94.89.89.87.2.1.3.1 i 1 ....

У меня вся ветка 1.3.6.1.4.1.171.10.94.89.89.87.2 отсутствует..
Код:
[root@border /]# snmpwalk -v2c -c private 192.168.4.3 1.3.6.1.4.1.171.10.94.89.89.87.2
SNMPv2-SMI::enterprises.171.10.94.89.89.87.2 = No Such Object available on this agent at this OID

И вообще, вся таблица (1.3.6.1.4.1.171.10.94.89.89.87) начинается с "3" и там всего пара OID..
Код:
[root@border /]# snmpwalk -v2c -c private 192.168.4.3 1.3.6.1.4.1.171.10.94.89.89.87
SNMPv2-SMI::enterprises.171.10.94.89.89.87.3.0 = INTEGER: 4
SNMPv2-SMI::enterprises.171.10.94.89.89.87.5.0 = INTEGER: 1


P.S.
Код:
Boot PROM Version   : 1.0.1.01
Firmware Version    : 2.50.43
Hardware Version    : 00.00.a2
Вернуться наверх
 Профиль  
 
Denis Evgraphov
СообщениеДобавлено: Пн ноя 29, 2010 13:04 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
По запросу в соответствующей теме я Вам выслал архив с документацией.
Вернуться наверх
 Профиль  
 
KovAl59
СообщениеДобавлено: Пн ноя 29, 2010 15:15 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
По запросу в соответствующей теме я Вам выслал архив с документацией.

К сожалению, ответ постом выше.. :( Собственно это и предлагал UpbIrb
Из присланного вами мануала:
Код:
How to use NET-SNMP – Save Config
1. Save Config File
# snmpset -v2c -c private 10.90.90.90 1.3.6.1.4.1.171.10.94.89.89.87.2.1.3.1 i 1
 1.3.6.1.4.1.171.10.94.89.89.87.2.1.4.1 a 10.90.90.90 1.3.6.1.4.1.171.10.94.89.89.87.2.1.5.1 i 1 1.3.6.1.4.1.171.10.94.89.89.87.2.1.6.1 s runningConfig 1.3.6.1.4.1.171.10.94.89.89.87.2.1.7.1 i 2
1.3.6.1.4.1.171.10.94.89.89.87.2.1.8.1 i 1 1.3.6.1.4.1.171.10.94.89.89.87.2.1.9.1 a 10.90.90.90
1.3.6.1.4.1.171.10.94.89.89.87.2.1.10.1 i 1 1.3.6.1.4.1.171.10.94.89.89.87.2.1.11.1 s startupConfig
1.3.6.1.4.1.171.10.94.89.89.87.2.1.12.1 i 3 1.3.6.1.4.1.171.10.94.89.89.87.2.1.17.1 i 4


1 local
2 runningConfig
3 startupCofnig
4 reateAndGo

Что из этого вышло:
Код:
[root@border tmp]# snmpset -v2c -c private 192.168.4.3 1.3.6.1.4.1.171.10.94.89.89.87.2.1.3.1 i 1
Error in packet.
Reason: inconsistentValue (The set value is illegal or unsupported in some way)
Failed object: SNMPv2-SMI::enterprises.171.10.94.89.89.87.2.1.3.1

Причина, как я уже и отвечал постом ранее - ветка 1.3.6.1.4.1.171.10.94.89.89.87.2 отсутствует.
Какие варианты? Необходимость сменить прошивку есть? Не хотелось бы перепрошивать девайс без уверенности, что это необходимо для решения задачи, т.к. свитч находится от меня более чем за 100км и нет никакого желания ехать туда без особой надобности (если вдруг глюкнет при прошивке).
Вернуться наверх
 Профиль  
 
Denis Evgraphov
СообщениеДобавлено: Пн ноя 29, 2010 16:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Нужно использовать именно одну команду со всеми перечисленными OID, а не посылать последовательность команд SNMP.
Вернуться наверх
 Профиль  
 
KovAl59
СообщениеДобавлено: Пн ноя 29, 2010 19:03 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
Нужно использовать именно одну команду со всеми перечисленными OID, а не посылать последовательность команд SNMP.

Все понятно, спасибо.
Сбивала с толку привычка, оставшаяся от работы с 3526 (в нем возможно загружать "построчно"). Плюс ко всему эта ветка недоступна для чтения (пытался её "посмотреть" snmpwalk-ом :oops: ).

Остался один вопрос - возможно ли в 3100 также как и в 3526 загружать "инкрементальный" конфиг? Если "да", то что необходимо добавить/изменить в списке команд?
Вся эта "затея" предназначена для динамического изменения ACL, поэтому грузить весь конфиг нет смысла.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
СообщениеДобавлено: Вт ноя 30, 2010 12:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
3100 не позволяет загружать инкрементальный конфиг.
А что вам мешает создавать ACL с помощью snmp?
Вернуться наверх
 Профиль  
 
KovAl59
СообщениеДобавлено: Ср дек 01, 2010 08:45 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Alexandr Zaitsev писал(а):
3100 не позволяет загружать инкрементальный конфиг.

Жаль..
Alexandr Zaitsev писал(а):
А что вам мешает создавать ACL с помощью snmp?

Ну во-первых требуется не "создавать ACL", а "динамически изменять ACL", что предполагает кроме создания, еще и удаление.
И во-вторых мешает отсутствие необходимой информации. Той, что есть в двух howto, совершенно недостаточно..
Вернуться наверх
 Профиль  
 
Denis Evgraphov
СообщениеДобавлено: Ср дек 01, 2010 12:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
На серии DGS-3100 работать с ACL по SNMP действительно довольно трудно. Уточните, пожалуйста, ACL какого вида Вам необходимы.
Вернуться наверх
 Профиль  
 
KovAl59
СообщениеДобавлено: Ср дек 01, 2010 14:52 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
На серии DGS-3100 работать с ACL по SNMP действительно довольно трудно. Уточните, пожалуйста, ACL какого вида Вам необходимы.

Задача собственно "переработать" для 3100 уже отлаженный вариант от 3526. Но! В 3526 я использую ACL типа Packet Content Filtering, которые как я понимаю, недоступны в DGS-3100.. Т.о. придется их заменить на "простые" IP/MAC ACL.
Собственно ACL-ы такие:
Код:
# ACL
#
delete access_profile all
#
# ARP
#
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 3
config access_profile profile_id 3 add access_id auto_assign ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 1-26 permit
#
# Block illegal DHCP
#
create access_profile ip udp src_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id auto_assign ip udp src_port 67 port 26 permit
config access_profile profile_id 4 add access_id auto_assign ip udp src_port 67 port 1-25 deny
#
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 6
config access_profile profile_id 6 add access_id auto_assign ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-26 permit
#
# Service accounts
create access_profile ip source_ip_mask 255.255.255.255 profile_id 7
config access_profile profile_id 7 add access_id auto_assign ip source_ip 192.168.200.190 port 1-24 permit
config access_profile profile_id 7 add access_id auto_assign ip source_ip 192.168.4.15 port 20 permit
#
# Guest access to stat (192.168.200.0/24 to 10.254.213.2)
#
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 offset_16-31 0x0 0x0 0x000000FF 0x0000FFFF offset_32-47 0xFF00FFFF 0xFFFF0000 0xFFFF0000 0x0 profile_id 8
#
# UDP dst port 53 (DNS)
config access_profile profile_id 8 add access_id auto_assign packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 offset_16-31 0x0 0x0 0x00000011 0x0000C0A8 offset_32-47 0xC8001A21 0x31150000 0x00350000 0x0 port 1-24 permit
# TCP dst_port 80 (stat)
config access_profile profile_id 8 add access_id auto_assign packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 offset_16-31 0x0 0x0 0x00000006 0x0000C0A8 offset_32-47 0xC8000AFE 0xD5020000 0x00500000 0x0 port 1-24 permit
#
# Access to stat for blocked users
#
create access_profile packet_content_mask offset_0-15 0x0 0x0000FFFF 0xFFFFFFFF 0x0 offset_16-31 0x0 0x0 0x000000FF 0x0000FFFF offset_32-47 0xFFFFFFFF 0xFFFF0000 0xFFFF0000 0x0 profile_id 9
config access_profile profile_id 9 add access_id auto_assign packet_content_mask offset_0-15 0x0 0x00000004 0x6148D6F7 0x0 offset_16-31 0x0 0x0 0x00000011 0x00000A00 offset_32-47 0xC81A1E25 0x30270000 0x00350000 0x0 port 2 permit
# Access to router for unblocked users
#
create access_profile packet_content_mask offset_0-15 0xFFFFFFFF 0xFFFFFFFF 0xFFFFFFFF 0x0 offset_16-31 0x0 0x0 0x0 0x0000FFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 10
config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_0-15 0x0001C54E 0x8ACA0021 0x1FDA0719 0x0 offset_16-31 0x0 0x0 0x0 0x00000A00 offset_32-47 0xC80A0000 0x0 0x0 0x0 port 17 permit
# Access to local net
#
create access_profile ip source_ip_mask 255.255.240.0 destination_ip_mask 255.255.240.0 profile_id 15
config access_profile profile_id 15 add access_id auto_assign ip source_ip 10.0.192.0 destination_ip 10.0.192.0 port 1-24 permit
#
#
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 profile_id 20
config access_profile profile_id 20 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 port 1-25 deny
#
#
disable cpu_interface_filtering
Вернуться наверх
 Профиль  
 
Denis Evgraphov
СообщениеДобавлено: Ср дек 01, 2010 14:59 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
А с реализацией каких правил возникли проблемы?
Вернуться наверх
 Профиль  
 
KovAl59
СообщениеДобавлено: Ср дек 01, 2010 17:32 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
А с реализацией каких правил возникли проблемы?

Да собственно еще даже не добрался до конкретики, т.к. изначально планировалось решить задачу загрузкой конфига, а имеющийся howto, как говорил ранее, очень скуден.. Ну и еще надо сначала "переиграть" PCF ACL в "обычные", тоже еще задачка..
Может быть есть более объёмный материал по работе с ACL по snmp? Например, как полностью очистить список ACL (выполнить команду "delete access_profile all") перед записью новых профайлов/правил?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
СообщениеДобавлено: Ср дек 01, 2010 17:38 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Вы имеете в виду именно DGS-3100 серию? Далеко не все PCF можно переработать в Ethernet или IP профили. Кроме того, правильно основные задачи, связанные с фильтрацией клиентского трафика, решать на уровне доступа.
Вернуться наверх
 Профиль  
 
KovAl59
СообщениеДобавлено: Ср дек 01, 2010 18:11 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
Вы имеете в виду именно DGS-3100 серию? Далеко не все PCF можно переработать в Ethernet или IP профили.
Нет, нужно конкретно для DGS-3100 24TG. Вообще-то "мои" PCF более "опираются" на IP. Так-что, думаю, вполне реально их переработать, немного пожертвовав "качеством" фильтрации (убрать МАС-и из правил, но к сожалению, не хватает необходимой информации по работе с ACL по snmp... Попробую еще раз "добить" первый вариант (с загрузкой готового конфига с tftp). На данный момент почему-то не получается загрузить running-config, чтобы изменения заработали сразу, без ребута. Грузит только в startup-config.. :( Или это так задумано?
Denis Evgraphov писал(а):
Кроме того, правильно основные задачи, связанные с фильтрацией клиентского трафика, решать на уровне доступа.

Здесь согласен, но.. Как всегда то самое "но". :) В данном случае на доступе (на DES-3010G) решить что-либо подобное нереально.. Или я ошибаюсь?
P.S. А что можете сказать насчет "развернутого howto" по работе с ACL на DGS-3100 24TG?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 3
  [ Сообщений: 43 ]  На страницу 1, 2, 3  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB