Artem Kolpakov писал(а):
Я конфигурировал через CLI простым построчным копипастом с Вашего поста. Проблему воспроизвести не удалось.
Совершенно верно! Если конфигурить ручками из CLI таким образом, то все работает.
Но мне нужно НЕ ручное конфигурирование ACL, а программное динамическое. Для этого в коммутатор загружается по snmp заранее подготовленный конфиг, вернее его часть, содержащая собственно ACL. Используется вариант загрузки инкрементного конфига. Б
ольшая часть ACL не изменяется. Из всего ACL требуется заменить только один профайл (№9 в данном примере).
Так вот, если грузить именно так - удалить профайл №9 и сформировать его заново, получается то, что собственно и породило данную тему..

Например, грузим такой "фрагмент" ACL
Код:
!
delete access_profile profile_id 9
create access_profile profile_id 9 ip source_ip_mask 255.255.255.255
config access_profile profile_id 9 add access_id auto_assign ip source_ip 192.168.4.6 port 7 permit
config access_profile profile_id 9 add access_id auto_assign ip source_ip 192.168.4.21 port 9 permit
config access_profile profile_id 9 add access_id auto_assign ip source_ip 192.168.4.116 port 17 permit
config access_profile profile_id 9 add access_id auto_assign ip source_ip 10.0.192.5 port 9 deny
config access_profile profile_id 9 add access_id auto_assign ip source_ip 10.0.192.178 port 4 deny
config access_profile profile_id 9 add access_id auto_assign ip source_ip 10.0.192.25 port 4 deny
config access_profile profile_id 9 add access_id auto_assign ip source_ip 10.0.192.245 port 9 deny
config access_profile profile_id 9 add access_id auto_assign ip source_ip 10.0.193.15 port 9 deny
В результате профиль в коммутаторе появляется НО НЕ РАБОТАЕТ!
Пытался заливать ACL целиком, но для этого предварительно требуется удалить все ранее созданные и сконфигуренные профайлы. Команда "delete access_profile
all" в DGS-3100 к сожалению отсуствует, поэтому приходится "на верх" заливаемого файла записывать "delete access_profile profile_id XX" для каждого профиля. Такой конфиг в коммутатор не грузится, вываливается с ошибкой по таймауту (профили удаляются очень долго..).
Код:
DGS-3100# 11-Feb-2011 15:52:14 %COPY-I-FILECPY: Files Copy - source URL tftp://10.254.213.1/acl_t_1.tmp destination URL running-config
11-Feb-2011 15:55:02 %TFTP-N-TIMERSEND: Session is closed after timeout is expired
11-Feb-2011 15:55:02 %COPY-W-TRAP: The copy operation has failed
Аналогично не работает и такой вариант:
1. заливаем "статическую" часть конфига
2. дописываем создание и конфигурацию профиля №9
Причем уже совершенно неважно, каким образом ("заливкой" из файла, или дописыванием из CLI) выполняется п.2 - такой вариант не работает...
Все вышеописанные процедуры прекрасно отрабатывают и в дальнейшем нормально функционируют на DES-3526. На 3100 почему-то полный облом..
P.S. Есть мысль выполнять конфигурацию "динамической" части ACL не методом заливки конфига, а непосредственно формировать эту часть ACL по snmp, предварительно залив "статическую" часть, но пока не могу найти нужный OID для удаления нужного профиля (в данном случае - №9). И опять же неясно, будет ли работать такой вариант..