D-Link • Просмотр темы - Исчезают ACL на DES-3200-10

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Исчезают ACL на DES-3200-10

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 10 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

KovAl59

Заголовок сообщения: Исчезают ACL на DES-3200-10

Добавлено: Пн ноя 21, 2011 13:45

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов

DES-3200-10 FW Build 1.42.B001. Наблюдается чрезвычайно странная картина с PCF ACL- через некоторое время из профиля бесследно исчезают правила.. :shock:

ACL загружаю по snmp. Профиль такого вида:

Код:

create access_profile  packet_content_mask   destination_mac FF-FF-FF-FF-FF-FF  source_mac FF-FF-FF-FF-FF-FF  offset1 l3 8 0xFF  offset2 l3 12 0xFFFF  offset3 l3 14 0xFFFF  offset4 l3 16 0xFFFF  offset5 l3 18 0xFFFF  offset6 l4 2 0xFFFF  profile_id 8

Собственно правила:
1. сразу после загрузки

Код:

config access_profile profile_id 8  add access_id 1  packet_content   destination_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0011   mask 0x00ff offset2 0x0000   mask 0x0000 offset3 0x0000   mask 0x0000 offset4 0x3322   mask 0xffff offset5 0x3222   mask 0xffff offset6 0x0035   mask 0xffff port 1-9 permit
config access_profile profile_id 8  add access_id 2  packet_content   destination_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0006   mask 0x00ff offset2 0x0000   mask 0x0000 offset3 0x0000   mask 0x0000 offset4 0x0afe   mask 0xffff offset5 0xd508   mask 0xffff offset6 0x0050   mask 0xffff port 1-9 permit
config access_profile profile_id 8  add access_id 3  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-0F-EA-2C-18-82 mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd02b   mask 0xffff port 2 permit
config access_profile profile_id 8  add access_id 4  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-1F-D0-58-77-1D mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd023   mask 0xffff port 1 permit
config access_profile profile_id 8  add access_id 5  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-22-15-21-5C-EA mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd025   mask 0xffff port 2 permit
config access_profile profile_id 8  add access_id 6  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-04-61-A8-EA-A1 mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd022   mask 0xffff port 4 permit
config access_profile profile_id 8  add access_id 7  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-E0-52-B8-B9-D1 mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd027   mask 0xffff port 3 permit
config access_profile profile_id 8  add access_id 8  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 1C-6F-65-A8-58-11 mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd028   mask 0xffff port 4 permit 
config access_profile profile_id 8  add access_id 9  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-1B-FC-89-39-D0 mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd02d   mask 0xffff port 2 permit
config access_profile profile_id 8  add access_id 10  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-1E-8C-D6-2C-6D  mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd02e   mask 0xffff port 4 permit
config access_profile profile_id 8  add access_id 11  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-25-22-5F-21-6A  mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd032   mask 0xffff port 4 permit
config access_profile profile_id 8  add access_id 12  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-24-1D-DB-99-2D  mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd033   mask 0xffff port 3 permit
config access_profile profile_id 8  add access_id 13  packet_content   destination_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 source_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 offset4 0x0a00   mask 0xffff offset5 0xd000   mask 0xf000 offset6 0x8000   mask 0x8000 port 1-9 permit
config access_profile profile_id 8  add access_id 65533  packet_content   destination_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 source_mac 00-00-00-00-00 -00 mask 00-00-00-00-00-00 offset1 0x0000   mask 0x0000 offset2 0xc0a8   mask 0xffff offset3 0xcb3d   mask 0xffff offset4 0x0000   mask 0x0000 offset5 0x0000 mask 0x0000 offset6 0x0000   mask 0x0000 port 1-9 permit
config access_profile profile_id 8  add access_id 65534  packet_content   destination_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0000   mask 0x0000 offset2 0xc0a8   mask 0xffff offset3 0xcb3e   mask 0xffff offset4 0x0000   mask 0x0000 offset5 0x0000 mask 0x0000 offset6 0x0000   mask 0x0000 port 1-9 permit
config access_profile profile_id 8  add access_id 65535  packet_content   destination_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0000   mask 0x0000 offset2 0x0000   mask 0x0000 offset3 0x0000   mask 0x0000 offset4 0x0a00   mask 0xffff offset5 0xd000 mask 0xf000 offset6 0x8000   mask 0x8000 port 1-9 permit

2. через некоторое время (конкретно неизвестно, в логах никаких записей нет).

Код:

config access_profile profile_id 8  add access_id 1  packet_content   destination_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0011   mask 0x00ff offset2 0x0000   mask 0x0000 offset3 0x0000   mask 0x0000 offset4 0x3322   mask 0xffff offset5 0x3322   mask 0xffff offset6 0x0035   mask 0xffff port 1-9 permit
config access_profile profile_id 8  add access_id 2  packet_content   destination_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0006   mask 0x00ff offset2 0x0000   mask 0x0000 offset3 0x0000   mask 0x0000 offset4 0x0afe   mask 0xffff offset5 0xd508   mask 0xffff offset6 0x0050   mask 0xffff port 1-9 permit
config access_profile profile_id 8  add access_id 3  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-0F-EA-2C-18-82 mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd02b   mask 0xffff port 2 permit
config access_profile profile_id 8  add access_id 4  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-1F-D0-58-77-1D mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd023   mask 0xffff port 1 permit
config access_profile profile_id 8  add access_id 5  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-22-15-21-5C-EA mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd025   mask 0xffff port 2 permit
config access_profile profile_id 8  add access_id 6  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-04-61-A8-EA-A1 mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd022   mask 0xffff port 4 permit
config access_profile profile_id 8  add access_id 7  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-E0-52-B8-B9-D1 mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd027   mask 0xffff port 3 permit
config access_profile profile_id 8  add access_id 8  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 1C-6F-65-A8-58-11 mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd028   mask 0xffff port 4 permit config access_profile profile_id 8  add access_id 9  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-1B-FC-89-39-D0 mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd02d   mask 0xffff port 2 permit
config access_profile profile_id 8  add access_id 10  packet_content   destination_mac 00-04-23-DE-C5-00  mask FF-FF-FF-FF-FF-FF source_mac 00-1E-8C-D6-2C-6D mask FF-FF-FF-FF-FF-FF offset2 0x0a00   mask 0xffff offset3 0xd02e   mask 0xffff port 4 permit
config access_profile profile_id 8  add access_id 12  packet_content   destination_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset4 0x0a00   mask 0xffff offset5 0xd000   mask 0xf000 offset6 0x8000   mask 0x8000 port 1-9 permit
config access_profile profile_id 8  add access_id 65533  packet_content   destination_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0000   mask 0x0000 offset2 0xc0a8   mask 0xffff offset3 0xcb3d   mask 0xffff offset4 0x0000   mask 0x0000 offset5 0x0000 mask 0x0000 offset6 0x0000   mask 0x0000 port 1-9 permit
config access_profile profile_id 8  add access_id 65534  packet_content   destination_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0000   mask 0x0000 offset2 0xc0a8   mask 0xffff offset3 0xcb3e   mask 0xffff offset4 0x0000   mask 0x0000 offset5 0x0000 mask 0x0000 offset6 0x0000   mask 0x0000 port 1-9 permit
config access_profile profile_id 8  add access_id 65535  packet_content   destination_mac 00-00-00-00-00-00  mask 00-00-00-00-00-00 source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0000   mask 0x0000 offset2 0x0000   mask 0x0000 offset3 0x0000   mask 0x0000 offset4 0x0a00   mask 0xffff offset5 0xd000 mask 0xf000 offset6 0x8000   mask 0x8000 port 1-9 permit

Стабильно исчезают два правила (11 и 12).. В логах полнейшая тишина, коммутатор в этот период не перезагружался, конфиг сохранен. Перепрошивка в Build 1.52.B008 проблему не решает.
Есть подозрение на какие-то ограничения по кол-ву оффсетов, но почему тогда коммутатор принимает все правила и довольно долго исправно их "хранит" и выполняет??

Последний раз редактировалось KovAl59 Пн ноя 21, 2011 13:54, всего редактировалось 2 раз(а).

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Исчезают ACL на DES-3200-10

Добавлено: Пн ноя 21, 2011 13:53

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Правила сами по себе никуда не могут исчезнуть, если они есть в конфигурации и не было перезагрузки/изменения каких-либо правил. Таким образом, проверяйте, не вносились ли у Вас изменения в правила, а если вносились, то какие.

Вернуться наверх

KovAl59

Заголовок сообщения: Re: Исчезают ACL на DES-3200-10

Добавлено: Пн ноя 21, 2011 14:30

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов

Denis Evgraphov писал(а):

В том-то и дело, что ни перезагрузки, ни каких-либо изменений в этот период не вносилось. Сам весь в непонятках.. :roll:

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Исчезают ACL на DES-3200-10

Добавлено: Пн ноя 21, 2011 14:39

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Рекомендую Вам настроить command logging + syslog, чтобы логировать изменения вносимые по CLI. Что касается управления по SNMP, то зафиксируйте, все варианты изменений которые могли вноситься и проверьте, что из них может привести к подобному результату.

Вернуться наверх

KovAl59

Заголовок сообщения: Re: Исчезают ACL на DES-3200-10

Добавлено: Пн ноя 21, 2011 15:23

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов

Denis Evgraphov писал(а):

Рекомендую Вам настроить command logging + syslog, чтобы логировать изменения вносимые по CLI.

Syslog настроен, правда только на WARNING, сообщений от него также нет. Попробую включить "ALL".

Denis Evgraphov писал(а):

Что касается управления по SNMP, то зафиксируйте, все варианты изменений которые могли вноситься и проверьте, что из них может привести к подобному результату.

Да в том-то и дело, что скрипты, где используется snmp конфигурация, запускаются каждый час и вносят изменения в конфиг коммутатора только в случае их (изменений) наличия. Таковых не было ни сегодня, ни вчера, ни позавчера. Все подобные операции кроме того логируются в базу данных, там тоже чисто..
После последней "ручной" правки прошло более часа, пока-что в АЦЛ-ах все в порядке.. Т.о. все повторяется безсистемно. Подобную ситуацию более нигде не наблюдаю. Может все-таки дело в конкретном коммутаторе?
Коммутаторов с аналогичными АЦЛ пока немного - 6 штук, ни на одном подобного не наблюдается..

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Исчезают ACL на DES-3200-10

Добавлено: Пн ноя 21, 2011 15:25

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

У Вас каждый час изменения вносятся в конфигурацию, от этого и отталкивайтесь. Правила просто так никуда не могут исчезать.

Вернуться наверх

KovAl59

Заголовок сообщения: Re: Исчезают ACL на DES-3200-10

Добавлено: Пн ноя 21, 2011 16:14

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов

Denis Evgraphov писал(а):

НЕ ВНОСЯТСЯ! Первоначально скрипт проверяет наличие изменений и по результату идёт дальше. Т.е. если изменять ничего не нужно, происходит выход. Если требуется изменить АЦЛ, изменения вносятся и эта операция логируется в базу данных.
А возможно каким-либо образом логировать snmp "посещения" коммутатора? Может кто-то элементарно взломал доступ.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Исчезают ACL на DES-3200-10

Добавлено: Пн ноя 21, 2011 16:16

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Если у Вас управление коммутатором в отдельном влане, то клиент к нему доступа никак получить не может.

Вернуться наверх

KovAl59

Заголовок сообщения: Re: Исчезают ACL на DES-3200-10

Добавлено: Пт ноя 25, 2011 10:42

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов

Denis Evgraphov писал(а):

Если у Вас управление коммутатором в отдельном влане, то клиент к нему доступа никак получить не может.

Да, конечно в отдельном влан..
Проблема ушла "сама-собой".. :roll:

Конечно же в это не верю, причина явно была .
Подозреваю, что во время записи АЦЛ, скрипт пытался записать правило с "нулл" МАС-ом (был такой в списке), при просмотре в коммутаторе списка правил, такого видно не было, но возможно что-то все же записывалось "невидимое", которое в конце-концов и сносило крышу коммутатору.
Подкорректировал скрипт на проверку такой ситуации, пока полёт нормальный.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Исчезают ACL на DES-3200-10

Добавлено: Пт ноя 25, 2011 10:44

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Рад слышать!

Вернуться наверх

Страница 1 из 1

[ Сообщений: 10 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 48

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения