D-Link • Просмотр темы - Создать правило IP ACL через SNMP?

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Создать правило IP ACL через SNMP?

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 14 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Demiurgos

Заголовок сообщения: Создать правило IP ACL через SNMP?

Добавлено: Ср апр 11, 2012 07:08

Зарегистрирован: Ср мар 10, 2010 12:15
Сообщений: 128

(DES-3028, DES-3200-28, DES-1228ME)

Имеется профиль IP ACL, созданный таким образом:
create access_profile ip source_ip 255.255.255.255 profile_id 10
Хотелось бы по snmp добавлять/удалять в этом профиле правила.
Ветку в MIB нашёл 1.3.6.1.4.1.171.12.9.3.2 (swACLIpRuleTable). Установленные правила в этой ветке отображаются, но добавить через неё не получается.

Отсюда вопрос. Возможно ли вообще такое. Если да, то может есть какой пример?.

Вернуться наверх

MorbidBoo

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Ср апр 11, 2012 11:20

Зарегистрирован: Ср авг 05, 2009 17:43
Сообщений: 168

Код:

3.6.1.4.1.171.12.9.3.2.1.4.10(Номер Вашего профиля).".$RuleId." a ххх.ххх.ххх.ххх  (ипшник пользователя)
3.6.1.4.1.171.12.9.3.2.1.20.10(Номер Вашего профиля).".$RuleId." i 2";
3.6.1.4.1.171.12.9.3.2.1.21.10(Номер Вашего профиля).".$RuleId." x ХХХХХХХХХХ (порты к которым применять данное правило, в 16ой системе)
3.6.1.4.1.171.12.9.3.2.1.22.10(Номер Вашего профиля).".$RuleId." i 4";

выполнять все это надо одной командой иначе не прокатит, то етсь snmpset -v2c -c private -SW_IP...... и далее в строчку все четрые вышенаписаные команды.

З.Ы. RuleId это номер правила, правила под таким номером не должно существовать.
З.Ы. Выше описаное должно работать для 3200-хх для других моделей незнаю, если поддерживаеться, то будет работать, но возможно будут в различаться OIDы где нить в районе 171.12.9.XXX.2 (у меня все эти правила работают для 3526\50\52 - 3200-10\28 отличаються именно вот этим значением)

Вернуться наверх

Demiurgos

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Ср апр 11, 2012 11:57

Зарегистрирован: Ср мар 10, 2010 12:15
Сообщений: 128

MorbidBoo, спасибо.
Нашёл что я упустил 1.3.6.1.4.1.171.12.9.3.2.1.22 - установка статуса записи.
На 3028/52, 3200-28, 1228ME (AB) работает.

А вот с DGS-3100 не получается. У него нет этой общей ветки. Буду рыться в родных MIB'ах для него.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Ср апр 11, 2012 16:40

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

На DGS-3100 работать с ACL по SNMP довольно сложно. Выслал Вам документацию.

Вернуться наверх

Demiurgos

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Чт апр 12, 2012 05:53

Зарегистрирован: Ср мар 10, 2010 12:15
Сообщений: 128

Denis Evgraphov, спасибо, пришло. Действительно есть не очевидные вещи.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Чт апр 12, 2012 11:18

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Не за что.

Вернуться наверх

Demiurgos

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Чт апр 12, 2012 12:02

Зарегистрирован: Ср мар 10, 2010 12:15
Сообщений: 128

Возник вопрос по DGS-3100.
Из трёх присланных примеров удалось, таки, собрать работающее решение.
Но в ходе экспериментов появились излишние (ошибочные) записи в ветке "1.3.6.1.4.1.171.10.94.89.89.88.5.1":

Скрытый текст: показать

Эти записи не используются ни в одном правиле ACL.
Как я понимаю до перезагрузки коммутатора эти записи не исчезнут? (Экспериментировал на "боевом" коммутаторе - перезагружать нельзя.)
И есть ли возможность удалить эти записи для успокоения души (вдруг они на что повлияют)?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Чт апр 12, 2012 12:18

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Можно попробовать удалить стандартными средствами как профиль или правило, но если в конфигурации ACL этих правил нет, то можно не волноваться.

Вернуться наверх

Sqoundrell

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Пт апр 13, 2012 09:45

Зарегистрирован: Пн фев 06, 2012 08:16
Сообщений: 10

У меня вопрос в продолжение темы. Чтобы создать IP ACL с номером профиля и номером правила - все ясно. А как быть с реализацией конструкции вида config access_profile profile_id 255 add access_id auto_assign ip source_ip 10.10.10.10 port 1-2 permit, точнее как реализовать по SNMP "auto_assign" - автоматическое назначение номера правила?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Пт апр 13, 2012 11:18

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Попробуйте при создании правила указать access_id равным нулю.

Вернуться наверх

Sqoundrell

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Пт апр 13, 2012 11:50

Зарегистрирован: Пн фев 06, 2012 08:16
Сообщений: 10

Работает. Но с нюансом. Если правила идут по порядку - 1,2,3,4 и по SNMP задать номер 0, то все ок - создается 5 правило. если вдруг например 1,2,4,5 - то из CLI правило будет вставлено с номером 3, а вот из SNMP создать не получиться пока последовательность не будет беспрерывной - тоесть либо из CLI не будет вставлено 3 правило, либо не удалены 4 и 5 правила... Как быть?

Да! железо такое - DES-3028 Firmware: Build 2.80.B10

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Пт апр 13, 2012 11:53

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Такова особенность данной серии, нужно это учитывать и анализировать уже имеющиеся правила.

Вернуться наверх

Sqoundrell

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Пт апр 13, 2012 11:54

Зарегистрирован: Пн фев 06, 2012 08:16
Сообщений: 10

Denis Evgraphov писал(а):

Такова особенность данной серии, нужно это учитывать и анализировать уже имеющиеся правила.

Ну то есть "вручную" отслеживать? Жаааль...

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Создать правило IP ACL через SNMP?

Добавлено: Пт апр 13, 2012 14:09

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Да, читать имеющиеся правила и смотреть их номера.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 14 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 172

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения