1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб авг 09, 2025 19:22

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 4
  [ Сообщений: 53 ]  На страницу 1, 2, 3, 4  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
kapa
 Заголовок сообщения: ACL via SNMP des-3526
СообщениеДобавлено: Сб май 05, 2007 15:11 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
Заранее прошу извинить, думаю, что ответ прост, но никогда не работал раньше с snmp и застрял:

Имеем Des-3526 прошивка 4.01-B42

Открываем FAQ
и делаем из примера первую строчку:
Код:
snmpset -v2c -c private SWITCH_IP 1.3.6.1.4.1.171.12.9.1.2.1.3.10 i 4

получаю:
Код:
Error in packet.
Reason: commitFailed
Failed object: SNMPv2-SMI::enterprises.171.12.9.1.2.1.3.10

И хоть ты тресни.

Думал, что, может стоит где ограничение на изменения параметров, но делаю
Код:
snmpset -v2c -c private SWITCH_IP 1.3.6.1.4.1.171.11.64.1.2.7.4.0 i 2

Из примера про "Включение/выключение IP MAC Port Binding на всех портах"
И всё включается. Т.е. выключается, т.к. никаких привязок там не настроено. Это, кстати, к слову о том, что с новой прошивкой эта команда по-умолчанию не работает - viewtopic.php?t=39181&start=15

Добавил, на всякий случай, в SNMP View Table пару записей:

Код:
DES-3526:4#show snmp view
Command: show snmp view

Vacm View Table Settings

View Name : restricted
Subtree   : 1.3.6.1.2.1.1
View Type : Included
View Mask :

View Name : restricted
Subtree   : 1.3.6.1.2.1.11
View Type : Included
View Mask :

View Name : restricted
Subtree   : 1.3.6.1.6.3.10.2.1
View Type : Included
View Mask :

View Name : restricted
Subtree   : 1.3.6.1.6.3.11.2.1
View Type : Included
View Mask :

View Name : restricted
Subtree   : 1.3.6.1.6.3.15.1.1
View Type : Included
View Mask :

View Name : CommunityView
Subtree   : 1
View Type : Included
View Mask :

View Name : CommunityView
Subtree   : 1.3.6.1.4.1
View Type : Included
View Mask :

View Name : CommunityView
Subtree   : 1.3.6.1.6.3
View Type : Excluded
View Mask :

View Name : CommunityView
Subtree   : 1.3.6.1.6.3.1
View Type : Included
View Mask :

View Name : CommunityView
Subtree   : 1.3.6.1.4.1.171.12.9
View Type : Included
View Mask :

View Name : CommunityView
Subtree   : 1.3.6.1.4.1.171.12.9.1.2.1
View Type : Included
View Mask :

View Name : CommunityView
Subtree   : 1.3.6.1.4.1.171.12.9.2.2.1
View Type : Included
View Mask :


Подскажите, что мне ещё сделать, чтоб я мог повторить чудеса из ФАК-а?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Сб май 05, 2007 20:31 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
1) Надо задать всю строчку целиком как и описано в FAQ snmpset -v2c -c private 192.168.0.1 1.3.6.1.4.1.171.12.9.1.2.1.3.10 i 4 1.3.6.1.4.1.171.12.9.1.2.1.4.10 a 255.255.255.255 1.3.6.1.4.1.171.12.9.1.2.1.5.10 a 255.255.255.255 1.3.6.1.4.1.171.12.9.1.2.1.19.10 i 4

2) Функция IP-MAC-Port Binding при включении её на порту где не задано ни одной связки работает абсолютно корректно блокирует все связки.
Вернуться наверх
 Профиль  
 
kapa
 Заголовок сообщения:
СообщениеДобавлено: Вс май 06, 2007 12:16 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
Demin Ivan писал(а):
1) Надо задать всю строчку целиком как и описано в FAQ snmpset -v2c -c private 192.168.0.1 1.3.6.1.4.1.171.12.9.1.2.1.3.10 i 4 1.3.6.1.4.1.171.12.9.1.2.1.4.10 a 255.255.255.255 1.3.6.1.4.1.171.12.9.1.2.1.5.10 a 255.255.255.255 1.3.6.1.4.1.171.12.9.1.2.1.19.10 i 4

Спасибо огромное!
Мало того, что без звонка в офис, так ещё в выходной!

Demin Ivan писал(а):
2) Функция IP-MAC-Port Binding при включении её на порту где не задано ни одной связки работает абсолютно корректно блокирует все связки.

Да я не к тому, что она некорректно работала. Тут вопрос в другом - я удивлён, что она вообще работает по-умолчанию. И что тогда изменилось по отношению к ней с версией прошивки?
Ну да бог с ней - я уже смирился и всё исправил. :)

У меня ещё пара вопросов появились:

Вот напишу я скрипт, чтоб раз в час он выбирал задолженников из базы и рассылал по свичам.
Как лучше сделать через SNMP - скинуть все записи с блоками и залить их заново? Сделать diff и удалить ненужные блоки и дописать новые?

И при любом из этих раскладов - как это реализовать через SNMP?
(т.е. удаление всех правил в профиле, удаление правила по IP источника/получателя (или возможно только по ID правила?)).
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вс май 06, 2007 12:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Рад слышать! Лучше удалить и создать заново что бы не былотаницы в опрядке следования правил если у вас ещё есть каки-нибудь. Создавать и удалять можно только по ID правила.
Вернуться наверх
 Профиль  
 
kapa
 Заголовок сообщения:
СообщениеДобавлено: Вс май 06, 2007 12:42 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
Demin Ivan писал(а):
Рад слышать! Лучше удалить и создать заново что бы не былотаницы в опрядке следования правил если у вас ещё есть каки-нибудь. Создавать и удалять можно только по ID правила.

Путаницы не будет.
Я полагал создать Профиль с ID=10 c DestMask=255.255.255.255 и туда добавить несколько разрешительных статических правил ото всех к нескольким IP.
А Профиль с ID=20 с SrcMask=255.255.255.255 и туда добавлять только запрещающие правила от конкретных IP ко всему.

Как я понял, у всех будет работать всё, а у тех, кто попал во второй профиль - только перечисленные в первом профиле сервера?
В таком случае порядок следования правил не важен.

Ну если вы скажете, что по времени выигрыш будет несущественный, то, скорее всего буду удалять все. Особенно, если подскажете, как это сделать через SNMP :)

З.Ы. И ещё вопрос - я сейчас тренироуюь на 3526, а работать это будет на 3828 и 3612 - OID совпадут?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вс май 06, 2007 12:58 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Вот так можно удалить правило по SNMP snmpset -v2c -c private .168.0.1 1.3.6.1.4.1.171.12.9.2.2.1.22.10.20 i 6.

По поводу OID-ов для указанных серий они другие. Для DES-38XX вышлю в понедельник. Для DGS-36XX возможно придётся уточнить.
Вернуться наверх
 Профиль  
 
shicoy
 Заголовок сообщения:
СообщениеДобавлено: Пн май 07, 2007 17:16 
Не в сети

Зарегистрирован: Пн дек 11, 2006 11:46
Сообщений: 432
Откуда: Etherway, Чебоксары
Какой OID будет для серии DES3550 при работе с ACL

этот 1.3.6.1.4.1.171.12.9.1.2.1 не подходит
Вернуться наверх
 Профиль  
 
kapa
 Заголовок сообщения:
СообщениеДобавлено: Пн май 07, 2007 21:15 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
Demin Ivan писал(а):
По поводу OID-ов для указанных серий они другие. Для DES-38XX вышлю в понедельник. Для DGS-36XX возможно придётся уточнить.

За OID-ы для 3828 спасибо.
Ждём для 3612.

Ещё вопрос:
Скрипт для заливки 100 ACL на 3526 выполняется 1,5 минуты. При этом теряется процентов 10 пингов, идущих через него. На 3828 процессор мощнее? Таких проблем не возникнет?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн май 07, 2007 21:21 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
В принципе ситуация прогнозируемая. В DES-38XX всё конечно будет побыстрее.
Вернуться наверх
 Профиль  
 
kapa
 Заголовок сообщения:
СообщениеДобавлено: Пн май 07, 2007 21:28 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
Demin Ivan писал(а):
В принципе ситуация прогнозируемая. В DES-38XX всё конечно будет побыстрее.

меня даже более потери пингов смущают, чем время.
на каждом 3828 человек по 800 сидит, и если ACL в часы наибольшей нагрузки заливать, то страшно представить качество услуг в этот момент.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт май 08, 2007 22:07 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Не заливайте в часы наибольшей загрузки.
Вернуться наверх
 Профиль  
 
cmhungry
 Заголовок сообщения:
СообщениеДобавлено: Ср май 09, 2007 00:31 
Не в сети

Зарегистрирован: Чт сен 15, 2005 00:18
Сообщений: 107
Откуда: SPb
kapa писал(а):
Demin Ivan писал(а):
В принципе ситуация прогнозируемая. В DES-38XX всё конечно будет побыстрее.

меня даже более потери пингов смущают, чем время.
на каждом 3828 человек по 800 сидит, и если ACL в часы наибольшей нагрузки заливать, то страшно представить качество услуг в этот момент.

Я по 200 ACL на 3828 заливал в ЧНН. Прошивку с очень сильными (по 15 минут) отвалами при заливке-удалении ACL на 3828 поправили давно еще. А так - заливать надо не оптом, а по одному, с перерывами. 10 пингов потерянных не критично ни разу, по-моему. И 200 за 20 минут тоже.
Вернуться наверх
 Профиль  
 
kapa
 Заголовок сообщения:
СообщениеДобавлено: Чт май 10, 2007 22:01 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
Demin Ivan писал(а):
По поводу OID-ов для указанных серий они другие. Для DES-38XX вышлю в понедельник. Для DGS-36XX возможно придётся уточнить.

Про полученные OID на всякий случай:

там как минимум 2 опечатки в конце:
Во-первых, в примере сначала создаётся профиль, а потом правило, а там оба раза профиль.
Во-вторых, при создании правила,
Цитата:
Step 3. Set the Rule Permit
snmpset -v2c -c private .168.0.1 1.3.6.1.4.1.171.12.9.3.1.1.20.10.20 i 1
означает, как раз DENY. Очень хорошо, что я проверил перед тем, как запустить :roll:

Об viewtopic.php?t=39181&start=15 - был приятно удивлён, что на 3828 SNMP по-умолчанию отключён! Я-то уж грешным делом решил, что это политика у компании такая - доставлять веселье провайдерам, устанавливающим свичи с умолчальным конфигом SNMP.

А теперь о главном:
Пробовали залить ACL на 3828:
Код:
SNMPv2-SMI::enterprises.171.12.9.3.2.1.4.20.187 = IpAddress: 10.2.61.26 SNMPv2-SMI::enterprises.171.12.9.3.2.1.5.20.187 = IpA                                ddress: 0.0.0.0 SNMPv2-SMI::enterprises.171.12.9.3.2.1.20.20.187 = INTEGER: 2 SNMPv2-SMI::enterprises.171.12.9.3.2.1.21.20.18                                7 = Hex-STRING: 10 00 00 00 SNMPv2-SMI::enterprises.171.12.9.3.2.1.22.20.187 = INTEGER: 4
SNMPv2-SMI::enterprises.171.12.9.3.2.1.4.20.188 = IpAddress: 10.2.61.29 SNMPv2-SMI::enterprises.171.12.9.3.2.1.5.20.188 = IpA                                ddress: 0.0.0.0 SNMPv2-SMI::enterprises.171.12.9.3.2.1.20.20.188 = INTEGER: 2 SNMPv2-SMI::enterprises.171.12.9.3.2.1.21.20.18                                8 = Hex-STRING: 10 00 00 00 SNMPv2-SMI::enterprises.171.12.9.3.2.1.22.20.188 = INTEGER: 4
Error in packet.
Reason: commitFailed
Failed object: SNMPv2-SMI::enterprises.171.12.9.3.2.1.22.20.189

Error in packet.
Reason: commitFailed
Failed object: SNMPv2-SMI::enterprises.171.12.9.3.2.1.22.20.190

И так 3 раза.
Думали проц залипает (он и правда до 100% загружался) - сделали sleep в скрипте - не помогло.
Думали больше 188-ого правила не создаёт - создали 250-ое
Что за число такое волшебное 188? Как его преодолеть? :shock:

Прошивка: Build 3.00.B29


Последний раз редактировалось kapa Чт май 10, 2007 22:10, всего редактировалось 2 раз(а).

Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Чт май 10, 2007 22:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Есть ограничение на количество ACL. На каждые 8 портов 10/100 200 правил, на каждый гигабитный по 50. За уточнения спасибо!
Вернуться наверх
 Профиль  
 
kapa
 Заголовок сообщения:
СообщениеДобавлено: Чт май 10, 2007 22:14 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
Demin Ivan писал(а):
Есть ограничение на количество ACL. На каждые 8 портов 10/100 200 правил, на каждый гигабитный по 50. За уточнения спасибо!

Это как? Можно поподробнее? На каждые 8 это как? Т.е. на первые 8, 9-16, 17-24?
Вот это неприятная неожиданность :cry:

А на 3612 какие ограничения есть, пока мы больше одного не взяли?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 4
  [ Сообщений: 53 ]  На страницу 1, 2, 3, 4  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB