hi all!

уважаемые гуру
подскажите по использованию trusted_host на 3526 / 3550 (5.01-B09)...

необходимо средствами коммутатора
разрешить доступ к его менеджменту с любого адреса, нескольких сетей класс C

прописать например так: 10.0.0.0 255.255.255.0
свитч не дает...
дает прописать так: 10.0.0.1 255.255.255.0
но зайти можно только с 10.0.0.1
а не с любого IP сетки
какой смысл прописывать маску при этом?

Вообще-то во втором случае как раз и должно пускать из всей подсети. Покажите команду которой Вы это настраиваете.

Таже проблема, прописываю через web интерфейс

прописывалось через веб
в конфиге оно выглядит так:

тем неменее на 3550 точно не пускает

указываешь адрес машинки с которой тебе нужен доступ.

вот так это выглядит в конфиге, и только с этого адреса можно попасть на коммутатор. все работает.

возникает вопрос, а зачем вам доступ с любой машины к комутатору? если хотите чтоб был с любой, то просто:

всех пускает с любого адреса в сети, из свичевой сетки.

Или я просто не понял, что конкретно вы хотите сделать

а если нужно открыть доступ для какой-нить билинговой подсети где неск. машин выполняют какие-то функции управления всей сетью. Или допустим ограничить доступ на свитчи с определенных адресов и подсети свитчей, чтобы можно было с одного свитча на другой по telnet'у заходить.

_________________
LiveComm

а что я, что-то неправельно сказал?
да пожалуйста делайте на несколько машин для биллинговой сети ну пропишите вы несколько хостов в trusted_host, а для того чтоб по телнету ходить по другим свичам, что мешает сделать один влан управления для всей свичевой сетки?

Пример. сеть которую я администрирую. У нас отдельный vlan управления, сеть\16, все свичи видимы с одной машины и управляются с одной машины, соответственно trusted_host у нас ip одной машины, на интерфейсе один адрес, эта же машина собирает статистику загрузки cpu центральных коммутаторов, статистику по портам конкретных свичей, да и клиентский трафик не ходит по этому vlan'у, cоответственно и в плане безопасности хорошо (свичи доступны только с одной машины, а чтоб попасть из вне в свичевую сетку, это надо угадать и тег и адрес, что не очень легко сделать) и в плане управления удобно, с любого свича я свободно вижу другой свич и пингую и хожу телнетом (хотя предпочитаю ssh). Очень много цепочек в сети. напрашивается вопрос, если где-то рвется цепочка, для таких случаев хранятся конфиги (использую - cvs). соответственно монтажник приносит свич запрограммить, остается достать конфиг, залить на свич и отдать указав куда что воткнуть. при перепрошивке свича, при правке конфига изменения вношу сохраняю, если не понравилось, легко можно откатиться на предыдущую версию конфига.

PS сеть построена на коммутаторах 3828, 3526, 3026, 3016, 2108

сказали правильно, я про то что речь немного не об этом. и объяснил смысл =)

причем тут управляющий VLAN и телнет? я про то, что в связи с прописанным trusted_host со свитча на свитч вам не зайти. а мне допустим так удобно бегать. Поэтому нужно добавить всю подсеть свитчей в разрешенные.
а если же вы удалите все trusted_host то на свитч можно зайти откуда угодно. Не только с управляющего VLAN'a (при условии что есть маршрутизация и она не закрыта при помощи ACL).

_________________
LiveComm

ramm
вопрос ведь не в том зачем это,
а в том почему не работает так как должно...


Demin Ivan
рискну предположить что это баг прошивки 3550

перепроверил на:

3526 с 5.01-B09
3526DC с 5.00-B27

там все работает как и должно...

Если вам удобно со свича на свич, то тут согласен.

Понятно )

2 artGuard > А ipif System как настроен?

_________________
С уважением,
Бигаров Руслан.

менеджмент прописан маленькой подсеткой с ответным ип-шником на роутере...

2 artGuard > Я выслал Вам прошивку на e-mail, в которой функция Trusted Host & Networks работает без описанных проблем.

_________________
С уважением,
Бигаров Руслан.