[terrible]

Как получить отчетность о работе IP-SourceGuard по SNMP или Syslog?

интересуют заблокированные IP и/или MAC адреса

 

Всё уже излазил, не нашёл :(

Изменено 21 августа, 2009 пользователем terrible

[vIv]

Оно дает только 64 группы. нужно в 2.5 раза больше... никак ?

Простите, а можно бизнес-кейз взглянуть? Это что за такое хитрое пакетирование?

[st_re]

Вы с какой целью интересуетесь ? А так, мы агенты между клиентами и поставщиком травы, эээ.... тиви.. мопед не мой.

[jeejay]

Как получить отчетность о работе IP-SourceGuard по SNMP или Syslog?

интересуют заблокированные IP и/или MAC адреса

 

Всё уже излазил, не нашёл :(

сначала стоит указать платформу и прошивку на ней - тогда смогу помочь:)

Изменено 23 августа, 2009 пользователем jeejay

[terrible]

сначала стоит указать платформу и прошивку на ней - тогда смогу помочь:)

ES3528_opcode_V1.3.7.4

L2 ES3528M

если что, то купил за 9к рублей новую

[jeejay]

эта информация пишется в лог, соурс-гвард отметок о заблокированных не создает

[terrible]

Разобрался, проблема решается через ip arp inspection

 

Вопрос номер 2:

как по протоколу SNMP добавить и удалить запись IP-Source-Guard ?

список имеющихся записей получаю нормально

[jeejay]

Cоздаем запись так:OID .1.3.6.1.4.1.259.6.10.94.1.48.2.1.8.1.__MAC десятичном формате i величина

 

Например так:

 

snmpset -c private -v 2c XXX.XXX.XXX.XXX .1.3.6.1.4.1.259.6.10.94.1.48.2.1.8.1.0.0.69.10.35.17 i 3

 

Если нужно расшифровка значения после i:

SYNTAX INTEGER {

-- the following two values are states:

-- these values may be read or written

active(1),

notInService(2),

-- the following value is a state:

-- this value may be read, but not written

notReady(3),

-- the following three values are

-- actions: these values may be written,

-- but are never read

createAndGo(4),

createAndWait(5),

destroy(6)

 

То есть удаляете выставляя в OID 1.3.6.1.4.1.259.6.10.94.1.48.2.1.8.1.__MAC десятичном формате integer 6

Изменено 27 августа, 2009 пользователем jeejay

[terrible]

Удаление получилось, однако с созданием беда:

 

Делаю вот так:

 

snmpset -c private -v 2c XXX.XXX.XXX.XXX .1.3.6.1.4.1.259.6.10.94.1.48.2.1.8.1.xx.xx.xx.xx.xx.xx i 5

snmpset -c private -v 2c XXX.XXX.XXX.XXX .1.3.6.1.4.1.259.6.10.94.1.48.2.1.5.1.xx.xx.xx.xx.xx.xx a 10.168.57.32

snmpset -c private -v 2c XXX.XXX.XXX.XXX .1.3.6.1.4.1.259.6.10.94.1.48.2.1.6.1.xx.xx.xx.xx.xx.xx i 1

snmpset -c private -v 2c XXX.XXX.XXX.XXX .1.3.6.1.4.1.259.6.10.94.1.48.2.1.8.1.xx.xx.xx.xx.xx.xx i 1

snmpset -c private -v 2c XXX.XXX.XXX.XXX .1.3.6.1.4.1.259.6.10.94.1.48.2.1.8.1.xx.xx.xx.xx.xx.xx i 4

 

последние 2 строки не обрабатываются, возвращает что не может установить значение

 

после этого прохожусь валком, и получаю, что запись создана, с нужным вланом ипом портом и маком, однако статус получаю notInService(2), запись в конфиге не появляется

Дальнейшее пинание этой записи по статусу любыми значениями результата не даёт, запись остаётся висеть в статусе notInService(2), даже удалить не получается.

 

Где ошибка?

[jeejay]

Предварительно надо включить соурс-гвард на соответствующем порту:

snmpset -c private -v 2c 192.168.2.15 .1.3.6.1.4.1.259.6.10.94.1.48.1.1.2.9 i 1

( то есть на том, для которого делали соурс-байндинг - у Вас это первый порт и OID примет вид

.1.3.6.1.4.1.259.6.10.94.1.48.1.1.2.1)

После этого смена статуса отрабатывается нормально

[terrible]

Спасибо большое, всё получилось :)

[veng]

Помогите разобраться со следующей проблемой. Собрал схему (см. рис.), от ES4612 до cisco 7201 идет 5 vlan'ов. На 7201 терминируются PPPoE. Маршрутизацию между vlan осуществляет ES4612.

Конфиг 7201:

...
interface GigabitEthernet0/0.1021
encapsulation dot1Q 1021
no ip proxy-arp
no snmp trap link-status
pppoe enable group global
no cdp enable
!
interface GigabitEthernet0/0.1022
encapsulation dot1Q 1022
no ip proxy-arp
no snmp trap link-status
pppoe enable group global
no cdp enable
!
interface GigabitEthernet0/0.1023
encapsulation dot1Q 1023
no ip proxy-arp
no snmp trap link-status
pppoe enable group global
no cdp enable
!
interface GigabitEthernet0/0.1024
encapsulation dot1Q 1024
no ip proxy-arp
no snmp trap link-status
pppoe enable group global
no cdp enable
!
interface GigabitEthernet0/0.1025
encapsulation dot1Q 1025
no ip proxy-arp
no snmp trap link-status
pppoe enable group global
no cdp enable
...

Конфиг ES4612:

!
interface ethernet 1/1
no switchport broadcast
switchport allowed VLAN add 1021 untagged
switchport ingress-filtering
switchport native VLAN 1021
switchport allowed VLAN remove 1
switchport allowed VLAN add 3,400 tagged
spanning-tree spanning-disabled
!
interface ethernet 1/2
no switchport broadcast
switchport allowed VLAN add 1022 untagged
switchport ingress-filtering
switchport native VLAN 1022
switchport allowed VLAN remove 1
switchport allowed VLAN add 3,400 tagged
spanning-tree spanning-disabled
!
interface ethernet 1/3
no switchport broadcast
switchport allowed VLAN add 1023 untagged
switchport ingress-filtering
switchport native VLAN 1023
switchport allowed VLAN remove 1
switchport allowed VLAN add 3,400 tagged
spanning-tree spanning-disabled
!
interface ethernet 1/4
no switchport broadcast
switchport allowed VLAN add 1024 untagged
switchport ingress-filtering
switchport native VLAN 1024
switchport allowed VLAN remove 1
switchport allowed VLAN add 3,400 tagged
spanning-tree spanning-disabled
!
interface ethernet 1/5
no switchport broadcast
switchport allowed VLAN add 1025 untagged
switchport ingress-filtering
switchport native VLAN 1025
switchport allowed VLAN remove 1
switchport allowed VLAN add 3,400 tagged
spanning-tree spanning-disabled
!
...
interface ethernet 1/8
no switchport broadcast
switchport allowed VLAN add 1 untagged
switchport ingress-filtering
switchport native VLAN 1
switchport allowed VLAN add 3,400,1021-1025 tagged
spanning-tree spanning-disabled
!
...
!
interface VLAN 1021
IP address 10.2.0.1 255.255.255.0
IP address 10.2.32.1 255.255.255.0 secondary
IP address 10.2.64.1 255.255.255.0 secondary
!
!
interface VLAN 1022
IP address 10.2.1.1 255.255.255.0
IP address 10.2.33.1 255.255.255.0 secondary
IP address 10.2.65.1 255.255.255.0 secondary
!
!
interface VLAN 1023
IP address 10.2.2.1 255.255.255.0
IP address 10.2.34.1 255.255.255.0 secondary
IP address 10.2.66.1 255.255.255.0 secondary
!
!
interface VLAN 1024
IP address 10.2.3.1 255.255.255.0
IP address 10.2.35.1 255.255.255.0 secondary
IP address 10.2.67.1 255.255.255.0 secondary
!
!
interface VLAN 1025
IP address 10.2.4.1 255.255.255.0
IP address 10.2.36.1 255.255.255.0 secondary
IP address 10.2.68.1 255.255.255.0 secondary
!
...

В тестовом варианте схема работает. Однако когда применил ее на реальной сети, пинг до ES4612 вырос до 2000-3000ms!!!. При этом статистика по snmp так же перестала работать и траф начал ходить очень медленно. При этом работает ТОЛЬКО IP протокол (ни одного клиента PPPoE).

До включения схемы объем прокачиваемого трафика через ES4612 не превышает 60 Мбит/сек на интерфейс. Стоит только положить интерфейс на cisco - все нормализуется.

Версия прошивки ES4612

Vty-0#sh version
Unit1
Serial number          : A643004352
Hardware version       : R01A
Number of ports        :12
Main power status      :up
Redundant power status :not present

Agent (master)
Unit ID                : 1
Loader version         : 2.3.0.1
Boot ROM version       : 2.2.0.1
Operation code version : 1.0.2.57

Где грабли?

[jeejay]

первая мысль - петля.

 

так ли уж необходим транк между циской и ежом?

 

P.S.: внизу хабы????!!!

Изменено 21 сентября, 2009 пользователем jeejay

[Kristoff_Vampire]

Я ещё ни от одного человека не слышал что ES4612 нормально заработал при включённом Л3. Сам на эти грабли напарывался и не верил. Да и знакомые тоже. Как Л2 пашет на ура, как Л3 задыхается. Может в новых прошивках чото изменили, но год назад это был дохлый номер. Свич дох на руках при нагрузке.

[jeejay]

прошивки меняются довольно часто. раз в 2-3 месяца стабильно выходят новые прошивки.

[veng]

первая мысль - петля.

 

так ли уж необходим транк между циской и ежом?

 

P.S.: внизу хабы????!!!

так вроде б не от куда ей взятся... петле. кругом L3 интерфейсы... Внизу обычные (неуправляемые) свичи. Учитывая что без cisco все работает замечательно (уже более месяца), то не понятно как cisco-интерфейсы L3 влияют на производительность es4612

К вопросу о транке: вы предлагаете проключить на циску 6 портов доступа? У меня на циске всего 4 интерфейса :)

[Max P]

Я ещё ни от одного человека не слышал что ES4612 нормально заработал при включённом Л3. Сам на эти грабли напарывался и не верил. Да и знакомые тоже. Как Л2 пашет на ура, как Л3 задыхается. Может в новых прошивках чото изменили, но год назад это был дохлый номер. Свич дох на руках при нагрузке.

нагрузка какого уровня? у нас полтора года пашет и не жужжит

[Kristoff_Vampire]

Простая статическая маршрутизация, без аксесс листов,никакой динамики, порядка 10 виланов. Нагрузка была не больше 400Мб/с сумарно через свич. Как только включили Л3, пинги увеличились до 2000 мс через свич и потери. На свич попасть было вообще не реально. Аналогичная ситуация у знакомого. Причём другие модели Edge-Core L3 коммутаторов работают нормально. Но повторюсь проблема была год назад. После этого вышло 2 или 3 новых прошивки.

[goletsa]

На syslog сервер информация шлется в странном формате.

 

Sep 22 16:25:58  %Jan 01 00:00:17 2006 MODULE_PORT[zIMI]:%LINK-5-CHANGED: Interface Ethernet1/24, changed state to UP
Sep 22 16:25:58  %Jan 01 00:00:17 2006 MODULE_PORT[zIMI]:%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/24, changed state to DOWN
Sep 22 16:25:59  %Jan 01 00:00:20 2006 MODULE_PORT[tphyDaemon]:%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/8, changed state to UP
Sep 22 16:25:59  %Jan 01 00:00:20 2006 DEFAULT[tphyDaemon]:%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1001,changed state to UP
Sep 22 16:25:59  %Jan 01 00:00:20 2006 DEFAULT[tphyDaemon]:%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1,changed state to UP
Sep 22 16:25:59  %Sep 22 12:25:56 2009 DEFAULT[zIMI]:System cold restart...
Sep 22 16:27:35  %Sep 22 12:27:33 2009 MODULE_UTILS_TELNET[subTelnetd1]:Telnet: User login failed from 192.168.100.1:48749.

Вместо имени хоста с устройства отдается дата.

 

show version 1
  ES4624-SFP Device, Compiled on Aug 24 15:32:08 2009
  SoftWare Version ES4624-SFP_6.0.207.0
  BootRom Version ES4624-SFP_1.7.0
  HardWare Version 1.0.0.0
  Copyright (C) 2001-2007 by Accton Technology Corp.
  All rights reserved.
  Uptime is 0 weeks, 0 days, 0 hours, 7 minutes.

[Eugene Tsepelev]

А может кто из продавцов сказать что за фигня с заказами ? А то мне как то отгружать не хотят, говорят что запрет на отгрузку стоит.

[terrible]

привыкай, у ёжиков такое вот охренительное представительство в России

[greenx]

Существуют в природе нормальные MIB-ы для 4612 ?

[jeejay]

А чем Вас эти не устраивают:

МИБы 4612

[terrible]

Подскажите, что может грузить проц 3528M на дефолтном конфиге при всех выключенных (или незадействованных) портах?

сейчас вижу нагрузку 35-38%

[greenx]

А чем Вас эти не устраивают:

МИБы 4612

Ну, хотя бы тем что, дата их последней модификации 2004 год, а только 2009 году вышло 6 прошивок.

Опой чувствую, что-то должно было поменяться :)

Да и написан он криво и не закончено как-то.

Изменено 15 октября, 2009 пользователем greenx