Перейти к содержимому
Калькуляторы

Извиняюсь если уже было - честно пробовал искать в архивах.

Есть такой вопрос по 3com'ам 1100.

Мне нужно привязать допустим только определенное кол-во мак адресов на порт, _но не более_. т.е. чтобы на этом порту после прописывания этих разрешенных маком, обучение прекратилось.

Можно такое сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добавлю для чего это нужно:

Подключаем например клиента - прописываем мак. Он работает. Ладно. Через некоторое время - о-па - а их там этих маков уже 10 штук разных. Через хаб/свитч просто подключились. да еще со своими ип-шниками, и броадкастами мусорят. Мелочь, а неприятно. Подключились бы свою сеть через шлюз один на всех - вопросов бы не было...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там 2/3 функций доступны через SNMP

надо качать с ФТП 3кома нетворк директор (кажется так) и им управлять...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сути вопроса я не очень понял, но security прекрасно включается через веб-интерфейс! Просто включаешь сеюрити на порту, и первый попавшийся МАК сразу становится секьюрным. Также можно через веб-морду маки добавлять руками. Но есть ОДНО НО! Можно добавить много МАК'ов на порт, но одновременно должен быть видет ТОЛЬКО 1. Если будет свитч увидет несколько МАКов на порту то порт отключится!

 

Там 2/3 функций доступны через SNMP  

надо качать с ФТП 3кома нетворк директор (кажется так) и им управлять...

Не знаю что там есть через SNMP но когда качал с 3Com'а софт - ничего нормлаьного там не увидел! Мне больше понравилось через WEB. Вы хотите сказать что через SNMP появляются новые функции, которые не настраиваются через WEB и TELNET ??? Можно не выключать порт по секьюрити, а просто отбрасывать пакеты с левыми МАКами???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы хотите сказать что через SNMP появляются новые функции, которые не настраиваются через WEB и TELNET ??? Можно не выключать порт по секьюрити, а просто отбрасывать пакеты с левыми МАКами???

 

Вроде как да, появляются новые. ;-) Руки не дошли покрутить вплотную самому.

Но говорят про секьюрити с "подьемом" через 20 секунд, и большие таблицы МАСов. В общем, на днях постараюсь добраться и покопать всерьез. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот нет чтоб скачать триал и попробовать. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так чего триал? Директора или все-таки Неворк Супервизор?

Павел, КАК МОЖНО УМАЛЧИВАТЬ про наличие таких софтин??!?!

Пожалуйста, узнай как софт называется, я обязуюсь качнуть и предоставить всем желающим результаты тестирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне больше понравилось через WEB.

Интересно, как Вы через web будете управлять несколькими сотнями коммутаторов с необходимостью прописать несколько тысячь маков.

Вы хотите сказать что через SNMP появляются новые функции, которые не настраиваются через WEB и TELNET ???

Да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно, как Вы через web будете управлять несколькими сотнями коммутаторов с необходимостью прописать несколько тысячь маков.

 

Очень просто!

При подключении нового пользователя, порт переводится в режим Security. И больше ничего... Ничего собственно прописывать и не нужно!

Все остальное конфигурирование выполняется через telnet, перед установкой свитча на точку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прокатит если строго по одному маку на порт. Когда число абонентов начинает переваливать за тысячу, возникают ситуации, когда это не выполняется. Тогда выход один - база данных с коммутаторами, абонентами, маками и т.д. и руление всем этим в автомате через snmp.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прокатит если строго по одному маку на порт. Когда число абонентов начинает переваливать за тысячу, возникают ситуации, когда это не выполняется. Тогда выход один - база данных с коммутаторами, абонентами, маками и т.д. и руление всем этим в автомате через snmp.

 

Это все понятно. Вот и возникает вопрос, что у вас за оборудование и какой софт используете? Поделиться можете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость

Есть много SNMP софтин, не обязательно 3com. У любого крупного производителя есть такие проги. Лично пробовал Network Supervisor,если честно,ожидал большего. Есть WhatsUpGold, намного больше настроек ,большая база MIB. Сейчас качаю Network Administrator....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это все понятно. Вот и возникает вопрос, что у вас за оборудование и какой софт используете? Поделиться можете?

Коммутаторы 1100, 3300, CoreBuilder'ы. Soft - простые перловые скрипты, заточенные под наш биллинг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

bone, а пожет пример скрипта или части прямо сюда, а?

;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пробовал Network Supervisor,если честно,ожидал большего.

Согласен!

Вопрос тем не менее остается открытым. Кто РЕАЛЬНО и при помощи КАКОГО СОФТА, использовал дополнительные фичи у 3Com 1100/3300. Очень интересуют дополнительные возможности работы с security. NAG рассказывал про секьюрити с "подьемом" через 20 секунд. ЭТО ОЧЕНЬ НУЖНО!

 

Вообще есть у меня пару железок: 3Com PS HUB 50. Это свитч-хаб, так даже у него через SNMP можно делать, чтобы в случае обнаружения чужого MAC адреса, порт не выключался, а просто отбрасывал пакеты с "левыми" MAC'ами (как на Catalist'ах).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

bone, а пожет пример скрипта или части прямо сюда, а?

;-)

Типа такого:
                if($action eq 'lock') {

                       ### если 'free' вырубаем его нах: 

                       if ($t2->{port}->[$port]->{type} eq 'free') {

                               ### ifAdminStatus в 2 (down)

                               my $varbind = new SNMP::Varbind(['ifAdminStatus', ($port + 100), 2]);

                               $s->set($varbind);

                               die $s->{ErrorStr} if $s->{ErrorNum};

                       }

                       ### если клиент то:

                       if ($t2->{port}->[$port]->{type} eq 'client') {

                               ### ставим ifMauAutoNegCapAdvertised (fMauAutoNegCapability read-only ?) в 2**11

                               my $varbind = new SNMP::Varbind(['ifMauAutoNegCapAdvertised', ($port + 100).'.1', 2048]);

                               $s->set($varbind);

                               die $s->{ErrorStr} if $s->{ErrorNum};

                               ### делаем ifMauAutoNegRestart 1

                               my $varbind = new SNMP::Varbind(['ifMauAutoNegRestart', ($port + 100).'.1', 1]);

                               $s->set($varbind);

                               die $s->{ErrorStr} if $s->{ErrorNum};

                               ### ставим secureNumberAddresses в $t2->{ports}

                               my $varbind = new SNMP::Varbind(['secureNumberAddresses', '1.'.($port), scalar(@{$t2->{port}->[$port]->{mac}})]);

                               $s->set($varbind);                      

                               die $s->{ErrorStr} if $s->{ErrorNum};   

                               ### ставим secureIntrusionAction в 3 (disablePort)

                               my $varbind = new SNMP::Varbind(['secureIntrusionAction', '1.'.($port), 3]);

                               $s->set($varbind);

                               die $s->{ErrorStr} if $s->{ErrorNum};

                               ### ставим securePortMode в 4 (secure)

                               my $varbind = new SNMP::Varbind(['securePortMode', '1.'.($port), 4]);

                               $s->set($varbind);

                               die $s->{ErrorStr} if $s->{ErrorNum};



                               ### возня с MAC адресами

                               my @macs_from_db = @{$t2->{port}->[$port]->{mac}};

                               my @macs_from_switch = &get_port_macs($s, $port);



                               foreach my $mac (@macs_from_switch) {

                                       my $found = 0;

                                       foreach my $mac2 (@macs_from_db) {

                                               $found = 1 if ($mac2 eq $mac);

                                       }

                                       print "ttdel: ".$mac."!n" if !$found;

                                       &del_port_mac($s, $port, $mac) if !$found;

                                       die $s->{ErrorStr} if $s->{ErrorNum};

                               }



                               foreach my $mac (@macs_from_db) {

                                       my $found = 0;

                                       foreach my $mac2 (@macs_from_switch) {

                                               $found = 1 if ($mac2 eq $mac);

                                       }

                                       print "ttadd: ".$mac."!n" if !$found;

                                       &add_port_mac($s, $port, $mac) if !$found;

                                       die $s->{ErrorStr} if $s->{ErrorNum};

                               }



                               ### включаем порт ifAdminStatus в 1 (up)

                               my $varbind = new SNMP::Varbind(['ifAdminStatus', ($port + 100), 1]);

                               $s->set($varbind);

                               die $s->{ErrorStr} if $s->{ErrorNum};

                       }



               }

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

софт называется 3Com@ Network Director

лежит здесь http://support.3com.com/software/3com_netw...rector_v1_0.exe примерно 90 метров. Триал на 60 дней. Супервизор как я понял это просто его часть.

В конфигурации устройств нашел замечательную фишку - можно даже на порт прописать до 990 маков (хотя есть подозрение что на самом деле на _весь_ свитч - и маков тогда 1000 примерно, поскольку портсекьюрити по умолчанию с одним маком уже включен на части портов) - о чем и было сказано выше. Плюс есть разные варианты на интружн - либо положить порт насовсем, либо на 20 сек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

bone, ух ты, это пример с мибами которые можно успользовать как раз для указания кол-во секьюрных маков и типа реакции на нарушение (положить/положить на 20сек) ?

замечательно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

bone, ух ты, это пример с мибами которые можно успользовать как раз для указания кол-во секьюрных маков и типа реакции на нарушение (положить/положить на 20сек) ?

замечательно :)

Да. Только тогда надо не тройку, а четверку ставить. Вот выдержка из 3COM0021.MIB
secureIntrusionAction OBJECT-TYPE

SYNTAX INTEGER {

notAvailable (1),

noAction (2),

disablePort (3),

disablePortTemporarily (4)

}

ACCESS read-write

STATUS mandatory

DESCRIPTION "Attribute to determine the action if an unauthorised device

tranmsits on this port."

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, 3Com@ Network Director дает новые возможности!

Вот что обнаружил:

1. Network Director утверждает что можно секьюрить 1000 маков на весь свитч(это нужно проверить)

2. В случае обнаружения постороннего МАК-адреса, можно: выключать порт, ничего не делать (как я понял в этом случае он кикает пакеты с неизвестными маками), и выключать порт на 20 секунд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

bone, а не будет большой наглостью с моей стороны попросить вас привести листинг процедур add_port_mac и del_port_mac? :)

Что-то никак не разберусь как можно мак добавить/удалить через снмп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

bone, а не будет большой наглостью с моей стороны попросить вас привести листинг процедур add_port_mac и del_port_mac? :)

Что-то никак не разберусь как можно мак добавить/удалить через снмп.

sub add_port_mac() {

       my $this = shift;

       my $port = shift;

       my $mac = shift;

       my @a_mac = split(':', $mac);

       foreach my $t (@a_mac) {$port .= '.'.hex($t);}

       my $varbind = new SNMP::Varbind(['.1.3.6.1.4.1.43.10.22.2.1.4.1', $port, 4, 'INTEGER']);

       $this->set($varbind);

       return 0 if ($s->{"ErrorNum"});

       return 1;

}



sub del_port_mac() {

       my $this = shift;

       my $port = shift;

       my $mac = shift;

       my @a_mac = split(':', $mac);

       foreach my $t (@a_mac) {$port .= '.'.hex($t);}

       my $varbind = new SNMP::Varbind(['.1.3.6.1.4.1.43.10.22.2.1.4.1', $port, 6, 'INTEGER']);

       $this->set($varbind);

       return 0 if ($s->{"ErrorNum"});

       return 1;

}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

bone, спасибо! то что доктор прописал, теперь во всем разобрался :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.