IbZ Posted December 15, 2004 Posted December 15, 2004 Извиняюсь если уже было - честно пробовал искать в архивах. Есть такой вопрос по 3com'ам 1100. Мне нужно привязать допустим только определенное кол-во мак адресов на порт, _но не более_. т.е. чтобы на этом порту после прописывания этих разрешенных маком, обучение прекратилось. Можно такое сделать? Вставить ник Quote
IbZ Posted December 15, 2004 Author Posted December 15, 2004 Добавлю для чего это нужно: Подключаем например клиента - прописываем мак. Он работает. Ладно. Через некоторое время - о-па - а их там этих маков уже 10 штук разных. Через хаб/свитч просто подключились. да еще со своими ип-шниками, и броадкастами мусорят. Мелочь, а неприятно. Подключились бы свою сеть через шлюз один на всех - вопросов бы не было... Вставить ник Quote
Nag Posted December 15, 2004 Posted December 15, 2004 Там 2/3 функций доступны через SNMP надо качать с ФТП 3кома нетворк директор (кажется так) и им управлять... Вставить ник Quote
PowerPack Posted December 15, 2004 Posted December 15, 2004 Сути вопроса я не очень понял, но security прекрасно включается через веб-интерфейс! Просто включаешь сеюрити на порту, и первый попавшийся МАК сразу становится секьюрным. Также можно через веб-морду маки добавлять руками. Но есть ОДНО НО! Можно добавить много МАК'ов на порт, но одновременно должен быть видет ТОЛЬКО 1. Если будет свитч увидет несколько МАКов на порту то порт отключится! Там 2/3 функций доступны через SNMP надо качать с ФТП 3кома нетворк директор (кажется так) и им управлять... Не знаю что там есть через SNMP но когда качал с 3Com'а софт - ничего нормлаьного там не увидел! Мне больше понравилось через WEB. Вы хотите сказать что через SNMP появляются новые функции, которые не настраиваются через WEB и TELNET ??? Можно не выключать порт по секьюрити, а просто отбрасывать пакеты с левыми МАКами??? Вставить ник Quote
Nag Posted December 15, 2004 Posted December 15, 2004 Вы хотите сказать что через SNMP появляются новые функции, которые не настраиваются через WEB и TELNET ??? Можно не выключать порт по секьюрити, а просто отбрасывать пакеты с левыми МАКами??? Вроде как да, появляются новые. ;-) Руки не дошли покрутить вплотную самому. Но говорят про секьюрити с "подьемом" через 20 секунд, и большие таблицы МАСов. В общем, на днях постараюсь добраться и покопать всерьез. :-) Вставить ник Quote
Nag Posted December 15, 2004 Posted December 15, 2004 Вот нет чтоб скачать триал и попробовать. :-) Вставить ник Quote
KoloBok Posted December 16, 2004 Posted December 16, 2004 Так чего триал? Директора или все-таки Неворк Супервизор? Павел, КАК МОЖНО УМАЛЧИВАТЬ про наличие таких софтин??!?! Пожалуйста, узнай как софт называется, я обязуюсь качнуть и предоставить всем желающим результаты тестирования. Вставить ник Quote
bone Posted December 16, 2004 Posted December 16, 2004 Мне больше понравилось через WEB. Интересно, как Вы через web будете управлять несколькими сотнями коммутаторов с необходимостью прописать несколько тысячь маков. Вы хотите сказать что через SNMP появляются новые функции, которые не настраиваются через WEB и TELNET ??? Да. Вставить ник Quote
PowerPack Posted December 16, 2004 Posted December 16, 2004 Интересно, как Вы через web будете управлять несколькими сотнями коммутаторов с необходимостью прописать несколько тысячь маков. Очень просто! При подключении нового пользователя, порт переводится в режим Security. И больше ничего... Ничего собственно прописывать и не нужно! Все остальное конфигурирование выполняется через telnet, перед установкой свитча на точку. Вставить ник Quote
bone Posted December 16, 2004 Posted December 16, 2004 Прокатит если строго по одному маку на порт. Когда число абонентов начинает переваливать за тысячу, возникают ситуации, когда это не выполняется. Тогда выход один - база данных с коммутаторами, абонентами, маками и т.д. и руление всем этим в автомате через snmp. Вставить ник Quote
PowerPack Posted December 16, 2004 Posted December 16, 2004 Прокатит если строго по одному маку на порт. Когда число абонентов начинает переваливать за тысячу, возникают ситуации, когда это не выполняется. Тогда выход один - база данных с коммутаторами, абонентами, маками и т.д. и руление всем этим в автомате через snmp. Это все понятно. Вот и возникает вопрос, что у вас за оборудование и какой софт используете? Поделиться можете? Вставить ник Quote
Guest Posted December 16, 2004 Posted December 16, 2004 Есть много SNMP софтин, не обязательно 3com. У любого крупного производителя есть такие проги. Лично пробовал Network Supervisor,если честно,ожидал большего. Есть WhatsUpGold, намного больше настроек ,большая база MIB. Сейчас качаю Network Administrator.... Вставить ник Quote
bone Posted December 16, 2004 Posted December 16, 2004 Это все понятно. Вот и возникает вопрос, что у вас за оборудование и какой софт используете? Поделиться можете? Коммутаторы 1100, 3300, CoreBuilder'ы. Soft - простые перловые скрипты, заточенные под наш биллинг. Вставить ник Quote
Nag Posted December 16, 2004 Posted December 16, 2004 bone, а пожет пример скрипта или части прямо сюда, а? ;-) Вставить ник Quote
PowerPack Posted December 17, 2004 Posted December 17, 2004 пробовал Network Supervisor,если честно,ожидал большего. Согласен! Вопрос тем не менее остается открытым. Кто РЕАЛЬНО и при помощи КАКОГО СОФТА, использовал дополнительные фичи у 3Com 1100/3300. Очень интересуют дополнительные возможности работы с security. NAG рассказывал про секьюрити с "подьемом" через 20 секунд. ЭТО ОЧЕНЬ НУЖНО! Вообще есть у меня пару железок: 3Com PS HUB 50. Это свитч-хаб, так даже у него через SNMP можно делать, чтобы в случае обнаружения чужого MAC адреса, порт не выключался, а просто отбрасывал пакеты с "левыми" MAC'ами (как на Catalist'ах). Вставить ник Quote
bone Posted December 17, 2004 Posted December 17, 2004 bone, а пожет пример скрипта или части прямо сюда, а?;-) Типа такого: if($action eq 'lock') { ### если 'free' вырубаем его нах: if ($t2->{port}->[$port]->{type} eq 'free') { ### ifAdminStatus в 2 (down) my $varbind = new SNMP::Varbind(['ifAdminStatus', ($port + 100), 2]); $s->set($varbind); die $s->{ErrorStr} if $s->{ErrorNum}; } ### если клиент то: if ($t2->{port}->[$port]->{type} eq 'client') { ### ставим ifMauAutoNegCapAdvertised (fMauAutoNegCapability read-only ?) в 2**11 my $varbind = new SNMP::Varbind(['ifMauAutoNegCapAdvertised', ($port + 100).'.1', 2048]); $s->set($varbind); die $s->{ErrorStr} if $s->{ErrorNum}; ### делаем ifMauAutoNegRestart 1 my $varbind = new SNMP::Varbind(['ifMauAutoNegRestart', ($port + 100).'.1', 1]); $s->set($varbind); die $s->{ErrorStr} if $s->{ErrorNum}; ### ставим secureNumberAddresses в $t2->{ports} my $varbind = new SNMP::Varbind(['secureNumberAddresses', '1.'.($port), scalar(@{$t2->{port}->[$port]->{mac}})]); $s->set($varbind); die $s->{ErrorStr} if $s->{ErrorNum}; ### ставим secureIntrusionAction в 3 (disablePort) my $varbind = new SNMP::Varbind(['secureIntrusionAction', '1.'.($port), 3]); $s->set($varbind); die $s->{ErrorStr} if $s->{ErrorNum}; ### ставим securePortMode в 4 (secure) my $varbind = new SNMP::Varbind(['securePortMode', '1.'.($port), 4]); $s->set($varbind); die $s->{ErrorStr} if $s->{ErrorNum}; ### возня с MAC адресами my @macs_from_db = @{$t2->{port}->[$port]->{mac}}; my @macs_from_switch = &get_port_macs($s, $port); foreach my $mac (@macs_from_switch) { my $found = 0; foreach my $mac2 (@macs_from_db) { $found = 1 if ($mac2 eq $mac); } print "ttdel: ".$mac."!n" if !$found; &del_port_mac($s, $port, $mac) if !$found; die $s->{ErrorStr} if $s->{ErrorNum}; } foreach my $mac (@macs_from_db) { my $found = 0; foreach my $mac2 (@macs_from_switch) { $found = 1 if ($mac2 eq $mac); } print "ttadd: ".$mac."!n" if !$found; &add_port_mac($s, $port, $mac) if !$found; die $s->{ErrorStr} if $s->{ErrorNum}; } ### включаем порт ifAdminStatus в 1 (up) my $varbind = new SNMP::Varbind(['ifAdminStatus', ($port + 100), 1]); $s->set($varbind); die $s->{ErrorStr} if $s->{ErrorNum}; } } Вставить ник Quote
IbZ Posted December 17, 2004 Author Posted December 17, 2004 софт называется 3Com@ Network Director лежит здесь http://support.3com.com/software/3com_netw...rector_v1_0.exe примерно 90 метров. Триал на 60 дней. Супервизор как я понял это просто его часть. В конфигурации устройств нашел замечательную фишку - можно даже на порт прописать до 990 маков (хотя есть подозрение что на самом деле на _весь_ свитч - и маков тогда 1000 примерно, поскольку портсекьюрити по умолчанию с одним маком уже включен на части портов) - о чем и было сказано выше. Плюс есть разные варианты на интружн - либо положить порт насовсем, либо на 20 сек. Вставить ник Quote
IbZ Posted December 17, 2004 Author Posted December 17, 2004 bone, ух ты, это пример с мибами которые можно успользовать как раз для указания кол-во секьюрных маков и типа реакции на нарушение (положить/положить на 20сек) ? замечательно :) Вставить ник Quote
bone Posted December 17, 2004 Posted December 17, 2004 bone, ух ты, это пример с мибами которые можно успользовать как раз для указания кол-во секьюрных маков и типа реакции на нарушение (положить/положить на 20сек) ?замечательно :) Да. Только тогда надо не тройку, а четверку ставить. Вот выдержка из 3COM0021.MIBsecureIntrusionAction OBJECT-TYPE SYNTAX INTEGER { notAvailable (1), noAction (2), disablePort (3), disablePortTemporarily (4) } ACCESS read-write STATUS mandatory DESCRIPTION "Attribute to determine the action if an unauthorised device tranmsits on this port." Вставить ник Quote
PowerPack Posted December 17, 2004 Posted December 17, 2004 Да, 3Com@ Network Director дает новые возможности! Вот что обнаружил: 1. Network Director утверждает что можно секьюрить 1000 маков на весь свитч(это нужно проверить) 2. В случае обнаружения постороннего МАК-адреса, можно: выключать порт, ничего не делать (как я понял в этом случае он кикает пакеты с неизвестными маками), и выключать порт на 20 секунд. Вставить ник Quote
IbZ Posted December 20, 2004 Author Posted December 20, 2004 bone, а не будет большой наглостью с моей стороны попросить вас привести листинг процедур add_port_mac и del_port_mac? :) Что-то никак не разберусь как можно мак добавить/удалить через снмп. Вставить ник Quote
bone Posted December 20, 2004 Posted December 20, 2004 bone, а не будет большой наглостью с моей стороны попросить вас привести листинг процедур add_port_mac и del_port_mac? :)Что-то никак не разберусь как можно мак добавить/удалить через снмп. sub add_port_mac() { my $this = shift; my $port = shift; my $mac = shift; my @a_mac = split(':', $mac); foreach my $t (@a_mac) {$port .= '.'.hex($t);} my $varbind = new SNMP::Varbind(['.1.3.6.1.4.1.43.10.22.2.1.4.1', $port, 4, 'INTEGER']); $this->set($varbind); return 0 if ($s->{"ErrorNum"}); return 1; } sub del_port_mac() { my $this = shift; my $port = shift; my $mac = shift; my @a_mac = split(':', $mac); foreach my $t (@a_mac) {$port .= '.'.hex($t);} my $varbind = new SNMP::Varbind(['.1.3.6.1.4.1.43.10.22.2.1.4.1', $port, 6, 'INTEGER']); $this->set($varbind); return 0 if ($s->{"ErrorNum"}); return 1; } Вставить ник Quote
IbZ Posted December 20, 2004 Author Posted December 20, 2004 bone, спасибо! то что доктор прописал, теперь во всем разобрался :) Вставить ник Quote
Guest Posted December 24, 2004 Posted December 24, 2004 "Unknow object identifier" для ifMauAutoNegCapAdvertised и прочих. А вот для ifAdminStatus get/set проходит. Как бороть? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.