[IbZ]

Извиняюсь если уже было - честно пробовал искать в архивах.

Есть такой вопрос по 3com'ам 1100.

Мне нужно привязать допустим только определенное кол-во мак адресов на порт, _но не более_. т.е. чтобы на этом порту после прописывания этих разрешенных маком, обучение прекратилось.

Можно такое сделать?

[IbZ]

Добавлю для чего это нужно:

Подключаем например клиента - прописываем мак. Он работает. Ладно. Через некоторое время - о-па - а их там этих маков уже 10 штук разных. Через хаб/свитч просто подключились. да еще со своими ип-шниками, и броадкастами мусорят. Мелочь, а неприятно. Подключились бы свою сеть через шлюз один на всех - вопросов бы не было...

[Nag]

Там 2/3 функций доступны через SNMP

надо качать с ФТП 3кома нетворк директор (кажется так) и им управлять...

[PowerPack]

Сути вопроса я не очень понял, но security прекрасно включается через веб-интерфейс! Просто включаешь сеюрити на порту, и первый попавшийся МАК сразу становится секьюрным. Также можно через веб-морду маки добавлять руками. Но есть ОДНО НО! Можно добавить много МАК'ов на порт, но одновременно должен быть видет ТОЛЬКО 1. Если будет свитч увидет несколько МАКов на порту то порт отключится!

 

Там 2/3 функций доступны через SNMP  

надо качать с ФТП 3кома нетворк директор (кажется так) и им управлять...

Не знаю что там есть через SNMP но когда качал с 3Com'а софт - ничего нормлаьного там не увидел! Мне больше понравилось через WEB. Вы хотите сказать что через SNMP появляются новые функции, которые не настраиваются через WEB и TELNET ??? Можно не выключать порт по секьюрити, а просто отбрасывать пакеты с левыми МАКами???

[Nag]

Вы хотите сказать что через SNMP появляются новые функции, которые не настраиваются через WEB и TELNET ??? Можно не выключать порт по секьюрити, а просто отбрасывать пакеты с левыми МАКами???

 

Вроде как да, появляются новые. ;-) Руки не дошли покрутить вплотную самому.

Но говорят про секьюрити с "подьемом" через 20 секунд, и большие таблицы МАСов. В общем, на днях постараюсь добраться и покопать всерьез. :-)

[Гость]

ждемс

=)

[Nag]

Вот нет чтоб скачать триал и попробовать. :-)

[KoloBok]

Так чего триал? Директора или все-таки Неворк Супервизор?

Павел, КАК МОЖНО УМАЛЧИВАТЬ про наличие таких софтин??!?!

Пожалуйста, узнай как софт называется, я обязуюсь качнуть и предоставить всем желающим результаты тестирования.

[bone]

Мне больше понравилось через WEB.

Интересно, как Вы через web будете управлять несколькими сотнями коммутаторов с необходимостью прописать несколько тысячь маков.

Вы хотите сказать что через SNMP появляются новые функции, которые не настраиваются через WEB и TELNET ???

Да.

[PowerPack]

Интересно, как Вы через web будете управлять несколькими сотнями коммутаторов с необходимостью прописать несколько тысячь маков.

 

Очень просто!

При подключении нового пользователя, порт переводится в режим Security. И больше ничего... Ничего собственно прописывать и не нужно!

Все остальное конфигурирование выполняется через telnet, перед установкой свитча на точку.

[bone]

Прокатит если строго по одному маку на порт. Когда число абонентов начинает переваливать за тысячу, возникают ситуации, когда это не выполняется. Тогда выход один - база данных с коммутаторами, абонентами, маками и т.д. и руление всем этим в автомате через snmp.

[PowerPack]

Прокатит если строго по одному маку на порт. Когда число абонентов начинает переваливать за тысячу, возникают ситуации, когда это не выполняется. Тогда выход один - база данных с коммутаторами, абонентами, маками и т.д. и руление всем этим в автомате через snmp.

 

Это все понятно. Вот и возникает вопрос, что у вас за оборудование и какой софт используете? Поделиться можете?

[Гость]

Есть много SNMP софтин, не обязательно 3com. У любого крупного производителя есть такие проги. Лично пробовал Network Supervisor,если честно,ожидал большего. Есть WhatsUpGold, намного больше настроек ,большая база MIB. Сейчас качаю Network Administrator....

[bone]

Это все понятно. Вот и возникает вопрос, что у вас за оборудование и какой софт используете? Поделиться можете?

Коммутаторы 1100, 3300, CoreBuilder'ы. Soft - простые перловые скрипты, заточенные под наш биллинг.

[Nag]

bone, а пожет пример скрипта или части прямо сюда, а?

;-)

[PowerPack]

пробовал Network Supervisor,если честно,ожидал большего.

Согласен!

Вопрос тем не менее остается открытым. Кто РЕАЛЬНО и при помощи КАКОГО СОФТА, использовал дополнительные фичи у 3Com 1100/3300. Очень интересуют дополнительные возможности работы с security. NAG рассказывал про секьюрити с "подьемом" через 20 секунд. ЭТО ОЧЕНЬ НУЖНО!

 

Вообще есть у меня пару железок: 3Com PS HUB 50. Это свитч-хаб, так даже у него через SNMP можно делать, чтобы в случае обнаружения чужого MAC адреса, порт не выключался, а просто отбрасывал пакеты с "левыми" MAC'ами (как на Catalist'ах).

[bone]

bone, а пожет пример скрипта или части прямо сюда, а?

;-)

Типа такого:

                if($action eq 'lock') {

                       ### если 'free' вырубаем его нах: 

                       if ($t2->{port}->[$port]->{type} eq 'free') {

                               ### ifAdminStatus в 2 (down)

                               my $varbind = new SNMP::Varbind(['ifAdminStatus', ($port + 100), 2]);

                               $s->set($varbind);

                               die $s->{ErrorStr} if $s->{ErrorNum};

                       }

                       ### если клиент то:

                       if ($t2->{port}->[$port]->{type} eq 'client') {

                               ### ставим ifMauAutoNegCapAdvertised (fMauAutoNegCapability read-only ?) в 2**11

                               my $varbind = new SNMP::Varbind(['ifMauAutoNegCapAdvertised', ($port + 100).'.1', 2048]);

                               $s->set($varbind);

                               die $s->{ErrorStr} if $s->{ErrorNum};

                               ### делаем ifMauAutoNegRestart 1

                               my $varbind = new SNMP::Varbind(['ifMauAutoNegRestart', ($port + 100).'.1', 1]);

                               $s->set($varbind);

                               die $s->{ErrorStr} if $s->{ErrorNum};

                               ### ставим secureNumberAddresses в $t2->{ports}

                               my $varbind = new SNMP::Varbind(['secureNumberAddresses', '1.'.($port), scalar(@{$t2->{port}->[$port]->{mac}})]);

                               $s->set($varbind);                      

                               die $s->{ErrorStr} if $s->{ErrorNum};   

                               ### ставим secureIntrusionAction в 3 (disablePort)

                               my $varbind = new SNMP::Varbind(['secureIntrusionAction', '1.'.($port), 3]);

                               $s->set($varbind);

                               die $s->{ErrorStr} if $s->{ErrorNum};

                               ### ставим securePortMode в 4 (secure)

                               my $varbind = new SNMP::Varbind(['securePortMode', '1.'.($port), 4]);

                               $s->set($varbind);

                               die $s->{ErrorStr} if $s->{ErrorNum};



                               ### возня с MAC адресами

                               my @macs_from_db = @{$t2->{port}->[$port]->{mac}};

                               my @macs_from_switch = &get_port_macs($s, $port);



                               foreach my $mac (@macs_from_switch) {

                                       my $found = 0;

                                       foreach my $mac2 (@macs_from_db) {

                                               $found = 1 if ($mac2 eq $mac);

                                       }

                                       print "ttdel: ".$mac."!n" if !$found;

                                       &del_port_mac($s, $port, $mac) if !$found;

                                       die $s->{ErrorStr} if $s->{ErrorNum};

                               }



                               foreach my $mac (@macs_from_db) {

                                       my $found = 0;

                                       foreach my $mac2 (@macs_from_switch) {

                                               $found = 1 if ($mac2 eq $mac);

                                       }

                                       print "ttadd: ".$mac."!n" if !$found;

                                       &add_port_mac($s, $port, $mac) if !$found;

                                       die $s->{ErrorStr} if $s->{ErrorNum};

                               }



                               ### включаем порт ifAdminStatus в 1 (up)

                               my $varbind = new SNMP::Varbind(['ifAdminStatus', ($port + 100), 1]);

                               $s->set($varbind);

                               die $s->{ErrorStr} if $s->{ErrorNum};

                       }



               }

[IbZ]

софт называется 3Com@ Network Director

лежит здесь http://support.3com.com/software/3com_netw...rector_v1_0.exe примерно 90 метров. Триал на 60 дней. Супервизор как я понял это просто его часть.

В конфигурации устройств нашел замечательную фишку - можно даже на порт прописать до 990 маков (хотя есть подозрение что на самом деле на _весь_ свитч - и маков тогда 1000 примерно, поскольку портсекьюрити по умолчанию с одним маком уже включен на части портов) - о чем и было сказано выше. Плюс есть разные варианты на интружн - либо положить порт насовсем, либо на 20 сек.

[IbZ]

bone, ух ты, это пример с мибами которые можно успользовать как раз для указания кол-во секьюрных маков и типа реакции на нарушение (положить/положить на 20сек) ?

замечательно :)

[bone]

bone, ух ты, это пример с мибами которые можно успользовать как раз для указания кол-во секьюрных маков и типа реакции на нарушение (положить/положить на 20сек) ?

замечательно :)

Да. Только тогда надо не тройку, а четверку ставить. Вот выдержка из 3COM0021.MIB

secureIntrusionAction OBJECT-TYPE

SYNTAX INTEGER {

notAvailable (1),

noAction (2),

disablePort (3),

disablePortTemporarily (4)

}

ACCESS read-write

STATUS mandatory

DESCRIPTION "Attribute to determine the action if an unauthorised device

tranmsits on this port."

[PowerPack]

Да, 3Com@ Network Director дает новые возможности!

Вот что обнаружил:

1. Network Director утверждает что можно секьюрить 1000 маков на весь свитч(это нужно проверить)

2. В случае обнаружения постороннего МАК-адреса, можно: выключать порт, ничего не делать (как я понял в этом случае он кикает пакеты с неизвестными маками), и выключать порт на 20 секунд.

[IbZ]

bone, а не будет большой наглостью с моей стороны попросить вас привести листинг процедур add_port_mac и del_port_mac? :)

Что-то никак не разберусь как можно мак добавить/удалить через снмп.

[bone]

bone, а не будет большой наглостью с моей стороны попросить вас привести листинг процедур add_port_mac и del_port_mac? :)

Что-то никак не разберусь как можно мак добавить/удалить через снмп.

sub add_port_mac() {

       my $this = shift;

       my $port = shift;

       my $mac = shift;

       my @a_mac = split(':', $mac);

       foreach my $t (@a_mac) {$port .= '.'.hex($t);}

       my $varbind = new SNMP::Varbind(['.1.3.6.1.4.1.43.10.22.2.1.4.1', $port, 4, 'INTEGER']);

       $this->set($varbind);

       return 0 if ($s->{"ErrorNum"});

       return 1;

}



sub del_port_mac() {

       my $this = shift;

       my $port = shift;

       my $mac = shift;

       my @a_mac = split(':', $mac);

       foreach my $t (@a_mac) {$port .= '.'.hex($t);}

       my $varbind = new SNMP::Varbind(['.1.3.6.1.4.1.43.10.22.2.1.4.1', $port, 6, 'INTEGER']);

       $this->set($varbind);

       return 0 if ($s->{"ErrorNum"});

       return 1;

}

[IbZ]

bone, спасибо! то что доктор прописал, теперь во всем разобрался :)

[Гость]

"Unknow object identifier" для ifMauAutoNegCapAdvertised и прочих.

А вот для ifAdminStatus get/set проходит.

Как бороть?