Jump to content

Универсальное управление ACL на свичах

pavel.odintsov
 Share

Recommended Posts

pavel.odintsov

pavel.odintsov

Posted
Posted

Всем привет!

 

Интересует такой софт, который позволит рулить ACL'ями на любой свиче без вникания в конкретный синтаксис. В основном требуется возможность блокировки/разблокировки определенных IP, портов, подсеток. Нужен основной охват - Juniper, Cisco, Extreme, Dell, HP и D-LINK, наверное. Но интересуют все же не конкретные вендоры, а универсальный движок, на который можно быстро добить поддержку нужной железки.

xcme

xcme

Posted
Posted (edited)

Не знаю как у других вендоров, но на D-Link ACL всегда надо рассматривать в совокупности и в контексте ситуации. Есть лимиты на количество правил, лимиты на количество оффсетов, функционал, расходующий оффсеты, специфичность очередности профилей или правил. Отсюда имеем ситуации, когда все вроде бы верно, но работает не так, как ожидалось. Так что "без вникания" с D-Link'ами не получится, увы.

 

p.s. Вот некоторые особенности для DES-3028. Есть там и другие приколы, их не стал писать.

Edited by xcme
pppoetest

pppoetest

Posted
Posted

Всем привет!

 

Интересует такой софт, который позволит рулить ACL'ями на любой свиче без вникания в конкретный синтаксис. В основном требуется возможность блокировки/разблокировки определенных IP, портов, подсеток. Нужен основной охват - Juniper, Cisco, Extreme, Dell, HP и D-LINK, наверное. Но интересуют все же не конкретные вендоры, а универсальный движок, на который можно быстро добить поддержку нужной железки.

Универсальных, имхо, не бывает. Проще накатать что-то свое, с пачкой шаблонов для необходимых вендоров и видов железок.

pavel.odintsov

pavel.odintsov

Posted
  • Author
Posted

Тут в том и вопрос, мне нужен общий движок, чтобы управлять чужими свичами из своего софта. Найти все свичи и написать самому - нереальщина :(

FATHER_FBI

FATHER_FBI

Posted
Posted

Тут в том и вопрос, мне нужен общий движок, чтобы управлять чужими свичами из своего софта. Найти все свичи и написать самому - нереальщина :(

Задавался этим вопросом в свое время. Все это реализуемо, но только через telnet, нужен только толковый кодер на PHP и база шаблонов под каждого вендора.

xcme

xcme

Posted
Posted

В коде вопроса нету, я сам напишу что нужно и еще и расшарю :) Вот шаблоны - было бы интересно крайне.

Делал что-то похожее. Не ACL, но идея близка.

На свичиках доступа выделил несколько типов портов, которые определяются вручную в биллинге. Изначально все порты 1-24 числятся "Пользовательскими", но при желании можно указать и другие типы: "VIP-клиент", "Оборудование", "Uplink", "Магистраль", "Неисправный" и т.п. Для каждого типа порта предусмотрены свои настройки. Так, для магистральных, vip и uplink-портов не применяются никакие блокирующие ACL. Магистральные и абонентские порты имеют свои настройки для MVR, LLDP, LDB и т.п. То есть очевидно, что порты настраиваются по разному.

 

Специальный демон через некоторые интервалы забирает из биллинга все устройства и все их порты и хранит в памяти. Этот же демон эмулирует TFTP-сервер. При получении запроса, основываясь на IP клиента (или на команде, встроенной в имя файла), он генерирует диапазоны портов (например "Сабскрайберы:1-24", "Аплинк:25", "Магистрали:26-28") и впихивает эти диапазоны в шаблон конфига конкретной железки. То есть зайдя на коммутатор и просто написав "download cfg_fromTFTP <IP> config increment" получаешь конфиг конкретно под эту железку. При этом копия конфига падает в базу MongoDB и можно посмотреть что именно выгрузилось и сравнить с предыдущим конфигом. Можно скопировать конфиг в обратную сторону - от коммутатора к серверу - и он тоже попадет в базу. В итоге достаточно удобная получилась штука. Но писать шаблоны и продумывать идею ACL все равно надо самому. :)

Negator

Negator

Posted
Posted

Довольно много наработок по длинку SNMP у нас есть.

Мы делаем ACL (обычные и PCF) по SNMP, автоматически генерируем привязку IP к порту и т.д.

В итоге привязки можно снять/добавить вручную одной кнопкой в биллинге, ну и ночью все автоматически проставляется, генерит отчет о проблемах и отсылает мылом.

 

В остальном у нас немного попроще чем у xcme, но идея в общем та же.

Определяем типы портов и другие нужные переменные в биллинге, на основе этого автоматически генерится готовый конфиг для коммутатора по шаблону.

и тоже все хранится.

Если нужно изменить конфигурацию коммутатора(у нас они разные для разных районов) - просто меняем шаблон, далее конфиги генерируются автоматически.

 

 

Так, для магистральных, vip и uplink-портов не применяются никакие блокирующие ACL

у нас для випов просто прописывается первым профилем разрешающий нужные вещи для нужного порта/влана.

ollsanek

ollsanek

Posted
Posted (edited)

... А что что думает про протокол netconf?

juniper-EX - не поддерживает таки-поддерживает, б/у 3550 которые тут так любят - тоже, про д-линки - сильно сомневаюсь.

вобщем, свичи уровне аксеса/агрегации эту штуку не поддерживают, а АСЛи, я так понимаю, нужны именно там.

Edited by ollsanek
ollsanek

ollsanek

Posted
Posted

... универсальный движок, на который можно быстро добить поддержку нужной железки.

Opendaylight - единственный контроллер который я нашёл с snmp как southbound api,

ну а если свичи покруче, тo крутите чем хотите, хоть и нетконф/опенфлоу.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.