Jump to content
Калькуляторы

Универсальное управление ACL на свичах

Всем привет!

 

Интересует такой софт, который позволит рулить ACL'ями на любой свиче без вникания в конкретный синтаксис. В основном требуется возможность блокировки/разблокировки определенных IP, портов, подсеток. Нужен основной охват - Juniper, Cisco, Extreme, Dell, HP и D-LINK, наверное. Но интересуют все же не конкретные вендоры, а универсальный движок, на который можно быстро добить поддержку нужной железки.

Share this post


Link to post
Share on other sites

Не знаю как у других вендоров, но на D-Link ACL всегда надо рассматривать в совокупности и в контексте ситуации. Есть лимиты на количество правил, лимиты на количество оффсетов, функционал, расходующий оффсеты, специфичность очередности профилей или правил. Отсюда имеем ситуации, когда все вроде бы верно, но работает не так, как ожидалось. Так что "без вникания" с D-Link'ами не получится, увы.

 

p.s. Вот некоторые особенности для DES-3028. Есть там и другие приколы, их не стал писать.

Edited by xcme

Share this post


Link to post
Share on other sites

Всем привет!

 

Интересует такой софт, который позволит рулить ACL'ями на любой свиче без вникания в конкретный синтаксис. В основном требуется возможность блокировки/разблокировки определенных IP, портов, подсеток. Нужен основной охват - Juniper, Cisco, Extreme, Dell, HP и D-LINK, наверное. Но интересуют все же не конкретные вендоры, а универсальный движок, на который можно быстро добить поддержку нужной железки.

Универсальных, имхо, не бывает. Проще накатать что-то свое, с пачкой шаблонов для необходимых вендоров и видов железок.

Share this post


Link to post
Share on other sites

Тут в том и вопрос, мне нужен общий движок, чтобы управлять чужими свичами из своего софта. Найти все свичи и написать самому - нереальщина :(

Share this post


Link to post
Share on other sites

Тут в том и вопрос, мне нужен общий движок, чтобы управлять чужими свичами из своего софта. Найти все свичи и написать самому - нереальщина :(

Задавался этим вопросом в свое время. Все это реализуемо, но только через telnet, нужен только толковый кодер на PHP и база шаблонов под каждого вендора.

Share this post


Link to post
Share on other sites

В коде вопроса нету, я сам напишу что нужно и еще и расшарю :) Вот шаблоны - было бы интересно крайне.

Share this post


Link to post
Share on other sites

В коде вопроса нету, я сам напишу что нужно и еще и расшарю :) Вот шаблоны - было бы интересно крайне.

Делал что-то похожее. Не ACL, но идея близка.

На свичиках доступа выделил несколько типов портов, которые определяются вручную в биллинге. Изначально все порты 1-24 числятся "Пользовательскими", но при желании можно указать и другие типы: "VIP-клиент", "Оборудование", "Uplink", "Магистраль", "Неисправный" и т.п. Для каждого типа порта предусмотрены свои настройки. Так, для магистральных, vip и uplink-портов не применяются никакие блокирующие ACL. Магистральные и абонентские порты имеют свои настройки для MVR, LLDP, LDB и т.п. То есть очевидно, что порты настраиваются по разному.

 

Специальный демон через некоторые интервалы забирает из биллинга все устройства и все их порты и хранит в памяти. Этот же демон эмулирует TFTP-сервер. При получении запроса, основываясь на IP клиента (или на команде, встроенной в имя файла), он генерирует диапазоны портов (например "Сабскрайберы:1-24", "Аплинк:25", "Магистрали:26-28") и впихивает эти диапазоны в шаблон конфига конкретной железки. То есть зайдя на коммутатор и просто написав "download cfg_fromTFTP <IP> config increment" получаешь конфиг конкретно под эту железку. При этом копия конфига падает в базу MongoDB и можно посмотреть что именно выгрузилось и сравнить с предыдущим конфигом. Можно скопировать конфиг в обратную сторону - от коммутатора к серверу - и он тоже попадет в базу. В итоге достаточно удобная получилась штука. Но писать шаблоны и продумывать идею ACL все равно надо самому. :)

Share this post


Link to post
Share on other sites

Довольно много наработок по длинку SNMP у нас есть.

Мы делаем ACL (обычные и PCF) по SNMP, автоматически генерируем привязку IP к порту и т.д.

В итоге привязки можно снять/добавить вручную одной кнопкой в биллинге, ну и ночью все автоматически проставляется, генерит отчет о проблемах и отсылает мылом.

 

В остальном у нас немного попроще чем у xcme, но идея в общем та же.

Определяем типы портов и другие нужные переменные в биллинге, на основе этого автоматически генерится готовый конфиг для коммутатора по шаблону.

и тоже все хранится.

Если нужно изменить конфигурацию коммутатора(у нас они разные для разных районов) - просто меняем шаблон, далее конфиги генерируются автоматически.

 

 

Так, для магистральных, vip и uplink-портов не применяются никакие блокирующие ACL

у нас для випов просто прописывается первым профилем разрешающий нужные вещи для нужного порта/влана.

Share this post


Link to post
Share on other sites

Круто, спасибо! Очень полезные наработки. А что что думает про протокол netconf?

Share this post


Link to post
Share on other sites

... А что что думает про протокол netconf?

juniper-EX - не поддерживает таки-поддерживает, б/у 3550 которые тут так любят - тоже, про д-линки - сильно сомневаюсь.

вобщем, свичи уровне аксеса/агрегации эту штуку не поддерживают, а АСЛи, я так понимаю, нужны именно там.

Edited by ollsanek

Share this post


Link to post
Share on other sites

... универсальный движок, на который можно быстро добить поддержку нужной железки.

Opendaylight - единственный контроллер который я нашёл с snmp как southbound api,

ну а если свичи покруче, тo крутите чем хотите, хоть и нетконф/опенфлоу.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this