[pavel.odintsov]

Всем привет!

 

Интересует такой софт, который позволит рулить ACL'ями на любой свиче без вникания в конкретный синтаксис. В основном требуется возможность блокировки/разблокировки определенных IP, портов, подсеток. Нужен основной охват - Juniper, Cisco, Extreme, Dell, HP и D-LINK, наверное. Но интересуют все же не конкретные вендоры, а универсальный движок, на который можно быстро добить поддержку нужной железки.

[xcme]

Не знаю как у других вендоров, но на D-Link ACL всегда надо рассматривать в совокупности и в контексте ситуации. Есть лимиты на количество правил, лимиты на количество оффсетов, функционал, расходующий оффсеты, специфичность очередности профилей или правил. Отсюда имеем ситуации, когда все вроде бы верно, но работает не так, как ожидалось. Так что "без вникания" с D-Link'ами не получится, увы.

 

p.s. Вот некоторые особенности для DES-3028. Есть там и другие приколы, их не стал писать.

Изменено 17 марта, 2015 пользователем xcme

[pppoetest]

Всем привет!

 

Интересует такой софт, который позволит рулить ACL'ями на любой свиче без вникания в конкретный синтаксис. В основном требуется возможность блокировки/разблокировки определенных IP, портов, подсеток. Нужен основной охват - Juniper, Cisco, Extreme, Dell, HP и D-LINK, наверное. Но интересуют все же не конкретные вендоры, а универсальный движок, на который можно быстро добить поддержку нужной железки.

Универсальных, имхо, не бывает. Проще накатать что-то свое, с пачкой шаблонов для необходимых вендоров и видов железок.

[pavel.odintsov]

Тут в том и вопрос, мне нужен общий движок, чтобы управлять чужими свичами из своего софта. Найти все свичи и написать самому - нереальщина :(

[FATHER_FBI]

Тут в том и вопрос, мне нужен общий движок, чтобы управлять чужими свичами из своего софта. Найти все свичи и написать самому - нереальщина :(

Задавался этим вопросом в свое время. Все это реализуемо, но только через telnet, нужен только толковый кодер на PHP и база шаблонов под каждого вендора.

[pavel.odintsov]

В коде вопроса нету, я сам напишу что нужно и еще и расшарю :) Вот шаблоны - было бы интересно крайне.

[BETEPAH]

Может пригодится:

http://forum.dlink.ru/viewtopic.php?f=2&t=41670

http://forum.dlink.ru/viewtopic.php?f=2&t=115953

 

а готового и универсального тоже не встречал

[pavel.odintsov]

Круто! Спасибо!

[xcme]

В коде вопроса нету, я сам напишу что нужно и еще и расшарю :) Вот шаблоны - было бы интересно крайне.

Делал что-то похожее. Не ACL, но идея близка.

На свичиках доступа выделил несколько типов портов, которые определяются вручную в биллинге. Изначально все порты 1-24 числятся "Пользовательскими", но при желании можно указать и другие типы: "VIP-клиент", "Оборудование", "Uplink", "Магистраль", "Неисправный" и т.п. Для каждого типа порта предусмотрены свои настройки. Так, для магистральных, vip и uplink-портов не применяются никакие блокирующие ACL. Магистральные и абонентские порты имеют свои настройки для MVR, LLDP, LDB и т.п. То есть очевидно, что порты настраиваются по разному.

 

Специальный демон через некоторые интервалы забирает из биллинга все устройства и все их порты и хранит в памяти. Этот же демон эмулирует TFTP-сервер. При получении запроса, основываясь на IP клиента (или на команде, встроенной в имя файла), он генерирует диапазоны портов (например "Сабскрайберы:1-24", "Аплинк:25", "Магистрали:26-28") и впихивает эти диапазоны в шаблон конфига конкретной железки. То есть зайдя на коммутатор и просто написав "download cfg_fromTFTP <IP> config increment" получаешь конфиг конкретно под эту железку. При этом копия конфига падает в базу MongoDB и можно посмотреть что именно выгрузилось и сравнить с предыдущим конфигом. Можно скопировать конфиг в обратную сторону - от коммутатора к серверу - и он тоже попадет в базу. В итоге достаточно удобная получилась штука. Но писать шаблоны и продумывать идею ACL все равно надо самому. :)

[Negator]

Довольно много наработок по длинку SNMP у нас есть.

Мы делаем ACL (обычные и PCF) по SNMP, автоматически генерируем привязку IP к порту и т.д.

В итоге привязки можно снять/добавить вручную одной кнопкой в биллинге, ну и ночью все автоматически проставляется, генерит отчет о проблемах и отсылает мылом.

 

В остальном у нас немного попроще чем у xcme, но идея в общем та же.

Определяем типы портов и другие нужные переменные в биллинге, на основе этого автоматически генерится готовый конфиг для коммутатора по шаблону.

и тоже все хранится.

Если нужно изменить конфигурацию коммутатора(у нас они разные для разных районов) - просто меняем шаблон, далее конфиги генерируются автоматически.

 

 

Так, для магистральных, vip и uplink-портов не применяются никакие блокирующие ACL

у нас для випов просто прописывается первым профилем разрешающий нужные вещи для нужного порта/влана.

[pavel.odintsov]

Круто, спасибо! Очень полезные наработки. А что что думает про протокол netconf?

[ollsanek]

... А что что думает про протокол netconf?

juniper-EX - не поддерживает таки-поддерживает, б/у 3550 которые тут так любят - тоже, про д-линки - сильно сомневаюсь.

вобщем, свичи уровне аксеса/агрегации эту штуку не поддерживают, а АСЛи, я так понимаю, нужны именно там.

Изменено 19 октября, 2015 пользователем ollsanek

[ollsanek]

... универсальный движок, на который можно быстро добить поддержку нужной железки.

Opendaylight - единственный контроллер который я нашёл с snmp как southbound api,

ну а если свичи покруче, тo крутите чем хотите, хоть и нетконф/опенфлоу.