pavel.odintsov Опубликовано 17 марта, 2015 · Жалоба Всем привет! Интересует такой софт, который позволит рулить ACL'ями на любой свиче без вникания в конкретный синтаксис. В основном требуется возможность блокировки/разблокировки определенных IP, портов, подсеток. Нужен основной охват - Juniper, Cisco, Extreme, Dell, HP и D-LINK, наверное. Но интересуют все же не конкретные вендоры, а универсальный движок, на который можно быстро добить поддержку нужной железки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 17 марта, 2015 (изменено) · Жалоба Не знаю как у других вендоров, но на D-Link ACL всегда надо рассматривать в совокупности и в контексте ситуации. Есть лимиты на количество правил, лимиты на количество оффсетов, функционал, расходующий оффсеты, специфичность очередности профилей или правил. Отсюда имеем ситуации, когда все вроде бы верно, но работает не так, как ожидалось. Так что "без вникания" с D-Link'ами не получится, увы. p.s. Вот некоторые особенности для DES-3028. Есть там и другие приколы, их не стал писать. Изменено 17 марта, 2015 пользователем xcme Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 17 марта, 2015 · Жалоба Всем привет! Интересует такой софт, который позволит рулить ACL'ями на любой свиче без вникания в конкретный синтаксис. В основном требуется возможность блокировки/разблокировки определенных IP, портов, подсеток. Нужен основной охват - Juniper, Cisco, Extreme, Dell, HP и D-LINK, наверное. Но интересуют все же не конкретные вендоры, а универсальный движок, на который можно быстро добить поддержку нужной железки. Универсальных, имхо, не бывает. Проще накатать что-то свое, с пачкой шаблонов для необходимых вендоров и видов железок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 17 марта, 2015 · Жалоба Тут в том и вопрос, мне нужен общий движок, чтобы управлять чужими свичами из своего софта. Найти все свичи и написать самому - нереальщина :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 17 марта, 2015 · Жалоба Тут в том и вопрос, мне нужен общий движок, чтобы управлять чужими свичами из своего софта. Найти все свичи и написать самому - нереальщина :( Задавался этим вопросом в свое время. Все это реализуемо, но только через telnet, нужен только толковый кодер на PHP и база шаблонов под каждого вендора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 17 марта, 2015 · Жалоба В коде вопроса нету, я сам напишу что нужно и еще и расшарю :) Вот шаблоны - было бы интересно крайне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 17 марта, 2015 · Жалоба Может пригодится: http://forum.dlink.ru/viewtopic.php?f=2&t=41670 http://forum.dlink.ru/viewtopic.php?f=2&t=115953 а готового и универсального тоже не встречал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 17 марта, 2015 · Жалоба Круто! Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 17 марта, 2015 · Жалоба В коде вопроса нету, я сам напишу что нужно и еще и расшарю :) Вот шаблоны - было бы интересно крайне. Делал что-то похожее. Не ACL, но идея близка. На свичиках доступа выделил несколько типов портов, которые определяются вручную в биллинге. Изначально все порты 1-24 числятся "Пользовательскими", но при желании можно указать и другие типы: "VIP-клиент", "Оборудование", "Uplink", "Магистраль", "Неисправный" и т.п. Для каждого типа порта предусмотрены свои настройки. Так, для магистральных, vip и uplink-портов не применяются никакие блокирующие ACL. Магистральные и абонентские порты имеют свои настройки для MVR, LLDP, LDB и т.п. То есть очевидно, что порты настраиваются по разному. Специальный демон через некоторые интервалы забирает из биллинга все устройства и все их порты и хранит в памяти. Этот же демон эмулирует TFTP-сервер. При получении запроса, основываясь на IP клиента (или на команде, встроенной в имя файла), он генерирует диапазоны портов (например "Сабскрайберы:1-24", "Аплинк:25", "Магистрали:26-28") и впихивает эти диапазоны в шаблон конфига конкретной железки. То есть зайдя на коммутатор и просто написав "download cfg_fromTFTP <IP> config increment" получаешь конфиг конкретно под эту железку. При этом копия конфига падает в базу MongoDB и можно посмотреть что именно выгрузилось и сравнить с предыдущим конфигом. Можно скопировать конфиг в обратную сторону - от коммутатора к серверу - и он тоже попадет в базу. В итоге достаточно удобная получилась штука. Но писать шаблоны и продумывать идею ACL все равно надо самому. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 17 марта, 2015 · Жалоба Довольно много наработок по длинку SNMP у нас есть. Мы делаем ACL (обычные и PCF) по SNMP, автоматически генерируем привязку IP к порту и т.д. В итоге привязки можно снять/добавить вручную одной кнопкой в биллинге, ну и ночью все автоматически проставляется, генерит отчет о проблемах и отсылает мылом. В остальном у нас немного попроще чем у xcme, но идея в общем та же. Определяем типы портов и другие нужные переменные в биллинге, на основе этого автоматически генерится готовый конфиг для коммутатора по шаблону. и тоже все хранится. Если нужно изменить конфигурацию коммутатора(у нас они разные для разных районов) - просто меняем шаблон, далее конфиги генерируются автоматически. Так, для магистральных, vip и uplink-портов не применяются никакие блокирующие ACL у нас для випов просто прописывается первым профилем разрешающий нужные вещи для нужного порта/влана. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 19 марта, 2015 · Жалоба Круто, спасибо! Очень полезные наработки. А что что думает про протокол netconf? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ollsanek Опубликовано 20 марта, 2015 (изменено) · Жалоба ... А что что думает про протокол netconf? juniper-EX - не поддерживает таки-поддерживает, б/у 3550 которые тут так любят - тоже, про д-линки - сильно сомневаюсь. вобщем, свичи уровне аксеса/агрегации эту штуку не поддерживают, а АСЛи, я так понимаю, нужны именно там. Изменено 19 октября, 2015 пользователем ollsanek Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ollsanek Опубликовано 20 марта, 2015 · Жалоба ... универсальный движок, на который можно быстро добить поддержку нужной железки. Opendaylight - единственный контроллер который я нашёл с snmp как southbound api, ну а если свичи покруче, тo крутите чем хотите, хоть и нетконф/опенфлоу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...