~Ворожейкин~ Posted March 13, 2006 Posted March 13, 2006 Тема тут уже поднималась. Тем не менее... Задача та же - три VLAN, три интерфейса: 10.76.32.1/19 10.76.64.1/19 10.76.96.1/19 на которых сидят абоненты. Есть маршрут к серверу доступа 10.0.0.1 Абоненты видят друг друга благодаря существованию маршрутов немедленно по созданию интерфейсов. ЕСтественно , это безобразие нужно ликвидировать. Ликвидируем с помощью аппаратных фильтров: create class=10 ipdaddr=10.0.0.1/19 create class=32 ipsaddr=10.76.32.0/19 create class=64 ipsaddr=10.76.64.0/19 create class=96 ipsaddr=10.76.96.0/19 add swi hwf class=10 ac=for add swi hwf class=32 ac=deny add swi hwf class=64 ac=deny add swi hwf class=96 ac=deny не работает. пинги между интерфейсами идут. пробую сложнее - добавляю в классификатор пару "адрес источника - адрес приемника" create class=3264 ipdaddr=10.76.32.0/19 ipsaddr=10.76.64.0/19 .... .... add swi hwf class=3264 ac=deny не работает. пинги между интерфейсами идут. пробую IP фильтры: add ip filter=1 so=10.76.32.0 sm=255.255.224.0 des=10.0.0.1 dm=255.255.224.0 ac=include add ip filter=1 so=10.0.0.1 sm=255.255.224.0 des=10.76.32.0 dm=255.255.224.0 ac=include add ip filter=2 so=10.76.64.0 sm=255.255.224.0 des=10.0.0.1 dm=255.255.224.0 ac=include add ip filter=2 so=10.0.0.1 sm=255.255.224.0 des=10.76.64.0 dm=255.255.224.0 ac=include add ip filter=3 so=10.76.96.0 sm=255.255.224.0 des=10.0.0.1 dm=255.255.224.0 ac=include add ip filter=3 so=10.0.0.1 sm=255.255.224.0 des=10.76.96.0 dm=255.255.224.0 ac=include set ip int=vlan130 ipaddr=10.76.32.1 mask=255.255.224.0 filter=1 set ip int=vlan131 ipaddr=10.76.64.1 mask=255.255.224.0 filter=2 set ip int=vlan132 ipaddr=10.76.96.1 mask=255.255.224.0 filter=3 будете смеяться - не работает. пинги между интерфейсами идут. В чем дело? Где я что не так сделал? Спасибо. Вставить ник Quote
Mancubus Posted March 13, 2006 Posted March 13, 2006 Rapier48_MTC> add swi l3f ma=dip dc=c Rapier48_MTC> add swi l3f=6 ent dip=10.10.125.0 ac=deny Это вре реализовано на рапиер48, показываю на l3f, т.к. HW фильтра не работают. Изначально нужно запрещять не SA, а DA это ж вроде логически верно =) Что пакет нужно запрещять с адресом назначения. Если не работают HW фильтра, то попробуйте с l3f. Ещё есть такая фишка ip rou fil, можете в докуметации её найти. Только я вот не знаю есть ли l3f в 88хх Вставить ник Quote
_Daemon_ Posted March 13, 2006 Posted March 13, 2006 Хм странно, вроде логически всё верно, сам также закрывал на 8948 и всё работало. Дайте sh debug в студию, раздел, где описаны эти правила. А заодно и sh sys, может на 88 серии надо лицензию для всего этого? :) Вставить ник Quote
~Ворожейкин~ Posted March 13, 2006 Author Posted March 13, 2006 2 Mancubus: L3 фильтры есть. настроил в качестве теста так: add swi l3f ma=dip,sip dc=c sc=c add swi l3f=1 ent ac=deny dip=10.76.32.0 sip=10.76.64.0 как говорил классик, получаем "старинную индейскую избу" . То есть ping запросто ходит с 10.76.64.1 непосредственно до 10.76.32.1... причем фильтры работают. настроил покривее относительно dip=10.0.0.1 - пинг на этот адрес пропал. 2 Daemon: а как по выводимой информации по данным командам определить, нужна лицензия или нет? Вставить ник Quote
_Daemon_ Posted March 13, 2006 Posted March 13, 2006 2 Mancubus: 2 Daemon: а как по выводимой информации по данным командам определить, нужна лицензия или нет? По первой команде видно как составлены фильтры в целом, по второй видно на что действует лицензия. Вставить ник Quote
Mancubus Posted March 13, 2006 Posted March 13, 2006 add swi l3f ma=dip,sip dc=c sc=c add swi l3f=1 ent ac=deny dip=10.76.32.0 sip=10.76.64.0 читать умеем? =)) нужен только dip, dc в вашем случяе "B" Вставить ник Quote
_Daemon_ Posted March 13, 2006 Posted March 13, 2006 Да всё должно великолепно хардвар фильтрами закрываться, неслушайте Вы никого :) sh debug в студию, зачем загружать камень фильтрами 3 уровня? (хотя саппорт уверяет, что они тоже не грузят камень :) ) Проще конечно позвонить в саппорт, но там первое, что с Вас спросят sh debug и будут правы :) Вставить ник Quote
Mancubus Posted March 13, 2006 Posted March 13, 2006 l3f ещё как грузят камень. Я привёл l3f только для чистоты эксперимента =) Вставить ник Quote
Умник Posted March 13, 2006 Posted March 13, 2006 l3f, несмотря на страшное название, тоже работают в HW. А вот ip filter - действительно отрабатывает CPU. Вставить ник Quote
Mancubus Posted March 13, 2006 Posted March 13, 2006 Умник, откуда информация? HW реализовану у алиеда на Асиках, а остальные фильтра работают ч-з ЦП Вставить ник Quote
Умник Posted March 13, 2006 Posted March 13, 2006 swi-rp.pdf, описание для "ADD SWITCH L3FILTER MATCH": This command adds a filter that specifies which matching filter criteria will be used for the hardware-based packet filtering mechanism. - и из практитки известно, что они действительно не грузят CPU. В отличие от ip filter: использовать его на портах с плотным трафиком - самоубийство. Вставить ник Quote
Mancubus Posted March 13, 2006 Posted March 13, 2006 Умник, Точно, нашёл. =) Но из своего опыта скажу следующее, что при использовании hw фильтров и l3f разница чувствуется. Об этом уже где-то в постах писал. Вставить ник Quote
~Ворожейкин~ Posted March 14, 2006 Author Posted March 14, 2006 Да всё должно великолепно хардвар фильтрами закрываться, неслушайте Вы никого :) sh debug в студию Вот результат SHOW DEBUG: Настроены hwf фильтры SecOff Radio> show debug SHOW SYSTEM Switch System Status Time 14:44:00 Date 14-Mar-2006. Board ID Bay Board Name Host Id Rev Serial number -------------------------------------------------------------------------------- Base 133 AT-8824 0 M3-0 63773292 -------------------------------------------------------------------------------- Memory - DRAM : 65536 kB FLASH : 32768 kB -------------------------------------------------------------------------------- SysDescription Allied Telesyn AT-8824 version 2.7.3-02 29-Apr-2005 SysContact SysLocation SysName Radio SysDistName SysUpTime 781088 ( 02:10:10 ) Boot Image : rmb107.fbr size 507140 07-Oct-2005 Software Version: 2.7.3-02 29-Apr-2005 Release Version : 2.7.3-00 03-Mar-2005 Patch Installed : NONE Territory : europe Country : none Help File : 88-273a.hlp Main PSU : On RPS Monitor : Off Current Temperature : Normal Fan Status --------------- 1 Normal 2 Normal 3 Normal 4 Normal --------------- Configuration Boot configuration file: flash:main8824.cfg (exists) Current configuration: flash:main8824.cfg Security Mode : Enabled Warning (2048284): No patches found. SHOW FILES Filename Device Size Created Locks ------------------------------------------------------------------------- 86273-02.rez flash 4119808 07-Oct-2005 17:43:16 0 88-273a.hlp flash 184304 07-Oct-2005 17:44:03 0 boot.cfg flash 2912 03-Mar-2006 18:53:56 0 config.ins flash 32 13-Mar-2006 13:03:29 0 d8824e16.rsc flash 3309466 07-Oct-2005 17:44:08 1 enabled.sec flash 8 03-Mar-2006 19:03:29 0 enc0.ukf flash 1508 03-Mar-2006 19:04:31 0 enc1.ukf flash 1528 14-Mar-2006 14:33:49 0 feature.lic flash 39 07-Oct-2005 17:44:55 0 hwf.cfg flash 649 14-Mar-2006 12:22:14 0 longname.lfn flash 17 13-Mar-2006 19:43:16 0 main8824.cfg flash 6009 14-Mar-2006 12:33:37 0 ospf.cfg flash 735 07-Mar-2006 17:47:21 0 prefer.ins flash 64 07-Oct-2005 17:44:09 0 release.lic flash 32 07-Oct-2005 17:44:08 0 accsave.acc nvs 124 14-Mar-2006 12:33:49 0 config.ins nvs 32 13-Mar-2006 13:00:26 0 enabled.sec nvs 8 03-Mar-2006 19:03:29 0 gui.ins nvs 64 07-Oct-2005 17:44:52 0 random.rnd nvs 3904 14-Mar-2006 12:53:49 0 ------------------------------------------------------------------------- SHOW INSTALL SHOW INSTALL Install Release Patch GUI ------------------------------------------------------------------------- Temporary - - - Preferred flash:86273-02.rez - d8824e16.rsc Default EPROM (86-1.0.7) - - ------------------------------------------------------------------------- Current install ------------------------------------------------------------------------- Preferred flash:86273-02.rez - d8824e16.rsc ------------------------------------------------------------------------- Install history ------------------------------------------------------------------------- No Temporary release selected Preferred release selected Preferred release successfully installed ------------------------------------------------------------------------- SHOW FEATURE LICENCE The Special Feature Licences: Index FeatureName Licence Period ------------------------------------------------------------------- 1 factory full - ------------------------------------------------------------------- The current valid features : Secure Shell App. Gateway ISAKMP PKI SSL SHOW RELEASE LICENCE Release Licence Period ------------------------------------------------------------------- flash:load86273-02.rez full - ------------------------------------------------------------------- SHOW CONFIGURATION DYNAMIC # # SYSTEM configuration # set help=88-273a.hlp set system name="Radio" # # USER configuration # set user=manager pass=3af00c6cad11f7ab5db4467b66ce503eff priv=manager lo=yes set user=manager telnet=yes desc="Manager Account" add user=smanager pass=1d330a28c7521965892179abda5c0078ff priv=securityOfficer lo=yes set user=smanager telnet=no netmask=255.255.255.255 add user=sshmanager pass=e10adc3949ba59abbe56e057f20f883eff priv=securityOfficer lo=yes set user=sshmanager telnet=no netmask=255.255.255.255 # # SWITCH (pre-VLAN) configuration # disable switch port=4-23,26 # # VLAN general configuration # create vlan="Uplink2" vid=129 create vlan="ClientVLAN1" vid=130 create vlan="ClientVLAN2" vid=131 create vlan="ClientVLAN3" vid=132 create vlan="CashDesk6" vid=153 # # VLAN port configuration # add vlan="129" port=25 frame=tagged add vlan="130" port=1 frame=tagged add vlan="131" port=2 frame=tagged add vlan="132" port=3 frame=tagged add vlan="153" port=24 frame=tagged # # CLASSIFIER general configuration # create class=10 prot="ip" ipda=10.0.0.1/19 create class=3264 prot="ip" ipsa=10.76.32.0/19 ipda=10.76.64.0/19 create class=3296 prot="ip" ipsa=10.76.96.0/19 ipda=10.76.96.0/19 create class=6432 prot="ip" ipsa=10.76.64.0/19 ipda=10.76.32.0/19 create class=6496 prot="ip" ipsa=10.76.64.0/19 ipda=10.76.96.0/19 create class=9632 prot="ip" ipsa=10.76.96.0/19 ipda=10.76.32.0/19 create class=9664 prot="ip" ipsa=10.76.96.0/19 ipda=10.76.64.0/19 # # SWITCH (post-VLAN) configuration # add switch hwf class=10 ac=for add switch hwf class=3264 ac=dis add switch hwf class=3296 ac=dis add switch hwf class=6432 ac=dis add switch hwf class=6496 ac=dis add switch hwf class=9632 ac=dis add switch hwf class=9664 ac=dis # # IP configuration # enable ip add ip int=vlan1 ip=172.31.255.6 mask=255.255.255.0 add ip int=vlan129 ip=10.76.0.2 mask=255.255.224.0 ospf=1 add ip int=vlan130 ip=10.76.32.1 mask=255.255.224.0 ospf=1 add ip int=vlan131 ip=10.76.64.1 mask=255.255.224.0 ospf=1 add ip int=vlan132 ip=10.76.96.1 mask=255.255.224.0 ospf=1 add ip rou=0.0.0.0 mask=0.0.0.0 int=vlan129 next=10.76.0.1 add ip rou=10.0.0.0 mask=255.255.224.0 int=vlan129 next=10.76.0.1 # OSPF configuration set ospf routerid=172.31.255.6 add ospf area=backbone stubarea=off summary=send add ospf area=0.0.0.3 add ospf range=10.68.0.0 area=backbone mask=255.255.224.0 add ospf range=10.72.0.0 area=backbone mask=255.255.224.0 add ospf range=10.76.0.0 area=backbone mask=255.255.224.0 add ospf range=10.76.32.0 area=0.0.0.3 mask=255.255.224.0 add ospf range=10.76.64.0 area=0.0.0.3 mask=255.255.224.0 add ospf range=10.76.96.0 area=0.0.0.3 mask=255.255.224.0 add ospf stub=10.76.32.0 mask=255.255.224.0 add ospf stub=10.76.64.0 mask=255.255.224.0 add ospf stub=10.76.96.0 mask=255.255.224.0 add ospf interface=vlan129 area=backbone add ospf interface=vlan130 area=0.0.0.3 add ospf interface=vlan131 area=0.0.0.3 add ospf interface=vlan132 area=0.0.0.3 enable ospf # # Secure Shell configuration # enable ssh server serverkey=1 hostkey=0 expirytime=1 logintimeout=600 add ssh user=sshmanager password=ECE0F9548A6BE88BC7596E8741D17BD0 ipaddress=172.31.255.0 mask=255.255.255.0 SHOW BUFFER SCAN Scan of buffers in use 007067b0 33 00706800 6 00706948 43 003f5f9c 1 000d2fa0 1 00217064 1 0066208c 1 00663c4c 1 007009fc 38 00701e5c 34 0057e1f0 27 00701da4 1 003b8c3c 1 003b8c70 1 003b8e98 1 0004f5e4 1 00115d2c 1 00153788 4 0016d9e4 1 0016db24 1 006fa4b0 1 006fa4c8 6 00598b9c 1 006699b0 1 0064a348 1 0064a6d8 1 0064a6e8 1 006fdffc 1 0077a61c 1 00702d8c 1 00702cf8 2 004f57ec 1 004f5800 1 004f5814 1 004f5794 1 006afa0c 26 006afb18 1 0049d73c 1 006d4b80 1 0070cef8 89 002a2984 1 00279c74 572 003bca5c 6 00314ff0 286 003100ec 1 0030ffdc 1 007197e0 1 00698bd8 2 00702d20 10 007149f4 14 006ddd88 1 006ddd98 1 000d7e18 1 000d7bf8 1 000d7c6c 1 002f9424 1 002f9610 1 002f40cc 1 001f90f0 3 001f97bc 38 001f91dc 11 001f9470 188 001f94b8 60 001f95a0 1 00706848 4 001f95e0 1 001f8f34 3 001f8dcc 16 0016cbc0 1 001f9308 4 001f935c 1 0016cd80 1 001ec0f4 1 001f4ca8 1 001f4cb8 1 001f4cc8 1 001f4cd8 1 001f4ce8 1 005e8994 1 005e8aac 1 0060aee0 1 001e08c0 1 005e83e0 7 005e83c8 1 005e83b0 1 005e841c 2 003e5a80 26 003e5a98 6 001db428 52 0073db68 1 00640348 3 007303ac 1 005ec880 1 00737d50 1 007313dc 1 007316a0 1 001e6e18 1 0029c5b0 1 003327c4 1 0071669c 1 007166c4 1 0054a1d4 1 00701cd4 1 0005b6f0 1 0005e050 1 0005d90c 1 004b08d4 13 004ad868 1 0035cbd8 1 00364d70 7 0036138c 1 000be220 2 0062fcfc 3 0066e0f0 1 0066df38 1 000be4b8 1 002a2b9c 1 0029c1c8 1 002c2e58 3 0028c608 1 002c112c 1 002c0c10 1 0026ee24 1 0040e5d4 1 0040e604 1 003ff714 1 005b2d98 1 005b0768 1 00261c58 1 0027a684 1 002993d0 1 00297930 1 003ff6f0 8 00473fbc 1 00473fe4 1 002c16c8 1 0064ce10 62 00698c20 1 00698c18 1 005b2af8 1 001285a0 1 001246b0 1 001294f8 1 006d37d0 1 000dfd20 1 000dfcc8 1 006d1f98 1 006d07bc 1 0070f4d4 1 00697e44 1 0069ed50 1 Total buffers in use - 1831 Entries - 151 Scan of fast buffers in use Total fast buffers in use - 0 Entries - 0 Memory ( DRAM ) .......... 65536 kB Free Memory .............. 76 % Free fast buffers ........ 0 Total fast buffers ....... 0 Free buffers ............. 24802 Total buffers ............ 26635 Buffer level 3 ........... 125 (don't process input frames) Buffer level 2 ........... 250 (don't do monitor or command output) Buffer level 1 ........... 500 (don't buffer up log messages) SHOW CPU CPU Utilisation ( as a percentage ) ---------------------------------------- Maximum since router restarted ..... 100 Maximum over last 5 minutes ........ 100 Average since router restarted ..... 2 Average over last 5 minutes ........ 5 Average over last minute ........... 1 Average over last 10 seconds ....... 1 Average over last second ........... 2 ---------------------------------------- SHOW LOG Permanent Log Date/Time S Mod Type SType Message ------------------------------------------------------------------------------- 14 14:35:48 4 CH MSG ERROR Unknown command "Board" 14 14:35:48 4 CH MSG ERROR Unknown command "--------------------..." 14 14:35:48 4 CH MSG ERROR Unknown command "Base" 14 14:35:48 4 CH MSG ERROR Unknown command "--------------------..." 14 14:35:48 4 CH MSG ERROR Unknown command "Memory" 14 14:35:48 4 CH MSG ERROR Unknown command "--------------------..." 14 14:35:48 4 CH MSG ERROR Unknown command "SysDescription" 14 14:35:48 4 CH MSG ERROR Unknown command "Allied" 14 14:35:48 4 CH MSG ERROR Unknown command "SysContact" 14 14:35:48 4 CH MSG ERROR Unknown command "SysLocation" 14 14:35:48 4 CH MSG ERROR Unknown command "SysName" 14 14:35:48 4 CH MSG ERROR Unknown command "Radio" 14 14:35:48 4 CH MSG ERROR Unknown command "SysDistName" 14 14:35:48 4 CH MSG ERROR Unknown command "SysUpTime" 14 14:41:42 4 CH MSG ERROR Security Officer privilege timed out on command SHOW DEBUG. Please re-login 14 14:41:42 3 CH MSG WARN No patches found 14 14:41:42 4 CH MSG ERROR Security Officer privilege timed out on command SHOW DEBUG. Please re-login 14 14:41:42 4 CH MSG ERROR Security Officer privilege timed out on command SHOW DEBUG. Please re-login 14 14:43:45 3 SSH SSH ACPT SSH connection from 172.31.255.254 accepted. User - sshmanager 14 14:43:52 3 CH MSG WARN No patches found ------------------------------------------------------------------------------- Temporary Log Date/Time S Mod Type SType Message ------------------------------------------------------------------------------- 14 12:33:42 3 LOG IGMP packet trapping is active for IGMP snooping, L3FILT is activated 14 12:33:42 3 LOG MLD Snooping is active, L3FILT is activated 14 12:33:42 4 USER USER ADD A new user smanager has been added to the user database 14 12:33:42 4 USER USER ADD A new user sshmanager has been added to the user database 14 12:33:42 3 SSH SSH ENBLD Secure Shell Server has been enabled. 14 12:33:42 3 SSH SSH ADD Secure Shell user sshmanager added. 14 12:33:42 4 ENCO ENCO STAC STAC SW Initialised 14 12:33:42 7 SYS REST NORM Router startup, ver 2.7.3-00, 03-Mar-2005, Clock Log: 12:33:06 on 14-Mar-2006 14 12:33:49 6 SWIT PINT UP Port25: interface is UP 14*12:33:59 4 SSH SSH RJCT SSH connection from 172.31.255.254 failed authentication due to invalid password. User - sshmanager 14 12:34:02 3 SSH SSH ACPT SSH connection from 172.31.255.254 accepted. User - sshmanager 14 13:33:42 3 SSH MSG INFO Started re-generation of SSH Server key 14 14:33:42 3 SSH MSG INFO Started re-generation of SSH Server key 14 14:35:39 3 SSH SSH ACPT SSH connection from 172.31.255.254 accepted. User - sshmanager 14 14:35:43 3 CH MSG WARN No patches found 14 14:35:48 4 CH MSG ERROR Unknown command "ecOff" 14 14:35:48 4 CH MSG ERROR Unknown command "HOW" 14 14:35:48 4 CH MSG ERROR Unknown command "witch" 14 14:35:48 4 CH MSG ERROR Unknown command "Board" 14 14:35:48 4 CH MSG ERROR Unknown command "--------------------..." 14 14:35:48 4 CH MSG ERROR Unknown command "Base" 14 14:35:48 4 CH MSG ERROR Unknown command "--------------------..." 14 14:35:48 4 CH MSG ERROR Unknown command "Memory" 14 14:35:48 4 CH MSG ERROR Unknown command "--------------------..." 14 14:35:48 4 CH MSG ERROR Unknown command "SysDescription" 14 14:35:48 4 CH MSG ERROR Unknown command "Allied" 14 14:35:48 4 CH MSG ERROR Unknown command "SysContact" 14 14:35:48 4 CH MSG ERROR Unknown command "SysLocation" 14 14:35:48 4 CH MSG ERROR Unknown command "SysName" 14 14:35:48 4 CH MSG ERROR Unknown command "Radio" 14 14:35:48 4 CH MSG ERROR Unknown command "SysDistName" 14 14:35:48 4 CH MSG ERROR Unknown command "SysUpTime" 14 14:41:42 4 CH MSG ERROR Security Officer privilege timed out on command SHOW DEBUG. Please re-login 14 14:41:42 3 CH MSG WARN No patches found 14 14:41:42 4 CH MSG ERROR Security Officer privilege timed out on command SHOW DEBUG. Please re-login 14 14:41:42 4 CH MSG ERROR Security Officer privilege timed out on command SHOW DEBUG. Please re-login 14 14:43:45 3 SSH SSH ACPT SSH connection from 172.31.255.254 accepted. User - sshmanager 14 14:43:52 3 CH MSG WARN No patches found ------------------------------------------------------------------------------- SHOW EXCEPTION Spurious interrupts = 0 Switch exception list is empty ------------------------------------------------------ This is a PRODUCTION version of code ------------------------------------------------------ Switch hardware reset occurred - no debug info SHOW FFILE CHECK module name type size file date & time address check ----------------------------------------------------------------------------- boot cfg 2912 03-Mar-2006 18:53:56 71442F20 Good hwf cfg 649 14-Mar-2006 12:22:14 71447E28 Good main8824 cfg 6009 14-Mar-2006 12:33:37 7144977C Good ospf cfg 735 07-Mar-2006 17:47:21 7144412C Good 88-273a hlp 184304 07-Oct-2005 17:44:03 710EDDCC Good config ins 32 13-Mar-2006 13:03:29 71445824 Good prefer ins 64 07-Oct-2005 17:44:09 71442E38 Good longname lfn 17 13-Mar-2006 19:43:16 71445884 Good feature lic 39 07-Oct-2005 17:44:55 71442EB8 Good d8824e16 rsc 3309466 07-Oct-2005 17:44:08 7111ADFC Good enabled sec 8 03-Mar-2006 19:03:29 71443AC0 Good enc0 ukf 1508 03-Mar-2006 19:04:31 71443B08 Good enc1 ukf 1528 14-Mar-2006 14:33:49 7144B570 Good inst release lic 32 07-Oct-2005 17:44:08 71442DD8 Good load 86273-02 rez 4119808 07-Oct-2005 17:43:16 70D0008C Good ----------------------------------------------------------------------------- flash use: files ...... 7628224 bytes (15 files) garbage .... 21992 bytes free ....... 24724568 bytes block size . 131072 bytes total ...... 32505856 bytes ----------------------------------------------------------------------------- SecOff Radio> Вставить ник Quote
Mancubus Posted March 14, 2006 Posted March 14, 2006 А почему бы Вам не попробывать Private Vlan. Если не получяеться с фильтрами? Кстати я помню, что у меня какая-то засада была с ID. Попробуйте create class=1 prot="ip" ipsa=10.76.96.0/19 ipda=10.76.96.0/19 create class=2 prot="ip" ipsa=10.76.64.0/19 ipda=10.76.32.0/19 create class=3 prot="ip" ipsa=10.76.64.0/19 ipda=10.76.96.0/19 create class=4 prot="ip" ipsa=10.76.96.0/19 ipda=10.76.32.0/19 create class=5 prot="ip" ipsa=10.76.96.0/19 ipda=10.76.64.0/19 create class=6 prot="ip" ipsa=10.76.32.0/19 ipda=10.76.64.0/19 create class=7 prot="ip" ipda=10.0.0.1/19 # # SWITCH (post-VLAN) configuration # add switch hwf class=1 ac=dis add switch hwf class=2 ac=dis add switch hwf class=3 ac=dis add switch hwf class=4 ac=dis add switch hwf class=5 ac=dis add switch hwf class=6 ac=dis add switch hwf class=7 ac=for Вставить ник Quote
~Ворожейкин~ Posted March 14, 2006 Author Posted March 14, 2006 2 Mancubus Спасибо большое, но. НЕ РАБОТАЕТ.:) Private VLAN не нужна по логике работы данного коммутатЕра. Начинаю грешить на встроенное ПО... Вставить ник Quote
Mancubus Posted March 14, 2006 Posted March 14, 2006 ~Ворожейкин~, пора звонить в саппорт =) Вставить ник Quote
_Daemon_ Posted March 14, 2006 Posted March 14, 2006 Ну во первых надо начать с того, что поменять прошивку на версию 2.7.6 во вторых не совсем понял смысл параметра prot="ip" имхо он вообще тут не нужен, но в принципе влиять не должен. Как поменяете прошивку - напишите. Вставить ник Quote
~Ворожейкин~ Posted March 14, 2006 Author Posted March 14, 2006 2Daemon prot="ip" вставляет сам коммутатЕр:) Скрипт пишу без этой хрени. Оно появляется само при просмотре конфига.:) Вставить ник Quote
ayamb Posted March 14, 2006 Posted March 14, 2006 Представленные в теме фильтры уникальны! Они уникальны тем, что из них нет ни одного рабочего! :) create class=10 ipdaddr=10.0.0.1/19 create class=32 ipsaddr=10.76.32.0/19 create class=64 ipsaddr=10.76.64.0/19 create class=96 ipsaddr=10.76.96.0/19 add swi hwf class=10 ac=for add swi hwf class=32 ac=deny add swi hwf class=64 ac=deny add swi hwf class=96 ac=deny Первый классификатор (10), в силу своей некорректности, пристегнувшись к hwf, позволит ему пропустить весь трафик. ipdaddr=10.0.0.1/19 add ip filter=1 so=10.76.32.0 sm=255.255.224.0 des=10.0.0.1 dm=255.255.224.0 ac=include add ip filter=1 so=10.0.0.1 sm=255.255.224.0 des=10.76.32.0 dm=255.255.224.0 ac=include add ip filter=2 so=10.76.64.0 sm=255.255.224.0 des=10.0.0.1 dm=255.255.224.0 ac=include add ip filter=2 so=10.0.0.1 sm=255.255.224.0 des=10.76.64.0 dm=255.255.224.0 ac=include add ip filter=3 so=10.76.96.0 sm=255.255.224.0 des=10.0.0.1 dm=255.255.224.0 ac=include add ip filter=3 so=10.0.0.1 sm=255.255.224.0 des=10.76.96.0 dm=255.255.224.0 ac=include Здесь вообще нет корректных строк. Значит все фильтры пусты. so=10.0.0.1 sm=255.255.224.0 , des=10.0.0.1 dm=255.255.224.0 P.S. И мне, при конфигурировании бабаек, приходится суетливо пользоваться моментом, пока еще хотя бы такие диапазоны в природе встречаются: so=10.0.0.0 sm=255.255.224.0... Хотя с каждым новым релизом софта, со страхом ожидаю,.. - а вдруг внезапно закончатся?! :) А с выходом в свет хх276-01.rez, чуть удар не хватил! Но обошлось,.. хотя было очень тяжело,.. и по другому поводу... Как феникс подымался (я не говорю, что вставал)... прямо из пепла... (или из сугроба... блин, не помню нихрена)... Но это уже совсем другая история. :) Вставить ник Quote
T_Igor Posted March 15, 2006 Posted March 15, 2006 В каком виде генерировать public key для доступа по ssh на Linuxe что бы по формату совпадал с AT-8824? Вставить ник Quote
ayamb Posted March 15, 2006 Posted March 15, 2006 Сгенерируй "пару" на AT-8824. "Публичную часть" возьми для Linux уже в готовом виде. Вставить ник Quote
T_Igor Posted March 15, 2006 Posted March 15, 2006 Извините, у меня задача что-бы программа на Linuxе могла управлять AT-8824 по ssh, видать неправильно сформулировал. Тот публичный ключ который генерю на Linuxе, AT-8824 отпинывает с руганью на неправильный формат. Публичные ключи при сравнении сильно отличаются. Вставить ник Quote
Mancubus Posted March 15, 2006 Posted March 15, 2006 Простите, а зачем нужно так делать? Просто я свободно захожу на наши AT безо всяких ключей, т.е. он автоматом "приходит" ко мне при установлении сессии ssh. На самой железке ключи генерил, 1024 и 768. Вставить ник Quote
T_Igor Posted March 15, 2006 Posted March 15, 2006 Что-бы не заморачиватся каждый раз с авторизацией. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.