[~Ворожейкин~]

Тема тут уже поднималась. Тем не менее...

Задача та же - три VLAN, три интерфейса:

10.76.32.1/19

10.76.64.1/19

10.76.96.1/19

на которых сидят абоненты.

Есть маршрут к серверу доступа 10.0.0.1

Абоненты видят друг друга благодаря существованию маршрутов немедленно по созданию интерфейсов. ЕСтественно , это безобразие нужно ликвидировать.

Ликвидируем с помощью аппаратных фильтров:

 

create class=10 ipdaddr=10.0.0.1/19

create class=32 ipsaddr=10.76.32.0/19

create class=64 ipsaddr=10.76.64.0/19

create class=96 ipsaddr=10.76.96.0/19

 

add swi hwf class=10 ac=for

add swi hwf class=32 ac=deny

add swi hwf class=64 ac=deny

add swi hwf class=96 ac=deny

 

не работает. пинги между интерфейсами идут.

 

пробую сложнее - добавляю в классификатор пару "адрес источника - адрес приемника"

 

create class=3264 ipdaddr=10.76.32.0/19 ipsaddr=10.76.64.0/19

....

....

add swi hwf class=3264 ac=deny

 

не работает. пинги между интерфейсами идут.

 

пробую IP фильтры:

 

add ip filter=1 so=10.76.32.0 sm=255.255.224.0 des=10.0.0.1 dm=255.255.224.0 ac=include

add ip filter=1 so=10.0.0.1 sm=255.255.224.0 des=10.76.32.0 dm=255.255.224.0 ac=include

 

add ip filter=2 so=10.76.64.0 sm=255.255.224.0 des=10.0.0.1 dm=255.255.224.0 ac=include

add ip filter=2 so=10.0.0.1 sm=255.255.224.0 des=10.76.64.0 dm=255.255.224.0 ac=include

 

add ip filter=3 so=10.76.96.0 sm=255.255.224.0 des=10.0.0.1 dm=255.255.224.0 ac=include

add ip filter=3 so=10.0.0.1 sm=255.255.224.0 des=10.76.96.0 dm=255.255.224.0 ac=include

 

set ip int=vlan130 ipaddr=10.76.32.1 mask=255.255.224.0 filter=1

set ip int=vlan131 ipaddr=10.76.64.1 mask=255.255.224.0 filter=2

set ip int=vlan132 ipaddr=10.76.96.1 mask=255.255.224.0 filter=3

 

будете смеяться - не работает. пинги между интерфейсами идут.

 

В чем дело? Где я что не так сделал?

 

Спасибо.

[Mancubus]

Rapier48_MTC> add swi l3f ma=dip dc=c

Rapier48_MTC> add swi l3f=6 ent dip=10.10.125.0 ac=deny

Это вре реализовано на рапиер48, показываю на l3f, т.к. HW фильтра не работают. Изначально нужно запрещять не SA, а DA это ж вроде логически верно =) Что пакет нужно запрещять с адресом назначения.

Если не работают HW фильтра, то попробуйте с l3f. Ещё есть такая фишка ip rou fil, можете в докуметации её найти.

Только я вот не знаю есть ли l3f в 88хх

[_Daemon_]

Хм странно, вроде логически всё верно, сам также закрывал на 8948 и всё работало. Дайте sh debug в студию, раздел, где описаны эти правила.

 

А заодно и sh sys, может на 88 серии надо лицензию для всего этого? :)

[~Ворожейкин~]

2 Mancubus:

 

L3 фильтры есть.

настроил в качестве теста так:

 

add swi l3f ma=dip,sip dc=c sc=c

add swi l3f=1 ent ac=deny dip=10.76.32.0 sip=10.76.64.0

 

как говорил классик, получаем "старинную индейскую избу" .

То есть ping запросто ходит с 10.76.64.1 непосредственно до 10.76.32.1...

 

причем фильтры работают. настроил покривее относительно dip=10.0.0.1 - пинг на этот адрес пропал.

 

 

2 Daemon:

а как по выводимой информации по данным командам определить, нужна лицензия или нет?

[_Daemon_]

2 Mancubus:

 

2 Daemon:

а как по выводимой информации по данным командам определить, нужна лицензия или нет?

 

По первой команде видно как составлены фильтры в целом, по второй видно на что действует лицензия.

[Mancubus]

add swi l3f ma=dip,sip dc=c sc=c

add swi l3f=1 ent ac=deny dip=10.76.32.0 sip=10.76.64.0

читать умеем? =))

нужен только dip, dc в вашем случяе "B"

[_Daemon_]

Да всё должно великолепно хардвар фильтрами закрываться, неслушайте Вы никого :) sh debug в студию, зачем загружать камень фильтрами 3 уровня? (хотя саппорт уверяет, что они тоже не грузят камень :) ) Проще конечно позвонить в саппорт, но там первое, что с Вас спросят sh debug и будут правы :)

[Mancubus]

l3f ещё как грузят камень.

Я привёл l3f только для чистоты эксперимента =)

[Умник]

l3f, несмотря на страшное название, тоже работают в HW. А вот ip filter - действительно отрабатывает CPU.

[Mancubus]

Умник, откуда информация?

HW реализовану у алиеда на Асиках, а остальные фильтра работают ч-з ЦП

[Умник]

swi-rp.pdf, описание для "ADD SWITCH L3FILTER MATCH":

This command adds a filter that specifies which matching filter criteria will be used for the hardware-based packet filtering mechanism.

- и из практитки известно, что они действительно не грузят CPU. В отличие от ip filter: использовать его на портах с плотным трафиком - самоубийство.

[Mancubus]

Умник, Точно, нашёл. =)

Но из своего опыта скажу следующее, что при использовании hw фильтров и l3f разница чувствуется. Об этом уже где-то в постах писал.

[~Ворожейкин~]

Да всё должно великолепно хардвар фильтрами закрываться, неслушайте Вы никого :) sh debug в студию

 

Вот результат SHOW DEBUG:

Настроены hwf фильтры

 

 

 

SecOff Radio> show debug

 

SHOW SYSTEM

 

Switch System Status Time 14:44:00 Date 14-Mar-2006.

Board ID Bay Board Name Host Id Rev Serial number

--------------------------------------------------------------------------------

Base 133 AT-8824 0 M3-0 63773292

--------------------------------------------------------------------------------

Memory - DRAM : 65536 kB FLASH : 32768 kB

--------------------------------------------------------------------------------

SysDescription

Allied Telesyn AT-8824 version 2.7.3-02 29-Apr-2005

SysContact

 

SysLocation

 

SysName

Radio

SysDistName

 

SysUpTime

781088 ( 02:10:10 )

Boot Image : rmb107.fbr size 507140 07-Oct-2005

Software Version: 2.7.3-02 29-Apr-2005

Release Version : 2.7.3-00 03-Mar-2005

Patch Installed : NONE

Territory : europe

Country : none

Help File : 88-273a.hlp

 

Main PSU : On

RPS Monitor : Off

 

Current Temperature : Normal

 

Fan Status

---------------

1 Normal

2 Normal

3 Normal

4 Normal

---------------

 

Configuration

Boot configuration file: flash:main8824.cfg (exists)

 

Current configuration: flash:main8824.cfg

 

Security Mode : Enabled

 

Warning (2048284): No patches found.

 

SHOW FILES

 

Filename Device Size Created Locks

-------------------------------------------------------------------------

86273-02.rez flash 4119808 07-Oct-2005 17:43:16 0

88-273a.hlp flash 184304 07-Oct-2005 17:44:03 0

boot.cfg flash 2912 03-Mar-2006 18:53:56 0

config.ins flash 32 13-Mar-2006 13:03:29 0

d8824e16.rsc flash 3309466 07-Oct-2005 17:44:08 1

enabled.sec flash 8 03-Mar-2006 19:03:29 0

enc0.ukf flash 1508 03-Mar-2006 19:04:31 0

enc1.ukf flash 1528 14-Mar-2006 14:33:49 0

feature.lic flash 39 07-Oct-2005 17:44:55 0

hwf.cfg flash 649 14-Mar-2006 12:22:14 0

longname.lfn flash 17 13-Mar-2006 19:43:16 0

main8824.cfg flash 6009 14-Mar-2006 12:33:37 0

ospf.cfg flash 735 07-Mar-2006 17:47:21 0

prefer.ins flash 64 07-Oct-2005 17:44:09 0

release.lic flash 32 07-Oct-2005 17:44:08 0

accsave.acc nvs 124 14-Mar-2006 12:33:49 0

config.ins nvs 32 13-Mar-2006 13:00:26 0

enabled.sec nvs 8 03-Mar-2006 19:03:29 0

gui.ins nvs 64 07-Oct-2005 17:44:52 0

random.rnd nvs 3904 14-Mar-2006 12:53:49 0

-------------------------------------------------------------------------

 

SHOW INSTALL

 

SHOW INSTALL

 

Install Release Patch GUI

-------------------------------------------------------------------------

Temporary - - -

Preferred flash:86273-02.rez - d8824e16.rsc

Default EPROM (86-1.0.7) - -

-------------------------------------------------------------------------

 

Current install

-------------------------------------------------------------------------

Preferred flash:86273-02.rez - d8824e16.rsc

-------------------------------------------------------------------------

 

Install history

-------------------------------------------------------------------------

No Temporary release selected

Preferred release selected

Preferred release successfully installed

-------------------------------------------------------------------------

 

SHOW FEATURE LICENCE

 

The Special Feature Licences:

 

 

Index FeatureName Licence Period

-------------------------------------------------------------------

1 factory full -

-------------------------------------------------------------------

 

 

The current valid features :

 

Secure Shell

App. Gateway

ISAKMP

PKI

SSL

 

SHOW RELEASE LICENCE

 

Release Licence Period

-------------------------------------------------------------------

flash:load86273-02.rez full -

-------------------------------------------------------------------

 

SHOW CONFIGURATION DYNAMIC

 

#

# SYSTEM configuration

#

set help=88-273a.hlp

set system name="Radio"

#

# USER configuration

#

set user=manager pass=3af00c6cad11f7ab5db4467b66ce503eff priv=manager lo=yes

set user=manager telnet=yes desc="Manager Account"

add user=smanager pass=1d330a28c7521965892179abda5c0078ff priv=securityOfficer lo=yes

set user=smanager telnet=no netmask=255.255.255.255

add user=sshmanager pass=e10adc3949ba59abbe56e057f20f883eff priv=securityOfficer lo=yes

set user=sshmanager telnet=no netmask=255.255.255.255

 

#

# SWITCH (pre-VLAN) configuration

#

disable switch port=4-23,26

 

#

# VLAN general configuration

#

create vlan="Uplink2" vid=129

create vlan="ClientVLAN1" vid=130

create vlan="ClientVLAN2" vid=131

create vlan="ClientVLAN3" vid=132

create vlan="CashDesk6" vid=153

 

#

# VLAN port configuration

#

add vlan="129" port=25 frame=tagged

add vlan="130" port=1 frame=tagged

add vlan="131" port=2 frame=tagged

add vlan="132" port=3 frame=tagged

add vlan="153" port=24 frame=tagged

 

#

# CLASSIFIER general configuration

#

create class=10 prot="ip" ipda=10.0.0.1/19

create class=3264 prot="ip" ipsa=10.76.32.0/19 ipda=10.76.64.0/19

create class=3296 prot="ip" ipsa=10.76.96.0/19 ipda=10.76.96.0/19

create class=6432 prot="ip" ipsa=10.76.64.0/19 ipda=10.76.32.0/19

create class=6496 prot="ip" ipsa=10.76.64.0/19 ipda=10.76.96.0/19

create class=9632 prot="ip" ipsa=10.76.96.0/19 ipda=10.76.32.0/19

create class=9664 prot="ip" ipsa=10.76.96.0/19 ipda=10.76.64.0/19

 

 

#

# SWITCH (post-VLAN) configuration

#

add switch hwf class=10 ac=for

add switch hwf class=3264 ac=dis

add switch hwf class=3296 ac=dis

add switch hwf class=6432 ac=dis

add switch hwf class=6496 ac=dis

add switch hwf class=9632 ac=dis

add switch hwf class=9664 ac=dis

 

#

# IP configuration

#

enable ip

add ip int=vlan1 ip=172.31.255.6 mask=255.255.255.0

add ip int=vlan129 ip=10.76.0.2 mask=255.255.224.0 ospf=1

add ip int=vlan130 ip=10.76.32.1 mask=255.255.224.0 ospf=1

add ip int=vlan131 ip=10.76.64.1 mask=255.255.224.0 ospf=1

add ip int=vlan132 ip=10.76.96.1 mask=255.255.224.0 ospf=1

add ip rou=0.0.0.0 mask=0.0.0.0 int=vlan129 next=10.76.0.1

add ip rou=10.0.0.0 mask=255.255.224.0 int=vlan129 next=10.76.0.1

 

 

# OSPF configuration

set ospf routerid=172.31.255.6

add ospf area=backbone stubarea=off summary=send

add ospf area=0.0.0.3

add ospf range=10.68.0.0 area=backbone mask=255.255.224.0

add ospf range=10.72.0.0 area=backbone mask=255.255.224.0

add ospf range=10.76.0.0 area=backbone mask=255.255.224.0

add ospf range=10.76.32.0 area=0.0.0.3 mask=255.255.224.0

add ospf range=10.76.64.0 area=0.0.0.3 mask=255.255.224.0

add ospf range=10.76.96.0 area=0.0.0.3 mask=255.255.224.0

add ospf stub=10.76.32.0 mask=255.255.224.0

add ospf stub=10.76.64.0 mask=255.255.224.0

add ospf stub=10.76.96.0 mask=255.255.224.0

add ospf interface=vlan129 area=backbone

add ospf interface=vlan130 area=0.0.0.3

add ospf interface=vlan131 area=0.0.0.3

add ospf interface=vlan132 area=0.0.0.3

enable ospf

 

#

# Secure Shell configuration

#

enable ssh server serverkey=1 hostkey=0 expirytime=1 logintimeout=600

add ssh user=sshmanager password=ECE0F9548A6BE88BC7596E8741D17BD0 ipaddress=172.31.255.0 mask=255.255.255.0

 

 

SHOW BUFFER SCAN

 

Scan of buffers in use

 

007067b0 33 00706800 6 00706948 43 003f5f9c 1

000d2fa0 1 00217064 1 0066208c 1 00663c4c 1

007009fc 38 00701e5c 34 0057e1f0 27 00701da4 1

003b8c3c 1 003b8c70 1 003b8e98 1 0004f5e4 1

00115d2c 1 00153788 4 0016d9e4 1 0016db24 1

006fa4b0 1 006fa4c8 6 00598b9c 1 006699b0 1

0064a348 1 0064a6d8 1 0064a6e8 1 006fdffc 1

0077a61c 1 00702d8c 1 00702cf8 2 004f57ec 1

004f5800 1 004f5814 1 004f5794 1 006afa0c 26

006afb18 1 0049d73c 1 006d4b80 1 0070cef8 89

002a2984 1 00279c74 572 003bca5c 6 00314ff0 286

003100ec 1 0030ffdc 1 007197e0 1 00698bd8 2

00702d20 10 007149f4 14 006ddd88 1 006ddd98 1

000d7e18 1 000d7bf8 1 000d7c6c 1 002f9424 1

002f9610 1 002f40cc 1 001f90f0 3 001f97bc 38

001f91dc 11 001f9470 188 001f94b8 60 001f95a0 1

00706848 4 001f95e0 1 001f8f34 3 001f8dcc 16

0016cbc0 1 001f9308 4 001f935c 1 0016cd80 1

001ec0f4 1 001f4ca8 1 001f4cb8 1 001f4cc8 1

001f4cd8 1 001f4ce8 1 005e8994 1 005e8aac 1

0060aee0 1 001e08c0 1 005e83e0 7 005e83c8 1

005e83b0 1 005e841c 2 003e5a80 26 003e5a98 6

001db428 52 0073db68 1 00640348 3 007303ac 1

005ec880 1 00737d50 1 007313dc 1 007316a0 1

001e6e18 1 0029c5b0 1 003327c4 1 0071669c 1

007166c4 1 0054a1d4 1 00701cd4 1 0005b6f0 1

0005e050 1 0005d90c 1 004b08d4 13 004ad868 1

0035cbd8 1 00364d70 7 0036138c 1 000be220 2

0062fcfc 3 0066e0f0 1 0066df38 1 000be4b8 1

002a2b9c 1 0029c1c8 1 002c2e58 3 0028c608 1

002c112c 1 002c0c10 1 0026ee24 1 0040e5d4 1

0040e604 1 003ff714 1 005b2d98 1 005b0768 1

00261c58 1 0027a684 1 002993d0 1 00297930 1

003ff6f0 8 00473fbc 1 00473fe4 1 002c16c8 1

0064ce10 62 00698c20 1 00698c18 1 005b2af8 1

001285a0 1 001246b0 1 001294f8 1 006d37d0 1

000dfd20 1 000dfcc8 1 006d1f98 1 006d07bc 1

0070f4d4 1 00697e44 1 0069ed50 1

 

Total buffers in use - 1831

Entries - 151

 

Scan of fast buffers in use

 

 

Total fast buffers in use - 0

 

Entries - 0

 

Memory ( DRAM ) .......... 65536 kB

Free Memory .............. 76 %

Free fast buffers ........ 0

Total fast buffers ....... 0

Free buffers ............. 24802

Total buffers ............ 26635

Buffer level 3 ........... 125 (don't process input frames)

Buffer level 2 ........... 250 (don't do monitor or command output)

Buffer level 1 ........... 500 (don't buffer up log messages)

 

SHOW CPU

 

CPU Utilisation ( as a percentage )

----------------------------------------

Maximum since router restarted ..... 100

Maximum over last 5 minutes ........ 100

Average since router restarted ..... 2

Average over last 5 minutes ........ 5

Average over last minute ........... 1

Average over last 10 seconds ....... 1

Average over last second ........... 2

----------------------------------------

 

SHOW LOG

 

 

Permanent Log

 

Date/Time S Mod Type SType Message

-------------------------------------------------------------------------------

14 14:35:48 4 CH MSG ERROR Unknown command "Board"

14 14:35:48 4 CH MSG ERROR Unknown command "--------------------..."

14 14:35:48 4 CH MSG ERROR Unknown command "Base"

14 14:35:48 4 CH MSG ERROR Unknown command "--------------------..."

14 14:35:48 4 CH MSG ERROR Unknown command "Memory"

14 14:35:48 4 CH MSG ERROR Unknown command "--------------------..."

14 14:35:48 4 CH MSG ERROR Unknown command "SysDescription"

14 14:35:48 4 CH MSG ERROR Unknown command "Allied"

14 14:35:48 4 CH MSG ERROR Unknown command "SysContact"

14 14:35:48 4 CH MSG ERROR Unknown command "SysLocation"

14 14:35:48 4 CH MSG ERROR Unknown command "SysName"

14 14:35:48 4 CH MSG ERROR Unknown command "Radio"

14 14:35:48 4 CH MSG ERROR Unknown command "SysDistName"

14 14:35:48 4 CH MSG ERROR Unknown command "SysUpTime"

14 14:41:42 4 CH MSG ERROR Security Officer privilege timed out on command

SHOW DEBUG. Please re-login

14 14:41:42 3 CH MSG WARN No patches found

14 14:41:42 4 CH MSG ERROR Security Officer privilege timed out on command

SHOW DEBUG. Please re-login

14 14:41:42 4 CH MSG ERROR Security Officer privilege timed out on command

SHOW DEBUG. Please re-login

14 14:43:45 3 SSH SSH ACPT SSH connection from 172.31.255.254 accepted.

User - sshmanager

14 14:43:52 3 CH MSG WARN No patches found

-------------------------------------------------------------------------------

 

 

Temporary Log

 

Date/Time S Mod Type SType Message

-------------------------------------------------------------------------------

14 12:33:42 3 LOG IGMP packet trapping is active for IGMP

snooping, L3FILT is activated

14 12:33:42 3 LOG MLD Snooping is active, L3FILT is activated

14 12:33:42 4 USER USER ADD A new user smanager has been added to the user

database

14 12:33:42 4 USER USER ADD A new user sshmanager has been added to the user

database

14 12:33:42 3 SSH SSH ENBLD Secure Shell Server has been enabled.

14 12:33:42 3 SSH SSH ADD Secure Shell user sshmanager added.

14 12:33:42 4 ENCO ENCO STAC STAC SW Initialised

14 12:33:42 7 SYS REST NORM Router startup, ver 2.7.3-00, 03-Mar-2005, Clock

Log: 12:33:06 on 14-Mar-2006

14 12:33:49 6 SWIT PINT UP Port25: interface is UP

14*12:33:59 4 SSH SSH RJCT SSH connection from 172.31.255.254 failed

authentication due to invalid password. User -

sshmanager

14 12:34:02 3 SSH SSH ACPT SSH connection from 172.31.255.254 accepted.

User - sshmanager

14 13:33:42 3 SSH MSG INFO Started re-generation of SSH Server key

14 14:33:42 3 SSH MSG INFO Started re-generation of SSH Server key

14 14:35:39 3 SSH SSH ACPT SSH connection from 172.31.255.254 accepted.

User - sshmanager

14 14:35:43 3 CH MSG WARN No patches found

14 14:35:48 4 CH MSG ERROR Unknown command "ecOff"

14 14:35:48 4 CH MSG ERROR Unknown command "HOW"

14 14:35:48 4 CH MSG ERROR Unknown command "witch"

14 14:35:48 4 CH MSG ERROR Unknown command "Board"

14 14:35:48 4 CH MSG ERROR Unknown command "--------------------..."

14 14:35:48 4 CH MSG ERROR Unknown command "Base"

14 14:35:48 4 CH MSG ERROR Unknown command "--------------------..."

14 14:35:48 4 CH MSG ERROR Unknown command "Memory"

14 14:35:48 4 CH MSG ERROR Unknown command "--------------------..."

14 14:35:48 4 CH MSG ERROR Unknown command "SysDescription"

14 14:35:48 4 CH MSG ERROR Unknown command "Allied"

14 14:35:48 4 CH MSG ERROR Unknown command "SysContact"

14 14:35:48 4 CH MSG ERROR Unknown command "SysLocation"

14 14:35:48 4 CH MSG ERROR Unknown command "SysName"

14 14:35:48 4 CH MSG ERROR Unknown command "Radio"

14 14:35:48 4 CH MSG ERROR Unknown command "SysDistName"

14 14:35:48 4 CH MSG ERROR Unknown command "SysUpTime"

14 14:41:42 4 CH MSG ERROR Security Officer privilege timed out on command

SHOW DEBUG. Please re-login

14 14:41:42 3 CH MSG WARN No patches found

14 14:41:42 4 CH MSG ERROR Security Officer privilege timed out on command

SHOW DEBUG. Please re-login

14 14:41:42 4 CH MSG ERROR Security Officer privilege timed out on command

SHOW DEBUG. Please re-login

14 14:43:45 3 SSH SSH ACPT SSH connection from 172.31.255.254 accepted.

User - sshmanager

14 14:43:52 3 CH MSG WARN No patches found

-------------------------------------------------------------------------------

 

SHOW EXCEPTION

 

Spurious interrupts = 0

 

Switch exception list is empty

------------------------------------------------------

This is a PRODUCTION version of code

------------------------------------------------------

 

Switch hardware reset occurred - no debug info

 

SHOW FFILE CHECK

module name type size file date & time address check

-----------------------------------------------------------------------------

boot cfg 2912 03-Mar-2006 18:53:56 71442F20 Good

hwf cfg 649 14-Mar-2006 12:22:14 71447E28 Good

main8824 cfg 6009 14-Mar-2006 12:33:37 7144977C Good

ospf cfg 735 07-Mar-2006 17:47:21 7144412C Good

88-273a hlp 184304 07-Oct-2005 17:44:03 710EDDCC Good

config ins 32 13-Mar-2006 13:03:29 71445824 Good

prefer ins 64 07-Oct-2005 17:44:09 71442E38 Good

longname lfn 17 13-Mar-2006 19:43:16 71445884 Good

feature lic 39 07-Oct-2005 17:44:55 71442EB8 Good

d8824e16 rsc 3309466 07-Oct-2005 17:44:08 7111ADFC Good

enabled sec 8 03-Mar-2006 19:03:29 71443AC0 Good

enc0 ukf 1508 03-Mar-2006 19:04:31 71443B08 Good

enc1 ukf 1528 14-Mar-2006 14:33:49 7144B570 Good

inst release lic 32 07-Oct-2005 17:44:08 71442DD8 Good

load 86273-02 rez 4119808 07-Oct-2005 17:43:16 70D0008C Good

 

-----------------------------------------------------------------------------

flash use:

files ...... 7628224 bytes (15 files)

garbage .... 21992 bytes

free ....... 24724568 bytes

block size . 131072 bytes

total ...... 32505856 bytes

-----------------------------------------------------------------------------

 

SecOff Radio>

[Mancubus]

А почему бы Вам не попробывать Private Vlan. Если не получяеться с фильтрами?

Кстати я помню, что у меня какая-то засада была с ID. Попробуйте

create class=1 prot="ip" ipsa=10.76.96.0/19 ipda=10.76.96.0/19

create class=2 prot="ip" ipsa=10.76.64.0/19 ipda=10.76.32.0/19

create class=3 prot="ip" ipsa=10.76.64.0/19 ipda=10.76.96.0/19

create class=4 prot="ip" ipsa=10.76.96.0/19 ipda=10.76.32.0/19

create class=5 prot="ip" ipsa=10.76.96.0/19 ipda=10.76.64.0/19

create class=6 prot="ip" ipsa=10.76.32.0/19 ipda=10.76.64.0/19

create class=7 prot="ip" ipda=10.0.0.1/19

#

# SWITCH (post-VLAN) configuration

#

add switch hwf class=1 ac=dis

add switch hwf class=2 ac=dis

add switch hwf class=3 ac=dis

add switch hwf class=4 ac=dis

add switch hwf class=5 ac=dis

add switch hwf class=6 ac=dis

add switch hwf class=7 ac=for

[~Ворожейкин~]

2 Mancubus

 

Спасибо большое, но. НЕ РАБОТАЕТ.:)

 

Private VLAN не нужна по логике работы данного коммутатЕра.

 

Начинаю грешить на встроенное ПО...

[Mancubus]

~Ворожейкин~, пора звонить в саппорт =)

[_Daemon_]

Ну во первых надо начать с того, что поменять прошивку на версию 2.7.6

 

во вторых не совсем понял смысл параметра prot="ip" имхо он вообще тут не нужен, но в принципе влиять не должен.

 

Как поменяете прошивку - напишите.

[~Ворожейкин~]

2Daemon

 

prot="ip" вставляет сам коммутатЕр:)

Скрипт пишу без этой хрени. Оно появляется само при просмотре конфига.:)

[ayamb]

Представленные в теме фильтры уникальны! Они уникальны тем, что из них нет ни одного рабочего! :)

create class=10 ipdaddr=10.0.0.1/19

create class=32 ipsaddr=10.76.32.0/19

create class=64 ipsaddr=10.76.64.0/19

create class=96 ipsaddr=10.76.96.0/19

add swi hwf class=10 ac=for

add swi hwf class=32 ac=deny

add swi hwf class=64 ac=deny

add swi hwf class=96 ac=deny

Первый классификатор (10), в силу своей некорректности, пристегнувшись к hwf, позволит ему пропустить весь трафик. ipdaddr=10.0.0.1/19

add ip filter=1 so=10.76.32.0 sm=255.255.224.0 des=10.0.0.1 dm=255.255.224.0 ac=include

add ip filter=1 so=10.0.0.1 sm=255.255.224.0 des=10.76.32.0 dm=255.255.224.0 ac=include

add ip filter=2 so=10.76.64.0 sm=255.255.224.0 des=10.0.0.1 dm=255.255.224.0 ac=include

add ip filter=2 so=10.0.0.1 sm=255.255.224.0 des=10.76.64.0 dm=255.255.224.0 ac=include

add ip filter=3 so=10.76.96.0 sm=255.255.224.0 des=10.0.0.1 dm=255.255.224.0 ac=include

add ip filter=3 so=10.0.0.1 sm=255.255.224.0 des=10.76.96.0 dm=255.255.224.0 ac=include

Здесь вообще нет корректных строк. Значит все фильтры пусты. so=10.0.0.1 sm=255.255.224.0 , des=10.0.0.1 dm=255.255.224.0

 

P.S. И мне, при конфигурировании бабаек, приходится суетливо пользоваться моментом, пока еще хотя бы такие диапазоны в природе встречаются: so=10.0.0.0 sm=255.255.224.0... Хотя с каждым новым релизом софта, со страхом ожидаю,.. - а вдруг внезапно закончатся?! :) А с выходом в свет хх276-01.rez, чуть удар не хватил! Но обошлось,.. хотя было очень тяжело,.. и по другому поводу... Как феникс подымался (я не говорю, что вставал)... прямо из пепла... (или из сугроба... блин, не помню нихрена)... Но это уже совсем другая история. :)

[T_Igor]

В каком виде генерировать public key для доступа по ssh на Linuxe что бы по формату совпадал с AT-8824?

[ayamb]

Сгенерируй "пару" на AT-8824. "Публичную часть" возьми для Linux уже в готовом виде.

[T_Igor]

Извините, у меня задача что-бы программа на Linuxе могла управлять AT-8824 по ssh, видать неправильно сформулировал. Тот публичный ключ который генерю на Linuxе, AT-8824 отпинывает с руганью на неправильный формат.

Публичные ключи при сравнении сильно отличаются.

[Mancubus]

Простите, а зачем нужно так делать?

Просто я свободно захожу на наши AT безо всяких ключей, т.е. он автоматом "приходит" ко мне при установлении сессии ssh. На самой железке ключи генерил, 1024 и 768.

[T_Igor]

Что-бы не заморачиватся каждый раз с авторизацией.

[Mancubus]

A snmp не устраивает?