[ayamb]

Тот публичный ключ который генерю на Linuxе, AT-8824 отпинывает с руганью на неправильный формат.

Если не хочешь "мучать" 8824... "мучай" Linux :)

To assign RSA authentication

Create an RSA public key for the user. This RSA public key must be the public part of the RSA private key that the user sends when opening the SSH session. To create the public key on the server you must: Create the public key file. This can be done in a number of ways by using a variety of SSH client programs. It can also be done on the switch. In this example, we are creating the public key on the client. (The remote client Linux in this example is called the server switch.) First, create a private key on the client. The length of the key is flexible, it does not have to be 768 bits. Then, from the private key, create a public key in a file. The file name must have a .key extension. Once the key file has been created, it can be loaded to server switch.

>loa met=tf se=x.x.x.x fil=user.key

Create an ENCO key from this file on the server switch:

>cre enco key=0 typ=rsa fil=user.key for=ssh.

Now that the public key is created on the server, it is possible to create the SSH user:

>add ssh user=T_Igor key=0

[~Ворожейкин~]

P.S. И мне, при конфигурировании бабаек, приходится суетливо пользоваться моментом, пока еще хотя бы такие диапазоны в природе встречаются: so=10.0.0.0 sm=255.255.224.0

 

Уважаемый ayamb, объясните, пожалуйста, подробнее - чего я напутал с адресамии с диапазонами?

 

насчет классификатора 10 - я его убрал. Все работает - в смысле, хардверные фильтры работают. IP-фильтры настраивать не стал.

[ayamb]

10.0.0.1/19 - это не диапазон, это скорее похоже на IP адрес интерфейса с маской или, с большим натягом, на ВайлдКард в произвольной интерпретации. :) В заголовке ip пакета, проходящего через любую бабайку, поле маски не присутствует. Маска есть только в пакете протокола динамической маршрутизации, и то только в его теле. Вывод: подобным образом указывается диапазон IP адресов рассматриваемого классификатором соответствующего поля в пакете, для дальнейшего воздействия на этот пакет. Например:

(Утрировано) 10.0.0.0/19 - это диапазон ip адресов 10.0.0.0-10.0.31.255. При таком заданном диапазоне, ASIC проверит только первые 19(&) (заданные единичками маски) бит на совпадение (а дальше ему до-фонаря): (Лентяй) :)

00001010.00000000.00000000.00000000

11111111.11111111.11100000.00000000

(Утрировано) При заданном диапазоне 10.0.0.1/19, ASIC получит ненулевой 13(^) (заданные нулями маски) и вообще больше ничего проверять не будет: (Капризный лентяй) :)

00001010.00000000.00000000.00000001

11111111.11111111.11100000.00000000

(Утрировано) Задать один хост диапазоном можно сообщив ASICу, что нулей он не дождется. (10.0.0.1/32). Обидится,.. но работать будет: (Обидчивый капризный лентяй) :)

00001010.00000000.00000000.00000001

11111111.11111111.11111111.11111111

P.S. Все утрировано! Специфику булевых операций ASICов не затрагиваем.

[~Ворожейкин~]

10.0.0.1/19 - это не диапазон, это скорее похоже на IP адрес интерфейса с маской или, с большим натягом, на ВайлдКард в произвольной интерпретации. :) В заголовке ip пакета, проходящего через любую бабайку, поле маски не присутствует. Маска есть только в пакете протокола динамической маршрутизации, и то только в его теле. Вывод: подобным образом указывается диапазон IP адресов рассматриваемого классификатором соответствующего поля в пакете, для дальнейшего воздействия на этот пакет. Например:

(Утрировано) 10.0.0.0/19 - это диапазон ip адресов 10.0.0.0-10.0.31.255. При таком заданном диапазоне, ASIC проверит только первые 19(&) (заданные единичками маски) бит на совпадение (а дальше ему до-фонаря): (Лентяй) :)

00001010.00000000.00000000.00000000

11111111.11111111.11100000.00000000

(Утрировано) При заданном диапазоне 10.0.0.1/19, ASIC получит ненулевой 13(^) (заданные нулями маски) и вообще больше ничего проверять не будет: (Капризный лентяй) :)

00001010.00000000.00000000.00000001

11111111.11111111.11100000.00000000

(Утрировано) Задать один хост диапазоном можно сообщив ASICу, что нулей он не дождется. (10.0.0.1/32). Обидится,.. но работать будет: (Обидчивый капризный лентяй) :)

00001010.00000000.00000000.00000001

11111111.11111111.11111111.11111111

P.S. Все утрировано! Специфику булевых операций ASICов не затрагиваем.

 

 

Дошло! :)

 

Спасибо большое.

[~Ворожейкин~]

10.0.0.1/19 - это не диапазон, это скорее похоже на IP адрес интерфейса с маской или, с большим натягом, на ВайлдКард в произвольной интерпретации. :) .

 

еЩЕ вдогонку - это действительно хост:)) у нас в сети а не диапазон, и,собственно, доступ нужно было разрешить из сетей аонентов к этому хосту...

[T_Igor]

При изучении AT-8824 сталкнулся с тем что коммутатор не дает перевести IP адрес с Динамическим MAC адресом в Статический в ARP-таблице. Только когда IP c динамическим MAC-address пропадет из таблицы можно его можно добавлять как статический.

Это очень неудобно.

И как организовать процес привязки IP-MAC-адресов используя SNMP?

[_Daemon_]

Столкнулся с аналогичной проблемой на AT-8948, саппорт ничего дельного особо не подсказал, как только временно отключить обучение, грохнуть мак, и успеть :) прописать статический :)

[T_Igor]

По SNMP тоже не получается

root@ns2:/var/www-cable/AT-8824# snmpset -v 1 -c private 172.21.15.144  1.3.6.1.2.1.4.22.1.4.29.172.21.145.29 i 4

Did not find 'InterfaceIndexOrZero' in module IF-MIB (/usr/share/snmp/mibs/HOST-RESOURCES-MIB.txt)

Error in packet.

Reason: (noSuchName) There is no such variable name in this MIB.

Failed object: IP-MIB::ipNetToMediaType.29.172.21.145.29

[ayamb]

Вступление: ... Смеркалось... ARP-кэшэвидная таблица, удерживающая некоторое время соответствие MAC-IP, по-мере своих сил облегчала жизнь L3-бабайкам, трудолюбиво "ковыряющимся" в среде L2, подозрительно смахивающей на EtherNet... Тайно симпатизирующий этим педантичным трудоголикам, мысленно находясь меж ребер радиатора CPU (там тепло и не сдувает), весь терзаемый сомнениями, волевым движением правого мизинца правой ноги отвожу глаза от... Осмелюсь предположить, что невзирая на истинное предназначение 0x806, от него требуется унять злобных хаккеров, целеустремленно пытающихся нарушить по-крайней мере одну заповедь (на##нуть ближнего), а если "масть пойдет", то можно сразу несколько... заповедей... и ближних. :)

Скрытая угроза:

ena DHCPSnooping

ena dhcps OPTion82

ena dhcps ARPSecurity

set dhcps CHEckinterval=3600

set dhcps po=1-22 subs=user maxl=253

cre class=1 macs=dhcps ipsa=dhcps

add swi hwf class=1 ac=fo

Если очень хочется, то можно и вручную:

add dhcps bind=00-00-0c-18-4a-31 int=vlan128 ip=83.25.12.32 po=12

По старинке тоже все работает, но этим "священнодействием", как и в случае со статическими ARP, занимается CPU: :)

cre dhcp poli=com lease=inf

add dhcp poli=com subn=255.255.255.0 dnss=83.25.38.115

cre dhcp poli=user lease=inf inh=com

add dhcp poli=user rou=83.25.12.254

cre dhcp ran=user poli=user ip=83.25.12.1 num=253

ena dhcp

Если хочется, то можно вручную:

add dhcp ran=user poli=user ip=83.25.12.32 a=00-00-0c-18-4a-31

Рекомендации к применению:

Если вид у клиента скучающий и в нем чуствуется некоторая неудовлетворенность карьерным ростом, а у вас "совершенно случайно" активен firewall приватным интерфейсом в его сторону, нужно срочно посоветовать ему обновить на своей сетевой карточке адресок, взяв новый из той же подсетки! Заметно порозовевший и крайне жизнерадостный, он незамедлит к вам вернуться с массой благодарностей и наилучших пожеланий! (Но вы этого, к сожалению, все равно не узнаете, т.к. вам внезапно нужно будет уйти по срочному делу.) :) Без firewall конечно не так весело, это неоспоримый минус, но зато, целиком и в общем, совсем необязательно чтобы клиент принимал настройки по DHCP... Если, кроме "целительства", есть чем заняться, то могу сообщить, что процент непреднамеренно пострадавших от такой терапии колеблется в районе 98% и возвращать "провинившихся" ip и mac к жизни будет трудно и делать это придется в "разных палатах".

P.S. Не совсем, но по-теме:

set ip arp ref=off

P.S.2 Дополнение:

По SNMP тоже не получается

По SNMP много чего нельзя сделать впринципе (в т.ч. и из-за предоставляемых стандартных MIB'ов)... Если речь всетаки идет о том, как разрушить ARP-кэш целиком или частично, то выбирай на вкус: del ip arp=ALLDynamic

[T_Igor]

В изучении AT-8824 дошел до создания списков доступа (ACL).

С cisco все было просто:

permit ip host 172.21.25.3 any

permit tcp host 172.21.25.5 host 172.21.15.123 eq 8000

permit tcp host 172.21.25.5 host 172.21.15.123 eq 443

Первая строчка трафик открыт клиенту, вторая и третья - все закрыто, кроме сервера с клиентским акаунтом.

Вот мозгую как лучше на рапире это смострячить.

create classifier=1 vlan=vlan4 ipdaddr=172.21.15.0/24

add switch hwfilter classifier=1 action=deny

 

create classifier=2 vlan=vlan4 ipdaddr=172.21.15.123/32 ipsaddr=172.21.145.0/24 tcpdport=8000

create classifier=3 vlan=vlan4 ipdaddr=172.21.15.123/32 ipsaddr=172.21.145.0/24 tcpdport=443

add switch hwfilter classifier=2,3 action=nodrop

 

create classifier=4 vlan=vlan4 ipsaddr=172.21.145.2/32

create classifier=5 vlan=vlan4 ipsaddr=172.21.145.3/32

* * *

create classifier=256 vlan=vlan4 ipsaddr=172.21.145.254/32

add switch hwfilter classifier=4-256 action=nodrop

Убивает то, что придется новое значение добавлять в базу и оринтироваться на него classifier=n

Вот прошу совета как проще и как правильней все это построить?

[T_Igor]

Спасибо!

Будем дальше чесать репу.

[T_Igor]

Проблема с новым патчем 86276-02.rez

Дважды заново скачивал и заливал на AT-8824, думал побитый файл,

не хочет с ней грузится циклится

SecOff core> set install=pref rel=86276-02.rez

 

Info (1049003): Operation successful.

 

SecOff core> restart reboot

 

INFO: Self tests beginning.

INFO: RAM test beginning.

PASS: RAM test, 65536k bytes found.

INFO: BBR tests beginning.

PASS: BBR test, 256k bytes found.

INFO: Self tests complete.

INFO: Downloading switch software.

Force EPROM download (Y) ?

INFO: Initial download successful.

 

 

FATAL - Exception

 

FPR0 = 00050000:000000a0 FPR1 = 00000000:00000000 FPR2 = 00000000:00000000

FPR3 = 00000000:00000000 FPR4 = 00000000:00000000 FPR5 = 00000000:00000000

FPR6 = 00000000:00000000 FPR7 = 00000000:00000000 FPR8 = 00000000:00000000

FPR9 = 00000000:00000000 FPR10 = 00000000:00000000 FPR11 = 00000000:00000000

FPR12 = 00000000:00000000 FPR13 = 00000000:00000000 FPR14 = 00000000:00000000

FPR15 = 00000000:00000000 FPR16 = 00000000:00000000 FPR17 = 00000000:00000000

FPR18 = 00000000:00000000 FPR19 = 00000000:00000000 FPR20 = 00000000:00000000

FPR21 = 00000000:00000000 FPR22 = 00000000:00000000 FPR23 = 00000000:00000000

FPR24 = 00000000:00000000 FPR25 = 00000000:00000000 FPR26 = 00000000:00000000

FPR27 = 00000000:00000000 FPR28 = 00000000:00000000 FPR29 = 00000000:00000000

FPR30 = 00000000:00000000 FPR31 = 00000000:00000000

GPR0 = fff10394 GPR1 = 00021e60 GPR2 = 00000000 GPR3 = 00003032

GPR4 = ffff7fff GPR5 = 00ccb19c GPR6 = 00000000 GPR7 = 70acb1b4

GPR8 = 00000001 GPR9 = 00020007 GPR10 = 00000018 GPR11 = 00000002

GPR12 = ffe0b1b4 GPR13 = 00000000 GPR14 = fdfe7714 GPR15 = 2c100006

GPR16 = 048f8002 GPR17 = 01090c04 GPR18 = ff6d59ff GPR19 = ed000001

GPR20 = 00000000 GPR21 = 00000000 GPR22 = ffffffff GPR23 = 000000ff

GPR24 = 8000c400 GPR25 = 6fe00000 GPR26 = 71d00000 GPR27 = 00021f20

GPR28 = 00002c40 GPR29 = 00021f10 GPR30 = 00000001 GPR31 = 00021f00

CR = 28004022 MSR = 00003030 XER = 00000000 LR = fff0ff10

CTR = 00051dc4 DSISR = 00000000 DAR = 00000000 DEC = 71ff1377

SRR0 = fff0ff10 SRR1 = 00083032 SPRG0 = 00000000 SPRG1 = 48004022

SPRG2 = 00000200 SPRG3 = 00000000 PVR = 80811014

Exception: 00000200/Machine check or Watchdog

Length: 00000368

 

 

021e60 00021e68 00021f00 00021ed8 fff10394 00000004 00000002 00060007 00000002

021e80 00000009 00000001 00021eb8 0004523c 00000025 00021ea8 00021e88 70acb1b4

021ea0 00199234 001a0000 28000022 00000000 ffffffff 000000ff 8000c400 00000000

021ec0 ffffffff 00021f20 00002c40 00021f10 00021f00 00000000 00021ef8 fff10870

021ee0 ffffffff ffffff00 00199c8c 00002c40 00021f10 00021f20 00021f60 00051bf8

021f00 70acb19c 004193c8 6fe00000 71d00000 322e7265 7a0072d8 00263a1c 001a0000

021f20 00000000 06070600 02151f40 0003cb24 00021f40 001a0000 00021f48 002572cc

021f40 00000000 0005117c ffffffff ffffff00 00021f68 001a0000 001a0000 001a0000

021f60 00021fa8 00051dc8 0000000b 00050234 0000000b 00263a8c 00021f98 00040824

021f80 ffffffff ffffff00 00199c8c 001a0000 001a0000 001a0000 00021fa8 00040908

021fa0 001a0000 001a0000 00021fc0 00051ffc 00000040 00000001 5e6c1f2f 00000001

021fc0 00000000 0002fc80 f238b2b2 92d2f2b2 9a94b2b2 b2b3b2b2 b792b1a3 f2f2b6b6

021fe0 3cb2b6b2 c2b2b3b2 b2b8d2b2 a2b2b2a2 b0b292b6 be92b2b3 b2b2b090 e0b39ab3

пока "Y" не нажмешь, он возращается к первоначальной заводской прошивке.

В ней

SecOff core> set install=pref rel=86276-01.rez

 

Info (1049003): Operation successful.

 

SecOff core> restart reboot

все нормально загружается и продолжает работать.

[ayamb]

Пожалуйста. :)

1. Я Тебе ответил... Потом стер, т.к. ответ в теме "AT-8824" на фразу "...как лучше на рапире это смострячить..." имеет некоторую двусмысленность. (Работа и настройки HWF немного различаются.) (Ответ болтался день.)

2. Команде set inst=pref rele=86276-02.rez, на всякий случай должна предшествовать команда set inst=temp rele=86276-02.rez patch=none gui=none, а команда ena rele=86276-02.rez num=2.7.6 должна предшествовать упомянутым выше обязательно (если действительно уже установлен софт 86276-01.rez)... Но если файлик 86276-02.rez слегка "косоват", то это, как правило, не помогает. :)

[T_Igor]

Пожалуйста. :)

1. Я Тебе ответил... Потом стер, т.к. ответ в теме "AT-8824" на фразу "...как лучше на рапире это смострячить..." имеет некоторую двусмысленность. (Работа и настройки HWF немного различаются.) (Ответ болтался день.)

В чем смысл удалять свои ответы? Если твоих планах написать книгу "Практические советы по работе с оборудованем ATi" и срубить бабки то это резонно. :)

по поводу как лучше смострячить - видется следущий вариант

на одного клиента заводятся постоянно 3 строчки

cre class=6 sv=4 ipsa=172.21.145.2

cre class=905 sv=4 ipsa=172.21.145.2 ipda=172.21.15.123 tdpd=443

cre class=906 sv=4 ipsa=172.21.145.2 ipda=172.21.15.123 tdpd=8000

и в зависимости от ситуации включается или выключается командами

add swi hwf class=6,a-c action=for nomatcha=deny

del swi hwf class=905-906,n-m

только хватит его ресурсов обслужить 1500 клиентов? Сейчас около 150 в тестовом режиме.

2. Команде set inst=pref rele=86276-02.rez, на всякий случай должна предшествовать команда set inst=temp rele=86276-02.rez patch=none gui=none, а команда ena rele=86276-02.rez num=2.7.6 должна предшествовать упомянутым выше обязательно (если действительно уже установлен софт 86276-01.rez)... Но если файлик 86276-02.rez слегка "косоват", то это, как правило, не помогает. :)

Не помогло.

при команде ena rele=86276-02.rez num=2.7.6 ругается на лицензию что она мол уже есть. На остальные ответ

Info (1049003): Operation successful.

[ayamb]

1. Читай документацию! Там все отражено верно! Ни одного лишнего слова! А в рамках данной конференции возможно лишь дать/взять некоторую информацию. И невозможно, тыкая в кнопки (кстати, которые так и норовят спрятаться от моего карающего правого указательного пальца), написать тут раздел Classifier&HWF эпохального труда "Практические советы по работе с оборудованем ATi", вне зависимости от факта срубления нехилого бабла, или факта вопиющей благотворительности. :)

Например назойливо похожие команды для AT8824 дают разительно отличающийся результат:

> cre class=001 vlan=32 ipsa=192.168.0.0/16 tcpd=443

Info (1100268): Operation successful, a hardware classifier has been created.

> cre class=001 sv=32 ipsa=192.168.0.0/16 tcpd=443

Info (1100268): Operation successful, a software classifier has been created.

2. Прежде чем категорически давать заключение "не помогло", файлик на предмет "косоватости" Ты проверил?

>sh sys

--------------------------------------------------------------------------------

Base      133      AT-8824                               0 M3-0   62650622

Base      133      AT-8824                               0 M3-0   62652988

Base      133      AT-8824                               0 M3-0   62652771

--------------------------------------------------------------------------------

Allied Telesyn AT-8824 version 2.7.6-02 26-May-2006

Allied Telesyn AT-8824 version 2.7.6-02 26-May-2006

Allied Telesyn AT-8824 version 2.7.6-02 26-May-2006



>sh ffi c

module   name      type       size   file date & time    address check

-----------------------------------------------------------------------------

load    86276-02  rez     4297672  02-Jun-2006 18:17:09  71A12604  Good



>sh ffi v

Verify Flash File System

Read file @ 71a12604 OK  - 86276-02.rez

Verify Flash complete



>sh inst

Install     Release              Patch                GUI

-------------------------------------------------------------------------

Temporary   -                    -                    -

Preferred   flash:86276-02.rez   -                    -

Default     EPROM (86-1.0.7)     -                    -

-------------------------------------------------------------------------

Current install

Preferred   flash:86276-02.rez   -                    -

-------------------------------------------------------------------------

Install history

No Temporary release selected

Preferred release selected

Preferred release successfully installed



>sh rele

Release                   Licence        Period

-------------------------------------------------------------------

flash:load86276-02.rez   full           -

flash:load86276-01.rez   full           -

-------------------------------------------------------------------

[T_Igor]

Проблема с прошивкой была банально проста - косо сгенерированная лицензия. После того как её удалил и заново сгенерировал все прошло как по маслу.

По поводу импорта ключей SSH сгенереных линухе на AT-8824 тоже все просто. На линухе по умолчаню генерится rsa второй версии, а AT-8824 работает с 1,5 версией rsa и командой:

ssh-keygen -b 768 -t rsa1 -f igor@admin

решаются все проблемы с .key!

[T_Igor]

Снова новый камень предкновенья!

В какой то момент, толи после новой прошивки или включения защищеного режима и ssh, или enable dhcpsnooping

и enable dhcpsnooping arpsecurity, перестал отдавать по SNMP динамическую таблицу ARP - только бродкасты - ff-ff-ff-ff-ff-ff.

Причем в телнет сесии "sh ip arp" работает без проблем, а вот оперативно получать инфу эту, через PHP, возникли проблемы.

Ну вот и приходится заниматься чесанием репы.

Можно ли как нибудь поправить SNMP настройки что бы вновь выдовала через snmpwalk.