Alba Posted April 4, 2006 Posted April 4, 2006 имеется Allied Telesyn AT-8948 есть пара вопросов по настройке... помогите, кто может :) 1. как ходить на железку по ssh без пароля? юзер создан, но, как генерить ключи, оставлять их в памяти (а то файлики после рестарта куда-то пропадают ;) ) и куда вписывать ключи от "доверенных" хостов? 2. не могу дать ладу source routing... внятной документации по этому вопросу не нашёл. кто расскажет/подскажет? 3. в логах появляются килограммами сообщения вида: ------------ 04 19:42:10 3 IPG IPFIL FRAG DirBcast Fail 192.168.65.61>192.168.65.255 Prot=17 Int=vlan103-2 04 19:42:10 3 IPG IPFIL FRAG DirBcast Fail 192.168.70.3>192.168.64.255 ------------ и такие: ------------ 04 19:42:05 3 IPG IPFIL DUMP Received invalid DA 84.52.81.11>80.82.161.148 Prot=6 Int=vlan551 ------------ чё с ними делать? Вставить ник Quote
Mancubus Posted April 4, 2006 Posted April 4, 2006 <b>1. как ходить на железку по ssh без пароля? юзер создан, но, как генерить ключи, оставлять их в памяти (а то файлики после рестарта куда-то пропадают ;) ) и куда вписывать ключи от "доверенных" хостов?</b> А в каком режиме создаёте ключики? enable system security_mode? пользователя в ssh и на железке создаете? конфигурацию сохраняете? <b>2. не могу дать ладу source routing... внятной документации по этому вопросу не нашёл. кто расскажет/подскажет? ENA IP SRCR ищите эту команду.</b> У аллиеда доки на высоте! Там есть всё и с примерами. <b>3. в логах появляются килограммами сообщения вида: ------------ 04 19:42:10 3 IPG IPFIL FRAG DirBcast Fail 192.168.65.61>192.168.65.255 Prot=17 Int=vlan103-2 04 19:42:10 3 IPG IPFIL FRAG DirBcast Fail 192.168.70.3>192.168.64.255 ------------ и такие: ------------ 04 19:42:05 3 IPG IPFIL DUMP Received invalid DA 84.52.81.11>80.82.161.148 Prot=6 Int=vlan551 ------------</b> Скорее всего использован multihoming, т.е. алиесы. На это закрыть глаза или выделять порт-интерфейс Вставить ник Quote
_Daemon_ Posted April 4, 2006 Posted April 4, 2006 1. Зачем тогда ssh если на него нет пароля? :) Скачай с сайта телесина мануал там всё написано; чаще используй команду create config=boot.cfg :) 2. Документация есть опять же на сайте тесина 3. Ну не смог он доставить пакет по адресу назначения в данном вилане, видимо нет маршрута :) Вставить ник Quote
ayamb Posted April 4, 2006 Posted April 4, 2006 1..... (Secure Shell 42p) (Информация есть в этом форуме.) 2..... (Internet Protocol 218p) (Информация есть в этом форуме.) 3..... (Logging Facility 56p) (По умолчанию любой ip int имеет DIRectedbroadcast=off и FRAgment=off, на что бабайка и жалуется... ) Неужели так трудно поинтересоваться, что обозначает троечка в логах и что-нибудь предпринять?!! set log out=p fil=1 SEVerity=>5 set log out=t fil=1 SEVerity=>4 ty=!msg Вставить ник Quote
Alba Posted April 5, 2006 Author Posted April 5, 2006 вопрос с source-routing решил небольшим изменением топологии. вопрос по ssh так и остался открыт. смысл в том, чтобы по ssh с linux-машины заходить на железку, и выполнять на ней определённые команды. что делал: создал юзера SecurityOfficer, перешёл в режим Security Mode, залогинился как юзер SecOff, создал два ключа (create enco key=0 type=rsa length=1024 description=hostkey form=ssh и сreate enco key=1 type=rsa length=768 description=serverkey form=ssh) поднял ssh сервер (enable ssh server hostkey=0 serverkey=1) создал юзера sshuser (add ssh user=sshuser password=blablabla) из консоли линуха захожу на железку, ввожу логин пароль sshuser и она меня пускает. вопроса два: 1. если выходить security mode (disable system sec), то вываливается предупреждение о том, что файлы ключей будут удалены (что собственно говоря и происходит при подтверждении). если не выходить из security mode, то я не могу делать очень многих вещей на свитче - ругается (если непонятно, о чём я, могу посмотреть коды ошибок). что делать? 2. куда, как и в каком формате засунуть публичный ключ с линукса, чтобы его поняла железка и пускала линукс без пароля? p.s. я понимаю, что может для кого-то это простые вопросы, но, мне пока тяжело понять идеологию железки после работы с линухом, а сделать это надо более-менее быстро... Вставить ник Quote
ayamb Posted April 5, 2006 Posted April 5, 2006 1. Режим Security включается один раз и "надолго". Отключается он обычно только в "аварийной ситуации", с последующим восстановлением вручную всех приватных отношений с миром. (Если бабайка что-то отказывается делать, то это дело не в режиме, а в привилегиях "деятеля".) 2. Публичный ключ с Linux'а в виде файла (например, - pub.key) нужно положить на аппарат. Создать ENCO key в понятном для бабайки формате из принятого файла. Создать пользователя ssh с аутентификацией по созданному ключу. cre enco key=128 typ=rsa fil=pub.key for=ssh... add ssh user=sshuser key=128... Вставить ник Quote
Alba Posted April 5, 2006 Author Posted April 5, 2006 1. Режим Security включается один раз и "надолго". Отключается он обычно только в "аварийной ситуации", с последующим восстановлением вручную всех приватных отношений с миром. (Если бабайка что-то отказывается делать, то это дело не в режиме, а в привилегиях "деятеля".) а что может быть с привилегиями? если один и тот-же юзер (manager) в режиме sys sec такое ощущение, что превращается в user а можно как-нить сохранить ключи в системе, не включая sys sec? ;) 2. Публичный ключ с Linux'а в виде файла (например, - pub.key) нужно положить на аппарат. Создать ENCO key в понятном для бабайки формате из принятого файла. Создать пользователя ssh с аутентификацией по созданному ключу.cre enco key=128 typ=rsa fil=pub.key for=ssh... add ssh user=sshuser key=128... проблема в том, что на залитый с линуха ключ (id_rsa.pub, переименованный а id_rsa.key) телесин ругается: Error (3073273): Incorrect text file format. какого формата должен быть этот ключ? Вставить ник Quote
ayamb Posted April 6, 2006 Posted April 6, 2006 Guid. 1. User Authentication. chap.39 p.59/78 set user=manager priv=security pass=friend... 2. Compression and Encryption Services. chap.40 p.19/54 cre enco key=9 typ=rsa file=id_rsa.key format=SSH/NIQ/HEX/PKCS... P.S. Чувствую, что последний вопрос все равно останется... :) А самый популярный численный метод, кстати, - метод перебора. :) Вставить ник Quote
Alba Posted April 18, 2006 Author Posted April 18, 2006 ещё один вопрос (вернее, очередной ;)) каким образом лучше жать маки на железке? вариант с set ip arp не очень нравится, так как на железке много вланов, и, чтобы зажать айпишник надо знать влан и порт... "ручками"-то это делать без проблем (поковыряться в конфигах, посмотреть соответствие вланов и портов, соответствие подсетей и вланов и т.д..), а вот "на автомате" - гемор... в линухе было проще - там не надо было знать интерфейс... есть идея сделать через class, но, во-первых классов будет немеряно, во-вторых это как-то не по назначению... или может быть я ошибаюсь? у кого как это реализовано? Вставить ник Quote
ayamb Posted April 18, 2006 Posted April 18, 2006 1. Release. Software Version 276. p.9/64 (Информация есть в этом форуме.) ena dhcps ena dhcps arps set dhcps po=1-12,36-48 maxl=255 cre class=0301 macs=dhcps ipsa=dhcps Вставить ник Quote
Alba Posted May 2, 2006 Author Posted May 2, 2006 1. Release. Software Version 276. p.9/64 (Информация есть в этом форуме.)ena dhcps ena dhcps arps set dhcps po=1-12,36-48 maxl=255 cre class=0301 macs=dhcps ipsa=dhcps не понял, что это даёт и как это работает... но, как только включаю ena dhcps arps - сеть падает :) блин, и почему нельзя сделать тупо set ip arp=xxx.xxx.xxx.xxx eth=xx-xx-xx-xx-xx-xx port=xx vlan=xxx ? грит, что типа только статик маки можно менять... я уже и пытался по-быстренькому удалить dynamic и добавить static - не катит, не успеваю :( может есть ещё способ задать соответствие ip/mac на железяке? мне не надо наворотов, типа самообучаемости, пускать/не пускать маки которые "не в базе"... надо _просто_ соответствие... p.s. эх, хорошо было с линухом ;) Вставить ник Quote
ayamb Posted May 2, 2006 Posted May 2, 2006 1. Так трагически сложилось, что команду ena dhcps arps, в силу крайнего недоверия ко всем портам сразу и без всякой ультра антидемократичной поправки на себя любимого, нужно дать до последующих неизбежных либеральных поправок... :) Что-то сделать в реальном (и однозначно непростом для нас) времени затруднительно, даже используя шаманские пассы ^C^V. И, в силу упомянутых причин, такие исключительно репрессивные действия лучше производить в скрипте загрузки, отведя бесстыжие глазки в сторону, (якобы машинально) поглаживая (якобы любимую) бабайку (и опять же якобы) по серому брюху, сосредоточив внимание на левой кроссовке, выписывающей носком интеграл средней сложности на несовсем стерильном полу и, всем своим видом показывая ей свою непричастность к содеянному. :) 2. А еще, ayamb писал(а), изредка используя зеленые кнопки,.. о двойственности природы Светы (тьфу, ты,.. - света), об относительности субъективного мировосприятия во время прилива в полнолуние, и о прочей малозначимой фигне. :) Вставить ник Quote
Alba Posted October 20, 2006 Author Posted October 20, 2006 кто-нибудь ставил себе прошивку 2.8.1 ? Вставить ник Quote
T_Igor Posted October 22, 2006 Posted October 22, 2006 Поповоду ключей я тоже парился но проблема проста, читай вот эту ветку я там все описал http://forum.nag.ru/index.php?showtopic=18735&st=40 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.