Jump to content
Калькуляторы

Свичи с RRCP на доступе

Поделитесь опытом, какие фичи свичей с RRCP используются в сетях?

Share this post


Link to post
Share on other sites

Дешевый 802.1q на пользователя. К примеру - DES-1016D.

Единственная проблема - не запоминает настройки vlanов. Решается через crontab.

 

Тема уже давно обсуждалась.

Edited by alexmern

Share this post


Link to post
Share on other sites

Обсуждалась аппаратная часть :-) А хотелось бы логическую... Мониторинг свичей-портов, реально ли работают vlan...

 

ЗЫ Compex PS2216

Share this post


Link to post
Share on other sites

Вланы 802.1q действительно работают. 2216 даже вроде их записывает в память. Проблем с этим нету.

Управление только по L2 естественно.

Share this post


Link to post
Share on other sites

На сайте openrrt есть описание решения проблемы безопасности, вот мой вопрос из старой ветки -

 

модель безопасности для RRCP-свитчей подробно разрисована здесь:

http://openrrcp.org.ru/wiki:rrcp_security

 

в двух словах это сводится к трем правилам:

1) запрещать RRCP на портах в сторону клиентов;

2) сменить ключ AuthKey и MAC-адрес;

3) запретить протокол REP.

 

Не получается у меня. Отключил REP в конфиге -

no rrcp echo enable

 

делаю -

[root@www bin]# rtl83xx eth0 scan

! rtl83xx: trying to reach 26-port "generic rtl8326" switch at eth0

switch MAC Hello REP

00:80:48:5f:f0:0a + -

 

Утилита его все равно видит... А как я понимаю не должна... А как это Hello выключить?..

Share this post


Link to post
Share on other sites

Достаточно будет выполнить только первый пункт (он действительно работает):

1) запрещать RRCP на портах в сторону клиентов;

Другие пункты не проверял за ненадобностью. Т.е. на указанных портах rrcp отключается и всё. Эта фича в память записывается без проблем.

 

Пользуюсь rtl83xx_*, а не rrcpcli, так как она частенько подглюкивает.

 

Вот так rrcp останется только на 16 порту:

# rtl83xx_dlink_des1016d 52:54:4c:01:02:04@eth0 config interface 1-15 rrcp disable

Edited by alexmern

Share this post


Link to post
Share on other sites

Спасибо. А насколько реально обезопасить цепочку из нескольких RRCP свичей включенных последовательно?..

Share this post


Link to post
Share on other sites

Последовательное включение в режиме 802.1q не имеет смысла, так как у rtl8316b всего 32 влана.

Но думаю что решение с ограничением rrcp по портам работать будет нормально, если пользователь будет иметь доступ только к uplink-порту.

Share this post


Link to post
Share on other sites
Обсуждалась аппаратная часть :-) А хотелось бы логическую... Мониторинг свичей-портов, реально ли работают vlan...

 

ЗЫ Compex PS2216

Я тут у себя сейчас постепенно делаю систему управления этими свичами. "Этими" - в смысле, поддерживающими RRCP (хотя, сейчас на операционном столе именно такой клиент - PS2216).

 

Основной вопрос, заключающийся в том, что свич управляется raw-пакетам, я решаю следующим образом. У меня есть устройство-пинговалка. Помимо собственно пингования хостов и ребута свича я в него встроил конвертор RRCP - Modbus over TCP - так получилось, что сама по себе структура регисторов RTL83xx очень удобно на Modbus ложится. Дальше делается следующее:

 

1. В каждый свич в один из портов включается пинговалка с этим конвертором протоколов.

2. Все порты, в которые воткнуты пинговалки объединяются в отдельный VLAN который используется только для целей управления.

3. RRCP разрешается только на порту, в который воткнута пинговалка.

3. Соответственно, т.к. теперь информация носится по TCP, нет проблем с маршрутизацией и прочими вещами.

 

Дальше - собственно задача сбора данных и управление. Можно поступить банальным способом - взять какую-нибудь Scada-систему и все реализовать на ней. Например - http://oscada.org.ua/index.php?id=2&L=1

 

Я, правда, по другому делаю - у меня свой софт для таких целей, ориентированный на web-интерфейсы. Ну вот типа такого результат - http://cbsie.dyndns.info/WWW/rrcp.html - ну, интереснее всего будет открыть вкладку Ports counters и там нажать на иконку графика, скажем, на порте 13 в левой колонке. Собственно управление на этой страничке заглушено и не работает. Ну и вообще, до победного конца еще не допилено (например, работает эта страничка только под Оперой да Огнелисом), но общее представление получить можно.

Share this post


Link to post
Share on other sites
не грузится

Похоже мой телеком отпал. Авось сам поднимется, я-то там до 12го числа не буду...

Share this post


Link to post
Share on other sites

Основной вопрос, заключающийся в том, что свич управляется raw-пакетам, я решаю следующим образом. У меня есть устройство-пинговалка. Помимо собственно пингования хостов и ребута свича я в него встроил конвертор RRCP - Modbus over TCP - так получилось, что сама по себе структура регисторов RTL83xx очень удобно на Modbus ложится.

Кстати, было бы интересно этот девайс живьем пощупать. Если все работает действительно так, как написано, то наверно можно будет даже подумать о мелкосерийном производстве

Share this post


Link to post
Share on other sites
Кстати, было бы интересно этот девайс живьем пощупать.

Если Вы с ua, вопрос решаем. В конце мая даже на реальный объект смогу свозить.

Share this post


Link to post
Share on other sites
не грузится

Неожиданно вызвали на работу (в профессиональный-то праздник, собаки), дал люлей модему, у которого слетели настройки, теперь работает.

Share this post


Link to post
Share on other sites
Основной вопрос, заключающийся в том, что свич управляется raw-пакетам, я решаю следующим образом. У меня есть устройство-пинговалка. Помимо собственно пингования хостов и ребута свича я в него встроил конвертор RRCP - Modbus over TCP - так получилось, что сама по себе структура регисторов RTL83xx очень удобно на Modbus ложится. Дальше делается следующее:

 

1. В каждый свич в один из портов включается пинговалка с этим конвертором протоколов.

2. Все порты, в которые воткнуты пинговалки объединяются в отдельный VLAN который используется только для целей управления.

3. RRCP разрешается только на порту, в который воткнута пинговалка.

3. Соответственно, т.к. теперь информация носится по TCP, нет проблем с маршрутизацией и прочими вещами.

Посмотрел Ваш софт. Впечатления положительные.

 

Только вот следующее мнение возникло по поводу пинговалки:

Зачем она вообще нужна? Лишний порт только теряется. А управление до таких свичей можно спокойно через отдельный влан в аплинке сделать, который довести до какого-нибудь *nix c openrrcp.

Тестировал на DES-1016D эту схему. Вобщем получилось следующее - при включении 802.1q свитч также принимает управление через аплинк по не тегированному rrcp, а вот отвечает тегированным rrcp. Причем метку VID ставит ту, которая законфигурирована на 2ой порт (нашел методом тыка). С чем это связано не знаю. Может быть с конструктивом или самой rtl8316. Соответственно аплинк переезжает на 2ой порт, все клиентские порты в своем уникальном vid, управление приходит на него не тегированное и доставляется до *nix.

Share this post


Link to post
Share on other sites
Только вот следующее мнение возникло по поводу пинговалки:

Зачем она вообще нужна?

Дык она попутно свич сбрасывает, если пинг пропал. Еще входы контролирует. Вот щас температуру прикручу (просят в другой ветке).

Share this post


Link to post
Share on other sites

Сколько стоит в конвертируемой валюте?..

Share this post


Link to post
Share on other sites

Если Вы про пинговалку, то в UA - 25 президентов в розницу.

Share this post


Link to post
Share on other sites
Если Вы про пинговалку, то в UA - 25 президентов в розницу.
Президентов какой страны? :)

 

Share this post


Link to post
Share on other sites
Президентов какой страны? :)

Ну не нашей же :))))

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this