передача ACL в 6500

[lanc]

возникла необходимость добавлять и удалять ACL на CISCO 6500 и все это ОНЛАЙН

как это сделать?

 

не что подобное было реализовано у нас для SCE

был написан демон на JRE (СЕРВЕР) который висит в памяти держит открытое соединение с SCE по телнету и на оперделенном порту слушает своего КЛИЕНТА ( так же на JRE)

 

смысл такой...

я запускаю КЛИЕНТА и в строке шела передаю те параметры которые желаю что бы КЛИЕНТ передал на СЕРВЕР а СЕРВЕР в свою очередь передал на железку.

 

работает ооочень быстро.. т.к. СЕРВЕР держит телнет соединение с SCE постоянно открытой (при обрыве реконетится автоматически) и СЕРВЕР моментально передает команды полученные от КЛИЕНТА на SCE

 

программист который это делал больше этим не занимается

а нам вот теперь все тоже самое надо реализовать для 6500

 

подскажите как можно практически онлайн заливать правила ACL на 6500 при этом важно учесь что будут заливатья тысячи правил последовательно и без остановки с большой скоростью и потеряться правила не имеют права.. должен быть буфер и прочие схемы защиты от потери

 

если есть решения подскажите

если только путем написания соответсвующего ПО... пишите готов оплатить работу.

 

С Уважением!

Edited June 8, 2011 by lanc

[s.lobanov]

Узнайте, поддерживает ли эта железяка netconf? Просто с телнет/ssh CLI-сессией сделать конечно можно, но заранее всего не угадаешь, поскольку заранее не знаешь всего того, что может выплюнуть железка в ответ на ту или иную команду. по snmp в cisco нельзя конфигурить acl, ещё есть вариант генерить набор команд и вливать его через tftp, но тогда опять же не понятно как проверять результат

[lanc]

snmp низя =)

tftp не подходит ибо это _не_онлайн

[zander]

rsh ?

[lanc]

rsh ?

есть конкретный пример? или вы проверяете мои знания? =) если проверяете то я не знаю.. (знал бы не писал)

[zander]

Дак ыть

 

username backup_user password XYZЗАЕНАХОЙБЛЬ
no ip rcmd domain-lookup 
ip rcmd rsh-enable
ip rcmd remote-host backup_user 10.10.10.10 root enable

 

и потом с хоста 10.10.10.10 под пользователем root

 

rsh -l backup_user cisco_host access-list 110 permit ip host 1.2.3.4 any

Edited June 8, 2011 by zander

[lanc]

и как поведет себя СИСКА если сервак леванет на нее поток таких коннектов... с несколько сотен одновременных попыток

(я чуть неправильно описал в начале.... билинг льет последовалельно в шел сервака... а сервак (он то шустрый) на каждую комманду выполняет свое действие и не ждет отклика - за сохранность отвечало как раз ДЕМОН между железои и клиентом демона)

 

сколько одновременно отработет решение по rsh?

есть ли вероятность потери ACL в случае перегрузки 6500 и когда она перегрузка возможна?

 

билинг он тупой (сцукко нетап)... ему поф%г.. он льет правила и не котролирует выполнено оно или нет

[zander]

У rsh задача такая - выполнить в любом случае, другое дело если между хостом и циской канал нагнётся. Тогда пЕсать что-то своё (мне обычно так быстрее)

[s.lobanov]

А исходников от софтины, которая заливала в SCE не осталось?

 

tip: java можно декомпилировать, если не производилась обфускация, то даже потом разобраться в этом.

Если правила заливались в SCE обычными командами через telnet, а не его собственным API, то передалать под catalyst будет достаточно просто

[lanc]

А исходников от софтины, которая заливала в SCE не осталось?

 

tip: java можно декомпилировать, если не производилась обфускация, то даже потом разобраться в этом.

Если правила заливались в SCE обычными командами через telnet, а не его собственным API, то передалать под catalyst будет достаточно просто

исходников нет

сервер-клиент есть

 

правила заливались его собственным API

т.е. клиенту я подсовывал в удобном мне CLI данные а клиент их отдавал на сервер, ну а сервер преобразуя в API транслировал на SCE

Edited June 8, 2011 by lanc

[s.lobanov]

Если ничего не придумаете, то пишите в личку более подробное ТЗ, обсудим стоимость разработки и сроки

[lanc]

отписался в личку

 

вот что хотелось бы получить:

 

 

Нужно написать систему:

клиент CLI, сервер (локальный) сервер-cisco (удаленный)

Комплекс должен работать на системах xNIX

 

 

Клиент-сервер

1)состоит из:

- приложения демона загружаемого в оперативную память и находящися в памяти, для принятия команд от клиента

- приложения клиена выполняющего функции передачи параметров из командной строки на приложение демон

2)Демон - выполняет функции буферизации принятых команд и передачу комманд на удаленный сервер-cisco

3)клиент - передает параметры демону из CLI, например sm.jar -h СЕРВЕР (127.0.0.0.1) -a ПАРАМЕТР

 

Сервер-CISCO

выполняет функции:

1) Работает в режиме демона, (в идеале, следит за своим состоянием в случае падения, восстанавливает работу)

2) Открыть соединение с CISCO по ( ssh, telnet) и держать его открытым, в случае закрытия соединения с CISCIO возобновить открытие

4) Принимать от удаленного клиента-сервера команды и передавать на CISCO

5) Принятые команды должны буферизироваться во избежание потери команды (например если случайно пропадет связь между Сервером и CISCO)

 

Общие требования:

Принимаемые команды от клиента-сервер на сервер-cisco должны подтверждаться и быть гарантированы,

(другими словами если рвется любое из соединений хоть между сервером и цисковй хоть между клиентом-сервером и сервером-cisco

ни одна из комманд на время потреи соединения не должна быть утеряна)

Edited June 12, 2011 by lanc