biox Опубликовано 22 февраля, 2013 (изменено) · Жалоба Что то, как то скудно данная тематика представлена в инете.......... Готовимся к внедрению нового ядра сети на Catalyst 6513, возник вопрос по теме...... Не уже ли кроме удалённой загрузки конфига по tftp (с подачей команды по snmp) больше нет ни одного варианта? Изменено 22 февраля, 2013 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 22 февраля, 2013 · Жалоба Сильно зависит от задач. Часто очень хорошо помогает механизм URPF. Ничего сложного, но использование его требует внятного понимания, как работает, поэтому тут примеры приводить не буду. Очень хорош для динамического блокирования трафика для большого количества разнородных записей в связке с BGP и роутингом в null. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 22 февраля, 2013 · Жалоба м...... спасибо почитаю сейчас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 22 февраля, 2013 · Жалоба это не подойдёт мне нужно редактирование листа для PBR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
QWE Опубликовано 22 февраля, 2013 · Жалоба это не подойдёт мне нужно редактирование листа для PBR делали в свое время при помощи скрипта на perl с использованием модуля net::telnet.Скрипт менял что нужно на лету без хранения чего либо между запусками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 22 февраля, 2013 · Жалоба главная сложность получить номер строки в листе, которая содержит искомый айпи адрес, для того, что бы удалить эту запись. QWE друг а доступа к этим скриптам нет у тебя, а то может поделишься если не жалко конечно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
QWE Опубликовано 22 февраля, 2013 · Жалоба главная сложность получить номер строки в листе, которая содержит искомый айпи адрес, для того, что бы удалить эту запись. QWE друг а доступа к этим скриптам нет у тебя, а то может поделишься если не жалко конечно? тем скриптом была реализована задача технически несколько другая, он не подойдет один в один + он вызывался из системы АСР и т.д. вобщем специфика сети. Совсем не жалко поделиться давай емайл или "куда кинуть в личку". Скину как найду. Скрипт делает еще кучу всего, а разбираться в чужих заморочках - по мне так не благодарная вещь. если проблема в программировани на перл - качаешь список с циски и запихиваешь его в хеш хешей( или массив хешей, возможно от специфики будет какая либо другая структура для хранения данных тут надо подумать) , далее в цикле перебираешь этот хеш как нашел совпадение - удаляешь запись из хэша. А затем заливаешь содержимое модифицированной структуры данных обратно на циску. в перле все это делается достаточно просто. аргументом скрипту будет собственно та сеть которая где либо храниться ну и действие - вкл/выкл. Такой момент был что перед тем как менять список доступа на железке необходимо сначала удалить его с интерфейса, затем изменить список доступа и снова применить к интерфейсу. Не помню из за чего это было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EDA_SPB Опубликовано 23 февраля, 2013 · Жалоба Также можно загружать лист по tftp, дав команду по snmp: snmpset -v2c -c community A.A.A.A .1.3.6.1.4.1.9.2.1.53.B.B.B.B s filename A.A.A.A - ip cisco B.B.B.B - ip tftp s - filename Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 23 февраля, 2013 · Жалоба EDA_SPB думаю стоило хотя бы первый пост прочесть в данной теме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 февраля, 2013 · Жалоба Не уже ли кроме удалённой загрузки конфига по tftp (с подачей команды по snmp) больше нет ни одного варианта? Ну почему же - есть вариант "в лоб", т.е. CLI Ну а вообще, желание динамически менять ACL скорее всего вызвано желанием сделать из этого L3-свитча подобие BRAS-а. Так и есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EDA_SPB Опубликовано 23 февраля, 2013 · Жалоба EDA_SPB думаю стоило хотя бы первый пост прочесть в данной теме. :). По теме - rsh? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 23 февраля, 2013 (изменено) · Жалоба s.lobanov пока что такой задачи не стоит, стоит задача управлять заворотом http и https запросов на страничку "Для Вас по какой то причине закрыт доступ в сеть.", и мы оба понимаем что в ручную это не вариант. :-) EDA_SPB расскажи плиз об rsh? Изменено 23 февраля, 2013 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 февраля, 2013 · Жалоба biox через rsh можно делать show, clear и т.п., конфигурить нельзя. ну т.е. можно, но всё так же через tftp: copy tftp://xxx run s.lobanov пока что такой задачи не стоит, стоит задача управлять заворотом http и https запросов на страничку "Для Вас по какой то причине закрыт доступ в сеть.", и мы оба понимаем что в ручную это не вариант. :-) опишите структуру сети. если у вас где-то делается NAT, то может быть на этой железке и делать заворот, ну или ещё какие варианты есть. управлять правилами PBR явным образом на точке терминирования или на транзитном L3 это как-то по-пионерски больно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 23 февраля, 2013 (изменено) · Жалоба s.lobanov главное что "управлять правилами PBR явным образом на точке терминирования или на транзитном L3" КАК-ТО ЭФФЕКТИВНО БОЛЬНО.Машина с настом есть, но через неё проходит одна десятая трафика. Блин... странно что в циско не придумали такой весьма очевидной вещи......... Изменено 23 февраля, 2013 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 24 февраля, 2013 · Жалоба Блин... странно что в циско не придумали такой весьма очевидной вещи......... Просто вы используете оборудование не в том качестве, как его предполагает использовать производитель. Традиционно, управление пользовательским трафиком(нарезка скоростей, приоритезации, редиректы) делается на BRAS или на DPI, там для этого(изменения политик обработки пользовательских сессий) есть нормальные механизмы(CoA или специальные API для взаимодейтсвия) P.S. в модных cisco есть netconf. есть ли для c6500 ios-ы с поддержкой netconf не смотрел Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 24 февраля, 2013 · Жалоба s.lobanov главное что "управлять правилами PBR явным образом на точке терминирования или на транзитном L3" КАК-ТО ЭФФЕКТИВНО БОЛЬНО.Машина с настом есть, но через неё проходит одна десятая трафика. Блин... странно что в циско не придумали такой весьма очевидной вещи......... А почему-бы не сажать пользователей, которым запрещен доступ, в отдельный VRF? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 25 февраля, 2013 · Жалоба SergeiK напиши чуток по подробней Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...