wtyd Posted December 12, 2014 Есть мысль переключать вланы по snmp. Типа при отрицательном балансе юзеры переключаются в влан для отключенных, при положительном - в влан для включенных. Пытаюсь юзать Q-BRIDGE-MIB и в качестве подопытного свича Q-TECH 2800. Читать всё даёт, но изменять не даёт ничего -- какие-то ошибки, которых я раньше никогда не видел: snmpset <бла-бла-бла> Q-BRIDGE-MIB::dot1qVlanStaticEgressPorts.111 x "FF FF FF 10" Error in packet. Reason: undoFailed Failed object: Q-BRIDGE-MIB::dot1qVlanStaticEgressPorts.111 В свиче есть влан 111 и он в данный момент на всех портах в качестве нативного, порты 1-24 имеюттакой конфиг: QSW-2800-28T-AC#sh ru int e 1/1 ! Interface Ethernet1/1 spanning-tree portfast bpdufilter switchport access vlan 111 ! Ещё пробовал snmpset'ом менять dot1qPvid на другой - тоже подобные ошибки. Видимо, управлять вланами по snmp как-то не тривиально и я упускаю какую-то фундаментальную хрень :-). В общем, как по snmp сменить влан на порту доступа ? Чтобы пыток, боли и крови поменьше было. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted December 12, 2014 Свич поддерживает RW комъюнити? Через snmpset вы указываете RW комъюнити? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 12, 2014 Свич поддерживает RW комъюнити? Через snmpset вы указываете RW комъюнити? Да, поддерживает. Другие операции snmpset делаются. Например, админстатус порта изменять можно. Может быть конечно это кутех косячный, в смысле его софт, но скорее всего тут что-то неведомое пока :-). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted December 12, 2014 Use telnet, Luke. Я серьезно, прям не шутю :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 12, 2014 Use telnet, Luke. Я серьезно, прям не шутю :) Я ж указал, что пыток, боли и крови желательно по-меньше ;-). Телнет у разных свичей разный, а Q-BRIDGE-MIB один -- единообразие теоретически должно быть. Конечно у вендоров проблемы с реализацией бывают, но в данном случае ИМХО проблема в непонимании того, как это правильно по snmp сделать. По snmp все порты в нужные вланы сконфигурить можно за 1 запрос set (если в 1400 байт влезет, а скорее всего влезет), а телнетом придётся либо руками, либо автоматизировать заколебёшься разные свичи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted December 12, 2014 Я ж указал, что пыток, боли и крови желательно по-меньше ;-). Телнет у разных свичей разный, а Q-BRIDGE-MIB один -- единообразие теоретически должно быть. Конечно у вендоров проблемы с реализацией бывают, но в данном случае ИМХО проблема в непонимании того, как это правильно по snmp сделать. Ну лол же. Пыток и крови поменьше хочешь, а выбираешь snmp. CLI у свитчей разное, но оно есть и работает. А вланы/рулесы по снмп создавать это боль. Пока у тебя 2-3 модели свитчей от одного вендора - еще можно жить, периодически выхватывая новые мибы на новых прошивках. Когда у тебя не моновендорная сеть, снмп - проблема. Нету никакого стандарта на вланы или рулесы по снмп, каждый делает как ему нравится. Порой у вендора вообще нет создания вланов по снмп, а порой оно настолько нетривиально что заставляет попотеть. И к этому всему вдобавок приходит новый свитч ревизии А2 например, а в нем логика создания вланов стала иная и все переписываешь. Мне когда осточертело под очередного вендора/модель/ревизию создавать новый скелет конфигуратора, я переделал все на telnet/ssh и счастлив по сей день с кучей разных моделей. Потому что CLI стабильно, а snmp никому не нужно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 12, 2014 Я ж указал, что пыток, боли и крови желательно по-меньше ;-). Телнет у разных свичей разный, а Q-BRIDGE-MIB один -- единообразие теоретически должно быть. Конечно у вендоров проблемы с реализацией бывают, но в данном случае ИМХО проблема в непонимании того, как это правильно по snmp сделать. Ну лол же. Пыток и крови поменьше хочешь, а выбираешь snmp. CLI у свитчей разное, но оно есть и работает. А вланы/рулесы по снмп создавать это боль. Пока у тебя 2-3 модели свитчей от одного вендора - еще можно жить, периодически выхватывая новые мибы на новых прошивках. Когда у тебя не моновендорная сеть, снмп - проблема. Нету никакого стандарта на вланы или рулесы по снмп, каждый делает как ему нравится. Порой у вендора вообще нет создания вланов по снмп, а порой оно настолько нетривиально что заставляет попотеть. И к этому всему вдобавок приходит новый свитч ревизии А2 например, а в нем логика создания вланов стала иная и все переписываешь. Мне когда осточертело под очередного вендора/модель/ревизию создавать новый скелет конфигуратора, я переделал все на telnet/ssh и счастлив по сей день с кучей разных моделей. Потому что CLI стабильно, а snmp никому не нужно. Мне не нужно создавать вланы, мне нужно порт из одного в другой перекидывать и всё :-). Неужели Q-BRIDGE-MIB этого не предоставляет ? Я исходил из предположения, что есть обще известные мибы и вендор специфик. Вторые я трогать не хочу, т.к. они у всех разные, а вот первые должны быть у всех одинаковы. Ну и я ж не мега сложную задачу хочу решить. Хочу просто нативный влан менять по snmp и всё. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted December 12, 2014 Видимо, управлять вланами по snmp как-то не тривиально и я упускаю какую-то фундаментальную хрень :-). Вот тут я кручу верчу сразу 4 параметра в одном пакете. Это пример для D-Link, но может он натолкнет на какую то мысль. Ошибки могут быть из-за: - Использования параметров по отдельности - Взаимоисключащей настройки, которую надо изменить раньше - Неуказания такой неочевидной (в случае CLI) вещи, как статус записи и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 12, 2014 Видимо, управлять вланами по snmp как-то не тривиально и я упускаю какую-то фундаментальную хрень :-). Вот тут я кручу верчу сразу 4 параметра в одном пакете. Это пример для D-Link, но может он натолкнет на какую то мысль. Ошибки могут быть из-за: - Использования параметров по отдельности - Взаимоисключащей настройки, которую надо изменить раньше - Неуказания такой неочевидной (в случае CLI) вещи, как статус записи и т.п. В Q-BRIDGE-MIB есть такая последовательность: Dot1qVlanStaticEntry ::= SEQUENCE { dot1qVlanStaticName SnmpAdminString, dot1qVlanStaticEgressPorts PortList, dot1qVlanForbiddenEgressPorts PortList, dot1qVlanStaticUntaggedPorts PortList, dot1qVlanStaticRowStatus RowStatus } Это вы её "фигачите" ? Там все объекты имеют статус read-create, т.е. записать в них не получится :-(. Сделал walk по .1.3.6.1.2.1.17.7.1.4.3.1, там в выводе есть такое: Q-BRIDGE-MIB::dot1qVlanStaticUntaggedPorts.1 = Hex-STRING: 00 00 00 F0 Q-BRIDGE-MIB::dot1qVlanStaticUntaggedPorts.111 = STRING: "ЪЪЪ" <-- это ваще непонятно что :-). Пока меня ваш пример наталкивает на мысль, что с этой хренью лучше действительно не связываться, как советовали предыдущие товарищи, но подождём ответа хелпдестка ку-теха. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 12, 2014 В общем, для Q-TECH предложили использовать .1.3.6.1.4.1.27514.100.3.2.1.16.1 для смены влана, но это не Q-BRIDGE, этого оида нет даже в вендор специфик мибе от этого свича:-). Либо у меня миб ку-тека старый. Но дело не в этом ... либо под каждый разный свич искать нечто подобное (не факт, что у всех есть такое), либо отказаться от решения этого вопроса вообще :-). Пока наверное второе выберу, пятница всё же ;-). Просто сейчас порты тушим/зажигаем, думал переделать как-то на переключение в другой влан с перенаправлением на страничку "вы отключены за неуплату, встретимся в суде!". Придётся наверное оставить как есть. Ещё есть вариант с dot1x, но ввиду слабой распространённости в SOHO роутерах тоже придётся отказаться наверное, либо роутеры дарить свои, но это уже опять что-то не то. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted December 12, 2014 Это вы её "фигачите" ? Да, они самые. Там в статье есть ссылки на цисковский миб-навигатор. Q-BRIDGE-MIB::dot1qVlanStaticUntaggedPorts.111 = STRING: "ЪЪЪ" <-- это ваще непонятно что :-). Попробуйте walk с опцией -Ox. Программа неправильно определила тип данных, помогите ей ключом. с перенаправлением на страничку "вы отключены за неуплату, встретимся в суде!" Это лучше делать на DPI. Подмена влана у абонента связана с переполучением адреса, что не всегда просто и хорошо. Роутеры будут брыкаться. Пока разбираетесь в вланами можете попробовать комбинацию методов: конфиг с командами CLI на TFTP + SNMP команда на его increment'ную загрузку. Именно вланы по snmp действительно муторно - надо сначала получить все вланы, составить в памяти скрипта точную картину, а потом уже проводить манипуляции. Иначе может оказаться, что или порт не добавится или pvid не совпадет. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 12, 2014 С проприетарным OID всё нормально выполняется, не надо ничего сохранять и вычислять, просто snmpset <бла-бла> .1.3.6.1.4.1.27514.100.3.2.1.16.1 i 111 и на первом порту влан 111 и ничего лишнего. Адрес по DHCP ещё раз получит тот же самый, если попросит. Абонент и не узнает, что у него влан сменился -- линк пропадать не будет. Про DPI понятно, но его и нет, отсюда и бредовые идеи со свичами доступа :-). Спасибо за -Ox, помогло, увидел в хексе. От идеи скорее всего придётся отказаться, т.к. сеть мультивендорная и с большой вероятностью аналогичных проприетарных OID для всех разновидностей я не найду, ну или в будущем не найду. Надо использовать то, что все свичи умеют и будут уметь, типа dot1x. Или же совсем иначе действовать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted December 12, 2014 Офф. Начал читать название темы и мозг продолжил: Как управлять в...селенной, не привлекая внимания санитаров ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted December 12, 2014 Как управлять в...селенной... ... по SNMP. =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 13, 2014 Офф. Начал читать название темы и мозг продолжил: Как управлять в...селенной, не привлекая внимания санитаров ) Случай из жизни: ---------------------------------------------------------------------------- Звонит абонент на счёт электропочты, с ним получился такой диалог (сейчас январь 2012 года): А: Я тут проверил почту с другого компьютера и у меня там 600 писем, есть даже за 2010 год. Я этих писем не видел, как так вышло, что вы мне их доставили только сейчас ?! Там были важные письма! Я на вас В суд подам!!! Я: Подождите, сейчас посмотрим ... Смотрю, действительно у него 600 писем и несколько файлов созданы в 2010 году, почту он проверяет по РОР3, т.е. его клиент сам стягивает письма/заголовки и решает, старые это письма, прочтённые или нет. Я: Дело в том, что у вас действительно в ящике лежат письма, которые были доставлены в 2010 году, вы просто их не удалили и они с тех пор там лежат. Так же есть и другие более поздние письма. Вообще вы должны сами прверить настройки своего почтового клиента на вешем компьютере ... А: Я не могу! Я нахожусь в местах лишения свободы, за решёткой, в психбольнице! Меня заведующий отделением не отпускает !!! Потом был ещё диалог, который я не запомнил. В конце концов я согласился с абонентом, чтобы он подавал на нас в суд :-). Больше я не нашёл, что ему предложить. Вот что значит честно и долго хранить почту, за это на оператора можно в суд подать. ---------------------------------------------------------------------------- Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ThreeDHead Posted December 16, 2014 Вот тут я делился немного созданием влана по SNMP (там в теме, под спойлерами все подробности). В принципе работать можно, но шаг в лево, шаг в право от оттестированной прошивки - всё ломается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
terrible Posted December 16, 2014 Автору ещё актуален данный вопрос? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Zheka2011 Posted January 19, 2015 (edited) Автору ещё актуален данный вопрос? Может автору не актуален, но есть другие люди, которым это может быть нужно. Например мне.:) Edited January 19, 2015 by Zheka2011 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted January 19, 2015 Другим актуален Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted January 20, 2015 Автору ещё актуален данный вопрос? Автор пришёл к выводу, что теоретически стандартными мибами может быть и можно было бы влан на порту менять, но это на имеющихся свичах не реализовано. Т.е. софт свича это не поддерживает или как-то уныло поддерживает и в следующем релизе будет сломано. Зато у многих свичей есть проприетарные мибы на эту тему -- там всё чОтко, но жаль, что не у всех свичей есть такие мибы/оиды. Поэтому я плюнул на эту идею и стал смотреть в сторону dot1x или network-access или ... у кого как это называется. Но пока всё только в теории так и осталось :-). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ThreeDHead Posted January 25, 2015 Пример для "DLINK DES-1210-52 B1" # Создаем VLAN так: # Создаем VLAN, Status - CreateAndWait snmpset -d -v 2c -c private -On 10.90.90.90 1.3.6.1.4.1.171.10.75.7.7.6.1.5.3333 i 5 # Даем VLAN'у имя snmpset -d -v 2c -c private -On 10.90.90.90 1.3.6.1.4.1.171.10.75.7.7.6.1.1.3333 s vlan3333 # Активируем VLAN, Status - Active snmpset -d -v 2c -c private -On 10.90.90.90 1.3.6.1.4.1.171.10.75.7.7.6.1.5.3333 i 1 # VLAN создан # Делаем 1-й порт участником этого VLAN'а snmpset -d -v 2c -c private -On 10.90.90.90 1.3.6.1.4.1.171.10.75.7.7.6.1.2.3333 x 800000000000000000000000 # Делаем 1-й порт нетегированным snmpset -d -v 2c -c private -On 10.90.90.90 1.3.6.1.4.1.171.10.75.7.7.6.1.4.3333 x 800000000000000000000000 # Готово все На старых моделях было вообще всё тупо, даже имя можно было не давать: # Создаем VLAN, Status - CreateAndGo snmpset -d -v 2c -c private -On 10.90.90.90 1.3.6.1.4.1.171.10.75.7.7.6.1.5.3333 i 4 # VLAN создан На новых моделях (ME), всё гораздо сложнее, там все порты по-умолчанию попадают в FORBIDDEN. Приходится плясать с бубном, чтобы их оттуда вытащить, на некоторых моделях это получается только с веб-интерфейса. Битовый размер маски портов, надо вычислять путем считывания текущей, запоминать её размер и с ней уже потом работать. На разных моделях/прошивках, она разная. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...