wtyd Posted December 12, 2014 · Report post Есть мысль переключать вланы по snmp. Типа при отрицательном балансе юзеры переключаются в влан для отключенных, при положительном - в влан для включенных. Пытаюсь юзать Q-BRIDGE-MIB и в качестве подопытного свича Q-TECH 2800. Читать всё даёт, но изменять не даёт ничего -- какие-то ошибки, которых я раньше никогда не видел: snmpset <бла-бла-бла> Q-BRIDGE-MIB::dot1qVlanStaticEgressPorts.111 x "FF FF FF 10" Error in packet. Reason: undoFailed Failed object: Q-BRIDGE-MIB::dot1qVlanStaticEgressPorts.111 В свиче есть влан 111 и он в данный момент на всех портах в качестве нативного, порты 1-24 имеюттакой конфиг: QSW-2800-28T-AC#sh ru int e 1/1 ! Interface Ethernet1/1 spanning-tree portfast bpdufilter switchport access vlan 111 ! Ещё пробовал snmpset'ом менять dot1qPvid на другой - тоже подобные ошибки. Видимо, управлять вланами по snmp как-то не тривиально и я упускаю какую-то фундаментальную хрень :-). В общем, как по snmp сменить влан на порту доступа ? Чтобы пыток, боли и крови поменьше было. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted December 12, 2014 · Report post Свич поддерживает RW комъюнити? Через snmpset вы указываете RW комъюнити? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 12, 2014 · Report post Свич поддерживает RW комъюнити? Через snmpset вы указываете RW комъюнити? Да, поддерживает. Другие операции snmpset делаются. Например, админстатус порта изменять можно. Может быть конечно это кутех косячный, в смысле его софт, но скорее всего тут что-то неведомое пока :-). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted December 12, 2014 · Report post Use telnet, Luke. Я серьезно, прям не шутю :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 12, 2014 · Report post Use telnet, Luke. Я серьезно, прям не шутю :) Я ж указал, что пыток, боли и крови желательно по-меньше ;-). Телнет у разных свичей разный, а Q-BRIDGE-MIB один -- единообразие теоретически должно быть. Конечно у вендоров проблемы с реализацией бывают, но в данном случае ИМХО проблема в непонимании того, как это правильно по snmp сделать. По snmp все порты в нужные вланы сконфигурить можно за 1 запрос set (если в 1400 байт влезет, а скорее всего влезет), а телнетом придётся либо руками, либо автоматизировать заколебёшься разные свичи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted December 12, 2014 · Report post Я ж указал, что пыток, боли и крови желательно по-меньше ;-). Телнет у разных свичей разный, а Q-BRIDGE-MIB один -- единообразие теоретически должно быть. Конечно у вендоров проблемы с реализацией бывают, но в данном случае ИМХО проблема в непонимании того, как это правильно по snmp сделать. Ну лол же. Пыток и крови поменьше хочешь, а выбираешь snmp. CLI у свитчей разное, но оно есть и работает. А вланы/рулесы по снмп создавать это боль. Пока у тебя 2-3 модели свитчей от одного вендора - еще можно жить, периодически выхватывая новые мибы на новых прошивках. Когда у тебя не моновендорная сеть, снмп - проблема. Нету никакого стандарта на вланы или рулесы по снмп, каждый делает как ему нравится. Порой у вендора вообще нет создания вланов по снмп, а порой оно настолько нетривиально что заставляет попотеть. И к этому всему вдобавок приходит новый свитч ревизии А2 например, а в нем логика создания вланов стала иная и все переписываешь. Мне когда осточертело под очередного вендора/модель/ревизию создавать новый скелет конфигуратора, я переделал все на telnet/ssh и счастлив по сей день с кучей разных моделей. Потому что CLI стабильно, а snmp никому не нужно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 12, 2014 · Report post Я ж указал, что пыток, боли и крови желательно по-меньше ;-). Телнет у разных свичей разный, а Q-BRIDGE-MIB один -- единообразие теоретически должно быть. Конечно у вендоров проблемы с реализацией бывают, но в данном случае ИМХО проблема в непонимании того, как это правильно по snmp сделать. Ну лол же. Пыток и крови поменьше хочешь, а выбираешь snmp. CLI у свитчей разное, но оно есть и работает. А вланы/рулесы по снмп создавать это боль. Пока у тебя 2-3 модели свитчей от одного вендора - еще можно жить, периодически выхватывая новые мибы на новых прошивках. Когда у тебя не моновендорная сеть, снмп - проблема. Нету никакого стандарта на вланы или рулесы по снмп, каждый делает как ему нравится. Порой у вендора вообще нет создания вланов по снмп, а порой оно настолько нетривиально что заставляет попотеть. И к этому всему вдобавок приходит новый свитч ревизии А2 например, а в нем логика создания вланов стала иная и все переписываешь. Мне когда осточертело под очередного вендора/модель/ревизию создавать новый скелет конфигуратора, я переделал все на telnet/ssh и счастлив по сей день с кучей разных моделей. Потому что CLI стабильно, а snmp никому не нужно. Мне не нужно создавать вланы, мне нужно порт из одного в другой перекидывать и всё :-). Неужели Q-BRIDGE-MIB этого не предоставляет ? Я исходил из предположения, что есть обще известные мибы и вендор специфик. Вторые я трогать не хочу, т.к. они у всех разные, а вот первые должны быть у всех одинаковы. Ну и я ж не мега сложную задачу хочу решить. Хочу просто нативный влан менять по snmp и всё. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted December 12, 2014 · Report post Видимо, управлять вланами по snmp как-то не тривиально и я упускаю какую-то фундаментальную хрень :-). Вот тут я кручу верчу сразу 4 параметра в одном пакете. Это пример для D-Link, но может он натолкнет на какую то мысль. Ошибки могут быть из-за: - Использования параметров по отдельности - Взаимоисключащей настройки, которую надо изменить раньше - Неуказания такой неочевидной (в случае CLI) вещи, как статус записи и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 12, 2014 · Report post Видимо, управлять вланами по snmp как-то не тривиально и я упускаю какую-то фундаментальную хрень :-). Вот тут я кручу верчу сразу 4 параметра в одном пакете. Это пример для D-Link, но может он натолкнет на какую то мысль. Ошибки могут быть из-за: - Использования параметров по отдельности - Взаимоисключащей настройки, которую надо изменить раньше - Неуказания такой неочевидной (в случае CLI) вещи, как статус записи и т.п. В Q-BRIDGE-MIB есть такая последовательность: Dot1qVlanStaticEntry ::= SEQUENCE { dot1qVlanStaticName SnmpAdminString, dot1qVlanStaticEgressPorts PortList, dot1qVlanForbiddenEgressPorts PortList, dot1qVlanStaticUntaggedPorts PortList, dot1qVlanStaticRowStatus RowStatus } Это вы её "фигачите" ? Там все объекты имеют статус read-create, т.е. записать в них не получится :-(. Сделал walk по .1.3.6.1.2.1.17.7.1.4.3.1, там в выводе есть такое: Q-BRIDGE-MIB::dot1qVlanStaticUntaggedPorts.1 = Hex-STRING: 00 00 00 F0 Q-BRIDGE-MIB::dot1qVlanStaticUntaggedPorts.111 = STRING: "ЪЪЪ" <-- это ваще непонятно что :-). Пока меня ваш пример наталкивает на мысль, что с этой хренью лучше действительно не связываться, как советовали предыдущие товарищи, но подождём ответа хелпдестка ку-теха. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 12, 2014 · Report post В общем, для Q-TECH предложили использовать .1.3.6.1.4.1.27514.100.3.2.1.16.1 для смены влана, но это не Q-BRIDGE, этого оида нет даже в вендор специфик мибе от этого свича:-). Либо у меня миб ку-тека старый. Но дело не в этом ... либо под каждый разный свич искать нечто подобное (не факт, что у всех есть такое), либо отказаться от решения этого вопроса вообще :-). Пока наверное второе выберу, пятница всё же ;-). Просто сейчас порты тушим/зажигаем, думал переделать как-то на переключение в другой влан с перенаправлением на страничку "вы отключены за неуплату, встретимся в суде!". Придётся наверное оставить как есть. Ещё есть вариант с dot1x, но ввиду слабой распространённости в SOHO роутерах тоже придётся отказаться наверное, либо роутеры дарить свои, но это уже опять что-то не то. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted December 12, 2014 · Report post Это вы её "фигачите" ? Да, они самые. Там в статье есть ссылки на цисковский миб-навигатор. Q-BRIDGE-MIB::dot1qVlanStaticUntaggedPorts.111 = STRING: "ЪЪЪ" <-- это ваще непонятно что :-). Попробуйте walk с опцией -Ox. Программа неправильно определила тип данных, помогите ей ключом. с перенаправлением на страничку "вы отключены за неуплату, встретимся в суде!" Это лучше делать на DPI. Подмена влана у абонента связана с переполучением адреса, что не всегда просто и хорошо. Роутеры будут брыкаться. Пока разбираетесь в вланами можете попробовать комбинацию методов: конфиг с командами CLI на TFTP + SNMP команда на его increment'ную загрузку. Именно вланы по snmp действительно муторно - надо сначала получить все вланы, составить в памяти скрипта точную картину, а потом уже проводить манипуляции. Иначе может оказаться, что или порт не добавится или pvid не совпадет. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 12, 2014 · Report post С проприетарным OID всё нормально выполняется, не надо ничего сохранять и вычислять, просто snmpset <бла-бла> .1.3.6.1.4.1.27514.100.3.2.1.16.1 i 111 и на первом порту влан 111 и ничего лишнего. Адрес по DHCP ещё раз получит тот же самый, если попросит. Абонент и не узнает, что у него влан сменился -- линк пропадать не будет. Про DPI понятно, но его и нет, отсюда и бредовые идеи со свичами доступа :-). Спасибо за -Ox, помогло, увидел в хексе. От идеи скорее всего придётся отказаться, т.к. сеть мультивендорная и с большой вероятностью аналогичных проприетарных OID для всех разновидностей я не найду, ну или в будущем не найду. Надо использовать то, что все свичи умеют и будут уметь, типа dot1x. Или же совсем иначе действовать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted December 12, 2014 · Report post Офф. Начал читать название темы и мозг продолжил: Как управлять в...селенной, не привлекая внимания санитаров ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted December 12, 2014 · Report post Как управлять в...селенной... ... по SNMP. =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted December 13, 2014 · Report post Офф. Начал читать название темы и мозг продолжил: Как управлять в...селенной, не привлекая внимания санитаров ) Случай из жизни: ---------------------------------------------------------------------------- Звонит абонент на счёт электропочты, с ним получился такой диалог (сейчас январь 2012 года): А: Я тут проверил почту с другого компьютера и у меня там 600 писем, есть даже за 2010 год. Я этих писем не видел, как так вышло, что вы мне их доставили только сейчас ?! Там были важные письма! Я на вас В суд подам!!! Я: Подождите, сейчас посмотрим ... Смотрю, действительно у него 600 писем и несколько файлов созданы в 2010 году, почту он проверяет по РОР3, т.е. его клиент сам стягивает письма/заголовки и решает, старые это письма, прочтённые или нет. Я: Дело в том, что у вас действительно в ящике лежат письма, которые были доставлены в 2010 году, вы просто их не удалили и они с тех пор там лежат. Так же есть и другие более поздние письма. Вообще вы должны сами прверить настройки своего почтового клиента на вешем компьютере ... А: Я не могу! Я нахожусь в местах лишения свободы, за решёткой, в психбольнице! Меня заведующий отделением не отпускает !!! Потом был ещё диалог, который я не запомнил. В конце концов я согласился с абонентом, чтобы он подавал на нас в суд :-). Больше я не нашёл, что ему предложить. Вот что значит честно и долго хранить почту, за это на оператора можно в суд подать. ---------------------------------------------------------------------------- Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ThreeDHead Posted December 16, 2014 · Report post Вот тут я делился немного созданием влана по SNMP (там в теме, под спойлерами все подробности). В принципе работать можно, но шаг в лево, шаг в право от оттестированной прошивки - всё ломается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
terrible Posted December 16, 2014 · Report post Автору ещё актуален данный вопрос? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Zheka2011 Posted January 19, 2015 (edited) · Report post Автору ещё актуален данный вопрос? Может автору не актуален, но есть другие люди, которым это может быть нужно. Например мне.:) Edited January 19, 2015 by Zheka2011 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted January 19, 2015 · Report post Другим актуален Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted January 20, 2015 · Report post Автору ещё актуален данный вопрос? Автор пришёл к выводу, что теоретически стандартными мибами может быть и можно было бы влан на порту менять, но это на имеющихся свичах не реализовано. Т.е. софт свича это не поддерживает или как-то уныло поддерживает и в следующем релизе будет сломано. Зато у многих свичей есть проприетарные мибы на эту тему -- там всё чОтко, но жаль, что не у всех свичей есть такие мибы/оиды. Поэтому я плюнул на эту идею и стал смотреть в сторону dot1x или network-access или ... у кого как это называется. Но пока всё только в теории так и осталось :-). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ThreeDHead Posted January 25, 2015 · Report post Пример для "DLINK DES-1210-52 B1" # Создаем VLAN так: # Создаем VLAN, Status - CreateAndWait snmpset -d -v 2c -c private -On 10.90.90.90 1.3.6.1.4.1.171.10.75.7.7.6.1.5.3333 i 5 # Даем VLAN'у имя snmpset -d -v 2c -c private -On 10.90.90.90 1.3.6.1.4.1.171.10.75.7.7.6.1.1.3333 s vlan3333 # Активируем VLAN, Status - Active snmpset -d -v 2c -c private -On 10.90.90.90 1.3.6.1.4.1.171.10.75.7.7.6.1.5.3333 i 1 # VLAN создан # Делаем 1-й порт участником этого VLAN'а snmpset -d -v 2c -c private -On 10.90.90.90 1.3.6.1.4.1.171.10.75.7.7.6.1.2.3333 x 800000000000000000000000 # Делаем 1-й порт нетегированным snmpset -d -v 2c -c private -On 10.90.90.90 1.3.6.1.4.1.171.10.75.7.7.6.1.4.3333 x 800000000000000000000000 # Готово все На старых моделях было вообще всё тупо, даже имя можно было не давать: # Создаем VLAN, Status - CreateAndGo snmpset -d -v 2c -c private -On 10.90.90.90 1.3.6.1.4.1.171.10.75.7.7.6.1.5.3333 i 4 # VLAN создан На новых моделях (ME), всё гораздо сложнее, там все порты по-умолчанию попадают в FORBIDDEN. Приходится плясать с бубном, чтобы их оттуда вытащить, на некоторых моделях это получается только с веб-интерфейса. Битовый размер маски портов, надо вычислять путем считывания текущей, запоминать её размер и с ней уже потом работать. На разных моделях/прошивках, она разная. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...