...
Для ограничения подключений по всем указанным в задаче протоколам необходимо сформировать access-list IP на основе параметров vlan, Src IP, Dst port.
Чтобы сформировать access-list IP и назначить его на Uplink-интерфейсы потребуются следующие таблицы MIB :
| OID | OID в числовом формате |
|---|---|
| oltNgNetworkAccessListTable | .1.3.6.1.4.1.35265.1.209.3.10 |
| oltNgNetworkAccessListIpRuleTable | .1.3.6.1.4.1.35265.1.209.3.12 |
| oltNgNetworkAccessListInterfaceTable | .1.3.6.1.4.1.35265.1.209.3.13 |
| oltNgSystemOperationConfigOperations | .1.3.6.1.4.1.35265.1.209.2.1.100 |
Выполнение
Синтаксис команды для формирования ACL в конфигурации :
...
- <list_ID> – индекс access-list;
- <name> – название списка.
- <rw_community> – Read-write community.
- <ipaddr> – IP OLT.
| OID | OID в числовом формате |
|---|---|
| oltNgNetworkAccessListRowStatus | .1.3.6.1.4.1.35265.1.209.3.10.1.4 |
| oltNgNetworkAccessListName | .1.3.6.1.4.1.35265.1.209.3.10.1.3 |
Создадим access-list с названием MGMT
...
- <list_ID> – индекс access-list;
- <rule_ID> – индекс правила внутри access-list;
- <permit/deny> – выбор действия. permit соответствует 1, deny соответствует 2;
- <rw_community> – Read-write community;
- <vlanID> - тег vlan управления;
- <ipaddr> – IP OLT;
- <src_ipaddr> – IP разрешенной для подключения подсети;
| OID | OID в числовом формате |
|---|---|
| oltNgNetworkAccessListIpRuleRowStatus | .1.3.6.1.4.1.35265.1.209.3.12.1.22 |
| oltNgNetworkAccessListIpRuleAction | .1.3.6.1.4.1.35265.1.209.3.12.1.3 |
| oltNgNetworkAccessListIpRuleProtocol | .1.3.6.1.4.1.35265.1.209.3.12.1.4 |
| oltNgNetworkAccessListIpRuleSourceIpAddress | .1.3.6.1.4.1.35265.1.209.3.12.1.5 |
| oltNgNetworkAccessListIpRuleSourceIpMask | .1.3.6.1.4.1.35265.1.209.3.12.1.6 |
| oltNgNetworkAccessListIpRuleVlanId | .1.3.6.1.4.1.35265.1.209.3.12.1.17 |
| oltNgNetworkAccessListIpRuleDestinationPort | .1.3.6.1.4.1.35265.1.209.3.12.1.10 |
Создадим разрешающие правила для каждого из протоколов управления.
...
| Примечание | ||
|---|---|---|
Для удаления правила из ACL предусмотрена команда snmpset -v2c -c <rw_community> <ipaddr> <rw_community> <ipaddr> oltNgNetworkAccessListIpRuleRowStatus.<list<list_ID>ID>.<rule<rule_ID> ID> i 6
|
...
- <rw_community> – Read-write community;
- <ipaddr> – IP OLT;
- <port> – номер порта:
- Нумерация портов для LTP-16N - (pon-ports 1-16; front-ports 17-24)
- Для LTX-16 - (pon-ports 1-16; front-ports 17-24)
- Для LTP-8N и LTX-8 - (pon-ports 1-8; front-ports 9-12)
- <list_type> – тип списка. ip соответствует 1, mac соответствует 2;
- <name> – имя листа.
| OID | OID в числовом формате |
|---|---|
| oltNgNetworkAccessListInterfaceRowStatus | .1.3.6.1.4.1.35265.1.209.3.13.1.4 |
| oltNgNetworkAccessListInterfaceName | .1.3.6.1.4.1.35265.1.209.3.13.1.3 |
Назначим сформированный ACL на Uplink Front-port 1.
...
| Примечание | ||
|---|---|---|
Для удаления ACL с интерфейса используется команда snmpset -v2c -c <rw_community> <ipaddr> oltNgNetworkAccessListInterfaceRowStatus.<list_ID>.<port>.<list_type> <rw_community> <ipaddr> oltNgNetworkAccessListInterfaceRowStatus.<port>.<list_type> i 6
|
...
Осталось применить и сохранить изменения в конфигурации. Для этого используются команды следующего формата:
snmpset -v2c -c <rw<rw_community> community> -t 20 <ipaddr> <ipaddr> oltNgSystemOperationConfigOperationsCommit.0 i 1
snmpset -v2c -c <rw<rw_community> community> -t 20 <ipaddr> <ipaddr> oltNgSystemOperationConfigOperationsSave.0 i 1
...
- <rw_community> – Read-write community;
- <ipaddr> – IP OLT;
| OID | OID в числовом формате |
|---|---|
| oltNgSystemOperationConfigOperationsCommit | .1.3.6.1.4.1.35265.1.209.2.1.100.1 |
| oltNgSystemOperationConfigOperationsSave | .1.3.6.1.4.1.35265.1.209.2.1.100.2 |
Сохраним и применим изменения.
...