Элтекс

Можно ли управлять ACL по SNMP?

Как сделать такое:

Да, можно.
Информация в MIB - RADLAN-QOS-CLI-MIB
rlQosCliMib 1.3.6.1.4.1.89.88

Пример
Схема созданиt листа: mac access-list extended ACL
snmpset -v2c -c public {ip-addr} \
.1.3.6.1.4.1.89.88.7.1.2.{index-of-acl} s "{name-of-acl}" \
.1.3.6.1.4.1.89.88.7.1.3.{index-of-acl} i {type-of-acl: mac(1),ip (2)} \
.1.3.6.1.4.1.89.88.7.1.4.{index-of-acl} i x {createAndGo(4)}

snmpset -v2c -c public 10.10.10.3 .1.3.6.1.4.1.89.88.7.1.2.107 s "ACL" .1.3.6.1.4.1.89.88.7.1.3.107 i 2 .1.3.6.1.4.1.89.88.7.1.4.107 i 4

Правило: permit ip any any 10.10.7.13 0.0.0.0 any
Cоздание правила делается в два запроса.
1) Задаем параметры правила
snmpset -v2c -c public 10.10.10.3 \
.1.3.6.1.4.1.89.88.5.1.2.{значение поля 7} i {ip-source(2)}
.1.3.6.1.4.1.89.88.5.1.4.{значение поля 7} x {source ip +wildcard mask (HEX)}

snmpset -v2c -c public 10.10.10.3 .1.3.6.1.4.1.89.88.5.1.2.7 i 2 .1.3.6.1.4.1.89.88.5.1.4.7 x "0x0A 0A 07 0d 00 00 00 00"

2) Привязка правила по индексу (index-of-rule) к ACL по индексу (index-of-acl) как permit.
snmpset -v2c -c public 10.10.10.3 \
.1.3.6.1.4.1.89.88.31.1.3.{index-of-acl}.{index-of-rule} i {permit (1)}
.1.3.6.1.4.1.89.88.31.1.4.{index-of-acl}.{index-of-rule} i {ip (1)}
.1.3.6.1.4.1.89.88.31.1.5.{index-of-acl}.{index-of-rule} i {значение поля 7}

snmpset -v2c -c public 10.10.10.3 .1.3.6.1.4.1.89.88.31.1.3.107.102 i 1 .1.3.6.1.4.1.89.88.31.1.4.107.102 i 1 .1.3.6.1.4.1.89.88.31.1.5.107.102 i 7


Отвязываем правила по индексу (index-of-rule)

snmpset -v2c -c public 10.10.10.3 .1.3.6.1.4.1.89.88.31.1.14.107.102 i 6

А как узнать "значение поля 7", если ACL был создан в конфиге?

Если ACL уже создан в конфиге, то используйте snmpwalk по необходимой таблице для просмотра параметров. Или snmpget запросом

Это понятно... Вообще было б не плохо задавать index-of-acl прям в конфиге...

Такого MIB-а вообще на сайте в архиве не удалось, но его можно найти в сети (правда не понятно на сколько он актуальный).

Еще, если не сложно, подскажите про {значение поля 7}, а то я что-то запутался...

Еще, если не сложно, подскажите про {значение поля 7}, а то я что-то запутался...

Это значение взято для примера. Можете взять 1 . Это значение поля(индекс) в таблице rlQosTupleTable (пункт1 примера). В следующем пункте 2 мы ссылаемся на эту запись из таблицы rlQosAceTidxTable

найти в сети (правда не понятно на сколько он актуальный).

Актуальный, добавим этот миб в дальнейшем.

А как по SNMP отвязать и привязать service-policy у интерфейсу?

interface gigabitethernet 1/0/7
service-acl input [name IP-acl]

snmpset -v2c -c public 10.10.10.3 1.3.6.1.4.1.89.88.13.1.14.55.2 i 107 {<index_ACL>}

snmpset -v2c -c public 10.10.10.3 1.3.6.1.4.1.89.88.13.1.14.55.2 i 0 [0 - means no ACL applied]

Нам нужно:

Vans, выше я описал примеры запросов, что именно в этом примере не ясно?

Вы указали service-acl...
А нужно service-policy

Невнимательно прочитал.

Создаем policy-map и включаем его
snmpset -c private -v2c 192.168.1.20
.1.3.6.1.4.1.89.88.11.1.2.{index-of-policy-map} s {name-of-policy-map}
1.3.6.1.4.1.89.88.11.1.3.{index-of-policy-map} i {4 - create and go, 6 - destroy}

snmpset -v2c -c public 10.100.100.10 .1.3.6.1.4.1.89.88.11.1.2.1 s "test1" .1.3.6.1.4.1.89.88.11.1.3.1 i 4

Назначаем policy-map с индексом 1 на порт gi0/6 (Ifindex 54)
snmpset -c private -v2c 192.168.1.20 .1.3.6.1.4.1.89.88.13.1.3.{Ifindex}.2 i {Index-of-policy-map}
snmpset -v2c -c public 10.100.100.10 .1.3.6.1.4.1.89.88.13.1.3.54.2 i 1

Удалить с порта
snmpset -v2c -c public 10.100.100.10 .1.3.6.1.4.1.89.88.13.1.3.54.2 i 0

Добрый день . Возможно ли создание police(Bandwidth Police) по SNMP? (не policy).
Замена telnet команды:
int gi0/4
no service-policy input
exit
policy-map POL_PORT4
class CL_2_PORT4
police 97000 524288 exceed-action drop
exit
exit
int gi0/4
service-policy input POL_PORT4

Добрый день.
По SNMP можно настроить все, что и через CLI.
Подберем команды под ваш пример. Скинем по готовности.